Governança em Privacidade e Proteção de Dados

Gileno Gurjão Barreto
(DIRETOR PRESIDENTE DO SERPRO)
André Luiz Sucupira Antonio

(ENCARREGADO DE DADOS E DIRETOR JURÍDICO E DE GOVERNANÇA E GESTÃO DO SERPRO)
André Gustavo Bastos Lima

(SUPERINTENDENTE DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS DO SERPRO)
ORGANIZADORES
GOVERNANÇA EM PRIVACIDADE
E PROTEÇÃO DE DADOS:
UMA VISÃO INTEGRADA AOS
NEGÓCIOS EMPRESARIAIS
Valdemir Paiva Paula Zettel
EDITOR-CHEFE DESIGN DE CAPA
Éverson Ciriaco Brenner Silva

DIREÇÃO EDITORIAL DIAGRAMAÇÃO E PROJETO GRÁFICO
Katlyn Lopes
DIREÇÃO EXECUTIVA
DADOS INTERNACIONAIS DE CATALOGAÇÃO NA PUBLICAÇÃO (CIP)

BIBLIOTECÁRIA: MARIA ISABEL SCHIAVON KINASZ, CRB9 / 626
G721 Governança em privacidade e proteção de dados: uma visão integrada

aos negócios empresariais [recurso eletrônico] / organização de Gileno
Gurjão Barreto, André Luiz Sucupira Antonio, André Gustavo Bastos Lima
– 1.ed. - Curitiba: Editorial Casa, 2022.
367p.: il.; 21cm
Vários colaboradores
ISBN 978-65-5399-157-6
1. Direito à privacidade. 2. Proteção de dados. I. Barreto, Gileno Gurjão

(org.). II. Antonio, André Luiz Sucupira (org.). III. Lima, André Gustavo
Bastos (org.). IV. Serpro.
CDD 342.0858 (22.ed)

CDU 342.721
Praça Generoso Marques, 27, 14° andar - Centro | CEP 80020-230 | Curitiba-PR
Telefone: (55) (41) 3264-9696 | E-mail: contato@editorialcasa.com.br
www.editorialcasa.com.br
PREFÁCIO
A seleção de textos reunidos em “Governança em privacidade e

proteção de dados: uma visão integrada aos negócios empresariais” está
estruturada em dez capítulos que foram escritos, em sua maioria, por
profissionais do Serpro. A obra revela a importância da discussão deste
tema e sua relação com os processos organizacionais de instituições
públicas e privadas, de forma a evitar que a intimidade e a privacidade do
cidadão fiquem expostas à indústria digital e aos maus feitores.
A coletânea de artigos contempla conteúdos pesquisados e
práticas vivenciadas pelos autores em suas carreiras, num leque que
abrange tecnologias e segurança da informação, passa pela governan-
ça e tratamento de dados pessoais, abrange a legislação, o direito à pri-
vacidade e a proteção de dados pessoais, e inclui também os processos
administrativos e jurídicos integrados aos negócios empresariais.
Esta pluralidade de assuntos dialoga com o contexto da grande
maioria das organizações que tratam dados pessoais, especialmente
a partir da promulgação da Lei Geral de Proteção de Dados Pessoais
(LGPD) e a inclusão da proteção de dados no rol dos direitos funda-
mentais, Art. 5º, inciso LXXIX da Constituição Federal. Os desafios e
complexidades desta nova realidade jurídica e social demandam, tal
como esta obra espelha, uma visão multidisciplinar, holística e tota-
lizadora a fim de salvaguardar o direito à intimidade e privacidade do
cidadão.
A trajetória ascendente do emprego dos dados pessoais é
justificada pela conjugação dos avanços tecnológicos com os diversos
fatores de progresso e bem-estar social, movimento acompanhado de
importantes alterações na configuração das organizações e que trouxe
também impactos sobre a privacidade dos cidadãos.
Partido dessas premissas, a produção deste trabalho teve o
intuito não só de contribuir para difusão das teorias e práticas para
os mais diversos públicos, como, também, de fomentar o debate para
edificar a cultura sobre o direito à privacidade e proteção de dados pes-
soais. Um debate que busca equilibrar as necessidades dos negócios,
o avanço tecnológico, a inovação e a defesa dos direitos e garantias
fundamentais dos indivíduos.
O livro está estruturado de forma que os primeiros capítulos
sirvam como apoio para a imersão e contextualização histórica do
leitor, apresentando informações preliminares e evolucionistas sobre
privacidade e proteção de dados pessoais. Essa primeira parte busca
ainda sistematizar práticas que contemplem estratégias para pro-
mover a implementação da governança da privacidade e proteção de
dados, a fim de ilustrar o movimento de adequação à LGPD.
Os capítulos subsequentes ampliam e aprofundam as temáticas,
matérias e asserções que fundamentam ou apenas tangenciam a gestão
e governança de dados pessoais, tais como: inteligência artificial; direito
do titular; diálogo entre a Lei de Acesso à informação (LAI) e a LGPD;
segurança da informação; gestão de riscos; gestão de contratos; mape-
amento de tratamento; e transferência internacional de dados pessoais.
Cabe aqui fazer uma breve descrição dos artigos, cada um deles
compondo um capítulo da obra, a título de elaborar um guia inicial, um
aperitivo mesmo para a leitura. No primeiro dos artigos, denominado
“Implementação da governança em privacidade e proteção de dados”,
os autores mapeiam as atividades comuns de implementação da go-
vernança da privacidade e proteção de dados de quatro abordagens e
apresentam a proposta de um sistema de gestão da privacidade e prote-
ção de dados (SGPPD), contribuindo, para a aplicação desta prática em
organizações de diversos portes, características e setores econômicos.
Em seguida, “Privacidade e proteção de dados: uma abordagem
histórica e evolucionista” apresenta o contexto dos aspectos históricos
da privacidade e da proteção de dados, conceitos que sofreram trans-
formações consideráveis com o passar das décadas. O autor reflete
sobre os avanços tecnológicos e a importância que os dados pessoais
passaram representar em nossa sociedade contemporânea.
Em “Direitos do titular: Estabelecendo uma comunicação efeti-
va com o Titular de Dados Pessoais”, terceiro capítulo da obra, os auto-
res explanam sobre a necessidade de compatibilizar a hipossuficiência
do titular de dados com as responsabilidades, obrigações e sanções
que competem ao Controlador, com apoio relevante do Encarregado
de Dados. A proposta é tornar exitosos os procedimentos em questão,
com a adoção de medidas técnicas e administrativas que garantam a
adequação à LGPD sem prejudicar a integração e o equilíbrio entre o
dever de preservar a autodeterminação informativa e o sucesso das
relações negociais.
O quarto artigo, “Uma reflexão acerca da divulgação de dados
remuneratórios de servidores públicos à luz da LAI e LGPD”, apresenta
a possível dicotomia e antagonismo entre esses dois textos legais, es-
pecialmente no tocante à publicidade/transparência de informações
governamentais versus privacidade/proteção de dados pessoais. Com
base em um caso concreto, o texto analisa e apresenta elementos para
subsidiar o alcance da harmonia e do equilíbrio entre estas leis.
Os autores que conceberam “Transferência Internacional de
dados pessoais” partem do princípio de que, nos dias de hoje, os fluxos
de dados não ficam restritos a localidades geográficas. Dessa forma, o
artigo busca apresentar o due diligence como uma ferramenta eficaz
de mapeamento, estruturação e análise de riscos organizacionais sobre
as informações coletadas do agente receptor. A finalidade é obter uma
relação de transferência internacional com mais segurança, focando os
direitos e garantias dos titulares envolvidos.
Em “Gestão de Riscos: prática indispensável para a implemen-
tação de privacidade e proteção de dados”, os autores, ao referenciar o
Art. 5 da LGPD, que ressalta o relatório de impacto à proteção de dados
pessoais (RIPD), observaram a importância dos gestores em utilizar as
boas práticas de gestão de riscos como instrumento essencial no con-
texto das legislações vigentes. Tal uso visa tanto apoiar a tomada de
decisão e evitar ou minimizar perdas no tratamento de dados pessoais,
como colaborar para o alcance do compliance organizacional.
O sétimo artigo denominado de “Segurança da Informação,
Governança e Proteção de Dados: simbiose indispensável para uma
implementação de sucesso da privacidade”. Nele, os autores recorrem
às suas vivências em atividades práticas de adequação de processos
organizacionais à P&PDP e à LGPD para discorrer a respeito da impor-
tância da integração entre esses três fatores para uma robusta imple-
mentação de processos de tratamento de dados. Na visão deles, esse
é o caminho para assegurar tanto o direito à privacidade e intimidade
dos titulares, mitigando riscos, danos ou acesso indevido aos dados
pessoais, quanto a livre circulação de dados pessoais para o adequado
fluxo da informação e da economia.
No oitavo capítulo, “Transparência na Implementação de Inteli-
gência Artificial em organizações”, os autores destacam a importância do
conceito de “inteligência artificial explicável”, que defende que o emprego
da tecnologia não pode assumir o caráter de uma caixa-preta sem trans-
parência para o ser humano. Analisam também a carência de legislação
específica sobre o tema, apontando a necessidade de uma revisão nas
normas vigentes para que estas consigam prover segurança para o em-
prego ético, responsável e transparente desta tecnologia no país.
Os autores do nono artigo, denominado “Mapeamento dos
tratamentos de dados pessoais”, destacam a importância da correta
catalogação das atividades de tratamento de dados pessoais, indi-
cando inclusive a granularidade desses tratamentos em relação aos
processos de negócio. Tendo em vista as suas expertises de adequa-
ção dos processos organizacionais à P&PDP e à LGPD, eles propõem
uma abordagem empírica sobre a problemática desta granularidade,
tendo, por base, o artefato entregável denominado ROPA (Record
of Processing Activities - Registro das Atividades de Tratamento),
resultante do Data Mapping (Mapeamento de Dados).
No décimo e último capítulo, que traz o artigo “Gestão de con-
tratos: fortalecer os elos do tratamento de dados”, os autores expõem
os desafios da elaboração de contratos neste novo cenário e também
a indispensabilidade de inserção de cláusulas de proteção de dados
nestes documentos, para que as relações por eles reguladas estejam
em conformidade com as regras previstas na LGPD.
A organização destes textos, como poderá ser percebida,
reflete a preocupação de contextualizar e de sedimentar as temáticas
em debate, por meio da junção de referências e de normativos em uma
escala nacional e internacional. Busca, ainda, aprofundar ou explicitar
as temáticas através de componentes empíricos centrados em prá-
ticas vivenciadas no dia a dia do Serpro. Tudo isso levando em conta
também o interesse de vários leitores em potencial, sejam eles estu-
dantes, docentes, pesquisadores, técnicos, operadores, controladores,
encarregados e gestores de dados pessoais. Esperamos que você tenha
uma excelente e instrutiva leitura.
André Luiz Sucupira Antônio

SUMÁRIO
1. IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E

PROTEÇÃO DE DADOS . . . . . . . . . . . . . . . . . . . . 11
Vladimir Fagundes
2. PRIVACIDADE E PROTEÇÃO DE DADOS: UMA

ABORDAGEM HISTÓRICA E EVOLUCIONISTA. . . . . . 49
Glaucio Monteiro Rosa
3. DIREITOS DO TITULAR: ESTABELECENDO UMA

COMUNICAÇÃO EFETIVA COM O TITULAR DE
DADOS PESSOAIS. . . . . . . . . . . . . . . . . . . . . . 81
Marco Antônio Bazzanella Fontoura
Rosemberg Augusto Pereira Rodrigues
4. UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS

REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ
DA LAI E LGPD . . . . . . . . . . . . . . . . . . . . . . . . 119
9
5. TRANSFERÊNCIA INTERNACIONAL DE
DADOS PESSOAIS. . . . . . . . . . . . . . . . . . . . . . 135
Daniel Cesar
Ednaldo Lucio dos Santos Júnior
Marcia Cristina de Castro
6. GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA

A IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO
DE DADOS. . . . . . . . . . . . . . . . . . . . . . . . . . 171
Leandro Oliveira Campos
Pollyana Lima Barreto
7. SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E

PROTEÇÃO DE DADOS: SIMBIOSE INDISPENSÁVEL
PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA
PRIVACIDADE. . . . . . . . . . . . . . . . . . . . . . . . . 217
José Roberto Rebelo Simões
Paulo Roberto Corrêa Leão
10
8. TRANSPARÊNCIA NA IMPLEMENTAÇÃO DE
INTELIGÊNCIA ARTIFICIAL EM ORGANIZAÇÕES. . . . 259
Aline Macohin
Juliano Souza de Albuquerque Maranhão
9. MAPEAMENTO DOS TRATAMENTOS DE DADOS

PESSOAIS. . . . . . . . . . . . . . . . . . . . . . . . . . 291
Douglas Siviotti de Alcantara
Ednaldo Lúcio Dos Santos Júnior
10. GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO

TRATAMENTO DE DADOS. . . . . . . . . . . . . . . . . 327
Carolina Portinho de Carvalho
Rafael Vargas dos Santos
11. SOBRE OS ORGANIZADORES E AUTORES. . . . . . . . 349
11
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS

IMPLEMENTAÇÃO DA GOVERNANÇA EM
PRIVACIDADE E PROTEÇÃO DE DADOS

Vladimir Fagundes
Resumo:
O crescimento do uso de dados pessoais, impulsionados principalmente pelas
tecnologias digitais, mobilizou os governos dos países a criarem em seus sistemas
jurídicos suas próprias leis ou regulamentos de privacidade e proteção de dados. Por
outro lado, as organizações, que são os agentes de tratamento que devem resguardar
e entregar esses direitos aos cidadãos, se veem na necessidade de se adequarem aos
instrumentos como a Lei Geral de Proteção de Dados (LGPD), no caso do Brasil. Com
o propósito de sistematizar as atividades para implementação da governança da
privacidade e proteção de dados, este artigo analisou quatro abordagens, por meio
da técnica de pesquisa bibliográfica. Em seguida, utilizou a análise comparativa para
mapear as atividades comuns dessas abordagens. Por fim, descreveu a proposta
de um sistema de gestão da privacidade e proteção de dados (SGPPD). O resultado
traz importantes contribuições para a aplicação prática do sistema por organizações
que necessitam se adaptar e manter a conformidade com a LGPD. É uma referência
que pode ser aplicada por empresas de diversos portes, características e setores
econômicos. Faz-se necessário destacar que o SGPPD, proposto neste estudo,
apresenta resultados em cada uma de suas fases e como propõe a implementação
de forma interativa, possibilita períodos menores de planejamento e entrega de valor
para organização.
Palavras-chave: Privacidade e proteção de dados. sistema de gestão da privacidade
e proteção de dados. Adequação à LGDP. Lei Geral de Proteção de Dados Pessoais.
Governança da privacidade e proteção de dados.
Abstract: The growing use of personal data’s, especially motivated by digital

Technologies, has mobilized governments to create in their legal systems their own laws
and regulations about data privacy and protection. On the other hand, organizations,
defined as personal data processors or controllers, who have to ensure those rights to
citizens, need to adapt to those laws, as LGPD in the case of Brazil. Aiming to systematize
activities to implement data privacy and protection governance, this article analyzed
four approaches, using bibliographic research. In the next, this work mapped common
12

activities in those approaches using comparative analysis. In the end, this investigation
has described a proposal for a data privacy and protection management system. Results
show important contributes to practical applications of this system, considering
organizations that need to adapt and maintain LGPD compliance. This proposal can be
applied for different organizations in size, characteristics and economic sectors. It is
necessary to highlight that the SGPPD, proposed in this study, presents results in each
of its phases and considering it proposes iterative implementation, it allows shorter
periods of planning and value delivery to the organization.
Keywords: Data privacy and protection. Data privacy and protection management
system. LGPD adapting. Brazilian personal data protection general law. data privacy
and protection governance.
1. INTRODUÇÃO
A utilização indiscriminada de dados pessoais por organiza-
ções públicas e privadas é um grande problema na sociedade atual.
Conforme NBR ISO/IEC 27701 (ABNT, 2019), a quantidade e os tipos
de dados pessoais tratados estão aumentando, assim como o número
de situações em que uma organização precisa cooperar com outras
organizações em relação ao tratamento de dados pessoais. Diante
deste cenário, a proteção de dados pessoais se tornou tema impres-
cindível no contexto jurídico internacional, tendo o Regulamento Geral
de Proteção de Dados da União Europeia (General Data Protection
Resolution - GDPR) assumido o protagonismo sobre a legislação que
se refere a privacidade e proteção de dados, influenciando diversas
legislações acerca do tema. Seguindo este contexto, o Brasil em 2018,
passou a fazer parte do grupo de países que contam com uma legisla-
ção específica sobre privacidade e proteção de dados pessoais.
Inspirada na GDPR, a Lei Geral de Proteção de Dados (LGPD)
estabelece diretrizes e sanções para o uso e tratamento de dados
pessoais. Essa lei foi concebida com determinações voltadas para a
proteção do cidadão contra o tratamento indevido de seus dados e
trouxe grandes inovações ao cenário regulatório que afetam diversas
áreas de atuação, tanto público como privado. Assim, a LGPD trouxe
13

importantes modificações no cenário brasileiro de privacidade e pro-

teção de dados e acoplando-se as responsabilidades antes descritas
pelo DMBOK (2017), “gestores de dados necessitam controlar os ativos
de dados que lhe foram confiados por outros profissionais, da melhor
maneira, para assim atingir os interesses da organização”.
Contudo, segundo Fernandes e Abreu (2014), devido às diver-
sas possibilidades de uso dos dados e aos riscos sociais causados pelo
uso indevido desses ativos, ampliam-se também as necessidades dos
controles e processos formais para o seu tratamento. Como descrito
na NBR ISO/IEC 27701 (ABNT, 2019) ao avaliar a aplicabilidade dos
objetivos de controles devem ser considerados no contexto de ambos
os riscos de segurança da informação, bem como os riscos relativos ao
tratamento de dados pessoais, incluindo os riscos dos titulares.
Partindo do desenho deste cenário, evidencia-se a importância
de um instrumento que permita governar todo o ambiente onde haja
tratamento de dados pessoais, para que as organizações públicas ou
privadas tenham um ecossistema saudável e em conformidade com
as determinações da LGPD, de tal forma que a continuidade do seu
negócio não seja posta em risco.
1.1 PROBLEMATIZAÇÃO
A necessidade de organizar todos os componentes com objeti-

vo de buscar a adequação das organizações em relação à LGPD envolve
uma transformação cultural que deve alcançar os níveis estratégico,
tático e operacional da instituição. Essa transformação envolve: con-
siderar a privacidade e proteção dos dados pessoais do cidadão desde
a fase de concepção do serviço ou produto até sua execução (Privaci-
dade by Design); e promover ações de conscientização de todo corpo
funcional no sentido de incorporar o respeito à privacidade dos dados
pessoais nas atividades institucionais cotidianas (BRASIL, 2020).
14

Alguns fatores devem ser levados em consideração para que

as organizações busquem o cumprimento e a adequação às determi-
nações da lei. Como estão previstas no Art. 52 da LGPD, as sanções
pela não conformidade vão desde advertência, multa ou até mesmo
o bloqueio ou eliminação total dos dados pessoais, dependendo da
gravidade da infração. As multas variam de 2% do faturamento do ano
anterior até R$ 50 milhões. Contudo, problemas relacionados à falta de
capacidade em tratar dados pessoais, adequadamente, podem causar
problemas sérios a própria imagem e reputação da empresa.
Entretanto, por ser uma lei relativamente nova, a adoção de
boas práticas de governança ainda não está internalizada nas políticas,
processos e soluções digitais que suportam todo o ambiente que está
inserido o tratamento de dados pessoais. As organizações estão bus-
cando a adequação através de iniciativas isoladas e arranjos em seus
setores de atuação.
Diante desse contexto, especificamente da importância de sis-
tematizar as atividades de adequação à LGPD, questiona-se quais são
as etapas para implementar a governança em privacidade e proteção
de dados pessoais?
1.2 OBJETIVOS
Este trabalho tem como objetivo descrever as etapas de im-

plementação da governança de privacidade e proteção de dados em
uma organização. É uma proposta de sistematização das atividades
necessárias à adequação de uma empresa à LGPD ou outras leis e re-
gulamentos do gênero. Sua aplicação se estende a empresas tanto do
setor público como privado.
Para realizar o objetivo foram definidos os seguintes objetivos
específicos:
15

a) Apresentar abordagens de sistematização das atividades

de implementação da privacidade e proteção de dados;
b) Analisar as características comuns presentes nessas abor-
dagens; e
c) Propor uma abordagem sistematizada para implementar
a governança de privacidade e proteção de dados, a partir
da adaptação das referências estudadas.
1.3 JUSTIFICATIVA
A necessidade de construir um modelo de Governança em

Privacidade está estampada no Art. 50, § 2º, inciso I, da LGPD, onde é
apresentado um conjunto de requisitos mínimos para que uma organi-
zação que busque adequação nos seus controles, processos e soluções
digitais para maior conforto no objetivo de alcançar e demonstrar a
devida responsabilidade da organização com a adequação às normas
de privacidade e proteção de dados pessoais.
Segue, abaixo, o texto oficial:
Implementar programa de governança em privacidade
que, no mínimo, deverá contemplar os seguintes itens:
a) demonstre o comprometimento do controlador em
adotar processos e políticas internas que assegurem
o cumprimento, de forma abrangente, de normas e
boas práticas relativas à proteção de dados pessoais; b)
seja aplicável a todo o conjunto de dados pessoais que
estejam sob seu controle, independentemente do modo
como se realizou sua coleta; c) seja adaptado à estrutura,
à escala e ao volume de suas operações, bem como à
sensibilidade dos dados tratados; d) estabeleça políticas
e salvaguardas adequadas com base em processo de
avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança
com o titular, por meio de atuação transparente e que
assegure mecanismos de participação do titular; f)
16

esteja integrado a sua estrutura geral de governança e

estabeleça e aplique mecanismos de supervisão internos
e externos; g) conte com planos de resposta a incidentes
e remediação; e h) seja atualizado constantemente com
base em informações obtidas a partir de monitoramento
contínuo e avaliações periódicas. [...]. (Brasil, LGPD, 2018)
Contudo, mesmo com a proposição da legislação apontando

para a necessidade da governança em privacidade, as iniciativas ainda
estão muito incipientes, as empresas estão construindo soluções que
conectam seus instrumentos estratégicos com processos internos
e todo o ecossistema que suportam o contexto de tratamento de
dados pessoais.
Neste cenário, iniciativas de governança em privacidade iso-
ladas ou focada em segmentos específicos carecem de uma busca de
subsídios que viabilizem a proposição de um modelo de governança
em privacidade amplo, ágil e genérico, de tal forma que seja possível
alcançar a conformidade com a LGPD. Desta forma, as organizações
se apropriam de benefícios como: vantagens reputacionais, melhorias
do padrão de gestão organizacional, maior eficiência e efetividade da
empresa, crescimento das oportunidades de negócio, e a economia
decorrente da prevenção do ilícito e/ ou minimizar seus danos.
1.4 ORGANIZAÇÃO DO TRABALHO
Este trabalho está organizado em cinco seções. A primeira, in-

trodução, apresenta cenário e motivação, passando pela apresentação
do problema, descrição do objetivo geral e específico, a justificativa
para o tema que norteia este trabalho e a organização do capítulo.
A segunda seção consolida a fundamentação teórica, apresen-
tando todo o arcabouço teórico que serviram de base para o desenvol-
vimento do método proposto por esta pesquisa.
17

A seção três descreve o referencial metodológico, detalhando

como foi classificada a pesquisa quanto aos fins, aos meios de investi-
gação e quais foram as etapas da pesquisa.
A seção quatro apresenta a metodologia proposta pela pes-
quisa, onde é detalhado seu desenvolvimento, descrevendo como está
relacionado com cada elemento das referências e descrito cada um dos
seus componentes.
A seção cinco oferece as conclusões desta pesquisa, demons-
trando o vínculo da importância da metodologia com o problema,
como os objetivos foram alcançados, quais benefícios de sua utilização,
limitações e sugerindo trabalhos futuros.
2. REFERENCIAL TEÓRICO
2.1 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS – DAS
BOAS PRÁTICAS E DA GOVERNANÇA ART. 50, I.
A LGPD destaca, em seu Art. 50 inciso I, que as organizações devem

implementar programa de governança em privacidade que, no mínimo,
tenham um conjunto de requisitos para que a instituição crie condições
para implementar controles, desenhar seus instrumentos direcionadores
e definir planos de risco, com o objetivo de demonstrar a efetividade de
seu programa de governança em privacidade (BRASIL, 2018).
18

Figura 1 - Governança em Privacidade.
Fonte: Elaborada pelos autores.
Os requisitos mínimos propostos na LGPD (BRASIL, 2018)

podem ser organizados seguindo a estrutura proposta na Figura 1,
conforme detalhamento abaixo:
I) Preparação da organização - a) demonstrar o com-
prometimento do controlador em adotar processos e
políticas internas que assegurem o cumprimento, de
forma abrangente, de normas e boas práticas relativas à
proteção de dados pessoais; b) ser aplicável a todo o con-
junto de dados pessoais que estejam sob seu controle, in-
dependentemente do modo como se realizou sua coleta;
II) Análise Organizacional - c) seja adaptado à estrutura, à
escala e ao volume de suas operações, bem como à sensi-
bilidade dos dados tratados;
19

III) Implementação - d) estabeleça políticas e salvaguardas

adequadas com base em processo de avaliação sistemáti-
ca de impactos e riscos à privacidade; e) tenha o objetivo
de estabelecer relação de confiança com o titular, por
meio de atuação transparente e que assegure mecanis-
mos de participação do titular; f) esteja integrado a sua
estrutura geral de governança e estabeleça e aplique
mecanismos de supervisão internos e externos; g) conte
com planos de resposta a incidentes e remediação; e
IV) Monitoramento - h) seja atualizado constantemente com
base em informações obtidas a partir de monitoramento
contínuo e avaliações periódicas.
Entretanto, a LGPD não se restringe ao Art. 50 para descrever
um conjunto de requisitos que devem ser observados pelas organiza-
ções para que tenham um desenho de sua governança em privacidade.
2.2 SISTEMA DE GESTÃO DE PRIVACIDADE DA

INFORMAÇÃO NA ISO 27701
A NBR ISO/IEC 27701 (ABNT, 2019) materializa a necessidade

da governança em privacidade e proteção de dados, em seu capítulo
5 - Requisitos específicos de um SGPI relacionados à NBR ISO/IEC
27001. A norma especifica os requisitos e fornece as diretrizes para o
estabelecimento, implementação, manutenção e melhoria contínua de
um Sistema de Gestão de Privacidade da Informação (SGPI) dentro do
contexto da organização.
A norma descreve os atributos que contribuem para a ade-
quação da empresa à LGPD, onde os requisitos são estruturados da
seguinte maneira (ABNT, 2019):
I) Contexto da organização - A organização deve determi-
nar o seu papel como um controlador de dados pessoais
20

(DP), incluindo a condição de controlador conjunto de

DP, e/ou como um operador de DP. É neste momento
que a organização deve determinar os fatores externos e
internos que são pertinentes para o seu contexto e que
afetam a sua capacidade de alcançar os resultados pre-
tendidos do seu SGPI. Esta etapa é subdividida em:
a) entendendo a organização e seu contexto;
b) entendendo as necessidades e as expectativas das
partes interessadas;
c) determinando o escopo do sistema de gestão da
segurança da informação; e
d) sistema de gestão da segurança da informação.
II) Liderança - As lideranças devem declarar seu real com-
prometimento, os instrumentos norteadores devem ser
desenhados a fim de alcançar os resultados pretendidos
e a matriz de responsabilidade em todos os níveis organi-
zacionais com objetivo de assegurar que o SGPI esteja em
conformidade com os requisitos. Esta etapa é subdividida
em:
a) liderança e comprometimento;
b) políticas; e
c) autoridades, responsabilidades e papéis organizacio-
nais.
III) Planejamento – Planejar o comportamento da organiza-
ção no que diz respeito aos riscos e oportunidades gera-
dos pelas implicações em buscar a adequação à LGPD.
Esta etapa é subdividida em:
a) ações para contemplar riscos e oportunidade:
21

• avaliação de riscos de segurança da informa-

ção; e
• tratamento dos riscos de segurança da infor-
mação.
b) objetivos de segurança da informação e planejamen-
to para alcançá-los.
IV) Apoio – Necessidade de identificar todo o arcabouço que
irão sustentar a implementação de um SGPI. Esta etapa é
subdividida em:
a) recursos;
b) competência;
c) conscientização;
d) comunicação; e
e) informação Documentada.
V) Operação - Estabelece um conjunto de requisitos e crité-
rios para que a organização operacionalize a implemen-
tação do seu SGPI. Esta etapa é subdividida em:
a) planejamento e controle operacional;
b) avaliação de riscos de segurança da informação; e
c) tratamento de riscos de segurança da informação.
VI) Avaliação de Desempenho – Visa garantir que as políticas,
os processos e a operacionalização estão em harmonia e
alcançando os resultados desejados. Neste momento a
organização passa a entender o funcionamento do seu
SGPI. Esta etapa é dividida em:
a) monitoramento, medição, análise e avaliação;
b) auditoria interna; e
c) análise crítica pela Direção.
22

VII) Melhoria – Busca atingir um ciclo virtuoso do estabeleci-

mento do SGPI, para que seja possível acompanhar a con-
formidade à LGPD é uma atividade contínua e necessária
para as organizações. Esta etapa é dividida em:
a) não conformidade e ação corretiva; e
b) melhoria contínua.
2.3 SISTEMA DE GESTÃO DE PRIVACIDADE E PROTEÇÃO DE

DADOS DE KYRIAZOGLOU
A necessidade de se constituir um sistema de gestão da privaci-

dade e proteção de dados (SGPPD) em uma organização origina-se nos
riscos existentes no ambiente de negócios onde estão inseridas. Com
o crescimento do uso de ambientes virtuais pelas empresas e também
pelas pessoas, titulares de dados pessoais, houve o aumento dos riscos
de violação de dados nas soluções digitais dessas corporações.
Ataques maliciosos, internos ou externos, roubo de infor-
mações sensíveis, sequestro de dados, exposição dados pessoais e
discriminação de pessoas são exemplos de riscos relacionados a dados
pessoais. Diante desse cenário, torna-se primordial que as organiza-
ções implantem seus sistemas de gestão de privacidade e proteção de
dados. Tais sistemas também possibilitam manter estabelecer e man-
ter conformidade com leis e regulamentos de privacidade e proteção
de dados pessoais.
Kyriazoglou (2019) estruturou um SGPPD, que tem como
objetivo melhorar o gerenciamento de dados pessoais na empresa e
mitigar os riscos usuais de privacidade e proteção de dados ao coletar
e processar dados pessoais. O sistema é descrito por meio de metodo-
logias, fases e passos, estratégias, ações e práticas (como por exemplo
políticas, lista de verificação e questionários). As fases que constituem
o SGPD de Kyriazoglou (2019) são:
23

I) Fase 1: Preparação da privacidade e proteção de dados;

II) Fase 2: Organização da privacidade e proteção de dados;
III) Fase 3: Implementação da privacidade e proteção de
dados;
IV) Fase 4: Governança da privacidade e proteção de dados; e
V) Fase 5: Avaliação e melhoria da privacidade e proteção de
dados.
Em linhas gerais, as fases do SGPPD de Kyriazoglou (2019)
seguem um ciclo de preparação, organização, implementação, gover-
nança e avaliação. A preparação consiste em conhecer os requisitos
de privacidade e proteção de dados e a própria empresa, para saber o
quanto ela está adequada, quais dados trata e o que precisa fazer para
se adequar e implantar o sistema. A organização refere-se à formali-
zação e estruturação para posterior implementação da privacidade e
proteção de dados, que já é a fase seguinte.
Na fase de governança são definidos e executados os processos
e procedimentos que mantém as operações da empresa adequadas à
privacidade e com o nível de proteção de dados necessário. Por fim,
a avaliação controla, monitora e audita os riscos de privacidade e os
controles de gestão e governança do próprio SGPPD. Observa-se que
esta abordagem de Kyriaglozou (2019) fornece as visões de governan-
ça e de gestão da privacidade e proteção de dados. Para conhecer um
pouco mais sobre as fases deste SGPPD, são apresentados a seguir os
objetivos gerais, específicos, passos e ações de cada uma delas.
Fase 1: Preparação da privacidade e proteção de dados
Tem como objetivo geral preparar a organização para a pri-

vacidade. Define como objetivos específicos: (i) analisar os requisitos
e necessidades de privacidade e proteção de dados que impactam a
companhia; (ii) coletar as principais leis, padrões e regulamentos rela-
24

cionados à privacidade e proteção de dados; e (iii) estabelecer um plano

de ação com os recursos necessários para gerenciar os dados pessoais e
respectivas atividades de tratamento (KYRIAZOGLOU, 2019).
Os passos e ações desta fase, segundo Kyriazoglou (2019), são:
I) Conduzir análise de privacidade;
II) Coletar leis de privacidade;
III) Analisar o impacto da privacidade;
IV) Realizar auditorias e avaliações iniciais dos dados;
V) Estabelecer organização de governança de dados;
VI) Estabelecer fluxo de dados e inventário de dados pesso-
ais;
VII) Estabelecer programa de privacidade e proteção de da-
dos; e
VIII) Construir planos de ação de implementação do SGPPD.
Fase 2: Organização da privacidade e proteção de dados
Esta fase tem como objetivo estabelecer as estruturas e meca-

nismos operacionais necessários à privacidade e proteção de dados na
organização. Seus objetivos específicos são: (i) projetar e configurar
um programa de privacidade e proteção de dados; (2) nomear o en-
carregado de dados; e (iii) envolver todas as partes interessadas com a
privacidade e proteção de dados (KYRIAZOGLOU, 2019).
Os passos e ações requeridos para esta fase, segundo Kyriazo-
glou (2019), são:
I) Manter um programa e uma política de privacidade de
dados e controles de governança;
II) Atribuir e manter responsabilidades de privacidade e
proteção de dados;
III) Manter a alta direção engajada com a privacidade e pro-
teção de dados;
25

IV) Manter o compromisso de privacidade e proteção de

dados;
V) Manter uma comunicação regular sobre problemas de
privacidade e proteção de dados;
VI) Manter as partes interessadas engajadas nas questões de
privacidade e proteção de dados; e
VII) Implementar e operar um sistema informatizado de pri-
vacidade e proteção de dados.
Fase 3: Implementação da privacidade e proteção de dados
O objetivo principal desta terceira fase é desenvolver e imple-

mentar os métodos e os controles específicos de privacidade e pro-
teção de dados na organização. Têm-se como objetivos específicos:
(i) projetar um sistema de classificação de dados; e (ii) desenvolver e
implementar as políticas, os procedimentos e os controles requeridos
pelas leis e regulamentos de privacidade e proteção de dados (KYRIA-
ZOGLOU, 2019).
De acordo com Kyriazoglou (2019), os passos e ações desta
fase são:
I) Desenvolver e implementar estratégias, planos e políticas
de privacidade e proteção de dados;
II) Implementar procedimentos para autorização de pro-
cessamento de dados pessoais;
III) Registrar banco de dados de dados pessoais;
IV) Implementar e desenvolver um sistema de transferência
internacional de dados pessoais;
V) Executar atividades de integração de privacidade e pro-
teção de dados;
VI) Executar plano de treinamento de privacidade e proteção
de dados; e
26

VII) Implementar segurança de dados.

Como o SGPPD de Kyriazoglou (2019) é independente de
legislação, cabe destacar algumas questões específicas desta fase, em
relação à realidade brasileira. A fase 3, registrar banco de dados pesso-
ais, não é um requisito da legislação brasileira, não há necessidade de
se criar registro desse tipo de banco de dados junto à alguma entidade
reguladora, como a Agência Nacional de Proteção de Dados (ANPD).
Desta forma, este passo é desnecessário para as organizações brasi-
leiras.
Fase 4: Governança da privacidade e proteção de dados
Nesta fase 4 têm-se como objetivo geral estabelecer os meca-

nismos de governança da privacidade e proteção de dados na organi-
zação. Já como objetivos específicos, foram estabelecidos: a) projetar
e configurar as estruturas de governança da privacidade e proteção de
dados; b) engajar e comprometer as áreas envolvidas com privacidade
e proteção de dados; e c) reportar os problemas de privacidade e pro-
teção de dados da organização (KYRIAZOGLOU, 2019).
Os passos e ações que precisam ser executados nesta fase são
(KYRIAZOGLOU, 2019):
I) Implementar práticas para gerenciamento de uso de
dados (dados sensíveis, tomada de decisão automatizada
e utilização secundária de dados pessoais);
II) Manter avisos de privacidade;
III) Executar um plano de gerenciamento das solicitações e
reclamações dos titulares de dados;
IV) Executar uma avaliação de risco de proteção de dados;
V) Emitir relatórios de privacidade e proteção de dados;
VI) Manter documentação de privacidade de dados; e
27

VII) Estabelecer e manter um plano de resposta à violação de

dados.
Fase 5: Avaliação e melhoria da privacidade e proteção de dados
O objetivo geral desta fase consiste em avaliar e melhorar os

aspectos específicos de privacidade e proteção de dados do ambiente
empresarial. Tem como objetivos específicos: (i) monitorar a operação
e resolução dos assuntos relacionados à privacidade; (ii) avaliar regu-
larmente se a organização cumpre com as políticas de privacidade e
proteção de dados e os processos relacionados ao tema; e (iii) melhorar
as métricas e controles de privacidade e proteção de dados por meio de
auditorias e revisões internas e externas (KYRIAZOGLOU, 2019).
Os passos e ações definidos são, segundo Kyriazoglou (2019):
I) Executar auditorias internas de privacidade e proteção de
dados;
II) Contratar uma parte externa para realizar avaliações de
privacidade e proteção de dados;
III) Realizar avaliações e benchmarks de privacidade;
IV) Executar avaliação de impacto à proteção de dados;
V) Resolver os riscos de privacidade e proteção de dados;
VI) Reportar análises e resultados dos riscos de privacidade e
proteção de dados; e
VII) Monitorar leis e regulamentações de privacidade de da-
dos.
O SGPPD de Kyriazoglou (2019) apresenta-se bem estruturado
em termos de fases e passos para sua implementação. As áreas de co-
nhecimento da privacidade e proteção de dados, como por exemplo,
mapeamento de dados, gerenciamento de riscos e gestão de violação
de dados, são tratadas ao longo dos passos e ações que são executadas
28

em cada fase. É uma proposta que aborda tanto a gestão como o nível
de governança.
Algumas ações, aparentemente, são repetitivas ao longo das
fases, como a designação do encarregado de dados. Esta percepção
decorre da forma como as organizações podem implementar as orien-
tações do referido sistema, de acordo com suas características de porte,
setor econômico e cultura. As leis locais também podem determinar
diferentes níveis de responsabilidades e práticas, que precisam ser ob-
servadas ao implementar o SGPPD de Kyriazolgou (2019).
Ao longo de sua obra Kyriazolgou aponta outras publicações
que possuem orientações, procedimentos ou artefatos específicos
para serem utilizados na implementação do sistema. Porém, deixa uma
lacuna relacionada às etapas e ações que precisam ser executadas para
manter esse sistema de gestão em contínua operação. Alguns passos,
como a designação do encarregado de dados não serão mais necessá-
rios. Além disso, não indica o replanejamento da estratégia de privaci-
dade e proteção de dados da organização e nem o estabelecimento de
ciclos de reavaliação de riscos e outras práticas.
2.4 FRAMEWORK DE PRIVACIDADE DO NIST
Nas últimas décadas as soluções digitais impulsionaram inova-

ções, a economia e os serviços sociais de uma forma sem precedentes.
Embora tragam muitos benefícios por meio do uso de dados das pes-
soas, que trafegam em ecossistemas complexos, a população não tem
a dimensão do quanto a privacidade pode ser afetada, à medida que se
interage com as aplicações e produtos desse meio.
Na busca de aumentar o nível de privacidade, por meio do ge-
renciamento e riscos corporativos, o National Institute of Standards
and Technology (NIST), do Departamento de Comércio americano,
produziu o Privacy Framework (Framework de Privacidade). Ele ajuda
29

as organizações a protegerem a privacidade das pessoas por meio de

práticas da engenharia de privacidade, oferecendo apoio à privacidade
por meio de conceitos de design (NIST, 2020). Pode ser utilizado por
organizações de todos os tamanhos e adeptas a qualquer tipo de
tecnologia, setor, lei ou jurisdição. Provê suporte às organizações das
seguintes formas:
I) Alavancando a confiança dos clientes por meio da toma-
da de decisão ética, referente ao design ou implantação
de produtos e serviços que otimizam o uso benéfico de
dados, ao mesmo tempo em que minimizam as consequ-
ências adversas para as pessoas;
II) Cumprindo as obrigações legais sobre conformidade, in-
clusive nos produtos e serviços que possam ser utilizados
no futuro; e
III) Facilitando a comunicação sobre práticas de privacidade
para com as pessoas, parceiros de negócios e regulado-
res.
O Framework de Privacidade (NIST, 2020) oferece uma lin-
guagem comum para que se possa entender, gerenciar e comunicar
riscos de privacidade com as partes interessadas. É empregado para
ajudar a identificar e priorizar ações que visam reduzir o risco de pri-
vacidade. Sua estrutura é composta de três partes, que são o núcleo,
os perfis e os níveis de implementação. Cada um desses componentes
reforça a maneira como as organizações devem gerenciar o risco de
privacidade, por meio da relação entre a empresa, os responsáveis
pela missão, funções organizacionais e atividades de proteção à
privacidade. A Figura 2, apresenta a visão geral do Framework de
Privacidade do NIST (2020).
30

Figura 2 - Visão geral do Framework de Privacidade.
Fonte: NIST, 2020.
O núcleo fornece um conjunto de atividades e resultados de

proteção à privacidade que permitem comunicar as ações e o impacto
em toda a organização, desde o nível estratégico até o nível operacio-
nal (NIST, 2020). Como mostra a Figura 3, é composto por funções,
categorias e subcategorias.
I) As funções organizam as atividades de privacidade e
ajudam a organização a expressar a sua gestão do risco
de privacidade, ao entender e gerenciar o processamento
de dados e ao determinar como interagir com as pessoas,
além de estabelecer melhorias;
II) As categorias são as subdivisões de uma função, em gru-
pos de resultados de privacidade ligados às necessidades
e atividades específicas; e
31

III) As subcategorias dividem ainda mais uma categoria em

resultados específicos de atividades técnicas e/ou de
gestão. Ajudam a validar o efeito do que foi encontrado
em cada categoria.
Figura 3 - O núcleo do Framework de Privacidade.
Fonte: NIST, 2020.
As cinco funções, Identificar-P Governar-P, Controlar-P, Co-

municar-P e Proteger-P, podem ser usadas para gerenciar riscos de
privacidade decorrentes do processamento de dados. A função Prote-
ger-P é específica da área de cibersegurança. O Quadro 1, exemplifica
uma função, uma categoria e respectivas subcategorias.
Quadro 1 - Exemplo de função, categoria e subcategorias.
Fonte: NIST, 2020.
32

O componente perfis, do Framework de Privacidade, corres-

ponde às atividades de privacidade atuais ou resultados desejados. São
uma seleção de funções, categorias e subcategorias do núcleo, que
podem descrever a situação atual ou a situação alvo, desejada, para as
atividades de privacidade. Esse mapeamento do que já existe imple-
mentado (perfil atual) e onde se deseja chegar (perfil alvo) é chave para
a evolução do nível de proteção à privacidade em uma organização. Ele
permite identificar oportunidades de melhoria no perfil atual e traçar
ações para se alcançar um perfil desejado. A Figura 4 demonstra a rela-
ção entre núcleo e perfil, além de representar a existência de um perfil
atual e um alvo.
Figura 4 - Relação entre núcleo e perfis.
Fonte: NIST, 2020.
De acordo com NIST (2020), o Framework de Privacidade não

prescreve modelos de perfil para permitir flexibilidade na implemen-
33

tação. As organizações não precisam alcançar todos os resultados ou

atividades refletidas no núcleo. Para desenvolver um perfil, a organi-
zação deve analisar os resultados e atividades do núcleo para definir
quais precisam evoluir a partir das estratégias e objetivos de negócio
da empresa, das funções do ecossistema de processamento de dados
e das necessidades de privacidade dos indivíduos. Os perfis também
podem ser usados para autoavaliações e demonstração de como os
riscos de privacidade estão sendo gerenciados.
O terceiro componente do Framework de Privacidade (NIST,
2020), os níveis de implementação, oferecem uma referência sobre
como uma organização enxerga o risco de privacidade e se ela tem
os processos e recursos necessários para gerir tal risco. A seleção de
níveis desejados deve considerar o perfil alvo da organização, o grau
de interação do risco de privacidade com o portfólio corporativo de
riscos, suas relações com o ecossistema de processamento de dados,
sua força de trabalho e programas de treinamento.
Segundo o NIST (2020), existem quatro níveis: parcial (nível 1),
informado pelo risco (nível 2), repetível (nível 3) e adaptável (nível 4).
Eles representam uma progressão, embora ela não seja obrigatória. A
progressão para níveis mais altos é adequada quando os processos ou
recursos referentes ao nível atual são insuficientes para a organização
gerenciar os riscos de privacidade. Os níveis podem ser usados para
comunicações internas sobre alocação de recursos necessários para
progredir para um nível mais elevado, ou para realizar benchmark geral,
de modo a medir o progresso da empresa quanto à sua capacidade de
gerenciar riscos de privacidade.
O Framework de Privacidade é uma estrutura que permite
diagnosticar o perfil atual do gerenciamento de risco de privacidade
de uma organização, que pode ser utilizado para implementar ou me-
lhorar um programa de privacidade. Para isso, o NIST (2020) propõe
34

um método de três fases simples, que são: preparar, apontar e já. O

“preparar” refere-se ao uso das funções Identificar-P e Governar-P
para analisar as categorias e subcategorias. Em seguida, o “apontar”,
aborda a definição do perfil alvo e um plano de ação para o alcançar,
tendo como base as diferenças entre os perfis atual e o desejado. Por
fim, a fase “já” corresponde à implementação do plano de ação defi-
nido anteriormente, a partir das lacunas entre os perfis atual e alvo,
das estratégias e objetivos de negócio e da capacidade de recursos da
organização. Desta forma, espera-se ajustar as práticas de privacidade
atuais para atingir o perfil alvo.
Este modelo de governança apresenta uma estrutura deter-
minística de níveis adequados para o gerenciamento de risco de priva-
cidade em uma organização. Seu ciclo de gestão envolve o diagnóstico
(preparar), o planejamento de melhoria (apontar) e a implementação
do plano de melhoria (já). São apenas três etapas, porém suficientes
para aplicar a estrutura proposta pelo NIST (2020), resultando na
melhoria do gerenciamento de riscos de privacidade. As áreas de pri-
vacidade e proteção de dados estão descritas na estrutura do núcleo,
principalmente nas categorias, como por exemplo: inventário e ma-
peamento; avaliação de riscos; conscientização e treinamento; segu-
rança de dados; controle de acesso, autenticação e gerenciamento de
identidade. Este framework pode ser aplicado em diversos contextos
e, como apoio à realidade brasileira, Vidigal (2021) realizou o mapea-
mento deste modelo para a LGPD.
3. REFERENCIAL METODOLÓGICO
3.1 CLASSIFICAÇÃO DA PESQUISA
Com o propósito de organizar a pesquisa, de forma objetiva e

consistente, foi realizada a sua classificação. Adotou-se como base a
taxonomia de Gil (2017) para categorizar esta investigação quanto à
35

sua finalidade, propósito geral e métodos empregados. Quanto à fina-

lidade, a pesquisa foi classificada como aplicada, uma vez que busca
apresentar uma abordagem sistematizada de atividades de privacidade
e proteção de dados, que possam ser empregadas na implementação
de sua governança ou gestão.
Já com relação ao propósito geral, esta pesquisa é categorizada
como descritiva, uma vez que seu objetivo é descrever as etapas ne-
cessárias para que uma organização possa implementar a privacidade
e proteção de dados.
A pesquisa bibliográfica teve como base artigos técnicos cientí-
ficos, leis, instrumentos legais, livros e publicações digitais das áreas de
privacidade e proteção de dados, segurança da informação, metodolo-
gia científica e governança. Utilizou-se como meio a base internacional
de publicação científica Scopus, sítio da Presidência da República que
disponibiliza acesso às leis e instrumentos legais brasileiros e Google
Scholar.
3.2 ETAPAS DA PESQUISA
Este trabalho foi organizado em etapas sequenciais. A primeira

consiste na pesquisa bibliográfica e caracterização dos modelos e
abordagens que abordam governança, sistemas de gestão ou imple-
mentação da privacidade e proteção de dados. A segunda envolve a
análise comparativa dos modelos e abordagens encontrados para
verificar suas similaridades, dissociações, conexões e identificar etapas
ou áreas que precisam ser sistematizadas para se implementar a priva-
cidade e proteção de dados.
Por fim, a terceira etapa descreve, a partir da análise das referências
encontradas, uma proposta de sistematização das etapas de implemen-
tação da governança em privacidade e proteção de dados, abordando os
objetivos e principais resultados de cada uma. A Figura 6, apresenta uma
visão geral das etapas percorridas pela pesquisa.
36

Figura 6 - Visão geral das etapas da pesquisa.
4. DESENVOLVIMENTO
4.1 ANÁLISE E CONSOLIDAÇÃO DOS SGPPD
Esta seção apresenta o desenvolvimento da proposta deste

estudo, que consiste na definição de um sistema de gestão da privaci-
dade e proteção de dados (SGPPD). O processo de desenvolvimento
deste instrumento se deu em duas fases. A primeira foi para mapear
elementos comuns e particularidades nos modelos de governança de
SGPPD que compuseram a seção dois deste capítulo.
A segunda fase apresenta o instrumento de governança de
PPD, que foi construído tomando como base os elementos mapeados.
O mapeamento dos elementos comuns dos SGPPD está descrito no
Quadro 1.
37

Quadro 1 - Elementos comuns dos SGPPD.
ISO 27701 LGPD KYRIAZOGLOU NIST

Preparação e Contexto
✅ ✅ ✅ ✅
PPD
Análise, Identificação e
✅ ✅ ✅ ✅
Planejamento PPD
Implementação e
✅ ✅ ✅ ✅
Operação PPD
Liderança PPD ✅
Controle e Apoio PPD ✅
Governança da PPD ✅
Monitoramento,
Avaliação de
✅ ✅ ✅ ✅
Desempenho e Melhoria
PPD
A comparação entre os modelos de governança apontou pontos

de interseções, são eles: a) Preparação e Contexto de PPD - nesta etapa
a organização prepara o arcabouço que servirá de base para adequação
à LGPD; b) Análise, Identificação e Planejamento de PPD - nesta etapa
a organização passa a conhecer seus processos e estruturas que supor-
tam os tratamentos de dados pessoais; c) Implementação e Operação
de PPD - nesta etapa a organização põe em prática e implementa as ade-
quações necessárias à conformidade com a LGPD; e d) Monitoramento,
Avaliação de Desempenho e Melhoria de PPD - nesta etapa a organi-
zação coleta informações e mensura os resultados da implementação,
para evolução e melhoria contínua dos instrumentos que suportam o
ambiente de tratamento de dados pessoais.
O mapeamento permitiu que fossem identificadas todas as
fases que formam o núcleo comum entre os SGPPD analisados. As fa-
ses “Liderança PPD”, “Controle e Apoio PPD” e “Governança da PPD”
foram encontradas em apenas uma das referências, não sendo comum
aos demais. Em razão disso, não fizeram parte do núcleo comum.
38

Neste contexto, cada item mapeado deu origem a uma ou mais fases
no instrumento proposto neste estudo. O Quadro 2, apresenta a
distribuição das fases desta proposta, relacionando com o núcleo da
SGPPD. A descrição de cada fase será abordada no tópico 4.2.
Quadro 2 - Fases da proposta em relação ao núcleo do SGPPD.
Preparação Análise, Iden- Implementa- Monitoramento,

e Contexto tificação e ção e Opera- Avaliação de
PPD Planejamento ção PPD Desempenho e
PPD Melhoria PPD
Diagnóstico ✅ ✅
Mapeamento ✅ ✅
Análise ✅
Planejamento ✅ ✅ ✅
Execução ✅
Acompanhamento ✅
4.2 PROPOSTA DE FASES PARA UM SGPPD
O estudo dos SGPPD apresentados no tópico 2 permitiu

identificar o núcleo comum de etapas, que foram analisadas para se
desenvolver a proposta de SGPPD deste trabalho. Ela considera tam-
bém, além das intersecções citadas, as necessidades dos processos e
sistemas internos de uma organização e a entrega de valor mais cedo.
Cada organização tem seus próprios sistemas e processos lo-
cais, com características próprias e particulares. Um framework global,
com dimensões padronizadas sobre o tema privacidade e proteção de
dados, não consegue mapear os controles e lacunas para os conjuntos
específicos de dados pessoais e fluxos de tratamento, existentes nes-
ses processos e sistemas locais. Para isso, é necessário um olhar mais
técnico, uma visão própria desses processos e sistemas. Desta forma,
39

pretende-se verificar neste segundo nível quais são os riscos e não

conformidades existentes, para os quais seja necessário implementar
controles específicos. É uma forma de descer do nível de governança,
políticas e planos para o nível de gestão, controles e ações setoriais.
Diante disso, foi possível propor o seguinte conjunto de fases para
um SGPPD: diagnóstico, mapeamento, análise, planejamento, execução
e acompanhamento. As fases mapeamento, análise e planejamento
correspondem à visão mais técnica, no nível da gestão, para verificar e
implementar a privacidade e proteção de dados em processos e sistemas
próprios da organização. A seguir, a descrição de cada uma das fases:
I) Diagnóstico: envolve o conhecimento do contexto
organizacional, o diagnóstico de nível corporativo da
privacidade e proteção de dados, a estruturação dos
mecanismos de governança e a criação de um plano cor-
porativo de privacidade e proteção de dados, para tratar
as lacunas globais encontradas no diagnóstico;
II) Mapeamento: compreende a identificação e priorização
dos processos e sistemas corporativos que tratam dados
pessoais, além da realização do inventário das respectivas
atividades de tratamento de dados pessoais;
III) Análise: identificação e avaliação de riscos e não confor-
midades das atividades de tratamento mapeadas na etapa
anterior. A avaliação de impacto à proteção de dados po-
derá ser realizada, a depender do resultado da avaliação de
pertinência;
IV) Planejamento: consiste na construção de um plano de ação
para implementar os controles necessários ao tratamento
dos riscos e não conformidades encontradas. Adiciona-se,
também, correções e melhorias que podem surgir da fase
de acompanhamento;
40

V) Execução: refere-se à implementação do plano corpora-

tivo, elaborado na primeira fase, além do plano de ação
para implementação dos controles, correções e melhorias
definidas na fase imediatamente anterior; e
VI) Acompanhamento: envolve o monitoramento da execu-
ção, a avaliação dos resultados e retrospectiva do processo
para prestar contas do SGPPD e identificar melhorias e
correções.
Além da visão e definição das fases do SGPPD, faz-se necessário
elucidar quais são os principais resultados que devem ser gerados em
cada uma. Os resultados são produtos de trabalho gerados ao longo da
execução de uma fase. Eles podem representar uma entrega completa
de um determinado assunto, como também uma versão ou até mesmo
um insumo para a próxima fase. Esta proposição considera o estudo
dos modelos de SGPPD apresentados e o escopo de cada fase, confor-
me definido mais acima.
Para a aplicação prática cabe considerar o contexto de cada
organização, a evolução científica e empírica da área privacidade e pro-
teção de dados, além da abordagem de implementação. Desta forma, os
resultados podem ser ajustados e adaptados para cada implementação,
desde que as mudanças mantenham o objetivo de cada fase. O Quadro 3,
apresenta os principais resultados de cada fase.
Quadro 3 - Principais resultados das fases do SGPPD.
Fase Principais resultados

Diagnóstico Diagnóstico de nível corporativo da privacidade e proteção de
dados;
Mecanismos de governança (designações, equipe, aprovações,
comitês, instrumentos corporativos);
Plano corporativo de privacidade e proteção de dados.
41

Fase Principais resultados

Mapeamento Processos e sistemas que tratam dados pessoais identificados
e priorizados;
Inventário dos tratamentos de dados pessoais.
Análise Riscos de privacidade e proteção de dados identificados e
avaliados;
Não conformidades identificadas e avaliadas;
Relatório de impacto à proteção de dados (RIPD), quando
necessário.
Planejamento Plano de implementação de controles para tratar riscos e não
conformidades.
Execução Controles de tratamento de riscos e não conformidades
implementadas;
Ações do plano corporativo de privacidade e proteção de
dados implementadas;
Capacitação e promoção da cultura de privacidade e proteção
de dados;
Atendimento aos direitos do titular;
Gestão de incidentes de violação de dados pessoais.
Acompanhamento Relatórios periódicos de riscos e não conformidades;
Relatórios de monitoramento do SGPPD;
Melhorias aos processos e práticas do SGPPD;
Painéis de indicadores de privacidade e proteção de dados;
Diagnóstico de evolução do SGPPD na organização.
4.3 CICLO DE VIDA PARA O SGPPD PROPOSTO
Como os projetos de adequação à legislação de privacidade

e proteção de dados podem durar meses e até ultrapassar a barreira
de um ou dois anos, é importante considerar ciclos de planejamento
e resultados mais curtos, que permitam às partes interessadas rece-
berem valor mais cedo, conforme as prioridades de cada organização.
Esta prática também proporciona incorporar mais rapidamente as
lições aprendidas ao longo da execução dos processos e controles de
privacidade e proteção de dados.
42

Outra questão a considerar é que após a realização do projeto

de adequação, espera-se que a organização tenha seu SGPPD im-
plementado e esteja operando continuamente. Nesta fase, o SGPPD
ainda necessita de planejamentos e entregas em períodos curtos, que
permitam avaliações constantes e melhoria contínua. Estes aspectos
reforçaram a necessidade de instituir, nesta proposta de SGPPD, um
ciclo de vida iterativo, com fases cíclicas que permitam implementar
controles e melhorias em períodos menores. A Figura 7, apresenta o
ciclo de vida do SGPPD proposto neste estudo.
Figura 7 - Ciclo de vida do SGPPD proposto.
O ciclo de vida inicia-se pela fase de diagnóstico, com a compre-

ensão da organização e a avaliação do nível corporativo de privacidade
e proteção de dados. Em seguida, começa o conjunto de fases que
se repete em ciclos, até que se alcance os objetivos definidos em nível
corporativo na fase de diagnóstico. As iterações ocorrem no nível dos
processos e sistemas locais da organização. Envolvem o mapeamento
das atividades de tratamento de dados pessoais, a análise de riscos e não
43

conformidades, o planejamento de controles e processos de privacidade

e proteção de dados e a implementação desses controles e processos.
A fase de acompanhamento ocorre concomitantemente com
a execução, fornecendo o monitoramento dos controles e processos.
Esta fase também demanda a avaliação de desempenho e dos resul-
tados que são gerados a cada iteração. A saída do ciclo de vida são os
resultados e o compliance de privacidade e proteção de dados, gerados
a cada iteração das fases que estão na roda do desenho do ciclo de vida.
Isso significa que as partes interessadas poderão observar e avaliar
resultados a cada final de iteração.
A duração de uma iteração não está representada neste ciclo de
vida e deve ser definida por cada organização. Utilizando os ciclos de
planejamento corporativo como analogia, pode-se utilizar os mesmos
parâmetros de duração, que são de cerca de três ou quatro meses.
Entretanto, é uma questão que a coordenação do SGPPD deve analisar
e decidir junto com as partes interessadas.
O planejamento corporativo que ocorre na fase inicial, diagnós-
tico, deve definir objetivos e alvos de longo prazo, por exemplo, de 12 ou
18 meses. Ao longo desse período, o sistema implementa as iterações e
gera resultados. Ao final do período maior espera-se que a organização
alcance os objetivos e alvos definidos. Neste momento, recomenda-se
realizar novo diagnóstico para avaliar e prestar contas das evoluções
do SGPPD. Este tipo de relatório, além dos outros que são gerados a
cada iteração, contribuem para demonstrar o cumprimento do Art. 50,
inciso II da LGPD (BRASIL, 2018). Além disso, podem ser o início de um
novo ciclo de evolução do SGPPD.
5. CONCLUSÃO
Na busca pela adequação às leis de privacidade e proteção de
dados, como a LGPD no Brasil, as organizações necessitam organizar
44

os componentes dos seus programas e processos. O tema envolve

desde a camada de governança, até mesmo a de gestão, onde atua no
registro das atividades de tratamento de dados pessoais para, a partir
daí, conhecer os riscos e não conformidades. A sistematização das ati-
vidades de adequação à LGPD e leis semelhantes ganha importância.
Por isso, este artigo (capítulo) teve como objetivo descrever as etapas
de implementação da governança de privacidade e proteção de dados
em uma organização.
Para realizar o objetivo foram apresentadas abordagens de
sistemas de gestão da privacidade e proteção de dados (SGPPD), que
foram analisadas para se identificar as intersecções que formam o
núcleo comum de atividades. Com isso, foi proposto um SGPPD com
um conjunto de fases e ciclo de vida, demonstrando a realização do ob-
jetivo. As fases mostram o que é necessário realizar pelas organizações
e o ciclo de vida permite sistematizá-las em momentos.
Esta pesquisa limitou-se a analisar quatro abordagens, que são
da LGPD (BRASIL, 2018), da NBR ISO/IEC 27701 (ABNT, 2019), do John
Kyriazoglou (2019) e do NIST (2020). Elas permitiram encontrar um
conjunto comum de etapas para estruturar um SGPPD. A proposta
focou na definição das fases e de um ciclo de vida para um SGPPD. Adi-
cionou, além do núcleo comum de fases, os critérios de uma visão mais
técnica e mais próxima das especificidades das organizações, ao con-
siderar processos e sistemas locais, além de planejamentos e entregas
em períodos mais curtos, que permitissem melhorias e demonstração
de valor de forma mais constante.
Este olhar para os processos e sistemas locais traz uma impor-
tante contribuição para a aplicação prática dos projetos e programas
de privacidade e proteção de dados que as organizações precisam
implementar. Ele permite navegar do nível de governança, onde se de-
finem objetivos de longo prazo e mecanismos para criar as estruturas
45

que sustentarão e darão direcionamento para o SGPPD, para o nível de

gestão, onde se visualiza se um processo ou sistema está adequado à
LGPD e o que precisa melhorar.
Outra importante contribuição é a definição de um conjunto
de fases que funcionem de forma interativa, permitindo períodos me-
nores de planejamento e entrega de resultados. Com isso, os gestores
do SGPPD poderão aprender e implementar melhorias mais cedo, oti-
mizando os investimentos das organizações, além de poderem prestar
contas e demonstrar valor de forma mais frequente junto às partes
interessadas. Do ponto de vista da gestão do SGPPD, é uma forma de
sustentar e fomentar a cultura de privacidade e proteção de dados na
organização.
Para implementar cada fase do SGPPD proposto é necessário
adotar uma série de práticas relacionadas ao tema, além de outras que
são típicas das áreas de governança e gestão. Especificamente para a
privacidade e proteção de dados, as práticas são relacionadas ao diag-
nóstico corporativo, ao mapeamento das atividades de tratamento
de dados pessoais, à identificação e avaliação de riscos próprios da
temática, à avaliação de impacto de proteção de dados, avisos de pri-
vacidade, teste de legítimo interesse, compartilhamento internacional
de dados pessoais, contratos com fornecedores entre outras. Algumas
delas são discutidas nos demais capítulos deste livro e poderão ser
utilizadas dentro desta proposta ou de outras abordagens de SGPPD.
As fases e ciclo de vida de um SGPPD apresentados neste estu-
do têm como base referências reconhecidas. Entretanto, este trabalho
não testou sua aplicação prática, o que pode ser realizado em pesquisa
futura. A escolha das atividades e práticas em cada uma das fases do
SGPPD proposto poderão ser definidas no âmbito da própria organi-
zação. Desta forma, é um modelo que poderá ser aplicado em diferen-
tes portes e características de organizações. Ainda assim, sugere-se
46

também como trabalho futuro um estudo para modelar um conjunto

comum de atividades, que possam ser usadas como referência para
que as organizações criem suas próprias adaptações.
Um estudo futuro também pode analisar as atividades que
estão dentro das etapas das referências estudadas para identificar e
mapear as áreas e subáreas de privacidade e proteção de dados. Es-
sas poderão trazer contribuição científica para o tema, uma vez que
permitirão especializar o estudo dessas áreas, levando à construção de
mais conhecimentos sobre o assunto.
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27701.
Técnicas de segurança - Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR
ISO/IEC 27002 para gestão da privacidade da informação - Requisitos e dire-
trizes. Rio de Janeiro: ABNT, 2019.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. LEI Nº 13.709, de 14 de agosto
de 2018. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD). Brasília:
Congresso Nacional, 2018. Disponível em: http://www.planalto.gov.br/cci-
vil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Acesso em: março de
2022.
BRASIL. GUIA DE BOAS PRÁTICAS LEI GERAL DE PROTEÇÃO DE DADOS
(LGPD). Brasília: abril, 2020. (Brasil, Disponível em: https://www.gov.br/
governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_lgpd.pdf.
Acesso em: março de 2022.
DMBOK. DAMA – Data Management Body of Knowledge. Technics Publica-
tions, versão 2, 2017.
FERNANDES, A. A., e DE ABREU, V. F. Implantando a Governança de TI: Da
estratégia à Gestão de Processos e Serviços. Brasport, 2014.
GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 6ª ed. Rio de Janei-
ro: Atlas, 2017. E-book.
47

KYRIAZOGLOU, John. Sistema de gestão da privacidade e proteção de dados:

Guia de privacidade e proteção de dados - Vol. I. 1ª ed. Londres: BookBoon.
com, 2019.
MAGACHO, Bruna Toledo Piza; TRENTO, Melissa. LGPD e compliance na
Administração Pública: O Brasil está preparado para um cenário em trans-
formação contínua dando segurança aos dados da população? É possível
mensurar os impactos das adequações necessárias no setor público? Quais
mudanças culturais promover para a manutenção da boa governança? Revis-
ta Brasileira de Pesquisa Jurídica, Avaré, v. 2, n. 2, p. 07-26, maio/ago. 2021. doi:
10.51284/rbpj.02.trento. Acesso em: março de 2022.
NIST - National Institute of Standards and Technology. Nist Privacy
Framework: A Tool for Improving Privacy Through Enterprise Risk Ma-
nagement, VERSION 1.0. NIST, 2020. Disponível em: < https://doi.org/
10.6028/NIST.CSWP.01162020 > Acesso em: abril de 2022.
VIDIGAL, Prado. LGPD Crosswalk. NIST, 2021. Disponível em: < https://www.
nist.gov/privacy-framework/lgpd-crosswalk-prado-vidigal-advogados>.
Acesso em: abril de 2022.
48
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA

PRIVACIDADE E PROTEÇÃO DE DADOS:

UMA ABORDAGEM HISTÓRICA E
EVOLUCIONISTA
Resumo:
O contexto deste artigo gira em torno dos aspectos históricos e evolutivos da
privacidade e da proteção de dados, conceitos que sofreram transformações
consideráveis com o passar das décadas. O propósito é demonstrar algumas das etapas
e desdobramentos da transformação da privacidade até o surgimento da proteção de
dados, como derivada daquela. Para tal, é imprescindível trazer à tela a questão dos
avanços tecnológicos e a importância que os dados, principalmente os dados pessoais,
passaram a representar em nossa sociedade. Toda esta evolução resultou em muitos
desafios, alguns já enfrentados, outros que ainda se apresentam e carecem de solução.
O objetivo principal é perseguir a construção de uma cultura mínima para o uso dos
dados pessoais, que equilibre razoavelmente as necessidades de avanço tecnológico e
inovação e a defesa dos direitos e garantias fundamentais dos indivíduos.
Palavras-chave: Privacidade. Proteção de dados. Revolução Indústrial. Inteligência
Artificial, Big Data. Economia da Vigilância. Direitos fundamentais. Direitos da
personalidade. LGPD. GDPR. Governança. Boas práticas.
Abstract:
The context of this article revolves around the historical and evolutionary aspects
of privacy and data protection, concepts that have undergone considerable
transformations over the decades. The purpose is to demonstrate some of the steps
and developments in the transformation of privacy until the emergence of data
protection, as derived from that. To this end, it is essential to bring to the screen the
issue of technological advances and the importance that data, especially personal data,
have come to represent in our society. All this evolution resulted in many challenges,
some already faced, others that still present themselves and need to be solved. The
main objective is to pursue the construction of a minimum culture for the use of
personal data, which reasonably balances the needs of technological advancement and
innovation and the defense of the fundamental rights and guarantees of individuals.
50
50

Keywords: Privacy. Data protection. Industry revolution. Artificial Intelligence, Big

Data. Surveillance Economics. Fundamental rights. Personality rights. GDPR. GDPR
governance. Best Practices.
1. INTRODUÇÃO
Cada vez mais o uso de dados ganha relevância no mundo. Mui-
tas notícias relacionadas a usos indevidos, principalmente envolvendo
informações em meios digitais ou no ciberespaço. São vazamentos de
dados, empresas e órgãos públicos que têm seus dados “sequestrados”
com resultados catastróficos, fraudes que afetam a vida de milhares de
pessoas. São apenas algumas das situações que passaram a fazer parte
de nosso cotidiano e que podem afetar nossos direitos, em especial,
nossa privacidade, e possuem algo em comum: a presença de dados
relacionados direta ou indiretamente às pessoas e o valor que hoje
representam.
Tudo isso guarda estreita relação com a evolução da tecnolo-
gia, que deu saltos exponenciais, possibilitando novas capacidades de
coletar, processar, armazenar e compartilhar informações, trazendo à
tona novas discussões éticas e novos fenômenos que ainda precisam
ser mais bem compreendidos.
Contudo, a sociedade, de forma geral, também reage e evolui,
buscando sempre acompanhar estes avanços e garantir a defesa dos
direitos e garantias individuais, com raízes na própria dignidade da pes-
soa humana. A mesma evolução tecnológica que trouxe novas ameaças
e preocupações, é fonte de oportunidades para construção de novos
meios de proteção dos dados pessoais e da garantia destes direitos.
Obviamente que toda esta transformação não trouxe apenas
aspectos negativos. Pelo contrário, é este avanço que permite melhoria
na nossa qualidade de vida através da oferta de novos serviços, produ-
tos, novas formas de nos relacionarmos, comunicarmos, dentre muitos
51

outros aspectos. Uma verdadeira revolução de benefícios capitaneada

pela tecnologia e que refletem diretamente em nossa qualidade de vida.
Compreender a jornada que levou a esta evolução é essencial não
só para o Direito, mas para a construção de diversos outros mecanismos
e ferramentas necessários para a imposição de limites ao tratamento de
dados pessoais realizado por pessoas, empresas e pelo próprio Estado.
A privacidade nem sempre teve a conotação que hoje se apre-

senta. Percorreu um longo caminho e muito evoluiu até a acepção atual.
Pode ser observada por vários aspectos e algumas correntes jurídicas
apresentam diferentes nuances sobre o tema.
Uma melhor compreensão das origens destes termos apoia no
desenvolvimento de mecanismos e instrumentos capazes de evoluir a
própria tecnologia e o Direito no sentido de proteger os dados pessoais
dos excessos e desequilíbrios do nosso tempo.
Qual o caminho histórico percorrido até a visão que hoje se
apresenta a respeito dos conceitos de privacidade e proteção de da-
dos, fora e dentro do Brasil?
1.2 OBJETIVOS
Este artigo objetiva demonstrar como os avanços tecnológicos

impactaram nossa sociedade em relação a posição de destaque em
que os dados pessoais hoje se encontram e como isso interage com
os aspectos históricos da privacidade, transformando e expandindo a
aplicação e relevância deste conceito, criando desdobramentos, novas
formas de interpretá-lo e novos mecanismos de proteção destes dados
que precisam ser pensados, sob pena de resultar em prejuízos difíceis
de dimensionar e reparar.
52

Para alcançar o proposto, navegou-se pelas revoluções indus-

triais que culminaram no patamar tecnológico em que nos encontra-
mos, que expandiu capacidades de processamento, armazenamento e
combinação de dados, além do uso destes em grandes volumes, algo
que guarda relação direta com o uso indiscriminado de dados pessoais
e os possíveis impactos oriundos deste uso.
Isto posto, foi explorada a transformação do conceito jurídico
da privacidade até o alcance desta aos dados pessoais e da proteção
necessária a estes bens jurídicos, passando por alguns dos instrumen-
tos normativos mais relevantes criados para regular estes direitos.
Como consequência, demonstra-se como a proteção de dados pesso-
ais acaba por ganhar protagonismo e contornos próprios no cenário
que se apresenta.
Por fim, conclui-se pela identificação de grandes desafios de
âmbito mundial, sejam eles tecnológicos, culturais ou sociais, na im-
plementação de todas as ações necessárias para equilibrar todos os
fatores, positivos e negativos que precisamos enfrentar.
1.3 JUSTIFICATIVAS
Conforme veremos, dados pessoais são hoje considerados

pelo Direito como bens jurídicos, pois possuem valor socialmente re-
levante para uma pessoa ou comunidade. Seu uso indiscriminado pode
provocar prejuízos inimagináveis para indivíduos ou para toda uma
comunidade.
A necessidade de tutelar tais bens jurídicos, dados pessoais,
justifica-se em diversos aspectos, entre os quais: mitigar os efeitos
danosos da violação da privacidade como negócio; avaliar os riscos dos
algoritmos às liberdades individuais; endereçar o problema da ausência
de prestação de contas no tratamento de dados dentro da economia de
53

vigilância; regular o poder das grandes plataformas digitais, que explo-

ram indiscriminadamente os dados pessoais dos cidadãos1.
A proposta deste artigo é navegar pelas origens da privacidade

e da proteção de dados, especificamente aqueles com potencial de se
caracterizar como manifestação da personalidade de pessoas naturais,
os dados pessoais. Algo que possui raízes seculares no Direito, mas que
ganhou novos contornos e relevância com o advento do que vem sendo
chamado de a quarta revolução industrial.
Observaremos os avanços tecnológicos das últimas décadas,
que deram ensejo ao uso, produção e consumo massivo e crescente de
dados, e seus impactos econômicos e sociais, que nos levaram a uma
verdadeira sociedade da vigilância, onde o uso indiscriminado e irre-
gular de nossos dados pessoais dão origem a questões que impactam
diretamente os indivíduos.
Na sequência, trataremos de aspectos históricos relacionados
ao conceito de privacidade, bem como questões jurídicas basilares
que envolvem o tema. Considerada atualmente, de forma majoritária,
como derivado do direito fundamental de personalidade, insculpido em
nossa Constituição da República, passou por grandes transformações
na forma como pode ser interpretada, resultando em um espectro de
proteção mais abrangente.
Na última parte, essencial nos dias atuais e tendo assumido
contornos construídos em consequência do avanço tecnológico e da
1 FRAZÃO, Ana, Fundamentos da proteção dos dados pessoais - Noções introdutórias para a
compreensão da importância da Lei Geral de Proteção de Dados, in: Lei Geral de Proteção
de Dados e suas repercussões no Direito Brasileiro, [s.l.]: Thomson Reuters - Revista dos
Tribunais, 2019, p. 23 a 52. TEPEDINO, Gustavo; FRAZÃO, Ana; DONATO OLIVA, Milena, Lei
Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro, 1a Edição.
São Paulo: Thomson Reuters - Revista dos Tribunais, 2019.
54

evolução da tutela jurídica da privacidade como hoje compreendida,

a proteção de dados pessoais figura com perspectiva central como
ferramenta de equilíbrio entre forças antagônicas: de um lado um
potencial nunca antes explorado de possibilidades de uso de dados
pessoais; de outro, a importância em proteger tais informações das
diversas formas de abusos possíveis derivados deste uso e que causam
impactos danosos reais nas vidas de todos nós.
Revolução industrial é o termo utilizado em referência a
processos históricos que levaram a avanços na indústria e tecnologia
e que ocasionaram mudanças significativas que impactaram toda a
sociedade. Substituição nas formas de produzir, utilização de novos
materiais, criação de novas máquinas, trouxeram mudanças substan-
ciais na forma de organização e pensamento da sociedade. Iniciada na
Inglaterra no fim do século XVIII é originalmente conceituada em três
fases em intervalos temporais subsequentes, cada uma das quais com
acontecimentos importantes.
Tal base histórica deu azo ao conceito de Indústria 4.02 ou quarta
revolução industrial. Esta última, em continuidade às demais e situada
no atual século XXI, se fundamenta no uso de sistemas de produção
inteligentes e autônomos com foco cada vez maior na automatização
que resulta em cada vez mais praticidade para a sociedade.
Boa parte da evolução tecnológica e industrial que moveu estes
períodos históricos possuem estreita relação com diferentes formas
de gerar energia. Da madeira ao carvão, e deste até o uso massificado
de combustíveis fósseis, como o petróleo, a Quarta Revolução Indus-
trial tem como principal “combustível” os dados.
2 MARTINS, Karine, O que é a Indústria 4.0, disponível em: https://www.politize.com.br/o-que-

e-industria-4-0/. Acesso em: 4 maio 2022.
55

Chamados pela revista The Economist de “o novo petróleo”3, os

dados são a matéria-prima capaz de movimentar toda gama de novas
tecnologias que dão o tom do nosso tempo, caracterizado pelo ime-
diatismo, rapidez, alta produção e distribuição em larga escala.
Dentre as novas tecnologias que fazem parte da Indústria 4.0, Big
Data se destaca como um conceito de autoria de Roger Magoulas. Como
4
a própria tradução livre já diz, envolve a presença de grandes volumes de

dados, mas não apenas isso. Além do volume, a capacidade de combinar
dados variados e o processamento em grande velocidade possibilitam que
seja utilizada como mecanismo de inteligência estratégica, possibilitando
a interpretação dos dados em informações importantes para diversos
propósitos. E é este processo de análise de grandes quantidades de dados
diversificados, na busca por informação e conhecimento relevantes e que
envolve diferentes técnicas, que chamamos Data Analytics5.
Combinar diferentes informações em alta velocidade, acessan-
do diferentes áreas de armazenamento simultaneamente, nos remete
ao funcionamento do órgão mais sofisticado e importante de nosso
sistema nervoso. E é na capacidade humana de escolher como realizar
conexões entre as diversas informações que nos são apresentadas,
com objetivo de entender o mundo que nos cerca, que nos aproxima-
mos da definição de inteligência. O conjunto de tecnologias e métodos
que buscam simular esta capacidade compõe o que hoje conhecemos
como inteligência artificial6.
3 De acordo com The Economist THE ECONOMIST, The world ’ s most valuable resource is The
world’s most valuable resource is no longer oil , but data, p. 1–10, 2017. “The world’s most
valuable resource is no longer oil, but data.”
4 SUL, UCS - Universidade de Caxias do, Big Data: o que é, para que serve, como aplicar e
exemplos, disponível em: <https://ead.ucs.br/blog/big-data.
5 EQUIPE TOTVS, Data analytics: o que é, tipos e aplicações nas empresas. Disponível em:
<https://www.totvs.com/blog/negocios/data-analytics/>, acesso em: 13 maio 2022.
6 I2AI, O que é Inteligência Artificial? Glossário de Inteligência Artificial. Disponível em:
<https://www.youtube.com/watch?v=lp0d9y9L5vU&t=18s>, acesso em: 4 maio 2022.
56

Também IOT (Internet of Things) ou Internet das Coisas é um

outro conceito interessante da Indústria 4.0, que preconiza o uso de
componentes eletrônicos (sensores) acoplados a diversos tipos de dis-
positivos conectados à internet. Os dados são processados e enviados
à internet permitindo a comunicação entre estes dispositivos.
Quaisquer destas tecnologias só podem existir em razão de
componentes essenciais, os algoritmos. Sequência lógica de instruções
finitas que têm como objetivo resolver um determinado problema, os
algoritmos executam ações buscando um resultado previsível e são a
engrenagem sem a qual nenhum destes avanços tecnológicos seriam
possíveis. Um outro ponto em comum que viabilizou todo este poten-
cial inovativo foi o uso de grandes volumes de dados e em grande parte
dados pessoais.
Algoritmos, grandes volumes de dados pessoais, tecnologias
capazes de processar em grande velocidade e combinar diferentes
tipos de dados, são os componentes do mundo moderno que possi-
bilitam, por exemplo, a criação de perfis relacionados às pessoas, que
podem ser usados em nosso benefício ou contra nós. A perfilização7,
que pode ser definida como:
[...] qualquer forma de processamento automatizado de da-
dos pessoais que consista na utilização destes dados para
avaliar certos aspectos pessoais relacionados a uma pessoa
natural, em particular para analisar ou prever aspectos re-
lativos ao desempenho dessa pessoa no trabalho, situação
econômica, saúde, preferências pessoais, interesses, con-
fiabilidade, comportamento, localização ou movimentos.
Todo o avanço tecnológico que alcançamos possibilita fenôme-

nos como o do capitalismo da vigilância8. Termo cunhado pela professora
7 SENSEVER, Perfilização ou profiling: o que é isso? Disponível em: http://lgpd.entremates.

com.br/2019/12/09/perfilizacao-ou-profiling-o-que-e-isso/,
8 KOERNER, Andrei, Capitalism and Digital Surveillance in Democratic Society, Revista
Brasileira de Ciências Sociais, v. 36, n. 105, p. 1–6, 2021.
57

emérita da Business School da Universidade de Harvard, Shoshana Zu-

boff, pode ser definido como o uso mercantil de nossos dados pessoais
comportamentais por empresas, governos e outros atores, como maté-
ria-prima para diversos propósitos, desde aqueles relacionados a comer-
cialização de produtos e serviços como outros relacionados ao controle
social com diversos efeitos capazes de modificar nosso comportamento.
Assim, os impactos na nossa privacidade, que é um conceito
que muito evoluiu por diversas épocas e sociedades, se torna inegável
frente aos riscos que as tecnologias digitais nos apresentam.
Segundo Doneda9, quando o direito à privacidade passou a
ser considerado nos ordenamentos jurídicos, no final do século XIX,
possuía viés essencialmente voltado a questões de isolamento, refúgio,
segredo ou o famoso “direito a ser deixado só”. O início da doutrina que
hoje conhecemos como direito à privacidade, cunhado sobre valores
fundamentais da personalidade humana, possui como marco um fa-
moso artigo de Brandeis e Warren, The Right to privacy, e sua inserção
se deu em momento quando os ordenamentos jurídicos eram eminen-
temente patrimonialistas, ou seja, sem muito espaço para as questões
relacionadas à pessoa humana. E ainda, assistia apenas extratos mais
abastados da sociedade, configurando-se como um direito “elitista”.
A visão moderna de privacidade é intrinsicamente ligada aos
direitos da personalidade, que são aqueles inerentes a pessoa humana
e desta indissociáveis e, segundo Francisco Amaral10, tem por objeto
os bens e valores essenciais da pessoa. De acordo com Doneda11, entre
os séculos XIX e XX, alguns aspectos deste direito se desenvolveram,
como o direito do autor e a proteção da imagem.
9 DANILO, Doneda, Da Privacidade à Proteção de dados pessoais, 2a edição. [s.l.]: Revista dos
Tribunais, 2019.
10 GONÇALVES, Carlos Roberto, Direito Civil Brasileiro - Volume I: Parte Geral, 14a. São Paulo:
[s.n.], 2016.
11 DANILO, Da Privacidade à Proteção de dados pessoais.
58

Os direitos da personalidade, tema central no âmbito do Direito

Civil-Constitucional, encontram relação próxima com um princípio
basilar para o Direito, o da dignidade da pessoa humana.12 Nas palavras
do consagrado jurista Daniel Sarmento:
No Direito contemporâneo, a palavra “dignidade” tem
sido usada em um terceiro sentido, geralmente associado
aos direitos humanos. A dignidade é empregada como
qualidade intrínseca de todos os seres humanos, inde-
pendente de seus status e da sua conduta. A dignidade é
ontológica, e não contingente. Em outras palavras, todos
os indivíduos que pertencem a espécie humana possuem
dignidade apenas por serem pessoas.
Sendo uma manifestação dos direitos da personalidade, a

privacidade, na era do capitalismo de vigilância, passa a ser subs-
tancialmente impactada, resultando em diversos prejuízos para as
pessoas. Neste momento surge o conceito de proteção de dados,
recentemente alçado em nossa Carta Magna ao patamar de direito
fundamental.
Em sentido estrito, dispensa maiores definições, é autoexpli-
cativo. Em um sentido mais amplo, pode ser compreendido como o
conjunto de todas as tecnologias, processos e metodologias capazes
mitigar os efeitos intrusivos introduzidos pelo crescente uso indiscri-
minado de nossos dados pessoais.
3. REFERÊNCIAL METODOLÓGICO
3.1. CLASSIFICAÇÃO DA PESQUISA
Visando classificar a pesquisa quanto a sua finalidade, objetivo

e método empregado, foi utilizada a taxonomia de Gil (2017).
12 SARMENTO, Daniel, Dignidade da Pessoa Humana- Conteúdo, Trajetórias e Metodologia,

2a. Belo Horizonte: [s.n.], 2016.
59

Em relação a metodologia cientifica utilizada, este artigo foi

elaborado a partir de uma pesquisa descritiva e exploratória, quanto aos
objetivos. A abordagem utilizada foi a qualitativa e o método o dedutivo.
O procedimento de busca utilizado foi o bibliográfico, através
da utilização de artigos técnicos, pesquisas científicas, livros e outras
publicações digitais.
4. SOCIEDADE DA INFORMAÇÃO: SUA ORIGEM,

EVOLUÇÃO E OS DADOS PESSOAIS
Vivemos um momento da história que vem sendo chamado
de “A quarta revolução industrial”. Uma revolução que tem como
combustível principal os dados, considerados “o novo petróleo”13. Essa
definição pode ser observada sob vários aspectos. É positiva, quando
olhada sob o prisma das novas possibilidades e benefícios que a evo-
lução tecnológica propicia à humanidade. Não vivemos mais sem um
aparelho celular e uma conexão à Internet; ligações pela rede de telefo-
nia convencional se tornaram cada vez mais raras. Dependemos cada
vez mais dos diversos serviços que a Internet nos proporciona, e-mails,
redes sociais, informações jornalísticas etc.
O cenário pandêmico originado em 2019 e que atingiu o Brasil no
início de 2020, resultando na necessidade de isolamento social e, con-
sequentemente, estimulando o Home Office, colabora e incentiva ainda
mais a aceleração do processo de digitalização, algo que atinge todas as
esferas pública e privada, servindo como acelerador para a desburocra-
tização na prestação dos serviços e combustível para inovação.
Por outro lado, todo esse processo que invadiu nossas vidas e
nossa forma de nos relacionarmos, pode ter consequências indesejadas
13 De acordo com The Economist THE ECONOMIST, The world ’ s most valuable resource is
The world’s most valuable resource is no longer oil , but data. “The world’s most valuable
resource is no longer oil, but data.”
60

e nem sempre percebíveis. Com o crescimento no volume de dados tra-

fegados, um processo constante de vigilância sobre nossas informações
está ocorrendo, invadindo nossa privacidade, coletando nossos dados,
cruzando informações, realizando inferências para tomada de decisões
diversas, muitas vezes com sérios impactos aos direitos e garantias indivi-
duais. Este aumento na coleta, processamento, armazenamento e com-
partilhamento de dados cada vez mais comum e em maiores volumes,
deveria ser acompanhado por uma preocupação, na mesma proporção,
com a proteção destes dados. Algo que, em regra, não vem ocorrendo.
4.1 O CAMINHO ATÉ O DIGITAL
A primeira revolução industrial, iniciada no final do século XVIII,

teve como protagonistas o carvão, o ferro e o uso do vapor, respon-
sáveis por mecanizar e acelerar os processos industriais, antes muito
dependentes da manufatura.
A segunda revolução industrial, ocorrida no século XIX, foi
marcada pelo advento da eletricidade e avanços no campo da química,
sendo responsável por tecnologias em alimentos, eletrodomésticos,
telefones e aviões.
A terceira, em meados do século XX, é conhecida como a revo-
lução no campo da informação, dos computadores e das telecomuni-
cações. Este avanço permitiu que a informação fosse digitalizada, o que
resultou em “progresso quantitativo e qualitativo do processamento
informacional”14. Quantitativo, pois a informação em formato binário
propicia que quantidades inimagináveis de dados sejam processados
e armazenados. Qualitativo, porque tal evolução permitiu melhoria
na organização e estruturação dos dados, além de novas formas de
processamento, o que facilitou e tornou o acesso mais rápido.
14 BIONI, Bruno, Proteção de dados Pessoais. A função e os limites do consentimento., 1a

edição. Rio de Janeiro: Editora Forense LTDA, 2018.
61

Nas últimas décadas, a evolução tecnológica aprimorou ainda

mais tais recursos e originou o surgimento de novas formas de arma-
zenamento (maior capacidade), organização (estruturas otimizadas) e
transferência de dados (maior velocidade).
Assim, a quarta revolução industrial se utilizou dos avanços
da terceira para evoluir em direção a construção de novos sistemas e
tecnologias como a inteligência artificial, Internet das Coisas, Big Data,
robótica, nanotecnologia para o dia a dia de todos nós. São alguns dos
muitos novos “sabores” tecnológicos que estão por toda parte, no
mundo corporativo (público e privado), dos negócios, e entre todos
que, de alguma forma, exercem atividades relacionadas ao uso de tec-
nologia digital. Novos, mas nem tanto, já que muitos já têm lugar cativo
e vasta utilização há algum tempo.
Não entraremos a fundo nos detalhes destas tecnologias. O que
é importante saber sobre elas, para fins deste artigo, é que todas, sem
exceção, precisam produzir e (ou) consumir dados para que atinjam
seus fins. E, em regra, grandes volumes de dados.
Quando pensamos sobre o aumento no uso e nas diversas apli-
cações que as informações podem ter, percebemos que a crescente
popularização dos dispositivos eletrônicos e gadgets, e a redução dos
custos de produção destes bens, assim como todas as possibilidades
que o advento da Internet originou, são fatores potencializadores do
aumento do acesso à informação, transformando a população do
planeta e as próprias máquinas em verdadeiros produtores e consumi-
dores de dados.
A velocidade dos avanços no uso das informações é inimagi-
nável. De acordo com uma pesquisa da Fundação Getúlio Vargas15, o
15 O estudo “Tecnologia Aplicada a Gestão de Conflitos no Poder Judiciário com ênfase em

inteligência artificial” da FGV é citado na matéria do JOTA FREITAS, Hyndara, Judiciário
brasileiro tem ao menos 72 projetos de inteligência artificial nos tribunais, p. 1–5, 2020..
62

judiciário brasileiro tem hoje 72 projetos de Inteligência Artificial16 em

andamento. Os projetos têm objetivos diversos, como o agrupamento
de demandas repetitivas, elaboração de sugestão de minutas de deci-
sões (sentenças e acórdãos), mas todos com foco na automação de
atividades, aumento de eficiência, produtividade e celeridade proces-
sual. Este tipo de progresso representa um caminho sem volta. Quando
um processo ou serviço é digitalizado, é quase impossível que ele volte
a ser manual. A transformação é perene, definitiva.
Big Data, conjunto de tecnologias utilizado para análise e inter-
pretação de dados estruturados e não estruturados, já existe há pelo
menos 15 anos e vem sendo chamada de o grande motor da 4ª revolu-
ção industrial. Possibilita o cruzamento de diversos tipos e volumes de
dados, objetivando transformá-los em informações úteis para tomada
de decisões17.
4.2 A ERA DA VIGILÂNCIA
Experiência comum a todos nós que utilizamos a internet para

realizar compras, nos comunicar, contratar serviços, ou apenas para
pesquisas de qualquer natureza: a insistente intrusão em nossas vidas
privadas com oferta de produtos ou serviços, propagandeados durante
toda a navegação, mesmo depois de já termos deixado de procurar por
aquele objeto ou serviço. Nossos dados são incessantemente com-
partilhamentos entre os players que fazem parte de quase todas as
cadeias de consumo.
16 Os projetos abrangem O STF, TST, STJ, CNJ, além de tribunais de justiça estaduais, tribunais
regionais federais e tribunais regionais do trabalho.
17 De acordo com estimativas da comunidade Wikibon, Big data gerou $42 bilhões de dólares
de receita em 2018, devendo crescer a aproximados $103 bilhões de dólares até 2027. Ainda,
de acordo com um estudo da Accenture, 79% dos executivos concordam que companhias que
não adotarem Big Data, perderão posição competitiva, podendo até serem extintas.LOUIS
COLUMBUS, 10 Charts That Will Change Your Perspective Of Big Data’s Growth, Forbes,
p. 1–12, 2018.
63

Nossas pegadas digitais, ao navegar, deixamos nossos “rastros”

de dados em redes sociais, bancos, blogs, sites jornalísticos, por todo e
qualquer serviço digital por onde passamos. Dados pessoais, relativos a
nosso comportamento, nossas expectativas, interesses, intenções e até
mesmo sobre nossas emoções, são alvo caro desta nova economia, co-
letados de forma indiscriminada e para finalidades que nem sempre nos
trarão algum benefício dentro de um modelo de capitalismo de vigilância.
Imaginemos agora, que uma dada empresa tenha acesso a
este rico histórico de navegação e consiga também acesso a outros
conjuntos de dados relacionados aos mesmos indivíduos e que, ao
serem processados, revelem a capacidade aquisitiva do indivíduo, suas
preferências e gostos, além de outras informações sobre seus bens,
vínculo empregatício, renda, etc. Não é difícil pensar o valor que essas
informações podem representar para empresas (ou até mesmo outras
pessoas) que busquem identificar determinados perfis comportamen-
tais para oferta de produtos e serviços personalizados.
Somos prosumers, no chamado ciclo do consumo. No passado,
o consumidor possuía um papel mais passivo. Empresas produziam
bens de consumo ou formatavam serviços, faziam a publicidade, mas
muitas vezes sem ter acesso a informações tão relevantes, detalhadas,
de opinião, opção ou expectativas dos consumidores acerca destes
produtos, seus interesses e sentimentos antes e após a compra. Atu-
almente, com a constante coleta de nossos dados, retroalimentamos
a cadeia do consumo com informações valiosíssimas, utilizadas por
todos aqueles que possuem o interesse comum em criar formas de nos
fazer consumir18. Nas palavras de Bruno Bioni:
O consumidor não apenas consome (consumption),
mas, também produz o bem de consumo (production):
prosumer.
18 Temos diversos “players” interessados no que se pode extrair de benefícios destes dados.
Desde indústrias, comércio, empresas de mídia e de coleta e análise de dados, entre outras.
64

Toda essa vigilância sobre nossos dados, facilitada pelo advento

de tecnologias modernas como Big Data, possibilitou uma transfor-
mação nos modelos de negócio baseados em Internet, com o direcio-
namento muito mais preciso e eficiente de propaganda (contextual,
segmentada e comportamental19), algo que alavancou sobremaneira
a economia digital, em grande parte através do uso indiscriminado
das valiosas informações que geramos durante nossas navegações na
rede20. O intuito é não apenas promover, mas persuadir o consumidor
na direção do consumo.
Se pararmos para refletir sobre a mudança nos paradigmas
da publicidade ocorridos até os dias atuais, veremos que, antes do
advento da era da vigilância e da coleta e uso massivo de nossos dados,
a publicidade era despersonalizada, algo que se mostrou ineficiente,
representando verdadeiro desperdício de esforços, frente às pos-
sibilidades que a era digital e o capitalismo da vigilância oferecem. A
publicidade direcionada, canalizada para um público específico, muito
mais propenso a adquirir determinado produto ou serviço, se mostra
muito mais eficiente mercadologicamente.
A coleta de nossos dados de geolocalização, mecanismos que
permitem indicar nossa posição com alta precisão, potencializados
pelo difundido uso de aparelhos celulares em escala global, viabilizam
que a oferta seja realizada levando-se em conta o quão próximo fisica-
19 A publicidade contextual correlaciona a temática de um determinado ambiente a temática

de um determinado ambiente (aspecto objetivo) ao objeto anunciado. Contextualiza-se a
abordagem, ao potencial consumidor, levando-se em conta o meio no qual é promovido o
bem de consumo. A publicidade segmentada se foca no aspecto subjetivo, ou seja, no próprio
público alvo do bem ofertado, não importando, necessariamente, o conteúdo do ambiente
onde será direcionada a publicidade. Por fim, a publicidade comportamental on-line, que
permitiu personalização e direcionamento ainda maior da propaganda. BIONI, Proteção de
dados Pessoais. A função e os limites do consentimento.
20 Uma das ferramentas tecnológicas muito utilizadas para coletar nossos dados durante
a navegação, são os famosos Cookies, que rastreiam e armazenam as informações do
usuário. Todo este volume de dados coletados possibilita, através do uso da ciência de dados,
inferências acerca de nossas preferências de consumo. Ibid.
65

mente o potencial consumidor está em relação ao produto ou serviço

ofertado21.
Outro fator interessante, relacionado especificamente ao uso
massivo de aparelhos celulares, é que cada vez mais concentramos
nossa comunicação exclusivamente através do uso destas tecno-
logias e nos já famosos recursos e serviços de mensagens de texto,
vídeo e voz (WhatsApp, Telegram, entre outros) que são oferecidos.
Estas soluções permitem que sejam capturadas, além de opiniões e
diversas outras informações, os sentimentos e emoções das pessoas
durante seu uso, considerados, muitas vezes, dados biométricos,
sensíveis, algo que representa rico conteúdo a ser processado e
utilizado como entrada em processos de inteligência artificial, por
exemplo, alvo de muitas empresas que procuram interpretar estas
informações e utilizá-las no direcionamento de propaganda ou ou-
tras finalidades.
Nossos dados são o ativo mais valioso dos dias atuais. Eles são
coletados, processados, compartilhados, por diversas empresas ou
outros atores, cada um com seus objetivos, almejam transformar todo
este conteúdo em conhecimento para formação de perfis, tomada de
decisões automatizadas e direcionamento de produtos e serviços. É
uma relação plurilateral22, formada pelos titulares dos dados (consu-
midores), anunciantes e fornecedores. Nossos dados são, portanto,
comercializáveis, já que financiam estes modelos de negócios.
21 Nas palavras de Bruno Bioni: “Não é, portanto, uma mera coincidência que surja um anúncio
publicitário, cujo bem de consumo esteja bem próximo geograficamente do cidadão ao
utilizar um smartphone. A publicidade baseada na localização do potencial consumidor é
uma (nova) estratégia mercadológica.”
22 Existem outros atores que fazem parte deste modelo de negócio denominado zero-price
advertisement business model, onde a principal moeda de troca são nossos dados pessoais.
As chamadas redes de publicidade (ad networks) são responsáveis por conectar diversas
aplicações e atores (advertisers, databrokers e publishers), possibilitando a troca de bases
de dados pessoais e intermediação na venda de espaços publicitários direcionados.
66

Os exemplos vão muito além de relações mercantis. Governos,

instituições de Estado, partidos políticos e todo o mundo acadêmico, já
estão em sintonia com o universo de possibilidades que se pode extrair
dos dados pessoais.
No âmbito público esta evolução traz impactos positivos e
negativos para os cidadãos. A inovação agiliza e torna mais segura a
entrega de serviços públicos, com maior qualidade, o que resulta em
desburocratização e economia no gasto público, com usuários mais
satisfeitos com os serviços prestados pelo Estado. O aspecto negativo
é que todo este tratamento de dados quase nunca é implementado
de forma equilibrada, respeitando a privacidade das pessoas naturais
e provido com a adoção das medidas e controles necessários para
proteção dos dados, evitando o uso indiscriminado e abusivo.
Se observarmos pelo aspecto tecnológico, é a tecnologia Big
Data, as técnicas de Data Analytics e os avanços com novas técnicas de
inteligência artificial que possibilitam grande parte da implementação
da estratégia no novo paradigma do capitalismo, aquele que se pauta
pela vigilância constante sobre os dados relacionados direta ou indire-
tamente às pessoas naturais.
Assim, com toda a massificação no uso dos dados pessoais,
com novas formas de explorá-los, que resultam em diversas novas
possibilidades de aplicação para estas informações, que podem ser
políticas ou socioeconômicas, benéficas ou prejudiciais, legitimas ou
questionáveis, surge também a necessidade de novas formas de res-
guardar os direitos fundamentais destes indivíduos contra o mau uso
deste ativo, entre eles, o uso para desinformar, manipular, discriminar
indivíduos ou simplesmente importuna-los, perturbando sua esfera
particular.23
23 Quando perguntado sobre o futuro da desinformação nas redes, o famoso historiador

e filósofo Yuval Harari, disse: “O futuro dos dados é, talvez, uma das mais importantes
67

5. ASPECTOS JURÍDICOS E HISTÓRICOS DA

Nas seções anteriores demonstramos como nossa sociedade
evoluiu até o uso massivo de dados, principalmente, no aspecto co-
mercial. Mas o conhecimento que pode ser extraído a partir do pro-
cessamento de grandes volumes de dados terá diversas aplicações e
propósitos, nem todos benéficos, como a manipulação de eleitores ou
a discriminação através da perfilização24. Todavia, muito maiores são
os benefícios destas tecnologias.
São inquestionáveis as contribuições que os avanços tecnológi-
cos geram para a evolução da sociedade, não há como retroceder neste
sentido. Aquilo que se torna digital dificilmente voltará a ser manual ou
presencial. Por isso, nenhum ordenamento jurídico deve impedir o livre
desenvolvimento econômico e social, mas deve-se buscar o equilíbrio
entre os meios necessários para avançar e o respeito aos direitos da
pessoa humana, já que grande parte dos dados coletados, processados
e armazenados, muitas vezes, podem ser consideradas extensão da
personalidade25 das pessoas.
questões políticas no mundo, porque os dados estão se tornando o ativo mais importante
do mundo. Na antiguidade, o ativo mais importante era a terra, e a luta política era pelo
controle da terra. Quando grande parte da terra ficava concentrada nas mãos de uma
pessoa ou poucas pessoas, tinha-se uma ditadura. Nos últimos dois séculos, as máquinas e
fábricas substituíram a terra como os ativos mais importantes. A luta política passou a ser
pelo controle das máquinas e a ditadura acontecia quando a maioria das máquinas e fábricas
ficavam concentradas nas mãos do governo ou de uma pequena parte da aristocracia. Agora,
os dados estão substituindo as máquinas como principal ativo, e a política começa uma luta
pelo controle dos dados. Uma ditadura significa agora a concentração ou controle de uma
parte grande demais do fluxo de dados por um governo ou por umas poucas corporações, e
precisamos evitar isso. Precisamos regulamentar a posse dos dados, mas ainda não sabemos
como fazê-lo.” (Yuval Harari no Roda Viva 11/11/2019)
24 Perfilização ou “‘profiling’”.SENSEVER, Perfilização ou profiling: o que é isso?
25 “Personalidade significa as características ou o conjunto de características que distingue
uma pessoa”(BIONI, 2018,p.63, apud HOUAISS, Antonio; VILLAR, Mauro de Salles. Op. cit., p.
1.480)
68

Os direitos da personalidade são aqueles que tutelam a per-

sonalidade humana26 em todas as suas manifestações27. No passado,
não encontravam guarida no direito subjetivo, muito voltado a ques-
tões patrimonialistas28. No Brasil, com o projeto de Código Civil de
Orlando Gomes, ganharam capítulo próprio, projetando o foco nas
questões humanas e na repersonalização do Direito Civil brasileiro.
Foram então consagrados pelo Art. 5º da Constituição Federal de
1988, fazendo parte do rol dos direitos e garantias fundamentais.
Uma de suas manifestações, o direito à privacidade, está presente no
inciso X, in verbis:
X - são invioláveis a intimidade, a vida privada, a honra
e a imagem das pessoas, assegurado o direito a indeni-
zação pelo dano material ou moral decorrente de sua
violação.
Outros comandos constitucionais do Art. 5º possuem previsão

para garantia destes direitos, entre eles os incisos XI, XII, XIV e LXXII.
Dentre as fontes doutrinárias consagradas, trazemos a concei-
tuação dos direitos da personalidade, na palavra de Maria Helena Diniz:
Direitos subjetivos da pessoa de defender o que lhe é
próprio, ou seja, a sua integridade física (vida, alimen-
tos, próprio corpo vivo ou morto, corpo alheio vivo ou
26 “O respeito à dignidade humana encontra-se em primeiro plano entre os fundamentos

constitucionais pelos quais se orienta o ordenamento jurídico brasileiro na defesa dos
direitos da personalidade (CF, art1º, III).”GONÇALVES, Direito Civil Brasileiro - Volume I:
Parte Geral.
27 “A concepção dos direitos da personalidade apoia-se na ideia de que, a par dos direitos
economicamente apreciáveis, destacáveis da pessoa de seu titular, como a propriedade ou
o crédito contra um devedor, outros há, não menos valiosos e merecedores da proteção da
ordem jurídica, inerentes a pessoa humana e a ela ligados de maneira perpétua é permanente.
São os direitos da personalidade cuja, existência tem sido proclamada pelo direito natural,
destacando-se, dentre outros, o direito à vida, à liberdade, ao nome, ao próprio corpo, à
imagem e à honra.” Ibid.
28 “O reconhecimento dos direitos de personalidade como categoria de direito subjetivo é
relativamente recente, como reflexo da Declaração dos Direitos do Homem, de 1789, e de
1948, das Nações Unidas, bem como da Convenção Europeia de 1950.”Ibid.
69

morto, partes separadas do corpo vivo ou morto); a sua

integridade intelectual (liberdade de pensamento, autoria
científica, artística e literária); e a sua integridade moral
(honra, recato, segredo profissional e doméstico, identi-
dade pessoal, familiar e social). 29
São direitos inalienáveis, intransmissíveis e irrenunciáveis, que

extrapolam a mera noção de direito à privacidade. Estão previstos
no Código Civil de 2002, do Art. 11 ao Art. 21, em um rol não exaus-
tivo (numerus apertus), razão pela qual é considerado um direito
geral, “aberto”, podendo ser expandido para além de uma revisão
normativa específica, abarcando toda a complexidade humana, sen-
do capaz de se moldar de acordo com a necessidade e evolução da
sociedade.
Quando falamos sobre proteção de dados pessoais, uma das
primeiras palavras que vem à mente é privacidade. No Direito, este ter-
mo foi, durante muito tempo, significado de preservação da intimidade
e do direito de ser deixado só, algo que constitui uma visão mais indivi-
dualista. Mas é essa visão acerca da privacidade delineou os contornos
para considerá-la como aspecto fundamental do desenvolvimento da
personalidade da pessoa30.
Nos anos setenta, Alan Westin, professor da Universidade de
Columbia propôs um modelo que previa três tipos de ameaças à pri-
vacidade, todos de natureza tecnológica: vigilância física (captação de
som através de microfones, por exemplo), psicológica e a vigilância dos
dados pessoais31. Atualmente, com todo avanço tecnológico que nos
permeia, todas estas ameaças se concentram na vigilância dos dados
pessoais, sejam estes relacionados a nossa voz, imagem, manifesta-
ções, expressões ou comportamentos.
29 Ibid.
30 DANILO, Da Privacidade à Proteção de dados pessoais.
31 Ibid.
70

Assim, na sociedade da informação, submetidos a uma eco-

nomia que tem os dados como principal ativo, tal conceito32 ganhou
novos contornos e maior abrangência, se expandindo e alcançando um
patamar de direito fundamental.
De acordo com Ana Frazão, na taxonomia criada por Daniel So-
love em 2008, o autor defende que não há um conceito essencial para
a definição de privacidade. Assim, ele propõe uma segmentação em
quatro grupos principais de atividades: coleta de dados; processamen-
to de dados (envolve como a informação é armazenada, manipulada
e usada); disseminação da informação; e invasão.33 Cada uma destas
atividades tem desdobramentos, por exemplo, quando menciona
coleta, cita o caso da vigilância sobre nossos dados; na disseminação,
cita casos de exposição e distorção dos dados; na invasão, menciona
a interferência decisional, que é a influência nas decisões do titular em
relação a seus assuntos privados.34
Tais ideias não são exatamente recentes. Antes da taxonomia
proposta por Solove, e alguns anos antes da promulgação de nossa
Carta Magna, um acontecimento histórico na Alemanha dos anos 80,
um verdadeiro “divisor de águas”, deu origem a uma nova compreensão
acerca da proteção de dados pessoais. Uma série de reclamações rela-
32 Segundo Ana Frazão, “A literatura atual sobre privacidade tem destacado, quase que de
forma unânime, que a noção tradicional de privacidade, restrita à intimidade e ao direito
de ser deixado só, não é mais compatível com a complexidade dos desafios inerentes à
economia movida a dados e à vigilância” FRAZÃO, Ana;, Objetivos e alcance da Lei Geral de
Proteção de Dados, in: A Lei Geral de Proteção de Dados Pessoais e suas Repercussões no
Direito Brasileiro, 1o. São Paulo: Thomson Reuters - Revista dos Tribunais, 2019, p. 99–129.
33 BIONI, Proteção de dados Pessoais. A função e os limites do consentimento.
34 Assim, a privacidade atualmente tem sua definição além da intimidade e o direito de ser
deixado só, abrangendo as informações que digam respeito ao sujeito, a autodeterminação
informativa, o direito a não discriminação, a liberdade, igualdade, o direito ao acesso e
acompanhamento dos dados pessoais. FRAZÃO, Objetivos e alcance da Lei Geral de Proteção
de Dados.
71

tivas à lei de recenseamento35, levou o Tribunal Constitucional Alemão

a declará-la parcialmente inconstitucional.
Esta decisão, paradigmática, inaugurou a visão da proteção dos
dados pessoais como um direito de personalidade autônomo e a auto-
determinação informativa como um de seus mais relevantes princípios.
Basicamente, estabelece que o cidadão deve ter o controle sobre seus
dados pessoais, ou seja, autodeterminá-los. A decisão define que o uso
(seja ele público ou privado) das informações do cidadão não pode
afetar o livre desenvolvimento de sua personalidade.
É sob esta perspectiva de projeção ou extensão da persona-
lidade da pessoa humana que se inserem os dados pessoais como
uma das manifestações dos direitos de personalidade. Assim, uma
visão mais moderna da privacidade extrapola o âmbito do que é
apenas íntimo ou privado, abrangendo dados pessoais tratados em
qualquer esfera, pública ou privada, e sob diversos aspectos como,
por exemplo, a finalidade do tratamento, a qualidade e exatidão dos
dados e a necessidade de coleta, processamento e armazenamento
destes dados e quais impactos o tratamento pode gerar na vida das
pessoas.
Até aqui algumas reflexões são possíveis baseado no que já vi-
mos. Avanço tecnológico exponencial que possibilita coleta de grandes
volumes de dados pessoais, técnicas de processamento, combinação,
cruzamento destes dados, resultam em maior qualidade e precisão
no uso dos dados, permitindo a transformação e evolução do mundo
como conhecemos.
35 “A lei do Censo Alemã (Volkszahlunsgesetz) de 1983 determinou que os cidadãos

fornecessem uma série de dados pessoais para mensurar estatisticamente a distribuição
espacial e geográfica da população. A referida lei previa, contudo, a possibilidade que os
dados pessoais fossem cruzados com outros registros públicos para a finalidade genérica
de “atividades administrativas” BIONI, Proteção de dados Pessoais. A função e os limites do
consentimento.
72

Todavia, do outro lado da moeda, o preço que se paga é o uso

indiscriminado ou inseguro de nossas informações pessoais, algo
que pode resultar em diversas formas de prejuízo para as pessoas.
Apropriação ou divulgação desautorizada que excede as expectativas
do indivíduo, distorções resultantes do uso de técnicas incorretas ou
erros humanos, perda de confiança ou exposição resultantes falhas na
implementação de controles de segurança, estigmatização de indiví-
duos, fraudes, são apenas alguns exemplos de impactos que podem
nos afetar.
De acordo com Doneda, no campo legislativo e jurisprudencial,
há pouco mais de 40 anos iniciaram-se os esforços para criação de
uma disciplina da proteção dos dados pessoais, herdeira da disciplina
da privacidade, adaptada ao estado tecnológico em constante avanço.
O autor utiliza o recurso de classificação por gerações para explicar o
avanço destes sistemas de proteção de dados, as quais veremos a seguir.
Uma primeira geração de leis, surgidas na década de 1970 eram
muito voltadas ao controle de coletas de dados realizados pelo Estado
(órgãos públicos e outras estruturas administrativas) para formação
de seus bancos de dados, realizadas de forma quase ilimitada, onde se
podiam identificar ameaças a direitos e garantias fundamentais dos ci-
dadãos. São exemplos destas leis, a Lei do Land alemão de Hesse (1970);
o Privacy Act nos Estados Unidos (1974); a lei federal da República
Federativa da Alemanha sobre proteção de dados (1977). Se tornaram
obsoletas em razão do excessivo foco no controle das autorizações
para formação destas bases de dados.
A segunda geração de leis, inaugurou uma visão mais estrutura-
da sobre a privacidade e proteção de dados como uma liberdade a ser
exercida pelo cidadão, fornecendo ferramentas para que este pudesse
identificar usos indevidos ou abusivos e exercer individualmente tal
tutela. Surgiram após a metade da década de 70 e tem como exemplos,
73

a lei francesa de proteção de dados pessoais (1978) e a lei austríaca

(1978). Tais instrumentos foram superados porque percebeu-se que
em muitos casos o tratamento de dados pessoais representava aspec-
to essencial da vida em sociedade e que uma interrupção nestes fluxos
poderia representar sérios impactos para o indivíduo.
Avançou-se então, para uma visão mais complexa acerca da
inserção do indivíduo na sociedade e que enfatiza a participação deste
nos diversos contextos em que seus dados precisam ser coletados
e tratados. Ou seja, mais do que puramente conceder a liberdade de
autorizar ou não o tratamento de seus dados, era preciso avaliar quan-
do seria possível decidir livremente por não os fornecer e em quais
situações a coleta e processamento de tais dados eram imprescindíveis
para o exercício de outros direitos em sociedade. O grande marco desta
terceira geração de leis ou jurisprudências foi a decisão, já mencionada,
do Tribunal Constitucional Alemão, chave na criação do conceito da
autodeterminação informativa. O problema que aqui se aponta diz res-
peito à pouca disposição das pessoas, por diversas razões, em buscar o
exercício deste princípio.
A quarta geração, formada pelas leis atuais de vários países, en-
tre elas a GDPR e a LGPD, buscou evoluir com o aprendizado adquirido
com as gerações passadas, reforçando os direitos dos indivíduos face
às entidades que tratam os dados, constatando o claro desequilíbrio de
forças existente nesta relação. Outras características destas leis são a
criação de autoridades de proteção de dados, com poderes regulató-
rios e fiscalizatórios, e a criação de normas específicas de proteção de
dados em diversos setores.
Toda esta evolução levou o direito à proteção de dados, assim
como o direito à privacidade, a ser consolidado, pela doutrina e pela
jurisprudência, com uma das manifestações dos direitos de perso-
nalidade. Foi responsável ainda pela sedimentação de um conjunto
74

de regras e princípios comuns, construídos a partir da convergência

nas discussões sobre a matéria e são encontrados na maioria das leis
atuais sobre o tema. Entre estes princípios, alguns representam a
espinha dorsal desta expressão. São eles: Princípio da Publicidade ou
Transparência, reforçando a necessidade de divulgação e clareza sobre
a existência e a forma do tratamento dos dados pessoais; Princípio
da exatidão, que preconiza que os devem ser corretos, atualizados
quando necessário, representando a realidade e verdade; Princípio da
finalidade, através do qual fica obrigado o ente que trata aos dados a
buscar justificar os propósitos deste tratamento, que devem ser legais
e legítimos; Princípio do livre acesso, que franqueia ao indivíduo o
acesso aos dados relacionados a sua pessoa; e Princípio da Segurança
Lógica e física, que busca reforçar a necessidade do uso de todas as
salvaguardas e medidas tecnológicas possíveis para proteger os dados
contra incidentes que impactem a confidencialidade, integridade e
disponibilidade destes dados.
No Brasil, em 14 de agosto de 2018 foi promulgada a Lei Geral de
Proteção de Dados (LGPD), inspirada na estrutura do Regime Geral de
Proteção de Dados (RGPD) da União Europeia, ambas compartilham
boa parte das construções e aprendizados oriundos de todo o processo
histórico evolutivo das décadas anteriores. Suas bases, fundadas no
princípio da autodeterminação informativa e no respeito à privacidade,
se apoiam também na liberdade de expressão e na livre iniciativa. Ambas,
através das hipóteses elencadas que autorizam o tratamento dos dados
pessoais, buscam implementar o equilíbrio entre as inevitáveis e neces-
sárias atividades de tratamento de dados pessoais, no âmbito público
ou privado, e a garantia dos direitos dos direitos e liberdades individuais,
protegendo os dados e respeitando o direito fundamental à privacidade.
Assim, a LGPD define, em 10 capítulos, os conceitos chave de
dado pessoal, dado pessoal sensível - aquele cujo tratamento pode re-
75

presentar maior potencial discriminatório -; agentes de tratamento de

dados pessoais (controlador e operador) e suas obrigações; direitos dos
titulares; governança, segurança da informação; além de responsabilida-
de civil e sanções administrativas entre muitas outras regras.
Para consagrar a importância e a definitiva sedimentação do
marco legal de proteção de dados, também no Brasil, no ano de 2019,
um ano após a promulgação da LGPD, é encaminhada a Proposta de
Emenda Constitucional 17/2019 que cujo principal objetivo foi a promo-
ção da proteção dos dados pessoais ao status de direito fundamental,
possibilitando que a União, que já possuía competência para organizar e
fiscalizar o tratamento de dados pessoais, contasse com a retaguarda da
Constituição da República através de uma cláusula pétrea.
A proposta do senador Eduardo Gomes reconhece os avanços
tecnológicos como pilar essencial do nosso tempo, na promoção da
atividade econômica e livre iniciativa, em uma nova sociedade informa-
cional com diversos reflexos positivos na qualidade de vida. Por outro
lado, elenca elementos que precisam ser equilibrados, sejam eles éticos,
morais, entre outros aspectos, essenciais no combate aos excessos e
abusos que uso sem limites de nossos dados podem causar.
Diversos países, como Portugal, Estônia, Polônia e Chile, cons-
titucionalizaram a proteção de dados pessoais. No Brasil, aprovada no
Congresso Nacional, foi publicada em 10 de fevereiro de 2022 como
Emenda Constitucional nº 115, tendo sido incluído o inciso LXXIX no Art.
5º da Constituição, in verbis:
É assegurado, nos termos da lei, o direito a proteção de
dados pessoais, inclusive nos meios digitais.
Desta forma, os desafios que se apresentam atualmente são ou-

tros. Além da já esperada dedicação da doutrina do Direito e da jurispru-
dência no sentido de preencher as lacunas interpretativas que se apre-
sentam, a Autoridade Nacional de Proteção de Dados, legitimada como
76

órgão da administração pública responsável por zelar, implementar e

fiscalizar o cumprimento da LGPD, busca ocupar seu espaço regulatório,
evoluindo, dentro de suas possibilidades estruturais, na elaboração de
orientações e regulamentos relativos ao tema. Destas fontes emanam o
arcabouço necessário à adequação de empresas e entidades estatais aos
ditames do regime de proteção de dados impostos pela LGPD, um novo
paradigma ao qual todos estamos submetidos e que terá sua importância
cada vez mais reforçada.
6. CONCLUSÃO
Muitas áreas do conhecimento evoluem e se adaptam, acom-
panhando o avanço da sociedade ao longo do tempo. O que nos trouxe
até o patamar atual dos sistemas jurídicos de privacidade e proteção
de dados está intimamente vinculado a uma das maiores e mais rápidas
transformações que a humanidade já sofreu, a tecnológica. Há uma
evidente e premente necessidade de conjugar diferentes áreas do saber
para que possamos evoluir e vencer os atuais desafios sobre o tema da
privacidade e proteção de dados. Não há como ficar restrito apenas ao
Direito. Saber traduzir questões jurídicas em boas práticas tecnologica-
mente implementáveis ou conjugar avanços e limites tecnológicos com
as necessidades de evolução do Direito são parte dos atuais desafios
para o ecossistema de privacidade e proteção de dados.
Apesar dos evidentes avanços das leis de privacidade e proteção
de dados de quarta geração, gerados a partir do reconhecimento dos
desdobramentos dos direitos de personalidade como direitos funda-
mentais, é importante perceber que se trata de uma nova cultura a ser
internalizada em instituições e disseminada entre os indivíduos, algo que
leva tempo. Em uma era de grandes desigualdades sociais e necessidades
críticas do ponto de vista social, econômico e político, atingir o equilíbrio
entre a privacidade e proteção dos dados pessoais e a livre iniciativa e
inovação, potencializa o desafio.
77

Ademais, alguns países vêm criticando, por exemplo, o atual mo-

delo legislativo de proteção de dados Europeu (GDPR), alegando que as
regras atuais não favorecem36 a competição e inovação para crescimento
econômico, nem tampouco facilitam o avanço de tecnologias que fazem
uso intensivo de dados, criando grandes volumes de documentos, proces-
sos e controles de conformidade, que gera muitos custos para as empresas,
além de dificultar o compartilhamento de dados entre os países. É o caso
do Reino Unido, que ao deixar o bloco europeu no final de 2020, iniciou
um processo de consultas que chamou de “Data: A new Direction”37, para
simplificação e aprimoramento da regulação sobre o tema, com intuito de
facilitar o avanço tecnológico, inovação e reduzir custos.
Além dos desafios jurídicos e políticos, outras nuances, com forte
dependência tecnológica apontam no horizonte, provocando grande
fonte de debates no campo ético. É o exemplo do tratamento de dados
biométricos, intrinsecamente vinculados a características físicas dos
indivíduos, muito utilizados para propósitos de cumprimento legal em
situações de segurança nacional, passaportes, controle migratório, e que
vem sendo cada vez mais utilizados como componentes de soluções no
mercado privado, como forma de aprimorar métodos de autenticação.
No Brasil, apesar do importante reforço no reconhecimento
do direito fundamental a proteção de dados, a LGPD vem enfrentando
grandes desafios e gerando movimentos e investimentos para criação
de novas estruturas de governança que sejam capazes de consolidar as
obrigações da lei. Um movimento que já se iniciou há muitos anos nos
Estados Unidos e nos países que compõe a União Europeia, que vem de-
36 SIMONS-SIMONS, The UK GDPR - A New Regulatory Regime, disponível em: <https://www.

simmons-simmons.com/en/publications/ckto6rw2z16s70a12nmf07fny/the-uk-gdpr---a-
new-regulatory-regime>, acesso em: 6 jun. 2022.
37 DEPARTMENT FOR DIGITAL, CULTURE, Media & Sport, Data: a new direction, disponível
em: <https://www.gov.uk/government/consultations/data-a-new-direction>, acesso em:
6 jun. 2022.
78

senvolvendo a cultura de privacidade e proteção de dados e aprimorando

seus mecanismos.
Portanto, muito se caminhou e muito ainda há para caminhar em
relação a forma como nossa sociedade cuida de todos os aspectos rela-
cionados a esta nova disciplina de privacidade e proteção de dados, algo
que envolve um grande esforço, necessário, dotado de irretroatividade,
que movimentará Estado e iniciativa privada, criando novas práticas de
governança e gestão, carreiras, processos e leis. São as cenas dos próxi-
mos capítulos.
REFERÊNCIAS
BIONI, Bruno. Proteção de dados Pessoais. A função e os limites do consen-
timento. 1a edição. Rio de Janeiro: Editora Forense LTDA, 2018.
DANILO, Doneda. Da Privacidade à Proteção de dados pessoais. 2a edição. [s.
l.]: Revista dos Tribunais, 2019.
DEPARTMENT FOR DIGITAL, CULTURE, Media & Sport. Data: a new direc-
tion. Disponível em: https://www.gov.uk/government/consultations/data-a-
-new-direction. Acesso em: 6 jun. 2022.
EQUIPE TOTVS. Data analytics: o que é, tipos e aplicações nas empresas.
Disponível em: https://www.totvs.com/blog/negocios/data-analytics/. Aces-
so em: 13 maio 2022.
FRAZÃO, Ana; Objetivos e alcance da Lei Geral de Proteção de Dados. In: A Lei
Geral de Proteção de Dados Pessoais e suas Repercussões no Direito Brasi-
leiro. 1o. São Paulo: Thomson Reuters - Revista dos Tribunais, 2019, p. 99-129.
FRAZÃO, Ana. Fundamentos da proteção dos dados pessoais - Noções
introdutórias para a compreensão da importância da Lei Geral de Proteção
de Dados. In: Lei Geral de Proteção de Dados e suas repercussões no Direito
Brasileiro. [s.l.]: Thomson Reuters - Revista dos Tribunais, 2019, p. 23 a 52.
FREITAS, Hyndara. Judiciário brasileiro tem ao menos 72 projetos de inteli-
gência artificial nos tribunais. p. 1-5, 2020. Disponível em: https://www.jota.
info/coberturas-especiais/inova-e-acao/judiciario-brasileiro-tem-ao-me-
79

nos-72-projetos-de-inteligencia-artificial-nos-tribunais-09072020. Acesso
em: 6 jun. 2022.
GONÇALVES, Carlos Roberto. Direito Civil Brasileiro - Volume I: Parte Geral.
14a. São Paulo: [s.n.], 2016.
I2AI. O que é Inteligência Artificial? Glossário de Inteligência Artificial.
Disponível em: https://www.youtube.com/watch?v=lp0d9y9L5vU&t=18s.
Acesso em: 4 maio 2022.
KOERNER, Andrei. Capitalism and Digital Surveillance in Democratic Society.
Revista Brasileira de Ciências Sociais, v. 36, n. 105, p. 1–6, 2021.
LOUIS COLUMBUS. 10 Charts That Will Change Your Perspective of Big Data’s
Growth. Forbes, p. 1-12, 2018. Disponível em: https://www.forbes.com/sites/
louiscolumbus/2018/05/23/10-charts-that-will-change-your-perspective-
-of-big-datas-growth/#56eca69b2926. Acesso em: 6 jun. 2022.
MARTINS, Karine. O que é a Indústria 4.0. Disponível em: https://www.politi-
ze.com.br/o-que-e-industria-4-0/. Acesso em: 4 maio 2022.
SARMENTO, Daniel. Dignidade da Pessoa Humana- Conteúdo, Trajetórias e
Metodologia. 2a. Belo Horizonte: [s.n.], 2016.
SENSEVER. Perfilização ou profiling: o que é isso? Disponível em: http://lgpd.
entremates.com.br/2019/12/09/perfilizacao-ou-profiling-o-que-e-isso/.
Acesso em: 6 jun. 2022.
SIMONS-SIMONS. The UK GDPR - A New Regulatory Regime. Disponível
em: https://www.simmons-simmons.com/en/publications/ckto6rw2z-
16s70a12nmf07fny/the-uk-gdpr---a-new-regulatory-regime. Acesso em:
6 jun. 2022.
SUL, UCS - Universidade de Caxias do. Big Data: o que é, para que serve, como
aplicar e exemplos. Disponível em: <https://ead.ucs.br/blog/big-data>.
TEPEDINO, Gustavo; FRAZÃO, Ana; DONATO OLIVA, Milena. Lei Geral de
Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. 1a
Edição. São Paulo: Thomson Reuters - Revista dos Tribunais, 2019.
THE ECONOMIST. The world ’s most valuable resource is the world’s most
valuable resource is no longer oil, but data. p. 1–10, 2017. Disponível em: ht-
tps://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-
-resource-is-no-longer-oil-but-data. Acesso em: 6 jun. 2022.
80
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
ESTABELECENDO UMA COMUNICAÇÃO
EFETIVA COM O TITULAR DE DADOS
PESSOAIS
Marco Antônio Bazzanella Fontoura

Rosemberg Augusto Pereira Rodrigues
Resumo:
A Lei Geral de Proteção de Dados Pessoais definiu responsabilidades, obrigações e
sanções - inclusive pecuniárias, buscando compatibilizar a hipossuficiência do titular de
dados com a atribuição de maior encargo ao controlador, pois é quem detém o poder de
decisão no tratamento dos dados pessoais. Compete a ele a adoção de medidas técnicas
e administrativas voltadas a garantir que os direitos dos titulares de dados pessoais sejam
efetivamente assegurados, tendo papel relevante o Encarregado de dados. Uma conexão
positiva entre controlador e titular de dados, observados os princípios dispostos na lei,
favorece o equilíbrio entre o dever de preservar a autodeterminação informativa e o
sucesso das relações negociais baseadas em tratamento de dados pessoais.
Palavras-chave: Comunicação com titulares de dados. LGPD. Privacidade. Proteção
de dados. Direito dos Titulares. Autodeterminação Informativa. Livre Acesso.
Transparência. Boa-fé. Acesso a dados. Direitos ARCO. Encarregado. Estudo de Caso.
Fluxo informacional.
Abstract:
The General Data Protection Law defined responsibilities, obligations and sanctions
including pecuniary ones, seeking to reconcile the data subject’s hyposufficiency
with the attribution of a greater burden to the controller, as it is the one who has the
decision-making power in the treatment of personal data. It is incumbent upon him
to adopt technical and administrative measures aimed at ensuring that the rights
of the holders of personal data are effectively ensured, with the Data Controller
having a relevant role. A positive connection between controller and data subject, in
compliance with the principles set out in the Law, favors a balance between the duty to
preserve informational self-determination and the success of business relationships
based on the processing of personal data.
82
82
Keywords: Communication with data subjects. LGPD. Data protection. Right of

Owners. Informational Self-Determination. Free access. Transparency. Good faith.
Data access. ARC Rights. In charge. Case study. Informational flow.
1. INTRODUÇÃO
A facilidade de aquisição de dispositivos móveis no dia a dia da
população em geral e o baixo custo dos serviços para conectá-los à in-
ternet fez com que a vigilância se torne um comportamento esperado
pela hodierna sociedade (BAUMAN, 2013, p. 11).
Os dados são extremamente relevantes na construção dos pla-
nejamentos estratégicos das corporações modernas. A conectividade
oferecida por diversos serviços na rede mundial de computadores fez
com que o fluxo de dados aumentasse exponencialmente.
Um poder surge a partir do controle desse fluxo de dados que
extrapola fronteiras geopolíticas e toma proporções mundiais. Coletar,
transformar e monitorar dados objetivando inferir comportamentos
e influenciar o uso dos serviços digitais é um mecanismo comum por
empresas de diversos segmentos que possuam negócios digitais.
Cria-se um cenário promissor para datificação e uso de tecnolo-
gias capazes de manipular esse alto volume de dados como tecnologias
de Big Data. São realidades que possuem forte associação e desenham
um contexto político, econômico e social propício para exploração cada
vez mais ostensiva dos dados disponibilizados na rede mundial de com-
putadores (BOTELHO e CAMARGO, 2021, p. 552).
O evento de datificação é o registro em meio digital de todo e
qualquer evento (AMARAL, 2016, p. 10). Portanto, a datificação pode
ser conceituada como centralização de dados da vida rotineira, impac-
tando nas relações comunicacionais (GROHMANN, 2019, p. 106). A
datificação evidencia um procedimento de mudança de diversas face-
tas da vida em representações digitais, característica que na era digital
83
implica na produção de dados e em rastros digitais (O’NEIL e SCHUTT,

2014, p. 5).
Mas, claro, obter dados é apenas o início de uma longa jornada. O
tratamento desses dados, por questões legais e éticas, deve obedecer a
padrões que tragam equilíbrio entre o poder-dever dos Controladores
e os direitos dos titulares.
Os gestores das organizações ao implementarem programas
de governança que contemplem o tema da privacidade e proteção de
dados possuem o desafio de manter a relação “exploração econômica”
e “respeito aos direitos dos titulares” dentro dos parâmetros legais
estabelecidos pela lei e pelas entidades fiscalizadoras.
Uma das fases do tratamento de dados que mais reflete os
princípios que reforçam o direito à autodeterminação do titular é a
comunicação entre Controlador e o titular dos dados pessoais. É disto
que trataremos neste capítulo.
A Lei Geral de Proteção de Dados Pessoais - LGPD acrescentou

ao ecossistema-normativo uma série de medidas a serem adotadas
para regular o fluxo informacional. Dentre elas, ratificou uma carga
principiológica que traça diretrizes aos agentes de tratamento, com
maior repercussão ao controlador devido sua posição de tomada de
decisão para o tratamento de dados das pessoas naturais.
O crescimento da economia movida por dados é explicado pelo
avanço tecnológico e facilidades de acesso, em um mundo cada vez
mais interconectado (BIONI, 2021, p. 85-88). O ambiente regulatório
visa trazer ordem e organização, impondo limites e definindo requisitos
para que a circulação dos dados transcorra com segurança para os in-
divíduos. O raciocínio lógico aplicado à LGPD é que seus mandamentos
convirjam para a proteção dos dados da privacidade do titular.
84
Do ponto de vista prático, o processo de adequação à LGPD visa

não somente evitar sanções por parte da Autoridade Nacional de Prote-
ção de Dados - ANPD, de outros órgãos competentes ou de instâncias
do Poder Judiciário. Os desafios ao longo desse processo devem ser pau-
tados por exemplo, como oportunidades para melhoria da governança,
do fluxo de dados - estruturados e não estruturados, e de estabelecer ou
fortalecer o vínculo de confiança com o titular de dados.
Na abordagem do tema, é mister referir aos princípios boa-fé,
livre acesso, transparência e prestação de contas, reforçando a impor-
tância de sua aplicação prática na comunicação entre controlador e
titular. Por fim, serão apresentadas boas práticas para o atendimento
das requisições de titulares de dados, em face aos regramentos da
LGPD.
Considerando a necessidade de adequação das organizações
aos mandamentos legais, indaga-se como implementar um processo
de comunicação efetivo com o titular de dados pessoais?
1.2 OBJETIVOS
O objetivo geral é descrever as melhores práticas, desde as

comunicações ostensivas, relativas à transparência ativa, até as etapas
preparatórias internas. A aplicação pode ser realizada tanto pelas pes-
soas jurídicas de direito privado quanto pelas de direito público.
Os objetivos específicos são:
I) Apresentar os princípios associados à comunicação com
o titular;
II) Analisar as fases do Programa de Governança de Privaci-
dade que subsidiam a comunicação com o titular; e
III) Propor o fluxo de resposta que viabilize o exercício dos
direitos do titular.
85
1.3 JUSTIFICATIVA
De início, algumas organizações entendiam o processo de ade-

quação à legislação de privacidade e proteção de dados pessoais como
uma questão de cumprimento das normas, de continuidade de suas
operações, redução de riscos patrimoniais e a sua imagem.
Porém, já é possível vislumbrar outros benefícios trazidos pelo
estreitamento da relação entre controladores e titulares de dados. A
confiança do titular quanto ao tratamento de seus dados é um fator
de fidelização, que influencia na manutenção e escolha de futuros
parceiros de negócios ou fornecedores, gera uma poderosa rede de
propaganda positiva e gratuita, consolida a posição da empresa no
mercado e incrementa seus lucros.
É esperado como resultado desse processo que a organização
desenvolva mecanismos para evidenciar que suas atividades transcor-
rem com transparência e responsabilidade, facultando ao titular meios
para ter conhecimento dessas informações.
Ao longo de seu texto, a LGPD apresenta vários dispositivos que
devem ser interpretados de forma harmônica com os princípios para
atender o propósito de proteger os direitos fundamentais de liberdade
e de privacidade e o livre desenvolvimento da personalidade da pessoa
natural (BRASIL, 2018).
A lei, na seção “Das Boas Práticas e Governança”, imputa aos
agentes de tratamento várias responsabilidades, dentre as quais,
implementar Programa de Governança em Privacidade que tenha o
objetivo de estabelecer relação de confiança com o titular, por meio de
atuação transparente e que assegure mecanismos de participação do
titular, conforme alínea “e”, inciso I do Art. 50 (BRASIL, 2018).
Como ainda não existe regulamentação nacional específica
indicando a forma que os agentes de tratamento devem implementar
86
a comunicação com o titular, consolidamos orientações dos Guias

Orientativos da ANPD, práticas internacionais, literatura acadêmica e
especializada associadas a práticas corporativas no intuito de alargar o
debate e de contribuir para a construção de mecanismos de comunica-
ção que atendam a requisitos legais, regulatórios e éticos.
O capítulo está estruturado em cinco seções. A primeira

descreve breve contexto histórico, o problema, os objetivos e a justi-
ficativa do tema motivador. A segunda apresenta o cenário atual e um
comparativo entre legislação e propostas internacionais e nacionais. A
terceira enumera o referencial metodológico quanto à classificação da
pesquisa, aos meios e aos fins a que se destina. A seção quatro descreve
a evolução histórica, a carga principiológica associada à comunicação
com o titular, os instrumentos de comunicação e o estudo de caso
retratando a comunicação na prática por meio da resposta a requeri-
mento do direito de acesso por um titular de dados. As conclusões são
apresentadas na quinta seção, na qual é descrita a correlação entre as
fases e as proposições de implementação e melhorias futuras.
2.1 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
A Constituição da República Federativa do Brasil de 1988

relaciona a proteção de dados pessoais à garantia da privacidade, pre-
vista no Art. 5º, X, e de acesso e retificação de informações de interesse
pessoal, previstos no Art. 5º, LXXII. No âmbito da legislação ordinária, a
Lei n.º 8.078/1990 - Código de Defesa do Consumidor inicia a tratativa
da temática, promovendo proteções jurídicas aos consumidores em
relação a banco de dados e cadastros empresariais.
87
Embora haja previsão normativa hodierna no ordenamento

jurídico brasileiro, percebe-se uma preocupação maior somente em
tempos recentes quanto ao tratamento dos dados pessoais dos cida-
dãos. Danilo Doneda (2019, p. 28) esclarece que esse cenário possui
relação com questões históricas associadas ao comportamento social,
uma vez que, outras inquietudes de mais importância no dia a dia dos
brasileiros fizeram com que a privacidade e a proteção de dados pesso-
ais fossem deslocadas para um interesse secundário.
A promulgação da Lei Geral de Proteção de Dados Pessoais
representa um avanço no marco regulatório sobre proteção de dados
pessoais no Brasil, seguindo os debates internacionais sobre a temá-
tica, além de evidenciar a problemática de ausência de controle sobre
dados pessoais e a utilização inadequada, com repercussões imediatas
e mediatas aos titulares.
É possível perceber diversos dados pessoais sendo expostos na
internet. Os interessados nesses dados conseguem extrair informa-
ções sobre os titulares que provavelmente estes não sabiam sobre si
mesmos, deste modo de vida a tendências de comportamento. Essa
previsibilidade faz com que as empresas aumentem sua capacidade
de armazenamento e processamento de dados, na busca de cenários
de inovação de produtos e serviços com a expectativa de atingir novos
mercados consumeristas.
A Lei Geral de Proteção de Dados Pessoais fortalece o debate
sobre uma mudança de cultura que incorpore a proteção de dados como
um de seus elementos. A sua efetiva implementação proporciona segu-
rança jurídica para o segmento empresarial, relação de confiança entre
controladores e titulares, além de contribuir com o desenvolvimento da
economia brasileira (MENDES e DONEDA, 2018, p. 469-483).
A Autoridade Nacional de Proteção de Dados possui papel
fundamental na implementação da Lei Geral de Proteção de Dados
88
Pessoais. A lei prevê expressamente a elaboração de diretrizes para a

Política Nacional de Proteção de Dados Pessoais e da Privacidade pau-
tadas nas diretrizes estratégicas do Conselho Nacional de Proteção de
Dados Pessoais e da Privacidade.
2.2 REGULAMENTO GERAL SOBRE PROTEÇÃO DE DADOS
O Regulamento Geral sobre Proteção de Dados, ou General

Data Protection Regulation – GDPR, foi um dos instrumentos que
inspiraram a formulação da legislação brasileira de proteção de dados
pessoais (OCDE, 2020, p. 126). Assim, muitos conceitos são semelhantes
permitindo o aprendizado com as práticas adotadas pelo regulamento
europeu, como demonstram os considerados1 transcritos a seguir:
Considerando 39: [...] O princípio da transparência exige
que as informações ou comunicações relacionadas com
o tratamento desses dados pessoais sejam de fácil acesso
e compreensão, e formuladas numa linguagem clara e
simples. Esse princípio diz respeito, em particular, às
informações fornecidas aos titulares dos dados sobre a
identidade do responsável pelo tratamento dos mesmos
e os fins a que o tratamento se destina, bem como às in-
formações que se destinam a assegurar que seja efetuado
com equidade e transparência para com as pessoas sin-
gulares em causa, bem como a salvaguardar o seu direito a
obter a confirmação e a comunicação dos dados pessoais
que lhes dizem respeito que estão a ser tratados. (UNIÃO
EUROPEIA, 2016).
Considerando 59: Deverão ser previstas regras para facili-
tar o exercício pelo titular dos dados dos direitos que lhe
são conferidos ao abrigo do presente regulamento, incluin-
do procedimentos para solicitar e, sendo caso disso, obter
a título gratuito, em especial, o acesso a dados pessoais, a
1 Considerados (ou Recitals, em inglês) são explicações constantes do GDPR que fornecem
detalhes e contexto de apoio para complementar o entendimento dos Arts. daquele
regulamento (ABA, 2019).
89
sua retificação ou o seu apagamento e o exercício do direito

de oposição. O responsável pelo tratamento (controlador)
deverá fornecer os meios necessários para que os pedidos
possam ser apresentados por via eletrônica, em especial
quando os dados sejam também tratados por essa via. [...]
(UNIÃO EUROPEIA, 2016)
O Guideline 01/2022 Direito dos Titulares de Dados – Direito

de Acesso (EDPB, 2022) é referenciado neste trabalho, e foi submetido
à consulta pública pelo European Data Protection Board – EDPB2 de
janeiro a março de 2022.
Embora esse guia faça considerações acerca da requisição do
titular de dados e do direito de acesso face ao regulamento europeu,
suas orientações podem ser muito úteis aos agentes de tratamento
aqui no Brasil, mais especificamente ao controlador, enquanto não
houver a normatização específica por parte da ANPD.
2.3 AUTORIDADE NACIONAL DE PROTEÇÃO DE

DADOS – ANPD
A competência para expedição de atos normativos e orientações

sobre privacidade e proteção de dados pessoais cabe à ANPD3. Quanto à
temática sobre direitos dos titulares de dados pessoais, a expectativa de
regulamentação é o segundo semestre de 2022 (ANPD, 2021).
Por ter sido criada recentemente, a ANPD está em fase de es-
truturação, e optou por adotar estratégia similar ao EDBP no contexto
europeu.
2 O European Data Protection Board – EDPB, ou Conselho Europeu de Proteção de Dados

(EDPB, 2022), é um órgão independente estabelecido pelo GDPR que promove a cooperação
entre as autoridades de proteção de dados da comunidade europeia para a aplicação efetiva
do regulamento. Realiza consultas públicas e divulga guias, recomendações e melhores
práticas para padronizar o entendimento e aplicação da legislação de proteção de dados.
3 A Portaria N.º 1, de 8 de março de 2021, publicada pelo Conselho Diretor da ANPD, estabeleceu
o Regimento Interno desse órgão e elencou as matérias que serão objeto de regulamentação.
90
Seus Guias Orientativos servem de apoio aos agentes de trata-

mento, titulares e demais interessados em conhecer a legislação e sua
aplicação prática e sem dúvida, deverão nortear as regulamentações
futuras e ajustes legais.
Para os propósitos deste trabalho, destacamos a primeira parte
do dispositivo da LGPD a seguir:
Art. 55-J. Compete à ANPD:
XIII - editar regulamentos e procedimentos sobre pro-
teção de dados pessoais e privacidade, bem como sobre
relatórios de impacto à proteção de dados pessoais para
os casos em que o tratamento representar alto risco à
garantia dos princípios gerais de proteção de dados pes-
soais previstos nesta Lei; (BRASIL, 2018)
A ANPD é a responsável por normatizar e fiscalizar a proteção

de dados pessoais. Destaca-se a competência de dispor sobre as for-
mas de publicidade das operações de tratamento de dados pessoais,
respeitados os segredos comercial e industrial. Na atualidade, não há
normativo que oriente tal atividade.
2.4 NORMAS TÉCNICAS ABNT ISO/IEC
Embora as normas ABNT ISO/IEC não possuam força normati-

va e não substituam leis ou outros instrumentos regulamentares, apre-
sentam conteúdo técnico aceitos e difundidos internacionalmente,
servindo ao propósito orientador de implementar boas práticas para o
processo de comunicação com o titular de dados.
A seção 7 Diretrizes adicionais do normativo “ABNT NBR ISSO/
IEC 27701 para controladores de DP” é desdobrada em dez subseções
para apoiar o controle do cumprimento das obrigações pelos Contro-
ladores em relação aos titulares de dados pessoais.
Exemplificativamente enumeramos alguns parâmetros para
que a organização:
91
I) disponibilize meios apropriados para atender ao titular

de dados pessoais e controles para sua implementação;
II) mantenha registro dos propósitos para os quais os dados
são tratados;
III) forneça ao titular informações sobre o controlador e
descreva sobre o tratamento dos dados pessoais;
IV) crie mecanismos para os titulares obterem acesso a seus
dados;
V) estabeleça procedimentos para tratamento de requisi-
ções dos titulares; e
VI) documente de forma objetiva e de fácil acesso (ABNT,
2019).
A norma técnica “ABNT NBR ISO/IEC 29184:2021” traz seções
específicas sobre Aviso de Privacidade on-line. Trata-se de um meio de
promover a transparência ativa.
As subseções da seção 5.3 abordam a participação do titular
de dados pessoais no exercício de seus direitos, especificando, por
exemplo:
I) os meios para o titular fazer sua solicitação;
II) como autenticá-lo antes de ter acesso aos dados e de
modo a evitar divulgação inadequada; e
III) circunstâncias em que não se pode alterar ou excluir as
informações (ABNT, 2021).
Destacamos também à similaridade entre a seção 5 da norma
ABNT NBR ISO/IEC 29100:2020 Tecnologia da Informação - Téc-
nicas de Segurança - Estrutura de Privacidade e os conceitos de
privacidade abordados na LGPD e GDPR, à luz dos princípios Aber-
tura, Transparência e Notificação e Participação individual e acesso
(ABNT, 2020).
92
Com o propósito de organizar a pesquisa, de forma objetiva

e consistente, foi realizada a sua classificação. Adotou-se como base
a taxonomia de Gil (GIL, 2017) para categorizar a pesquisa quanto
à sua finalidade, propósito geral e métodos empregados. Quanto à
finalidade, a pesquisa foi classificada como aplicada, uma vez que
busca apresentar e adaptar práticas ou abordagens de privacidade e
proteção de dados que possam ser empregadas na implementação dos
procedimentos de comunicação efetiva com o titular.
como descritiva, uma vez que seu objetivo é descrever e adaptar práti-
ca ou abordagem de privacidade e proteção de dados.
A pesquisa bibliográfica esteve amparada em artigos técnico-
-científicos, teses e dissertações, livros e publicações digitais das áreas
de educação, metodologia científica e gestão. Utilizou-se como meio a
base internacional de publicação científica SciELO.
A pesquisa foi organizada em etapas sequenciais. A primeira
etapa consiste em selecionar artigos científicos nacionais e internacio-
nais relevantes e atuais sobre o tema, publicados em revistas científicas
com Internacional Standard Serial Number (ISSN) e pelo menos um dos
autores possua titulação acadêmica Mestre ou Doutor. A segunda etapa
consiste em revisar a literatura pertinente ao tema. A terceira etapa con-
siste em elaborar os elementos pós-textuais. A quarta etapa consiste na
confecção dos elementos pré-textuais que compõem a plenitude da
pesquisa.
93
4. DESENVOLVIMENTO
4.1 CONTEXTO HISTÓRICO DOS DIREITOS DOS TITULARES
DE DADOS PESSOAIS
A necessidade de criar mecanismos para resguardar a priva-

cidade das pessoas foi reconhecida em meados do século passado,
quando foram introduzidos dispositivos voltados à proteção da vida
privada em instrumentos internacionais.
A ONU, em 1948, proclamou a Declaração Universal dos Direitos
Humanos e em 1950, o Conselho da Europa editou a Convenção para a
Proteção dos Direitos do Homem e das Liberdades Fundamentais nos
termos:
Ninguém sofrerá intromissões arbitrárias na sua vida
privada, na sua família, no seu domicílio ou na sua corres-
pondência, nem ataques à sua honra e reputação. Contra
tais intromissões ou ataques toda a pessoa tem direito a
proteção da lei (NAÇÕES UNIDAS, 1948).
Qualquer pessoa tem direito ao respeito da sua vida pri-
vada e familiar, do seu domicílio e da sua correspondência
(CONSELHO DA EUROPA, 1950).
Nesse mesmo sentido, a OCDE - Organização para Cooperação

e Desenvolvimento Econômico, visando regular o fluxo de dados entre
países, de modo a não afetar a economia e preservar os direitos huma-
nos fundamentais, publicou em 1980 as Diretrizes para a proteção da
privacidade e dos fluxos transfronteiriços de dados pessoais, revisadas
em 2013 e 2021.
Reconhecidas como o padrão mínimo global para a privaci-
dade e proteção de dados, essas diretrizes contém vários princípios
visando a remoção de obstáculos ao desenvolvimento informacional
(OCDE, 2022).
Em destaque, o Princípio da Participação do Indivíduo:
94
13. Um indivíduo deveria ter o direito de:

I) obter do controlador de dados, ou por outro meio, a
confirmação de que este possui ou não dados referentes
a ele;
II) de que lhe sejam comunicados dados relacionados a ele
a) dentro de um prazo razoável;
b) por um preço, caso houver, que não seja excessivo;
c) de maneira razoável; e
d) de modo prontamente compreensível para ele;
III) obter explicações caso for rejeitado um pedido feito
conforme o disposto nos subparágrafos 1 e 2, e ter meios
de contestar tal recusa; e
IV) contestar dados relacionados a ele e, se a contestação
for recebida, pedir que os dados sejam apagados, retifica-
dos, completados ou modificados. (OCDE, 2003)
Essas diretrizes serviram de inspiração para a produção de leis

de proteção da privacidade como a lei brasileira, que se baseou em
grande medida, no Regulamento Geral sobre a Proteção de Dados
(RGPD) da União Europeia, nas Diretrizes de privacidade da OCDE e na
Convenção 108 do Conselho da Europa (OCDE, 2020, p. 126).
A versão original já contemplava uma inovação no conceito
de dado pessoal como “qualquer informação relacionada com um
indivíduo identificado ou identificável (sujeito dos dados)” o mesmo
adotado no Art. 5.º, inciso I da LGPD (OCDE, 2022).
Na mesma linha, a Carta dos Direitos Fundamentais da União
Europeia, reconhecendo os direitos, liberdades e princípios dos indiví-
duos, dedicou artigo específico sobre proteção de dados pessoais:
Art. 8. Proteção de dados pessoais
I) Todas as pessoas têm direito à proteção dos dados de
caráter pessoal que lhes digam respeito;
II) Esses dados devem ser objeto de um tratamento legal,
para fins específicos e com o consentimento da pessoa
interessada ou com outro fundamento legítimo previsto
por lei. Todas as pessoas têm o direito de aceder aos
95
dados coligidos que lhes digam respeito e de obter a

respectiva retificação; e
III) O cumprimento destas regras fica sujeito a fiscaliza-
ção por parte de uma autoridade independente (UNIÃO
EUROPEIA, 2000).
No Brasil, a promulgação da Constituição Federal positivou o

direito à vida privada e o direito à intimidade, nos seguintes termos:
X - são invioláveis a intimidade, a vida privada, a honra e a
imagem das pessoas, assegurado o direito a indenização
pelo dano material ou moral decorrente de sua violação
(BRASIL, 1988).
Recentemente, a Emenda Constitucional 115/2022 alçou a

proteção de dados pessoais à direito fundamental, ratificando sua
importância social, in verbis:
LXXIX - é assegurado, nos termos da lei, o direito à pro-
teção dos dados pessoais, inclusive nos meios digitais
(BRASIL, 1988).
Uma vez reconhecidos constitucionalmente, é lógico de se

pensar que os direitos à privacidade e à proteção dos dados das pes-
soas naturais estão fortalecidos. No tocante aos direitos disponíveis a
titulares, é importante ressaltar que no âmbito interno, mesmo antes
da LGPD, outras leis já abordavam o tema, ainda que de forma reflexa.
O Código de Defesa do Consumidor, por exemplo, contempla disposi-
ções que se assemelham a direitos assegurados na LGPD, vide direitos
de acesso (Art. 43, caput) e de retificação (§3.º).
Art. 43. O consumidor, sem prejuízo do disposto no Art.
86, terá acesso às informações existentes em cadastros,
fichas, registros e dados pessoais e de consumo arquivados
sobre ele, bem como sobre as suas respectivas fontes.
§ 3.º O consumidor, sempre que encontrar inexatidão
nos seus dados e cadastros, poderá exigir sua imediata
correção, devendo o arquivista, no prazo de cinco dias
úteis, comunicar a alteração aos eventuais destinatários
das informações incorretas (BRASIL, 1980).
96
Destacamos que o Marco Civil da Internet (Lei 12.965/2014)

elencou dentre seus princípios norteadores a proteção da privacidade
(Art. 3.º, II) e proteção dos dados pessoais (Art. 3.º, III), enumerando
direitos dos usuários, similares ao direito de acesso previsto na LGPD,
in verbis:
Art. 7º O acesso à internet é essencial ao exercício da
cidadania, e ao usuário são assegurados os seguintes
direitos:
VIII - informações claras e completas sobre coleta, uso,
armazenamento, tratamento e proteção de seus dados
pessoais, que somente poderão ser utilizados para fina-
lidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de
serviços ou em termos de uso de aplicações de internet
(BRASIL, 2014).
A Lei do Cadastro Positivo (Lei 12.414/2011) também tratou

de direitos de acesso, de retificação ou cancelamento e revisão, nos
termos a seguir.
Art. 5º São direitos do cadastrado:
II) acessar gratuitamente, independentemente de justifi-
cativa, as informações sobre ele existentes no banco de
dados, inclusive seu histórico e sua nota ou pontuação de
crédito, cabendo ao gestor manter sistemas seguros, por
telefone ou por meio eletrônico, de consulta às informa-
ções pelo cadastrado;
III) solicitar a impugnação de qualquer informação sobre
ele erroneamente anotada em banco de dados e ter, em até
10 (dez) dias, sua correção ou seu cancelamento em todos
os bancos de dados que compartilharam a informação, e
VI) solicitar ao consulente a revisão de decisão realizada
exclusivamente por meios automatizados (BRASIL, 2011).
A retrospectiva demonstra que direitos para resguardar interes-

ses dos titulares de dados pessoais vêm sendo construídos há décadas.
97
A necessidade de expansão econômica, as demandas sociais e o apelo

para alargar os direitos da personalidade são vetores que impulsionam
a criação de legislações de proteção de dados ao redor do mundo.
Como exemplificado acima, a LGPD não foi de todo inovadora
quanto a estabelecer direitos aos titulares de dados, mas trouxe novos
contornos ao tema, mais equilíbrio na relação controlador-titular de
dados. Por meio de um arcabouço normativo mais robusto explicitou
deveres para os controladores, princípios claros a serem observados
em todas as interações com os titulares e sanções, inclusive pecuniá-
rias, bastante significativas.
4.2 PRINCÍPIOS BASILARES À COMUNICAÇÃO COM O

TITULAR
Um dos principais pilares de um Estado Democrático de Direito

é a confiança que a sociedade deposita no poder estatal. A transparên-
cia é um fator essencial para concretizar essa percepção.
A Constituição Federal de 1988, preconiza que o acesso à in-
formação é assegurado a todos, de acordo com o inciso XXXIII do Art.
5º - trata-se de direito subjetivo dos cidadãos de receber informações
(pessoais, coletivas ou de interesse geral) dos órgãos públicos.
O princípio da transparência ganhou força com a criação da
Lei de Acesso à Informação - LAI, importante marco para a democra-
tização da informação pública em nosso país. Ambos os instrumentos
mencionados vinculam apenas a Administração Pública, subordinada
às regras do direito administrativo.
Por outro lado, os princípios Boa-fé, Livre Acesso, Transpa-
rência, Responsabilização e Prestação de Contas, constantes no Art.
6.º da LGPD, devem ser aplicados tanto a agentes de tratamento
públicos quanto privados. Eles direcionam sua atuação no sentido
de que as informações sejam prestadas de maneira a demonstrar ao
98
titular sobre o efetivo uso de seus próprios dados pessoais, sendo

incompatível utilizar de subterfúgios para ocultar informações que
estão disponíveis e sejam possíveis de serem fornecidas.
Assim, a LGPD pronuncia que o controlador revele à pessoa
natural exatamente como seus dados são tratados, corroborando com
a autodeterminação informativa e a centralidade do titular. Dito de ou-
tro modo, é assegurado à pessoa natural o direito de saber sobre seus
dados pessoais, pois a ela é assegurada sua titularidade4. Nesse ponto,
a Lei determina que os dados pessoais pertencem aos seus titulares e
não às organizações.
4.3 AUTODETERMINAÇÃO INFORMATIVA DOS TITULARES

DE DADOS PESSOAIS
Rodotà (2008, p. 15) conceitua privacidade como direito

complexo que em um de seus componentes está a autodeterminação
informativa, compreendida como “direito de manter controle sobre
as suas informações e de determinar a maneira de construir sua es-
fera particular”. Esfera particular é entendida como “aquele conjunto
de ações, comportamentos, opiniões, preferências, informações
pessoais, sobre os quais o interessado pretende manter um controle
exclusivo”.
A LGPD tendo como um de seus fundamentos a autodetermi-
nação informativa coloca à disposição do titular o exercício de certos
direitos, assim como obrigações para o controlador, com o fim de que
seja dada ampla divulgação dos dados pessoais tratados.
Para que não pairem dúvidas ou incertezas sobre os dados
pessoais tratados pelo controlador é imprescindível disponibilizar
4 Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos
os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei
(BRASIL, 2018).
99
mecanismos de comunicação efetivos com o titular de dados pessoais

prezando pela transparência, segurança e qualidade dos dados.
A ciência inequívoca do titular de dados pessoais sobre trata-
mento realizado, finalidade, compartilhamento, direitos exercíveis, é
uma demonstração de respeito à esfera de proteção jurídica aos seus
direitos de personalidade.
A proposta de estabelecer uma comunicação efetiva com o
titular de dados pessoais perpassa pelo conhecimento de onde seus
dados transitam e sob quais condições são utilizados. Ao analisar de
forma sistemática a LGPD, especialmente os arts. 9.º e 17 a 22, vis-
lumbra-se alguns procedimentos capazes de auxiliar o controlador a
cumprir essas exigências.
Em busca da efetiva comunicação, o controlador poderá lançar
de recursos de comunicação ativa ou passiva. A comunicação ativa
é estabelecida quando o controlador, em observância ao princípio
da finalidade, adequação, necessidade e transparência, disponibiliza
informações aos titulares de dados pessoais em geral sobre os trata-
mentos realizados. A comunicação passiva é estabelecida mediante
provocação do titular de dados pessoais endereçadas ao encarregado
para esclarecimentos ou resposta a requisições.
A comunicação ativa será estabelecida com o titular por meio
do aviso de privacidade. O aviso de privacidade é um documento con-
feccionado pelo controlador, tendo como insumo as informações de
registro de tratamento de dados conforme Art. 37 da LGPD, capaz de
sintetizar as principais informações de tratamento com observância a
intimidade e privacidade do titular.
A comunicação passiva será estabelecida por meio de proce-
dimentos adotados pelo controlador para tratar internamente na or-
ganização as requisições dos titulares de dados pessoais. Os requisitos
de identificação inequívoca do titular, disponibilização de dados de
100
forma acessível, resposta no prazo legal, dentre outros, incrementa a

complexidade de tal sorte que a tríade pessoas, processos e ferramen-
tas necessitam estar bem orquestradas para o alcance dos resultados
esperados.
Sendo assim, o titular de dados pessoais tendo ciência do tra-
tamento de seus dados (comunicação ativa), poderá requerir ao con-
trolador mediante requisição qualquer dos pedidos elencados nos Art.
18 a 20 da LGPD (comunicação passiva), sendo observadas as medidas
necessárias para a resposta chegue ao autêntico titular.
4.4 DIREITOS ASSEGURADOS AO TITULAR DE DADOS

PESSOAIS PELA LGPD
Os direitos dos titulares serão retratados de modo exemplifi-

cativo. Utilizaremos o conceito dos direitos “ARCO”, que é evolução de
uma série de normativos internacionais sobre proteção de dados que
passaram a ser replicados nas legislações, como exemplo o Art. 9.º da
Convenção 108 do Conselho da Europa para a Proteção das Pessoas
Singulares (CONSELHO DA EUROPA, 2018, p. 9).
ARCO é um acrônimo, onde a letra A refere-se aos direitos de
Acesso que permite ao titular saber quais dados pessoais são manti-
dos pela organização controladora. A letra R diz respeito aos direitos
de Retificação que possibilitam ao titular solicitar ao controlador a
correção de seus dados que estejam incompletos, inexatos ou não
atualizados. A letra C é relativa aos direitos de Cancelamento para
que o titular possa solicitar a exclusão de seus dados. A letra O é
referente ao direito de Oposição para o titular pedir ao controlador
que deseja interromper o tratamento de seus dados pessoais (BRA-
SIL, 2018).
101
Figura 1 - Direitos ARCO à luz da LGPD.
Fonte: elaborada pelos autores.
Observamos, contudo, que a Lei brasileira primou por especifi-

car uma gama mais ampla de direitos dos titulares. Destacamos o direi-
to à portabilidade disposto no Art. 18, V, que ainda será regulamentado
pela Autoridade Nacional, deverá observar os segredos comercial e
industrial. “É tanto um direito do titular dos dados, quanto uma tutela
específica a ser aplicada em um processo que envolva questões con-
correnciais (antitruste)” (CRAVO, 2020, p. 6).
O titular também pode solicitar ao controlador a revisão de
decisões tomadas unicamente com base em tratamento automatizado
de dados pessoais. Isto está previsto no Art. 20, da Lei, e é uma espécie
de “direito de explicação”. Questionado, o controlador deverá informar
quais os critérios e procedimentos utilizados para a decisão automati-
zada. Temos aí uma barreira importante contra a utilização não ética de
algoritmos na definição de perfis (profilling) afetando interesses legíti-
mos dos titulares, inclusive promovendo desigualdades e discriminação.
Outro ponto que vamos abordar aqui, em detalhes, trata dos
direitos de comunicação, como o de formalizar reclamações para o
Encarregado, conforme previstos no Art. 41, §2.º, inciso I e de peticio-
nar à ANPD nas situações que o controlador não atendeu a requisição
dentro do prazo (BRASIL, 2018).
102
4.5 REQUISIÇÃO DE DIREITOS PELO TITULAR DE DADOS

PESSOAIS
Antes de detalhar como os controladores podem proceder

para concretizar o exercício dos direitos dos titulares, previstos prin-
cipalmente nos Art. 9.º e 17 a 22 da LGPD, será analisado um resumo
do fluxo informacional que compreende algumas fases do Programa
de Governança em Privacidade e reforça a importância de o processo
de adequação ser consistente, contínuo e organizado.
4.5.1 A IMPORTÂNCIA DO REGISTRO DE ATIVIDADES DE

TRATAMENTO PARA RESPONDER REQUISIÇÕES DE
TITULARES DE DADOS PESSOAIS
O capítulo Mapeamento dos Tratamentos de Dados Pessoais,

desta obra, abordou em detalhes sobre a necessidade de identificar e
registrar o fluxo informacional na organização para seus processos de
negócio. A Figura 2 demonstra o fluxo desses dados que serão utiliza-
dos para subsidiar a resposta aos titulares.
Figura 2 – Fluxo Informacional.
103
Para fins didáticos, a Figura 2 representa os dados em fases

do Programa de Governança de Privacidade, e como a obtenção de
informações para responder requisições do titular estão vinculadas ao
inventário de atividades de tratamento.
O ponto de partida é a requisição do titular. Entretanto, previa-
mente, os dados pessoais foram classificados nas bases estruturadas e
não estruturadas por categorias - sensíveis ou não sensíveis.
Assim, ao pesquisar uma chave identificadora, que pode ser o
código de um cliente ou o número de inscrição no Cadastro de Pessoa
Física, por exemplo, será possível identificar se há tratamento de dados
pessoais e em quais sistemas.
De acordo com a complexidade e contexto, o Inventário de
Atividades de Tratamento pode se desdobrar em vários Registros
de Atividades de Tratamento - RAT, que pode conter a finalidade do
tratamento, qual hipótese legal autoriza o controlador a realizar o
tratamento, quais dados pessoais foram tratados (CPF, nome, ende-
reço etc.), se existem dados sensíveis e quais são, qual é a origem dos
dados, a forma e duração do tratamento, se há tratamento de dados de
menores, se os dados são compartilhados com terceiros, se há trânsito
transfronteiriço dos dados etc.
Nas explanações dos demais mecanismos que compõem a co-
municação efetiva com o titular de dados pessoais, será demonstrada
a importância do registro da atividade de tratamento para o processo
de elaboração de resposta aos titulares.
4.5.2 COMPETÊNCIA DE ATENDIMENTO NA ORGANIZAÇÃO
Devido à importância de salvaguardar os interesses dos indi-

víduos face ao desequilíbrio que pode ocorrer na relação titular-con-
trolador, a LGPD reservou o capítulo “III - Dos Direitos do Titular” para
dedicar ao tema.
104
O Art. 18 enumera uma série de direitos, que devemos compre-

ender tratar-se de um rol apenas exemplificativo, pois há direitos em
outros dispositivo, como o direito implícito que seus dados pessoais
sejam eliminados após o término do tratamento, conforme primeira
parte do caput do Art. 16, ou o direito de reclamar ou se comunicar com
o encarregado5.
Ao enunciar, no caput do Art. 18, que o titular obterá do contro-
lador o atendimento das requisições dos titulares, e no §3.º do mesmo
Art. que caberá a “agente de tratamento” prover o exercício dos direitos
ao titular, percebe-se uma aparente contradição entre os dispositivos,
pois “agente de tratamento” comporta o operador, além do controlador.
Assim, pela literalidade da lei, tanto o operador quanto o controlador es-
tariam obrigados a atender requisições em relação aos dados do titular.
Sob o ponto de vista prático, atribuir ao operador o dever de
responder ao titular, ao que parece de forma autônoma, pode causar
ruídos e desvios no atendimento. Explico: em um cenário que um con-
trolador tenha cinco operadores, para o titular receber informações
sobre o tratamento de seus dados seria necessário ter ciência que
aquele controlador tem cinco operadores a seu serviço, quais são eles,
e ainda realizar cinco requisições diferentes. Não parece razoável essa
interpretação, embora possível. De todo modo, caberá à Autoridade
Nacional a regulamentação da matéria.
A interpretação mais compatível com o propósito da lei é o
controlador ser o único agente com competência para recepcionar e
responder às requisições diretamente ao titular. Contudo, a depender
do modelo de negócio da organização, o controlador pode contar com
o apoio do(s) operador(es) para obter os subsídios que irão compor
sua resposta final.
5 Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais. § 2º
As atividades do encarregado consistem em: I - aceitar reclamações e comunicações dos
titulares, prestar esclarecimentos e adotar providências;
105
4.5.3 O PAPEL DO ENCARREGADO NO PROCESSO DE

RESPOSTA
O Encarregado é um dos atores principais para a efetividade

das boas práticas em privacidade, sendo o canal de comunicação de
agentes de tratamento, com os indivíduos e com a Autoridade Nacio-
nal. Desse modo, é imprescindível que suas informações de contato
sejam divulgadas ostensivamente, facilitando o contato para prestar
esclarecimentos quando solicitado pelo titular. (ANPD, 2021, p. 36).
Sugere-se para contato a adoção de um endereço eletrônico
corporativo para o Encarregado (ex: encarregado@suaorganizacao.
com.br) pois, desse modo, todo o histórico de comunicação é mantido
independente de quem estiver exercendo a função6.
No contexto da comunicação com o titular, é papel do Encarre-
gado aceitar reclamações e comunicações dos titulares7. Logo, atender
as requisições dos titulares é um caminho natural, podendo estar sob
sua responsabilidade pessoal, ou de um time de privacidade sob sua
coordenação. Essa é a opção mais adequada, embora não seja a única
possível.
O controlador é “quem atua de acordo com os próprios in-
teresses, com poder de decisão sobre as finalidades e os elementos
essenciais de tratamento” (ANPDb, 2022, p. 7). E, em contrapartida ao
seu maior grau de discricionariedade a lei lhe atribuiu maiores deveres
e responsabilidades. Logo, é razoável que o controlador possa definir,
em seu âmbito e de acordo com sua especificidade, complexidade
6 Pela literalidade da LGPD, a função do Encarregado pode ser exercida por pessoa natural ou
jurídica. Art.5.º, inciso VIII - encarregado: pessoa indicada pelo controlador e operador para
atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade
Nacional de Proteção de Dados (BRASIL, 2018).
7 Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais. § 2º
As atividades do encarregado consistem em: I - aceitar reclamações e comunicações dos
titulares, prestar esclarecimentos e adotar providências; (BRASIL, 2018).
106
e conveniência, quem será o ator responsável pelo atendimento às

requisições dos titulares. Poderá ser o Encarregado, sua equipe, ou
mesmo outra área ou pessoa designada.
Independente do formato a ser adotado, é muito importante
que o fluxo de atendimento esteja documentado e que existam con-
troles para o acompanhamento dos atendimentos em si.
É uma boa prática que a corporação oriente seus colaborado-
res sobre o canal adequado para o registro de requerimentos por um
titular de dados, e sempre que possível esse canal seja único, evitando
o endereçamento de solicitações a endereços eletrônicos de emprega-
dos ou outros canais não aptos a esse tipo de atendimento.
4.6 ESTUDO DE CASO
Nesta seção abordaremos um Estudo de Caso a partir de uma

situação real. O cenário apresentado está em operação desde o início
da vigência da LGPD, em 18 de setembro de 2020, e possibilita o exercí-
cio dos direitos dos titulares com tempestividade e segurança.
4.6.1 CONSIDERAÇÕES INICIAIS
Para este Estudo de Caso, o fluxo proposto considera:

I) Que o requerimento deverá ser direcionado ao controla-
dor.
a. Caso o requerimento seja direcionado ao operador,
esse deverá informar ao requerente que está impe-
dido de prestar informações sem a autorização do
controlador, e sempre que possível, informar quem é
o controlador competente.
II) O fluxo apresentado se aplica a qualquer dos direitos
constantes nos Art. 18 a 20 da LGPD;
107
III) A equipe responsável por gerir todo o fluxo – do requeri-

mento à resposta – atua sob orientação/coordenação do
Encarregado;
IV) Os requerimentos são realizados pelo titular por meio de
plataforma digital, com acesso autenticado;
V) A plataforma digital permite que seja estabelecido um
fluxo de comunicação entre titular-controlador para
complementação de informações, se necessário, até a
postagem da resposta e avaliação do atendimento pelo
titular; e
VI) O prazo de resposta adotado é de quinze dias8.
Os direitos dos titulares devem ser entendidos de forma
harmônica à luz da LGPD. Para entender a abrangência do direito de
acesso, é essencial conjugar os Art. 9.º, 18, II e 19, II com os princípios do
Livre Acesso e Transparência, conforme disposto no Guia Orientativo
da ANPD, a seguir.
Em conformidade com o que estabelecem os princípios da
transparência e do livre acesso, o Art. 9º da LGPD delimita
as informações que devem ser disponibilizadas aos titula-
res, entre as quais: (i) forma, duração e finalidade específica
do tratamento; (ii) identificação e informações de contato
do controlador; (iii) informações sobre o uso comparti-
lhado de dados e a finalidade; (iv) responsabilidades dos
agentes que realizarão o tratamento; e (v) direitos do
titular, com menção explícita aos direitos contidos no Art.
18. Além dessas informações, deve ser objeto de divulgação
a identidade e as informações de contato do encarregado
(Art. 41, § 1º) (ANPDa, 2022, p. 15).
8 Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados,

mediante requisição do titular: II - por meio de declaração clara e completa, que indique
a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do
tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15
(quinze) dias, contado da data do requerimento do titular.
108
Para o Estudo de Caso convencionamos que o requerimento

do titular está pautado no direito de acesso aos dados9. O direito de
acesso aos dados comporta três elementos, que são a confirmação
do tratamento dos dados, o acesso aos próprios dados reais e não
apenas a sua descrição e as informações a respeito do tratamento10.
Seu objetivo geral é possibilitar informações suficientes e explícitas,
de fácil entendimento, para que o titular tenha ciência da licitude do
tratamento e exatidão de seus dados (EDPB, 2022, p. 2-7). O controla-
dor, ao recepcionar um pedido de acesso aos dados, deverá considerar
que é referente ao conjunto total das informações do titular, exceto se
o titular explicitamente restringir a um subconjunto de dados (EDPB,
2022, p. 15).
É importante ressaltar que independentemente do tipo de
direito, a requisição do titular deverá ser facilitada pelo controlador
mediante disponibilização de um canal de fácil acesso ao seu público,
se possível em formato digital e com mecanismos de autenticação
ou outras medidas de salvaguardas que assegurem o envio das infor-
mações ao titular corretamente identificado, especialmente quando
tratar dados pessoais sensíveis.
Cabe aqui um alerta: a comunicação e a disponibilização dos
dados pessoais aos titulares são uma espécie de tratamento de dados,
9 O Direito de acesso aos dados traz implícito o direito de confirmação da existência de

tratamento, pois que somente é possível ao controlador fornecer os dados ao titular se
confirmada sua existência.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados
do titular por ele tratados, a qualquer momento e mediante requisição: I - confirmação da
existência de tratamento;
II - acesso aos dados;
10 A divulgação de Aviso de Privacidade contendo informações a respeito do tratamento dos
dados, como por exemplo: informações do controlador, quais dados são tratados, se e
com quem os dados são compartilhados, a finalidade e a forma de tratamento, o tempo de
retenção dos dados, como o titular pode exercer seus direitos é uma medida de transparência
ativa e uma boa prática que deve ser adotada pelo controlador.
109
logo, incumbe ao controlador garantir nível adequado de segurança

mediante a implementação de medidas técnicas e administrativas
(EDPB, 2022, p. 18).
Importante destacar que:
I) O titular não precisará explicar os motivos de seu pedido,
cabendo ao controlador atendê-lo sem realizar julgamen-
to de valor, podendo negar-lhe o atendimento quando
não for o responsável pelo tratamento ou puder indicar
as razões de fato ou de direito que o impedem.
II) Dados pseudo anonimizados, ao contrário dos dados
anonimizados, são dados pessoais e por este motivo
devem ser informados acaso existentes.
III) Se constatar que não existem informações a respeito
do titular, ou que estas foram eliminadas em função da
expiração do período de retenção, é fundamental que o
titular seja informado sobre a inexistência de tratamento,
concluindo o atendimento do requerente e assegurando
a conformidade por parte do controlador.
IV) A gratuidade11 é um direito assistido aos titulares, entre-
tanto é de se esperar que haja razoabilidade no exercício
do direito de requerer, para que não se incorra em situa-
ções de abuso do direito12 por parte de titulares que rea-
lizem demandas excessivas e repetidas, em curto espaço
de tempo.
V) Os prazos de atendimento serão previstos em regula-
mentação futura pela ANPD (ANPD, 2021, p. 39).
11 Art. 18 - § 5º O requerimento referido no § 3º deste Art. será atendido sem custos para o titular,
nos prazos e nos termos previstos em regulamento (BRASIL, 2018).
12 Art. 187. Também comete ato ilícito o titular de um direito que, ao exercê-lo, excede
manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos
bons costumes (BRASIL, 2002).
110
VI) O titular poderá peticionar perante a ANPD caso o con-

trolador não atenda o requerimento no prazo13.
4.6.2 FLUXO DE ATENDIMENTO
Uma vez descritas as considerações iniciais, sugerimos para o

Estudo de Caso o ciclo de atendimento de uma requisição, conforme
as fases da Figura 3.
Figura 3 - Fluxo de atendimento às requisições de titulares de dados.
Fonte: Adaptado de Gartner (GARTNER, 2021).
Após recepcionar uma requisição, é fundamental analisar sua

pertinência, conforme a seguir:
I) Confirmar se o requerimento é relativo a dados pessoais;
é possível que o canal seja utilizado para buscar outras
informações, e sendo esse o caso deverá ser indicado na
resposta, sempre que possível, as orientações para ende-
reçar ao setor específico da organização;
II) Confirmar se a requisição foi direcionada ao controlador
correto, informando se possível, em caso de negativa,
quem é o controlador;
13 Art. 55-J. Compete à ANPD: V - apreciar petições de titular contra controlador após
comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no
prazo estabelecido em regulamentação (BRASIL, 2018).
111
III) Confirmar se o pedido é referente aos dados pessoais do

próprio solicitante ou do seu representante legalmente
constituídos14; e
IV) Identificar o escopo do pedido, ou seja, se a requisição é
ampla ou é direcionada a um subconjunto de dados.
Vencidas as etapas iniciais, é indicado que o titular seja notifi-
cado de que a resposta ao seu requerimento está sendo providenciada.
A depender da natureza e abrangência da solicitação, e de como
a organização está estruturada para atender as requisições dos titulares,
será necessária uma triagem interna para obter os dados solicitados
para composição da resposta ao titular. Para o cenário do Estudo de
Caso temos uma situação híbrida, na qual parte dos sistemas já foram
integrados ao processo de resposta, e outra está em fase de adequação.
Neste ponto enfatizamos a importância de o Programa de
Governança de Privacidade ser coeso, pois o Registro de Atividades de
Tratamento, mencionado anteriormente nessa obra, é o artefato de
onde serão extraídas informações para a composição do relatório de
resposta ao titular, como por exemplo a finalidade, a forma e duração
do tratamento, a natureza dos dados pessoais tratados.
Após reunidos os subsídios, o relatório com a resposta deve ser
elaborado, conforme Art. 19, II nestes termos “por meio de declaração
clara e completa, que indique a origem dos dados, a inexistência de re-
gistro, os critérios utilizados e a finalidade do tratamento, observados
os segredos comercial e industrial” (BRASIL, 2018). Após a validação, o
relatório será assinado digitalmente e publicado na plataforma digital,
notificando o requerente de forma automática.
14 Art. 18, §3.º in verbis: Art. 18. O titular dos dados pessoais tem direito a obter do controlador,
em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
§3.º Os direitos previstos neste Art. serão exercidos mediante requerimento expresso do
titular ou de representante legalmente constituído, a agente de tratamento (BRASIL, 2018).
112
Além da comprovação inequívoca do cumprimento da obriga-

ção legal imputada ao controlador no atendimento aos direitos dos
titulares, outros benefícios da plataforma digital são a possibilidade de
consulta posterior pelo titular, o registro dos atendimentos realizados
permitindo rastreabilidade, o acompanhamento das requisições para
o atendimento tempestivo, a possibilidade de análise das avaliações, a
geração de relatórios gerenciais.
5. CONCLUSÃO
O desenvolvimento deste estudo se deteve aos principais
dispositivos da LGPD relacionados à comunicação com o titular. Em
complemento, buscamos amparo na literatura e legislação europeia
nos pontos onde havia ausência de explicação sobre mecanismos de
promoção da transparência ativa para assegurar o exercício dos direi-
tos individuais dos titulares de dados.
Cabe às organizações o desenvolvimento de Programa de
Governança de Privacidade, com ações que evidenciem sua conduta
lícita e ética voltadas a garantir aos titulares de dados pessoais o exer-
cício de sua autodeterminação informativa, compatibilizados com os
princípios da boa-fé, transparência e do livre acesso. É o que se buscou
demonstrar com a correlação das fases de inventário de atividades de
tratamento de dados pessoais, e o uso de informações dos artefatos
derivados dele para a composição das respostas aos requerimentos
dos titulares de dados.
Os resultados da pesquisa convergiram para um conjunto
de conceitos garantidores dos direitos individuais da privacidade e
proteção de dados e do livre desenvolvimento da personalidade, com
farta literatura em relação à teoria, mas pouco material específico a
aspectos práticos da comunicação com o titular.
113
A inclusão do Estudo de Caso em relação ao atendimento de

requisições dos titulares, teve o propósito de agregar conhecimentos
práticos e acrescentar posicionamentos adotados para expandir a
discussão sobre essa temática.
Existem pontos a serem aprofundados sobre o assunto, inclusi-
ve no âmbito da regulamentação da LGPD, como por exemplo a apa-
rente contradição entre o Art. 18 e seu parágrafo terceiro que atribui
ao operador a responsabilidade de atender as requisições dos titulares.
Como evolução para projetos futuros sobre o tema em estudo,
a realização de pesquisa com diferentes segmentos, de organizações
públicas e privadas, pode apontar outros direcionamentos práticos
que podem fortalecer o estabelecimento de padrões de comunicação
com o titular de dados.
REFERÊNCIAS
ABA. A Very Brief Introduction to the GDPR Recitals. AMERICANBARAS-
SOCIATION, 2019. Disponível em: <https://www.americanbar.org/groups/
litigation/committees/minority-trial-lawyer/practice/2019/a-very-brief-in-
troduction-to-the-gdpr-recitals/>. Acesso em: 3 Junho 2022.
ABNT. ABNT NBR ISO/IEC 27701. Técnicas de Segurança - Extensão da ABNT
NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 7002 para gestão da privacidade
da informação - Requisitos e diretrizes, 2019. Acesso em: 4 Junho 2022.
ABNT. ABNT NBR ISO/IEC 29100. Tecnologia da Informação - Técnicas de
Segurança - Estrutura de Privacidade, 2020. Acesso em: 3 Junho 2022.
ABNT. ABNT NBR ISO/IEC 29184. Tecnologia da Informação - Avisos de
privacidade on-line e consentimento, 2021. Acesso em: 3 Junho 2022.
AMARAL, F. Introdução à ciência de dados. Rio de Janeiro: Alta Books, 2016.
ANPD. Guia Orientativo - Aplicação da LGPD por agentes de tratamento no
contexto eleitoral. Autoridade Nacional de Proteção de Dados, Brasília, 2021.
Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicaco-
es/guia_lgpd_final.pdf>. Acesso em: 6 Junho 2022.
114
ANPD. Portaria N.11. Diário Oficial da União, 2021. Disponível em: <ht-
tps://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-
-de-2021-301143313>. Acesso em: 13 Maio 2022.
ANPDa. Guia Orientativo - Tratamento de Dados Pessoais Pelo Poder Público.
Autoridade Nacional de Proteção de Dados, 2022. Disponível em: <https://
www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-
-anpd-versao-final.pdf>. Acesso em: 17 Maio 2022.
ANPDb. Guia Orientativo para Definições dos Agentes de Tratamento de Da-
dos Pessoais e do Encarregado. Autoridade Nacional de Proteção de Dados,
Abril 2022. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-
-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retifi-
cada.pdf>. Acesso em: 18 Maio 2022.
ANPD. RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022. Diário
Oficial da União, 2022. Disponível em: <https://www.in.gov.br/en/web/dou/-/
resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019>. Acesso em:
8 maio 2022.
BAUMAN, Z. Vigilância líquida. Rio de Janeiro: Zahar, 2013.
BENNETT, C. J. Regulating Privacy: Data Protection and Public Policy in Euro-
pe and the United States. Ithaca: Cornell University Press, 2011. 32-34 p.
BIONI, B. R. Proteção de Dados Pessoais - A função e os limites do consenti-
mento. 2ª. ed. Rio de Janeiro: Forense, 2021.
BOTELHO, M. C.; CAMARGO, P. D. A. O Tratamento de Dados Pessoais pelo
Poder Público na LGPD. Revista Direitos Sociais e Políticas Públicas, São
Paulo, v. 9, p. 549-580, setembro-dezembro 2021.
BRASIL. Código de Defesa do Consumidor, 1980. Disponível em: <https://
www.planalto.gov.br/ccivil_03/Leis/L8078compilado.htm>. Acesso em: 3
Junho 2022.
BRASIL. Constituição da República Federativa do Brasil de 1988. Planalto,
1988. Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/
constituicaocompilado.htm>. Acesso em: 18 Abril 2022.
BRASIL. Código Civil Brasileiro, 2002. Disponível em: <https://www.planalto.
gov.br/ccivil_03/LEIS/2002/L10406compilada.htm>. Acesso em: 4 Junho
2022.
115
BRASIL. Lei do Cadastro Positivo, 2011. Disponível em: <https://www.planal-

to.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12414.htm>. Acesso em: 3 Junho
2022.
BRASIL. Marco Civil da Internet, 2014. Disponível em: <https://www.planalto.
gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em: 3 Junho
2022.
BRASIL. Lei Geral de Proteção de Dados Pessoais. Planalto, 2018. Disponível em:
<https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709com
pilado.htm>. Acesso em: 21 abril 2022.
CONSELHO DA EUROPA. Convenção para a Proteção dos Direitos do Ho-
mem e das Liberdades Fundamentais, 1950. Disponível em: <https://echr.coe.
int/documents/convention_por.pdf>. Acesso em: 22 Maio 2022.
CONSELHO DA EUROPA. Convenction for the protection of individuals
with regard to the processing of personal data, 2018. Disponível em: <https://
rm.coe.int/convention-108-convention-for-the-protection-of-individual-
s-with-regar/16808b36f1>. Acesso em: 8 Junho 2022.
CRAVO, D. C. Direito à portabilidade na Lei geral de Proteção de Dados.
Indaiatuba: Foco, 2020.
DONEDA, D. Da privacidade à proteção de Dados Pessoais: elementos da
formação da Lei geral de proteção de dados. São Paulo: Thomson Reuters
Brasil, 2019.
EDPB. guideline 01/2022 on data subject rights - Righ of access. European
Data Protection Board, 2022. Disponível em: <https://edpb.europa.eu/our-
-work-tools/documents/public-consultations/2022/guidelines-012022-da-
ta-subject-rights-right_en>. Acesso em: 15 Março 2022.
EDPB. Guidelines 01/2022 on data subject rights - Right of access. European
Data Protection Board. Bruxelas. 2022.
EDPB. Quem somos. European Data Protection Board, 2022. Disponível em:
<https://edpb.europa.eu/about-edpb/about-edpb/who-we-are_pt>. Acesso
em: 23 Maio 2022.
GARTNER. Market Guide for Subject Rights Request Automation, 2021.
Disponível em: <https://www.gartner.com/document/4007899?ref=solrRe-
search&refval=329084250>. Acesso em: 25 Maio 2022.
116
GIL, A. C. Como elaborar projetos de pesquisa. 6.ª. ed. Rio de Janeiro: Atlas,
2017.
GROHMANN, R. Financeirização, midiatização e dataficação como sínteses
sociais. Mediaciones de la Comunicación, Montevideo, v. 14, p. 97-117, 2019.
KORKMAZ, M. R. R.; SACRAMENTO, M. Direitos do titular de dados:po-
tencialidades e limites na Lei Geral de Proteção de Dados Pessoais. Revista
Eletrônica da Procuradoria Geral do Estado do Rio de Janeiro, Rio de Janeiro,
v. 4, maio-agosto 2021.
MALDONADO, V. N.; BLUM, R. O. LGPD: Lei Geral de Proteção de Dados:
comentada. São Paulo: Revista dos Tribunais, 2019.
MENDES, L. S.; DONEDA, D. Reflexões iniciais sobre a nova lei geral de pro-
teção de dados. Revista de Direito do Consumidor, v. 120, nov./dez. 2018.
NAÇÕES UNIDAS. Declaração Universal dos Direitos Humanos, 1948. Dispo-
nível em: <https://brasil.un.org/pt-br/91601-declaracao-universal-dos-direi-
tos-humanos>. Acesso em: 2022 Maio 23.
O’NEIL, C.; SCHUTT, R. Doing data Science. Sebastopol: [s.n.], 2014.
OCDE. Diretrizes para a Proteção da Privacidade e dos Fluxos Transfonteiriços
de Dados Pessoais. Organização para Cooperação e Desenvolvimento Econô-
mico, 2003. Disponível em: <https://www.oecd.org/sti/ieconomy/15590254.
pdf>. Acesso em: 19 Maio 2022.
OCDE. A Caminho da Era Digital no Brasil, 26 out. 2020. Disponível em: <ht-
tps://doi.org/10.1787/45a84b29-pt>. Acesso em: 21 maio 2022.
OCDE. Trabalho da OCDE sobre privacidade. Organização para Cooperação
e Desenvolvimento Econômico, 2022. Disponível em: <https://www.oecd.
org/sti/ieconomy/privacy.htm>. Acesso em: 21 maio 2022.
OCDE. Trabalho da OCDE sobre privacidade, 2022. Disponível em: <https://
www.oecd.org/sti/ieconomy/privacy.htm>. Acesso em: 21 maio 2022.
RODOTÀ, S. A vida na sociedade da vigilância: a privacidade hoje. Tradução
de Danilo Doneda e Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008.
SARDINHA, A. N. C. Direito à Informação e à Revisão de Decisões Infor-
matizadas: Uma Análise da LGPD, Porto Alegre, 30 Maio 2022. Disponível
117
em: <https://seer.ufrgs.br/index.php/resseveraverumgaudium/article/view/
121573/85048>. Acesso em: 9 Junho 2022.
SIQUEIRA, D. P.; LARA, F. C. P.; ALVES, N. G. Direitos da Personalidade, Prote-
ção de Dados Pessoais e o Poder Público. Húmus, São Luis, v. 11, 2021.
UNIÃO EUROPEIA. Parlamento Europeu. Carta dos Direitos Fundamentais
da União Europeia. Jornal Oficial das Comunidades Europeias, 18 dez. 2000.
Disponível em: <https://www.europarl.europa.eu/charter/pdf/text_pt.pdf>.
Acesso em: 22 maio 2022.
UNIÃO EUROPEIA. Regulamento Geral sobre Proteção de Dados. Jornal Ofi-
cial da União Europeia, 2016. Disponível em: <https://eur-lex.europa.eu/le-
gal-content/PT/TXT/?uri=CELEX%3A32016R0679&qid=1654391820284>.
Acesso em: 18 Maio 2022.
118
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
UMA REFLEXÃO ACERCA DA

DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES
PÚBLICOS À LUZ DA LAI E LGPD
1. INTRODUÇÃO
Os direitos fundamentais à privacidade e à informação estão con-
sagradas na Constituição Federal de 1988 (Art. 5º, X e XXXIII), possuem
limites comuns que, às vezes, exigem rigorosa reflexão. Este contexto
ganha especial interesse nos dias atuais, nos quais se constata que a
privacidade é cada vez mais relativizada em prol do direito à informação.
O direito à privacidade de dados pessoais há muito tempo vem
sendo discutido pela sociedade moderna. Em 2016 a União Europeia
aprovou a GDPR (General Data Protection Regulation), que passou a
vigorar em 2018. A lei europeia, instituída para conferir aos cidadãos
mais segurança e autodeterminação sobre o uso de seus dados pes-
soais, foi motivada por graves escândalos de vazamentos de dados e
manipulação de informações pessoais por parte de grandes players de
mercado (HAAB, 2020).
O movimento de proteção à privacidade e proteção de dados
pessoais atingiu notoriedade no Brasil com a aprovação da Lei Geral
de Proteção de Dados Pessoais - LGPD, Lei nº 13.709 de 2018, inspi-
rada fortemente na GDPR. Com diversas modificações em seu texto
original, a tramitação da LGPD no Congresso brasileiro se estendeu até
2020 quando, enfim, passou a vigorar.
120
120
No que tange à efetivação do direito constitucional à infor-

mação, nós tivemos a edição da Lei de Acesso à Informação - LAI, a
Lei nº 12.527/2011, dirigida especialmente ao Poder Público, objeti-
vando maximizar a transparência e a publicidade das informações
governamentais e, com isso, proporcionar o controle social dos atos
governamentais e prevenir eventuais condutas inadequadas à boa
administração pública.
Numa primeira análise, poderia se argumentar que a LAI se dirige
tão somente às informações que se enquadram no inciso XXXIII do Art.
5º, no inciso II, §3º do Art. 37 e no §2º do Art. 216 da Constituição, ou seja,
os dados públicos dos entes integrantes do Poder Público, por serem
de interesse da sociedade, ressalvadas informações indispensáveis
à segurança da sociedade e do Estado e à privacidade e intimidade da
pessoa. Portanto, analisando mais detalhadamente os objetivos da lei,
observa-se que a privacidade do cidadão estaria garantida, dado que a
LAI dispõe de mecanismos que visam restringir o acesso indevido às in-
formações pessoais. Todavia, contesta-se a validade de tais mecanismos
nessa missão, na medida em que não representam obstáculos eficientes
contra o acesso indevido, sobretudo diante do argumento do interesse
público (HAAB, 2020).
Assim, o presente trabalho visa analisar alguns elementos em
busca de uma melhor compatibilização entre essas duas legislações
em um caso concreto, que, embora possam ser considerados como de
interesses antagônicos, podem e devem ser analisados de forma har-
mônica e sistemática, pois não há direito à proteção de dados quando
o acesso à informação contrastado à proteção se demonstra mais
preponderante diante de um caso concreto, após o devido processo de
ponderação. Logo, como não há direito de acesso quando a violação
à proteção de dados for considerada uma medida proporcionalmente
mais gravosa do que a manutenção do sigilo (CANHADAS, 2020).
121
2. PRIVACIDADE E INFORMAÇÃO
Para Ferraz Júnior privacidade é um direito subjetivo fundamen-
tal cujo conteúdo é a faculdade da pessoa, titular do direito, de impor
aos outros o respeito e de se opor à violação de situações vitais que,
por dizerem respeito só a ela, deseja manter para si, ao abrigo de sua
única e discricionária decisão. O objeto do direito à privacidade é, resu-
midamente, a integridade moral do sujeito. Nessa medida, definimo-la
como a possibilidade que autoriza à pessoa impedir a intromissão de
terceiros na sua vida íntima e familiar, bem como o acesso e divulgação
de informações pessoais (BASTOS; MARTINS, 1989).
No entanto, se as posições doutrinárias convergem quanto ao
conceito de privacidade, sua aplicação prática não guarda o mesmo
sentido, sobretudo devido à enorme produção e tráfego de dados.
Trata-se da realidade da sociedade moderna, onde se afirmar que
a humanidade vivencia a era da Informação (CASTELLS, 2003).
Constata-se que todo tipo de informação está disponível “full time”,
circunstância que leva as pessoas a estarem conectadas como nunca
se viu em qualquer outra época da história da humanidade, mesmo
durante as atividades mais corriqueiras, pela ação das novas tecno-
logias. A quantidade de informações pessoais trafegando na internet
cresce exponencialmente, além de alcançar um número indefinido de
destinatários, tornando-se, na prática, públicas. Tal prática, além de
potencialmente atentar contra a autonomia e autodeterminação da
pessoa, pode representar uma ameaça à própria Democracia, uma vez
que a invasão desmedida na privacidade do cidadão pode se tornar um
meio de constrangimento da participação deste nos processos delibe-
rativos (ROUVROY, 2015).
O acesso à privacidade da pessoa só pode se dar mediante uma
justificativa plausível da necessidade de tal acesso pelo Poder Público.
A restrição do direito à autodeterminação informativa deve ocorrer
122
num ambiente de atuação clara do poder público, além da haver iden-

tidade entre o motivo legal e a efetiva coleta do dado. Desta maneira,
conclui-se que a privacidade é regra e a intervenção estatal exceção. O
ente público deve sempre tratar estas informações em estrito cumpri-
mento das previsões e autorizações legais, sem olvidar do princípio da
proporcionalidade (RUARO; LIMBERGER, 2012).
Não havendo um interesse público determinado, pode-se
presumir que a informação pessoal é irrelevante para a sociedade,
o que leva ao direito de informação se apresentar na sua formulação
negativa, de não interferência na privacidade da pessoa. Caso houves-
se real interesse público seria necessário reavaliar a questão, levando
a necessidade de ponderar informação e privacidade através de uma
harmonização, obtida mediante criteriosa análise e ponderação de
seus alcances no caso concreto.
Para Lafer (1988), o direito à informação tem como objeto
a integridade moral do ser humano e é precipuamente uma liber-
dade democrática destinada a permitir uma adequada, autônoma e
igualitária participação das pessoas na esfera pública. Júnior (2008)
assevera que informação no Estado Democrático é a pedra de toque
para a materialização do postulado da cidadania participativa. Já
Ruaro e Limberger (2012) apontam que um dos grandes objetivos das
democracias atuais é possibilitar uma rede de comunicação direta
entre a Administração e os cidadãos que resulte em aprimoramento
democrático e maior transparência e eficiência da atividade pública.
Nesse sentido, afirmar-se que, no Estado Democrático, a informação
deve ser a regra e o sigilo uma exceção admitida quando devidamente
justificada.
Na visão de Lafer (1988) o direito à informação é um direito
fundamental à medida que se vincula à personalidade, pois permite
o livre exercício da democracia pela transparência da esfera pública,
123
conditio sine qua non à participação de todos nos assuntos comuns da

sociedade. Conclui-se que a plenitude da formação da personalidade
da pessoa vai depender dos meios à sua disposição para conhecer a
realidade da sociedade, a fim de poder participar de debates e tomar
decisões relevantes (MENDES; COELHO; BRANCO, 2008).
Contudo, apesar de ser um direito fundamental, isto não
confere ao direito à informação um caráter absoluto. Nesse contexto,
Júnior (2008) informa que o STF já se manifestou sobre a questão em
diversos pronunciamentos, afirmando que, por mais essencial que
se apresente o direito à informação, ele não pode se impor de per si,
sendo necessário uma relativização quando necessária à preservação
de outros, tais como a segurança nacional ou a intimidade.
Deste modo, é necessário que, por vezes, haja a tutela judicial
para definir a prevalência ou não do direito à informação.
3. O DIÁLOGO ENTRE A LAI E A LGPD

A Lei de Acesso à informação (Lei nº 12.527/2011, LAI), editada
em 2011 para regulamentar o exercício da transparência - instrumental e
condicionante de accountability e o controle social - no que tange ao po-
der público como um todo. A lei possibilita que qualquer pessoa, seja ela
física ou jurídica, obtenha informações de caráter público sem exigência
de qualquer motivação para o pleito. O Brasil, com esse importante pas-
so regulatório, passou a seguir o molde de diversos países desenvolvidos,
tendo uma lei de proteção de dados e outra de transparência atuando
simultaneamente e um aparente conflito de normas.
A Lei Geral de Proteção de Dados Pessoais – LGPD, inspirada na
lei europeia de proteção de dados, se propõe a proteger dados pesso-
ais tanto no que se refere ao seu uso em ambiente de mercado como
também no contexto do seu uso pelo próprio Estado. Tal ampliação
de escopo reflete a constatação de que a crescente digitalização da
124
sociedade e da economia vem acompanhada de transformação digital

do próprio Estado, que, cada vez mais, vem adotando tecnologias di-
gitais para prestar serviços e para formular, monitorar e implementar
políticas públicas nas mais diversas áreas (WIMMER, 2021).
A LGPD prevê em seu Art. 2º os fundamentos da proteção de
dados pessoais, contudo, ao analisar os mencionados fundamentos,
que aparecem também como hipóteses de sigilo descritas na LAI, ob-
servamos um contraste com a transparência, em especial a privacidade,
a intimidade, a honra e a imagem e o segredo comercial decorrente da
livre concorrência.
Com espectros diferentes, tanto a LAI quanto a LGPD possuem
princípios voltados ao tratamento de dados pessoais que respeitam a
confidencialidade, integridade e segurança dos cidadãos e reforçam a
necessidade de transparência ativa na interação com a sociedade.
A LAI aborda informação pessoal em vários momentos. Inicial-
mente, no Art. 4º, IV, a lei conceitua informação pessoal como “aquela
relacionada à pessoa natural identificada ou identificável”. Percebe-
-se, aí, que o legislador adotou uma interpretação expansionista da
definição de informação pessoal, abrangendo todos os dados que se
relacionam com o indivíduo. A LGPD, por seu turno, adota o mesmo
entendimento para dados pessoais.
A proteção aos dados pessoais começa a ser tratada na LAI a
partir do seu Art. 6º, III, que determina que a informação pessoal e si-
gilosa deve ser protegida. Na seção V do Cap IV trata especificamente
das informações pessoais, na qual o Art. 31º informa que o tratamento
da informação pessoal será realizado de forma transparente e com
respeito à intimidade, vida privada, honra e imagem das pessoas, bem
como às liberdades e garantias individuais. O seu parágrafo 1º reforça
a proteção, firmando a restrição ao acesso à informação pessoal, inde-
pendente de classificação sigilosa, além de condicionar a sua divulgação
125
ou acesso por terceiros somente por previsão legal ou consentimento

das pessoas que elas se referem.
A LGPD reservou o Capítulo IV à disciplina sobre o tratamento
de dados pessoais pelo Poder Público e no seu Art. 23 estabelece que o
tratamento de dados pessoais pelas pessoas jurídicas de direito público
referidas no parágrafo único do Art. 1º da LAI deverá ser realizado para
o atendimento de sua finalidade pública, na persecução do interesse
público com o objetivo de executar as competências legais ou cumprir
as atribuições legais do serviço público.
Tem-se, portanto, que o princípio norteador do tratamento de
dados pelo Estado é o interesse público e sua finalidade pública, princí-
pios estes elementares e já consagrados da administração pública.
Como se observa, o legislador determinou que, com a edição
da LGPD, passou a ser obrigatório ao detentor da informação pública,
sempre que estiver diante de tratamento de dados pessoais, tornar pú-
blico, em veículo de fácil acesso, quais são: a base legal, a finalidade, os
procedimentos e práticas utilizadas naquele determinado tratamento,
devendo inclusive indicar um encarregado que passará a responder por
essas atividades (CANHADA, 2020).
Assim, essas são as condições previstas para que o Poder Pú-
blico possa tratar dados pessoais sem deixar de atender aos ditames
da LAI, sempre levando em consideração a finalidade pública e a per-
secução do interesse público envolvidos no contexto da transparência
administrativa.
Ambas as leis possuem o mesmo status na hierarquia legislativa.
Contudo, para serem harmonizadas, devemos fazer as fontes do Direito
dialogarem por meio da linguagem contida no princípio da especialidade
e utilizar da ponderação para analisarmos o caso concreto.
A harmonização entre as leis empoderará o cidadão, conferindo-
-lhe mais controle sobre o fornecimento ou não de seus dados. Ou seja,
126
a LGPD influirá na transparência pública no que diz respeito à coleta e

análise de dados privados, devendo o Estado tornar mais clara a forma
como tratará os dados dos cidadãos e a preservação da privacidade.
Como dito acima, o conflito entre as leis é apenas aparente,
dado que tanto a LGPD quanto a LAI abrangem em seus textos prin-
cípios, normas e propósitos, que em verdade se complementam e se
reforçam mutuamente quanto à promoção da transparência e à prote-
ção de informações pessoais.
4. DIVULGAÇÃO DE DADOS REMUNERATÓRIOS DE

SERVIDORES PÚBLICOS
Caso concreto desse aparente conflito pode ser observado
a partir da aplicação da LGPD pelo poder público no que concerne à
divulgação ou à permissão de acesso a remuneração de servidores
públicos a terceiros, independentemente do consentimento do titular.
No presente caso observa-se claramente o conflito entre a
necessidade de efetivação da transparência da coisa pública, pela dis-
ponibilização de informações pessoais de servidores públicos, em face
do direito à privacidade e proteção de dados pessoais dos mesmos
servidores, na qualidade de titulares de dados.
Tema recorrente no poder público é o pedido de acesso a infor-
mações funcionais de servidores públicos, inclusive a respectiva remune-
ração, por intermédio da LAI, situação que já foi garantida pelo Supremo
Tribunal Federal. Na decisão, de 2012, os ministros do STF concluíram
que “os dados objeto de divulgação em causa dizem respeito a agentes
públicos enquanto agentes públicos mesmos” e que a publicidade dos
salários é “o preço que se paga pela opção por uma carreira pública no
seio de um Estado republicano”. (STF - SS: 3902 SP, Relator: Min. CEZAR
PELUSO (Presidente), Data de Julgamento: 01/03/2011, Data de Publica-
ção: DJe-045 DIVULG 09/03/2011 PUBLIC 10/03/2011).
127
Importante ressaltar que tal decisão foi prolatada em momen-

to temporal muito oportuno, logo após a publicação da LAI, quando
o anseio da sociedade por transparência era muito grande. Agora, po-
rém, quando a mesma sociedade clama por privacidade de seus dados,
faz-se necessária uma nova análise do presente tema.
Antes de nos aprofundarmos no caso concreto, é importante
trazermos à baila, resumidamente, os três passos do método de sope-
samento fundamentado de Robert Alexy.
O primeiro passo diz respeito à adequação, isto é, à pertinên-
cia do meio utilizado ao fim almejado, devendo haver um nexo causal
- efetivo ou potencial – entre este e aquele. Desse modo, a medida
empregada é tida como adequada quando ela for capaz de produzir
a finalidade pretendida, ou ao menos tender a essa produção. Assim,
importante ressaltar que, se é verificado o nexo causal entre a medida
adotada e o fim pretendido, então a medida é adequada. Se não se
verifica esse nexo, a medida é inadequada.
Observa-se, nesse sentido, que a própria LGPD, ao regula-
mentar a atividade de tratamento de dados pessoais, determina que
se atenda ao princípio da adequação, assim compreendida a compa-
tibilidade do tratamento com as finalidades informadas ao titular, de
acordo com o contexto do tratamento (Art.6º, II). Logo, mesmo aos
olhos da LGPD, é adequado o tratamento que atinge a finalidade.
Aplicando-se esse raciocínio ao caso concreto proposto, parece
ser muito claro que a medida – divulgação dos vencimentos indicando
todos aqueles dados mencionados acima (nome, cargo, rendimentos,
deduções etc.) – produz a finalidade pretendida, consubstanciada na
transparência das informações concernentes às despesas públicas. É
inexorável a conclusão de se estar diante de uma medida adequada aos
fins que se pretende atingir.
128
O segundo passo proposto é a verificação da necessidade

da medida, isto é, o caráter de necessidade verificado nesse ponto é
aquele restrito ao exame da relação entre o meio empregado e o fim
pretendido, o que não significa que a medida deva ser tomada pelo
Estado em qualquer hipótese.
Para Alexy (2011) a medida é vista como proporcional de acor-
do com o exame de sua necessidade se for o meio menos gravoso de
se atingir determinado objetivo. Neste caso, a LGPD, em seu Art. 6º,
inciso III, define necessidade para fins de tratamento de dados “li-
mitação do tratamento ao mínimo necessário para a realização de
suas finalidades, com abrangência dos dados pertinentes, propor-
cionais e não excessivos em relação às finalidades do tratamento
de dados”.
Utilizando a presente conclusão ao nosso caso em estudo, se
determinada medida protetiva à transparência revela-se mais eficiente
para atingir essa proteção e menos gravosa a outros interesses públicos
ou privados contrapostos do que outra medida que seja considerada
em comparação, conclui-se que a medida protetiva à transparência
deve ser considerada necessária.
Logo, não haveria outra maneira de se dar acesso à informação
relativa aos vencimentos de um servidor público não sendo por meio
de sua divulgação completa, fácil e organizada.
O terceiro passo é a verificação da proporcionalidade em sen-
tido estrito da medida, aqui se analisa se a eficácia proporcionada pela
medida adotada, a fim de se alcançar a efetivação de um determinado
direito fundamental é maior do que a desvantagem (restrição) sofrida
pelos outros direitos fundamentais colididos.
É justamente neste ponto que o advento da LGPD faz grande
diferença. Embora seja um diploma bastante principiológico, o seu
texto reflete a preocupação do legislador com o tratamento a ser dado
129
aos dados pessoais daqui por diante, especialmente os relacionados a

questões de intimidade, como no caso da remuneração.
Assim, na medida em que o legislador dedicou tanto cuidado
ao tratamento a ser dado para dados dessa natureza, com uma série de
exigências em torno, por exemplo, de sua anonimização ou das formas
de consentimentos relativas à sua divulgação, é absolutamente razoá-
vel e proporcional outorgar-se à proteção de dados um peso maior do
que aquele que havia antes da edição da lei.
Melhor dizendo, não há dúvidas de que a LGPD ofereceu ao
tratamento de dados pessoais uma maior relevância do que a que
ele possuía no passado, e essa circunstância não pode ser esquecida
pelo intérprete. Logo, quando tratamos de conflitos entre direitos
fundamentais que haviam recebido uma análise em momento anterior
à entrada em vigor do novo diploma, é extremamente importante que
essas questões sejam revisitadas, para que se compatibilize o processo
de sopesamento a essa nova realidade normativa.
Desta maneira, tendo em conta todo o novo contexto trazido
pela LGPD, é preciso que esse tema seja revisitado justamente no ter-
ceiro passo do método ora apresentado: deve-se verificar se as medidas
adotadas para a proteção da transparência, ainda que eficientes, não se
revelam excessivamente gravosas a esse interesse privado mais do que
nunca protegido pelo sigilo. Além disso, é importante considerar – e
na medida do possível mensurar – o aumento do peso desse interesse
privado em razão do advento da nova lei (CANHADAS, 2020).
Portanto, os parâmetros jurídicos aqui tratados podem,
inclusive, ganhar maior clareza e solidez com o auxílio dos princípios
insculpidos na LGPD, tais como os da necessidade, adequação e finali-
dade, além das hipóteses legais de tratamento e compartilhamento de
dados no âmbito do setor público. Um stakeholder fundamental para
impulsionar a LGPD no Brasil e no mundo é a Autoridade Nacional de
130
Proteção de Dados, criada oficialmente no fim de agosto de 2020. A

ANPD figurará como guardiã da LGPD, e atuará para garantir que a LAI
não seja mitigada no processo de incremento da proteção de dados no
Brasil, isto é, agirá para que a LGPD conecte-se e compatibilize-se com
a LAI de forma equilibrada.
Desta forma, objetivando a análise do caso concreto ora
proposto, questiona-se se a mencionada medida adotada para a pro-
teção da transparência (a divulgação dos vencimentos tal qual adotada
por muitos órgãos da administração atualmente, com nome, cargo e
rendimentos detalhados dos agentes) é, ainda que eficiente, dema-
siadamente gravosa em relação à intimidade. Caso não seja, a res-
posta será no sentido de sua proporcionalidade. Sendo considerada
exageradamente gravosa, então a decisão dependerá dos pesos que
forem atribuídos a cada um dos direitos fundamentais diante do caso
concreto (CANHADAS, 2018).
Nesse ponto do sopesamento fundamentado fica o ques-
tionamento: haveria de fato a necessidade de se divulgar o nome ou
CPF do servidor para se individualizar a informação relativa aos seus
vencimentos? Não seria tão eficiente quanto – e menos gravoso à inti-
midade – apresentar uma lista com os cargos e funções, porém sem os
nomes ou outras referências que indicassem expressamente a pessoa
a que aquele vencimento diz respeito?
Contudo, mesmo antes da publicação da LGPD, entendía-
mos que não haveria necessidade de se divulgar o nome e qualquer
outro elemento de fácil identificação (iniciais, endereço, CPF, etc.) do
servidor público, sendo plenamente compatível com a transparência
administrativa a menção apenas a esses elementos de identificação
(cargo e função) ou mesmo a uma numeração qualquer referida pelo
órgão, por exemplo, um número de matrícula, um registro funcional ou
qualquer outro elemento que permitisse sua individualização.
131
Ressalta-se que a decisão liminar que posteriormente foi

confirmada pela decisão do STF, sob o voto do então presidente
Ministro Gilmar Mendes, mencionava exatamente a possibilidade de
se buscar soluções alternativas ou intermediárias. E completou o Mi-
nistro “No caso em questão, uma solução hipoteticamente viável para
a finalidade almejada seria a substituição do nome do servidor por sua
matrícula funcional” (CANHADAS, 2020).
Assim, essa já seria a solução mais compatível com o sopesa-
mento fundamentado: a adoção de medidas um pouco menos restri-
tivas à intimidade e tão eficientes quanto para o fim de promover a
transparência.
5. CONCLUSÃO
Como já dissemos acima, a proteção à intimidade alçou outro
patamar com a LGPD. Há, agora, uma lei nacional rigorosa e detalhada,
que explicita a preocupação do legislador pátrio com o zelo por um
direito fundamental. E essa novidade não é meramente decorativa: ela
faz com que o intérprete tenha ainda mais cuidado sempre que estiver
diante de um caso de sopesamento envolvendo potenciais restrições a
tal princípio.
No atual cenário a observância dos rígidos conceitos de sigilo
e publicidade perde espaço para análises contextuais, funcionais e
dinâmicas, que atentam para os riscos e os danos vinculados a um caso
concreto. Logo, o sigilo deve ser interpretado apenas como um dos
meios técnicos e administrativos disponíveis e que podem ser adota-
dos com o mesmo objetivo.
Ao definir dado pessoal como toda informação relacionada a
uma pessoa natural identificada ou identificável, e garantir a privaci-
dade e a proteção da não comunicação dos referidos dados fora das
hipóteses legais, a LGPD exigirá uma nova interpretação do STF sobre
132
o tema, em especial sobre quais dados pessoais de servidores públicos

poderão ser informados à população sem violar a sua privacidade.
Análises precisam considerar o contexto do caso concreto.
Com isso, será necessário reavaliar processos internos e contratos
com entidades privadas, questionar a necessidade de coleta ou publi-
cação de determinados dados pessoais e adotar medidas adicionais de
prevenção e segurança que minimizem os riscos de acidentes e acessos
não autorizados.
Importante ressaltar que, mesmo os dados pessoais a que se
atribuam publicidade, são protegidos pela lei, devendo ser observados
os direitos do titular, bem como a “finalidade, boa-fé e o interesse pú-
blico que justificaram a sua disponibilização” (Art. 7º, §§ 3º e 4º, LGPD).
Observamos hoje um panorama mais cristalino, previsível e
confiável, capaz de provocar um aprimoramento das relações e comu-
nicações a partir de parâmetros mais objetivos e universais, avessos,
portanto, a casuísmos e peculiaridades contextuais.
Em suma, antes ou depois da publicação da LGPD, nossa con-
clusão decorrente do método de sopesamento é a de que, tal como
prevista absolutamente pela LAI, a divulgação de vencimentos já era
a continua sendo necessária. Por outro lado, tal como vem sendo
executada por grande parte dos órgãos e entidades públicas, a medida
vem se mostrando excessivamente gravosa à intimidade, podendo-
-se lançar mão de outras medidas alternativas tão eficazes quanto à
promoção da transparência, porém veiculadoras de restrições menos
significativas, como poderia se dar, repita-se, com a menção a números
de matrícula ou de registros funcionais.
Com isso, após o advento da LGPD, a adoção dessas novas
medidas passou a ser imperativo legal e a divulgação dos vencimentos
de funcionários deixou de ser aparentemente inconstitucional para
ser também ilegal, por atentatória à nova lei, em manifesta afronta aos
133
seus Art. 2º e 17. Isso significa que, a nosso ver, fosse a mesma ques-
tão reapresentada ao Poder Judiciário agora, já sob a égide da LGPD,
provavelmente teríamos um resultado diferente. Não no sentido de
se afastar a obrigatoriedade de divulgação de vencimentos, mas no
sentido de se impor medida mitigatória da restrição à intimidade, qual
seja, a determinação para que não se mencione o nome do funcionário
público atrelado à informação dos valores recebidos.
Enfim, a LAI e a LGPD são grandes aquisições culturais e sociais,
significativas e perfeitamente alinhadas com os desafios de uma so-
ciedade da informação. Assim, além desse, novos conflitos surgiram,
sobretudo nos primeiros anos de vigência da LGPD, e a solução para
o presente tema virá com a regulamentação do direito de acesso aos
dados pessoais pela ANPD, em especial do servidor público, na quali-
dade de órgão regulador do tema dados pessoais e com a releitura da
matéria pelo STF, agora com o viés da privacidade.
REFERÊNCIAS
ALEXY, Roberto. Teoria dos Direitos Fundamentais. 2 ed. Trad. De Virgílio
Afonso da Silva. São Paulo: Malheiros, 2011.
BASTOS, Celso Ribeiro; MARTINS, Ives Gandra. Comentários à Constituição
do Brasil. v. 2. São Paulo: Saraiva, 1989.
BRASIL. Lei nº 12.965, de 23 de abril de 2014.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018.
BRASIL. Supremo Tribunal Federal. Notícias do STF. Disponível em: http://
www.stf.jus.br/portal/cms/verNoticiaDetalhe5.o=212003. Acesso em: 9 jun.
2015.
CASTELLS, Manuel. Sociedade em rede: a era da informação - Economia,
Sociedade e Cultura. v.1. Rio de Janeiro: Paz e Terra, 2003.
CANHADAS, Fernando A. M. O Direito de Acesso à Informática Pública: O
Princípio da Transparência Administrativa, Appris, Curitiba, 2018.
134
CANHADAS, Fernando A. M. A Lei de Acesso à Informação e a Lei Geral de

Proteção de Dados: a transparência proibida. São Paulo: Revista dos Tribu-
nais, 2020.
FERRAZ JÚNIOR, Tércio Sampaio. O direito à privacidade e os limites à função
fiscalizadora do Estado. Disponível em: <http://www.terciosampaioferrazjr.
com.br/?q=/publicacoes-cientificas/28>. Acesso em: 06 mais. 21.
JÚNIOR, Walter Nunes da Silva. Direito de Acesso à Informação. Revista de
Direito do Estado, ano 3, n. 9, jan./mar. 2008.
HAAB, Tuiskon Bejarano. Entre a Privacidade Individual e o Direito à Informa-
ção. Brasília: Revista da AGU, 2020.
LAFER, Celso. A reconstrução dos direitos humanos (um diálogo com o pen-
samento de Hanna Arendt). Cia das Letras, 1988.
MENDES, Gilmar Ferreira; COELHO, Inocêncio Mártires; BRANCO, Paulo
Gustavo Gonet. Curso de Direito Constitucional. São Paulo: Saraiva, 2008.
RUARO, Regina Linden; LIMBERGER, Temis. O Direito de Privacidade do Ser-
vidor na Lei de Acesso à Informação e sua consequência no Crime de Violação
do Sigilo Funcional. Revista de Estudos Criminais, ano X, n. 46. São Paulo:
Síntese, 2012.
ROUVROY, Antoinette. Privacy, Data Protection and the Unprecedented
Challenges of Ambient Intelligence. In: Studies in Ethics, law and Technology,
2008, v. 2, Issue 1. Disponível em:<http://works.bepress.com/antoinette_rouvr
oy/2>. Acesso em: 15 mai. 2020.
STF - SS: 3902 SP. Relator: Min. CEZAR PELUSO (Presidente), Data de
Julgamento: 01/03/2011, Data de Publicação: DJe-045 DIVULG 09/03/2011
PUBLIC 10/03/2011
WIMMER, Miriam. O Regime Jurídico do Tratamento de Dados Pessoais pelo
Poder Público. Editora Forense. Rio de Janeiro, 2021.
135
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
TRANSFERÊNCIA
INTERNACIONAL DE DADOS PESSOAIS
Daniel Cesar
Ednaldo Lucio dos Santos Júnior
Marcia Cristina de Castro
Resumo:
Em uma Sociedade da Informação os dados são a mola propulsora desta sociedade e
o fluxo de dados não fica restrito a localidades geográficas, ocorrendo transferências
para diferentes jurisdições. A Lei Geral de Proteção de Dados possui artigos que
referem a transferência internacional a fim de manter os direitos e garantias aos
titulares dos dados pessoais. Não temos definições robustas, até o presente momento,
sobre transferência internacional como existem em outras localidades, o que nos faz
buscar formas baseadas em outras jurisdições. O presente trabalho busca trazer o due
diligence como uma forma de se obter uma relação de transferência internacional de
maior segurança, com foco nos direitos e garantias dos titulares envolvidos.
Palavras-chave: Privacidade e proteção de dados. Sociedade da Informação.
Transferência Internacional de dados pessoais. Due Diligence.
Abstract:
In an Information Society, data is the driving force behind this society and the flow of data
is not restricted to geographic locations, with transfers occurring to different jurisdictions.
The Brazilian General Data Protection Law has articles that refer to international transfer
in order to maintain the rights and guarantees of the holders of personal data. Today we
don’t have robust definitions to date about international transfer as exist in other locations,
which makes us look for forms based on other jurisdictions. The present work seeks to
bring due diligence as a way to obtain a more secure international transfer relationship,
focusing on the rights and guarantees of the holders involved.
Keywords: Privacy and data protection. Information society. International Transfer of
personal data. Due Diligence.
1. INTRODUÇÃO
Na busca de produção social de riqueza, a sociedade passou por
várias transformações, existindo dentro de cada uma dessas fases um
elemento central nesse desenvolvimento. Na fase pós-industrial, o ad-
136
136
136 136
vento da globalização, o uso das inovações na cadeia produtiva indus-

trial e o sistema econômico em geral geraram incremento e a poten-
cialidade das intervenções do homem no ambiente, influenciando nas
formas de organização social, produzindo riscos globais ocasionando
perdas das certezas. A forma com que a sociedade se organiza em res-
posta a essas incertezas, ganhou o nome de sociedade de risco, termo
usado pelo sociólogo alemão Ulrich Beck1 em seu livro “Sociedade de
Risco”, onde afirma que na modernidade a produção social de riqueza é
acompanhada sistematicamente pela produção social de riscos.
Como destacou o sociólogo e investigador do Instituto de Ci-
ências Sociais da Universidade de Lisboa, Doutor José Luiz Garcia2 em
seu artigo “Uma crítica da economia da informação na era das mídias
digitais”: Com a competitividade surge a necessidade de processamen-
to em grande escala, proporcionado pelo grande avanço tecnológico
computacional, que impactou não apenas as empresas, mas o cotidia-
no da população mundial, tornando intenso a utilização da informação,
não só como elemento econômico, mas também sociocultural, conso-
lidando a utilização dos termos economia da informação e sociedade
da informação.
1 BECK U. Sociedade de risco: rumo a uma outra modernidade. Tradução de Sebastião

Nascimento. São Paulo: Ed. 34; 2010. 368 p
2 GARCIA, José Luís - Artigo: Uma crítica da economia da informação na era das mídias digitais
- Revista Novos Olhares - Vol.4 N.1 DOSSIÊ Revista Novos Olhares - Vol.4 N.1 DOSSIÊ
| - “...Bell (1960/1973) convergiu com a ideia de “economia da informação” desenvolvida
pelos economistas Machlup (1962) e Porat (1977) #, que diagnosticaram na economia
estadunidense a emergência de um novo setor, quaternário, voltado para a formação e
oferta de informação ao mercado. Se até a década de 1980 a ideologia econômica dominante
enfatizava a capacidade produtiva - sobretudo industrial, com o investimento em capital fixo
e na interpretação dominante das economias pós-industriais -, a ênfase passou a ser colocada
no processo de aquisição e gestão do conhecimento, associado à gestão da informação. Para
descrever esse princípio motor da nova economia, onde a inovação técnica e científica,
assim como a inovação em políticas sociais, é fundada sobre a codificação de conhecimentos
teóricos, foi introduzida a noção de “sociedade do conhecimento” – retomada, por exemplo,
por Stehr (1994) # e Dunning (2000) # –, que é geralmente usada enquanto sinônimo do
conceito de “sociedade da informação...”. -www.revistas.usp.br/novosolhares/article/
download/102233/102682/ acessado em 08-04-2019
137
137
A informação passou a ser um ativo importante para a organi-

zação e para seus negócios, assim como para seus concorrentes. Con-
siderando que cada vez mais, a realização de transações econômicas
depende da informação, fica claro que sua indisponibilidade acarreta
prejuízo financeiro e faz dela talvez o bem mais valioso da organiza-
ção. Por isso, ela precisa ser preservada e bem gerenciada3. Os dados
pessoais, nessa nova economia, passaram a ser “um insumo principal
da atividade econômica em todos os setores possíveis da sociedade’’.
De novos ativos derivam produção de novos riscos, surgindo
a necessidade da formação de uma comunicação jurídica acerca des-
tes, cabendo ao Direito uma exegese social, visando criar normas de
condutas adequadas à realidade que se impõem à sociedade e, assim,
instrumentalizar sistemas jurídicos que permitissem a convivência
pacífica, preservando o máximo de liberdade, igualdade e proteção
possíveis a cada indivíduo4.
A preocupação com o impacto do tratamento de dados pes-
soais sobre a liberdade civil e dos direitos fundamentais, levou o bloco
Europeu e outros países a criaram algum tipo de controle ou jurispru-
dência. Na Alemanha, por exemplo se regulou o fluxo de dados pesso-
ais por banco de dados, possibilitando a aprovação de legislações em
dois estados alemães, Hesse (em 1970) e Rheinland-Pflaz (em 1974), e
a própria República Federal Alemã editou sua norma em 27 de janeiro
de 1977. Já o Parlamento Europeu e o Conselho Europeu, aprovaram em
24 de outubro de 1995 a Diretiva 95/46/CE/1995, relativa à proteção
de pessoas singulares no tratamento de dados pessoais, sendo revoga-
da em 25 de maio de 2018 pelo regulamento 2016/679 (Regulamento
Geral de Proteção de Dados da União Europeia - GDPR).
3 ALBERTIN, Alberto Luiz / Pinochet, Luis Herman Contreras - Política de segurança de

informação: uma visão organizacional para sua formulação. São Paulo: Ed. Elsevier, 2010. P 1
4 MIRANDA, Leandro Alvarenga - A proteção de dados pessoais e o paradigma da privacidade -
São Paulo: All Print Editora, 2018. pp. 13.
138
138
A preocupação com a proteção de dados no Brasil, culminou

na inserção no sistema jurídico da Lei nº 13.709, de 14 de agosto de
2018, Lei Geral de Proteção de Dados Pessoal - LGPD, que foi alterada
pela Lei n.º 13.53, de 8 de julho de 2019, criando a Autoridade Nacional
de Proteção de Dados, que deve regulamentar vários dispositivos do
normativo de proteção de dados pessoais, como por exemplo § 3º do
Art. 11º; § 3º do Art. 13º; inciso V do Art. 18, parágrafo único do Art. 24;
dentre todos passíveis de regulamentação ou de avaliação, temos os
dispositivos relativos à transferência internacional de dados pessoais,
que após pouco mais de três anos ainda não foi regulado, o que dei-
xam empresas que exportam ou importam dados pessoais expostas,
sem saberem quais medidas adotar para estarem em conformidade
com a LGPD.
No Capítulo V da LGPD, encontramos os regramentos referen-

tes a Transferência Internacional de Dados, que somente é permitida
nos casos previstos no Art. 33. Nesse sentido, é importante entender
cada um desses dispositivos fundamentadores previstos no referido
Capítulo, dentre eles o previsto na alínea “a” do inciso II do Art. 33, que
requer do controlador, oferecimento e comprovação de garantias de
cumprimentos dos princípios, dos direitos do titular e do regime de
proteção de dados previstos na LGPD, na forma de cláusulas contratu-
ais específicas para determinada transferência.
Observa-se que o fiel cumprimento do dispositivo, imputa ao
controlador a responsabilidade de assumir, junto ao titular e ao órgão
fiscalizador, que o tratamento dos dados pessoais transferidos estará
em conformidade com a LGPD, ainda que o agente receptor dos dados
não esteja em um país que proporcione grau adequado de proteção de
dados pessoais. Não basta a garantia do agente internacional receptor
139
139
dos dados do fiel cumprimento do contrato, o referido inciso II do Art.

33, deixa claro que é o controlador (exportador dos dados pessoais)
que oferece, prova e garante o cumprimento da normativa por parte
do agente receptor.
Necessitando assim o controlador de um instrumento eficaz
de verificação de conformidade, que garanta que o agente receptor,
ainda que não esteja este submetido a um normativo específico de
privacidade e proteção de dados pessoais em seu país de atuação, uti-
liza-se de boas práticas e da governança no tratamento desses dados,
aproximando-se dos cuidados previstos na LGPD.
O § 1º do Art. 35, informa que na verificação das cláusulas
contratuais específicas deverão ser considerados os requisitos, as con-
dições e as garantias mínimas para a transferência, que observem os
direitos, as garantias e os princípios previstos na LGPD. Questiona-se
a inclusão de cláusulas contratuais referentes a LGPD, são suficientes
para atender tais questionamentos?
Enquanto a ANPD não criar regulamentos para a transferência
internacional de dados pessoais, como deve proceder o exportador de
dados que já transacionam com outros agentes, cujos países ainda não
se encontram regulamentados por legislação própria de proteção de
dados?
No mesmo sentido, quais os procedimentos necessários para
que o agente exportador de dados, possa assumir para si os riscos des-
sa nova relação, de que o agente receptor, cumprirá com os princípios
normativos da LGPD?
1.2 OBJETIVOS
A verificação de conformidade por parte do controlador, dar-se

o nome de compliance, que primeiramente encontrou sua necessidade
nas empresas ligadas à área financeira, com o advento da Lei nº 12.846,
140
140
de 01/08/2013, que dispõe sobre a responsabilização administrativa e

civil de pessoas jurídicas pela prática de atos contra a administração
pública, nacional ou estrangeira, cuja finalidade é de minimizar os
riscos e preveni-los, agregando ao valor ético a empresa, tanto em
relação ao seu público interno, funcionários e terceirizados, como nos
externos, clientes e parceiros comerciais, tornando-se um diferencial
no mercado, fato este seguido por muitas empresas, inclusive de ramos
diferentes.
Uma das ferramentas utilizadas na implantação do Programa
de Compliance é o processo de due diligence, que traduzido literal-
mente significa “devida cautela ou diligência”, tal definição ganhou uma
abrangência maior no mundo empresarial, ou seja, processo que visa
buscar informações sobre determinada empresa e pessoas com as
quais a empresa tem intenção de se relacionar, durante este processo
são analisadas informações fornecidas pela pessoa jurídica ou física
interessada e informações coletadas por meio de bases de dados pú-
blicas5.
Este trabalho tem como objetivo apresentar o processo de due
diligence, como uma ferramenta eficaz no mapeamento, estruturação
e análise de risco organizacionais sobre as informações coletadas do
agente receptor em que cujo país não dispões de normativos ou, ainda
que existam não proporcionem grau de proteção de dados pessoais
adequado aos princípios basilares da LGPD, criando assim uma base
de conhecimento de apoio aos gestores controladores dos referidos
dados na tomada de decisão acerca da contratação pretendida e na
gestão dos contratos oriundos destas relações.
específicos:
5 CASTRO, Rodrigo Pironti Aguirre de – Compliance e gestão de riscos nas empresas estatais – 2
ed. - Belo Horizonte: Fórum, 2019, pag. 139.
141
141
I) Entender o que é uma transferência internacional de

dados pessoais no contexto da Privacidade e Proteção de
Dados Pessoais;
II) Ressaltar como um outro país têm praticado transferên-
cias internacionais; e
III) Propor um caminho que busque dar maior garantia ao
processo de transferência internacional.
1.3 JUSTIFICATIVA
Atualmente a ANPD, se encontra com o processo de tomada

de subsídio aberto para coleta de colaborações da sociedade para ela-
boração do regulamento sobre transferência internacional de dados
pessoais.
Porém, essa demora em definir cláusulas padrões e avaliar
dentre outros, o nível de proteção de dados de países estrangeiros
ou organismo internacional, tem causado receio aos agentes que têm
hoje contratos em vigor em que existem a transferência internacional
de dados pessoais, cuja vigência antecede a edição da LGPD e juridica-
mente válidos, mas que podem causar danos à reputação da empresa,
pela não adequação a legislação ANPD.
Conforme aponta Bialer e Couto, foi a busca em conjugar o
caráter internacional dos fluxos de dados pessoais com a necessidade
de se garantir o direito à privacidade que levou o Comitê de Ministros
da OCDE (Organização para a Cooperação e Desenvolvimento Econô-
mico), ainda em 1980, a publicar as Diretrizes com princípios básicos,
porém não vinculativos, sobre proteção da Privacidade e o Fluxo
Transnacional de Informações Pessoais (OECD,1980, revisão de 2013)
entre os países membros da Organização. Por sua vez, em 28 de janeiro
de 1981 o Comitê de Ministros do Conselho da Europa abriu para as-
sinaturas a Convenção 108 para Proteção das Pessoas relativamente
142
142
ao Tratamento Automatizado de Dados de Caráter Pessoal (Europe,

1981), caracterizada ainda nos dias de hoje como o único instrumento
internacional juridicamente vinculativo sobre proteção de dados6.
Este é ainda hoje, o maior dos desafios para a aplicação efetiva
de uma legislação de proteção de dados pessoais, o controle sobre o
fluxo internacional de dados. A liquidez dos dados permite que sejam
transmitidos com uma velocidade enorme para outra jurisdição e o
titular, na maioria das vezes, nem fica sabendo onde suas informações
foram parar. A solução implementada no GDPR (General Data Pro-
tection Regulation), e que inspirou a LGPD (Lei Geral de Proteção de
Dados), para tentar minimizar os riscos aos titulares foi a de criar uma
série de regras para que as transferências internacionais possam ser
consideradas adequadas. Sem atendimento a tais regras, as transfe-
rências são ilegais7.
O Art. 42º da LGPD, assevera que o controlador ou o operador
que, em razão do exercício de atividade de tratamento de dados pesso-
ais, causar a outrem dano patrimonial, moral, individual ou coletivo, em
violação à legislação de proteção de dados pessoais, é obrigado a repa-
rá-lo e ainda no inciso I do mesmo Art. a responsabilidade solidária e o
operador por danos causados pelo tratamento, quando descumprirem
as obrigações da legislação ou instruções do controlador, equiparan-
do-se ao controlador nessas hipótese.
Logo, devem o controlador e/ou o operador, implementarem
procedimentos que identifiquem de forma clara se os agentes estão
em conformidade com a LGPD, seja nos contratos já vigentes, seja
6 BIALER, Ana Paula; COUTO, Priscila - artigo: Transferência internacional de dados pessoais:
antecedentes mundiais e sua aplicação na Lei n.º 13.709, de 14 de agosto de 2018 - Livro
Proteção de dados pessoais no Brasil: uma nova visão a partir da Lei nº 13.709/2018 - Ana
Claudia (Coord.). Belo Horizonte: Fórum, 2019, pág.228
7 KASEMIRSKI, André Pedroso - Proteção de Dados e Direitos Humanos: Extraterritorialidade
e a Soberania de uma Carta de Direitos da Internet - Coordenação Tarcisio Teixeira, Ed.
JusPodivm - Salvador, 2021. pág. 333.
143
143
nos novos contratos, isto quando ambos os agentes estão dentro do

território nacional.
No caso das transferências internacionais, hipóteses previstas
no inciso II do Art. 33, principalmente nas alíneas “a” e “b”, existe a ne-
cessidade de um instrumento que garantam que o agente receptor dos
dados cumpra os requisitos, as condições e as garantias mínimas para
a transferência e que observem os direitos, as garantias e os princípios
previstos na LGPD.
O artigo aborda a importância da implementação do processo de
compliance LGPD, principalmente os procedimentos de due diligence,
mapeamento e de análise de riscos do resultante das respostas e evidên-
cias apresentadas pelo agente receptor dos dados como ferramentas
para assunção dos riscos inerentes a transferência internacional de
dados pessoais, para países onde não existem legislação de proteção de
dados ou ainda que existam, não estão em conformidade com a LGPD
Este trabalho está organizado da seguinte forma. Iniciamos

com a Introdução, apresentando a motivação da pesquisa, o que será
encontrado pelo leitor, permitindo assim ter um primeiro contato com
o objeto deste capítulo.
Na sequência as seções de Problematização, Objetivos e Justifi-
cativa permitem ao leitor conhecer o porquê da escrita do tema Trans-
ferência Internacional de Dados Pessoais, qual o problema atualmente
observado no Brasil sobre essa temática e o que se espera verificar e
ter de resultados.
Passamos na sequência para o Referencial Teórico explicando
pontos importantes abordados nesta pesquisa, permitindo assim que
o leitor receba o embasamento necessário para compreender o que foi
aqui utilizado como base para a escrita da pesquisa.
144
144
Abordamos o caso da Transferência de Dados a partir da Argen-

tina. A escolha deste país se deve pela proximidade com o Brasil, não
escolhendo um exemplo europeu que normalmente é utilizado e pela
Argentina ter uma avaliação de maior robustez quanto a privacidade e
proteção de dados pessoais pelos europeus em comparação ao Brasil.
Por fim, o desenvolvimento passa pela due diligence, suas ba-
ses, funcionamento e como este pode auxiliar na atividade de garantias
necessárias para a transferência internacional.
Concluindo a pesquisa temos a seção de conclusão que faz o
fechamento do assunto, dando uma visão geral e o que foi encontrado
no desenvolvimento.
Nesta seção iremos abordar a teoria que será desenvolvida no
decorrer deste artigo, focando em pontos da Lei Geral de Proteção de
Dados e no compliance. Com isso pretende-se equalizar entendimen-
tos e dar a base a escrita que virá adiante.
2.1 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS - LGPD
2.1.1 OBJETIVOS, FUNDAMENTOS E PRINCÍPIOS
O Art. 1º8 da LGPD, informa que a Lei dispõe sobre o tratamen-

to de dados pessoais, inclusive nos meios digitais, por pessoa natural
ou por pessoa jurídica de direito público ou privado, com objetivo de
proteger os direitos fundamentais de liberdade e de privacidade e o
livre desenvolvimento da personalidade da pessoa natural.
8 Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais,
por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de
proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser
observadas pela União, Estados, Distrito Federal e Municípios
145
145
O legislador Deputado Miton Montim - PR/SP, deixa claro já

no teor da justificativa9 do projeto de Lei nº 4.060/2012, a pretensão
de que o projeto lei ordenasse os direitos individuais das pessoas, de
acordo com a CRFB/88, não tem a lei o cunho de impedir o tratamento
de dados pessoais, mas de regrar esse tratamento para que os direitos
do titular fossem respeitados.
Para atingir os objetivos e fundamentos da lei geral de proteção
de dados, respectivamente os Arts. 1º e 2º, o legislador no Art. 6º da
mesma lei, enumerou alguns princípios a serem seguidos nas atividades
de tratamento de dados pessoais, observando sempre a boa fé.
Didaticamente, Cots e Oliveira diferenciam fundamentos e
princípios, afirmando que aquele é sua base, o suporte sobre o qual se
sustenta alguma coisa. Já princípios, para qualquer área de conheci-
mento, são as estruturas ou colunas sobre as quais cresce uma ciência,
ou ainda a ideologia que, primeiramente, imanta-se sobre a construção
9 JUSTIFICATIVA
O presente Projeto de Lei tem por objetivo dar ordenamento jurídico e institucional ao tratamento
de dados pessoais, bem como a proteção dos direitos individuais das pessoas, de acordo com
a Constituição da República Federativa do Brasil.
O tratamento de dados é hoje uma realidade cada vez mais presente em nosso cotidiano,
especialmente quando experimentamos o avanço da tecnologia da informação, em especial
a internet e suas aplicações nas mais diversas áreas de nossa vida em sociedade. Até pouco
tempo era inimaginável pensar nas aplicações e na interação que a internet teria em nosso dia
a dia, ao mesmo tempo em que podemos imaginar que isso continuará em ritmo acelerado e
de incremento, tendo em vista a velocidade em que novas tecnologias são desenvolvidas para
a comunicação com as pessoas.
Dentro dessa realidade se faz necessário estabelecer normas legais para disciplinar tais relações,
especialmente para dar proteção à individualidade e a privacidade das pessoas, sem impedir a
livre iniciativa comercial e de comunicação.
[…]
Não há dúvida nenhuma que o Estado deve cuidar das questões gerais, mas é também evidente
que a sociedade é refratária ao excesso de tutela por parte do Estado e que deseja exercer na
plenitude seus direitos constitucionais inclusive o de receber se quiser comunicações pelos
meios disponíveis no momento.
Desta forma gostaria de pedir aos meus pares que possam aprovar a presente propositura.
146
146
do saber, conduzindo-o10. Pertinente, segundo eles é de observar a de-

finição fornecida pela doutrina, com a de De Plácido e Silva ao definir
princípios:
[...] Princípios, no plural, significam as normas elementares
ou os requisitos primordiais instituídos com base, como
alicerce de alguma coisa [ ] revelam o conjunto de regra ou
preceitos, que se fixam para servir de norma a toda espécie
e ação jurídica, traçando, assim, a conduta a ser tida em
qualquer operação jurídica [ ] exprimem sentido mais
relevante que o da própria norma ou regra jurídica [...].11
2.1.2 ABRANGÊNCIA DA LGPD
A competência territorial da LGPD está descrita no Art. 3º que

explicita da seguinte forma:
Art. 3º Esta Lei aplica-se a qualquer operação de trata-
mento realizada por pessoa natural ou por pessoa jurídica
de direito público ou privado, independentemente do
meio, do país de sua sede ou do país onde estejam locali-
zados os dados, desde que:
I - a operação de tratamento seja realizada no território
nacional;
II - a atividade de tratamento tenha por objetivo a oferta
ou o fornecimento de bens ou serviços ou o tratamento de
dados de indivíduos localizados no território nacional; e
III - os dados pessoais objeto do tratamento tenham sido
coletados no território nacional.
§ 1º Consideram-se coletados no território nacional os
dados pessoais cujo titular nele se encontre no momento
da coleta.
§ 2º Excetua-se do disposto no inciso I deste Art. o trata-
mento de dados previsto no inciso IV do caput do Art. 4º
desta Lei.
10 COTS, Marcio, OLIVEIRA, Ricardo - Lei Geral de Proteção de Dados pessoais comentada -
São Paulo - Thomson Reuters Brasil, 2018, pág. 57.
11 SILVA, De Plácido e. Vocabulário Jurídico. 18 ed. Rio de Janeiro: Forense, 2001, p 639
147
147
Temos assim uma competência que está baseada no público-al-

vo, isto é, aplica-se a lei brasileira se a coleta dos dados pessoais ocor-
rer no território nacional, se a oferta do serviço ocorrer em território
nacional ou se a operação de tratamento ocorrer neste. Desta forma,
mesmo sendo uma empresa estrangeira ou o tratamento ocorra no
exterior, aplicar-se-á a lei geral de proteção de dados (LGPD), podendo
assim ser aplicada a um titular não brasileiro, o que vale é o titular estar
no Brasil12. Por exemplo, uma empresa francesa que processe os dados
pessoais na França que colete dados de brasileiros no território nacio-
nal, estará sob a égide da LGPD, atendendo os incisos II e III do Art. 3º.
Existem ainda algumas exceções de não aplicação da LGPD que
explicita situações ligadas à segurança pública, defesa nacional, dentre
outras das quais destacamos para a presente pesquisa a constante no
inciso IV do Art. 4 º que versa:
Art. 4º Esta Lei não se aplica ao tratamento de dados
pessoais:
[...]
IV - provenientes de fora do território nacional e que não
sejam objeto de comunicação, uso compartilhado de da-
dos com agentes de tratamento brasileiros ou objeto de
transferência internacional de dados com outro país que
não o de proveniência, desde que o país de proveniência
proporcione grau de proteção de dados pessoais adequa-
do ao previsto nesta Lei (BRASIL, 2018, online).
Aqui temos uma situação em que ocorre transferência de da-

dos, mas que não se aplicaria a LGPD no caso de o país onde a coleta
ocorreu proporcione proteção de dados pessoais adequada. Caso não
proporcione, a LGPD seria aplicável. Um exemplo dessa situação é um
Operador em território nacional que receba dados oriundos de uma
localidade estrangeira que proporcione proteção de dados pessoais e
12 LIMA, Cíntia Rosa Pereira de; PEROLI, Kelvin. A Aplicação da Lei Geral de Proteção de Dados
do Brasil no Tempo e no Espaço. São Paulo: Almedina, 2020. p. 85
148
148
esses dados não sejam compartilhados com outros agentes no territó-

rio nacional e nem a transferência para outra localidade que não o de
proveniência. Nesse cenário não se aplica a LGPD13.
2.1.3 TRANSFERÊNCIA DE DADOS PESSOAIS
O Art. 33 da LGPD apresenta os casos em que uma transferên-

cia internacional pode ocorrer. Focaremos aqui nos itens do inciso II
deste Art., onde temos o controlador oferecendo e comprovando as
garantias do cumprimento dos princípios, direitos do titular e o regime
de proteção previsto na LGPD, essas garantias são com uma sucinta
descrição baseada do trabalho de Marcel Leonardi14:
I) Cláusulas contratuais específicas: Essas cláusulas são
confeccionadas pelo controlador e verificadas e apro-
vadas pela ANPD. Em caso de mudança, precisará ser
submetida novamente à ANPD para reavaliação; e
II) Cláusulas padrão contratuais: Trata-se de cláusulas
modelo criadas pela ANPD contendo as obrigações que
os envolvidos deverão cumprir para realizar uma trans-
ferência internacional. Esse tipo dispensa a verificação
e aprovação da ANPD como ocorre com as cláusulas
específicas, pois neste caso elas partem da ANPD.
No direito europeu essas cláusulas são as Standard Contractual
Clauses (SCC). A autoridade do Reino Unido (ICO) orienta que essas
cláusulas sejam cumpridas integralmente.
Apesar do nome cláusulas, na verdade trata-se de um contrato
com definições, direitos e obrigações a serem cumpridas entre as partes.
13 MENEZES, Joyceane Bezerra de; COLAÇO, Hian Silva. Quando a Lei Geral de Proteção de
Dados não se aplica. São Paulo: Thomson Reuters Brasil, 2020. p. 189
14 LEONARDI, Marcel. Transferência Internacional de Dados Pessoais. In: Tratado de Proteção
de Dados Pessoais. Bruno Bioni (coordenador executivo). Rio de Janeiro: Forense, 2021. p.
303.
149
149
I) Normas corporativas globais: Esse é um caso de trans-

ferências dentro de um mesmo grupo econômico, isso
é, uma empresa x em uma país transfere dados para a
empresa e em outro país, sendo elas do mesmo grupo
econômico A.
O correspondente no direito europeu são as Binding Corporate
Rules (BCRs) que são apresentadas à Autoridade para a aprovação e
em caso de mudanças, submetidas novamente para reavaliação.
As BCRs não trazem somente a transferência internacional,
descrevendo também medidas administrativas, organizacionais e
técnicas, os procedimentos, políticas adotadas pelo grupo econômico
quanto a proteção de dados pessoais.
I) Selos, certificados e códigos de conduta regularmente
emitidos: Neste caso, a Autoridade Nacional reconhece
selos, certificados e códigos de conduta. A ANPD deverá
designar organismos que realizem a validação das docu-
mentações.
Até o presente momento não temos os selos, certificados e
códigos estabelecidos pela ANPD e nem as cláusulas padrão para
serem utilizadas pelas partes. Dessa forma, as partes envolvidas em
uma transferência internacional devem tomar as medidas, mesmo que
tais orientações não estejam definidas, visando a garantia aos titulares
envolvidos. Nesse sentido, observar o que o direito europeu vem esta-
belecendo pode ajudar a dar um norte e priorizar as medidas técnicas,
administrativas e organizacionais.
2.2 COMPLIANCE
O termo compliance, origina-se do verbo inglês “to comply”, que

significa cumprir, executar, satisfazer, realizar o que lhe foi imposto. A
palavra compliance tem ganhado notoriedade entre os juristas no Bra-
150
150
sil e nos países em geral, sendo objeto de muitos estudos dogmáticos e

criminológicos15. No âmbito institucional e corporativo, o compliance
tem sido definido como o conjunto de disciplinas introduzidas na
empresa para fazer cumprir normas legais e regulamentares, políticas
e diretrizes estabelecidas para as suas atividades, bem como ferramen-
tas para evitar, detectar e tratar qualquer desvio ou inconformidade
nela existente16..
As regras de conduta incorporadas aos programas de com-
pliance cumprem uma dupla função. A primeira delas seria a de prote-
ção interna, que se resume em pacificar os comportamentos aceitáveis
para empresa e estabelecer as condutas que estão de acordo com seus
valores[...]. A segunda, por sua vez, tende a proteção externa, buscando,
desse modo, contribuir para a preservação de uma ordem pública (ética
externa da empresa), ainda que como caráter instrumental, vez que sua
vocação não é a de prevenção em geral de delitos, mas de exoneração
de toda e qualquer responsabilidade sus no âmbito empresarial17.
3. O CASO ARGENTINO PARA TRANSFERÊNCIA DE

DADOS INTERNACIONAL
A República da Argentina possui uma lei de privacidade e prote-
ção de dados desde o ano 2000, a lei 25.326 (Ley de Protección de los
Datos Personales). A Autoridade Nacional deste país estabeleceu um
contrato sobre transferência internacional de dados com obrigações
para aqueles que estão exportando e importando os dados, caso o
15 LUZ, Ilana Martins, Compliance e omissão imprópria - 1 remp. - Belo Horizonte: Editora D’
Plácido, 2018, p 23.
16 BENEDETTI, Carla Rahal – Criminal Compliance: Instrumento de Prevenção de Crime
Corporativo e Transferência de Responsabilidade Penal – São Paulo; Quartier latin editora,
2014., pág. 80.
17 DUTRA, Lincon Zub, Compliance no ordenamento jurídico brasileiro - Curitiba: Editora Juruá,
2018, p. 11.
151
151
destino não tenha o mesmo nível de proteção existente na Argentina.

O modelo prevê cessão de dados e a prestação de serviços de trata-
mento dos dados pessoais. Tais modelos estão presentes Disposición
60 - E/201618, o qual trazemos a parte referente às obrigações do
importador, aquele que recebe os dados.
Para a cessão de dados as obrigações de quem está importando
os dados são:
I) ter as medidas de segurança e confidencialidade neces-
sárias e eficazes para evitar adulteração, perda, consulta
ou tratamento não autorizado de dados, e que permitam
detectar desvios, intencionais ou não, sejam os riscos
oriundos da ação humana ou do ambiente técnico;
II) acesso apenas por pessoas autorizadas;
III) Tratar os dados baseado na Lei argentina de privacidade e
proteção de dados;
IV) verificação da legislação local (de quem está recebendo
os dados) se não há nada que impeça o cumprimento das
obrigações, garantias e princípios que são estabelecidos
no contrato de transferência;
V) só poderá tratar os dados para as finalidades estabeleci-
das entre as partes;
VI) ter um ponto de contato para atender as requisições que
sejam demandadas por quem está exportando, autorida-
de ou titular;
VII) disponibilizar as instalações de processamento de dados,
arquivos e toda a documentação necessária para proces-
samento, revisão, auditoria ou certificação a pedido do
exportador ou Autoridade;
18 ARGENTINA. Disposición 60 - E/2016. Disponível em: http://servicios.infoleg.gob.ar/

infolegInternet/anexos/265000-269999/267922/norma.htm Acesso em: 13 jun. 2022.
152
152
VIII) notificar sem demora o exportador na ocorrência de

fatos, tais como acesso acidental ou não autorizado;
IX) não ceder os dados pessoais que foram transferidos, salvo
se estabelecido no contrato ou quando for exigida por lei
ou autoridade competente, não excedendo o necessário;
X) atender às solicitações encaminhadas;
XI) nos casos de rescisão do contrato ou na impossibilidade
de cumprimento, deverá destruir os dados, devendo de-
monstrar isso e/ou reembolsar o exportador conforme
estabelecido no contrato; e
XII) manter registro da execução das obrigações assumidas,
disponibilizando a pedido do exportador ou Autoridade.
Para a prestação de serviço as obrigações de quem está impor-
tando os dados são:
I) tratar os dados somente em nome do exportador, em
conformidade com suas instruções e as cláusulas esta-
belecidas, devendo informar o exportador sem demora
caso não consiga cumprir;
II) deverá destruir os dados, certificando-se disso e/ou
devolverá ao exportador os dados pessoais que foram
objeto da transferência, quando o contrato for resolvido,
independente do motivo;
III) informar o exportador, obtendo seu consentimento
em caso de um subprocessamento, isso é, o importador
contratar um terceiro para apoiar no processamento dos
dados pessoais; e
IV) enviar imediatamente cópia do contrato do importador
com o subprocessador, devendo o contrato prever a
possibilidade de o exportador dar as instruções que julgar
necessário.
153
153
As medidas ‘a’, ‘b’, ‘c’, ‘d’, ‘e’, ‘f’, ‘g’, ‘h’, ‘i’, ‘j’ e ‘l’ presentes anterior-
mente são válidas também para as transferências com o intuito de
prestação de serviço.
Temos assim um contrato entre as partes que definem obriga-
ções tanto do importador quanto para o exportador e outras medidas
também. Esse contrato é assinado entre as partes (importador e ex-
portador de dados).
4. DUE DILIGENCE COMO PRÁTICA DE CONFIANÇA

PARA A TRANSFERÊNCIA INTERNACIONAL
4.1 O PROCESSO DE DUE DILIGENCE DE TERCEIROS
Uma das políticas pertencentes ao processo de compliance ado-

tadas por uma empresa encontramos a due diligence, processo que visa
buscar informações sobre outras empresas com as quais se pretende
criar um relacionamento, identificando riscos e contingências necessá-
rias que poderão ocorrer após a contratação, fornecendo informações
para avaliação dos gestores para aceite ou não dos riscos apontados.
Dentre as várias modalidades temos a due diligence de ter-
ceiros que serve como uma avaliação histórica para ajudar a levantar
irregularidades e desvios que não sejam aparentes na atividade
empresarial exercida por aquele com quem se deseja criar um rela-
cionamento contratual. para isso a empresa precisa de um processo
operável para avaliar e classificar os terceiros por graduação de risco
que representam ao negócio (baixo, médio ou alto risco); processos
claros e padronizados para conduzir auditorias, impondo exigências
contratuais relacionadas à ética e à conformidade, que a exigem e
incentivam (e proporcionam soluções para não cumprimento)19, e
19 ASSI, Marcos, HANOFF, Roberta Volpato, Compliance: como implementar- São Paulo:
Editora Trevisan, 2018, p 72.
154
154
monitorar a implementação de medidas, caso o contrato venha a ser

fechado.
A realização de uma due diligence, em regra, inicia-se no perío-
do de entendimentos iniciais entre as partes interessadas no negócio
ou transação, sendo firmado um acordo preliminar, onde são fixadas
regras do processo de due diligence, através de documento que apon-
tará as normas e os temas estratégicos relevantes a serem analisados,
para ambas as partes, tal procedimento ocorre na fase pré-contratual,
devendo constar determinadas garantias ao negócio, apresentando
cláusulas sobre possíveis indenizações por situações ocultas. As infor-
mações e documentos da empresa alvo será encaminhada finalizada
a primeira fase, trata-se de um checklist de informações que deverão
ser providenciadas pela empresa e seus gestores. Os documentos
fornecidos pela empresa configuram uma etapa do processo de due
diligence, devendo haver pesquisas extras, por meio de consulta de
banco de dados públicos para confirmar as informações apresentadas
pela empresa alvo20.
4.2 DUE DILIGENCE NO COMPLIANCE LGPD
Segundo a doutrina existem quatro momentos em que surge a

necessidade de se efetuar um processo de uma due diligence: a venda
ou aquisição de um negócio; a captação de recursos para financiar pro-
jetos de longa duração, que necessitam de uma maturação operacional,
elaboração de planos de liquidação de uma empresa; e na hipótese do
seu fechamento, quando não há mais condições de vendê-la 21.
Porém com a entrada em vigor da Lei Geral de Proteção de Da-
dos Pessoais (LGPD), um dos fatores mais importantes a conformidade
20 LOPES, Lúcia Ferreira, Caderno de Estudo e Pesquisa: Programa de Compliance - Brasília-DF:

Produção Equipe técnica de avaliação, revisão linguística e Editoração - Faculdade Unyleya, p 71.
21 ASSI, Marcos, HANOFF, Roberta Volpato, - op. cit., p. 81.
155
155
é conhecer a empresa com quem desejamos transferir, compartilhar

e ceder acesso aos dados pessoais, surgindo no mundo empresarial, a
necessidade de utilizar a ferramenta de processo de due diligence, em
um novo momento ou segmento de negócio, quando um dos agentes
de tratamento deseja realizar uma transferência, compartilhamento e
permitir acesso a dados pessoais sob sua responsabilidade para outro
agente. observa-se que tal entendimento independe do tipo de em-
presa, basta tratar dados pessoais e haver a necessidade de transferir,
compartilhar ou permitir acesso.
Assim sendo, o processo de due diligence poderá ser utili-
zado tanto pelo controlador, que é o responsável pela definição do
tratamento e a quem o titular cede os dados para tratamento, como
também pode pelo operador, uma vez que os dados recebidos pelo
controlador para tratamento devem respeitar os princípios basilares
da LGPD, cabendo ao operador verificar se tais princípios estão sendo
observados sob pena, ainda que por força contratual, encontra-se
tratando dados coletados de forma ilegal.
Quanto à questão responsabilidade do tratamento a ANPD em
seu Guia de Agentes de Tratamento22, destaca a responsabilidade do
controlador e operador são distintas e restritas ao âmbito do papel
de cada um no tratamento, cabendo em regra a responsabilidade pelo
tratamento ao controlador, sendo a responsabilidade solidária previs-
ta no inciso I, do parágrafo 1º do Art. 42º da LGPD, considerado uma
excepcionalidade.
22 ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do
Encarregado. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/
Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf Acesso em: 15 jun.
2022.
156
156
4.3 IMPLEMENTAÇÃO DO DUE DILIGENCE LGPD NAS

RELAÇÕES PRÉ-CONTRATUAIS COM AGENTES DE
TRATAMENTO DE DADOS PESSOAIS
Como visto anteriormente a doutrina até o momento apon-

tava a necessidade de utilização do processo de due diligence em
quatro situações, requerendo análise sob pontos estratégicos dife-
rentes para cada uma, apesar do surgimento de mais uma situação
relacionada a contratação de agentes de tratamento de dados, via de
regra o processo é composto por três etapas: pesquisa independen-
te, envio de formulário solicitando informações e documentos (neste
caso evidências das afirmações contidas no questionário), visita in
loco e entrevistas23.
Das etapas do processo de due diligence, a que mais se destaca
e certamente será a mais utilizada pelos agentes de tratamento de
dados pessoais, é a de envio de formulário solicitando informações
e documentos, a análise das informações decorrentes dessa fase do
processo deve ser estruturada de forma que apresente os riscos envol-
vidos na relação jurídica pretendida e, dessa forma, apoie os gestores
na tomada de decisão acerca da contratação e na eventual gestão dos
contratos celebrados24.
No item 17 do Guia Orientativo para Definições dos Agentes de
Tratamento de Dados Pessoais e do Encarregado da ANPD25, informa
que o papel de controlador pode decorrer expressamente de obriga-
ções estipuladas em instrumentos legais e regulares ou em contrato
23 ASSI, Marcos, HANOFF, Roberta Volpato - op. cit., p. 80.

24 CASTRO, Rodrigo Pironti Aguirre de - op. cit., pp. 143 e 145.
25 ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do
Encarregado.
Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/Segunda_Versao_
do_Guia_de_Agentes_de_Tratamento_retificada.pdf Acesso em: 15 jun. 2022.
157
157
firmado entre as partes26, sendo assim geralmente é o controlador

quem mais vai utilizar o processo de due diligence em relação pré-con-
tratual com controlador conjunto ou com operador.
4.3.1 IMPLEMENTAÇÃO DA FASE DE SOLICITAÇÃO DE

INFORMAÇÕES
Nesta fase pré-contratual, deve-se obter informações e solici-

tar documentos (que evidenciam as informações prestadas), através
de um acordo prévio, para saber se o agente de tratamento se encontra
adequado à legislação de privacidade e proteção de dados, observando
a adoção de medidas de segurança, técnicas e administrativas aptas a
proteger os dados pessoais de acessos não autorizados, acidentais ou
ilícitas; se estabelecem e implementam regras de boas práticas e de go-
vernança; se os dados pessoais são tratados encontram-se de acordo
com os princípios, requisitos e finalidades constantes nos dispositivos
da LGPD.
Sugere-se, em respeito aos requisitos contidos na LGPD, a
confecção de formulário que especifique em forma de quesitos, claros
e precisos sobre os assuntos chave referente a privacidade e proteção
de dados pessoais a serem tratados, além de um campo para registro
do documento que evidenciará a informação prestada, quais sejam:
I) Políticas e Cultura de segurança da informação (existên-
cia do plano de segurança; de controle de acesso digital
26 Nesse sentido são as orientações do European Data Protection Board - EDPB: “os conceitos
de controlador e operador são funcionais: eles visam alocar responsabilidades de acordo com
os papéis reais das partes. Isso implica que o status legal de um ator como ‘controlador’ ou
‘operador’ deve, em princípio, ser determinado por suas ações concretas em uma determinada
situação, ao invés da designação formal como sendo um ‘controlador’ ou ‘operador’ (por
exemplo, em um contrato).” (tradução livre). Guidelines 07/2020 on the concepts of controller
and processor in the GDPR. set. 2020, p. 9. Disponível em
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerpro-
cessor_en.pdf.
158
158
e físico; procedimento de backup e cópias de segurança;

divulgação e disponibilização da política de segurança
aos empregados, terceirizados, prestadores de serviço,
clientes e público em geral; de ações institucionais de
processo de aculturamento da política de segurança;
procedimento disciplinar pelo não cumprimento das
normas estabelecidas pelo agente; política de descarte
de documentos sigilosos etc.);
II) Gestão de ativos (Informações a respeito dos equipamen-
tos do agente, referente a inventário atualizado, software
de segurança, compartilhamento de arquivos ou pastas,
bloqueio de acesso a dispositivos, procedimento de retira-
da etc.);
III) Acesso remoto;
IV) Infraestrutura de nuvem;
V) Política de Privacidade e Proteção de Dados Pessoais –
LGPD;
VI) Gestão de Operações (processo de gestão de vulnerabili-
dade no ambiente de TI);
VII) Segurança nas comunicações (procedimento e soluções
de controle referentes a e-mails e telefones);
VIII) Acesso e concessão a ambiente de TI, via sistema, (utili-
zando de criação de perfil funcional, registro de controle
de acesso etc.);
IX) Sistema de Backup;
X) Data Center (Procedimento de controle referente ao
sistema computacional de uma empresa ou organização,
como um sistema de telecomunicações ou um sistema
de armazenamento de dados, além do fornecimento de
energia para a instalação, além de sistema de combate a
incêndio na área do Data Center);
159
159
XI) Gestão de Incidentes;

XII) Plano de Continuidade; e
XIII) Sistema de Conformidade e Auditoria.
O levantamento de dados não pode ser superficial. A ideia é
conquistar o máximo de informações, como o maior número de detalhes
possível, que espelham a maioria dos riscos, se não todos, e oportunida-
des que se pode esperar da nova contratação [...]. Ademais, deve solicitar
que lhe encaminhe relatórios de processos judiciais e administrativos nos
quais figure como parte, principalmente se envolver privacidade e pro-
teção de dados pessoais [...]. O tipo de documentação a ser requerida na
due diligence de terceiros deve como premissa o status e o histórico do
terceiro - tanto como seu [controlador ou operador] quanto, de um modo
geral, no setor em que atua, além do grau de dependência [do agente
pesquisador] em relação a ele (precisamente, seu grau de importância na
sua cadeia de valor). Quanto maior o risco que esse terceiro representa
aos seus negócios, seja por seu perfil, seja pela própria atividade fim por
ele desempenhada, mais criteriosa deve ser a diligência prévia, a qual
poderá contemplar, também, visitas in loco e auditorias, como meio de
confirmação do conteúdo que permeia a documentação fornecida27.
4.3.2 ANÁLISE DAS INFORMAÇÕES COLETADAS NO

PROCESSO DUE DILIGENCE LGPD
Entende-se que os deveres de diligência não se confundem com

os deveres de identificação, pois neste o agente pesquisador é obrigado
apenas a coletar os dados do outro agente de tratamento e os manter
atualizados, ao passo que nos deveres de diligência, há necessidade de
estreitamento do vínculo para a confirmação da veracidade dos dados
fornecidos [...]. Além disso, os deveres de diligência implicam na adoção
27 ASSI, Marcos, HANOFF, Roberta Volpato - op. cit., pp. 73 e 74.
160
160
de procedimentos para [...] comprovar as informações descritas, se

possível através de documentos hábeis.
O objetivo da due diligence é, literalmente, “descobrir os esque-
letos no armário”, identificar riscos e contingências que podem afetar
a relação depois do fechamento do negócio e, em níveis razoáveis de
investigação e avaliação, permitir ao agente pesquisador uma tomada
de decisão.
Nesses casos, a due diligence, além de ser uma ferramenta de
gestão contratual, também apoiará o desenvolvimento da matriz de
riscos contratuais, que como regra, dar-se-á pela área demandante, em
conjunto com a Diretoria responsável pela análise de Conformidade e
Gestão de Riscos, devendo contemplar, no mínimo, o evento de risco,
seu nível e os responsáveis pelo risco. A definição do responsável pelo
risco na matriz deverá ser imputada à parte que for a mais apta a evi-
tá-los ou eliminá-los a um menor custo, [...] podendo variar conforme
cada contratação [e a depender do papel do agente consultante] e ob-
jeto contratado. A matriz contratual, possui fundamental importância
na redução da assimetria de informação nos contatos e na mitigação
da responsabilidade por omissão que, identificados os eventos de risco,
mapeados e priorizados na matriz de acordo com o apetite da entida-
de, ainda que haja materialização de possível risco, é possível, diante
das circunstâncias do caso concreto, demonstra de forma objetiva a
inexistência de omissão dos envolvidos.
O passo seguinte ao processo de due diligence é identificar os
riscos na resposta do questionário, considerando na análise dos docu-
mentos que evidenciam a veracidade das informações prestadas, geral-
mente entendemos o termo risco como possibilidade de algo não dar
certo. Mas seu conceito atual no mundo corporativo vai além: envolve
a quantificação e a qualificação da incerteza, tanto no que diz respeito
às perdas quanto aos ganhos por indivíduos ou organizações, sendo
161
161
inerente a qualquer atividade. Sendo assim, temos como muito impor-

tante a gestão de riscos, que é a identificação, avaliação e priorização de
riscos, seguida de uma aplicação coordenada e econômica de recursos
para minimizar, monitorar e controlar a probabilidade do impacto de
eventos negativos ou maximizar o aproveitamento de oportunidades.
O objetivo da gestão de riscos é promover meios para que as incertezas
não desviem os esforços da organização de seis objetivos.
Para falarmos de riscos, uma palavra é fundamental: Objetivo. Se
não temos um objetivo, não há que se falar em eventos que podem atra-
palhar ou ajudar a atingi-lo. Dessa forma, nada será risco ou oportunida-
de. No entanto, se existe um objetivo, seja qual for a sua área de atuação,
há um risco de não o alcançar (ou pelo menos não de forma satisfatória)
e, dessa forma, faz todo o sentido gerenciarmos esses risco, que segundo
o Tribunal de Contas da União (TCU,2017B), são de diferentes naturezas,
podendo ser operacionais, quando compromete as atividades rotineiras
da organização; legais quando decorrem de alterações legislativas e
normativos que afetam as atividades da organização; de tecnologia da
informação, ameaças que exploram vulnerabilidades dos ativos infor-
macionais da organização, dentre outros. Para identificação dos riscos
podem ser utilizadas diversas técnicas, o importante é determinar, após
a identificação, o apetite de risco com que a organização está disposta
a “conviver” e quanto de risco ela precisa gerenciar. O apetite de risco
permite que as organizações determinem quanto elas estão dispostas a
assumir riscos para inovar a busca de objetivos.
4.4 COMPLIANCE LGPD NA TRANSFERÊNCIA

INTERNACIONAL DE DADOS PESSOAIS
A lei nª 13.709, de 14 de agosto de 2018 - LGPD, informa em seu

Art. 33, os casos em que é permitido a transferência internacional de
dados pessoais, considerando que a LGPD existe para proporcionar
162
162
aos titulares e agentes de tratamento maior transparência e segurança

jurídica quanto ao dados pessoais, e se a lei possui limitação territorial,
não incidindo sobre outros territórios que não o brasileiro ou fora
das hipóteses descritas no Art. 3º, é natural que o legislador tenha se
preocupado com o tratamento que, iniciado sob a égide da LGPD,
será transferido total ou parcialmente a países com ordenamento
jurídicos distintos sobre o tema da dados pessoais gerando riscos aos
seus nacionais. Assim a “transferência” disciplinada pelo Art. 33 é o ato,
praticado por agente de tratamento submetido à LGPD, no Brasil ou
no exterior, de dar ciência dos dados pessoais de outrem à pessoa física
ou jurídica não submetida à LGPD, em decorrência de estar localizada
em outro território que não o brasileiro.
O inciso I do Art. 33, permite a transferência internacional de
dados pessoais, para países ou organismos internacionais que propor-
cionem o grau de proteção adequado a LGPD, cabendo à ANPD avaliar
o nível de proteção de dados nesses países, conforme determina o Art.
34 da mesma lei, onde deverá ser considerado os quesitos constantes
nos incisos deste artigo.
Já os incisos de III a IX, dizem respeito aos casos de coope-
ração jurídica internacional entres órgãos públicos; necessidade de
proteção da vida ou incolumidade física do titular ou de terceiros; ca-
sos em que a transferência for resultado de acordos de cooperação
internacional; quando a transferência for necessária para execução
de políticas públicas ou atribuição legal do serviço público; quando
houver consentimento do titular que deverá ser informado clara-
mente sobre a finalidade da transferência; para atender às hipóteses
previstas nos incisos II, V e VI do Art. 7º da LGPD e finalmente, quando
a autoridade nacional autorizar a transferência. Infere-se que esses
incisos estão ligados à participação do Estado ou garantia do direito
do Titular.
163
163
Nos casos em que não há aprovação do país ou organismo

destinatário para a transferência internacional de dados pela ANPD,
os agentes de tratamento precisam adotar medidas compensatórias
por meio de aplicações de salvaguardas, que são garantias apropriadas
para o titular dos dados. Essas salvaguardas adequadas podem ser
elementos na construção de cláusulas contratuais específicas para a
transferência em questão. São essas salvaguardas que devem garantir a
conformidade da transferência internacional dos dados em relação aos
requisitos referentes à proteção de dados e aos direitos dos titulares
acobertados pela LGPD.
A necessidade das medidas de salvaguarda, fica evidenciado no
texto do inciso II do Art. 33, onde encontram-se previstos os casos em
que o controlador deverá oferece e comprovar garantias de cumpri-
mento dos princípios, dos direitos do titular e do regime de proteção de
dados previstos na LGPD, podendo dividi-los em duas partes, a prevista
na alínea “d”, selos, certificados e códigos de conduta regularmente
emitidos, e os chamados “instrumentos contratuais”, compostos pelas
alíneas de “a” a “c”, respectivamente Cláusulas contratuais específicas,
Cláusulas-padrão contratuais e Normas Corporativas Globais, esta
última, funcionam com diretrizes a serem seguidas por empresas
pertencentes a um mesmo grupo corporativo para transferência inter-
nacional de dados pessoais, porém destaca-se que de acordo com o
caput Art. 35 da LGPD, que a Norma Corporativa Global adotada pelo
agente exportador dos dados pessoais, será objeto de verificação por
parte da ANPD.
São os chamados “instrumentos contratuais’’, prioridade na
regulamentação de transferência internacional de dados pessoais, por
parte da ANPD, que atualmente publicou o processo de tomada de
subsídio, para envio por colaboradores de elementos, informações e
dados relevantes ao processo de regulamentação, através de diferentes
164
164
atores. As informações são registradas na plataforma Participa Mais

Brasil, onde a ANPD afirma: “Dessa forma, dado que há urgência em se
regulamentar o tema, que iniciar pelas cláusulas-padrão contratuais é a
opção que disponibiliza à sociedade o mecanismo de maior alcance, e
que a regulamentação de cláusulas contratuais específicas e de normas
corporativas globais segue requisitos fundamentalmente similares aos
das CPCs, a ANPD optou por incluir nesse primeiro bloco de regula-
mentação esses três instrumentos, o que denominou de “instrumentos
contratuais...”.
Ainda segundo a ANPD, as Cláusulas-padrão contratuais (CPC)
tem sido os mecanismos de transferência internacional de dados mais
utilizados mundialmente, funcionando inclusive como ferramenta de
convergência entre diferentes sistemas, pois segundo a agência regula-
dora tal mecanismo permite compatibilizar, via instrumento contratual
as regras de proteção de dados diferente jurisdição.
Porém deve-se atentar para a determinação constante no
inciso II do Art. 33 da LGPD, de que dentre os casos em que é permitida
a transferência internacional de dados pessoais, o caso em que o con-
trolador oferece e comprove garantias de cumprimento dos princípios,
dos direitos do titular e do regime de proteção de dados previstos na
LGPD, deve o controlador, exportador dos dados pessoais, ter garan-
tias além das meras previsões contratuais, como por exemplo cláusulas
padrão.
Pois ao exportar dado pessoais, sem verificar através de outros
instrumentos, senão somente os contratuais, que o agente de trata-
mento que receberá os dados estão atentos para os princípios da segu-
rança, da prevenção e da responsabilização e prestação de contas (Art.
6º da LGPD), combinados com o dever de que o tratamento de dados
pessoais seja estruturado para atender os requisitos de segurança, os
padrões de boas práticas e de governança e os princípios gerais previs-
tos na LGPD (Art. 49), aumenta o risco de evitar o mau uso dos dados
165
165
pessoais por ele tratado, expondo a ele próprio e ao titular dos dados,
podendo incorrer processo administrativo, civil e ainda ser penalizado
com pesadas multas.
5. CONCLUSÃO
Vivemos hoje em uma sociedade em que os dados são a mola
propulsora do desenvolvimento e para dar maior poder de controle,
instrumentos para acompanhar e se opor, legislações de proteção de
dados têm surgido ao redor do mundo. O tratamento dos dados pes-
soais muitas vezes não ficam restritos a uma jurisdição, surgindo assim
a figura da transferência internacional de dados, havendo um capítulo
destinado a tratar sobre o tema na Lei Geral de Proteção de Dados
(LGPD).
Até o presente momento carecemos de orientações de como
deve-se proceder, a Autoridade Nacional de Proteção de Dados está
trabalhando em propostas para estruturar o tema. Até lá, o olhar sobre
outras jurisdições estruturadas a mais tempo serve de norte para se
entender e praticar os controles devidos. Neste contexto apresenta-
mos neste artigo o due diligence como um instrumento na temática.
Deve-se ter em mente que não é suficiente enviar um questio-
nário de due diligence e arquivar as informações ali registradas como
o “salvo conduto” de exclusão de responsabilidade, ou seja, o agente
pesquisado responde de forma a demonstrar, sem enviar documentos
que evidenciem suas respostas, inferindo-se que se encontra adequado
a Lei Geral de Proteção de Dados, assumindo neste momento todo o
risco pelo tratamento dos dados recebido, junto ao titular e aos órgãos
fiscalizadores.
O acesso às informações coletadas no questionário e aos do-
cumentos pelo agente de tratamento consultado, não tem valor se não
houver um processamento, pois “... Não devemos confundir informa-
ção com conhecimento. Informação é base para o conhecimento [...].
166
166
A única possibilidade de transformar informação em conhecimento

é a elaboração de critérios, de seletividade para que tudo aquilo que
se aprendeu não sirva apenas como mera informação, mas tenha uma
aplicabilidade, seja como ferramenta ou instrumento analítico...”.
A due diligence, além de ser uma ferramenta de gestão contra-
tual, também apoiará o desenvolvimento da matriz de riscos contra-
tuais, que como regra, dar-se-á pela área demandante, em conjunto
com a diretoria responsável pela análise de Conformidade e Gestão
de Riscos, devendo contemplar, no mínimo, o evento de risco, seu nível
e os responsáveis pelo risco. A definição do responsável pelo risco
na matriz deverá ser imputada à parte que for a mais apta a evitá-lo
ou eliminá-lo a um menor custo, [...] podendo variar conforme cada
contratação [e a depender do papel do agente consultante] e objeto
contratado. A matriz contratual, possui fundamental importância na
redução da assimetria de informação nos contatos e na mitigação da
responsabilidade por omissão que, identificados os eventos de risco,
mapeados e priorizados na matriz de acordo com o apetite da entida-
de, ainda que haja materialização de possível risco, é possível, diante
das circunstâncias do caso concreto, demonstra de forma objetiva a
inexistência de omissão dos envolvidos.
Apesar de focarmos aqui na transferência internacional,
ao nosso ver, a due diligence simples implementação de cláusulas
contratuais sobre privacidade e proteção de dados pessoais, não são
suficientes para que o agente de tratamento, possa assumir o risco
de transferência ou compartilhamento de dados, sem a utilização do
processo de compliance, utilizando como ferramenta de conhecimen-
to da organização para qual pretende se relacionar, no tratamento de
dados pessoais, o due diligence, seguido de mapeamento e tratamento
desses riscos, demonstrando a preocupação da organização com os
direitos e garantias dos titulares de dados envolvidos nos tratamentos
realizados entre as partes.
167
167
REFERÊNCIAS
ALBERTIN, Alberto Luiz; PINOCHET, Luis Herman Contreras. Política de se-
gurança de informação: uma visão organizacional para sua formulação. São
Paulo: Ed. Elsevier, 2010.
ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de
Dados Pessoais e do Encarregado. Disponível em: https://www.gov.br/anpd/
pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agen-
tes_de_Tratamento_retificada.pdf.
ANTONIO, Adriano Martins. Privacidade e Proteção de Dados Pessoais na
mira da LGPD. São Paulo: @PMG Academy, 2021.
ARGENTINA. Disposición 60 - E/2016. Disponível em: http: http://servicios.
infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm
Acesso em: 13 jun. 2022.
ASSI, Marcos, HANOFF, Roberta Volpato. Compliance: como implementar.
São Paulo: Editora Trevisam, 2018
BECK U. Sociedade de risco: rumo a uma outra modernidade. Tradução:
Sebastião Nascimento. São Paulo: Ed. 34, 2010
BENEDETTI, Carla Rahal. Criminal Compliance: Instrumento de Prevenção
de Crime Corporativo e Transferência de Responsabilidade Penal. São Paulo:
Quartier latin editora, 2014.
BIALER, Ana Paula; COUTO, Priscila. Transferência internacional de dados pes-
soais: antecedentes mundiais e sua aplicação na Lei n.º 13.709, de 14 de agosto de
2018. In: Proteção de dados pessoais no Brasil: uma nova visão a partir da Lei nº
13.709/2018. Ana Claudia (Coord.). Belo Horizonte: Fórum, 2019
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do
consentimento. Rio de Janeiro: Ed. Forense, 2019
2022.
BRASIL. Lei nº 12.846, de 01 de agosto de 2013. Dispõe sobre a responsabi-
lização administrativa e civil de pessoas jurídicas pela prática de atos contra
168
168
a administração pública, nacional ou estrangeira, e dá outras providências.

Brasília: Congresso Nacional, 2013. Disponível em: http://www.planalto.gov.
br/ccivil_03/_ato2011-2014/2013/lei/l12846.htm. Acesso em: março de 2022.
CARVALHO, Délton Winter de. Dano Ambiental futuro: a responsabilização
civil pelo risco ambiental. Porto Alegre: Livraria do Advogado Editora, 2013
CASTRO, Rodrigo Pironti Aguirre de. Compliance e gestão de riscos nas em-
presas estatais. 2 ed. Belo Horizonte: Fórum, 2019
COTS, Marcio, OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados pessoais
comentada. São Paulo: Thomson Reuters Brasil, 2018.
DUTRA, Lincon Zub. Compliance no ordenamento jurídico brasileiro. Curiti-
ba: Editora Juruá, 2018.
KASEMIRSKI, André Pedroso. Proteção de Dados e Direitos Humanos: Extra-
territorialidade e a Soberania de uma Carta de Direitos da Internet. Tarcisio
Teixeira (coordenação). Salvador: Ed. JusPodivm, 2021.
LEONARDI, Marcel. Transferência Internacional de Dados Pessoais. In: Trata-
do de Proteção de Dados Pessoais. Bruno Bioni (coordenador executivo). Rio
de Janeiro: Forense, 2021.
LIMA, Cíntia Rosa Pereira de; PEROLI, Kelvin. A Aplicação da Lei Geral de
Proteção de Dados do Brasil no Tempo e no Espaço. In: Comentários à Lei
Geral de Proteção de Dados. LIMA, Cíntia Rosa Pereira de (coordenadora).
São Paulo: Almedina, 2020.
LUZ, Ilana Martins. Compliance e omissão imprópria. 1 remp. Belo Horizonte:
Editora D’ Plácido, 2018.
MENEZES, Joyceane Bezerra de; COLAÇO, Hian Silva. Quando a Lei Geral de
Proteção de Dados não se aplica. In: Lei Geral de Proteção de Dados Pessoais
e suas repercussões no Direito Brasileiro. TEPENDINO, Gustavo; FRAZÃO,
Ana; OLIVA, Milena Donato (coordenadores). 2ª ed. São Paulo: Thomson
Reuters Brasil, 2020.
MIRANDA, Rodrigo Fontenelle de A. Implementação da gestão de riscos no
setor público. Belo Horizonte: Fórum, 2017.
MIRANDA, Leandro Alvarenga. A proteção de dados pessoais e o paradigma
da privacidade. São Paulo: All Print Editora, 2018.
169
169
MURRAY, Andrew. Information, Technology Law. New York: Oxford Univer-

sity Press, 2010.
SILVA, De Plácido e. Vocabulário Jurídico. 18 ed. Rio de Janeiro: Forense, 2001.
ZUBOFF, Shoshana. Big Other: Surveillance Capitalism and the Prospects
of an Information Civilization. Journal of Information Technology. 04 abr.
2015, p.78-79. Disponível em: https://papers.ssrn.com/sol3/papers.cfm?abs-
tract_id=2594754.
170
170
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
GESTÃO DE RISCOS, PRÁTICA

INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE
E PROTEÇÃO DE DADOS

Resumo:
Os vazamentos de dados estão cada vez mais frequentes, gerando impactos não
somente nas organizações que realizam tratamentos de dados pessoais, mas
principalmente nos titulares desses dados. A publicação da Lei nº 13.709/2018 (Lei
Geral de Proteção de Dados - LGPD) trouxe um grande desafio às organizações para
se adequarem a essa nova legislação. E nessa adequação, a gestão de riscos é parte
primordial para apoiar na tomada de decisão e assim evitar e/ou minimizar perdas, dada
a estratégia organizacional definida, além de apoiar no atingimento do compliance.
Com o propósito de apresentar boas práticas de gestão de riscos à privacidade
e proteção de dados pessoais (PPD), este artigo analisa características comuns
presentes em abordagens relacionadas ao tema, visando direcionar meios, apontar
mecanismos e propor estratégia de forma a apoiar uma organização na identificação
de riscos relacionados à PPD, em especial, riscos aos titulares de dados pessoais. O
conteúdo apresentado neste trabalho serve de base para qualquer organização que
deseje internalizar ou aprimorar a identificação de riscos à PPD. É possível observar
como resultado, uma intercessão entre riscos organizacionais, riscos de soluções
digitais e riscos aos titulares de dados pessoais e que um tratamento de dados pessoais
realizado de forma inadequada ou ilícita pode afetar tanto os seus titulares quanto a
organização que os trata.
Palavras-chave: riscos. gestão de riscos. privacidade. proteção de dados. controles.
avaliação de impacto.
Abstract:
Data leaks are increasingly frequent, generating impacts not only on organizations
that process personal data, but mainly on the holders of these data. The publication
of Law nº 13.709/2018 (Lei Geral de Proteção de Dados - LGPD) brought a great
172
172
challenge to organizations to adapt to this new legislation. And in this adequacy,

risk management is a key part to support decision making and thus avoid and/
or minimize losses, given the defined organizational strategy, in addition to
supporting compliance. With the purpose of presenting good practices of risk
management to privacy and personal data protection (PPD), this article analyzes
common characteristics present in approaches related to the theme, aiming to
direct means, point out mechanisms and propose a strategy in order to support
an organization in the identification of risks related to PPD, in particular, risks to
personal data holders. The content presented in this work serves as a basis for any
organization that wishes to internalize or improve the identification of risks to PPD.
It is possible to observe as a result, an intersection between organizational risks,
digital solutions risk and risks to personal data holders and that an inadequate or
illegal processing of personal data can affect both its holders and the organization
that treats them.
Keywords: risks. risk management. privacy. data protection. controls. impact
assessment.
1. INTRODUÇÃO
Cada vez mais a imprensa noticia incidentes de segurança
de grande magnitude. Os ataques cibernéticos não param! Diversos
vazamentos de dados pessoais são expostos, como se existissem
canos furados por todos os lados por onde passamos. Termos como
ransomware1 passou a fazer parte do cotidiano do cidadão comum.
Só em 2021 foram 2.686 ataques de ransomware que resultaram em
vazamentos de dados, um aumento de 82% em relação ao ano de 2020,
segundo o relatório “2022 Global Threat Report” (CrowdStrike, 2022).
Um exemplo recente, segundo Tilt/UOL (2022), foram os constantes
ataques de ransomware à Costa Rica, que afetou instituições governa-
mentais do país, como os ministérios da Economia, Trabalho e Previ-
dência, Tecnologia e Inovação, Telecomunicações e Desenvolvimento
Social, entre outros, causando prejuízos de milhões.
1 Segundo a empresa internacional de cibersegurança Kaspersky (a) (2022), a palavra ransom

(resgate em português) já diz muito sobre essa ameaça: “Ransomware é um software de
extorsão que pode bloquear o seu computador e depois exigir um resgate para desbloqueá-lo”.
173
A gravidade dos impactos na privacidade e proteção dos dados

pessoais, nesses ataques cibernéticos modernos, gerou um alerta nos
líderes globais de segurança da informação, pois as ações criminosas
não focam mais apenas em roubar informações de propriedade in-
telectual ou impactar a continuidade de negócios das organizações,
mas sim em vazar dados pessoais, inclusive sensíveis2, os quais podem
ocasionar risco para as liberdades civis e aos direitos fundamentais dos
titulares de dados pessoais.
Cabe ressaltar que o aceleramento da transformação digital,
provocado pelo período de pandemia, contribuiu notoriamente para
o avanço do cibercrime em escala mundial, como aponta o estudo
latino-americano “Impressões Digitais e sua relação com as pessoas
e as empresas” (Kaspersky (b), 2022). Um outro estudo realizado pela
Forrester Consulting em nome da Tenable (2021), Inc., The Cyber
Exposure Company, com mais de 1.300 líderes de segurança, execu-
tivos de negócios e funcionários remotos, incluindo 118 respostas do
Brasil, apontou que 75% dos ataques cibernéticos no Brasil resultou
de vulnerabilidades em sistemas e/ou aplicações que a organização
implementou em resposta à pandemia do Covid-19.
A corrida das organizações para adotarem novos meios de
acesso aos recursos corporativos e a migração da produção para a
nuvem de forma não estruturada, abriram brechas e ocasionaram
falhas e instabilidades, aumentando a exposição aos riscos. Somado
a isso, a habilidade cada vez maior dos cibercriminosos3, organizados
2 Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação
a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à
saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural
(Art.5º II, LEI GERAL DE PROTEÇÃO DE DADOS - LGPD, 2020)
3 “Crime cibernético é uma atividade criminosa que tem como alvo ou faz uso de um
computador, uma rede de computadores ou um dispositivo conectado em rede. Não todos,
mas a maioria dos crimes cibernéticos é cometida por cibercriminosos ou hackers que querem
174
em gangues cibernéticas extremamente preparadas para atacar, furar

bloqueios e roubar dados.
Segundo NBR ISO/IEC 29151 (ABNT, 2020):
O número de organizações tratando dados pessoais (DP)
está crescendo, assim como o volume de DP com que
essas organizações lidam. Ao mesmo tempo, as expecta-
tivas da sociedade em relação à proteção de DP e à segu-
rança de dados relacionados a indivíduos também estão
aumentando. Vários países estão incrementando suas
leis para lidar com o aumento do número de significativas
violações de dados.
À medida que o número de violações de dado pessoal
aumenta, as organizações que coletam ou tratam dado
pessoal precisarão cada vez mais de orientações sobre
como convém protegê-los, a fim de reduzir o risco de
ocorrência de violações de privacidade e o impacto de
violações na organização e às pessoas envolvidas. (ABNT
NBR ISO/IEC 29151, 2020).
Na prática, de forma a prever e tratar, sempre que possível,

os impactos aos titulares de dados pessoais, os riscos à privacidade e
proteção de dados devem ser gerenciados pelas organizações desde a
fase inicial de concepção de novos projetos, ou seja, antes que se inicie
o tratamento de dados pessoais.
Diante desse cenário desafiador, onde lidar com riscos faz
parte do dia a dia, a gestão de riscos exige uma mudança de mindset4,
com um olhar mais cuidadoso para os riscos e impactos aos titulares de
dados pessoais. É preciso alinhar os já existentes riscos organizacionais
com riscos inerentes às atividades de tratamento de dados pessoais,
ampliando o campo de visão para um profundo plano de gestão de
riscos.
ganhar dinheiro. O crime cibernético é realizado por pessoas ou organizações.” https://www.

kaspersky.com.br/resource-center/threats/what-is-cybercrime
4 Mindset é o conjunto de modelos mentais que influencia diretamente nossos comportamentos
e pensamentos, o que pode determinar o alcance do sucesso ou não. (FIA, 2022)
175
Com a publicação da Lei nº 13.709/2018, conhecida como Lei

Geral de Proteção de Dados - LGPD, em 14 de agosto de 2018 e o início
de sua vigência dois anos após esta data, muitas organizações precisa-
ram rever seus processos e definir planos de ação para se adequarem a
essa legislação.
E para essa adequação, há várias formas possíveis de atuação,
conforme as propostas de Kyriazoglou (2019) e Davoli et al (2020),
além de outras apresentadas no capítulo 1 “Implementação da Gover-
nança em Privacidade e Proteção de Dados” deste livro. O fato é que,
independentemente da estratégia adotada por uma organização para
se adequar à LGPD, em todas elas, a gestão de riscos é parte primordial,
dado que é um instrumento essencial para apoiar a alta administração
de uma organização na tomada de decisão e assim evitar e minimizar
perdas, ao se conseguir evitar consequências negativas e/ou minimizar
impactos de algo que não pode ser evitado, além de apoiar no atingi-
mento do compliance5 interno e externo, dentre outros benefícios. E
conforme a norma NBR ISO/IEC 31000 (ANBT, 2018), gerenciar riscos
é iterativo e auxilia as organizações no estabelecimento de estratégias,
no alcance de objetivos e na tomada de decisões fundamentadas.
Entretanto, cabe ressaltar que com a LGPD a gestão de riscos,
até então muito centrada em riscos organizacionais (IEC FDIS 27557
(ISO, 2022), carece de ter uma visão diferenciada, uma preocupação
direcionada a indivíduos, uma vez que a nova legislação empodera o
cidadão a titular de seus dados pessoais. Com isso as organizações
passam a se preocupar também como o tratamento de dados pessoais
sob sua responsabilidade pode afetar aos indivíduos, além dos impac-
tos para a própria organização.
5 Vem do verbo inglês “to comply”, que quer dizer estar de acordo, em conformidade. Ato de
obedecer a uma ordem, regra ou pedido. https://dictionary.cambridge.org/pt/dicionario/
ingles/compliance
176
Logo, uma questão importante a ser respondida é: como inte-

grar os riscos organizacionais às necessidades de gestão de riscos com
foco no titular de dados pessoais?
1.2 OBJETIVOS
O objetivo deste trabalho é apresentar boas práticas de gestão

de riscos em relação à legislação de proteção de dados pessoais vigente.
Para realizar o objetivo, foram definidos os seguintes objetivos
específicos:
I) Analisar as características comuns presentes nas abor-
dagens relacionadas à gestão de riscos que impactam a
privacidade e a proteção de dados;
II) Direcionar meios para identificar riscos organizacionais
relacionados ao tema privacidade e proteção de dados;
III) Apontar mecanismos para identificar riscos à privacidade
e proteção de dados nas soluções digitais; e
IV) Propor estratégias para identificar riscos aos titulares de
dados pessoais.
1.3 JUSTIFICATIVA
Ao gerenciar riscos, toda organização deve identificar controles

já implementados e controles necessários a serem implementados, de
modo a reduzir os riscos à níveis aceitáveis. Essas medidas de seguran-
ça estão previstas na LGPD em seu Art. 46, que diz:
Os agentes de tratamento devem adotar medidas de segu-
rança, técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações aciden-
tais ou ilícitas de destruição, perda, alteração, comunicação
ou qualquer forma de tratamento inadequado ou ilícito.
A LGPD ressalta a importância em gerenciar os riscos de priva-

cidade e proteção de dados pessoais quando em seu Art. 5º apresenta o
177
relatório de impacto à proteção de dados pessoais, também conhecido

como RIPD:
XVII - relatório de impacto à proteção de dados pessoais:
documentação do controlador que contém a descrição
dos processos de tratamento de dados pessoais que po-
dem gerar riscos às liberdades civis e aos direitos funda-
mentais, bem como medidas, salvaguardas e mecanismos
de mitigação de risco;
E complementa quando afirma que:

Art. 38. A autoridade nacional poderá determinar ao
controlador que elabore relatório de impacto à proteção
de dados pessoais, inclusive de dados sensíveis, referente a
suas operações de tratamento de dados, nos termos de re-
gulamento, observados os segredos comercial e industrial.
Adicionalmente, o Art. 44 dessa mesma lei considera que o tra-

tamento de dados pessoais será irregular quando deixar de observar a
legislação ou quando não fornecer a segurança que o titular dele pode
esperar, consideradas as circunstâncias relevantes, entre as quais, o
resultado e os riscos que razoavelmente dele se esperam.
A avaliação do impacto na privacidade e proteção de dados
pessoais também está presente nas obrigações do controlador em
comunicar os incidentes de segurança, conforme mencionado no Art.
48 da LGPD “o controlador deverá comunicar à autoridade nacional e
ao titular a ocorrência de incidente de segurança que possa acarretar
risco ou danos relevante aos titulares.”.
E como regras de boas práticas e de governança em privacidade, o
Art. 50 dessa lei traz a necessidade de as organizações implementarem um
programa que estabeleça políticas e salvaguardas adequadas, com base
em processo de avaliação sistemática de impactos e riscos à privacidade.
Contudo, mesmo as empresas acostumadas a gerenciar os seus
riscos organizacionais, evitando impacto nos negócios, precisam ainda
aprender a avaliar e tratar os riscos para os titulares de dados pessoais,
178
sejam eles clientes, empregados ou mesmo usuários de seus serviços

ou produtos.
Este trabalho está organizado em cinco seções. A primeira, in-

trodução, apresenta cenário e motivação, passando pela apresentação
do problema, descrição do objetivo geral e específico, a justificativa
para o tema que norteia este trabalho e a sua organização.
A segunda seção consolida a fundamentação teórica, apresen-
tando todo o arcabouço teórico que serviram de base para o desenvol-
vimento deste trabalho.
A seção três descreve o referencial metodológico, detalhando
como foi classificada a pesquisa quanto aos fins, aos meios de investi-
gação e quais foram as etapas da pesquisa.
A seção quatro apresenta a metodologia proposta pela pes-
quisa, onde é detalhado seu desenvolvimento, descrevendo como está
relacionado com cada elemento das referências é descrito cada um dos
seus componentes.
A seção cinco oferece as conclusões desta pesquisa, demons-
trando o vínculo da importância da metodologia com o problema, como
os objetivos foram alcançados e quais benefícios de sua utilização.
2.1 GESTÃO DE RISCOS
Segundo a norma NBR ISO/IEC 31000 (ABNT, 2018), a gestão

de riscos são atividades coordenadas para dirigir e controlar uma or-
ganização no que se refere a riscos, considerando risco como o efeito
da incerteza nos objetivos. Nessa definição, um efeito é um desvio em
relação ao esperado. Pode ser positivo, negativo ou ambos, e pode
abordar, criar ou resultar em oportunidade e ameaças.
179
Ainda segundo NBR ISO/IEC 31000 (ABNT, 2018), gerenciar ris-

cos é iterativo e auxilia as organizações no estabelecimento de estraté-
gias, no alcance de objetivos e na tomada de decisões fundamentadas,
como também é parte da governança e liderança, e é fundamental para
a maneira como a organização é gerenciada em todos os níveis. Isto
contribui para a melhora dos sistemas de gestão.
Na Figura 1 é possível observar os principais componentes de
um processo de gestão de riscos. Cabe ressaltar que o processo de
gestão de riscos é iterativo.
Figura 1 - Processo de Gestão de Riscos.
Fonte: NBR ISO/IEC 31000 (ANBT, 2018).
Segundo a norma NBR ISO/IEC 31000 (ABNT, 2018): convém

que o processo de gestão de riscos seja parte integrante da gestão e da
tomada de decisão, e seja integrado na estrutura, operações e processos
da organização. Pode ser aplicado nos níveis estratégico, operacional, de
programa ou de projetos. (ABNT NBR ISO/IEC 31000, 2018).
180
Enquanto a norma NBR ISO/IEC 31000 (ABNT, 2018) oferece

uma abordagem comum para gerenciar qualquer tipo de risco e não
é específica para qualquer indústria ou setor, a norma NBR ISO/IEC
27005 (ABNT, 2019) fornece diretrizes para a gestão de riscos de
segurança da informação em uma organização, sendo baseada no
método de identificação de riscos de ativos6, ameaças7 e vulnerabi-
lidades8. Apesar disso, é possível notar na Figura 2 a semelhança nas
mesmas em relação ao processo de gestão de riscos.
Figura 2 - Processo de Gestão de Riscos de Segurança da Informação.
Fonte: NBR ISO/IEC 27005 (ABNT, 2019).
6 Um ativo é algo que tem valor para a organização e que, portanto, requer proteção. (ABNT
NBR ISO/IEC 27005, 2019).
7 Ameaça: Causa potencial de um incidente indesejado, que pode resultar em danos a um
sistema ou organização. (ISO/IEC 27000(E), 2018).
8 Vulnerabilidade: Fraqueza de um ativo ou controle que pode ser explorado por uma ou mais
ameaças. (ISO/IEC 27000(E), 2018).
181
Em ambas as normas, não se fornece um método ou metodo-

logia específica para a gestão de riscos, cabendo à organização definir
sua abordagem ao processo de gestão de riscos, considerando, por
exemplo, seu contexto, seu setor de atividade, dentre outros.
Para apoiar a gestão de riscos, NBR IEC 31010 (ABNT, 2021)
possui para seleção, diversas ferramentas e técnicas, como exemplifi-
cado no Quadro 1, que podem ser usadas nas etapas de avaliação de
risco (identificação, análise e avaliação), de forma mais geral, sempre
que houver necessidade de compreender a incerteza e seus efeitos.
Quadro 1 - Exemplos de ferramentas e técnicas para avaliação de riscos.
Avaliação de Riscos
Ferramenta/Técnica
Identificação Análise de Avaliação de
de Riscos Riscos Riscos
Lista de Verificações X
FMEA/FMECA X
HAZOP X
Análise de Cenário X
SWIFT X
Análise Bow Tie X
LOPA X
Análise Bayesiana X
Análise de causa-consequência X
Mapeamento Causal X
ALARP/SFAIRP X
Diagrama frequência-número (F-N) X
Gráfico de Pareto X
Manutenção Centrada na Confiabilidade X
Índice de risco X
182
Já para NBR ISO/IEC 29100 (ABNT, 2020), uma norma que

fornece uma estrutura de alto nível para a proteção de dados pessoais
(DP) dentro de sistemas de tecnologia da informação e de comunica-
ção (TIC), risco de privacidade é o efeito da incerteza sobre a privaci-
dade. Segundo essa norma, o propósito da gestão de riscos é a criação
e proteção de valor. Ela melhora o desempenho, encoraja a inovação e
apoia o alcance de objetivos organizacionais em garantir a privacidade.
Porém destaca que a eficácia da gestão de riscos dependerá da sua
integração na governança e em todas as atividades da organização, in-
cluindo a tomada de decisão. Isto requer apoio das partes interessadas,
em particular da Alta Direção.
Segundo a norma NBR ISO/IEC 29100 (ABNT, 2020), a gestão
de riscos de privacidade é influenciada pelos seguintes fatores:
I) fatores legais e regulatórios para a salvaguarda da priva-
cidade da pessoa natural e para a proteção dos seus DP;
II) fatores contratuais, como acordos entre os muitos
diferentes atores, políticas internas de organizações e
normas corporativas;
III) fatores de negócios predeterminados por uma aplicação
de negócios específica ou em um contexto de caso de uso
específico; e
IV) outros fatores que podem afetar o projeto de sistemas
de TIC e os requisitos de salvaguarda de privacidade
associados.
Segundo NBR ISO/IEC 29134 (ABNT, 2020):

I) convém que a organização assegure que haja responsabi-
lização e autoridade para gerenciar riscos de privacidade,
incluindo a implementação e manutenção do processo
de gestão de riscos de privacidade e para assegurar a
adequação e eficácia de quaisquer controles. Isso pode
ser facilitado por:
II) especificar quem é o responsável pelo desenvolvimento,
implementação e manutenção da estrutura para geren-
ciar riscos de privacidade, e
183
III) especificar os proprietários de riscos para implementar

o tratamento de riscos de privacidade, manter controles
de privacidade e relatar informações pertinentes sobre
riscos de privacidade.
Dado o interesse crescente e a necessidade de abordar as dife-

renças entre o gerenciamento de riscos de segurança da informação
e o gerenciamento de riscos de privacidade, há uma minuta circulada
para comentários e aprovações do projeto de norma IEC FDIS 27557
(ISO, 2022), baseada na norma NBR ISO/IEC 31000 (ABNT, 2018), a
qual apresenta uma estrutura para avaliar o risco de privacidade orga-
nizacional, considerando o impacto da privacidade para os indivíduos
como um componente do risco organizacional geral.
2.2 AVALIAÇÃO DE IMPACTO DE PRIVACIDADE E

PROTEÇÃO DE DADOS
Para este trabalho, a terminologia avaliação de impacto de pri-

vacidade e proteção de dados será utilizado como sinônimo de análise
de impacto de privacidade (PIA) e também como sinônimo de avaliação
do impacto na proteção de dados (DPIA). Para o CNIL, o acrônimo “PIA”
é usado de forma intercambiável para se referir à Avaliação de Impacto
de Privacidade e Avaliação de Impacto de Proteção de Dados (DPIA).
Segundo ONETRUST, empresa internacional de soluções em
privacidade, segurança e governança, conceitualmente PIA e DPIA
são a mesma coisa, uma avaliação realizada em um novo produto ou
serviço para avaliar os riscos de privacidade associados, mas há uma
distinção entre eles, o DPIA possui elementos específicos definidos no
GDPR que devem ser considerados, os quais serão apresentados no
decorrer deste tópico.
Segundo a norma NBR ISO/IEC 29134 (ABNT, 2020), a análise
de impacto de privacidade (PIA) é um processo geral de identificação,
184
análise, avaliação, consultoria, comunicação e planejamento do tra-

tamento de potenciais impactos à privacidade com relação ao trata-
mento de dados pessoais, contidos em uma estrutura mais ampla de
gestão de riscos da organização. Essa norma fornece diretrizes para um
processo sobre avaliações de impacto na privacidade, e uma estrutura
e conteúdo de um relatório de PIA.
Ainda segundo a norma NBR ISO/IEC 29134 (ABNT, 2020), uma
PIA pode ser realizada para o propósito de:
I) identificar impactos de privacidade, riscos de privacidade
e responsabilidades;
II) fornecer entradas para a concepção de proteção da pri-
vacidade (às vezes chamada privacy by design);
III) analisar criticamente os riscos de privacidade de um novo
sistema de informações e avaliar seu impacto e probabi-
lidade;
IV) fornecer a base para a provisão de informações de priva-
cidade aos titulares de DP em qualquer ação recomenda-
da de mitigação de titulares de DP;
V) manter atualizações ou upgrades posteriores com
funcionalidade adicional suscetível a impactar os DP que
sejam manipulados; e
VI) compartilhar e mitigar riscos de privacidade com partes
interessadas, ou fornecer evidências relacionadas a com-
pliance.
Os resultados de uma PIA são formalizados num relatório, o

qual é divulgado às partes interessadas (titular do dado pessoal, gestor,
regulador, cliente), cada qual com suas expectativas. Por exemplo,
para o regulador, é um instrumento que contribui com evidências que
apoiam a conformidade com os requisitos legais aplicáveis. Já para os
titulares de dados pessoais trás segurança de que sua privacidade está
sendo protegida. (ABNT NBR ISO/IEC 29134, 2020).
Segundo a norma NBR ISO/IEC 29134 (ABNT, 2020), convém
que o relatório de PIA cumpra duas atribuições básicas. A primeira (in-
185
ventário) mantém as partes interessadas específicas informadas sobre

as entidades afetadas identificadas, o ambiente afetado e os riscos de
privacidade sobre o ciclo de vida das entidades afetadas, sejam eles
inerentes ou mitigadas. A segunda (itens de ação) é um mecanismo
de rastreamento das ações/tarefas que melhoram e/ou resolvem os
riscos de privacidade identificados. A sensibilidade na distribuição e
liberação das informações do relatório precisa ser claramente avaliada
e classificada (privada, confidencial, pública etc.).
Na LGPD esse relatório de PIA é denominado relatório de im-
pacto à proteção de dados, o qual possui a seguinte definição:
Art. 5º Para os fins desta Lei, considera-se:
XVII - relatório de impacto à proteção de dados pessoais:
documentação do controlador que contém a descrição
dos processos de tratamento de dados pessoais que po-
dem gerar riscos às liberdades civis e aos direitos funda-
mentais, bem como medidas, salvaguardas e mecanismos
de mitigação de risco;
Em relação a esse relatório, a LGPD cita:

Art. 10. § 3º A autoridade nacional poderá solicitar ao
controlador relatório de impacto à proteção de dados
pessoais, quando o tratamento tiver como fundamento
seu interesse legítimo, observados os segredos comercial
e industrial.
Art. 38. A autoridade nacional poderá determinar ao
controlador que elabore relatório de impacto à proteção
de dados pessoais, inclusive de dados sensíveis, referente a
suas operações de tratamento de dados, nos termos de re-
gulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste
artigo, o relatório deverá conter, no mínimo, a descrição
dos tipos de dados coletados, a metodologia utilizada para
a coleta e para a garantia da segurança das informações e
a análise do controlador com relação a medidas, salvaguar-
das e mecanismos de mitigação de risco adotados.
186
Embora esta lei não se aplique ao tratamento de dados pessoais

realizados para fins exclusivos de segurança pública, defesa nacional,
segurança do Estado ou atividades de investigação e repressão de
infrações penais, conforme explicitado no §3º do Art. 4º, para esses
casos o relatório de impacto à proteção de dados pessoais deverá ser
solicitado pela Autoridade Nacional de Proteção de Dados (ANPD) aos
responsáveis.
Importante destacar que, segundo a LGPD:
Art. 55-J. Compete à ANPD:
XIII - editar regulamentos e procedimentos sobre pro-
teção de dados pessoais e privacidade, bem como sobre
relatórios de impacto à proteção de dados pessoais para
os casos em que o tratamento representar alto risco à
garantia dos princípios gerais de proteção de dados pes-
soais previstos nesta Lei;
Entretanto, tais regulamentos e procedimentos ainda não

foram editados pela ANPD, não havendo, portanto, orientação dessa
Autoridade do que deve ser considerado como alto risco à garantia dos
princípios gerais de proteção de dados pessoais para que assim possa-
-se gerar o relatório de impacto à proteção de dados pessoais para o
tratamento em questão.
Nesse quesito a NBR ISO/IEC 29134 (ABNT, 2020) direciona:
Convém que a organização realize uma PIA nova ou atua-
lizada se perceber impactos na privacidade de:
I) uma tecnologia, serviço ou outra iniciativa nova ou pros-
pectiva, em que os DP sejam ou devam ser tratados,
II) uma decisão de que DP sensíveis (ver ABNT NBR ISO/IEC
29100:2020, 2.26) serão tratados,
III) alterações nas leis e regulamentos aplicáveis à privacida-
de, política e normas internas, operação do sistema de
informações, propósitos e meios para processar dados,
fluxos de dados novos ou alterados etc., e
IV) expansão ou aquisição de negócios.
187
Já o Regulamento Geral de Proteção de Dados da União Euro-

peia (General Data Protection Resolution – GDPR, 2016), exige uma
avaliação do impacto na proteção de dados (DPIA), em especial no
caso de:
I) uma avaliação sistemática e abrangente dos aspectos
pessoais relativos às pessoas singulares que se baseie no
tratamento automatizado, incluindo a definição de perfis,
e em que se baseiem decisões que produzam efeitos
jurídicos sobre a pessoa singular ou que afetem de forma
semelhante significativamente a pessoa singular;
II) tratamento em larga escala de categorias especiais de
dados referidas no Art. 9º parágrafo 1º da GDPR, ou de
dados pessoais relativos a condenações penais e infra-
ções referidas no Art. 10º da GDPR; ou
III) um monitoramento sistemático de uma área acessível ao
público em grande escala.
Embora a LGPD tenha sido inspirada no GDPR, pode-se obser-

var que este último possui um detalhamento a mais de quando se deve
realizar uma avaliação do impacto na proteção de dados. A GDPR cita
(tradução nossa):
Art. 35 parágrafo 4º. A autoridade supervisora deve esta-
belecer e tornar pública uma lista com os tipos de opera-
ções de tratamento sujeitas ao requisito de avaliação do
impacto na proteção de dados nos termos do parágrafo
1° deste artigo. A autoridade supervisora deve comunicar
essas listas ao Conselho referido no Art. 68.
Art. 35 parágrafo 5º. A autoridade supervisora pode tam-
bém estabelecer e tornar pública uma lista com os tipos
de operações de tratamento para as quais não é exigida
qualquer avaliação de impacto na proteção de dados. A
autoridade supervisora deve comunicar essas listas ao
Conselho.
Dado isso, European Commission (2017) define nove critérios de

processamento de operações passíveis de resultar em alto risco. Sugere
188
que, na maioria dos casos, qualquer operação de processamento envol-

vendo dois ou mais desses critérios, descritos abaixo (tradução nossa),
exija um DPIA. No entanto, em alguns casos, um controlador de dados
pode considerar que para um determinado processamento de dados
apenas um desses critérios é suficiente para requerer um DPIA:
1) Avaliação ou pontuação, incluindo perfil e previsão,
especialmente de aspectos relativos ao desempenho do
titular dos dados no trabalho, situação econômica, saúde,
preferências pessoais ou interesses, confiabilidade ou
comportamento, localização ou deslocamentos.
2) Tomada de decisão automatizada com efeito legal ou
similar significativo.
3) Monitoramento sistemático.
4) Dados sensíveis ou dados de natureza altamente pessoal.
5) Dados processados em larga escala.
6) Corresponder ou combinar conjuntos de dados.
7) Dados relativos a titulares de dados vulneráveis.
8) Uso inovador ou aplicação de novas soluções tecnológi-
cas ou organizacionais.
9) Quando o tratamento em si impedir que os titulares dos
dados exerçam um direito ou utilizem um serviço ou
contrato.
Já a Information Commissioner’s Office - ICO (a), também exige

que se faça um DPIA quando se planeja (tradução nossa):
1) usar tecnologia inovadora (em combinação com qualquer
um dos critérios das diretrizes europeias);
2) usar perfis ou dados de categorias especiais para decidir
sobre o acesso aos serviços;
3) perfil de indivíduos em larga escala;
4) processar dados biométricos (em combinação com qual-
quer um dos critérios das diretrizes europeias);
5) processar dados genéticos (em combinação com qual-
quer um dos critérios das diretrizes europeias);
6) combinar dados ou combinar conjuntos de dados de
diferentes fontes;
189
7) coletar dados pessoais de uma fonte diferente do indi-

víduo sem fornecer um aviso de privacidade (‘processa-
mento invisível’) (em combinação com qualquer um dos
critérios das diretrizes europeias);
8) rastrear a localização ou o comportamento dos indivídu-
os (em combinação com qualquer um dos critérios das
diretrizes europeias);
9) criar perfis de crianças ou direcionar marketing ou servi-
ços online para elas; ou
10) processar dados que possam colocar em risco a saúde
física ou a segurança do indivíduo em caso de violação de
segurança.
Enfim, observando o que as autoridades europeias têm definido

a respeito do tema é possível prever que em breve algo similar deverá
ser orientado pela ANPD.
Segundo ICO (b), a necessidade de identificar, avaliar e geren-
ciar os riscos de privacidade é parte integrante da responsabilidade.
Compreender os riscos, especificamente relacionados a maneira
como os dados pessoais estão sendo usados, é fundamental para
criar uma estrutura de gerenciamento de privacidade apropriada e
proporcional. Um DPIA é uma ferramenta essencial de gerenciamen-
to de risco e uma parte importante da integração da “proteção de
dados por design e por padrão” em toda a sua organização. Ele ajuda
a identificar, registrar e minimizar os riscos de proteção de dados dos
projetos.
2.3 CONTROLES DE PRIVACIDADE E PROTEÇÃO

DE DADOS
Uma vez que sejam identificados riscos de privacidade, é neces-

sário definir controles para o seu tratamento, de forma a evitar que este
risco se materialize ou, no caso de se materializar, que os impactos ao
titular de dado pessoal e/ou à organização, sejam os menores possíveis.
190
Segundo Art. 46 da LGPD, os agentes de tratamento devem adotar

medidas de segurança, técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados e de situações acidentais
ou ilícitas de destruição, perda, alteração, comunicação ou qualquer
forma de tratamento inadequado ou ilícito.
A NBR ISO/IEC 29151 (ABNT, 2020) estabelece objetivos de
controle, controles e diretrizes para implementar controles, para aten-
der aos requisitos identificados por uma avaliação de risco e impacto
relacionada à proteção de dados pessoais, fornecendo orientações
aos controladores de dados pessoais em uma ampla variedade de con-
troles de segurança da informação e de proteção de dados pessoais.
Cabe ressaltar que, essa norma se baseia nas diretrizes da NBR ISO/IEC
27002 (ABNT, 2013), adicionando novos controles específicos para a
proteção de dados pessoais.
Esses novos controles de proteção de dados pessoais, com suas
diretrizes associadas, são divididos em 12 categorias, correspondentes
à política de privacidade e aos 11 princípios de privacidade da NBR ISO/
IEC 29100 (ABNT, 2020), conforme abaixo:
1) Consentimento e escolha;
2) Especificação e legitimidade de objetivo;
3) Limitação de coleta;
4) Minimização de dados;
5) Limitação de uso, retenção e divulgação;
6) Precisão e qualidade;
7) Abertura, transparência e notificação;
8) Acesso e participação individual;
9) Responsabilização;
10) Segurança da informação; e
11) Compliance com a privacidade.
A LGPD traz em seu Art. 6º que as atividades de tratamento de

dados pessoais deverão observar a boa-fé e os seguintes princípios:
I) finalidade;
191
II) adequação;
III) necessidade;
IV) livre acesso;
V) qualidade dos dados;
VI) transparência;
VII) segurança;
VIII) prevenção;
IX) não discriminação;
X) responsabilização e prestação de contas.
Note-se que há uma certa similaridade entre esses princípios e

os citados na NBR ISO/IEC 29100 (ABNT, 2020). É muito importante
que uma organização, que trata dados em território nacional brasileiro,
ao definir seus controles para garantir privacidade e proteção de dados,
esteja atenta e se baseie nos princípios definidos na LGPD.
A NBR ISO/IEC 27701 (ABNT, 2019), traz em seus anexos A e
B, referências específicas de controles e objetivos de controle, com
foco no Sistema de Gestão da Privacidade da Informação - SGPI9,
respectivamente, para controladores de dados pessoais (DP) e para
operadores de DP.
Lembrando que, segundo a LGPD em seu Art. 5º define:
VI - controlador: pessoa natural ou jurídica, de direito
público ou privado, a quem competem as decisões refe-
rentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito públi-
co ou privado, que realiza o tratamento de dados pessoais
em nome do controlador;
Ainda em relação a essa norma, ela apresenta um conjunto

de objetivos de controle, com seus respectivos controles vinculados.
Por exemplo, um objetivo de controle para um controlador de DP é
determinar e documentar que o tratamento é lícito, com bases legais
9 Sistema de gestão da segurança da informação que considera a proteção da privacidade

como potencialmente afetada pelo tratamento de dado pessoal. (ABNT NBR ISO/IEC 27701,
p. 2, 2019)
192
conforme as jurisdições aplicáveis, e com propósitos legítimos e

claramente estabelecidos, e para isso será necessário a execução de
alguns controles, tais como: identificação e documentação do propó-
sito, identificação de bases legais, dentre outros. Cabe destacar que os
anexos A e B dessa norma estendem o Anexo A da norma NBR ISO/IEC
27001 (ABNT, 2013). Enfim, são objetivos de controles e controles que
direcionam um controlador ou operador de DP que têm responsabili-
dade e responsabilização com o tratamento de DP.
Uma outra opção para a seleção de controles de privacidade é
o Guia Complementar de Privacidade do CIS10 (CIS Controls Privacy
Guide). Os controles de segurança crítica do CIS são um conjunto prio-
rizado de ações que formam coletivamente uma abordagem de defesa
em profundidade e melhores práticas para mitigar os ataques mais co-
muns contra sistemas e redes. O guia está alinhado com os princípios
do FIPPs (Fair Information Practice Principles11) e ao GDPR (General
Protection Data Regulation), para ajudar a analisar as implicações de
privacidade de cada Controle do CIS.
Tão importante quanto a identificação de riscos à privacidade e
proteção de dados é a identificação de controles para tratar tais riscos
e assim evitar que eles se materializem, ou caso isso não seja possível,
minimizar seus impactos à organização e/ou ao titular de DP.
10 Center for Internet Security, Inc. (CIS). Uma organização sem fins lucrativos orientada pela
comunidade, responsável pelos Controles CIS e Benchmarks CIS®™, práticas recomendadas
reconhecidas globalmente para proteger sistemas e dados de TI. https://www.cisecurity.
org/insights/white-papers/cis-controls-v8-privacy-companion-guide-portuguese-
translation
11 FIPPS - Os Princípios de Práticas de Informação Justas, são um conjunto de oito princípios
relacionados ao uso, coleta e privacidade de dados. Eles foram publicados em 1980 pela
OCDE. Vários desses princípios estão incluídos em importantes estruturas de privacidade,
como no GDPR e na LGPD.
https://iapp.org/resources/article/fair-information-practices/
193

taxonomia de Gil (2017) para categorizar a pesquisa quanto à sua fina-
lidade, propósito geral e métodos empregados. Quanto à finalidade, a
pesquisa foi classificada como aplicada, uma vez que busca apresentar
e adaptar práticas ou abordagens de privacidade e proteção de dados
que possam ser empregadas na implementação da gestão de riscos.
A pesquisa bibliográfica teve como base legislações de privaci-
dade e proteção de dados, normas técnicas, livros e guias que versam
sobre essa temática, matérias a respeito publicadas em sites e direcio-
namentos dados por autoridades de proteção de dados internacionais.
A pesquisa foi organizada em etapas sequenciais. A primeira
consiste na identificação de abordagens teóricas relacionadas ao tema
privacidade e proteção de dados. A segunda etapa envolveu a definição
de estratégias para identificação de riscos à privacidade e proteção de
dados, em especial riscos aos titulares de dados pessoais.
4. DESENVOLVIMENTO
Tanto a NBR ISO/IEC 31000 (ABNT, 2018) quanto a ISO/IEC
27000 (ISO, 2018) definem riscos como: “efeito da incerteza nos ob-
jetivos”, demonstrando um alinhamento de definições. Como também
alinhadas na definição de gestão de riscos: “Atividades coordenadas
para dirigir e controlar uma organização no que se refere a riscos”.
194
Os riscos podem estar presentes em qualquer parte da estru-

tura ou atividade de uma organização, seja um departamento, projeto,
processo ou outra situação específica. Ou mesmo fora da organização,
para clientes e usuários de soluções digitais, estes, titulares de seus
dados pessoais.
Não há dúvidas quanto a importância da realização de uma
análise de impacto de privacidade, visto que, segundo NBR ISO/IEC
29134 (ABNT, 2020), ajuda a identificar questões de privacidade
antecipadamente e/ou reduzir custos de tempo de gestão, despesas
legais e potenciais preocupações de mídia ou públicas ao considerar
questões de privacidade antecipadamente. Pode também ajudar uma
organização a evitar embaraçosos e caros equívocos em privacidade.
Dado isso, este capítulo visa direcionar meios, apontar me-
canismos e propor estratégia de forma a apoiar uma organização na
identificação de riscos relacionados à privacidade e proteção de dados,
em especial, riscos aos titulares de dados pessoais.
4.1 IDENTIFICAÇÃO DE RISCOS ORGANIZACIONAIS
Anteriormente foi apresentado que risco é o efeito da incerteza

nos objetivos. E para gerir riscos, além de adotar um processo de gestão de
riscos conforme apresentado na Figura 1, é necessário que a organização
possua uma metodologia definida que visa padronizar a implementação,
manutenção e monitoramento do processo de gestão de riscos.
Ou seja, de acordo com o contexto organizacional, é necessário
que haja definição sobre: quais são as escalas de probabilidade, im-
pacto, nível de risco e apetite a risco a serem adotados, quem define e
aprova o apetite ao risco12, quem deve aprovar os riscos, a quem devem
ser comunicados, como tratar os riscos, como deve ser realizado o
12 Segundo TCU (2018): “apetite a risco - quantidade de risco em nível amplo que uma
organização está disposta a aceitar na busca de seus objetivos (INTOSAI, 2007). Quantidade
195
monitoramento, dentre outras questões importantes. Embora muito

importante, ressalta-se que não é foco deste artigo apresentar uma
metodologia de riscos a ser seguida.
Antes de se tentar identificar riscos relacionados à privacidade e
proteção de dados pessoais, é necessário conhecer o contexto organi-
zacional e, pelo menos, as principais atividades de tratamento de dado
pessoal que a organização realiza, mesmo que num primeiro momento
de forma ainda não detalhada em registro. Entende-se aqui como ativida-
de de tratamento um processo de negócio de uma organização, ou parte
deste, ou uma solução digital comercializada por uma organização. Vale
destacar que em uma atividade de tratamento pode ocorrer mais de uma
operação de tratamento, e que, via de regra, cada atividade de tratamento
terá o seu registro. Maiores detalhes sobre a granularidade de um registro
de atividade de tratamento podem ser vistos no capítulo 8 “Mapeamento
dos Tratamento de Dados Pessoais” também deste livro.
Segundo a LGPD:
Art. 5º X - tratamento: toda operação realizada com da-
dos pessoais, como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência,
difusão ou extração;
Art. 37. O controlador e o operador devem manter regis-
tro das operações de tratamento de dados pessoais que
realizarem, especialmente quando baseado no legítimo
interesse.
Há algumas orientações de como realizar esse registro disponí-

veis na internet, tais como apresentado por ICO (c) e SGD (b) (2021). O
importante é que, independentemente do modelo de registro adotado
e tipo de riscos que uma organização está preparada para buscar, reter ou assumir (ABNT,
2009a).”
196
pela organização, nele constem informações que permitam identificar

o tratamento que está sendo realizado, para qual finalidade, qual a
hipótese legal utilizada, quais são os dados pessoais envolvidos, se há
dados sensíveis, qual o meio e tempo de retenção, se tais dados são
compartilhados, se há transferência internacional envolvida, dentre
outras informações relevantes que permitam rastrear o tratamento
que está sendo realizado com os dados pessoais em questão. Uma boa
prática é que conste também nesse registro as medidas de segurança e
privacidade adotadas nesse tratamento.
De posse dessas informações já é possível identificar riscos à
privacidade e proteção de dados pessoais. No que se refere a riscos or-
ganizacionais referentes a esse tema, uma boa forma de identificá-los é:
- ter claramente mapeado o contexto organizacional;
- conhecer a legislação vigente a respeito, LGPD;
- conhecer normativos internos que regem o tema priva-
cidade e proteção de dados na organização (ex.: Política,
Programa, outros).
No quadro 2 seguem alguns exemplos de riscos organizacionais
à privacidade e proteção de dados:
Quadro 2 – Exemplos de riscos organizacionais à privacidade e proteção de dados.
Risco Causas Consequências

Violação de dados Acesso não autorizado. Danos à imagem/
pessoais Roubo de dado pessoal. reputação da organização.
Reidentificação de dado Impacto em objetivo
pessoal pseudonimizado estratégico da
sem permissão. organização.
... Processo Administrativo
Disciplinar.
Responsabilização civil.
Responsabilização penal.
Sanções administrativas
pela ANPD.
Vazamento de dados
pessoais.
197
Risco Causas Consequências

Violação dos direitos dos Falha em considerar os Danos à imagem/
titulares de dados pessoais direitos do titular dos reputação da organização.
dados pessoais. Impacto em objetivo
Impossibilidade de estratégico da
portabilidade dos organização.
dados dado formato Processo Administrativo
não interoperável e não Disciplinar.
estruturado. Responsabilização civil.
... Sanções administrativas
pela ANPD.
Tratamento inadequado Coleção excessiva de Danos à imagem/

ou ilícito de dados pessoais dados pessoais. reputação da organização.
Retenção prolongada Responsabilização civil.
de dados pessoais sem Sanções administrativas
necessidade. pela ANPD.
Uso de dados pessoais
compartilhados pelo
controlador com terceiros
para finalidade distinta
daquela inicialmente
acordada.
...
O escopo de um risco tem que estar bem delimitado para

que não haja dúvidas sobre o tratamento a ser dado ao mesmo. Por
exemplo, o risco “Tratamento inadequado ou ilícito de dados pessoais”
pode englobar muita coisa, pode-se considerar que o risco “Violação
de dados pessoais” está englobado nele ou não, caso a organização
deseje ter mapeado separadamente os riscos relacionados à segurança
da informação. Poderia ter também um risco que é a especificidade de
um outro, por exemplo, “Tratamento inadequado ou ilícito de dados
pessoais nas relações contratuais”, ou seja, este delimita-se a questões
contratuais, formais ou não, tais como contratos, termos de tratamen-
to de dados pessoais, dentre outros, entre controladores, operadores
e/ou terceiros.
198
Segundo a LGPD:
Art. 44. O tratamento de dados pessoais será irregular
quando deixar de observar a legislação ou quando não
fornecer a segurança que o titular dele pode esperar,
consideradas as circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se
esperam;
III - as técnicas de tratamento de dados pessoais disponí-
veis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da
violação da segurança dos dados o controlador ou o ope-
rador que, ao deixar de adotar as medidas de segurança
previstas no Art. 46 desta Lei, der causa ao dano.
Pode-se dizer que um tratamento é adequado e lícito quando

observa, principalmente, a boa-fé, os princípios listados no Art. 6º da
LGPD, bem como as hipóteses legais definidas nos Art. 7º e 11 desta
mesma lei, dentre outras questões legais explicitadas na LGPD.
Identificados os riscos e realizada sua análise e avaliação, deve-se
definir o tratamento a ser dado aos mesmos. Segundo TCU (2018):
O tratamento de riscos envolve a seleção de uma ou mais
opções para modificar o nível do risco (a probabilidade
ou o impacto) e a elaboração de planos de tratamento
que, uma vez implementados, implicarão a introdução
de novos controles ou a modificação dos existentes. ...
Formas de tratar riscos, não mutuamente exclusivas ou
adequadas em todas as circunstâncias, incluem evitar,
reduzir, transferir e aceitar o risco.
De uma forma geral, quando o tratamento adotado for evitar,

transferir ou aceitar o risco, não há implementação de controles inter-
nos, mas caso o tratamento adotado seja reduzi-lo, faz-se necessário a
implementação de controles internos para reduzir as causas e conse-
quências do risco e, consequentemente, redução do nível de risco para
abaixo do apetite a risco definido.
199
Conforme já apresentado no item 2.3 deste artigo, a NBR ISO/

IEC 29151 (ABNT, 2020) e a NBR ISO/IEC 27701 (ABNT, 2019) trazem
um conjunto de controles que podem ser implementados para reduzir
o nível de risco e, assim, a probabilidade de sua ocorrência e/ou impac-
to a ser gerado caso se materialize.
Por exemplo, para reduzir o nível do risco “Violação de dados
pessoais” poderiam ser implementados controles como garantir que a
base de dados esteja em um ambiente seguro, controle de acesso por
perfil aos dados pessoais, monitoramento da média de acesso aos dados
pessoais a fim de atuar de forma tempestiva no caso de uma anomalia
(uso indevido), dentre outros controles, conforme necessidade.
Cabe destacar que os riscos à privacidade e proteção de dados
organizacionais podem também ser riscos aos titulares de dados
pessoais. Citando ainda como exemplo o risco “Violação de dados
pessoais”, caso ocorra, este pode resultar no vazamento dos dados
pessoais de titulares e o impacto disso vai depender de um conjunto
de fatores, tais como, quais dados foram vazados, se haviam dados
sensíveis, em qual meio esses dados vazaram (intranet? internet?),
dentre outros, que serão abordados com maiores detalhes no item
4.3 deste artigo.
4.2 IDENTIFICAÇÃO DE RISCOS À PRIVACIDADE E A

PROTEÇÃO DE DADOS PESSOAIS NAS SOLUÇÕES
DIGITAIS
Os riscos à privacidade e proteção de dados pessoais estão

diretamente relacionados com os riscos à segurança da informação. O
Art. 6º da LGPD determina que as atividades de tratamento de dados
pessoais deverão observar, dentre outros, o princípio da segurança,
que é assim definido no incido VII: “segurança: utilização de medidas
técnicas e administrativas aptas a proteger os dados pessoais de aces-
200
sos não autorizados e de situações acidentais ou ilícitas de destruição,

perda, alteração, comunicação ou difusão”. Nesse contexto podemos
afirmar que as medidas (controles) de segurança da informação são
aplicadas para proteger os dados pessoais, garantido a privacidade do
titular.
Desta forma, gerenciar riscos provenientes das soluções digi-
tais deve fazer parte do dia a dia das organizações. As organizações
13
devem definir um processo de identificação, análise e avaliação dos

riscos, evitando impactos tanto para a organização como para os titu-
lares dos dados pessoais tratados nessas soluções digitais.
De acordo com NBR ISO/IEC 27001 (ABNT, 2013), norma que
foi preparada para prover requisitos para estabelecer, implementar,
manter e melhorar continuamente um sistema de gestão de segurança
da informação (SGSI), a organização deve realizar avaliações de riscos
de segurança da informação a intervalos planejados, ou quando mu-
danças significativas são propostas ou ocorrem.
No âmbito da segurança da informação é possível encontramos
diversas definições de riscos, que leva ao consenso da seguinte fórmula
abaixo:
RISCO = AMEAÇA x VULNERABILIDADE x IMPACTO
Nesta fórmula acima é possível identificar os principais ele-

mentos que compõem um risco de segurança da informação, a ameaça
e a vulnerabilidade, alinhado com a norma NBR ISO/IEC 27005 (ABNT,
2019), que fornece um método de identificação de riscos de ativos,
ameaças e vulnerabilidades.
13 Solução Digital é a solução de tecnologia da informação que visa o conjunto de bens e/ou ser-
viços que apoiam processos de negócios mediante a união de recursos, processos e técnicas
utilizados para obter, processar, armazenar, disseminar e fazer uso de informações. Soluções
digitais que promovem privacidade de dados serão premiadas pelo Serpro
201
No processo de gestão de riscos de segurança da informação,

os riscos estão fortemente relacionados a um ativo. Segundo a norma
NBR ISO/IEC 27005 (ABNT, 2019), “um ativo é algo que tem valor para
a organização e que, portanto, requer proteção. Para a identificação
dos ativos, convém que se tenha em mente que um sistema de infor-
mação compreende mais do que hardware e software.”
Os ativos podem ser do tipo primário como, processos e ativi-
dades do negócio, como também a própria informação, e de suporte
como, hardware, software, rede, recursos humanos, instalações físicas
e estrutura da organização. O anexo B da norma NBR ISO/IEC 27005
(ABNT, 2019) apresenta mais informações sobre a identificação e
valoração desses ativos. Além dos demais anexos que ajudam a definir
o escopo e os limites do processo de gestão de riscos de segurança da
informação e exemplos de ameaças e vulnerabilidades.
A norma NBR ISO/IEC 27005 (ABNT, 2019) também orienta
que seja adotada uma abordagem sistemática para ajudar a identificar
as necessidades da organização em relação aos requisitos de seguran-
ça da informação. Como convém, que esta abordagem seja adequada
ao ambiente da organização e em particular esteja alinhada com o
processo maior de gestão de riscos corporativos.
Para que o ocorra esse alinhamento entre a abordagem riscos
de segurança da informação e riscos corporativos (organizacionais),
pode ser necessário que a organização promova ajustes na forma de
identificar riscos, com a inclusão de componentes para relacionar
também aos riscos as ameaças e vulnerabilidades, quando um risco for
de segurança da informação, além de identificar as causas e consequ-
ências dos riscos organizacionais.
O cálculo do nível de risco talvez precise também ser reajustado
para o tradicional:
202
RISCO = PROBABILIDADE x IMPACTO
Adicionalmente, convém identificar quais riscos de segurança

da informação estão relacionados a dados pessoais e dados pessoais
sensíveis, como também relacionar a uma atividade de tratamento e a
um RIPD, caso tenha sido elaborado.
Uma abordagem também sugerida para a identificação de ris-
cos em soluções digitais é a aplicação de questionários de boas de prá-
ticas para a implementação de controles. A identificação de controles
não implementados, dentre aqueles aplicáveis ao contexto de análise,
pode também ajudar a identificar riscos à privacidade e a proteção dos
dados pessoais.
Normas de padrão internacional como a NBR ISO/IEC 29151
(ABNT, 2020) e a NBR ISO/IEC 27002 (ABNT, 2013) podem ser utili-
zadas como fontes de referências para seleção de controles de boas
práticas para a elaboração de questionários de avaliação de riscos.
Quadro 3 - Exemplo de risco em soluções digitais.
Risco: Falha em Componentes da Solução Digital

Versão de software Acesso não
Causas Ataque hacker
desatualizada autorizado
Dano a imagem/
Indisponibilidade Vazamento de dados
Consequências reputação da
da Solução Digital pessoais
organização
Ameaças Ações não Comprometimento
Falhas técnicas
NBR ISO/IEC autorizadas - da informação
- Defeito de
27005 (ABNT, Comprometimento - Espionagem a
software
2019) dos dados distância
Vulnerabilidades Software - Recursos humanos
NBR ISO/IEC Falhas conhecidas Gerenciamento - Treinamento
27005 (ABNT, no software de senhas mal insuficiente em
2019) configurado segurança
203
Risco: Falha em Componentes da Solução Digital

7.2.2
14.1.1 Análise e
Controles Conscientização,
12.6.1 Gestão de especificação
NBR ISO/IEC educação e
vulnerabilidades dos requisitos
27002 (ABNT, treinamento em
técnicas de segurança da
2013) segurança da
informação
informação
Os riscos em soluções digitais, exemplificados no Quadro 3,

também precisam ser identificados desde a sua concepção, seguindo o
conceito de privacy by design e de acordo com o Art. 46, § 2º da LGPD,
que estabelece que as medidas de segurança, técnicas e administrati-
vas deverão ser observadas desde a fase de concepção do produto ou
do serviço até a sua execução. A aplicação de questionários nessa fase
também é uma boa prática, como referência ao anexo A da norma NBR
ISSO/IEC 27701 (ABNT, 2019), quando a organização for controladora
de dados pessoais ou o anexo B, quando a organização for operadora
de dados pessoais.
Para apoiar as organizações na seleção dos controles apro-
priados, como também para melhor entendimento do relaciona-
mento dos mesmos com a privacidade e proteção de dados, a norma
NBR ISO/IEC 27701 (ABNT, 2019) traz no anexo N/A (informativo) um
mapeamento dos requisitos, requisitos, diretrizes e controles, como
exemplificado no Quadro 4, que podem ser relevantes para atender
as obrigações da LGPD.
Quadro 4 – Exemplos do mapeamento da estrutura da NBR ISO/IEC 27701 (ABNT,

2019) com os Art. da LGPD.
Subseções da NBR ISO/IEC 27701 (ABNT, 2019) Arts. da LGPD

5.2.1 Art. 50º, §1º, Art. 5 VI, VII e IX
5.2.2 Art. 50º
5.2.3 Art. 50º §1º
204
Subseções da NBR ISO/IEC 27701 (ABNT, 2019) Arts. da LGPD

5.2.4 Art. 50º §2º I
5.4.1.2 Art. 38º, Art. 50º §1º
5.4.1.3 Art. 38º, Art. 50º §1
6.2.1.1 Art. 38º
6.3.1.1 Art. 41º
4.3 ESTRATÉGIA PARA IDENTIFICAR RISCOS AOS

TITULARES DE DADOS PESSOAIS
Conforme apresentado no item 2.2 deste artigo, a avaliação de

impacto de privacidade e proteção de dados é essencial para apoiar a
organização na tomada de decisão quanto ao tratamento dos dados
pessoais em avaliação, buscando garantir privacidade e proteção de
dados para os dados pessoais a serem tratados, além de evitar mu-
danças dispendiosas em processos de negócios e/ou soluções digitais
comercializadas dada a não observância da LGPD.
Cabe relembrar, conforme apresentado no item 2.2 deste
artigo que no GDPR a avaliação do impacto na proteção de dados
(DPIA) deve ser feita em casos especiais, definido nessa legislação e
em outros a serem definidos por autoridade supervisora. Já na LGPD,
o relatório de impacto à proteção de dados pessoais (RIPD) deverá
ser elaborado para os casos em que o tratamento representar alto
risco à garantia dos princípios gerais de proteção de dados pessoais
previstos nessa lei.
E aí é que surge o seguinte questionamento: o que deve ser
considerado como alto risco nesse caso? A LGPD não traz essa de-
finição e a Autoridade Nacional de Proteção de Dados (ANPD) ainda
não publicou orientação a respeito. Por esse motivo, surge a proposta
de definir critérios que sejam utilizados como base para avaliar a per-
205
tinência ou não de elaboração de um RIPD, conforme apresentado na

Quadro 5.
Quadro 5 – Exemplos de critérios para avaliação da pertinência de elaboração de um

RIPD.
Critérios
Avaliação e pontuação (profiling / scoring)
Monitoramento sistemático
Tomada de decisão automatizada
Processamento em larga escala
Combinação de dados ou conjunto de dados de fontes diferentes (cruzamento de
dados)
Uso de tecnologia inovadora ou não dominada
Base legal legítimo interesse
Tratamento de dados pessoais sensíveis
Tratamento de dados pessoais de criança e/ou adolescente
Compartilhamento de dados pessoais
Essa proposta foi realizada com base, em especial, nos critérios

citados pelo European Commission (2017) e pelo ICO (a), considerando
o contexto de organizações brasileiras que suportam tecnologia da
informação. Para cada critério é dado um peso conforme entendimento
de criticidade do mesmo no caso da materialização de um risco. Esses
pesos podem ser ajustados à medida que a organização amadureça
sobre o assunto, bem como novos critérios podem ser incluídos. Por
exemplo, pode-se entender que compartilhamento de dados pessoais
tem peso diferente de tratamento de dados pessoais sensíveis.
A ocorrência de dois ou mais desses critérios, e o somatório
dos pesos definidos para cada um deles, é que vai apontar para a
necessidade ou não de elaboração de um RIPD. Por exemplo, menor
que 5 não há necessidade de elaboração de RIPD, já maior que 10 há
206
esta obrigatoriedade. Pode-se definir também uma escala intermedi-

ária, na qual recomenda-se a elaboração de um RIPD, mas esta não é
obrigatória, ficando a cargo do gestor responsável pela atividade de
tratamento em questão definir pela sua elaboração ou não.
Exemplificando, só o fato de estar sendo tratado dado pessoal
sensível não é indicativo de elaboração de um RIPD, entretanto, se há tra-
tamento de dado pessoal sensível com processamento em larga escala
e ainda há compartilhamento desses dados com outros, isso sim é um
forte indicativo para a necessidade de elaboração de um RIPD, a fim de
se “debruçar” sobre esse tratamento e, desde já, definir e adotar medidas
para garantir à privacidade e à proteção dos dados de seus titulares.
Caso numa avaliação de pertinência seja apontada a obrigato-
riedade de elaboração de RIPD, o ideal é que ele seja realizado antes do
início do tratamento dos dados pessoais a fim de se garantir privacy by
design, além de uma análise proativa dos riscos aos titulares de dados
pessoais.
A elaboração de um RIPD é importante para afastar ou reduzir a
suspeição sobre o tratamento de dados pessoais que vai ser realizado,
apoiar uma relação de confiança com o titular, ampliar a transparência,
além de atender ao princípio da responsabilização e prestação de con-
tas. Sendo assim, é necessário que a organização defina um template
para a elaboração do RIPD, devendo este conter no mínimo o solicitado
no parágrafo único do Art. 38 da LGPD:
Parágrafo único. Observado o disposto no caput deste
artigo, o relatório deverá conter, no mínimo, a descrição
dos tipos de dados coletados, a metodologia utilizada para
a coleta e para a garantia da segurança das informações e
a análise do controlador com relação a medidas, salvaguar-
das e mecanismos de mitigação de risco adotados.
Como boa prática, é recomendado que antes de iniciar a

elaboração de um RIPD, se tenha realizado o(s) registro(s) da(s) ativi-
207
dade(s) de tratamento a ser avaliada, pois esta servirá de insumo para

a descrição do tratamento que precisa ser realizada de forma mais
detalhada no RIPD, apresentando a natureza, o escopo e o contexto do
tratamento, de forma que todos os envolvidos na avaliação de impacto
tenham informações suficientes para na identificar possíveis riscos
aos titulares de dados pessoais.
A NBR ISO/IEC 29134 (ABNT, 2020) traz, de forma não taxativa,
como possíveis riscos de privacidade a serem considerados:
I) Acesso não autorizado a dado pessoal (perda de confi-
dencialidade);
II) Modificação não autorizada de dado pessoal (perda de
integridade);
III) Perda, roubo ou remoção não autorizada de dado pessoal
(perda de disponibilidade);
IV) Coleta excessiva de dado pessoal (perda de controle
operacional);
V) Vinculação não autorizada ou inadequada de dado pes-
soal;
VI) Informação insuficiente sobre a finalidade do tratamento
de dado pessoal (falta de transparência);
VII) Falha em considerar os direitos do titular de dado pessoal
(por exemplo, perda do direito de acesso);
VIII) Tratamento de DP sem o conhecimento ou consenti-
mento do titular de dado pessoal (a menos que este tra-
tamento esteja previsto na legislação ou regulamentação
pertinente);
IX) Compartilhar ou redistribuir dado pessoal com terceiros
sem o consentimento do titular de DP; e
X) Retenção desnecessariamente prolongada de dado pes-
soal.
208
É possível observar que a Secretaria de Governo Digital - SGD

(a) (2020) utilizou em seu guia os riscos acima elencados e além deles
inclui:
 reidentificação de dados pseudonimizados; e
 falha ou erro de processamento (ex.: execução de script
de banco de dados que atualiza dado pessoal com infor-
mação equivocada, ausência de validação dos dados de
entrada, outros).
Identificados os riscos, é necessário fazer sua análise e avaliação,

conforme apresentado na Figura 1. Tanto a análise quanto à avaliação
devem ser realizadas seguindo a metodologia de riscos adotada pela
organização, sendo que esta deverá ser adaptada para também passar
a considerar impacto ao titular de dado pessoal.
Em relação ao nível de impacto, a NBR ISO/IEC 29134 (ABNT,
2020), propõe:
I) Insignificante: os titulares de DP não serão afetados
ou poderão encontrar alguns inconvenientes, os quais
serão superados sem nenhum problema (tempo gasto
reinserindo informações, aborrecimentos, irritações
etc.);
II) Limitado: os titulares de DP podem encontrar inconve-
nientes significativos, que eles serão capazes de superar,
apesar de algumas dificuldades (custos extras, negação
de acesso a serviços de negócios, medo, falta de entendi-
mento, estresse, pequenas doenças físicas etc.);
III) Significativo: os titulares de DP podem encontrar conse-
quências significativas, que convém que sejam capazes
de superar, embora com sérias dificuldades (apropriação
indevida de fundos, lista negra de bancos, danos à pro-
priedade, perda de emprego, intimação, piora do estado
de saúde etc.); e
209
IV) Máximo: os titulares de DP podem encontrar consequ-

ências significativas, ou mesmo irreversíveis, que não po-
dem superar (dificuldades financeiras, como dívidas não
prestáveis ou incapacidade de trabalhar, doenças físicas
ou psicológicas a longo prazo, morte etc.).
Identificado o nível de risco (probabilidade x impacto), a organi-
zação precisará definir o tratamento a ser dado ao mesmo conforme o
apetite de risco definido. Por se tratar de um risco relacionado à LGPD,
muito provavelmente o apetite de risco será baixo ou muito baixo, con-
forme estratégia de negócio definida pela organização. E nesses casos,
geralmente define-se como estratégia tratar esses riscos, de maneira
que controles são definidos para prevenir a sua ocorrência. Em alguns
casos define-se, também, controles contingenciais com o objetivo de
minimizar impactos caso o risco venha a se materializar.
Figura 3 – Relacionamento entre riscos.
Cabe frisar que um risco ao titular de dado pessoal pode ser

também um risco organizacional, mas um risco organizacional relacio-
210
nado à LGPD não necessariamente acarreta em consequência para um

titular de dado pessoal. Por exemplo, na LGPD consta:
Art. 41. O controlador deverá indicar encarregado pelo
tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encar-
regado deverão ser divulgadas publicamente, de forma
clara e objetiva, preferencialmente no sítio eletrônico do
controlador.
O fato de a organização ainda não ter definido um encarregado

pelo tratamento de dados pessoais é um risco legal à organização, mas
não é um risco ao titular de dado de pessoal, uma vez que não gera dano
ou prejuízo ao mesmo. Já no caso de um vazamento de dados pessoal é
um risco tanto organizacional quanto ao titular do dado vazado, visto
que o titular pode ficar exposto a fraudes, a receber contatos indeseja-
dos, entre outros inconvenientes e a organização, além de uma possível
sanção pela ANPD, poderá sofrer um dano à sua imagem e reputação.
Esses riscos poderão ter trâmites internos diferentes, por
exemplo, um risco ao titular de dado pessoal deve ser aprovado pelo
encarregado de dados, enquanto um risco organizacional relacionado
à privacidade e proteção de dados deve apenas ter a ciência do encar-
regado, mas o fato é que ambos precisam ser geridos e monitorados
por seus responsáveis.
5. CONCLUSÃO
Com a entrada em vigor da LGPD, a gestão de riscos à privaci-
dade e proteção de dados se tornou um instrumento muito importante
para uma tomada de decisão mais efetiva pela Alta Administração em
questões referentes ao tema, uma vez que direciona os esforços para
os riscos realmente relevantes de terem seu tratamento priorizado e
assim apoia na adequação da organização à LGPD. A organização, além
de estar atenta à nova legislação para garantir seu compliance, deve
211
estar atenta ao tratamento que dá aos dados pessoais sob sua respon-
sabilidade, principalmente nos casos em que ela é o controlador desses
dados.
O conteúdo deste trabalho, além de contribuir para a identifi-
cação de riscos à privacidade e proteção de dados numa organização,
contribuiu também para direcionar critérios que devem ser observados
para apontar a necessidade ou não de elaboração de um relatório de
impacto à proteção de dados.
A grande mudança em uma gestão de riscos à privacidade
e proteção de dados é que a organização ao realizar o trabalho de
identificação de riscos não poderá mais fazê-lo apenas sob a ótica de
interesses próprios, tais como alcance de objetivos e metas estratégi-
cos, geralmente com foco em questões financeiras e de negócio, mas
terá que fazê-lo também sob a ótica dos titulares de dados pessoais,
se há autorização formal ou fundamentação legal para o tratamento
realizado e se esse é realizado considerando práticas de privacy by
design e privacy by default.
Uma constatação com este trabalho foi que, seja o risco à privaci-
dade e proteção de dados um risco organizacional, um risco em solução
digital ou um risco ao titular de dado pessoal, eles podem ter intercessão
entre si, visto que um risco ao titular de dados pessoais pode ser também
um risco organizacional, como o exemplo já citado anteriormente de
violação de dados pessoais, que pode trazer prejuízos a um titular, dado
o vazamento de seus dados e à organização por dano à sua imagem. De
forma similar, um risco de uma solução digital pode também ser um risco
ao titular de dados pessoais, como também pode ser um risco organiza-
cional. Como por exemplo, o risco de uso indevido de dados pessoais em
uma solução digital crítica ao negócio de uma organização, o qual pode
trazer desde mero aborrecimentos a danos financeiros e de imagem ao
titular, por ter tido seus dados usados de forma indevida, como também
212
à organização, por perda de credibilidade e confiança junto aos seus

clientes e, consequentemente, perda de novos negócios. E cabe ressaltar
que, se o nível de risco ao titular de dados pessoais for alto, muito prova-
velmente, o mesmo também será para a organização.
Como citado no início deste trabalho, a gestão de riscos exige
uma mudança de mindset, com um olhar mais cuidadoso para os riscos
e impactos aos titulares de dados pessoais e para isso é importante que
a organização capacite seus empregados no tema privacidade e pro-
teção e, se possível, mantenha um time de especialistas para garantir
este olhar mais atento.
Por fim cabe destacar que o projeto de norma em desenvolvi-
mento IEC FDIS 27557 (ISO, 2022) só vem a corroborar com a proble-
matização deste trabalho, uma vez que, segundo a mesma, embora os
impactos na privacidade de um indivíduo possam ser priorizados nas
avaliações de privacidade, isso não nega a necessidade de considerar
os impactos na privacidade dos indivíduos como também contribuindo
para o risco organizacional geral.
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001:
Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da
segurança da informação – Requisitos. 2 ed. Rio de Janeiro: ABNT, 2013. 30p.
Tecnologia da informação - Técnicas de segurança - Código de prática para
controles de segurança da informação. 2 ed. Rio de Janeiro: ABNT, 2013. 99p.
Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segu-
rança da informação. 3 ed. Rio de Janeiro. ABNT, 2019. 66p.
Técnicas de segurança – Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR
213
ISO/IEC 27002 para gestão da privacidade da informação - Requisitos e dire-

trizes. 1 ed. Rio de Janeiro. ABNT, 2019. 82p.
Tecnologia da informação - Técnicas de segurança - Estrutura de privacidade.
1 ed. Rio de Janeiro. ABNT, 2020. 26p.
Tecnologia da informação - Técnicas de segurança - Avaliação de impacto de
privacidade - Diretrizes. 1 ed. Rio de Janeiro. ABNT, 2020. 51p.
Tecnologia da informação - Técnicas de segurança - Código de prática para
proteção de dados pessoais. 1 ed. Rio de Janeiro: ABNT, 2020. 57 p.
Gestão de riscos - Diretrizes. 2 ed. Rio de Janeiro. ABNT, 2018. 17p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR IEC 31010: Gestão
de riscos - Técnicas para o processo de avaliação de riscos - Diretrizes. 2 ed.
Rio de Janeiro. ABNT, 2021. 150p.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. LEI GERAL DE PROTEÇÃO
DE DADOS PESSOAIS (LGPD). Brasília: 2018. Disponível em: http://www.
planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm.
Acesso em: março de 2022.
CNIL - Commission Nationale Informatique Libertés. Privacy Impact Assess-
ment (PIA). February 2018 edition.
CROWDSTRIKE. 2022 Global Threat Report. Disponível em: https://go.
crowdstrike.com/global-threat-report-2022.html. Acessado em junho de
2022.
DAVOLI, Gabriela Brum; OLIVEIRA, Amanda Azevedo De; SILVA, Gustavo
Henrique Luz. Afinal, que caminho preciso percorrer para me adequar à Lei
Geral de Proteção de Dados Pessoais? Maio de 2020.
EUROPEAN COMMISSION. Guidelines on Data Protection Impact Asses-
sment (DPIA) and determining whether processing is “likely to result in a
high risk” for the purposes of Regulation 2016/679. October 2017. Dispo-
nível em: https://ec.europa.eu/newsroom/article29/items/611236. Acessado
em: abril de 2022.
214
EUROPEAN UNION. Regulation (EU) 2016/679 of the European Parliament

and of the Council of 27 April 2016. GENERAL DATA PROTECTION REGU-
LATION (GDPR). Disponível em: https://gdpr-info.eu/. Acessado em: abril de
2022.
FIA - Fundação Instituto de Administração Business School. Mindset Desen-
volvimento Pessoal. Disponível em: https://fia.com.br/mindset-desenvolvi-
mento-pessoal/. Acessado em: junho de 2022.
ICO - Information Commissioner´s Office (a). Data protection impact
assessments. Disponível em: https://ico.org.uk/for-organisations/guide-to-
-data-protection/guide-to-the-general-data-protection-regulation-gdpr/
accountability-and-governance/data-protection-impact-assessments/.
Acessado em: abril de 2022.
ICO - Information Commissioner´s Office (b). Risks and data protection
impact assessments (DPIAs). Disponível em: https://ico.org.uk/for-organi-
sations/accountability-framework/risks-and-data-protection-impact-as-
sessments-dpias/. Acessado em: abril de 2022.
ICO - Information Commissioner´s Office (c). How do we document our
processing activities? Disponível em: https://ico.org.uk/for-organisations/
guide-to-data-protection/guide-to-the-general-data-protection-regula-
tion-gdpr/documentation/how-do-we-document-our-processing-activi-
ties/#how5/. Acessado em: junho de 2022.
ISO (The International Organization for Standardization). IEC 27000: Infor-
mation technology — Security techniques — Information security manage-
ment systems — Overview and vocabulary. 5 ed. Geneva: ISO, 2018. 27p.
ISO (The International Organization for Standardization). IEC FDIS 27557:
Information security, cybersecurity and privacy protection — Application of
ISO 31000:2018 for organizational privacy risk management. Genebra. ABNT,
2022. 19p.
KASPERSKY (a). Ransomware: definição, prevenção e remoção. Disponível
em: <https://www.kaspersky.com.br/resource-center/threats/ransomware>.
Acessado em: 11 de maio de 2022.
KASPERSKY (b). Impressões Digitais e sua relação com as pessoas e as
empresas. Disponível em: <https://www.kaspersky.com.br/about/press-re-
leases/2022_kaspersky-brasileiros-estao-mais-atentos-sobre-sua-seguran-
215
ca-online-mas-falta-conhecimento-sobre-protecao-de-dados-pessoais >.
Acessado em: 15 de junho de 2022.
KYRIAZOGLOU, John. Sistema de gestão da privacidade e proteção de dados:
Guia de privacidade e proteção de dados - Vol. I. 1ª ed. Londres: BookBoon.
com, 2019.
ONETRUST - Privacy, Security e Governance. The Ultimate PIA and DPIA
Handbook for Privacy Professionals. November 2021.
SGD – Secretaria de Governo Digital (a). Guia de Avaliação de Riscos de Segu-
rança e Privacidade da SGD. Lei Geral de Proteção de Dados (LGPD). Versão
1.0. Brasília. Novembro de 2020. Disponível em: https://www.gov.br/governo-
digital/pt-br/seguranca-e-protecao-de-dados/guias/guia_avaliacao_riscos.
pdf/view. Acessado em: maio de 2022.
SGD – Secretaria de Governo Digital (b). Guia de Elaboração de Inventário de
Dados Pessoais - LGPD. Lei Geral de Proteção de Dados (LGPD). Versão 1.1.
Brasília. Abril de 2021. Disponível em: https://www.gov.br/governodigital/pt-
-br/seguranca-e-protecao-de-dados/guias/guia_inventario_dados_pessoais.
pdf/view. Acessado em: junho de 2022.
TCU - Tribunal de Contas da União. Gestão de Riscos - Avaliação da Maturi-
dade. Brasília. Janeiro de 2018. 164p. Disponível em:https://portal.tcu.gov.br/
data/files/0F/A3/1D/0E/64A1F6107AD96FE6F18818A8/Gestao_riscos_ava-
liacao_maturidade.pdf. Acessado em: 14 de maio/2022.
TENABLE. Novo estudo: 75% das organizações brasileiras atribuem ataques
cibernéticos prejudiciais a vulnerabilidades na tecnologia implementada
durante a pandemia. Outubro 2021. Disponível em: https://www.tenable.
com/press-releases/novo-estudo-75-das-organiza-es-brasileiras-atribuem-
-ataques-cibern-ticos-prejudiciais. Acessado em: 14 de maio de 2022.
TILT/UOL. Estado de emergência: invasão hacker provoca caos milionário
na Costa Rica. Disponível em: <https://www.uol.com.br/tilt/noticias/reda-
cao/2022/05/18/veja-4-fatos-para-entender-o-caos-que-hackers-estao-
-causando-na-costa-rica.htm>. Acessado em: 14 de junho de 2022.
216
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
SEGURANÇA DA INFORMAÇÃO,
GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA
IMPLEMENTAÇÃO DE SUCESSO
DA PRIVACIDADE

Paulo Roberto Corrêa Leão
Resumo:
Entende-se que as modernidades tecnológicas/digitais não podem ser percebidas,
tão somente como artefatos capazes de emponderar e facilitar as mediações
dos processos sociorrelacionais, mas também como meios que podem impactar
positiva e negativamente os processos e atividades que promovem a adequação,
execução, manutenção e a garantia da privacidade e proteção de dados pessoais nas
instituições. Desta feita, os estudos neste capítulo (artigo) abrangem contribuições
de ordem teórica e prática para o debate sobre o quão é indispensável fomentar nas
organizações, com base no ordenamento jurídico vigente, a adequada simbiose entre
os processos de segurança da informação, governança e proteção de dados para
garantir sucesso na implementação das atividades de privacidade, salvaguardar os
direitos dos titulares, bem como, mitigar riscos ou danos, com vazamento e acesso
indevido aos dados pessoais. Tendo por base pesquisa documental empírica, descritiva
e qualitativa, realizadas em livros, artigos, manuais, leis, referências jurídicas e técnicas,
se procurou pelo viés social e técnico, apresentar a visão conceitual de segurança,
segurança da informação, proteção de dados, privacidade e direito à privacidade,
além de frameworks consagrados que auxiliam a gestão e a governança de dados
organizacional, suportados pelas mais atuais tecnologias da informação.
Palavras-chave: Privacidade. Governança de dados. Proteção de dados pessoais.
Segurança da informação. Lei geral de proteção de dados. Simbiose.
Abstract:
It is understood that technological/digital modernities cannot be perceived, only as
artifacts capable of empowering and facilitating the mediations of socio-relational
processes, but also as means that can positively and negatively impact the processes
218
218
and activities that promote adequacy, execution, maintenance and guarantee of

privacy and protection of personal data in institutions. Thus, the studies in this chapter
(article) cover theoretical and practical contributions to the debate on how essential
it is to promote in organizations, based on the current legal system, the adequate
symbiosis between the processes of information security, governance and protection
of data to ensure successful implementation of privacy activities, safeguard the rights
of data subjects, as well as mitigate risks or damages, with leakage and improper
access to personal data. Based on empirical, descriptive and qualitative documentary
research, carried out in books, articles, manuals, laws, legal and technical references,
the social and technical bias was sought to present the conceptual vision of security,
information security, data protection, privacy and the right to privacy, in addition to
established frameworks that help the management and governance of organizational
data, supported by the most current information technologies.
Keywords: Privacy. Data governance. Personal data protection. Information security.
General law of data protection. Symbiosis.
1. INTRODUÇÃO
O homem, além de ser o protagonista de sua própria história

e do mundo, por vários aspectos, emergiu nele a necessidade de ser
sociável, de viver em sociedade1, de entrelaçar sua vida individual com
o outro por vastos ensejos societários.
Desde sua origem, o ser humano (homo sapiens2) teve sua sa-
piência sempre ligada a interação com o meio ambiente e a tecnologia,
com isso progrediu, naturalmente, para uma espécie genuinamente so-
cial na acepção da palavra, buscou viver e conviver em coletividade, na
qual foi capaz de se associar e se relacionar de todos os modos e para
todos os fins por laços perceptíveis e imperceptíveis, com a finalidade
de garantir a sua própria sobrevivência e evolução. (LEÃO, 2020, p. 34).
1 É o nome para um círculo de indivíduos que estão, de uma maneira determinada, ligados uns
aos outros por efeito das relações mútuas, e que por isso podem ser caracterizados como uma
unidade — da mesma maneira que se considera uma unidade um sistema de massas corporais
que, em seu comportamento, se determinam plenamente por meio de suas influências
recíprocas. (SIMMEL, 2006, p. 18).
2 Homo sapiens criatura que se destaca do restante dos outros animais por ser indefinido e
indeterminado, portanto, capaz de transcender, ir além de seu status quo. (BAUMAN, 2013, p.
27).
219
Para este homo sapiens se tornar de fato um ente cada vez

mais sociável e ser capaz de sociabilizar-se, uma de suas necessidades
históricas e evolutivas é de estar sempre pesquisando e inventando dis-
positivos para melhorar os processos de socialização e dar sentido ao
mundo que o cerca. Assim, este homo sapiens do passado, hoje em dia,
ganhou um sobrenome e passou a ser denominado de homo sapiens
technologicus3 tendo em vista estar em convívio e rodeado por um
crescente uso de tecnologias da informação e comunicação (acrônimo
TICs4), influenciadas por uma sociedade denominada de sociedade da
Informação ou do Conhecimento5.
Como afirmam Di Felice e Lemos (2014, p.14), no mundo atual
“Tudo que o humano faz desenvolve e produz, ele o faz com apoio da
tecnologia.”, ou seja, mais que evoluir numa cultura e num ambiente
técnico, co-evoluímos com estes artefatos de grande mobilidade,
ubiquidade, efetividade, conectividade e amplitude de distribuição,
de aglutinação e de enorme capacidade de processamento, por
3 Termo inicialmente utilizado por Michel Puech, filósofo francês, nos livros Homo Sapiens
Technologicus: Philosophie de la technologie contemporaine, philosophie de la sagesse
contemporaine e Homo Sapiens Technologicus. (PUECH, 2008 e 2018).
4 TICs são compostas pela convergência e imbricação da computação, telecomunicações,
mídia eletrônica, e todos os tipos de processos e transferências de sinais digitais de áudio e
vídeo, além de todas as funções de controle e gerenciamento baseadas em tecnologias de
rede. (CELEBIC; RENDULIC, 2017, p. 17).
5 Na Sociedade do Conhecimento, a pessoa com seu conhecimento (capital intelectual) e
a educação ocupam um lugar central, e as novas tecnologias apoiam a sua disseminação e
para que o conhecimento esteja ao alcance de todos que o desejarem. (AMARAL, 2006, p.
9; DRUCKER, 1997, p. 6). Este tipo de Sociedade é baseado em pessoas, na sua criatividade,
iniciativa e habilidade de aprender e apreender, se originou a partir das redes sociais, das
interações e colaborações, entre os indivíduos membros. (MUSACCHIO, 2014).
A UNESCO, através de seu subdiretor-geral para Comunicação e Informação, adotou o
termo “sociedade do conhecimento” ou sua variante “sociedades do saber” dentro de suas
políticas institucionais. Deste modo, o conceito de “sociedade da informação”, a meu ver,
está relacionado à ideia da “inovação tecnológica”, enquanto o conceito de “sociedades
do conhecimento” cuja pedra angular é a sociedade da informação inclui uma dimensão
de transformação social, cultural, econômica, política e institucional, assim como uma
perspectiva mais pluralista e de desenvolvimento. (KHAN, 2003).
220
conseguinte, em passos largos, estamos migrando para um formato

comunicacional cada vez mais intangível, digital, midiático, instantânea
e menos textual.
Todavia, as TICs digitais não podem ser definidas tão somente
como simples meio, pilar ou aporte tecnológico. A Era da Informação
e do Conhecimento da atual sociedade nos apresenta uma realidade
onde as relações de consumo (cliente versus empresa), negócio, eco-
nomia, política, ética, privacidade, educação, ensino e aprendizagem,
pesquisa, diversão, geração e compartilhamento de informações
mediadas por estes artefatos digitais e comunicacionais devem ser
percebidas como uma “cultura digital”. Como destaca Reis (2018, pp.
2; 5), as TICs se infiltraram de tal forma no nosso dia a dia que escopo
temático como os descritos acima serão incompletos se desconside-
ramos a interveniência das tecnologias digitais.
Este ambiente tecnológico imbricado por uma multiplicidade
de dispositivos tecnológicos e digitais proporciona o emprego de
diversas técnicas de tratamento de dados6 com o objetivo de deduzir
um sem números de informações de alto valor estratégico econô-
mico e comercial, inclusive usando inteligência artificial, apresenta
situações que podem deixar nossa privacidade e intimidade exposta
à indústria digital, conjuntura denominado por Silveira, Avelino e
Souza (2016, p. 219) como “capitalismo de vigilância” ou “data driven
economy”.
No Brasil, em 2020, de acordo com o Comitê Gestor da Inter-
net (CGI.br), o país chegou a 152 milhões de usuários - um aumento
de 7% em relação a 2019. Com isso, percebe-se que 81% da popula-
6 Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem
à coleta, produção, recepção, classificação, utilização, acesso, cruzamento, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou
extração. (SERPRO. GLOSSÁRIO-LGPD. Jan2021).
221
ção com mais de 10 anos têm acesso à internet. Pela primeira vez, o
levantamento identificou uma proporção maior de domicílios com
acesso à rede mundial (83%) do que indivíduos usuários desta (81%),
(CGI.br, 2022).
Num estudo de janeiro de 2021, da empresa O Statista.com,
companhia internacional de dados digitais, retrata que eram 4,66
bilhões de usuários ativos da Internet em todo o mundo - 59,5% da
população global. Desse total, 92,6% (4,32 bilhões) acessaram a inter-
net por meio de dispositivos móveis. (O STATISTA, 2022). Inclusive, é
possível verificar através do Infográfico (Figura 1 - já defasada) com
o título “Dados nunca dormem - How much data is generated every
minute?” o consumo de dados digitais a cada minuto na rede mundial
de computadores, (O Domo, 2022).
Empresas como as constantes da Figura 1, originalmente, cria-
das com objetivo de relações sociais, recolhem de suas plataformas, via
“cookie”, dados e informações e rastreia a navegação do usuário para
personalizar anúncios e conteúdos, além de que, abusivamente, ela-
boram perfis a partir de algoritmos, que podem aprender padrões de
comportamento, influenciar nas expectativas, necessidades, escolhas
e produtos para cada pessoa, alterando significativamente a velocida-
de e a forma dos negócios.
222
Figura 1- Quantidade de dados gerado por minuto (2021)
Fonte: Infográfico da Domo.com/ Resource Center /Data Never Sleeps 9.0.

Foto: Divulgação/Domo (03Out2021).
223
Deste modo, pode-se compreender que por um lado este

mundo digital é um mindset que está mudando o comportamento
das pessoas com o uso das TICs, que são oferecidas para “facilitar” o
dia a dia do cidadão, entretanto, por outro lado pode-se apreender
que neste “negócio” de dados “todos nós” somos parte do negócio ou
mesmo, “todos nós” somos o próprio produto deste negócio – “perso-
na-produto”.
A dependência das tais “modernidades tecnológicas e digitais”
– que se mantêm em eterna evolução – bem como, a demanda pela vida
em rede, não se limitam tão somente a distribuir informação, mas tam-
bém em criar espaços virtuais de interação, onde as pessoas convivem,
inter-relacionam, se conectam e intercomunicam de forma eletrônica
e digital.
Em contrapartida, ao mesmo tempo em que as TICs propor-
cionam estas facilidades, também facultam o aumento da exposição
pública do indivíduo, além de que, oportunizam o risco de invasões
aos dispositivos tecnológicos e digitais, potencializando vazamento de
dados pessoais. O uso indevido destes dados pode suscitar ameaças,
vulnerabilidades à vida íntima e privada da pessoa natural.
Qualquer lei que mira o contexto de práticas lesivas no uso de
dados pessoais tem como objetivo proteger o cidadão (o titular, a pes-
soa natural) contra o mau uso de seus dados, todavia, os legisladores
ao promulgar tanto o GDPR (General Data Protection Regulation) o
Regulamento Geral de Proteção de Dados Europeu como a LGPD (Lei
Geral de Proteção de Dados) ou leis de outro País, procuraram respei-
tar o “princípio da ambivalência” buscando proteger e assegurar tanto
a privacidade, a intimidade e o recolhimento, quanto a livre circulação
de dados pessoais para o adequado fluxo da informação, economia e
das funções de Estado.
224
Fato é que o titular dos dados precisa ter seu direito protegido
ao conforto e às benesses que a vida digital lhe oferece. Independente-
mente da evolução das TICs, as organizações públicas ou privadas não
podem furtar de garantir esta proteção, com ações de adequação das
infraestruturas física, técnica e comunicacional, seja nos sistemas de
informações, bancos de dados ou mesmo na conformidade dos pro-
cessos que tratam os dados pessoais.
Sabedores de que os dados são subprodutos dos processos
técnicos operacionais torna-se basilar entender que os normativos
de privacidade e proteção de dados pessoais (P&PDP) não devem ser
vistos como um óbice ou uma restrição ao tratamento de dados e sim
como parâmetros razoáveis de tratamento que garantam sua dupla
função protetiva: tanto devem proteger a privacidade e os dados pes-
soais, quanto devem garantir para a pessoa os resultados positivos que
a economia digital proporciona, assim, os gestores devem se preocupar
com os desafios, complexidades e valor do gerenciamento eficaz que
os dados podem acarretar.
Até pouco tempo, no Brasil, com a escassez de marco legal, os
modelos de gestão da privacidade do titular vinham sendo desenvolvi-
dos a partir da perspectiva empresarial e econômica. Com advento dos
mais recentes ordenamentos jurídicos – LGPD e PEC 115, por exemplo
– este foco tem passado por aperfeiçoamento e cada vez mais se busca
evidenciar o titular como o “dono” dos dados, como elemento central
da privacidade.
Neste contexto, especialmente no modelo brasileiro, passa a
ter importância primordial para o desempenho da organização e para
a garantia da preservação da privacidade do titular, afastar a ideia de
que a LGPD constitui um único marco isolado, além de compreender
que todo aparato tecnológico disponibilizado não opera isoladamen-
225
te, mais do que isso, devem estar intimamente interligados, numa

harmonia sistêmica, sobretudo, em alinhamento entre os demais
princípios legais e constitucionais relacionados direta e indiretamente
nesse contexto, com as melhores práticas de proteção de dados e da
autodeterminação informativa, além disso, não se pode desconsiderar
a dimensão e o alcance dos riscos no caso de ruptura da simbiose entre
a segurança da informação (SI) e a P&PDP.
Diante deste cenário, o desafio posto é o de fomentar o
entendimento das diretrizes para preservação da simbiose entre a
segurança, em específico a SI, governança e proteção de dados, pois
sem está correta vinculação e alinhamento não há como garantir uma
exitosa adequação da implementação dos processos e atividades de
privacidade e do paradigma de tratamento de dados pessoais, bem
como prover com efetiva qualidade o direito à privacidade ao cidadão,
conforme previstos nos arcabouços jurídicos vigentes.
Portanto, se os dados são tão valiosos, como devemos nos
preparar para geri-los e protegê-los? Quais são as regulações e os
impactos destas possibilidades tecnológicas para a sociedade e para
a pessoa natural? O que fazer para combater as ameaças, diminuir
as vulnerabilidades e garantir a integridade dos dados dos cidadãos,
assim como, manter a continuidade dos negócios e serviços prestados
aos clientes? A concepção, pelos agentes de tratamento de dados na
organização, de condições que favoreçam a adequada simbiose, com
base no ordenamento jurídico vigente, entre processos de SI, gover-
nança e proteção de dados é indispensável para garantir o sucesso das
atividades de privacidade, bem como, salvaguardar os direitos e mitigar
os riscos ou danos aos titulares dos dados? Enfim, como conceber a
simbiose entre a SI, governança e proteção de dados para dispor na
organização a implementação exitosa da privacidade?
226
1.2 OBJETIVOS
Tem-se por objetivo geral fomentar o entendimento sobre a

necessidade da preservação da simbiose, pelos agentes de tratamento,
com base no ordenamento jurídico vigente, entre processos de SI, go-
vernança e proteção de dados como fator indispensável para garantir
o sucesso das atividades de privacidade, bem como, salvaguardar os
direitos e mitigar os riscos ou danos aos titulares dos dados.
Para alcançar o objetivo geral foram definidos os seguintes
objetivos específicos:
I) Contribuir com a discussão sobre os parâmetros con-
ceituais de proteção, governança de dados (GD) e de SI
associados à privacidade e ao direito à privacidade;
II) Compreender o papel do poder público como agente
regulador da privacidade e do direito à privacidade do
cidadão no tratamento de seus dados pessoais;
III) Caracterizar a necessidade de preservação da simbiose
entre SI, governança e proteção de dados, para a preser-
vação da privacidade no tratamento dos dados pessoais
do titular; e
IV) Identificar os passos, requisitos e formalidades neces-
sárias previstas nas normas, diretrizes, para obter a pre-
servação da simbiose entre SI, governança e proteção de
dados e, assim obter êxito na implementação e tutela da
privacidade ao tratar de dados pessoais.
1.3 JUSTIFICATIVA
Este capítulo (artigo) se justifica, principalmente, pelas contribui-

ções teóricas, técnicas, práticas e comportamentais sobre a necessidade
dos agentes de tratamento de dados, sejam eles de instituição pública ou
privada, conseguirem – em conformidade com arcabouço jurídico vigen-
227
te – a adequada simbiose entre os processos de SI, governança e proteção

de dados para execução de atividades de tratamento de dados pessoais,
impedindo vazamento de dados e o acesso indevido e, desta forma,
demonstrar a devida responsabilidade, transparência e accountability
dos processos que garantam a integridade dos dados e a privacidade, não
acarretando, portanto, riscos ou danos aos titulares destes dados.
Fato é que a Internet é o resultado direto do progresso da ciên-
cia e tecnologia. É uma revolução ou evolução, cujos avanços técnicos
e sociais devem ser usados para o bem da sociedade.
Indubitavelmente, no tempo presente há grande oferta de
produtos e serviços gerados pelo rastreamento dos indivíduos a partir
de práticas onipresentes de tratamento de dados, suportados e impul-
sionados pelas TICs, possibilitando o acesso rápido à informação e aos
dados pessoais.
Decerto, vivenciamos uma época de transição onde a valori-
zação dos dados, em especial, os dados pessoais têm sido claramente
reconhecidos. O processo de transformação dos dados em informa-
ções úteis, fortalecendo as interações e as transações econômicas e
comerciais, talvez seja uma das grandes revoluções técnicas e culturais
da sociedade contemporânea, diante disso, os ativos “dados e informa-
ções”, geradores desta incomensurável quantidade de produtos e ser-
viços devem ser considerados insumos primordiais destes processos
sociais e empresariais.
Bem sabemos que todas estas tecnologias geram benesses ao
cidadão, todavia facultam o aumento da exposição pública do indivíduo,
visto que não se controla o que diz e o que se posta na internet. O uso in-
devido dos dados e informações compartilhados pelo próprio titular ou
pelos agentes de tratamento pode suscitar ameaças, risco de invasões
aos dispositivos tecnológicos e digitais, vazamento de dados pessoais e
vulnerabilidades à vida íntima e privada da pessoa natural.
228
Esta re-evolução das TICs também demonstrou a necessidade

de evolução dos dispositivos normativos e legais sobre a privacidade e
a proteção dos dados pessoais.
Contexto que, presumivelmente, acarretarão impactos e obri-
gatoriedades na gestão e governança de dados7 e na informação, tanto
pelos indivíduos como pelas instituições públicas ou privadas, amplian-
do, sobremaneira, a readequação e a implementação de ações exitosas
de SI, tratamento e provimento de proteção aos dados, sobretudo aos
dados pessoais, em conformidade com arcabouço jurídico vigente,
para garantir a privacidade e não acarretar riscos ou danos aos titulares
dos dados.
De toda monta como consequências práticas e teóricas há um
longo caminho a percorrer, pois, ainda não se mostra ser trivial, para os
agentes de tratamento de dados, compreender a necessidade de haver
uma apropriada inter-relação entre os processos de SI, governança e
proteção de dados como fator indispensável para se conseguir uma
exitosa adequação das atividades de implementação e execução dos
controles, processos e soluções sistêmicas de tratamento dos dados
pessoais, prescritos nos normativos, bem como, o estabelecimento de
políticas e as boas práticas de gestão e governança de dados pessoais
para mitigar os riscos ou danos aos titulares dos dados, do mesmo
7 Governança de Dados (GD) - Conjunto de políticas, processos, pessoas e tecnologias que

visam a estruturar e administrar os ativos de informação, com o objetivo de aprimorar a
eficiência dos processos de gestão e da qualidade dos dados, a fim de promover eficiência
operacional, bem como garantir a confiabilidade das informações que suportam a tomada de
decisão. (BRASIL - PORTARIA STI/MP nº 58, Art. 2º, Inciso VI, 2016).
GD é um programa (guia para atividades de governança e gerência de dados) com um
conjunto de práticas, disposta em um framework, com objetivo de organizar o uso e
o controle adequado dos dados como ativo organizacional, visando disponibilidade,
integridade, consistência, usabilidade, segurança, controle, etc. Esta estratégia (programa)
para administrar os dados deve possuir: missão, escopo do programa; benefícios de negócios;
lacunas identificadas (estado atual); responsabilidade e papéis; listas dos envolvidos; escopo
operacional; abordagem da metodologia; medidas/indicadores, controles e um rodmap.
(BARBIERI, 2019, pp. 62; 81).
229
modo, salvaguardar os seus direitos fundamentais de liberdade e priva-

cidade, como previstos no Art. 50, § 2º, inciso I, da LGPD.
Este capítulo está organizado em 05 seções. A primeira, introdu-

ção, apresenta o cenário no qual estamos imersos e o detalhamento da
sua problematização. Na segunda, apresentamos uma fundamentação
teórica da qual será extraído boa parte das propostas e recomenda-
ções de tratamento. Na terceira é esclarecido a metodologia utilizada.
Na quarta propomos um formato de solução e na quinta e última seção
fazemos um desfecho deste capítulo.
2. FUNDAMENTAÇÃO TEÓRICA
A fundamentação teórica que embasa o presente capítulo é
apresentada em forma de subcapítulos onde, em geral, inicia por con-
ceituações e definições e em seguida aprofunda, valoriza e reforça os
laços entre tecnologia da informação e comunicação, SI, GD, proteção
de dados, privacidade e direito à privacidade, assuntos aqui considera-
dos como relevantes para contextualização do leitor.
2.1 TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO
Em nosso entendimento TICs ou Tecnologias Digitais são ca-

racterizadas pela convergência entre hardware e software (máquinas e
programas) como meios (artefatos) empregados na execução e auto-
mação de processos informacionais, ou seja, no tratamento de dados
(coleta, armazenamento, processamento, reprodução, transmissão,
distribuição, deleção, entre outros) – atividade realizada pelos agentes
de tratamento (controlador e operador) – que quando conectadas não
somente facilita e potencializa a velocidade/instantaneidade dos pro-
cessos de transmissão e das comunicações sem fronteiras (cultura de
230
natureza dromológica8), como contribui para eficiência, produtividade

e alcance dos objetivos do negócio, pesquisa, ensino e aprendizagem,
diversão, compartilhamento, consumo, além da produção e transforma-
ção de dados em informação, conhecimento e inteligência de negócio.
Estes artefatos, a partir do meado do Séc. XX, também vêm
sendo percebido como um leitmotiv, ou seja, o motivo condutor que
exerce cada vez mais relevante papel impulsionador e catalisador das
transformações sociais que marcam a sociedade contemporânea,
ocorridas principalmente na forma de comunicarmos, aprendermos,
vivermos e convivermos.
As TICs tipificadas pela capacidade de compartilhamento
de informações, interações e inter-relações sociais e operacionais
simultâneas, cujos objetos mais representativos são o computador, a
internet e o smartfone, têm sido a grande mediadora da transformação
de uma sociedade baseada nas relações presenciais para outra socio-
técnica, em que as relações humanas são quase totalmente mediadas
digitalmente e em rede, ou seja, transformou o mundo em uma única
dimensão espacial, numa rede mundial e nos conduziu para um novo
tipo de sociedade, a Sociedade em Rede (Sociedade da Informação/
Conhecimento), é a “internetização” da vida. (LEÃO, 2018, pp. 34-35).
Peculiaridade deste novo mundo marcado pela interconexão
destes artefatos, não apenas facilita a conectividade direta entre as
8 Dromologia é a ciência (ou a lógica) que estuda os efeitos da velocidade como fator
extremamente importante na sociedade. Também qualificada como o estudo dos impactos
culturais, sociais, acadêmicos e profissionais produzidos pelas novas tecnologias. Esse termo foi
criado pelo filósofo e ensaísta francês Paul Virilio, dromos: ação de correr; corrida e velocidade
vinculadas ao espaço e ao tempo; logia: estudo. A velocidade pode ser considerada a palavra-
chave dos seus pensamentos acerca da Cibercultura, pois, a realidade é definida por um mundo
virtual, onde se pode estar em todos os lugares e ao mesmo tempo em nenhum, ou seja, não
se tem mais a noção de tempo e espaço. Assim, a velocidade de uma ação é percebida como
pressuposto de eficiência e eficácia para sua realização, “se o tempo é dinheiro, a velocidade é
poder”, afirma ele. Todavia, o autor acreditava que a pressa ditada pelo ritmo das mídias faz com
que se negue à reflexão e intensifica a superficialidade e até mesmo seu mau uso. (VIRILIO, 2011).
231
pessoas – fato central para os processos negociais e comerciais no

mercado do mundo contemporâneo –, mas também vêm moldando
as relações sociais, educacionais e os padrões de vida dos cidadãos
(MISKOLCI; BALIEIRO, 2018, pp. 133-134).
Pode-se até mesmo asseverar que, atualmente, as TICs, pela
sua característica ubíqua, assumem papel de protagonista impactando
dialética e intrinsecamente o modo como cada indivíduo as utilizam
em suas atividades rotineiras, criando conexões e relações, gerando e
produzindo dados e fluxos de informação, num ambiente colaborativo.
Algo criado virtualmente pode ser potencialmente acessado por todos
quase que imediatamente.
Castells (2008, pp. 108-109) enfatiza pelo menos cinco aspec-
tos centrais básicos do paradigma da Sociedade em Rede/Informação,
o primeiro deles é que os dados é sua matéria prima da informação,
além do que são as tecnologias que operam sobre os dados e informa-
ções, e não os dados e informações que agem sobre a tecnologia. O
segundo refere-se à penetrabilidade dos efeitos das novas tecnologias,
ou seja, diz respeito ao uso da informação em toda atividade humana e
emprego em todos os processos pelos novos meios tecnológicos.
O aspecto subsequente refere-se à lógica de redes que se avista
em quaisquer sistemas ou conjunto de relações que fazem uso das no-
vas tecnologias da informação. O que leva ao quarto aspecto referente
aos componentes de TICs que sustentam os sistemas em redes, este
aspecto trata da flexibilidade não só dos processos serem reversíveis
como podem ser reorganizados, reprogramados e alterados. E a quinta
e última característica desta revolução tecnológica refere-se à cres-
cente convergência de tecnologias específicas para compor artefatos
ou sistemas altamente integrados.
A infraestrutura tecnológica que estamos falando inclui rede de
computadores, estações de trabalho, servidores para processamento
232
e armazenamento, computação em nuvem, intranet, internet, web,

software de suporte, data centers, servidor empresarial e de segurança,
dispositivos móveis, sistemas, aplicativos, artefatos de comunicações,
dados, banco de dados, data-warehouse, mineração de dados, impres-
soras, pessoas que os manipula e dão suporte, enfim, tecnologias que
otimizam a geração informações para tomada de decisão e vantagem
competitiva e nos auxiliam a correlacionar com quase todos os setores
e serviços da sociedade.
É o meio técnico-científico-informacional, sob o ponto de vista
histórico das três fases de evolução da sociedade e das técnicas pelas
quais a humanidade tem atravessado – as outras duas são: meio natural
e meio técnico (ou mecanizado) – distinguido por Santos (2006, pp.
10-15) quando debateu o simples reducionismo ontológico de espacia-
lidade como sendo um “lugar” físico, um “lugar” geográfico – em outras
palavras, uma localização territorial, agregando às TICs aos processos
comunicacionais e de interação. Assim, esta localização espacial (ge-
ográfico-digital) passa a ser percebida como uma nova concepção de
espaço versus tempo versus velocidade versus instantaneidade e o
que nele se realiza, proporcionando uma nova visão da dimensão de
lugar, ou seja, a “desterritorialização”, quando envolve, concomitan-
temente, o que pode ser local e global, e o que pode ser subjetividade
e objetividade, hoje materializada pela globalização, internet, rede de
computadores e redes virtuais.
Este espaço geográfico “novo” de interação, criado pela mente
humana, e com a conotação antropológica mais abrangente passou a
ser denominado de Ciberespaço (espaço cibernético/espaço virtual/
espaço global), termo idealizado por William Gibson em 1984, no livro
“Neuromancer”, se caracteriza por ser um espaço de interação con-
versacional – onde entramos em contato, à distância, com tudo e com
todos que nos rodeiam. Este é um espaço do saber e de conhecimento/
233
inteligência coletiva, no qual os usuários estarão conectados em uma

rede mundial de computadores.
Para definição de Ciberespaço usamos a que foi proposta por
Teixeira e Lévy:
Ciberespaço é a denominação incidida à rede global de
comunicação mediada, que possibilita as relações tecnos-
sociais atuantes na sociedade contemporânea, ampliadas
por redes sociais: uma sociedade conectada, colabora-
tiva, hipertextual, destituída de presencialidade física e
apoiada por interfaces da Web; e mais recentemente,
por recursos da Web semântica e pela computação em
nuvem. Para isso todos os computadores participantes
e seus conteúdos ficam acessíveis aos usuários por qual-
quer outro artefato tecnológico digital conectado a essa
rede. (TEIXEIRA, 2012, pp. 6-7).
Ciberespaço é o novo meio de comunicação, que surge da
interconexão mundial de computadores, não apenas por
causa da infraestrutura material de comunicação digital,
mas também pela imensidão de informações que abriga,
assim como, pela quantidade de pessoas que navegam e
alimentam esse universo. (LÉVY, 2010, p. 15).
Na mesma perspectiva, proferiu Ponte (2000):

O Ciberespaço não deve ser mais visto como um mero re-
positório de dados e informação. É sim um lugar propicia-
dor da dinâmica social, deste modo a informação perde o
seu carácter estático e adquire uma dinâmica de mudança
constante, alterando-se, crescendo e permitindo aos seus
criadores a sua apropriação de forma transformadora.
(PONTE, 2000).
Os dados, no contexto digital da sociedade contemporânea,

passaram a desempenhar papel fundamental, atuando como insumo
de um sem números de informações de alto valor estratégico econô-
mico e comercial, sendo por muitos comparados a ouro e petróleo.
Como consequência e concomitantemente com o crescimento
234
exponencial de sua utilização, também evoluíram os normativos e

dispositivos legais destinados a pautar, apropriadamente, a gestão e o
gerenciamento responsável de seu ciclo de vida, desde sua coleta até o
descarte e, deste modo, os dados pessoais sejam segurados, cuidados,
tratados, organizados, protegidos, controlados e transformados para
a correta produção e consumo, sem, contudo, ocasionar danos aos
titulares destes dados.
2.2 SEGURANÇA DA INFORMAÇÃO
A Política Nacional de Segurança da Informação (PNSI) foi

instituída pelo Decreto Nº 9.637 de 26Dez2018 da Presidência da Re-
pública, que dispõe sobre a governança da SI, e para os fins do disposto
neste Decreto (Art. 1º e 2º), a SI abrange segurança cibernética, defesa
cibernética, segurança física e proteção de dados organizacionais as
ações destinadas a assegurar a disponibilidade, a integridade, a con-
fidencialidade e a autenticidade da informação, entre outros, como
descrito na Portaria nº 93 do GSI/PR, de 26 Set 2019 que aprova o
Glossário de Segurança da Informação.
Neste glossário define-se como SI “a proteção da informação
e dos sistemas de informação contra acesso não autorizado, uso,
divulgação, interrupção, modificação ou destruição a fim de fornecer
confidencialidade, integridade e disponibilidade”. (BRASIL - GLOSSÁ-
RIO DE SEGURANÇA DA INFORMAÇÃO, 2019).
Outra definição mais abrangente é assim descrita na ABNT
NBR ISO/IEC 27002:2013:
SI compreende a proteção das informações, sistemas, re-
cursos e demais ativos contra desastres, erros (intencio-
nais ou não) e manipulação não autorizada, objetivando a
redução da probabilidade e do impacto de incidentes de
segurança. É obtida como resultado da implementação
de um conjunto de controles, compreendendo políticas,
235
processos, procedimentos, estruturas organizacionais e

funções de hardware e software. Todos esses controles
necessitam ser estabelecidos, implementados, monitora-
dos, analisados criticamente e melhorados para que asse-
gurem que os objetivos do negócio e a SI da organização
sejam atendidos (ABNT NBR ISO/IEC 27002:2013, Item
0.1, 2013).
As ações de apropriação de padrões de SI podem seguir as

orientações da norma ABNT NBR ISO/IEC 27.001:2013 – que objetiva
prover requisitos para estabelecer, implementar, manter e melhorar
continuamente o Sistema de Gestão da Segurança da Informação
(SGSI), dentro do contexto da organização. A própria ABNT salienta
que este sistema é projetado para permitir a adição de requisitos espe-
cíficos setoriais, sem a necessidade de desenvolver um novo Sistema
de Gestão.
Esta ISO orienta a implementação de um conjunto de cento e
quatorze controles (114) abrangendo três aspectos essenciais de um
SGSI: pessoas, processos e tecnologia ou mais detalhadamente, polí-
ticas, processos, procedimentos, estrutura organizacional e funções
de software e hardware, que sendo adotados e levados à checagem
de conformidade (compliance), garante, não somente, a detecção de
vulnerabilidades como revelam a redução de chances de violação, a
robustez da proteção aos dados, à adoção de privacidade nativa (por
concepção), o uso de dados em dimensões de autêntica necessidade
(minimalismo), além de prover adequado controle tanto de riscos de
TI, como riscos do mundo atômico, e por fim, também gera evidências
documentais de como a organização está atuando com o tratamento
de dados, em especial, os dados pessoais (DP).
O SGSI previsto nesta ISO e complementado pela ABNT NBR
ISO/IEC 27002:2019 considera a proteção da privacidade como po-
tencialmente afetada pelo tratamento de dados pessoais, assim, na
236
forma de uma extensão e buscando uma gestão combinada, o Sistema

de Gestão da Privacidade da Informação (SGPI) descrito na Norma
ABNT NBR ISO/IEC 27.701:20199, também, inclui complementarmente
as especificidades dos elementos de privacidade, proteção de dados
e SI rastreável, verificável e mensurável para o tratamento de dados
pessoais.
O alinhamento da organização com esses frameworks e o seg-
mento do ciclo de melhoria contínua, tipo PDCA (Plan, Do, Check and
Act), evidenciam um aumento da vantagem competitiva e da confiança
do mercado gestor.
2.3 PROTEÇÃO E GOVERNANÇA DE DADOS PESSOAIS
Nos dias de hoje, o dado, em especial os dados pessoais estão

sendo considerados como um ativo intangível de valor ou mesmo um
recurso econômico.
Em razão da necessidade de produzir, capturar, enfim, tratar
os dados com eficiência para extrair deles informações confiáveis e
de alta qualidade e assim criar valor para obter vantagem competitiva,
têm-se intensificado a necessidade de gerenciá-los de maneira eficaz
contra uso indevido e possível vazamento em todo o seu ciclo de vida,
destarte, torna-se um grande desafio manter seu controle e mesmo
protegê-los, principalmente depois que a Emenda Constitucional
115/2022 (PEC 115/2022) promulgada em fevereiro de 2022 incluiu de
forma explícita, como cláusula pétrea, no inciso LXXIX do Art. 5º de
nossa Constituição a proteção de dados entre os direitos e garantias
9 Como todos os sistemas de gestão concebidos no mundo ISO, por exemplo, SGSI e SGPI,
não são “sistemas” no sentido literal, como se costuma conceber no mundo da tecnologia,
devem ser compreendidos como uma sistemática, uma metodologia, uma forma
documentada e inequívoca. Todas as normas do “mundo” são projetadas para poderem ser
implementadas separadamente ou como um Sistema de Gestão combinado. (ABNT ISO
27701, 2019, p. 9).
237
fundamentais ao cidadão, além de fixar como sendo de competência

privativa da União legislar, organizar e fiscalizar a proteção e o trata-
mento de dados pessoais, o que está sendo realizado pela Autoridade
Nacional de Proteção de Dados (ANPD).
Entende-se como proteção de dados pessoais:
a possibilidade de cada cidadão determinar de forma
autônoma a utilização que é feita de seus próprios dados
pessoais, em conjunto com o estabelecimento de uma
série de garantias para evitar que estes dados pessoais se-
jam utilizados de forma a causar discriminação, ou danos
de qualquer espécie, ao cidadão ou à coletividade. Muitos
a denominam como privacidade de dados ou privacidade
de informações. (Wikipédia, 2019).
Complementarmente, a proteção de dados também pode ser

considera como um processo que envolve a relação entre o tratamento
de dados pessoais, isto é, todas as operações realizadas com os dados
pessoais e tecnologias, atreladas a percepção e expectativa do cida-
dão em relação à sua privacidade e aos fundamentos políticos e legais
no que tange ao uso desses dados. Buscando sempre encontrar um
equilíbrio entre o direito à privacidade individual e o seu uso para fins
comerciais. Cabe destacar que a proteção aos dados deve ser holística,
ou seja, ser aplicada a todas as formas de dados quer sejam pessoais,
materiais ou corporativos.
Para maior controle no tratamento dos dados pessoais e garan-
tir não somente as exigências de conformidade do atual ordenamento
jurídico, mas também as melhores técnicas de proteção de dados tor-
nam-se apropriado que a organização disponha de um processo de GD
composto de Sistema de Gerenciamento de Dados (SGD) e de Gestão
de Proteção de Dados (SGPD), pelo menos.
Gerenciamento de Dados é o desenvolvimento, execução
e supervisão de planos, políticas, programas e práticas
que entregam, controlam, protegem e aprimoram o valor
dos ativos de dados e informações durante todo o seu
238
ciclo de vida. Envolve o planejamento e a coordenação de

recursos e atividades para atender aos objetivos organi-
zacionais. [...]. Essas atividades de gerenciamento devem
se esforçar para disponibilizar dados confiáveis e de alta
qualidade para a organização, garantindo que sejam aces-
síveis aos usuários autorizados e protegidos contra uso
indevido, como também, garanta o controle de acesso,
criptografia, privacidade by designer e by default e outros
possíveis processos de segurança aos dados. (Adaptado
de ENAP. 2019, pp. 6 e 7).
Complementando, Gestão de Dados é definida como:

o conjunto de funções que atuam direta ou indiretamen-
te sobre os dados, a saber: GD, arquitetura de dados,
modelagem e projeto de dados, armazenamento e ope-
ração de dados, gestão de segurança de dados, gestão
de dados mestres e dados de referência, integração e
interoperabilidade de dados, gestão de documentos e
de conteúdo, gestão de metadados, gestão da qualidade
de dados, e de referência, data warehousing e business
intelligence, big data e ciência de dados, ética no trata-
mento de dados e escritório de governança de dados.
(SERPRO - POLÍTICA CORPORATIVA DE GOVERNAN-
ÇA DE DADOS, 2021, pp. 2-3).
Estes processos devem ser desempenhados pelo gestor de

dados (data stewards), que é o braço executor do controlador10 (data
owners), no que se refere a tratamento e gestão de dados, de modo
geral, portanto, ele é nomeado pela organização para ser o respon-
sável e liderar a equipe executora da gestão e tratamento de dados e
lhe compete promover o monitoramento prático das operações de
tratamento dos dados.
Pertinente a dados pessoais, ele é o responsável pela conformi-
dade de tratamento, como também, deve estender sua atuação exe-
10 Controlador é o agente responsável por tomar as principais decisões referentes ao

tratamento de dados pessoais e por definir a finalidade deste tratamento. (LGPD, Art. 5º,
inciso VI, 2018).
239
cutiva às avaliações de riscos de seu uso, garantindo adequado mapea-

mento, identificação de fluxos, transparência, finalidade, necessidade,
categorização, classificação, adequação, entre outros, em consonância
com as obrigações legais vigentes no país, e em alinhamento com a
equipe do encarregado de dados11 (Data Protection Officer-DPO). A
ele também compete a responder pela Política Corporativa de Gover-
nança de Dados (PCGD)
A gestão de dados, atrelada à GD, deve estar no DNA de qual-
quer organização, tanto no plano tático e operacional como no plano
estratégico.
Para suportar as ações desta gestão e da GD, as instituições têm
lançado mão de frameworks e de melhores práticas para o tratamento
de dados, como por exemplo, o 5W2H, IBM, EDM Council (Enterprise
Data Management Council) e DCAM (Data Management Capability
Assessment Model), DMM (Data Management Maturity) e o DAMA
DMBok.
O DAMA DMbok, desenvolvido pela empresa DAMA (Data
Management Association) dos EEUU é um dos mais tradicionais,
inclusive utilizado pelo Serpro para implementar a cultura de gestão
e governança de dados. Este framework é um guia estruturado para
gestão e governança de dados que se desenvolve em 11 áreas de conhe-
cimentos (arquitetura de dados, designer e modelagem de dados, ar-
mazenamento de dados e operações, segurança de dados, metadados,
integração de dados e interoperabilidade, qualidade de dados etc.),
além de discorrer sobre outros assuntos como ética no tratamento de
dados, riscos de segurança e privacidade de dados, big data, ciência de
dados, entre outros, como ilustrado nas Figuras 2 e 3.
11 Encarregado, pessoa indicada pelo controlador e operador para atuar como canal de
comunicação entre o controlador, os titulares dos dados e a ANPD. (LGPD, Art. 5º, inciso VIII,
2018).
240
Figura 2 - Escopo geral da gestão de dados - Processos DAMA Wheel.
Fonte: Adaptado de DAMA-DMBoK (2017, P. 44).
Figura 3 - Pirâmide de Aiken.
Fonte: Adaptado de DAMA-DMBoK (2017, p. 40).
O modelo seguido pelo Serpro entende como GD:

o exercício de autoridade e controle sobre a Gestão
dos Dados, sejam dados próprios da empresa ou dados
pertencentes aos clientes e custodiados pelo Serpro. O
241
objetivo primordial da GD é habilitar a empresa a geren-

ciar dados como ativo patrimonial, ou seja, associados ao
valor de negócio. (SERPRO. PORTAL DE GOVERNANÇA
DE DADOS, 2022).
Já segundo Data Governance Institute (DGI) ou Instituto de

Governança de Dados, GD é:
é um sistema de direitos de decisão e responsabilidades
para processos relacionados às informações, executado
em concordância com modelos acordados que descre-
vem quem pode realizar, quais ações, com quais informa-
ções e quando, sob os quais circunstâncias, usando quais
métodos. Refere-se, também, ao gerenciamento geral da
disponibilidade, usabilidade, integridade e segurança dos
dados tratados em uma empresa. Na prática é organizar
e implementar políticas, procedimentos e padrões para
o uso efetivo dos ativos de informação estruturados/
não estruturados, e, assim garantir que os dados sejam
gerenciados e implantados para atender às necessidades
de negócios de uma organização. (DGI, 2022).
Barbieri (2019, p. 37) propõe, na Figura 4, uma interdependên-

cia e subordinação entre governança corporativa, de TI e de dados, que
pode ser usada nas organizações.
Figura 4 - Relação entre as Governanças.
Fonte: Barbieri (2019, p. 37).
242
Assim, podemos afiançar que uma empresa centrada em dados,

ou “data-centric organization” é a organização que valoriza dados
como ativo patrimonial e aplica a gestão e governança de dados em
todas as fases do ciclo de vida dos dados, incentivando as melhores
práticas, alinhando a estratégia de dados diretamente com a estratégia
de negócio e aperfeiçoando continuamente os processos de gestão de
dados. (Adaptado do DAMA-DMBoK v2, capítulo 3).
Estar em conformidade é se adequar e cumprir os fundamen-
tos das leis de P&PDP vigentes no país, além da Política Corporativa
de Segurança da Informação organizacional, para evitar a violação dos
dados pessoais na sociedade em rede.
A GD, portanto, ganha aportes legislativos e judiciários, onde
os processos e procedimentos institucionais de tratamento destes
valiosos ativos institucionais precisarão ser visto com outro foco,
estabelecendo controles mais rígidos e bem definidos, neste caso,
fundamentados no arcabouço jurídico vigente, por meios de padrões
normas, políticas, diretrizes corporativas, etc., minimizando assim os
seus riscos. (adaptado de BARBIERE, 2019, pp. 35-36).
2.4 PRIVACIDADE E DIREITO À PRIVACIDADE: EVOLUÇÃO
Entende-se a privacidade como uma característica de SI e pro-

teção de dados objetivando a legítima expectativa de discrição e pre-
servação dos dados pessoais ao se relacionar e fornecer contratação
de serviços, sistemas, processos e negócios ao seu público: clientes,
usuários e os próprios empregados.
Com efeito, por mais que a noção de SI, proteção de dados, pri-
vacidade e em especial direito à privacidade não seja de todo recente,
nesta revisão documental, tem-se o reconhecimento de que o marco
inicial rumo às questões importante e desafiadora como privacidade,
direito à privacidade e proteção de dados foi concebido no trabalho
243
denominado “The right to privacy” pela dupla de juristas norte-ame-

ricanos Warren (juiz da Suprema Corte dos EUA) e Brandeis (1890),
estudo no qual estabeleceram uma das primeiras a doutrina do direito
à privacidade adequada aos moldes da sociedade norte-americana
daquela época, fato assim destacado por Doneda (2000, p. 2), “... estes
estudos valorizaram e chamaram a atenção para a área jurídica do
direito individual, ao considerar que o direito à privacidade merecia
ser “o mais abrangente dos direitos do homem.”
No trabalho dos autores Warren e Brandeis (1890), fundamen-
taram a necessidade de valorizar o direito à privacidade na própria vida
moderna, o que tornou o homem mais sensível à publicidade:
A intensidade e a complexidade da vida, decorrentes
do avanço da civilização, tornaram necessário algum
afastamento do mundo, e o homem, sob a influência
refinada da cultura, se sentiu mais sensível à publicidade,
de modo que, a solidão e a privacidade se firmaram como
essenciais ao indivíduo, mas o empreendimento e as
invenções tecnológicas, propiciaram maiores invasões à
sua privacidade e a sua intimidade, o submeteram a dores
e angústias mentais, muito maiores do que poderiam ser
infligidas por mera lesão corporal, deste modo o princípio
que protege não só os escritos pessoais e como outras
produções pessoais contra toda forma de publicação é
um princípio de inviolabilidade da personalidade. (WAR-
REN; BRANDEIS, 1890 - tradução nossa).
É nosso propósito considerar se a lei existente oferece
um princípio que pode ser invocado adequadamente para
proteger a privacidade do indivíduo; e, em caso afirmativo,
qual é a natureza e extensão dessa proteção? (WARREN;
BRANDEIS, 1890 - tradução nossa).
Os mesmos autores acrescentaram:

Que o indivíduo deve ter plena proteção pessoal e patri-
monial é um princípio tão antigo quanto o direito comum,
mas foi considerado necessário, de tempos em tempos,
244
definir novamente a natureza exata e a extensão de tal

proteção. Assim percebiam a privacidade como o direito
à reserva de informações pessoais e da própria vida pes-
soal. (WARREN; BRANDEIS, 1890 - tradução nossa).
A corrida tecnológica àquela época estava em plena acelera-

ção. E o artigo de destes dois autores enfoca justamente a tecnologia
como provedora dos meios que possibilitam a intromissão indevida em
assuntos privados, principalmente porque o Hollerith, que mais tarde
fundaria a Tabulating Machine Company a atual IBM, construiu enge-
nho mecânico, uma máquina eletromecânica que foi capaz de ler uma
série de dados perfurados em cartões, quando foi usada para realizar
o censo de seu país. Todo o processo foi feito em um terço do tempo
do censo anterior e assim, tornou-se um dos primeiros passos de uma
tecnologia que proporciona uma redefinição dos limites do direito à
privacidade (DONEDA, 2000, p. 2).
Privacidade é considerada como direito universal como está
explícito no Art. 12 da Declaração Universal dos Direitos Humanos (DUDH)
adotada pela Assembleia Geral das Nações Unidas, estabelecendo que o
direito à vida privada é um direito humano:
“Ninguém será objeto de ingerências arbitrárias em sua
vida privada, sua família, seu domicílio ou sua correspon-
dência, nem de ataques a sua honra ou a sua reputação.
Toda pessoa tem direito à proteção da lei contra tais
ingerências ou ataques.” (ORGANIZAÇÃO DAS NAÇÕES
UNIDAS, 1948.)
No Brasil, nos tempos mais atuais, a própria Constituição Federal

no Art. 5º, inciso X incluiu proteção à privacidade ao assegurar que são
invioláveis a intimidade, a vida privada, a honra e imagem das pessoas,
abarcando neste contexto a inviolabilidade do domicílio, o sigilo de
correspondência e das comunicações telegráficas, de dados das comu-
nicações telefônicas, por conseguinte, qualquer violação ou invasão ao
245
direito à privacidade gera direitos, indenizações e compensações pelo

dano material ou moral decorrente desta ação inapropriada.
O Código de Defesa do Consumidor no Art. 43 disciplina a
criação de banco de dados de consumidor. Por sua vez, o Código Civil
no Art. 21 adota providências para cessar a violação da vida privada. Já
a Resolução 1.821/2007 do Conselho Federal de Medicina no Art. 2º
dispõe sobre prontuários eletrônicos e proteção de dados médicos.
O Cadastro Único para Programas Sociais do Governo Federal,
decreto 6135/2007 no Art. 8º prevê possibilidade de comunicação dos
dados e estabelece responsabilidades.
O Cadastro Positivo promulgado pela Lei 12414/2011 no Art. 5º
disciplina a formação e consulta de banco de dados com informações
de adimplemento, ter pessoas naturais ou jurídicas, para formação de
histórico de crédito, bem como reconhece os direitos do titular dos
dados, atrelando o tratamento à finalidade pretendida.
A Lei de Acesso à Informação, Lei 12.527/2011, nos Art. 4º e
31, fornece definições legais discriminando informações comuns de
informações pessoais, como também disciplina o tratamento de dados
pessoais no âmbito de sua aplicação.
A Lei 12.737/2012 trata de Crime de Invasão de Dispositivos
Informáticos, mais conhecida como Lei Carolina Dickmann, no Art. 154
tipificou como crime a invasão de dispositivos informáticos, aumen-
tando a proteção da privacidade e intimidade do titular.
A Lei 12.965/2014 versa sobre o Marco Civil da Internet e o De-
creto 8771/2016 regulamenta este Marco Civil da Internet, acerca-se,
especialmente, do tratamento de dados pessoais que transitam pela
internet, não alcançando o tratamento de dados realizados off-line.
Assim, no Art. 1º esta Lei estabelece princípios, garantias, direitos e
deveres para uso da internet no Brasil.
246
O Decreto 7962/2013 que regulamenta o Comércio Eletrônico,

no Art. 4º no inciso VII, estabelece a obrigação do fornecedor em utili-
zar mecanismos de segurança eficazes para pagamento e tratamento
de dados do consumidor. Já o Decreto 8777/2016 trata da Política de
Dados Abertos do Governo Federal e estabelece no seu Art. 1º a políti-
ca de dados abertos no âmbito do Poder Executivo Federal.
Entretanto, neste conjunto de legislações, podemos encontrar
deficiências, limitações e problemas de regulamentações, em relação
a ações e procedimentos a ser dado ao tratamento de dados pessoais,
à privacidade, à intimidade e à proteção de dados, enfim, de garantir
os direitos do titular, por conseguinte, a LGPD, promulgada em 14 de
agosto de 2018, chegou, não obstante, para complementar pontos
determinantes deste ordenamento jurídico.
Especificamente, no seu Art. 5º, inciso I, define dado pessoal
como uma informação relacionada a pessoa natural identificada ou
identificável. Ainda estabelece diversas obrigações e controles que de-
vem ser implementadas por entidades públicas e privadas que tratam
de dados pessoais.
Silveira, Avelino e Souza (2016, p. 218) argumentam que:
as mudanças sociotécnicas trazem novas necessidades e
possibilidades para a reivindicação de direitos e para a per-
cepção de novos problemas nas esferas que compõem o
agregado social. Nesse sentido, podemos notar que a ideia
de privacidade vai sendo alterada conforme as tecnologias
de intrusão, invasão dos espaços pessoais, não públicos,
vão se transformando. Mas há uma série de tensões na
qualificação da privacidade que expressam visões de mun-
do, práticas discursivas, ideologias e também interesses
econômicos. (SILVEIRA, AVELINO e SOUZA, 2016, p. 218).
Tanto a SI, proteção de dados, quanto à privacidade, intimidade e

o direito à privacidade são temas que detém uma forte interdependência
e estão em voga nos dias de hoje, sobretudo após as promulgações da
247
PEC 115/2022 e da LGPD (Lei 13.709/2018) – que regula e disciplina o

tratamento de dados pessoais em qualquer suporte, inclusive em meios
digitais, realizado por pessoas físicas ou jurídicas, de direito público ou de
direito privado, com o objetivo de garantir a privacidade dos indivíduos.
Com o propósito de organizar a pesquisa deste trabalho, de
forma objetiva e consistente, foi realizada a sua classificação.
Para este capítulo (artigo) adotou-se como base a taxono-

mia de Gil (2017) para categorizar metodologicamente a pesquisa,
especificamente, quanto à sua finalidade, propósito geral e métodos
empregados.
Quanto à finalidade, a pesquisa foi classificada como aplicada,
uma vez que busca empregar nas instituições os conhecimentos ad-
quiridos de boas práticas de gestão e GD pelo viés da preservação da
simbiose entre os processos de SI, governança e proteção de dados
como fator indispensável para o sucesso de adequação das atividades
de implementação e execução de tratamento de dados pessoais pelos
agentes de tratamento, prescritos nos normativos, buscando, assim,
mitigar os riscos ou danos aos titulares dos dados, bem como, salva-
guardar a sua privacidade e os seus direitos.
como descritiva, uma vez que sua intencionalidade é profissional e
busca solucionar o problema sobre a necessidade dos agentes de
tratamento de dados em compreender a importante de haver uma
perfeita simbiose entre os processos de SI, governança e proteção de
dados, pois este procedimento está diretamente relacionado ao alcan-
ce exitoso das atividades de tratamento de dados pessoais, e, assim,
248
garantir a privacidade, bem como, salvaguardar os direitos e mitigar os

riscos ou danos aos titulares dos dados.
Por fim, com relação aos métodos, foi utilizada a pesquisa
bibliográfica e documental que teve como base leis, políticas, decre-
tos, livros, artigos técnicos e publicações digitais das áreas de TIC, SI,
proteção de dados, privacidade e GD.
4. DESENVOLVIMENTO
A criação pelos agentes de tratamento de condições que favo-
reçam a garantia da privacidade, bem como, salvaguardar os direitos e
mitigar os riscos ou danos aos titulares dos dados estão diretamente
relacionadas à exitosa concepção da simbiose entre os processos de SI,
governança e proteção de dados, bem como, a adequada implantação
das atividades de tratamento de dados pessoais.
Propomos, dentro deste contexto, uma estrutura mínima,
baseada no arcabouço jurídico, ferramentas e processos de SI (ciber-
segurança) e governança de dados.
Partindo do princípio que os conceitos fundamentais de SI
(confidencialidade, integridade, disponibilidade, autenticidade, não
repúdio) já estejam solidamente estabelecidos na organização se faz
necessário identificar as áreas e processos comuns entre a privacidade
e proteção de dados pessoais e a segurança da informação, tornando-os
harmônicos e complementares entre si. Por exemplo, um incidente de
informação não pode mais deixar de considerar análises do tipo de dado
que sofreu a violação, no que tange a possibilidade de ser ou não um
dado pessoal e ainda sua subclasse (dado sensível, por exemplo), tendo a
obrigação de agora comunicar também o Controlador e o Encarregado
de Dados designado, pois estes novos atores farão parte do processo
de incidente. Além disso, envolvem também o ciclo de vida dos dados
pessoais na organização, pois além de necessitarem de proteção, devem
ser descartados no período definido e da forma correta (irrecuperável).
249
Do mesmo modo, quando os dados são compartilhados com

outros entes autorizados, e com o devido consentimento legal do seu
proprietário, isso deve ser feito dentro de regras claras e bem definidas,
de forma a garantir a plena execução da lei.
Estruturas que antes eram consideradas “um luxo” hoje, por
força da relevância imputada pela lei LGPD ao tratamento dos dados
pessoais, tornaram-se imprescindíveis, tais como o SOC, NOC, Times
de resposta a ataques e Gestão de incidentes.
Da mesma forma, Políticas de Backup e Disaster Recovery pre-
cisam estar em conformidade com esta mesma lei, pois aspectos como
tempo de armazenamento, pseudoanonimização e anonimização, além
da própria necessidade de uso do dado pessoal em si (justificativa e
minimização), são objetos de questionamento da lei em questão.
Já no segmento da governança, tomando como exemplo a
Governança de Dados do Serpro, temos os seguintes princípios funda-
mentais a serem observados:
I) Alinhamento Estratégico: manter todas as ações de
Governança de Dados vinculadas ao planejamento estra-
tégico corrente;
II) Transformação Cultural: disseminar os preceitos da
governança de dados em nível gerencial e funcional,
fomentar a gestão de dados em toda a empresa e pro-
mover um novo comportamento nos times de solução,
no sentido de tratar os dados como ativos patrimoniais
e com gestão centralizada;
III) Colaboração: identificar e adotar as melhores práticas de
Gestão de Dados, conectando todos os atores relevantes
para que, coletivamente, possam criar e manter os pre-
ceitos de dados na Instituição; e
250
IV) Integridade: promover e sustentar uma cultura que valorize

o tratamento ético de dados, reconhecendo tal comporta-
mento como vantagem competitiva para a organização.
Além disso, vale citar a Rede de Curadores12 de Dados do Serpro,
que serve como um apoio importante para a Governança de Dados e
ainda a manutenção de ações de divulgação e treinamentos advindas
da área de Privacidade e Proteção de Dados Pessoais.
Outra ação considerada muito relevante foi a criação e imple-
mentação do Escritório de Governança de Dados, que é responsável pela
implementação da política corporativa de governança de dados e sua
constante atualização, gerindo ainda a rede de curadores de dados, entre
suas atividades pode-se citar: conhecer os dados, metadados e saber
qualificá-los (estrutura, conteúdo, fonte, volume, natureza), cuidado na
coleta de dados e na gestão da ETL (extração, transformação e carga).
No contexto do mundo jurídico, percebe-se também como im-
portante que a área jurídica da organização esteja bem atualizada/afi-
nada com as leis já citadas no item 2.4 deste capítulo, pois constituem
um suporte importantíssimo no ato de comunicação deste segmento
com o meio exterior, pois são capazes de observar com maior perti-
nência as comunicações emitidas, por exemplo, pelo Encarregado, para
que não haja falhas jurídicas nesta comunicação, resguardando assim
os interesses legítimos da organização e o próprio cumprimento da lei.
5. CONCLUSÃO
Os resultados alcançados neste capítulo procuraram contribuir

com o debate sobre a necessidade de existir uma perfeita simbiose
12 Curador de dados: pessoa formalmente designada para cuidar de determinado conjunto

de dados, zelando para que o tratamento dispensado a tais dados esteja de acordo com as
políticas, normas, padrões e procedimentos estabelecidos pela Governança de Dados. Os
curadores de dados se organizam em uma rede de alta capilaridade para cobrir todos os
assuntos tratados pela Empresa;
251
entre a proteção de dados e a SI (cibersegurança) para que possam

proporcionar os meios pertinentes e as condições adequadas para
garantir a manutenção e desenvolvimento da privacidade do cidadão.
Claramente, a SI é evidenciada como o principal meio pelo qual
conseguimos garantir a privacidade e proteção dos dados pessoais,
além dos demais ativos digitais das organizações, constituindo assim
um elemento indissociável para este propósito.
Obviamente, outros aspectos são também relevantes, como o
compliance legal que garante a plena conformidade com os respecti-
vos normativos vigentes e ainda a política de governança que disciplina
a interação entre os mecanismos que viabilizam o tema em si.
Portanto, não se pretende encerrar aqui a análise contextual
sobre os temas tratados, muito pelo contrário, gostaríamos de incen-
tivar a continuidade dos estudos, debates e pesquisas desses assuntos,
para melhorar cada vez mais a normatização do arcabouço regulatório
dos direitos à privacidade do titular dos dados pessoais.
Mesmo assim, não é e nem será um assunto concluído e, com
certeza, se manterá em permanente estruturação, pois os pressupos-
tos vão se moldando, especialmente ao se considerar o sujeito no seu
cotidiano, no seu social e na sua capacidade de comunicação.
REFERÊNCIAS
ABNT NBR ISO/IEC 27001:2013. Tecnologia da informação - Técnicas de
Segurança -Sistemas de Gestão da Segurança da Informação - Requisitos. 2
Ed. Rio de Janeiro. Nov2013. 36 p
ABNT NBR ISO/IEC 27002:2013. Tecnologia da informação – Técnicas de
segurança – Código de prática para controles de segurança da informação. 2
Ed. Rio de Janeiro. Nov2013. 111 p.
ABNT NBR ISO/IEC 27701:2019. Técnicas de segurança - Extensão da ABNT
NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para Gestão da Privaci-
dade da Informação - Requisitos e Diretrizes. Rio de Janeiro. Nov2019. 82 p.
252
AMARAL, Roberto Rogério do. (Org.). Sociedade do conhecimento: novas

tecnologias, risco e liderança. Lages: Ed. Tuniplac, 2006.
BARBIERI, Carlos. Governança de dados: práticas, conceitos e novos cami-
nhos. Rio de Janeiro: Alta Books, 2019. 278 p.
BRASIL. Presidência da República (PR). Lei Geral de Proteção de Dados
(LGPD). Lei 13.709 de 14 de agosto de 2018: Dispõe sobre o tratamento de
dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa
jurídica de direito público ou privado, com o objetivo de proteger os direitos
fundamentais de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural. Disponível em: <http://www.planalto.gov.br/
ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 28Fev2022.
BRASIL. Senado Federal. Constituição Federal (1988)]. Constituição da
República Federativa do Brasil. Texto constitucional promulgado em 5 de
outubro de 1988, com as alterações adotadas pelas emendas constitucionais
nos 1/1992 a 99/2017, pelo Decreto legislativo nº 186/2008 e pelas emendas
constitucionais de revisão nos 1 a 6/1994. 53. ed. Brasília: Câmara dos Deputa-
dos, Edições Câmara, 2018. 168 p. Disponível em: <https://www2.senado.leg.
br/bdsf/bitstream/handle/id/518231/CF88_Livro_EC91_2016.pdf>. Acesso
em: 28Fev2022.
BRASIL. Presidência da República (PR). Código de Defesa do Consumidor.
11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras
providências. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/
l8078compilado.htm.
BRASIL. Conselho Federal de Medicina. Resolução N° 1.821, 11 de julho de
2007. Aprova as normas técnicas concernentes à digitalização e uso dos
sistemas informatizados para a guarda e manuseio dos documentos dos
prontuários dos pacientes, autorizando a eliminação do papel e a troca de in-
formação identificada em saúde. Disponível em: https://www.gov.br/conarq/
pt-br/legislacao-arquivistica/resolucoes/resolucao-cfm-no-1-821-de-11-de-
-julho-de-2007.
BRASIL. Presidência da República (PR). Decreto Nº 6135, 26 de junho de
2007. Dispõe sobre o Cadastro Único para Programas Sociais do Governo
Federal e dá outras providências. Disponível em: http://www.planalto.gov.br/
ccivil_03/_ato2007-2010/2007/decreto/d6135.htm.
BRASIL. Presidência da República (PR). Lei Nº 12.414, 9 de junho de 2011.
Disciplina a formação e consulta a bancos de dados com informações de
253
adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação

de histórico de crédito. Disponível em: http://www.planalto.gov.br/ccivil_03/_
ato2011-2014/2011/lei/l12414.htm.
BRASIL. Presidência da República (PR). Lei de acesso à informação. Lei N°
12.527, 18 de novembro de 2011. Regula o acesso a informações previsto no
inciso XXXIII do Art. 5º, no inciso II do § 3º do Art. 37 e no § 2º do Art. 216 da
Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a
Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro
de 1991; e dá outras providências. Disponível em: http://www.planalto.gov.br/
ccivil_03/_ato2011-2014/2011/lei/l12527.htm.
BRASIL. Presidência da República (PR). Lei Carolina Dickmann. Lei N° 12. 737,
de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos
informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 Código
Penal; e dá outras providências. Disponível em: http://www.planalto.gov.br/
ccivil_03/_ato2011-2014/2012/lei/l12737.htm. Acesso em 30Jun22.
BRASIL. Presidência da República (PR). Lei Nº 12.965, de 23 de abril de 2014.
Estabelece princípios, garantias, direitos e deveres para o uso da Internet
no Brasil. Disponível em:http://www.planalto.gov.br/ccivil_03/_ato2011-
2014/2014/lei/l12965.htm.
BRASIL. Presidência da República (PR). Decreto N° 8.771, de 11 de maio de
2016. Regulamenta a Lei n° 12.965, de 23 de abril de 2014, para tratar das hipó-
teses admitidas de discriminação de pacotes de dados na internet e de degra-
dação de tráfego, indicar procedimentos para guarda e proteção de dados por
provedores de conexão e de aplicações, apontar medidas de transparência
na requisição de dados cadastrais pela administração pública e estabelecer
parâmetros para fiscalização e apuração de infrações. Disponível em: http://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/d8771.htm.
BRASIL. Presidência da República (PR). Decreto n° 7.962, de 15 de março de
2013. Regulamenta a Lei nº 8.078, de 11 de setembro de 1990, para dispor
sobre a contratação no comércio eletrônico. Disponível em: http://www.
planalto.gov.br/ccivil_03/_ato2011-2014/2013/decreto/d7962.htm.
BRASIL. Presidência da República (PR). Decreto n° 8.777, de 11 de maio 2016.
Institui a Política de Dados Abertos do Poder Executivo federal. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/d8777.
htm.
254
BRASIL. Presidência da República (PR). Decreto Política Nacional de Segu-

rança da Informação (PNSI). Dispõe sobre a governança da Segurança da
Informação. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/decreto/D9637.htm.>
BRASIL. Presidência da República (PR). Emenda Constitucional (PEC
115/2022) de 10 de fevereiro de 2022: Altera a Constituição Federal para
incluir a proteção de dados entre os direitos e garantias fundamentais e
para fixar a competência privativa da União para legislar sobre proteção e
tratamento de dados pessoais. Disponível em: http://www.planalto.gov.br/
ccivil_03/constituicao/Emendas/Emc/emc115.htm.
BRASIL. Presidência da República (PR). Portaria GSI/PR nº 93. Glossário de
Segurança da Informação. Disponível em: https://www.in.gov.br/en/web/
dou/-/portaria GSI/PR nº 93, de 26 de setembro de 2019. Acesso em: 12Mar22.
BRASIL. Ministério do Planejamento, Desenvolvimento e Gestão/Secretaria
da Tecnologia da Informação. Portaria STI/MP nº 58. Dispõe sobre comparti-
lhamento de bases dedados oficiais entre órgãos e entidades da administração
pública federal direta e indireta e as demais entidades controladas direta ou
indiretamente pela União. Disponível em: <https://www.gov.br/conarq/pt-br/
legislacao-arquivistica/portarias-federais/portaria-no-58-de-23-de-dezem-
bro-de-2016>. Acesso em: 06Maio22.
BAUMAN, Zygmunt. Sobre la educacion en un mundo liquido: Conversacio-
nes con Ricardo Mazzeo. Buenos Aires: Paidós Iberic, 2013. 160 p.
CASTELLS, Manuel. A sociedade em rede. 11. ed. (A era da informação: econo-
mia, sociedade e cultura; v. 1). São Paulo: Paz e Terra, 2008. 698 p.
CELEBIC, Goran; RENDULIC, Dario Ilija. Basic Concepts of Information and
Communication Technology, Handbook. Zagreb: Open Society for Idea Ex-
change (ODRAZI): Zagreb, 2017. 35 p. Disponível em: <http://www.itdesk.info/
handbook_basic_ict_concepts.pdf>. Acesso em: 01Mar2022.
COMITÊ GESTOR DA INTERNET DO BRASIL. Disponível em: <https://www.
cgi.br/noticia/releases/cresce-o-uso-de-internet-durante-a-pandemia-e-
-numero-de-usuarios-no-brasil-chega-a-152-milhoes-e-o-que-aponta-pes-
quisa-do-cetic-br/.> Acesso em 04Mar2022.
DAMA Internacional. DAMA-DMBoK: Data Management Body of Knowled-
ge. 2nd edition. Basking Ridge. New Jersey: Technics Publications, 2017. 624 p.
255
DGI. The Data Governance Institute. Defining Data Governance. Disponível em:
https://datagovernance.com/defining-data-governance/. Acesso em 06Mai22.
DI FELICE, Massimo; LEMOS, Ronaldo. A Vida em Rede. Campinas: Papirus 7
Mares, 2014.
DOMO.COM/Company. Disponível em: https://www.domo.com/learn/info-
graphic/data-never-sleeps-9. Acesso em 04Mar2022.
DONEDA, Danilo. Considerações iniciais sobre os bancos de dados informa-
tizados e o direito à privacidade. 2000. Disponível em: https://vlex.es/vid/
iniciais-dados-informatizados-privacidade-107553>. Acesso em: 28Fev2022.
DRUCKER, Peter. Sociedade pós-capitalista. 6. ed São Paulo: Pioneira, 1997.
186p.
GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 6 ed. Rio de Janeiro:
Atlas, 2017. E-book.
KHAN, Abdul Waheed. Towards Knowledge Societies. Unesco’s Natural
Sciences Sector. In. Interview with Abdul Waheed Khan. World of Science,
v. 1, n. 4, July-September 2003, Disponível em: <http://www.unesco.org/new/
en/communication-and-information/resources/news-and-in-focus-articles/
all-news/news/towards_knowledge_societies_an_interview_with_abdul_wa-
heed/>. Acesso em: 02Mar2022.
LEÃO, Paulo Roberto Corrêa. Tecnologias da Informação e Comunicação:
aporte aos processos sociais e educacionais orientados aos jovens. 2020.
347 p. Tese (Doutorado em Educação) – Universidade Católica de Brasília,
Brasília-DF, 2020.
LÉVY, Pierre. As tecnologias da inteligência: o futuro do pensamento na era
da informática. 2. ed. São Paulo: Editora 34, 2010. 208 p.
MANDARINO JUNIOR, Raphael. Segurança e defesa do espaço cibernético
do brasileiro. Recife: Cubzac, 2010. 182 p.
MISKOLCI, Richard; BALIEIRO, Fernando de Figueiredo. Sociologia Digital:
balanço provisório e desafios. In: Revista Brasileira de Sociologia, São Paulo,
v. 06, n. 12, jan-abr/2018. Disponível em: <http://www.sbsociologia.com.br/
revista/index.php/RBS/article/view/237>. Acesso em: 02Mai2022.
MUSACCHIO, Cláudio de. Sociedade da Informação x Sociedade do Co-
nhecimento. 2014. Disponível em: <https://www.baguete.com.br/colunas/
256
claudio-de-musacchio/26/07/2014/sociedade-da-informacao-x-sociedade-
-do-conhecimento>. Acesso em: 02Mar22.
ORGANIZAÇÃO DAS NAÇÕES UNIDAS. Declaração Universal dos Direitos
Humanos (DUDH). Disponível em: <https://www.un.org/en/about-us/univer-
sal-declaration-of-human-rights>. Acesso em: 06março22.
PONTE, J. Tecnologias de informação e comunicação na formação de profes-
sores: Que desafios? In: Revista Ibero-Americana de Educación, v. 24, 2000.
63-90 pp. Disponível em: <http://www.rieoei.org/rie24a03.htm>. Acesso em
02Mai22.
PUECH, Michel. Homo Sapiens Technologicus: Philosophie de la technologie
contemporaine, philosophie de la sagesse contemporaine. Paris-França: Edi-
tions Le Pommie. 2008.
PUECH, Michel. Homo Sapiens Technologicus. Roma-Itália: Nuova Cultura.
2018. 210 p.
REIS, Abel. Sociedade.com: Como as tecnologias digitais afetam quem so-
mos e como vivemos. 1ª Edição, Porto Alegre: Arquipélago Editorial, 2018. 216
p. E-book.
SANTOS, Milton. A Natureza do Espaço: Técnica e Tempo, Razão e Emoção.
4. ed. 2. reimpr. - São Paulo: Editora da Universidade de São Paulo, 2006. 260
p. (Coleção Milton Santos; 1).
SERPRO. Política Corporativa de Governança de Dados. 2021. 8 p.
SERPRO. Glossário-LGPD. Jan2021. Disponível em:<https://www.serpro.gov.
br/lgpd/menu/a-lgpd/glossario-lgpd/.> Acesso em 07Mar2022.
SILVEIRA, S. A.; AVELINO, R.; SOUZA, J. A privacidade e o mercado de dados
pessoais. In: Liinc em Revista, v. 12, n. 2, 30 nov. 2016.
SIMMEL, Georg. Questões fundamentais da sociologia: indivíduo e socieda-
de. Rio de Janeiro: Jorge Zahar Editora, 2006. 120 p.
O STATISTA.COM. Disponível em: <https://www.statista.com/statisti-
cs/617136/digital-population-worldwide/>. Acesso em 04Mar2022.
STREY, Marlene Neves (Org.). Psicologia Social Contemporânea. 7. ed. Rio de
Janeiro: Vozes, 2013. 302 p.
TEIXEIRA, Marcelo Mendonça. Cyberculture: from plato to the virtual univer-
se. The architecture of collective intelligence. Munique: Grin Verlag, 2012.
257
TYLOR, Edward Burnett. A ciência da cultura. 67-99 p. In: Evolucionismo

cultural: textos de Morgan, Tylor e Frazer. Trad. Maria Lúcia de Oliveira. 2ª ed.
Rio de Janeiro: Jorge Zahar Editora, 2009. 116 p.
VIRILIO, Paul. Entrevista ao filósofo francês Paul Virilio para o Diário
Liberdade. Disponível em: <http://www.diarioliberdade.org/index.php?op-
tion=com_content&view=article&id=16682:entrevista-ao-filosofo-fran-
ces-paul-virilio&catid=99:batalha-de-ideias&Itemid=113>. Publicada em 15
de junho de 2011. Acesso em: 30Mar22.
WARREN, Samuel D.; BRANDEIS, Louis, D. Right to privacy. Harvard Law Re-
view, v. IV, n. 5, december, 1890. Disponível em: Disponível em: <http://faculty.
uml.edu/sgallagher/Brandeisprivacy.htm>. Acesso em: 28Fev2022.
WIKIPÉDIA - Proteção de Dados Pessoais. Disponível em: <https://pt.wikipe-
dia.org/wiki/Prote%C3%A7%C3%A3o_de_dados>. >. Acesso em: 28Fev2022
258
Transparência na implementação de Inteligência Artificial em Organizações
TRANSPARÊNCIA NA IMPLEMENTAÇÃO
DE INTELIGÊNCIA ARTIFICIAL
EM ORGANIZAÇÕES
Aline Macohin
Juliano Souza de Albuquerque Maranhão
Resumo:
O uso de inteligência artificial explicável pode mitigar alguns riscos inerentes ao uso da
IA em soluções digitais, além de permitir o uso responsável e auditável desta tecnologia.
Embora a legislação de proteção de dados aborde o tema da explicabilidade, sua
abordagem é insuficiente para garantir uma maior transparência dos modelos de IA.
Os riscos de conformidade, jurídicos e de segurança, pertinentes a cada contexto em
que as tecnologias são aplicadas, podem ser maiores de acordo com os algoritmos
utilizados e nível de transparência do sistema. A experiência Europeia pode trazer
importantes subsídios para essa proteção e para a discussão da regulação da IA no
Brasil.
Palavras-chave: Inteligência artificial. Transparência. Explicabilidade. Regulação;
Abstract: Explainable Artificial Intelligence can be used for risk mitigation in digital
solutions, while enabling responsible and auditable use of AI technology. Although
current legislation addresses the use of explainability, this is insufficient to ensure
transparency in AI models. Security, conformity and legal risks can be higher depending
on the algorithms used and the desired level of transparency for the system. Previous
studies and experiences carried out in Europe can contribute to the discussion of AI
regulation in Brazil.
Keywords: Artificial Intelligence. Transparency. EXplainable AI regulation.
1. INTRODUÇÃO
A explicabilidade dos resultados de softwares que incorporem
metodologias de inteligência artificial é tema bastante explorado por
pesquisas relativas à ética na inteligência artificial (IA). Trata-se de
preocupação relativa à transparência dos sistemas de IA tendo em vista
260
que, para algumas metodologias mais complexas, como aquelas envol-

vendo redes neurais profundas, existe uma dificuldade em trazer uma
explicação compreensível para humanos sobre quais seriam os fatores
a determinar o output entregue para determinado input. Por exemplo,
um sistema de reconhecimento de imagens pode indicar a probabilidade
de retinopatia por meio da análise de fotos da retina de um paciente
diabético tiradas com um equipamento específico acoplado ao celular1.
Porém, os usuários do sistema ou mesmo os programadores podem não
ser capazes de indicar quais os aspectos da imagem que levam àquele
diagnóstico. Ou ainda que se possa localizar algumas variáveis com cor-
relação significante com a predição diagnóstica, não há uma explicação
causal satisfatória entre aquelas variáveis e o resultado da predição.
Esse tema vem sendo tratado como o problema da opacidade
da IA ou o problema da “black box” e o motivo da inquietação tem a
ver com a confiabilidade do sistema ou na tecnologia em geral. De um
lado, os usuários ou aqueles que empregam o sistema, como médicos,
no caso citado da retinopatia, podem ter resistência em utilizar a tec-
nologia por não entenderem o diagnóstico. De outro, aqueles que são
impactados por decisões automatizadas opacas podem ter resistência
em aceitar a decisão e não ter meios para contestá-la.
O desafio da explicabilidade tem provocado tanto aborda-
gens regulatórias quanto técnicas. A abordagem regulatória indaga
sobre princípios éticos ou critérios organizacionais de governança no
desenvolvimento e emprego de inteligência artificial, que possam ser
observados pelos desenvolvedores para mitigar a opacidade quanto
aos resultados. Assim, utilizar metodologias menos opacas quando
disponíveis ou métodos técnicos de explicação, apesar de poder haver
um trade-off entre eficiência e explicabilidade para alguns modelos. A
1 QUEIROZ, M.S., DE CARVALHO, J.X., BORTOTO, S.F. et al. Diabetic retinopathy screening in
urban primary care setting with a handheld smartphone-based retinal camera. Acta Diabetol
57, 1493–1499, 2020. https://doi.org/10.1007/s00592-020-01585-7
261
261
abordagem técnica, por sua vez, desenvolve métodos, inclusive com

emprego de IA, para gerar explicações para os resultados2. Trata-se do
campo de investigação denominado pela sigla inglesa XAI (eXplainable
AI), também conhecida por Inteligência artificial explicável.
Portanto, para avaliar os aspectos éticos, riscos e boas práticas,
é necessário compreender como o algoritmo de inteligência artificial
foi e pode ser desenvolvido ou ajustado de forma responsável para
mitigar o problema da opacidade.
A Lei Geral de Proteção de Dados é suficiente para fornecer

diretrizes para o desenvolvimento de uma IA ética, responsável e trans-
parente, além de reduzir as preocupações já externadas por órgãos
internacionais?
1.2 OBJETIVOS
Avaliar como vem sendo abordada a inteligência artificial expli-

cável internacionalmente e se a legislação brasileira atual referente a
este tema está alinhada às diretrizes internacionais.
específicos:
I) Identificar bases de uma IA de confiança;
II) Identificar boas práticas relacionadas ao desenvolvimen-
to da inteligência artificial;
III) Identificar impactos negativos relacionados à aplicação
da inteligência artificial; e
2 MARANHÃO, JULIANO S. A.; COZMAN, F. G.; ALMADA, M. Concepções de explicação e do

direito à explicação de decisões automatizadas. In: Rony Vainzof, Andrei Gutierrez. (Org.).
Inteligência Artificial: Sociedade Economia e Estado. 1 ed. São Paulo: Thomson Reuters Brazil,
2021, v. 1, p. 137-154.
262
262
IV) Analisar se a legislação brasileira aborda os itens anterio-

res.
1.3 JUSTIFICATIVA
A partir da análise do ciclo de vida da inteligência artificial, o

conceito de IA explicável, a legislação brasileira existente e como este
tema vem sendo abordado internacionalmente, há riscos conhecidos
e que necessitam ser mitigados. O avanço da tecnologia nem sempre
é acompanhado pelo Direito, entretanto, com o número crescente de
pessoas que podem ser afetadas, é necessário avaliar as melhores prá-
ticas dentro do desenvolvimento da solução e como a legislação pode
contribuir para o desenvolvimento responsável da tecnologia.
Este artigo está organizado em quatro seções. A primeira,

introdução, apresenta os conceitos de inteligência artificial e inte-
ligência artificial explicável e a problemática envolvida. No segundo
capítulo é abordado o referencial teórico, relativo ao tema de IA
confiável, assim como os princípios éticos e riscos envolvidos. No
terceiro capítulo é explorada a transparência e explicabilidade rela-
tiva aos modelos de IA, os pontos da legislação brasileira aplicável à
Inteligência Artificial, em específico a LGPD, assim como as limita-
ções identificadas. E por fim, no capítulo 4 é abordada a conclusão
do presente trabalho.
A seguir serão abordados os impactos da inteligência artificial
e como estes podem ser reduzidos com a ação de uma IA confiável
através de transparência e explicabilidade do sistema.
263
263
Atualmente convivemos com diversas aplicações de softwares

com inteligência artificial e já pudemos constatar riscos dela decorren-
tes, como o risco de erro, com consequentes danos físicos ou psíquicos,
risco de vieses discriminatórios, risco de coleta e tratamento excessivo
de dados pessoais, bem como já se discute em diferentes fóruns, aca-
dêmicos ou da sociedade civil, sobre a moralidade de determinadas
aplicações, como as armas autônomas ou de vigilância social com
reconhecimento facial.
Dietterich e Horvitz (2015) elencam cinco tipos de riscos, sendo
eles 1) bugs (falhas), 2) cibersegurança, 3) pretensão das pessoas que
interagem com a IA, 4) autonomia compartilhada e 5) impactos socio-
econômicos.
Referente ao primeiro, este decorre de erros de programação
no software de IA, geralmente ocasionado por falta de garantia de
qualidade e validação do sistema. Neste tipo de risco, os desafios
técnicos abrangem tanto o comportamento adequado dentro do que
se conhece e foi treinado, quanto agir dentro do esperado, quando o
sistema encontrar situações imprevistas.
Quanto ao segundo tipo de risco, a segurança de sistemas de
informação, Dietterich e Horvitz (2015) comentam que os algoritmos
de IA são tão vulneráveis quanto qualquer outro software a ataques ci-
bernéticos. Dentre as vulnerabilidades exploradas estão a manipulação
de dados de treinamento que podem alterar o comportamento desses
sistemas. Agrava-se mais ainda quando a IA é utilizada para tomadas de
decisões de alto risco.
Quanto à manipulação de dados de treinamento, não neces-
sariamente um invasor precisa acessar o servidor para modificar o
comportamento do algoritmo, mas sim, saber a fonte de onde os dados
são coletados. Podemos mencionar o caso dos sistemas de busca que
264
264
utilizam como fonte de dados para treinamento o que seus usuários

digitam e podem levar a sugestões racistas e sexistas, por exemplo.
Outro exemplo neste sentido, é o da funcionalidade autocom-
pletar do Google que em 2016 foi reavaliada para algumas palavras em
virtude de sugestões antissemitas e sexistas3, além de resultados que
levavam a interpretações racistas4. Segundo o Google, o algoritmo
apenas reproduzia o que encontrava na internet, mas concordou que
os problemas levantados deveriam ser tratados. Inclusive, este proble-
ma foi retratado numa campanha mundial que defendia o direito das
mulheres, organizado pela Un Women5.
Quanto ao terceiro tipo de risco, este se refere à pretensão das
pessoas que usam o sistema inteligente, em que se deve estabelecer
limites sobre os pedidos que podem ser feitos e que ele vai executar.
Um exemplo que Dietterich e Horvitz (2015) trazem é o de usuários
de carros autônomos que pedem para chegar em um destino o mais
rápido possível. O sistema de direção autônoma dirigiria a 200 km/h,
colocando pedestres e outros motoristas em risco? Um aspecto im-
portante de qualquer sistema de IA que interage com pessoas é que
ele deve raciocinar sobre a intenção ao invés de executar comandos
literalmente. Neste contexto também pode ser avaliado o uso de inte-
ração com os usuários, como orientações humanas e feedbacks sobre
as ações tomadas.
Quanto ao quarto tipo de risco, a autonomia compartilhada,
traz um grande desafio técnico, o de criar sistemas em tempo real
3 The Guardian. Google alters search autocomplete to remove ‘are Jews evil’ suggestion.
Disponível em https://www.theguardian.com/technology/2016/dec/05/google-alters-
search-autocomplete-remove-are-jews-evil-suggestion . Acesso em: junho de 2022.
4 The Guardian. Do Google’s ‘unprofessional hair’ results show it is racist?. Disponível em
https://www.theguardian.com/technology/2016/apr/08/does-google-unprofessional-hair-
results-prove-algorithms-racist- . Acesso em: junho de 2022.
5 UN Women. UN Women ad series reveals widespread sexism. Disponível em https://www.
unwomen.org/en/news/stories/2013/10/women-should-ads. Acesso em: junho de 2022.
265
265
onde o controle precisa mudar rapidamente entre pessoas (manual) e

sistemas de IA (automatizado), o que acaba gerando grande confusão.
Dentre as confusões geradas, é a de que ao assumir o controle manual
do software, o ser humano pode não ter conhecimento de todas as in-
formações necessárias para a tomada de decisão e tendência a tomar
uma decisão equivocada, logo, se ocorreu um resultado não esperado,
pode haver confusão sobre quem foi o causador.
E por fim, o tipo de risco de impactos socioeconômicos, diz
respeito à influência da automação na socioeconomia e na distribuição
de riqueza, assim como na distribuição dos empregos.
Abordar aspectos éticos dentro da IA não é uma tarefa trivial,
dado que cada pessoa e ambiente sociocultural prioriza e interpreta
os valores morais e sociais de forma diferente (Dignum 2019, p.35).
Portanto, além de entender como as valorações morais podem ser
relevantes, temos que entender em que etapas no desenvolvimento de
sistemas de IA essas valorações entram em jogo e quais decisões são
relevantes para que se possa mitigar riscos e enfrentar questões éticas.
Esse esforço é relevante para que se gere confiança social quanto ao
desenvolvimento e ao emprego da IA.
Há diversas iniciativas no sentido de mitigar riscos e preocu-
pações éticas em relação a sistemas de IA, como por exemplo, o caso
do Google Tradutor que buscou reduzir o viés de gênero em suas tra-
duções6 e a remoção da variável gênero na API do Google Cloud7. Há
outros casos nos quais o projeto foi descontinuado, após a detecção
6 GOOGLE. A Scalable Approach to Reducing Gender Bias in Google Translate. Disponível em

https://ai.googleblog.com/2020/04/a-scalable-approach-to-reducing-gender.html. Acesso
em: junho de 2022.
7 Venture Beat. Google Cloud AI removes gender labels from Cloud Vision API to avoid bias.
Disponível em https://venturebeat.com/2020/02/20/google-cloud-ai-removes-gender-
labels-from-cloud-vision-api-to-avoid-bias/. Acesso em: junho de 2022.
266
266
de vieses em algoritmos, como o da Amazon que privilegiava homens

na contratação8.
Apesar dos seres humanos também poderem tomar decisões
equivocadas e que violem aspectos éticos, na inteligência artificial isto
busca ser mitigado ao máximo, devido ao volume de decisões que uma
máquina pode proferir em comparação a decisões individuais. Entre-
tanto, quando os modelos de IA utilizam como subsídio para seu trei-
namento decisões passadas tomadas por seres humanos e que podem
possuir vieses, se torna um grande desafio técnico criar um modelo que
não reproduza (e amplie) os mesmos defeitos.
É gerada uma grande expectativa pela sociedade que a tecnolo-
gia possa tomar decisões melhores e mais justas que as proferidas por
seres humanos (NASS; MOON, 2002). Essas expectativas levantam
questões de responsabilidade e obrigação, bem como a expectativa
que a tecnologia aja de acordo com os valores humanos e respeite os
direitos humanos.
Quando nos referimos à inteligência artificial, há na verdade
inúmeras formas de representá-la, mas quando nos referimos ao
programa computacional chamamos de modelo ou modelagem ma-
temática. Na aplicação de um modelo para atingir um determinado
objetivo e com base em dados, é necessário passar por diversas fases
como compreensão do problema que será resolvido, dados disponíveis,
preparação dos dados, modelagem, avaliação e aplicação. E dentro de
cada fase é possível considerar alguns aspectos éticos e boas práticas
para mitigar riscos.
Dentre as diversas áreas que podem ser abordadas quanto ao
desenvolvimento de uma inteligência artificial de confiança, segundo
8 REUTERS. Amazon scraps secret AI recruiting tool that showed bias against Women
Disponível em https://www.reuters.com/article/us-amazon-com-jobs-automation-insight-
idUSKCN1MK08G. Acesso em: junho de 2022.
267
267
relatório realizado pela União Europeia (AI, HLEG, p.3), estão a 1) ação
e supervisão humanas; 2) solidez técnica e segurança; 3) privacidade e
governação dos dados; 4) transparência; 5) diversidade, não discrimi-
nação e equidade; 6) bem-estar ambiental e societal e 7) responsabi-
lização.
3. DESENVOLVIMENTO: TRANSPARÊNCIA
E EXPLICABILIDADE
Dentre esses, a transparência é fundamental, não só como
valor em si, mas também por ser instrumental em relação aos demais
valores. Apenas em sistemas cujo desenvolvimento seja transparente
é possível identificar se os dados pessoais são excessivos para a fina-
lidade almejada, se há ou não sobre ou sub-representação nos dados
capaz de gerar vieses, ou se os registros da operação do sistema trazem
resultados discriminatórios.
A transparência como elemento de governança de sistemas
de inteligência artificial IA, também chamada de transparência al-
gorítmica, consiste na prestação de informações a terceiros sobre
o agente artificial inteligente. Desse modo, a transparência é sempre
relacional, i.e., seu conteúdo varia com relação ao tipo de destinatário
(transparência em relação a quem).9 Um dos alvos principais de pre-
ocupação é a transparência em relação ao indivíduo impactado pela
decisão algorítmica ou pelo fator de decisão (humana) indicado pelo
algoritmo. Outro agente relevante é aquele que opera a ferramenta de
inteligência artificial ou participa da tomada de decisão que envolve
algoritmos (operador), deve conhecer sua operação para que evite
riscos e avalie criticamente seus resultados (exemplo, um médico que
empregue sistema de IA para diagnóstico).
9 DIAKOPOULOS, N. Transparency, in: Dubber, M., Pasquale, F. and Das, S. The Oxford
Handbook of Ethics of AI.OUP, 2020, pp. 197 a 214.
268
268
Um dos problemas em termos de governança e transparên-

cia está no aparente trade-off entre a capacidade de compreensão
dos resultados do sistema e sua acurácia10, o que torna o esforço de
explicação do funcionamento do sistema mais difícil, sob o ponto
de vista técnico, em sistemas baseados em modelos mais comple-
xos, como redes neurais. Estas, por sua vez, têm poder de previsão
bastante elevado, mas são consideradas caixas pretas em razão de
sua opacidade e complexidade. Tal característica de alguns sistemas
complexos de machine learning, porém, não impedem que sejam
abertas informações valiosas dentro de um arranjo institucional
envolvendo outros atores, como auditores independentes, board de
experts, que possam apoiar internamente e monitorar a operação
do sistema, bem como apoiar autoridades em tomadas de decisão
sobre o sistemas de inteligência artificial de alto risco ou que tenham
provocado danos.11 Como o nível de transparência varia conforme
aplicações e seu destinatário, documentos de governança recomen-
dam diferentes níveis de transparência, que possam ser mensurados
e testados.12
Trata-se de elemento fundamental para que terceiros, sejam
aqueles que operam o sistema, sejam aqueles que são diretamente
afetados pelos sistema, autoridades envolvidas na regulação e adjudi-
cação de conflitos envolvendo a IA e a própria sociedade possam obter
elementos críticos para sua avaliação ética e consequências jurídicas,
de modo que a transparência é veículo social de prestação de contas
10 “Here, then, is a core and, for the moment, unavoidable trade-off in designing algorithmic
accountability regimes: Interpretability often comes only at the cost of efficacy” (p. 7).
ENGSTROM, David Freeman; HO, Daniel E., Artificially Intelligent Government: A Review and
Agenda. In: VOGL, Roland (org). Big Data Law, forthcoming 2020, March 9, 2020.
11 WISCHMEYER, T. Artificial Intelligence and Transparency: opening the black box, in:
WISCHMEYER, T and RADEMACHER, T. Regulating Artificial Intelligence, Springer, 2020 p.
76 a 97.
12 IEEE. IEEE Draft Standard for Transparency of Autonomous Systems, in IEEE P7001/D1, June
2020. (Piscataway, NJ: IEEE), 1–76. Tech. rep, 2020.
269
269
(accountability) e de autonomia dos humanos envolvidos e afetados

por sua operação,13 fatores chave para o desenvolvimento e emprego
democrático da tecnologia.
No que se refere aos indivíduos e operadores, as informações a
serem dadas sobre o sistema podem se referir ao próprio emprego da
IA nos processos de tomada de decisão (transparência quanto ao uso),
como também aos resultados e procedimentos dos sistemas de IA para
tomada de decisão (transparência quanto à operação).
A transparência quanto ao uso do sistema requer daqueles que
empregam o sistema de IA que informem não só que o usuário interage
direta ou indiretamente com um sistema de IA ou que estão sujeitos a
um processo de tomada de decisão que é influenciado por um sistema
de IA, mas também que indiquem qual o grau de influência da IA no
resultado final da decisão.
Quanto à transparência em relação à operação deve-se destacar
dois elementos chave no desenvolvimento de sistemas de IA, em parti-
cular aqueles baseados em machine learning: a) transparência quanto
aos dados; e b) transparência quanto ao modelo e suas inferências.
A transparência quanto aos dados refere-se, em primeiro lugar,
à indicação sobre o emprego de dados pessoais e uso de profiling dos
indivíduos sujeitos à decisão. Medidas nesse sentido permitem a verifi-
cação de legitimidade e accountability em relação à proteção de dados
pessoais. Em segundo lugar, a transparência também deve conter
elementos para avaliar a qualidade dos dados empregados: sua com-
pletude, fidedignidade, confiança quanto à fonte, forma de coleta ou
possíveis adulterações, frequência de atualização e representatividade
em relação a populações de interesse (minorias).
13 WISCHMEYER, T. Artificial Intelligence and Transparency: opening the black box, in:
WISCHMEYER, T and RADEMACHER, T. Regulating Artificial Intelligence, Springer, 2020 p.
76 a 97
270
270
A transparência quanto ao modelo e suas inferências diz

respeito à explicabilidade e interpretabilidade de seus resultados.
Ela abrange, em primeiro lugar, a documentação sobre a escolha do
modelo empregado que seja capaz de justificar o descarte de mode-
los mais transparentes para se atingir o mesmo resultado (trade off
entre transparência e acurácia). Uma boa prática e governança de
IA, em termos de transparência, está na escolha de métodos, quando
possível, menos opacos. Em segundo lugar, a transparência deve
abranger os critérios, fatores ou variáveis relevantes para o resultado
da decisão. Existem métodos computacionais para gerar ou aumen-
tar a explicabilidade de sistemas de IA (XAI- Explainable AI) e seu
emprego também é uma prática recomendável de governança, po-
dendo abranger diretrizes mais específica em diferentes contextos,
de acordo com a categoria da explicação, o tipo de destinatário da
explicação, os cenários nos quais a explicação é exigida, incluindo-se
como medida de governança, também a avaliação periódica da IA
explicável quanto ao seu desempenho.14
Quando falamos em decisões automatizadas que podem afetar
direitos ou interesses individuais, a transparência passa a ser veículo
fundamental para o exercício da autonomia individual. Trata-se da
transparência no sentido de explicação ou inteligibilidade de seus
resultados, que permite àqueles que operam, criticarem a IA e aqueles
afetados, contestarem as decisões com as quais não se conformam.
A inteligência artificial explicável é indicada para descrever
um modelo de inteligência artificial, seu escopo de atuação, impactos
esperados e se há existência de vieses nos dados, ou seja, cada decisão
tomada pelo modelo deve ser passível de rastreamento e explicabi-
lidade. No momento que um modelo de aprendizado de máquina é
14 IEEE.IEEE P2894™ - Guide for an Architectural Framework for Explainable Artificial

Intelligence.
271
271
submetido à avaliação do conjunto de processos e métodos desta área,

permite caracterizar a precisão, imparcialidade, transparência e com
foram obtidos os resultados na tomada de decisão.
Podemos considerar um modelo totalmente interpretável como
aquele que fornece explicações completas e transparentes, o que pode
ser inviável para diversos tipos de algoritmos que adotem modelos ma-
temáticos mais complexos. Já um modelo parcialmente interpretável, é
aquele que revela partes importantes de seu funcionamento, como por
exemplo medidas de importância de cada variável utilizada.
Com relação aos problemas e desafios associados à XAI,
Gunning et al. (2019, p. 4-5) elencam os seguintes: a) adaptação do
nível de explicabilidade de acordo com o usuário e nível de informa-
ção que necessita; b) precisão do modelo x interpretabilidade, onde
geralmente se encontra que modelos mais precisos possuem menor
explicabilidade; c) abstrações para simplificar a descrição dos mode-
los; d) explicar competências x explicar decisões, neste problema é
necessário verificar os pontos cegos do sistema, ou seja, resultados
que o sistema não foi treinado para encontrar.
Além das preocupações relatadas anteriormente, parte delas
envolve aspectos técnicos de como essa tecnologia é desenvolvida,
dentre elas, a escolha das amostras de treinamento dos modelos
preditivos, as configurações dos algoritmos que podem reduzir a pro-
babilidade de erro, que tipos de erros são aceitáveis no sistema, como
identificá-los, entre outros.
Dignum (2019, p. 6 - 7) aborda alguns tópicos para o desenvolvi-
mento e utilização da IA de modo responsável. A autora menciona que
uma postura ética deve ser adotada em três maneiras distintas, sendo
elas a Ethics in Design, Ethics by design e Ethics for Design (ers). Por de-
sign, aqui infere-se que se trata da própria modelagem ou construção
do modelo de IA.
272
272
Com relação ao Ethics in Design, refere-se aos processos regula-

tórios e normas técnicas que apoiam o design e a avaliação de sistemas
de IA à medida que se integram ou mesmo substituem as estruturas
sociais tradicionais. Nesta fase, busca-se garantir que os envolvidos
no ciclo de vida dos sistemas de IA estejam cientes das possíveis con-
sequências do sistema na sociedade, com a antecipação das consequ-
ências de cada escolha na formulação do modelo de IA. Necessária a
devida reflexão sobre o problema a ser resolvido e também deve ser
considerado o envolvimento de todas as partes interessadas, através
da verificação e validação do design, além de verificar a aceitabilidade
social, legal e ética do mesmo. Neste item ainda se destaca os princípios
ART (Dignum, 2019, p. 6) Auditoria (Accountability), Responsabilidade
e Transparência, inerentes a esta fase.
Por Ethics by Design entende-se a ética do comportamento dos
sistemas de IA e como estes sistemas podem reproduzir valores morais
nos sistemas. Também neste tópico é considerado compreender as
restrições do comportamento do sistema.
Por fim, Ethics for Design(ers) refere-se aos códigos de conduta,
aos requisitos regulatórios e aos padrões e processos de certificação
que garantem a integridade de todos os atores enquanto pesquisam,
projetam, constroem, empregam e gerenciam sistemas de IA. Na exis-
tência de códigos que guiem a atuação dos profissionais envolvidos na
construção destes sistemas, busca-se que estes considerem o impacto
social de suas escolhas e tomem as medidas necessárias para minimizar
o impacto negativo e o uso indevido de seus resultados.
Apesar de serem recomendações trabalhadas na literatura,
alguns países já vêm considerando estes aspectos através da legislação
ou ainda pelo uso de normas técnicas, como a IEEE P7001: A Proposed
Standard on Transparency (WINFIELD et al., 2021).
273
273
Portanto, é considerada boa prática a documentação de to-

das as fases do desenvolvimento da inteligência artificial e como em
determinados pontos pode ocorrer uma certa obscuridade de como
o modelo se comporta são necessários esforços tanto no sentido de
documentar todas as decisões de projeto, quanto trabalhar na parte
de explicabilidade do sistema. Inclusive, estes artefatos também
podem auxiliar a mitigar estes riscos ao refletir sobre os pontos do-
cumentados.
Entretanto, como ressaltado por Guidotti et al. (2018), são mé-
todos diferentes a serem aplicados tanto no design “transparente” dos
modelos, quanto na explicação dos modelos “black-box”. Maranhão,
Cozman e Almada (2021) abordam a questão da explicabilidade nas
decisões automatizadas e destacam que “a maior parte das técnicas
relacionadas à interpretabilidade e geração de explicações em Inteli-
gência Artificial se preocupa em esclarecer o usuário de interesse sobre
a forma como uma decisão foi tomada, e não justificar a decisão em si”.
Partindo deste pressuposto que queremos apenas explicar
como a decisão foi tomada e não a justificar, destacamos três cate-
gorias de técnicas exploradas em Inteligência Artificial, a a) Análise de
Sensibilidade, b) Decomposicional e c) Agnóstica.
Maranhão, Cozman e Almada (2021) conceituam análise de
sensibilidade pela definição de quais itens o modelo é mais sensível e
trazem um exemplo do Grad-CAM, que identifica quais partes de uma
imagem são mais importantes na classificação da imagem.
Já a estratégia decomposicional procura focar em tipo de modelo
(exemplo: redes neurais profundas) e decompor o modelo escolhido em
partes, de forma que a explicação é gerada para um modelo particular
tendo em vista sua estrutura, ou seja, no caso das redes neurais profun-
das descreve quais neurônios e quais interações levaram à particular
decisão (MARANHÃO; COZMAN; ALMADA, 2021).
274
274
Por sua vez, na estratégia agnóstica se parte do princípio opos-

to e se enquadra nos modelos que geralmente são opacos. Neste caso,
o interpretador não examina o interior do modelo explicado, somente
a entrada do modelo (dados) e a saída (decisões). Maranhão, Cozman
e Almada (2021).
Nos modelos opacos em que se exige alguma evidência de
interpretabilidade15 (post-hoc interpretability) são aplicadas outras
técnicas como realizar ligações entre as características dos dados de
entrada e os resultados, ou ainda, construir um modelo mais simples
para aproximar o modelo original. Ressalta-se que as representações
realizadas devem ser feitas com muita cautela, pois, como as interpre-
tações post-hoc não elucidam o mecanismo interno de um modelo,
elas podem não ser fiéis ao modelo original.
Ainda, a explicabilidade pode ser interpretada em diferentes
sentidos (simulatabilidade, contrastividade, contestabilidade), porém
uma exigência mínima perante os usuários e aqueles afetados pela deci-
são consiste no fornecimento de elementos que permitam ao indivíduo
questionar ou contestar o resultado de uma decisão automatizada16.
De modo geral, a simulatibilidade significa que um usuário,
a partir de parâmetros de entrada, consegue simular a saída de um
modelo. A simulatabilidade é uma tarefa complexa de executar e pode
restringir excessivamente o emprego considerado legítimo dos sis-
temas de inteligência artificial, neste sentido algumas considerações
devem ser feitas17
15 ZHONG, Jinfeng; NEGRE, Elsa. AI: To interpret or to explain? In: Congrès Inforsid
((INFormatique des ORganisations et Systèmes d’Information et de Décision), 2021.
direito à explicação de decisões automatizadas. In: Rony Vainzof, Andriei Gutierrez. (Org.).
Inteligência Artificial: Sociedade, Economia e Estado. 1 ed. São Paulo: Thomson Reuters Brasil,
2021, v. 1, p. 137-154.
direito à explicação de decisões automatizadas. In: Rony Vainzof, Andrei Gutierrez. (Org.).
275
275
Por contrastividade, entende-se por comparar a decisão toma-

da com as alternativas plausíveis e mostrar por que aquelas alternativas
não foram seguidas18. Neste caso, uma pessoa afetada por uma decisão
automatizada poderia ajustar sua conduta para produzir os resultados
desejados. Entretanto, conforme mencionado por Maranhão, Cozman
e Almada (2021) no domínio jurídico não é razoável esperar que o ônus
do ajuste de conduta caia sempre sobre a pessoa sujeita à decisão
automatizada, principalmente quando um modelo age de forma in-
compatível com a lei. Além disso, o próprio levantamento de hipóteses
alternativas pode ser inacessível ao usuário.
Por fim, com relação à contestabilidade, de modo geral o ob-
jetivo reside na explicação que um sistema deve fornecer para avaliar
consequências de uma decisão e, se for o caso, tenha elementos
suficientes para contestá-la por vias judiciais ou extrajudiciais19. A van-
tagem da contestabilidade em relação aos modelos decomposicionais
ou de sensibilidade é a de que não pressupõem a explicação efetiva,
mas apenas que seja oferecida uma explicação capaz de legitimar o
resultado.
Inteligência Artificial: Sociedade Economia e Estado. 1 ed. São Paulo: Thomson Reuters Brasil,
2021, v. 1, p. 137-154.
Como o funcionamento de um sistema inteligente envolve a execução de grande número
de operações computacionais, a reprodução dos passos relevantes pode levar tempo
considerável. Dessa forma, a necessidade de reproduzir todos os passos relevantes pode
contribuir, por exemplo, para prolongar a existência de um estado antijurídico que tenha sua
origem na decisão tomada por um sistema inteligente. Por outro lado, a simulatabilidade é
congênere a aplicações que visariam a substituir atuações executadas por humanos, o que
nem sempre é o objetivo do sistema de IA. Por exemplo, uma decisão automatizada com
emprego de IA para acionar o Air Bag de um veículo dificilmente seria simulável por um
processo de tomada de decisão humana
18 MITTELSTADT, Brent; RUSSELL, Chris; WACHTER, Sandra, Explaining Explanations in AI, in:
Proceedings of FAT* ’19, Atlanta, Ga: ACM, 2018.
19 ALMADA, Marco, Human intervention in automated decision-making: Toward the
construction of contestable systems, in: Proceedings of the 17th International Conference on
Artificial Intelligence and Law (ICAIL 2019), Montréal, QC, Canada: ACM, 2019, p. 1–10.
276
276
3.1 IA INTERPRETÁVEL X IA EXPLICÁVEL
Antes de abordar as sugestões de melhorias na legislação

brasileira, para chegar o mais próximo de uma IA ética e auditável,
é necessário definir parâmetros para que este software se torne
transparente e possível de avaliação por terceiros que não possuam
conhecimento técnico na área.
Dentre os conceitos elicitados por ARRIETA et al. (2020, p.5)
estão o da inelegibilidade, compreensibilidade, interpretabilidade e
explicabilidade. Por iinteligibilidade (understandability), compreen-
de-se a capacidade de um modelo permitir que um humano compre-
enda sua função, sem a necessidade de explicar sua estrutura interna
ou o processamento algorítmico. Por compreensibilidade (com-
prehensibility) entende-se capacidade de um modelo representar o
conhecimento aprendido de uma forma compreensível por humanos.
Também é necessário diferenciar o conceito de interpretabili-
dade (interpretability) e explicabilidade (explainability). A interpreta-
bilidade equivale ao nível em que o resultado de determinado modelo
é previsível por um humano e pode ser caracterizado também pelo
quanto este algoritmo é transparente20. Neste caso da interpretabili-
dade, modelos de aprendizado de máquina muitas vezes são conside-
rados caixas-pretas e praticamente impossíveis de interpretar, como
é o caso das redes neurais profundas.
Já a explicabilidade é caracterizada por qualquer ação ou pro-
cedimento aplicado em um modelo com a intenção de esclarecer ou
detalhar suas funções internas, ou seja, o quanto um humano pode
compreender uma decisão tomada por um modelo21. Dentro deste
20 ARRIETA, Alejandro Barredo et al. Explainable Artificial Intelligence (XAI): Concepts,

taxonomies, opportunities and challenges toward responsible AI. Information Fusion, v. 58, p.
82-115, 2020., p.4.
277
277
conceito há os seguintes objetivos 1) Confiabilidade; 2) Causalidade;

3) Transferibilidade; 4) Informatividade; 5) Confiança; 6) Equidade/
Justiça; 7) Acessibilidade e 7) Privacidade22.
A confiabilidade (trustworthiness) define o grau com que o
modelo toma decisões conforme o esperado. A causalidade (causali-
ty) busca identificar a relação entre as variáveis de entrada e o resul-
tado do modelo. Já a transferibilidade (transferability), busca avaliar
as restrições do modelo para aplicá-los em outros contextos. Com
relação à informatividade (informativeness), esta é representada pela
acessibilidade do conhecimento interno do modelo, ou seja, como as
regras se organizam internamente de acordo com os parâmetros de
entrada para chegar a um determinado resultado.
Com relação ao termo confiança (confidence), este se relacio-
na à robustez e estabilidade do modelo, geralmente realizados através
da comparação de previsões do modelo, quantificação do risco e oti-
mização do desempenho. Há também o conceito de equidade/justiça
(fairness), onde é avaliado se há vieses do modelo e se está em con-
formidade com padrões éticos. Com relação à acessibilidade (acces-
sibility), este objetivo define que as explicações do modelo devem ser
acessíveis a usuários não técnicos. E por fim, a questão da privacidade
(privacy awareness), que avalia se o modelo contém dados sensíveis e
se estes possuem a devida proteção.
3.2 LEGISLAÇÃO BRASILEIRA
Com a vigência da legislação referente à proteção de dados,

tanto no Brasil quanto internacionalmente, trouxe diretrizes as quais
82-115, 2020., p.5.

82-115, 2020., p.8 -10.
278
278
as empresas desenvolvedoras de software e empresas titulares dos

softwares buscaram adequação.
Antes mesmo da vigência da Lei Geral de Proteção de Dados (Lei
13709/2018), já existia a Estratégia Brasileira de IA que abordava alguns
aspectos da inteligência artificial. Além disso, aspectos já tratados pelo
Código Civil e pelo Código de Defesa do Consumidor, também podiam
ser aplicados a contextos envolvendo inteligência artificial.
Com a vigência da Lei Geral de Proteção de Dados no Brasil,
esta passou a dispor sobre o tratamento de dados pessoais, inclusive
nos meios digitais, por pessoa natural ou por pessoa jurídica de direito
público ou privado, com o objetivo de proteger os direitos fundamen-
tais de liberdade e de privacidade e o livre desenvolvimento da perso-
nalidade da pessoa natural.
Já no ano de 2022 está em tramitação no Senado Federal Brasi-
leiro a discussão da regulamentação da IA, por meio dos Projetos de Lei
nº 5.051, de 2019, 21, de 2020, e 872, de 2021, que têm como objetivo
estabelecer princípios, regras, diretrizes e fundamentos para regular o
desenvolvimento e a aplicação da inteligência artificial no Brasil.
Considerando as tecnologias desenvolvidas que utilizam dados
para aprendizado, a LGPD se aplica integralmente, salvo as hipóteses
de exclusão (Art. 4º). Há ainda, um aspecto específico que faz parte
da área de Inteligência Artificial e que merece destaque, o Art. 20 da
LGPD, que trata sobre as decisões tomadas unicamente com base
em tratamento automatizado de dados pessoais. Neste caso, as
decisões podem ser oriundas de sistemas de inteligência artificial e o
controlador do sistema deve fornecer informações claras e adequadas
a respeito dos critérios e dos procedimentos utilizados para a decisão
automatizada, observados os segredos comercial e industrial.
Sobre o Código Civil e Código do Consumidor Brasileiro, parte
da legislação que trata a responsabilidade também pode ser reapro-
279
279
veitada para o contexto da inteligência artificial, apesar de algumas

críticas devido a insuficiência de instrumentos atuais no tratamento
dos potenciais danos vindos da IA (ALMADA, 2019, p. 98). Inclusive,
este tema da responsabilidade também está sendo discutido se será
tratado23 na regulamentação da IA no Brasil, apesar de previsto no PL
20/2021 (Art. 6º, VI).
Entretanto, como se verá a seguir, a Lei Geral de Proteção de
Dados brasileira é insuficiente para considerar todos os aspectos da
inteligência artificial. Inclusive, no único aspecto que ela aborda, o das
decisões automatizadas, é tratado de modo superficial.
3.3 LIMITAÇÕES DA LGPD PARA LIDAR COM OS

DESAFIOS DA INTELIGÊNCIA ARTIFICIAL
O artigo da LGPD que mais se aproxima do contexto da inteli-

gência artificial é o relativo às decisões automatizadas, previsto pelo
Art. 20 da LGPD, onde garante ao titular de dados pessoais apenas
do direito de revisão de decisões. Neste artigo também é abordado,
através do parágrafo primeiro, de forma insuficiente a questão da
explicabilidade. Outro ponto que gera insegurança jurídica é a ausência
de uma definição para perfilamento, sendo que seus delineamentos
aparecem apenas no caput do Art. 20 sobre decisões automatizadas24.
Há, obviamente, uma primeira limitação da LGPD para tratar
dos riscos e preocupações trazidas pela Inteligência Artificial: a LGPD
tem por escopo apenas o tratamento de dados pessoais e sistemas
23 Agência Senado. Lei da inteligência artificial não deve abordar responsabilidade civil, sugerem
especialistas. Disponível em <https://www12.senado.leg.br/noticias/materias/2022/05/13/
lei-da-inteligencia-artificial-nao-deve-abordar-responsabilidade-civil-sugerem-
especialistas>
24 LGPD, Art. 20. (...) decisões tomadas unicamente com base em tratamento automatizado de
dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu
perfil pessoal (...).
280
280
de inteligência artificial de alto risco, por exemplo, carros autônomos

podem operar sem necessariamente tratar dados pessoais.
É importante constatar que, ao contrário da legislação euro-
peia, a legislação brasileira antes confere um direito aos controladores
em utilizar decisões automatizadas. A LGPD, ao prever para o titular um
direito à revisão de decisões automatizadas reflete uma autorização
implícita de qualquer tratamento automatizado de dados pessoais que
satisfaça as exigências da lei, dentre elas a necessidade de ocorrência
de uma das hipóteses de tratamento do Art. 7º da LGPD, ou, no caso de
dados sensíveis, ao Art. 11 da LGPD.
Se o titular tem direito a solicitar revisão de decisões unicamen-
te automatizadas que lhe afetem, então já se pressupõe uma permissão
implícita ao controlador para processamento de decisões automatiza-
das baseadas em dados pessoais. Desse modo, a permissão, mesmo
que implícita, é mais forte do que uma simples ausência de proibição,
refletindo um direito do controlador.
Tal abordagem é diametralmente oposta, considerando as
posições jurídicas Hohfeldianas (HOHFELD, 1913), à disciplina trazida
pelo Art. 22 do RGPD, que enuncia uma proibição ao controlador de
adotar decisões unicamente automatizadas, por meio da previsão de
um direito oponível pelo titular de dados a não se submeter a tais deci-
sões, a não ser nas hipóteses de exceção, previstas nos incisos daquele
mesmo Art.
Ainda que parte da doutrina europeia interprete o Art. 22 do
RGPD de modo similar ao da legislação brasileira25 26, outra corrente
25 BYGRAVE, Lee A. Minding the Machine v2.0: The EU General Data Protection Regulation
and Automated Decision Making, in: YEUNG, Karen; LODGE, Martin (Orgs.), Algorithmic
Regulation, Oxford: Oxford University Press, 2019.
26 TOSONI, Luca. The right to object to automated individual decisions: resolving the ambiguity
of Article 22(1) of the General Data Protection Regulation, International Data Privacy Law, v.
11, n. 2, p. 125–144, 2021.
281
281
com considerável presença na academia27 28 e nas autoridades de

proteção de dados29 30 traz uma interpretação mais restritiva, em linha
com a literalidade do § 1° deste Art., que se refere a um direito a não ser
submetido a decisões automatizadas31. O modelo brasileiro de prote-
ção de dados pessoais se mostra, assim, mais permissivo em relação
ao uso da automação do que seus análogos estrangeiros, uma vez que
adota apenas o controle posterior sobre as decisões automatizadas,
por meio dos direitos do titular de revisão, explicação e auditoria sobre
discriminação.
Outro ponto que merece destaque ao comparar a legislação
brasileira com as demais legislações internacionais, está no escopo das
decisões cobertas pelo direito à revisão. Na LGPD, o direito de revisão
pode ser exercido contra tratamento automatizado de dados pessoais
que afete os interesses do titular de dados32. Tal formulação cobre uma
ampla gama de interesses juridicamente protegidos33 34.
27 BRKAN, Maja. Do algorithms rule the world? Algorithmic decision-making and data
protection in the framework of the GDPR and beyond, International Journal of Law and
Information Technology, v. 27, n. 2, p. 91–121, 2019.
28 ROIG, Antoni. Safeguards for the right not to be subject to a decision based solely on
automated processing (Article 22 GDPR), European Journal of Law and Technology, v. 8, n. 3,
2018.
29 AEPD. RGPD compliance of processing’s that embed Artificial Intelligence, Madrid: Agencia
Española de Protección de Datos, 2020.
30 ARTICLE 29 WP. Guidelines on Automated individual decision-making and Profiling for the
purposes of Regulation 2016/679, Brussels: Article 29 Data Protection Working Party, 2018.
31 De acordo com esta interpretação, decisões automatizadas são lícitas apenas quando
baseadas em uma das três hipóteses explicitamente mencionadas no § 2° do Art. 22:
necessidade do tratamento para a celebração ou desempenho de um contrato entre o titular
de dados e o controlador, a existência de lei da União Europeia ou de seus Estados-Membros
autorizando o tratamento de dados para decisões automatizadas, ou o consentimento
explícito do titular.
32 LGPD, Art. 20, caput.
33 LÓPEZ, Nuria, Um direito, um dever: guia para o Art. 20 da LGPD, in: OPICE BLUM, Renato
(Org.), Proteção de Dados - Desafios e Soluções na Adequação à Lei, 1a Edição. Rio de Janeiro:
Editora Forense, 2020.
34 MARANHÃO, Juliano; ALMADA, Marco, Inteligência Artificial no Setor de Saúde: Ética e
Proteção de Dados, in: DALLARI, Analluza Bolivar; MONACO, Gustavo Ferraz de Campos
282
282
Na União Europeia, o direito a não ser submetido a decisões

automatizadas tem uma hipótese mais estreita: tal direito se aplica
apenas às decisões que produzam efeitos jurídicos ou que sejam
significativos de forma similar a uma decisão jurídica, por exemplo ao
resultar na perda de um emprego35.
Com relação ainda ao Art. 20 da LGPD, destaca-se que foi
suprimido o trecho que exigia que a revisão da decisão fosse efetuada
por pessoa natural. Tal dispositivo foi objeto de veto presidencial, fun-
damentado no potencial de que a obrigação de revisão humana torne
inviável diversos modelos de negócio de empresas que usam sistemas
de decisão automatizada, como instituições financeiras36.
Com relação ao segundo aspecto, o da explicabilidade, o pa-
rágrafo primeiro do Art. 20 versa sobre o fornecimento, sempre que
solicitado, de informações claras e adequadas a respeito dos critérios e
dos procedimentos utilizados para a decisão automatizada. Apesar de
abordar a questão da explicabilidade, não é suficiente, visto que como já
mencionado, a questão de transparência envolve diversos fatores como a
compreensão das variáveis utilizadas, impacto delas na decisão, cada tipo
de algoritmo pode fornecer um nível maior ou menor de explicabilidade.
Ou seja, a previsão é genérica e não contempla as nuances acima aborda-
das sobre as diferenças de explicabilidade conforme tipo de sistema, tipo
de destinatário da explicação, a distinção entre explicação e justificação
da decisão automatizadas, tampouco o tipo de explicabilidade exigida.
Ainda dentro da discussão sobre a explicabilidade, o Art. 20
da LGPD não faz distinção entre tipos de aplicação que podem ou
(Orgs.), LGPD na Saúde, 1a edição. São Paulo: Thomson Reuters, Revista dos Tribunais, 2021,
p. 357–372.
35 ARTICLE 29 WP. Guidelines on Automated individual decision-making and Profiling for the
purposes of Regulation 2016/679, Brussels: Article 29 Data Protection Working Party, 2018.
36 PRESIDÊNCIA DA REPÚBLICA, Mensagem n° 288, de 8 de julho de 2019, Brasília: Presidência
da República, 2019.
283
283
não trazer riscos ou ainda sobre os níveis de riscos. Este aspecto é

de grande relevância, uma vez que dependendo do risco associado e
contexto envolvido, pode ser necessária uma maior transparência.
Ainda há outros conceitos associados à explicabilidade para garantir
uma IA confiável que também não são abordados pela LGPD, como
acurácia, accountability, monitoramento, segurança dos sistemas,
entre outros.
Outra dúvida interpretativa trazida pela redação do Art. 20
da LGPD está no status do perfilamento (profiling). Ao contrário do
RGPD europeu, na LGPD não há uma definição destacada de profiling,
sendo que seus delineamentos aparecem apenas no caput do Art. 20
sobre decisões automatizadas. Ou seja, aparentemente, o escopo não
trata apenas de decisões automatizadas que incluam perfis, mas seria
objeto de revisão, isto é, constituiria decisão automatizada, o próprio
processo computacional de formação de perfil do titular. Assim, pode-
-se questionar, por exemplo, se uma negativa de concessão de crédito
por humano deveria oferecer a explicação da pontuação de risco de
inadimplência feita por sistema de IA.
Esses elementos indicam limitações do Art. 20 da LGPD para
lidar com os desafios éticos e mesmo aqueles ligados à transparência
de sistemas de inteligência artificial, ainda que a LGPD tenha a transpa-
rência como um de seus princípios e mencione explicitamente o direito
à explicação de decisões automatizadas.
4. CONCLUSÃO
Com o crescente uso desta tecnologia para os mais diversos
fins, sejam eles médicos, governamentais, segurança pública, financei-
ros, entre outros, representa também um novo desafio para o desen-
volvimento de uma legislação que consiga abarcar todas as possíveis
lacunas jurídicas.
284
284
Estes desafios foram e estão sendo discutidos mundialmente

e, apesar de terem sido inicialmente enfrentados com o desenvolvi-
mento de uma legislação de proteção de dados, ainda se faz necessária
que a regulação da inteligência artificial. A regulação também vem no
sentido de fornecer segurança jurídica para o desenvolvimento e o
emprego da inteligência artificial no Brasil, assim como a exportação
desta tecnologia para outros países.
A Lei Geral de Proteção de Dados, no trecho que se refere mais
ao contexto da Inteligência Artificial, o Art. 20, não trata as decisões
automatizadas de forma suficiente e este problema só pode ser resol-
vido através de diretrizes que orientem uma maior transparência dos
modelos de IA. Dentre os pontos abordados neste artigo e que neces-
sitam ser aprofundados em uma regulação específica de inteligência
artificial no Brasil, se destaca a questão da explicabilidade dos sistemas.
Dentre as medidas mínimas de transparência destacam-se três
a) quanto ao emprego de sistemas de inteligência artificial na interação
com pessoas físicas, o que inclui o uso de interfaces homem-máquina
adequadas e suficientemente claras, b) quanto à interpretação de
seus resultados para os diferentes atores envolvidos na relação com
o sistema ou intermediada pelo sistema e c) quanto às medidas de
governança adotadas no desenvolvimento e emprego do sistema de IA.
Também se sugere que os modelos de IA sejam construídos
desde o início já considerando a transparência e níveis de transparência
em todas suas fases, principalmente nos sistemas que envolverem ris-
cos considerados altos. Para isto, é também necessário que a legislação
defina que tipos de tecnologias envolvendo a inteligência artificial são
aceitáveis e a que nível de risco cada um pertence, de forma análoga
como é tratado na União Europeia.
Como pudemos observar, para as diferentes medidas de gover-
nança indicadas em documentos voltados para a implementação e des-
285
285
crição de procedimentos auditáveis capazes de atender aos princípios

conducentes à confiança na tecnologia de inteligência artificial, existem
especificidades que precisam ser determinadas contextualmente ou
para diferentes tipos ou setores de aplicação. Se faz necessária uma
legislação que contemple obrigações procedimentais mínimas a serem
observadas por desenvolvedores e aqueles que empregam sistemas de
Inteligência Artificial, aptas a assegurar uma IA confiável, que deveriam
ser complementadas por regulações dotadas de autoridade ou códigos
de condutas elaborados por entidades setoriais.
Neste mesmo sentido, a legislação nem sempre pode abarcar
todas as considerações éticas e técnicas, cabendo principalmente aos
códigos de condutas, normas técnicas e regulações complementares
para fornecer diretrizes concretas aos profissionais que trabalham
com este tipo de tecnologia.
REFERÊNCIAS
AEPD. RGPD compliance of processings that embed Artificial Intelligence,
Madrid: Agencia Española de Protección de Datos, 2020.
Agência Senado. Lei da inteligência artificial não deve abordar responsa-
bilidade civil, sugerem especialistas. Disponível em https://www12.senado.
leg.br/noticias/materias/2022/05/13/lei-da-inteligencia-artificial-nao-deve-
-abordar-responsabilidade-civil-sugerem-especialistas. Acesso em: junho de
2022.
AI, HLEG. High-level expert group on artificial intelligence. Ethics guidelines
for trustworthy AI, 2019.
ALMADA, Marco. Human intervention in automated decision-making:
Toward the construction of contestable systems, in: Proceedings of the 17th
International Conference on Artificial Intelligence and Law (ICAIL 2019),
Montréal, QC, Canada: ACM, 2019, p. 1-10.
ALMADA, Marco. Responsabilidade Civil Extracontratual e a Inteligência
Artificial. Revista Acadêmica Arcadas, v. 2, n. 1, pp. 88-99, 2019.
286
286
ARRIETA, Alejandro Barredo et al. Explainable Artificial Intelligence (XAI):

Concepts, taxonomies, opportunities and challenges toward responsible AI.
Information Fusion, v. 58, p. 82-115, 2020.
ARTICLE 29 WP. Guidelines on Automated individual decision-making and
Profiling for the purposes of Regulation 2016/679, Brussels: Article 29 Data
Protection Working Party, 2018.
BRASIL. Estratégia Brasileira de Inteligência Artificial. EBIA. 2021. Disponível
em https://www.gov.br/mcti/pt-br/acompanhe-o-mcti/transformacaodigi-
tal/arquivosinteligenciaartificial/ebia-diagramacao_4-979_2021.pdf. Acesso
em: junho de 2022.
vil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Acesso em: junho de
2022.
BRASIL. PL 21/2020. Disponível em: https://www.camara.leg.br/propostas-
-legislativas/2236340. Acesso em: junho de 2022.
BRKAN, Maja. Do algorithms rule the world? Algorithmic decision-making
and data protection in the framework of the GDPR and beyond, International
Journal of Law and Information Technology, v. 27, n. 2, p. 91–121, 2019.
BUSUIOC, Madalina, Accountable Artificial Intelligence: Holding Algorithms
to Account, Public Administration Review, v. 81, n. 5, p. 825–836, 2021.
BYGRAVE, Lee A. Minding the Machine v2.0: The EU General Data Protection
Regulation and Automated Decision Making, in: YEUNG, Karen; LODGE,
Martin (Orgs.), Algorithmic Regulation, Oxford: Oxford University Press,
2019.
DIAKOPOULOS, N. Transparency, in: Dubber, M., Pasquale, F. and Das, S. The
Oxford Handbook of Ethics of AI.OUP, 2020, pp. 197 a 214.
DIETTERICH, Thomas G.; HORVITZ, Eric J. Rise of concerns about AI: reflec-
tions and directions. Communications of the ACM, v. 58, n. 10, p. 38-40, 2015.
DIGNUM, V. Responsible Artificial Intelligence - How to Develop and Use AI
in a Responsible Way. Artificial Intelligence: Foundations, Theory, and Algori-
thms. Springer, 2019.
287
287
ENGSTROM, David Freeman; HO, Daniel E., Artificially Intelligent Govern-

ment: A Review and Agenda. In: VOGL, Roland (org). Big Data Law, forthco-
ming 2020, March 9, 2020.
European Commission. Regulatory framework proposal on artificial Intelli-
gence. Disponível em https://digital-strategy.ec.europa.eu/en/policies/regu-
latory-framework-ai . Acesso em: junho de 2022.
GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 4. ed. São Paulo:
Atlas, 2002.
GOOGLE. A Scalable Approach to Reducing Gender Bias in Google Translate.
Disponível em https://ai.googleblog.com/2020/04/a-scalable-approach-to-
-reducing-gender.html. Acesso em: junho de 2022.
GUIDOTTI, R.; Monreale, A.; S. Ruggieri; Turini, F.; Giannotti, F.; Pedreschi, D. A
survey of methods for explaining black box models, ACM Computing Surveys
51 (5), 2018, 93:1–93:42.
GUNNING, David et al. XAI—Explainable artificial intelligence. Science Roboti-
cs, v. 4, n. 37, p. eaay7120, 2019.
HOHFELD, W.N. Some Fundamental Legal Conceptions as Applied in Judicial
Reasoning, 23 Yale Law Journal 16, 1913.
IEEE. IEEE Draft Standard for Transparency of Autonomous Systems, in IEEE
P7001/D1, June 2020. (Piscataway, NJ: IEEE), 1–76. Tech. rep, 2020.
IEEE. IEEE P2894™ - Guide for an Architectural Framework for Explainable
Artificial Intelligence.
KAMINSKI, M. Understanding Transparency in Algorithmic Accountability, em
BARFIELD, W. The Cambridge Handbook of the Law of Algorithms, CUP, 2021.
LIMA, C. C. C.; ALMADA, M.; MARANHÃO, JULIANO. Data Protection by De-
sign E Data Protection by Default. In: Rony Vainzof, Danielle Serafino e Aline
Steinwascher. (Org.). Legal Innovation - O Direito do Futuro e o Futuro do
Direito. 1 ed. São Paulo: Thomson Reuters, 2022, v. 1, p. 265-287.
LÓPEZ, Nuria, Um direito, um dever: guia para o Art. 20 da LGPD, in: OPICE
BLUM, Renato (Org.), Proteção de Dados - Desafios e Soluções na Adequação
à Lei, 1a Edição. Rio de Janeiro: Editora Forense, 2020
288
288
MARANHÃO, JULIANO S. A.; COZMAN, F. G.; ALMADA, M. Concepções

de explicação e do direito à explicação de decisões automatizadas. In: Rony
Vainzof, Andrei Gutierrez. (Org.). Inteligência Artificial: Sociedade Economia e
Estado. 1 ed. São Paulo: Thomson Reuters Brazil, 2021, v. 1, p. 137-154.
MARANHÃO, Juliano; ALMADA, Marco. Inteligência Artificial no Setor de
Saúde: Ética e Proteção de Dados, in: DALLARI, Analluza Bolivar; MONACO,
Gustavo Ferraz de Campos (Orgs.), LGPD na Saúde, 1a edição. São Paulo:
Thomson Reuters, Revista dos Tribunais, 2021, p. 357-372.
MITTELSTADT, Brent; RUSSELL, Chris; WACHTER, Sandra. Explaining Expla-
nations in AI, in: Proceedings of FAT* ’19, Atlanta, Ga: ACM, 2018.
NASS, C., MOON, Y. Machines and mindlessness: Social responses to compu-
ters. Journal of Social Issues 56, 1, 2002, 81–103
PRESIDÊNCIA DA REPÚBLICA, Mensagem n° 288, de 8 de julho de 2019,
Brasília: Presidência da República, 2019.
QUEIROZ, M.S., DE CARVALHO, J.X., BORTOTO, S.F. et al. Diabetic retinopathy
screening in urban primary care setting with a handheld smartphone-based
retinal camera. Acta Diabetol 57, 1493–1499, 2020. https://doi.org/10.1007/
s00592-020-01585-7
RECHTBANK AMSTERDAM. Uber employment (HA20 — RK258), 2021.
REUTERS. Amazon scraps secret AI recruiting tool that showed bias against
Women Disponível em https://www.reuters.com/article/us-amazon-com-
-jobs-automation-insight-idUSKCN1MK08G. Acesso em: junho de 2022.
ROIG, Antoni. Safeguards for the right not to be subject to a decision based
solely on automated processing (Article 22 GDPR), European Journal of Law
and Technology, v. 8, n. 3, 2018.
The Guardian. Do Google’s ‘unprofessional hair’ results show it is racist?
Disponível em https://www.theguardian.com/technology/2016/apr/08/do-
es-google-unprofessional-hair-results-prove-algorithms-racist-. Acesso em:
junho de 2022.
The Guardian. Google alters search autocomplete to remove ‘are Jews evil’
suggestion. Disponível em https://www.theguardian.com/technology/2016/
dec/05/google-alters-search-autocomplete-remove-are-jews-evil-sugges-
tion. Acesso em: junho de 2022.
289
289
TOSONI, Luca. The right to object to automated individual decisions: resol-

ving the ambiguity of Article 22(1) of the General Data Protection Regulation,
International Data Privacy Law, v. 11, n. 2, p. 125–144, 2021.
UN Women. UN Women ad series reveals widespread sexism. Disponível em
https://www.unwomen.org/en/news/stories/2013/10/women-should-ads .
Acesso em: junho de 2022.
Venture Beat. Google Cloud AI removes gender labels from Cloud Vision API
to avoid bias. Disponível em https://venturebeat.com/2020/02/20/google-
-cloud-ai-removes-gender-labels-from-cloud-vision-api-to-avoid-bias/.
Acesso em: junho de 2022.
WINFIELD, Alan FT et al. IEEE P7001: A proposed standard on transparency.
Frontiers in Robotics and AI, p. 225, 2021.
WISCHMEYER, T. Artificial Intelligence and Transparency: opening the black
box, in: WISCHMEYER, T and RADEMACHER, T. Regulating Artificial Intelli-
gence, Springer, 2020 p. 76 a 97.
ZHONG, Jinfeng; NEGRE, Elsa. AI: To interpret or to explain? In: Congrès
Inforsid ((INFormatique des ORganisations et Systèmes d’Information et de
Décision), 2021.
290
290
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
MAPEAMENTO DOS TRATAMENTOS

DE DADOS PESSOAIS

Ednaldo Lúcio Dos Santos Júnior
Resumo:
O mapeamento de dados não é somente uma das etapas da adequação à LGPD, mas
sim uma das primeiras e provavelmente a mais trabalhosa e custosa. Ao contrário
do senso comum, o processo de adequação não tem como ponto central os dados
pessoais, mas sim os tratamentos realizados sobre eles, especialmente em cenários
mais complexos. Afinal é o que define a LGPD em seu primeiro artigo quando diz que
a lei versa sobre o que é feito com os dados. Ou seja, os tratamentos feitos de acordo
ou não com as regras definidas na lei. Especialmente complexo pode ser a questão da
granularidade ou ponto de quebra destes tratamentos, pois não há regra específica
nem boa prática estabelecida. Este artigo pretende abordar estes dois temas: a
importância do mapeamento de atividades de tratamento de dados pessoais e a forma
de avaliar e decidir quais são estes tratamentos.
Palavras-chave: Data mapping. Mapeamento de atividades de tratamento. RAT. RoPA.
Registro de atividades de tratamento. LGPD.
Abstract: Data mapping is not only one of the stages of compliance with the
LGPD, but one of the first and probably the most laborious and costly. Contrary
to common sense, the adaptation process does not focus on personal data, but on
the treatments carried out on them, especially in more complex scenarios. After all,
that is what the LGPD defines in its first article when it says that the law is about
what is done with data. That is, treatments carried out in accordance or not with
the rules defined by law. The issue of granularity or breakpoint of these treatments
can be especially complex, as there is no specific rule or good practice established.
This article intends to address these two themes: the importance of mapping
personal data processing activities and the way to evaluate and decide how many
these processes are.
Keywords: Data mapping; processing activities mapping. RAT. RoPA. Records of
processing activities. LGPD.
292
1. INTRODUÇÃO
O senso comum sobre a LGPD, GDPR e demais legislações rela-
cionadas à privacidade é de que o dado pessoal é o centro do problema.
Tudo gira em torno dele e a partir dele devem iniciar os esforços de uma
organização para sua adequação à lei. Contudo, quanto mais tempo
um profissional se dedica ao tema mais ele percebe que a realidade não
é bem assim, principalmente se este profissional atua em cenários com
grandes volumes ou onde estes tratamentos de dados são estruturan-
tes do seu negócio.
Ao ler com calma o primeiro Art. da LGPD veremos uma dica
desta realidade onde o mais importante não é o dado pessoal manipu-
lado, mas sim o que é feito com ele. Ou seja, o tratamento. Em seu Art.
primeiro, a LGPD dá o tom sobre o protagonismo das ações realizadas
sobre os dados pessoais: “Esta lei dispõe sobre o tratamento de dados
pessoais, inclusive nos meios digitais...” (BRASIL, 2020). Este artigo su-
gere que o que vem pela frente (o resto da lei) é um regramento sobre
como proceder frente a necessidade de utilizar dados pessoais. Mais
que isso, é um limite claro ao que atualmente é uma das maiores e mais
lucrativas indústrias do mundo. Contudo, nem todos os tratamentos
de dados pessoais são um processo de negócio desta indústria. Pe-
quenas e médias empresas e organizações de todos os tipos realizam
tratamentos de dados pessoais, mas todos são regidos pela mesma
lei cujo foco é o titular dos dados. Dessa forma, o mapeamento de
tratamentos dentro destas organizações é, da mesma forma que nos
alvos primordiais da LGPD (e.g. Big Techs), uma necessidade básica a
ser atendida.
Nesse sentido, é de suma importância compreender o papel
fundamental da identificação, classificação e mapeamento dos tra-
tamentos de dados pessoais em uma organização, levando em conta,
naturalmente, o próprio universo de dados pessoais sem os quais os
293
293
tratamentos não fazem sentido. Assim, a atividade de mapeamento de

tratamentos de dados pessoais é o melhor ponto de partida para uma
organização que pretende adequar-se à lei além de, de fato, conhecer
os dados pessoais tratados e principalmente como estes dados são
coletados, processados, retidos, compartilhados e eventualmente
eliminados ao longo de seus processos específicos de negócio. Afinal, é
muito comum fazer algo com o nome, CPF ou telefone das pessoas no
cenário digital em que vivemos. Contudo, a grande questão é o que será
feito com esses dados quase onipresentes no mundo corporativo, além
de suas bases legais e implicações para a própria organização.
A obrigação de adequação à LGPD e regulamentos similares de

forma ampla e para todo o tipo de controlador fez com que algumas
visões sobre como resolver o problema se espalhassem rapidamente.
Muitas iniciativas baseadas em inventários de dados foram iniciadas
com a justificativa de adequação à LGPD. Tais iniciativas davam grande
foco aos dados e sua classificação “estática”, levando em consideração
principalmente a sua natureza em relação ao fato de serem ou não
pessoais / sensíveis. Tal abordagem acaba colocando em segundo plano
a forma como os dados são efetivamente utilizados e gastam muitos
recursos iniciando o trabalho por uma classificação exaustiva. Ao fim da
classificação, pessoas e recursos já estão fadigados e a análise “dinâmica”,
ou seja, o tratamento efetivo do dado, acaba sendo prejudicado.
Da mesma forma, iniciativas centradas em segurança da infor-
mação foram patrocinadas pelas organizações na expectativa de que
a privacidade e proteção de dados seriam meras extensões deste es-
forço. Grande parte desse pensamento se deve à interpretação rasa da
norma mais popular sobre o tema: a norma ISO/IEC 27701. Esta norma
é uma extensão de outra cujo foco é exclusivamente a segurança da
294
294
informação (ISO/IEC 27001). Assim, o pensamento de que Privacidade

e Proteção de Dados - PPD é apenas uma extensão de segurança da
informação não é incomum de ser encontrado.
Assim como a abordagem de adequação orientada a inventá-
rios, a linha de ação orientada a fazer PPD como parte da segurança
deixa várias lacunas quando aplicadas na prática, mas o principal pro-
blema é que elas não começam do começo: os processos de negócio.
Ou seja, o que as organizações fazem e consequentemente o que elas
fazem com os dados pessoais das pessoas. Este é justamente o ponto
que a LGPD visa regular, como podemos perceber em seu primeiro Art.
Inventários de dados e segurança da informação são essenciais como
deixa claro a própria LGPD, mas não são o ponto de partida do trabalho
de adequação.
Frente este cenário, onde muitas vezes uma organização investe
grande quantidade de esforço para ter pouca efetividade, é necessário
aplicar uma outra abordagem que tenha como centro os processos de
negócio e seu subproduto mais crítico para um processo de adequação:
os tratamentos de dados pessoais e seu correto mapeamento.
1.2 OBJETIVOS
Este trabalho tem como objetivo apresentar a importância do

mapeamento de tratamentos de dados pessoais para todas as demais
atividades e disciplinas do tema privacidade e proteção de dados.
Especialmente em cenários de tratamentos em larga escala, este
trabalho apresentará uma abordagem de como analisar e descrever os
tão citados tratamentos de dados pessoais para que sirvam de insumo
para todos os demais esforços de adequação à LGPD ou a qualquer
outra norma reguladora e/ou orientadora sobre o tema.
específicos:
295
295
I) Apresentar a importância do mapeamento de tratamen-

tos de dados pessoais frente a todas as outras atividades
relacionadas à PPD;
II) Propor uma abordagem de avaliação, classificação e
registro destes tratamentos a partir de processos de
negócio, automatizados ou não por soluções digitais
(software); e
III) Propor uma abordagem empírica sobre a problemática da
granularidade de tratamentos de um dado controlador,
sugerindo algumas heurísticas para determinar os pontos
de quebra dos seus processos de negócio.
1.3 JUSTIFICATIVA
A LGPD define em seu Art. 37 a necessidade do controlador e

do operador manterem os registros sobre a operação de tratamento.
Diz o Art. 37 (BRASIL, 2020):
“...O controlador e o operador devem manter registro
das operações de tratamento de dados pessoais que
realizarem, especialmente quando baseado no legítimo
interesse…”
Esta exigência é bastante similar à da GDPR que define o

ROPA (Record of Processing Activities – Registro das Atividades de
Tratamento, tradução nossa). Assumindo o paralelo entre as duas
legislações temos, no caso da LGPD, o Registro das Atividades de
Tratamento (RAT) como um artefato indiretamente especificado
pela lei. Em práticas de mercado o RAT pode ser chamado de vários
nomes, mas sempre representa a declaração sobre os tratamentos de
dados pessoais, atendendo, em parte, o Art. 37. O RAT e seus similares
contém as informações sobre o controlador, finalidades, bases legais,
dados tratados, compartilhamentos e demais informações vitais para
o mapeamento de tratamentos. Em termos práticos, é o artefato en-
296
296
tregável mais comum do processo de mapeamento de tratamentos de

dados pessoais.
Apesar de não previsto explicitamente na lei brasileira, o RAT
será em breve tão comum quanto artefatos relacionados a folhas de
pagamento ou extratos contábeis. Eles farão parte da conformidade
das organizações e estas devem estar familiarizadas com seu conteúdo
e, naturalmente, com o processo de mapeamento dos tratamentos de
dados pessoais que gera os subsídios para seu conteúdo.
Este capítulo está organizado em cinco seções. A primeira,

introdução, apresenta uma visão inicial sobre o mapeamento de ati-
vidades de tratamento e os objetivos e justificativas deste trabalho.
A segunda parte traz um referencial teórico relacionado ao assunto
de forma a ajudar a abordar a problemática de mapear atividades e
dados pessoais inseridos nestas atividades. A terceira parte explica
brevemente como foi conduzida a revisão bibliográfica e subse-
quente análise dos processos atualmente utilizados no SERPRO que
embasaram este artigo. A quarta parte apresenta o desenvolvimento
de ideias e conclusões acerca do desafio de mapear atividades de
tratamento em um cenário de larga escala. A quinta parte apresenta
uma conclusão sobre os principais aspectos apresentados como a
importância da atividade de mapeamento, seu papel inicial e estru-
turante no tema de PPD e a incerteza acerca da temática da granula-
ridade apesar de heurísticas e processos empíricos apresentados na
quarta parte.
297
297
2.1 TRATAMENTO DE DADOS PESSOAIS
2.1.1 OS PRINCÍPIOS PARA ATIVIDADE DE TRATAMENTO DE

DADOS
O normativo Pátrio, antes da criação da LGPD, dispunha de leis

esparsas para tratar diferentes aspectos da relação jurídica que envol-
viam dados pessoais, como por exemplo Lei nº 8.078, de 11 de setembro
de 1990 (Código de Defesa do Consumidor), que disciplinou a utilização
de Banco de Dados e Cadastros de Consumidores, no Art. 43 garantindo
o direito de acesso às informações existentes em cadastros, fichas,
registros e dados pessoais e de consumidor arquivado sobre ele, com
a possibilidade de retificação desses dados, em ação consubstanciada
no inciso LXXII, do Art.; 5º da CRFB/88, valendo-se o consumidor do
habeas data, regulado pela lei nº 9.507, de 12 de novembro de 1997.; Lei
nº 12.965/2014 (Marco Civil da Internet), Decreto nº 8.771/2016 (Regu-
lamenta a Lei nº 12.965/14), Decreto nº 8.777/2016 (Institui a Política de
Dados Abertos do Poder Executivo federal).
Já em 14 de agosto de 2022, foi inserida no sistema jurídico a
Lei nº 13.709, a Lei Geral de Proteção de Dados Pessoal – LGPD, esta
última, respondendo de forma enfática as quatro perguntas centrais
sobre a matéria de proteção de dados pessoais, conforme cita PUCCI-
NELLI1 em sua obra “Protección de datos de carácter personal”, sendo
1 PUCCINELLI, Oscar R. Protección de datos de carácter personal -Ciudad de Buenos Aires:

Editorial Astrea de Alfredo y Ricardo Depalma SRL, 2004, p. 09.
Se puedem realizar cuatro preguntas centrales en la materia:
¿Qué se protege? Los datos de carácter personal, pero únicamente como medio para tutelar
los bienes jurídicos que el uso de esos datos puede vulnerar.
¿De qué se protege? De ciertas actividades respecto de tales datos, conocidas técnicamente
como “tratamiento” y dentro de las cuales se encuentran el acceso, registración,
elaboración y transferencia a terceros.
298
298
elas: O que está protegido? - Dados pessoais, mas apenas como um

meio de proteger direitos legais de um Titular, que possam ser violados
pelo o uso desses dados; Do que está protegido? - De certas atividades
com relação a tais dados, tecnicamente conhecidas como tratamento
de dados, dentro das quais estão o acesso, registo, processamento e
transferência a terceiros; De quem é protegido? De qualquer pessoa
que realize o processamento de dados pessoais, quando tal proces-
samento exceda ou possa razoavelmente exceder o uso estritamente
privado e pessoal da pessoa que o realiza; Como é protegido? - Através
de dispositivos legais, que norteiam o tratamento de dados pessoais,
espalhados por diversos normativos.
A resposta ao primeiro questionamento de Puccinelli, “ que está
sendo protegido?, encontramos solidificada nos Art. 1º da LGPD, pro-
teger os direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural, que pode ser
identificada ou se tornar identificável, através de seus dados pessoais,
logo temos, que a LGPD nasceu como um instrumento de proteção dos
direitos legais de um Titular, cujo acesso ou uso desses dados podem
violar os direitos fundamentais constantes no Art. 5º da CRFB/88, no
caso em concreto os direitos a liberdade e privacidade.
Ainda no Art. 1º da LGPD, encontramos resposta ao segundo
quesito de Puccinelli, “o que se protege?”, dos tratamentos dos dados
pessoais, cuja a definição encontra-se prevista no inciso X do Art. 5º,
como sendo toda a operação realizada com dados pessoais, desde
a coleta até o arquivamento ou eliminação para Cots e Oliveira2, de
¿De quién se protege? De cualquiera que realice el tratamiento de datos de carácter personal,
cuando ese tratamiento exceda o pueda razonablemente exceder el uso estrictamente
privado y personal de quien lo realiza.
¿Cómo se protege? El derecho a la protección de datos puede ser tutelado de diversas formas,
de las cuales las más comunes son las que se detallan a continuación
2 COTS, Marcio, OLIVEIRA, Ricardo – Lei Geral de Proteção de Dados pessoais comentada - São
Paulo - Thomson Reuters Brasil, 2018, pág. 94.
299
299
que este rol descrito é exemplificativo, não exaustivo. Segundo eles, a

conclusão é óbvia, tendo em vista o trecho “toda operação”, acrescida
da conjunção “como”. As hipóteses não são cumulativas, ou seja, uma
única atividade da lista já se inclui no conceito de tratamento, por mais
simples que ela seja. Armazenar dados pessoais sem utilizá-los, por
exemplo, já é considerado tratamento de dados.
O legislador deixa claro no Art. 6º da LGPD, que as atividades de
tratamento de dados pessoais deverão observar a boa-fé e um rol de
princípios que em verdade, constituem a guia mestra para as atuações
dos agentes de tratamento de dados pessoais, gerando por um lado,
obrigações aos responsáveis pelo uso dos dados e, por outro, direitos
dos titulares dos dados3, são eles:
a) Princípio da Finalidade
Determina o inciso I, do Art. 6º da LGPD, que a realização do tra-

tamento seja para propósito legítimo, específico, explícito e informado
ao titular, sem a possibilidade de tratamento posterior, é o chamado
princípio da finalidade, onde:
I) Propósito Legítimo: Como vimos, prevê o Art. 7º, as hipó-
teses que autorizam o tratamento de dados pessoais, são
estas que consubstanciam o tratamento de dados, logo
para que haja um propósito legítimo, o mesmo deve en-
contrar-se enquadrado dentro deste dispositivo da LGPD
ou em outro por ele referenciado. O que este item mostra,
essencialmente, é que a legitimidade do tratamento de
dados pessoais dependerá também da finalidade desse
tratamento4;
3 SILVA, Carlos Bruno Ferreira Da - Proteção de dados e Cooperação Transnacional: teoria e

prática na Alemanha, Espanha e Brasil - Belo Horizonte, Arraes Editores, 2014, pp. 180.
4 SALDANHA, Nuno – Novo Regulamento Geral de Proteção de Dados: O Que é? A Quem Se
Aplica? Como Implementar? – Lisboa/Portugal: FCA – Editora de Informática, Lda. Saraiva
300
300
II) Específica: Uma vez verificada a base legal, antes ou no

momento em que ocorre a coleta de dados pessoais, os
objetivos devem ser precisos e totalmente identificados
para determinar, de forma inequívoca, se o tratamento
está dentro do propósito apresentado, permitindo que a
conformidade legal possa ser avaliada, posteriormente5;
e
III) Explícita: Claramente revelada, explicada ou expressa a
fim de garantir que todos os envolvidos tenham o mesmo
entendimento inequívoco da finalidade do processamen-
to, independentemente de qualquer diversidade cultural
ou linguística6.
Exemplos de violação ao princípio da finalidade: (i) informar
que a coleta de dados servirá para faturamento de produto ou serviço,
mas utilizar os dados para campanhas de marketing; (ii) informar que o
compartilhamento de dados se dará com empresa X, mas compartilhar
os mesmos com a empresa Y; (iii) informar que os dados não serão
copiados, mas realizar cópia destes.
b) Princípio da Adequação
Tal princípio pretende preservar a relação entre as finalidades

informadas e o tratamento dispensado, evitando a desvirtuação. A
diferença entre esse princípio e o da finalidade está no fato de que,
enquanto o último se preocupa com a regularidade da finalidade em si,
o primeiro aborda o procedimento realizado para chegar à finalidade
pretendida. Um exemplo de violação do princípio de adequação seria
Educação, 2018.
5 VAINZOF, Rony – Dados Pessoais, Tratamento e Princípios - Comentários ao GDPR:
Regulamento Geral de Proteção de Dados da União Europeia/Viviane Nóbrega Maldonado,
Renato Opce Blum, coordenadores - São Paulo: Thomson Reuters Brasil, 2018, pp.57.
6 VAINZOF - op. cit.,
301
301
o de informar ao titular que seus dados serão eliminados ao final do

tratamento, porém o agente detém consigo cópias destes.
c) Princípio da Necessidade
Observamos que os princípios se encontram integrados, pois

temos como primeiro princípio (Finalidade), onde deverá ser infor-
mado ao titular dos dados de forma explícita e inequívoca, sobre o
propósito da coleta e de tratamento, que deverá obedecer a uma fina-
lidade legal. Já no segundo princípio (adequação), observa-se a relação
entre as finalidades informadas e o tratamento dispensado, evitando a
desvirtuação.
Sendo assim os dados coletados devem ser adequados e
estritamente limitados àqueles necessários para atender a finalidade
do tratamento, não se pode conceber a coleta de dados que não sa-
tisfazem o exclusivamente ao tratamento esperado, não se tratando
aqui de engessamento sobre o tratamento de dados, mais sim de uma
proteção, como bem salienta Saldanha:
...Este princípio deve ser recebido pelos responsá-
veis pelo tratamento de dados como uma norma
de segurança, pois quanto menor for a informação
retida, principalmente se desnecessária para as
finalidades da organização, menor é o risco de, em
caso de perda da informação, de forma ilegal ou por
negligência, causar danos aos direitos e liberdades
dos titulares dos dados...
Teremos um tratamento lícito, quando antes mesmo da reali-
zação da coleta, informarmos ao titular dos dados que o tratamento
terá uma finalidade legal, específica e cujos dados coletados serão
àqueles suficientes para atingir essa finalidade, garantindo a ele que o
processo de tratamento será monitorado, a fim de que seja adequado
ao proposto.
302
302
Exemplos de violação: a) solicitar cor da pele para fatura-

mento de produtos ou serviços; b) solicitar orientação sexual para
admissão de empregado; e c) solicitar todos os endereços em que a
pessoa pode ser encontrada a fim de realizar a entrega de produto em
apenas um deles7.
d) Outros Princípios
Para que se tenha uma coleta lícita, dentro dos padrões já cita-
dos acima, exige-se que as informações relacionadas ao tratamento de
dados pessoais sejam concisas, de fácil acesso e compreensão, com uma
linguagem clara e simples8, esclarecendo ao titular dos dados os seus
direitos, antes, durante e após o tratamento de seus dados pessoais,
inclusive da possibilidade de acesso a tais informações para mantê-las
claras, relevantes e atualizadas, a fim de respeitar o princípio da quali-
dade dos dados para o cumprimento da finalidade do seu tratamento,
utilizando para isso o princípio de livre acesso, previsto no inciso VI, do
Art. 6º da LGPD, cuja os motivos ensejadores, encontram-se previstos
no Art. 9º da mesma lei, tudo para que seja atendido um outro princípio
previsto no inciso VI do mesmo Art. 6º, o princípio da transparência.
Já o princípio da não discriminação, tendo em vista o cunho da
referida lei nº 13.709, de 14 de agostos de 2018 – LGPD e o entendimento
jurisprudencial do STF, o de proteger os direitos fundamentais de prote-
ção de dados pessoais, liberdade, de privacidade e o livre desenvolvimen-
to da personalidade da pessoa natural, de forma clara veda o tratamento
de dados pessoais para fins discriminatórios ilícitos ou abusivos.
A proteção de dados pessoais se completa com o “princípio de
segurança”, que não se refere à licitude do tratamento, como os de-
mais, mas sim, aos riscos do tratamento. Esse princípio se materializa
7 COTS - op. cit., pp. 101

8 VAINZOF - op. cit. pp. 53
303
303
através de regras que estabelecem comportamentos ativos exigíveis

do responsável e do encarregado do tratamento, consistentes em
medidas de caráter técnico e de organizações necessárias para evitar
a alteração, perda ou acesso não autorizado aos dados armazenados9.
Importante destacar o previsto no inciso X do referido Art. 6º,
diz respeito ao princípio de responsabilização e de prestação de con-
tas, definido como demonstração, pelo agente, de medidas eficazes e
capazes de comprovar a observância e o cumprimento da normativa
de proteção de dados pessoais, devendo principalmente evidenciar
a eficácia dessas medidas. Em outras palavras, a cultura dos agentes
de tratamento, sejam eles públicos ou privados, será de a todo tempo
documentar, da melhor maneira possível, tudo o que está sendo feito
para se cumprir a lei, evitando-se dessa maneira possíveis incidentes e,
caso eles ocorram, em havendo a responsabilização dos agentes, todas
as práticas serão levadas em conta10.
2.1.2 OS REQUISITOS OU BASE LEGAL PARA TRATAMENTO

DE DADOS PESSOAIS
Esta é uma das principais novidades da LGPD e que exigirá uma

das maiores mudanças de cultura no tratamento de dados pessoais.
Segundo a nova disciplina, somente se pode tratar dados pessoais se
tal tratamento estiver embasado em uma das hipóteses legais, caso
contrário o tratamento será irregular e o Controlador poderá ser pu-
nido administrativamente e/ou processado judicialmente11. Dentre as
bases legais destacamos:
9 SILVA - op. cit. pp. 194.

10 TEIXEIRA, Tarcísio; ARMELIN, Ruth Maria Guerreiro da Fonseca, Lei geral de proteção de
dados pessoais: Comentado artigo por artigo - 3 ed. Rev., atual. e ampl. - Salvador: Editora
JusPodivm, 2021, p. 54.
11 COTS, Marcio; OLIVERIRA, Ricardo - O legítimo interesse e a LGPDP: Lei Geral de Proteção de
dados pessoais - São Paulo – Thomson Reuters Brasil, 2020, pag. 48 e 49.
304
304
I) Execução de contrato, contido no inciso V - quando

necessário para a execução ou de procedimentos prelimi-
nares relacionados a contrato do qual seja parte o titular,
a pedido do titular dos dados;
II) Cumprimento de obrigação legal ou regulatória: Se o
agente de tratamento for obrigado a tratar dados pes-
soais por força de lei ou de regulamento administrativos,
poderá fazê-lo sem o consentimento do Titular. Esse é
o caso, por exemplo, do compartilhamento de dados
do empegado com o Fisco e a Previdência, ou, ainda, o
dever do hospital de repostar determinadas doenças às
autoridades sanitárias12;
III) Execução de Políticas Públicas – A administração poderá
realizar o tratamento de dados pessoais, desde que
necessários para a execução de políticas públicas, tais
como, políticas para implementação de saneamento bá-
sico, pagamento de auxílios em geral, como bolsa família,
cadastramento de empresas que receberão incentivos
fiscais, entre outras hipóteses13; e
IV) Consentimento: De acordo com o inciso XII do Art. 5º da
Lei, o consentimento é a manifestação livre, informada e
inequívoca pela qual o titular concorda com o tratamento
de seus dados pessoais para uma finalidade determina-
da14, que nada mais é do que a observação dos princípios
necessários para o tratamento de dados pessoais, no
caso a finalidade, adequação e necessidade.
Outras bases de melhor entendimento, como Órgão de pes-
quisas, observando que em tal contexto, deverá ser uma entidade da
12 COTS, OLIVEIRA, 2020, p. 33.

13 COTS, OLIVEIRA, 2020, op. cit., p.52
14 BRANCHER e BEPPU, - op. cit. pp. 106.
305
305
administração pública, ou de direito privado, sem fins lucrativos, que

incluam em sua missão institucional ou no seu objetivo social ou esta-
tutário, a pesquisa básica ou aplicada em caráter histórico, científico,
tecnológico ou estatístico15; VI - para o exercício regular de direitos em
processo judicial, administrativo ou arbitral, esse último nos termos da
Lei nº 9.307, de 23 de setembro de 1996 – Lei de Arbitragem; VII - para
a proteção da vida ou da incolumidade física do titular ou de terceiros;
VIII - para a tutela da saúde, exclusivamente, em procedimento reali-
zado por profissionais de saúde, serviços de saúde ou autoridade sani-
tária; IX - quando necessário para atender aos interesses legítimos do
controlador ou de terceiros, exceto no caso de prevalecer em direitos
e liberdades fundamentais do titular que exijam a proteção dos dados
pessoais; X - para a proteção do crédito, inclusive quanto ao disposto
na legislação pertinente.
2.2 DATA MAPPING (MAPEAMENTO DE DADOS)
A LGPD traz uma série de exigências e regulamentações para

as empresas, necessitando assim, de grandes mudanças por parte de
todos os atores empresariais responsáveis pela gestão da informação,
e ao considerar como responsáveis pelos vazamentos de informações
as empresas encarregadas da gestão e proteção de dados, prevendo
duras penalidades, o que leva muitas empresas a implementarem de
forma equivocada medidas exclusivamente voltadas a prevenção de
uma eventual responsabilização penal e administrativa, esquecendo-se
de concretizar processos e técnicas adequados à proteção dos dados
privados e a redução dos riscos16.
15 POHLMANN, Sérgio A. - LGPD Ninja - Nova Friburgo, RJ: Editora Fross, 2019. pag. 74.
16 RODRIGUES, Tatiana Kolly Wasilewski - Empresas e implementação da Lei \Geral de
Proteção de Dados: Lei Geral de Proteção de Dados (LGPD) e Data Mapping (Mapeamento
de dados) - Desafios, perspectivas e como se adequar à nova Lei na prática, Coordenação
Tarcisio Teixeira, Ed. JusPodivm - Salvador, 2021. pág. 53.
306
306
Quando falamos sobre “dados”, na verdade estamos nos

referindo à base da matéria-prima necessária para conseguir o que
todas as empresas desejam: utilizar o conhecimento das informações
para tomar decisões ágeis e corretas. Eles representam fatos através
de um conjunto de caracteres primitivos e isolados, geralmente re-
presentados através de texto, números, imagens sons ou vídeos. Os
dados não possuem qualquer significado relevante dentro de um con-
texto de negócio (dado sem contexto). Já o metadados representam
os significados dos dados, correspondem tanto ao conteúdo técnico
do dado como estrutura, formato, tamanho e restrições (Metadados
Técnicos) assim como informações sobre definições, conceitos,
relevância e regras de negócio dos dados envolvidos (Metadados de
Negócios)17
O compliance, as boas práticas de governança, o gerenciamento
de riscos, o plano emergencial para incidente de vazamento de dados e
de forma especial o mapeamento de dados, são indispensáveis para a
garantia de segurança e a proteção das informações, e são algumas das
mais variadas técnicas de adequação a LGPD.
O mapeamento de dados (data mapping) é uma atividade que
possibilita a empresa responsável pelo tratamento de dados uma visão
ampla e aprofundada de como ela lida com o processo de gestão, tra-
tamento e segurança desses dados, de modo que consiga identificar de
forma ágil a origem e a fonte desses dados, assim como e com quem
eles são compartilhados, entendendo todos os processos e fases de
seu ciclo dentro da corporação, como bem alerta Rodrigues18 ao citar
Luísa Varella19.
17 RÊGO, Bergson Lopes - Gestão e governança de dados: promovendo os dados como ativo de
valor nas empresas - Ed. Brasport - Rio de Janeiro - 2013, pág. 14.
18 RODRIGUES - op. cit. pág. 68.
19 VARELLA, Luísa. Tratamento de dados: como fazer em compliance com a LGPD? 17 de fev. de
2020. Disponível em: https://www.compugraf.com.br/tratamento-de-dados-como-fazer-
307
307
...O mapeamento dos dados pessoais é a principal ação a

ser tomada na sua gestão de riscos. Ele envolve tanto os
dados de clientes quanto os de colaboradores e é o que
vai garantir que a sua empresa esteja em conformidade
com a lei. Esse processo tem como objetivo identificar
quais dados estão em posse da empresa e assegurar sua
privacidade dos dados, salvaguardando empresas que
porventura possam vir a enfrentar problemas como
vazamentos, denúncias e afins.
A adequação pode ser um processo demorado, depen-
dendo do estágio de aderência da empresa à Lei Geral de
Proteção de Dados, mas é imprescindível…

taxonomia de Gil (2017) para categorizar a pesquisa quanto à sua fina-
lidade, propósito geral e métodos empregados. Quanto à finalidade, a
pesquisa foi classificada como aplicada, uma vez que busca apresentar
e adaptar práticas ou abordagens de privacidade e proteção de dados
que possam ser empregadas na implementação.
A pesquisa bibliográfica teve como base artigos técnicos cien-
tíficos, teses e dissertações, livros e publicações digitais das áreas de
privacidade e proteção de dados, metodologia científica, Compliance
e gestão.
em-compliance-com-a-lgpd/. Acesso em 06 de jul. de 2020
308
308
4. MAPEAMENTO DE ATIVIDADES DE TRATAMENTO

Encontramos no Art. 37 da LGPD a determinação de que o
controlador e o operador devem manter registro das operações de
tratamento de dados pessoais, trata-se de um dos mais importantes
instrumentos de accountability, que visa aumentar a transparência por
parte dos agentes de tratamento. Isso porque, por meio do registro, os
agentes de tratamento (i) demonstram o cumprimento da LGPD, não
somente perante a ANPD, quando requisitado, mas também perante
terceiros com quem os agentes de tratamento obrigam-se contratual-
mente a prestar contas; e (ii) terão maior facilidade de atender pedidos
de titulares, quando estes exercerem seu direito de acesso aos dados
pessoais objetos do tratamento.
Segundo o princípio da accountability é necessário documen-
tar tudo o que foi feito para dar cumprimento à lei. Deve-se registrar
tudo com relatórios e evidências, que serão de suma importância
para se demonstrar o cumprimento da LGPD. Identifica-se no Art. 37
os princípios da transparência e o da responsabilização e prestação
de contas, em que não basta cumprir a lei, é necessário que se deixe
registrado que a lei foi cumprida.
4.1 IMPORTÂNCIA DO MAPEAMENTO DE ATIVIDADES DE

TRATAMENTO
O mapeamento de dados, também conhecido como inventá-

rio de dados, é uma atividade documental essencial no processo de
adequação à legislação que tutela a proteção de dados no Brasil. O
referido documento deve refletir o método e o processo pelo qual fo-
ram submetidos os dados pessoais dentro da corporação, o que inclui
os processos e procedimentos pelos quais os dados transitam, desde
sua origem, “a base legal que respalda, o nível de segurança da base de
309
309
dados a qual o dado pertence, entre outras informações necessárias

para análise de vulnerabilidade técnica e jurídica”
Todo o tratamento de dados pessoais tem de ser feito para al-
cançar uma finalidade, que deverá ser legítima, específica e informada
ao titular, por outro lado, para atingir uma finalidade será necessária
mais de uma atividade, logo, se faz necessário o mapeamento não so-
mente dos dados em si, mas os dados em um determinado contexto de
tratamento, pois como bem destacou BRANCHER e BEPPU, ao citar a
explicação de Voigt e Brusche:
[...] por um lado, os registros devem permitir uma ava-
liação superficial da licitude do tratamento, e assim as
finalidades precisam ser documentadas de tal forma que
permitam essa avaliação. Por outro lado, as finalidades
não devem ser registradas de forma demasiadamente
restritivas, pois isso poderá prejudicar a licitude do trata-
mento [...].
Tomemos como exemplo uma empresa, com uma grande

quantidade de empregados, além de clientes e outros colaboradores,
os dados pessoais de seus empregados são coletados no momento da
contratação, surge a necessidade de coletar os dados do contratado
para registro do novo empregado na empresa (finalidade), tendo como
base legal deste tratamento aquela prevista no inciso V do Art. 7º (a
execução do contrato de trabalho).
Porém uma vez armazenados, esses dados poderão sofrer
outros tratamentos, é o caso da necessidade de compartilhamento
com Órgãos governamentais para cumprimento de obrigação legal (fi-
nalidade), amparado pelo inciso II do mesmo Art. 7º (base legal). Além
disso, o empregado que aderir ao plano de saúde empresarial, deverá
permitir que seus dados e de seus dependentes sejam compartilhados
com a empresa conveniada, no momento da assinatura do contrato de
adesão ao plano.
310
310
Observa-se então a importância de mapear as atividades de

tratamento, não somente os dados de forma isolada, visto que o os
mesmos dados serão tratados de formas diferentes, de acordo com
a necessidade, finalidade e base legal, onde cada tratamento terá
seus riscos avaliados, tratados e mitigados, o que respaldará a boa
fé e a legitimidade do tratamento dos dados pessoais por parte do
agente.
4.2 O REGISTRO DAS ATIVIDADES DE TRATAMENTO (RAT)
O modelo de RAT criado no SERPRO prevê uma organização

da informação capaz de separar os principais assuntos de um mapea-
mento de tratamento de dados pessoais. Apesar de inspirado no CNIL,
que observa a GDPR, a estrutura do RAT apresentado a seguir atende
perfeitamente o preconizado pela LGPD para fins de declaração das
atividades de tratamento de uma organização. A questão de quantos
RATs e como deve ser feita a divisão de tal organização serão aborda-
das no item 4.3.
Figura 1 – Processo de Negócio Dando Origem a Três RATs.
311
311
A seguir serão apresentadas as seções presentes no RAT, pre-

sentes tanto na versão planilha (inspirada no modelo do CNIL) quanto
na versão informatizada no software próprio do SERPRO.
4.2.1 SEÇÃO AGENTES DE TRATAMENTO (CONTROLADOR,

OPERADOR (ES) E ENCARREGADOS)
Nesta primeira seção são identificados os agentes de trata-

mento bem como as pessoas nomeadas como encarregado, DPO ou
qualquer outra função especializada nas práticas de PPD. Tais fun-
ções extras (além do encarregado) podem ser necessárias devido ao
tamanho da organização e sua complexidade. No caso do SERPRO,
por exemplo, foi criada uma rede de especialistas em PPD chamada
Rede SERPRO de Privacidade e Proteção de dados (RSPPD). Muitas
áreas da empresa têm o que se chama “Subencarregado” e “DPO Lo-
cal” que atuam juntamente com o encarregado geral da empresa. As
pessoas que ocupam estas posições, por exemplo, podem ser listadas
na seção de agentes justamente para evitar o registro de informação
repetitiva e pouco acurada. Os RATs de um departamento costumam
indicar seu subencarregado ou DPO local a depender do tamanho e
da divisão escolhida.
4.2.2 SEÇÃO INFORMAÇÕES GERAIS
Nesta seção é descrito o tratamento sob a ótica de negócio. Na

prática, há uma descrição do processo de negócio onde o tratamento
ocorre, mas com uma visão de privacidade e proteção de dados na sua
descrição. Esta relação entre processo de negócio e o tratamento é
bastante intrincada e algumas vezes é difícil distinguir um do outro.
Há ainda, nesta seção, informações sobre os responsáveis pelo
processo de negócio (além do especialista em PPD) e datas de controle
para uso futuro.
312
312
4.2.3 SEÇÃO FINALIDADE E BASE LEGAL
Esta seção é de extrema importância para o resto do docu-

mento, pois é a partir da finalidade que se pode verificar vários outros
princípios como os da adequação e o da minimização, por exemplo.
Dependendo da forma como seja registrado no RAT, a finalidade se
confunde com o próprio processo de negócio e consequentemente
com o tratamento descrito.
A base legal, por sua vez, é igualmente importante por ser o
elemento que valida a licitude do tratamento. Uma série de outras
decisões será tomada em função da base legal escolhida.
4.2.4 SEÇÃO CATEGORIAS DE DADO PESSOAL
As categorias de dados pessoais são divididas em dois grupos

principais: dados pessoais triviais e dados pessoais sensíveis. Dentro
desta divisão o RAT já sugere o uso de algumas categorias muito co-
muns como informação pessoal, dados funcionais, dados financeiros,
dados de conexão, biometria entre outras já sugeridas no modelo de
mapeamento. O objetivo de categorizar é simplificar as referências em
outras seções e a associação com bases legais, por exemplo.
4.2.5 SEÇÃO CATEGORIAS DOS TITULARES
Da mesma forma que os dados pessoais, os titulares costumam

poder categorizados e agrupados em tipos. Um uso bastante comum
para a categorização de titulares é quando um RAT é elaborado a partir
de uma solução digital (software). Vamos tomar como exemplo um
sistema público de inscrição em dívida. Há uma primeira categoria
de titular que é o próprio funcionário público responsável pela ação
de inscrever um devedor na dívida ativa. Seus dados de conexão e
identificação são tratados com base na hipótese legal da execução do
313
313
contrato. No caso o próprio contrato de trabalho dele. Outra categoria

é o próprio devedor, que no primeiro momento sequer é usuário do sis-
tema, porém, seus dados pessoais são tratados com base na hipótese
legal de obrigação legal. Dessa forma, temos ao menos duas categorias
de titulares.
4.2.6 SEÇÃO COMPARTILHAMENTO
Esta seção descreve cada compartilhamento entre o controla-

dor do tratamento descrito no RAT e algum outro controlador, algum
operador ou terceiros que recebam um ou mais dados em virtude do
tratamento. Eventualmente podem ser registrados compartilhamentos
internos (dentro do mesmo controlador) para efeito de rastreabilidade e
para ajudar a mapear o ciclo de vida e fluxo dos dados tratados. É impor-
tante diferenciar nesta seção os possíveis co-controladores descritos na
seção 4.2.1 (Agentes). Os agentes de destino em um compartilhamento
não são controladores conjuntos. Estes são conceitos diferentes e o res-
ponsável pela análise deve decidir se um outro controlador atua toman-
do decisões conjuntas sobre o processo de negócio (registro na seção
4.2.1 - Agentes) ou se apenas recebe os dados e realiza um tratamento
independente (registro na seção 4.2.6 - compartilhamento).
4.2.7 SEÇÃO TRANSFERÊNCIA INTERNACIONAL
A transferência internacional é um compartilhamento bastante

especial e com maiores riscos para o titular. Dessa forma, existe esta
seção para estes casos. Existem alguns campos como o país de origem
para detalhar melhor este compartilhamento especial.
4.2.8 SEÇÃO CONTRATOS
A seção de contratos registra cada um dos contratos que par-

ticipam do tratamento de dados pessoais. O registro de contratos é
314
314
fundamental para certos tratamentos como os que utilizam ambientes

de nuvem, por exemplo. Elaborar e manter a relação de contratos ajuda a
identificar as várias partes interessadas em um determinado tratamen-
to, deixando claro seus papéis e possíveis dados compartilhados
4.2.9 SEÇÃO MEDIDAS TÉCNICAS
Esta seção elenca as medidas técnicas e tecnológicas adotadas

para garantir a privacidade e a proteção de dados pessoais no trata-
mento em questão. Naturalmente, várias destas medidas se repetem
ao longo de vários RATs, cabendo ao controlador uma organização
para mais fácil reaproveitamento e mesmo gestão destas medidas.
4.2.10 SEÇÃO PERTINÊNCIA DE RIPD
Nesta seção são respondidas algumas perguntas para poder

inferir se o tratamento deve ser municiado com a elaboração de um
RIPD. Dependendo da resposta a cada pergunta é somada uma pontu-
ação que se é enquadrada em três faixas: (1 - verde) sem necessidade de
RIPD, (2 - amarelo) recomendável realização de RIPD e (3 - vermelho)
obrigatória a realização de RIPD.
4.3 DECLARAÇÃO VS. OCORRÊNCIA DO TRATAMENTO
Uma diferenciação importante que deve ser feita quando se fala

de RAT é a separação entre a declaração das atividades de tratamento,
ou o RAT propriamente dito, e os eventos no mundo real que geram
uma ocorrência do tratamento ao qual o RAT se refere. Ou seja, quan-
do um determinado tratamento acontece para um titular “A” temos
uma ocorrência deste tratamento. Quando ocorre novamente este
mesmo tratamento para um outro titular “B” temos outra ocorrência.
Na verdade, se ocorrer novamente para um destes titulares também
temos uma nova ocorrência. Dessa forma, cada vez que o tratamento
315
315
“acontece” é criada uma ocorrência deste tratamento que por sua vez
foi, idealmente, descrita e prevista em um RAT.
Figura 2 –Registro de Ocorrência dos Tratamento por Titular.
Assim, podemos dizer que o RAT é a declaração ou manifestação

com informações sobre a forma que o tratamento ocorre na teoria,
listando campos, descrevendo finalidades, bases legais etc., mas quando
ele acontece de fato em um software, por exemplo, é necessário efetuar
login ou algum tipo de registro (físico ou digital) dessa ocorrência. Tais
registros são uma espécie de foto das condições em que um determi-
nado tratamento ocorreu para um determinado titular em um determi-
nado momento do tempo. Eles são insumo importante para atender os
direitos deste mesmo titular. Na situação em que o titular, por exemplo,
questiona quais tratamentos ocorreram e quando ocorreram, somente
um registro deste tipo é capaz de atender tal requisição.
Assim, a necessidade definida no Art. 37, em que o controlador
e o operador devem manter registro das atividades de tratamento se
refere às duas vertentes apresentadas: a declaração e a ocorrência. Isto
porque não basta mapear tratamentos e elaborar RATs para atender os
316
316
direitos dos titulares. É necessário registrar as ocorrências específicas

de tratamento de cada titular em cada situação concreta. Este trabalho,
contudo, não pretende se aprofundar neste tema das ocorrências visto
que é uma temática bastante técnica e envolve um debate de práticas
de implementação de sistemas e criação e manutenção de registros de
Log. No entanto, a partir dessa necessidade, fica claro que não existe
registro de ocorrência sem o devido mapeamento da parte declarativa:
o RAT e suas informações acerca da previsão do tratamento antes
mesmo que ocorram no mundo real. Logs e recursos de auditoria atu-
almente existentes em sistemas informatizados devem ser ajustados a
partir dos trabalhos de mapeamento iniciados, principalmente, após a
entrada em vigor da LGPD.
4.4 GRANULARIDADE DE TRATAMENTOS
Na atividade de mapeamento de tratamentos de dados pesso-

ais existe uma questão não resolvida: a granularidade dos tratamentos
em relação aos processos de negócio. Por granularidade deve-se en-
tender como sendo nível de minúcia ou quebra de algo complexo e/ou
grande em partes menores (grãos). Ou seja, é a problemática de olhar
para uma organização e definir quantos e quais são os tratamentos de
dados pessoais existentes ali.
A regra geral é observar os processos de negócio, dividindo o
problema em diretorias, unidades, setores etc. Contudo, cada organiza-
ção tem suas particularidades e é particularmente raro encontrar algum
tipo de orientação ou padrão de quebra que seja aplicável a muitas
organizações e/ou soluções digitais. Com muita frequência um único
processo de negócio (PN) dará origem a vários tratamentos de dados
pessoais. Porém, pode ocorrer de um processo de negócio ser traduzido
em apenas um único tratamento pela simplicidade dessa abordagem. Há
ainda a possibilidade de vários processos de negócio serem mapeados
317
317
para um único tratamento quando são muito similares, por exemplo.

Identificar quando cada uma dessas três situações ocorre é um dos
principais desafios da tarefa de mapear tratamentos de dados pessoais.
Figura 3 - Granularidades Possíveis entre Processos de Negócio e Tratamentos.
Dessa forma, alguém com a missão de realizar o mapeamento

dos tratamentos de uma organização de tamanho razoável certa-
mente vai esbarrar nesta questão cuja solução, provavelmente, será
bastante particular. Contudo, a experiência de executar este tipo de
mapeamento em algumas centenas ou milhares de vezes ao longo dos
últimos anos deu ao SERPRO algumas lições e caminhos empíricos que
vêm sendo usados para resolver este tipo de desafio.
4.4.1 HEURÍSTICA 1: SE PUDER, NÃO QUEBRE!
Pode parecer estranho, mas a primeira dica sobre granulari-

dade é justamente evitar a granularidade. Ou seja, se um processo de
negócio pode ser entendido como uma coisa monolítica em termos de
318
318
privacidade e proteção de dados ele dará origem a um único tratamen-

to. Este não é necessariamente o melhor cenário, mas certamente é o
mais simples. Se não há um bom motivo para quebrar, a melhor aposta
pode ser não quebrar.
Contudo, como qualquer decisão neste tema, é necessária
uma análise. Se analisarmos os processos de negócio e os tratamentos
presentes numa padaria, pequeno comércio e coisas desta magnitude
é provável que eu consiga aplicar esta primeira heurística. Porém, se
o foco é uma grande corporação fica muito difícil não entender que
o setor de RH tem tratamentos de dados diferentes do pessoal do
marketing que por sua vez não é a mesma coisa das áreas fim desta
organização. Assim, quando possível, não quebrar é uma boa dica, mas
o cenário onde isso é aplicável é bastante restrito.
4.4.2 HEURÍSTICA 2: USE A GRANULARIDADE PADRÃO
No mesmo mote de tornar o trabalho de mapeamento de

tratamentos mais simples que a heurística anterior, pode ser uma boa
abordagem tentar encaixar a quebra de processos de negócio e trata-
mentos às divisões já existentes na organização como por exemplo a
estrutura organizacional e a cadeia de valor, caso exista. Dessa forma, a
segunda heurística sugere compatibilizar os tratamentos a estruturas
já existentes e conhecidas pelas pessoas da organização.
No SERPRO, por exemplo, a cadeia de valor é estruturada em
cinco níveis: macroprocesso, processo, subprocesso, atividade e tarefa. A
abordagem foi elaborar RATs para os subprocessos (elemento mediano)
que já existiam e eram conhecidos pelas áreas da empresa. Dessa forma
foi mais simples para os profissionais que não necessariamente eram
especialistas em PPD. Adicionalmente, ganha-se simplicidade de voca-
bulário já que o tratamento passa a ser chamado com o mesmo nome do
subprocesso, simplificando a comunicação entre áreas especialistas em
PPD e as áreas responsáveis por estes subprocessos.
319
319
Em alguns raros casos, entretanto, o RAT foi elaborado sobre o

nível de processo, pois seus subprocessos tinham as mesmas finalidades
e bases legais além do mesmo conjunto de dados. Nestes casos, a decisão
foi tomada mais na linha da primeira heurística e uma quebra foi evitada.
4.4.3 HEURÍSTICA 3: FINALIDADE É UMA COISA SÓ

(QUEBRA POR FINALIDADE)
Algumas heurísticas atuam como guia enquanto algumas

atuam como “mau cheiro”. Esta heurística atua sobre a avaliação do
texto descrito no RAT acerca da finalidade (segunda seção). Sabemos
pela própria LGPD que uma finalidade deve ser específica, ou seja,
deve apontar para apenas uma coisa de forma que evite objetivos
genéricos. Desta forma, quando vemos uma finalidade muito longa,
com muitos conectores como “E” ou grande presença de ponto e
vírgula, temos um “mau cheiro” que pode indicar que tem mais de uma
finalidade ali.
Esta heurística sugere que a finalidade deve ser lida e entendida
como apenas uma coisa e quando isso não ocorre podemos fazer uma
avaliação se as várias coisas que estão ali descritas podem ser conside-
radas tratamentos diferentes. Dessa forma, quando há duas ou mais fi-
nalidades absolutamente distintas deve haver dois ou mais tratamentos.
Pode-se dizer que a finalidade é a alma do tratamento, sendo o que mais
o representa e descreve. Contudo, em muitos casos as várias finalidades
ainda podem ser agrupadas. Esta deve ser uma análise caso a caso quan-
do, por exemplo, são complementares e fazem parte de uma finalidade
maior que pode ser considerada a verdadeira finalidade.
4.4.4 HEURÍSTICA 4: QUEBRA POR BASE LEGAL
A base legal é um dos elementos que mais sugere quebra em um

tratamento. Não existe previsão legal nem há uma regra vigente sobre
320
320
isso, mas quando um tratamento tem duas bases legais não comple-
mentares é muito provável que estejamos falando de dois tratamentos
separados. Bases legais complementares ocorrem, por exemplo,
quando para cumprir uma mesma finalidade que trata dados pessoais
sensíveis e não sensíveis um único tratamento precisa recorrer ao Art. 7
da LGPD (dados pessoais triviais) e o Art. 11 (dados pessoais sensíveis).
Neste exemplo, uma única finalidade precisa de duas bases legais que,
na verdade, se complementam, mas o tratamento ainda é claramente
um só.
Bases legais não complementares têm uma dinâmica um pouco
diferente. Vejamos o exemplo de um site de comércio eletrônico que
vende e entrega produtos diversos e ainda faz recomendações com
base nas compras de outros. A venda e entrega dos produtos pode se
apoiar no Art. 7 inciso V, pois é uma execução de contrato entre o site
e o comprador – a pedido deste. Já as recomendações de produtos que,
inclusive, usam dados pessoais de outra pessoa, podem ter que se apoiar
no legítimo interesse (Art. 7, IX, LGPD). Ambas as bases legais amparam
o mesmo processo de negócio em alto nível (site de compras), mas po-
demos dividir este processo em pelo menos dois tratamentos:
Tratamento 1: Venda e entrega de produtos (base legal: execu-
ção de contrato)
Tratamento 2: Recomendações avançadas (base legal: legítimo
interesse)
Não é impossível fazer apenas um RAT para o processo de
negócio e dizer que ele tem somente um tratamento como sugerido na
primeira heurística. Contudo, repare que no exemplo acima o segundo
tratamento tem implicações como a necessidade de realizar um RIPD
que o primeiro tratamento não tem. Este é o centro da análise de que-
bra por base legal. Um dos tratamentos pode ter implicações legais,
de risco ou outras questões em função da base legal diferente. Dessa
321
321
forma, avaliar a quebra de um processo ou um tratamento por causa da

base legal pode ser uma boa estratégia.
4.4.5 HEURÍSTICA 5: QUEBRA POR TIPO DE TITULAR
No mesmo caminho da heurística anterior, a quebra por tipo de

titular frequentemente tem relação com a base legal. Tomando como
exemplo um sistema de governo onde são inscritas dívidas, podemos
identificar ao menos dois tipos de titulares: o usuário do sistema (au-
ditor e/ou procurador) e o devedor que é lançado em dívida. Ambos
são titulares, mas a base legal, o conjunto de dados, o relacionamento
controlador/titular e mesmo medidas técnicas podem ser diferentes.
Neste cenário, onde estas diferenças realmente existam, pode ser
mais interessante mapear um tratamento para o primeiro titular e um
separado para o segundo.
Como visto acima, nesta heurística é importante avaliar se não
somente a categoria de titular é diferente, mas também avaliar se por
causa disso outras seções do RAT acabam sendo muito diferentes tam-
bém. Se a única diferença é a própria categoria ou tipo de titular, talvez
não seja proveitoso fazer a quebra, apenas aumentando o número de
tratamentos sem grande ganho. Esta reflexão vale para qualquer outra
análise além das cinco heurísticas. Ou seja, mesmo que um processo de
negócio não se enquadre em nenhuma delas, pode ser que seja interes-
sante quebrar devido a diferenças em outras seções.
4.5 INVENTÁRIO DE ATIVIDADES DE TRATAMENTOS (IAT)
Como visto anteriormente, a questão da granularidade não é

resolvida de forma padrão e várias soluções podem ser dadas em fun-
ção das particularidades das organizações e mesmo do ponto de vista
de quem faz a análise dos processos de negócio mapeados. A granula-
ridade no mapeamento de tratamentos pode resultar em vários níveis
322
322
de quebra fazendo com que um tratamento seja parte de um processo

que pode ser parte de outro processo ou macroprocesso e assim por
diante. A forma mais comum de organizar esta compartimentação
(coisas dentro de outras coisas) é o Inventário de Atividades de Trata-
mento (IAT). Um IAT pode conter vários RATs ou mesmo conter outros
IATS que por sua vez podem conter RATs e IATs.
Figura 4 - Inventário de Atividade de Tratamento.
Na prática, um IAT é a mesma coisa que um inventário de da-

dos quando o assunto é privacidade e proteção de dados. Em ambos
os artefatos teremos dados pessoais classificados e processos de
negócio descritos. Contudo, o uso do termo “Inventário de Atividades”
deixa claro que o ponto de partida são os processos de negócio e não
os dados “in natura”. O termo “Inventário de Dados” também é comum
em práticas de governança de dados e outras áreas onde o dado é, de
fato, o ator principal e a partir dele são derivadas várias ações. Por isso,
323
323
como este trabalho tentou demonstrar, na disciplina de privacidade e

proteção de dados, o tratamento e a dinâmica aplicada a estes dados
é que são a grande matéria prima para várias outras práticas. Assim,
este trabalho e toda a metodologia de PPD do SERPRO utiliza o termo
“inventário de Atividades de Tratamento” ou IAT.
5. CONCLUSÃO
Adequar-se à LGPD não é opcional e quanto maior e mais
complexa é uma organização mais trabalhoso é este processo. Frente
a essa realidade é necessário seguir caminhos mais eficientes do ponto
de vista das ações empreendidas. Como visto neste trabalho, o ponto
de partida, após uma análise geral do problema, deve ser o mapeamen-
to de atividades de tratamento a partir dos processos de negócio com
suas soluções digitais e não digitais (papel). A abordagem que parte
dos processos de negócio para depois (ou durante) catalogar e classifi-
car os dados pessoais permite que o trabalho seja possível em grandes
organizações e em situações de alta complexidade no tratamento dos
dados pessoais.
Tal abordagem usa os processos de negócio e os tratamentos
neles identificados como guia mestre para elencar e analisar os demais
elementos ligados às práticas de privacidade e proteção de dados.
Finalidades, bases legais, conjuntos de dados pessoais, informações
sobre compartilhamentos, contratos, medidas técnicas e a avaliação
de pertinência sobre um RIPD são algumas das informações levantadas
neste processo, gerando o que se conhece como registro de atividades
de tratamento (RAT). Dessa forma, individualiza-se um tratamento de
dados pessoais, atribuindo-lhe uma identificação e uma descrição que
preferencialmente usa vocabulário similar ao da cadeia de valor da or-
ganização ou ao menos pode ser relacionada ao mundo real do negócio.
Assim, cada RAT é um grão do mapeamento geral da organização com
324
324
seus atributos padronizados e seu conteúdo particular que justifica sua

existência como elemento separado. A soma de todos os RATs, organi-
zados ou não em inventários (IAT), é o mapeamento de tratamentos de
dados da organização e é capaz de responder desafios como a resposta
aos direitos dos titulares de dados e de agentes regulamentadores de
forma precisa e compatível com o que preconiza a LGPD.
Especificamente em relação à granularidade, ou seja, sobre a
questão como quebrar os processos de negócio de uma organização,
este trabalho não pretendeu ser conclusivo dada a natureza muito
particularizada de cada caso concreto. Contudo, foram apresentadas
cinco heurísticas que podem guiar a análise para que uma organização
estabeleça seu ponto médio de quebra ou “trade off” entre o esforço
empreendido no mapeamento e a qualidade do resultado e seu posterior
uso como base para as práticas de PPD. Contudo, em relação à neces-
sidade de quebra não ficou dúvida de que uma organização complexa,
com vários departamentos e assuntos internos diferentes não pode
simplesmente alegar que faz um ou dois tratamentos e colocar todos os
dados tratados e operações realizadas num escopo tão limitado. Situa-
ções complexas como grandes organizações demandam uma avaliação
mais detalhada que resultará num mapeamento com muitos elementos
(tratamentos) diferentes entre si sob aspecto da forma e do conteúdo
e consequentemente das ações de resposta a agentes, privacidade e
proteção de dados necessárias e alinhadas à LGPD.
REFERÊNCIAS
ABNT NBR ISO/IEC 27701. Técnicas de segurança. Extensão da ABNT NBR
ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da
informação. Requisitos e diretrizes. Rio de Janeiro. 2019.
325
325

2022.
PUCCINELLI, Oscar R., Protección de datos de carácter personal. Ciudad de
Buenos Aires: Editorial Astrea de Alfredo y Ricardo Depalma SRL, 2004.
COTS, Marcio, OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados pessoais
comentada – São Paulo – Thomson Reuters Brasil, 2018.
SILVA, Carlos Bruno Ferreira Da. Proteção de dados e Cooperação Trans-
nacional: teoria e prática na Alemanha, Espanha e Brasil. Belo Horizonte,
Arraes Editores, 2014.
SALDANHA, Nuno. Novo Regulamento Geral de Proteção de Dados: O Que
é? A Quem Se Aplica? Como Implementar?. Lisboa/Portugal: FCA – Editora
de Informática, Lda. Saraiva Educação.
VAINZOF, Rony – Dados Pessoais, Tratamento e Princípios. Comentários ao
GDPR: Regulamento Geral de Proteção de Dados da União Europeia/Viviane
Nóbrega Maldonado, Renato Opce Blum, coordenadores. São Paulo: Thom-
son Reuters Brasil, 2018.
COTS, Marcio, OLIVEIRA, Ricardo. O legítimo interesse e a LGPDP: Lei Geral
de Proteção de Dados pessoais - São Paulo. Thomson Reuters Brasil, 2020.
POHLMANN, Sérgio A. LGPD Ninja. Nova Friburgo, RJ: Editora Fross, 2019.
RODRIGUES, Tatiana Kolly Wasilewski. Empresas e implementação da Lei \
Geral de Proteção de Dados: Lei Geral de Proteção de Dados (LGPD) e Data
Mapping (Mapeamento de dados). Desafios, perspectivas e como se adequar
à nova Lei na prática, Coordenação Tarcisio Teixeira, Ed. JusPodivm - Salvador,
2021.
RÊGO, Bergson Lopes. Gestão e governança de dados: promovendo os dados
como ativo de valor nas empresas. Ed. Brasport. Rio de Janeiro. 2013.
VARELLA, Luisa. Tratamento de dados: como fazer em compliance com a
LGPD? 17 de fevereiro de 2020. Disponível em: https://www.compugraf.com.
br/tratamento-de-dados-como-fazer-em-compliance-com-a-lgpd/. Acesso
em 06 de jul. de 2020.
326
326
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
GESTÃO DE CONTRATOS: FORTALECER

OS ELOS DO TRATAMENTO DE DADOS

RESUMO
Apresenta-se como problema de pesquisa, expor a indispensabilidade de se elaborar e
de se inserir cláusulas de proteção de dados nos contratos, com a finalidade de adequá-
los às imposições da Lei Geral de Proteção de Dados - LGPD, bem como, os principais
desafios enfrentados nesta jornada, apresentando, também, algumas soluções. Sem
a pretensão de exaurir a temática, objetiva-se, inicialmente, apresentar ao leitor uma
breve discussão acerca da privacidade e do tratamento de dados. Posteriormente, serão
abordadas questões acerca da função dos contratos, assim como, sobre a importância
de se colocar cláusulas regulando o tratamento dos dados. Em seguida, discorrer-se-á
sobre fatores relevantes que devem ser analisados quando da elaboração das referidas
cláusulas. Ao final, concluir-se-á que para a adequação dos contratos, não é suficiente
redigir cláusulas padronizadas que reproduzam a legislação, sendo necessário analisar
o objeto do contrato e suas implicações, assim como a obrigação de agir, os prazos,
e como comunicar incidentes de segurança, por exemplo. Deste modo, a redação e a
inserção das referidas cláusulas nos contratos acaba sendo um processo complexo
e multidisciplinar, já que diversas áreas são envolvidas e devem ter conhecimento e
treinamento adequados.
Palavras-chave: Lei Geral de Proteção de Dados - LGPD. Proteção de dados.
Tratamento de dados. Adequação de contratos.
ABSTRACT
It is presented as a research problem, to expose the indispensability of drafting
and inserting data protection clauses in contracts, in order to adapt them to the
impositions of General Law of Data Protection - LGPD, as well as the main challenges
faced in this journey, also presenting some solutions. Without claiming to exhaust
the theme, the aim is initially to present the reader a brief discussion about privacy
and data treatment. Subsequently, questions about the function of contracts will be
addressed, as well as the importance of inserting clauses regulating the treatment
of data. Next, we will discuss the relevant factors that must be analyzed when
drafting these clauses. At the end, it will be concluded that for the adequacy of the
328
contracts, it is not enough to draft standard clauses that reproduce the legislation,
being necessary to analyze the object of the contract and its implications, such as
the obligation to act, the deadlines, and how to communicate security incidents, for
example. Thus, the drafting and insertion of such clauses in contracts ends up being
a complex and multidisciplinary process, as several areas are involved and must have
adequate knowledge and training.
Keywords: General Law of Data Protection – LGPD. Data Protection. Data Processing.
Adequacy of contracts.
1. INTRODUÇÃO
A era em que vivemos, por muitos chamada de “sociedade da
informação”, está diretamente relacionada à evolução da economia
moderna (que se desenvolveu na esteira do desenvolvimento da tec-
nologia) e é baseada na coleta, produção, processamento, transmissão
e armazenamento de informações (VIEIRA, 2007).
A informação contém em si o principal ativo da sociedade da
informação, ou seja, a sua principal riqueza, sendo indispensável ao
desempenho de qualquer atividade - o que explica a nomenclatura
atribuída pela doutrina a essa nova forma de organização social, po-
lítica e econômica (VIEIRA, 2007). Nesse sentido, praticamente todas
as áreas da vida humana dependem de informação e, ao que parece, a
sociedade caminha para uma dependência cada vez maior.
Na qualidade de principal matéria prima desse novo modelo
capitalista, a informação se impõe como condição determinante para
o desenvolvimento econômico e cultural da sociedade, daí o intensivo
uso da tecnologia da informação - enquanto mecanismo facilitador
da coleta, produção, processamento, transmissão e armazenamento -
acarreta avassaladoras mudanças no mundo (VIEIRA, 2007).
Com a substancial intenção de regulamentar o uso dessa
informação, surgem as legislações destinadas à tutela e proteção dos
dados pessoais na sociedade em rede (CASTELLS, 2017). No Brasil, foi
promulgada a Lei 13.709, de 14 de agosto de 2018, que passou a viger
329
329
em agosto de 2020, conhecida como Lei Geral de Proteção de Dados

Pessoais (LGPD), que expressa, em seu Art. 1º:
Art. 1º Esta Lei dispõe sobre o tratamento de dados
pessoais, inclusive nos meios digitais, por pessoa natural
ou por pessoa jurídica de direito público ou privado,
com o objetivo de proteger os direitos fundamentais de
liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural (BRASIL, 2018, on-line).
Como se vê da redação acima, a LGPD dispõe sobre o trata-

mento de dados pessoais (aqui cabe diferenciar “dado pessoal” de
“informação” - dado pessoal, segundo o Art. 5º, II da LGPD é toda in-
formação relacionada a pessoa natural identificada ou identificável) e
possui como objetivos proteger os direitos fundamentais de liberdade,
privacidade e o livre desenvolvimento da pessoa natural. Para que seus
objetivos sejam atingidos, a lei estabelece uma série de requisitos para
que o tratamento dos dados ocorra, com pesadas sanções àqueles que
a descumprirem.
A LGPD impôs a todos aqueles que realizam o tratamento de
dados pessoais a adoção de diversas medidas, necessárias para que a
atuação esteja em conformidade. Assim, não apenas grandes empre-
sas e órgãos de governo deverão se adequar, mas todos aqueles que
realizem o tratamento de dados pessoais, excepcionados os que os
tratarem para os fins previstos no Art. 4º da Lei, dos quais destacamos,
exemplificativamente, os realizados por pessoas natural para fins ex-
clusivamente particulares e não econômicos.
Tal adequação, será necessariamente multidisciplinar, envolven-
do uma ampla, complexa e minuciosa avaliação da instituição, sobre o
tratamento de dados pessoais, de modo a responder, dentre outras, as
seguintes perguntas: Quais são os dados objeto de tratamento? Qual a
finalidade? Quem são os agentes de tratamento? Onde são armazena-
dos os dados tratados? Por quanto tempo? Qual é a base legal? Os dados
330
330
tratados são os mínimos necessários para que se atinja os objetivos de

tratamento? Com quem esses dados são compartilhados? Há neces-
sidade da realização de um inventário de dados? Há o tratamento de
dados sensíveis? São tratados dados de crianças e adolescentes? Qual o
papel da organização nesse tratamento? É necessária a elaboração de
um aviso de privacidade? Há transferência internacional de dados? Os
titulares estão cientes do tratamento? Em caso de incidente de seguran-
ça, eu possuo um plano? Quem será responsável por esse incidente?
Essas perguntas devem ser respondidas e, além disso, ações
concretas devem ser tomadas, pois a adequação envolve não só co-
nhecimentos aprofundados das leis que regem o tratamento de dados
pessoais, mas também a implementação de medidas e procedimentos.
Dentre as diversas ações que devem ser realizadas por aqueles que
tratam dados pessoais para obter a conformidade com a legislação,
está a adequação dos contratos, que se concretiza pela inserção de
cláusulas regulamentando o tratamento desses dados pessoais, o que
é justamente o problema que esta pesquisa busca responder.
Entende-se que essas cláusulas são uma etapa de sobremaneira
importância em todo esse processo, já que elas devem expressar a
maneira como a instituição está agindo diante das determinações da
LGPD. O desafio aqui é enorme, já que nem sempre cláusulas padro-
nizadas poderão ser utilizadas sem que sejam necessários ajustes, de
acordo com o caso concreto.
Como se percebe, um ponto crítico para a conformidade com

a LGPD é a adequação dos contratos. Aqui devemos ressaltar que
naqueles em que se verificar o tratamento de dados pessoais, haverá
necessidade de que sejam inseridas cláusulas regulamentando o seu
tratamento.
331
331
Atentas a esta questão, as empresas e instituições que realizam

o tratamento de dados pessoais têm criado cláusulas para adequação
de seus instrumentos, que devem ser aditivados a todos os contratos
nos quais sejam tratados dados pessoais. Para que as cláusulas sejam
adequadas, é necessário que se avalie, inicialmente, se de fato há o tra-
tamento de dados pessoais, pois caso contrário, não há necessidade da
inserção de cláusulas sobre a temática.
Outro ponto crucial diz respeito a qual o papel que as partes
contratantes estão desempenhando naquele contrato. Neste aspec-
to, é importante destacar que a Autoridade Nacional de Proteção
de Dados (ANPD), recentemente lançou a segunda versão do Guia
Orientativo para Definições dos Agentes de Tratamento de Dados
Pessoais e do Encarregado (Abril, 2022), sendo este um instrumento
muito importante, facilitador e bem-vindo, uma vez que antes dele era
necessário recorrer a guias elaborados por autoridades de proteção de
dados estrangeiras, como a Information Commissioner’s Office (ICO),
que é a autoridade do Reino Unido.
Porém, não basta que se verifique se de fato há o tratamento de
dados pessoais e que se investigue os papéis desempenhados pelas par-
tes contratantes para que se consiga redigir e consequentemente inserir
nos contratos, cláusulas apropriadas: inúmeras outras questões devem
ser objeto de atenção, conforme demonstraremos neste trabalho.
Nesse sentido, nos comprometemos em buscar soluções para
o seguinte problema: como realizar a adequação dos contratos de
maneira a alcançar compliance com a LGPD?
1.2 OBJETIVOS
Este trabalho tem como objetivo explicitar a importância da

adequação dos contratos, de acordo com os ditames da LGPD, assim
332
332
como, expor os desafios enfrentados e as soluções encontradas para

realizar a implementação com sucesso.
Para atingir o objetivo, foram definidos os seguintes aspectos
específicos a serem tratados:
I) expor o contexto do surgimento da Lei Geral de Prote-
ção de Dados e a necessidade da adequação das organi-
zações;
II) demonstrar a importância da adequação dos contratos
em busca da conformidade da organização à Lei Geral de
Proteção de dados; e
III) apresentar os desafios enfrentados e as soluções encon-
tradas para realizar a adequação dos contratos.
1.3 JUSTIFICATIVA
As cláusulas contratuais de proteção de dados e privacidade

devem necessariamente refletir o engajamento da organização no pro-
cesso de adequação à LGPD, de maneira a regulamentar o tratamento
a ser realizado, dando transparência e segurança à operação.
Assim, trata-se de uma etapa imprescindível para a confor-
midade da organização, o que gera impactos importantes, pois são
as cláusulas de privacidade e proteção de dados que irão definir,
dentre outros, os deveres das partes, seus papéis como agentes
de tratamento, impor obrigações com relação aos empregados e
demais pessoas que possam ter acesso aos dados tratados, regula-
mentar as questões relacionadas à segurança dos dados pessoais,
aos titulares de dados e à transferência internacional, determinar
como se dará a exclusão e a devolução dos dados pessoais, firmar as
responsabilidades das partes, dentre outros ajustes, a depender do
caso concreto.
333
333
Este capítulo está organizado em cinco seções. A primeira

delas, introdução, apresentou cenário e motivação, passando pela
apresentação do problema, descrição do objetivo geral e específico, a
justificativa para o tema que norteia este trabalho e a organização do
capítulo. A segunda tratará do referencial teórico, seguida pela terceira,
que abordará o referencial metodológico.
A quarta seção, desenvolvimento, exporá o contexto do surgi-
mento da LGPD e a necessidade da adequação das organizações. Após,
exporemos a importância da adequação dos contratos como etapa
para adequação e também descreveremos como essa a pode ser rea-
lizada, levando-se em consideração diversos fatores que podem gerar
impactos.
Por fim, exporemos as conclusões desta pesquisa, expondo os
desafios enfrentados e as soluções encontradas para realizar a ade-
quação dos contratos.
Brad Smith, presidente da Microsoft afirma que cada aspecto
da vida humana é “movido” por dados e conclui que “[...] quando se trata
da civilização moderna, dados estão mais para o ar que respiramos do
que para o óleo que queimamos” (SMITH; BROWNE, 2019).
Assim, as leis que regulamentam o tratamento de dados pes-
soais adquiriram enorme relevância no mundo todo e também no
Brasil, com a promulgação da LGPD, cuja relação é intrínseca com os
contratos ora abordados.
Isso porque todas as pessoas físicas ou jurídicas, que possuam
contratos nos quais ocorra tratamento de dados pessoais, precisarão,
em dado momento, alterá-los conforme a Lei, como por exemplo, nos
334
334
contratos de trabalho, nos contratos entre fornecedores e todos os

outros contratos que envolvam tratamento de dados pessoais (LIMA
et al., 2021).
O capítulo VI, seção III, Arts. 42 a 45, da LGPD, estabelece que
os agentes de tratamento têm um conjunto de responsabilidades que
devem ser refletidas em seus instrumentos contratuais. A Figura 1,
apresenta a distribuição dos Arts. da Lei.
Figura 1 - Capítulo¨6, Seção III.
Abaixo, referidos Arts. na íntegra:

Art. 42. O controlador ou o operador que, em razão do
exercício de atividade de tratamento de dados pessoais,
causar a outrem dano patrimonial, (moral, individual ou
coletivo, em violação à legislação de proteção de dados
pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos
dados:
335
335
I - O operador responde solidariamente pelos danos cau-

sados pelo tratamento quando descumprir as obrigações
da legislação de proteção de dados ou quando não tiver
seguido as instruções lícitas do controlador, hipótese em
que o operador equipara-se ao controlador, salvo nos
casos de exclusão previstos no Art. 43 desta Lei;
II - Os controladores que estiverem diretamente envolvi-
dos no tratamento do qual decorreram danos ao titular
dos dados respondem solidariamente, salvo nos casos de
exclusão previstos no Art. 43 desta Lei.
§ 2º O juiz, no processo civil, poderá inverter o ônus da
prova a favor do titular dos dados quando, a seu juízo, for
verossímil a alegação, houver hipossuficiência para fins de
produção de prova ou quando a produção de prova pelo
titular resultar-lhe excessivamente onerosa.
§ 3º As ações de reparação por danos coletivos que
tenham por objeto a responsabilização nos termos do
caput deste Art. podem ser exercidas coletivamente em
juízo, observado o disposto na legislação pertinente.
§ 4º Aquele que reparar o dano ao titular tem direito de
regresso contra os demais responsáveis, na medida de sua
participação no evento danoso.
Art. 43. Os agentes de tratamento só não serão responsa-
bilizados quando provarem:
I - Que não realizaram o tratamento de dados pessoais
que lhes é atribuído;
II - Que, embora tenham realizado o tratamento de dados
pessoais que lhes é atribuído, não houve violação à legis-
lação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular
dos dados ou de terceiros.
Art. 44. O tratamento de dados pessoais será irregular
quando deixar de observar a legislação ou quando não
fornecer a segurança que o titular dele pode esperar,
consideradas as circunstâncias relevantes, entre as quais:
I - O modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se
esperam;
336
336
III - as técnicas de tratamento de dados pessoais disponí-

veis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da
violação da segurança dos dados o controlador ou o ope-
rador que, ao deixar de adotar as medidas de segurança
previstas no Art. 46 desta Lei, der causa ao dano.
Art. 45. As hipóteses de violação do direito do titular no
âmbito das relações de consumo permanecem sujeitas às
regras de responsabilidade previstas na legislação perti-
nente. (BRASIL, 2018, on-line).
Neste trabalho utilizou-se a técnica de pesquisa bibliográfica,
fazendo-se uso da doutrina e da jurisprudência nacionais e interna-
cionais; a técnica da pesquisa documental, valendo-se de materiais
como artigos em meio eletrônico, reportagens e também a técnica de
pesquisa de campo, estudando-se - com base na observação prática -
questões importantes acerca de cláusulas contratuais no contexto da
Lei Geral de Proteção de Dados.
A pesquisa bibliográfica teve como base artigos técnicos cien-
tíficos, leis, instrumentos legais, livros e publicações digitais das áreas de
privacidade e proteção de dados, segurança da informação, metodologia
científica e governança. Utilizou-se como meio a base internacional de
publicação científica Scopus, sítio da Presidência da República que dispo-
nibiliza acesso às leis e instrumentos legais brasileiros e Google Scholar.
4. CONTEXTO DO SURGIMENTO DA LEI GERAL DE

PROTEÇÃO DE DADOS E A NECESSIDADE DA
ADEQUAÇÃO DAS ORGANIZAÇÕES
Embora as legislações que tratam sobre a proteção de dados
sejam relativamente novas, é importante dizer que a civilização sempre
337
337
se baseou em dados, os quais desde os primórdios são armazenados e

transmitidos de acordo com a possibilidade tecnológica da época. No
entanto, apesar de os dados sempre terem sido importantes para a
sociedade, nunca tiveram um papel de tamanho destaque quanto hoje.
Brad Smith, presidente da Microsoft e que atua também como
diretor jurídico desta gigante da tecnologia, expõe que que embora
muitos autores afirmem que os dados se tornaram o petróleo do
século XXI, tal afirmação não corresponde à verdade, pois no século
passado, carros, aviões e muitos trens eram movidos à óleo. Hoje, cada
aspecto da vida humana é movido por dados. Em razão disso, o autor
conclui que Quando se trata da civilização moderna, dados estão mais
para o ar que respiramos do que para o óleo que queimamos. (SMITH;
BROWNE, 2019).
Nesse sentido, Bioni (2018) salienta que No estágio atual, a
sociedade está encravada por uma forma de organização em que a
informação é o elemento nuclear para o desenvolvimento da econo-
mia, substituindo os recursos que outrora estruturavam as sociedades
agrícola, industrial e pós industrial.
Dentro desse contexto, as leis que regulamentam o tratamento
de dados pessoais adquiriram enorme relevância no mundo todo e tam-
bém no Brasil. A Lei Geral de Proteção de Dados (BRASIL, 2018) é uma lei
que cria requisitos para que seja realizado o tratamento de dados pesso-
ais, impondo às organizações a adoção de uma série de ações concretas.
É importante deixar evidente que o direito à proteção de dados
e o direito à privacidade são questões diversas. O direito à proteção de
dados pessoais está sendo tratado como um novo direito da personali-
dade, que acarreta inúmeras consequências, uma vez que os direitos da
personalidade são inalienáveis e intransmissíveis, não podendo sofrer
limitação voluntária. Tal direito está relacionado ao controle sobre os
dados pessoais.
338
338
O direito à privacidade, por sua vez, pode ser entendido como o

direito de ser deixado só, sem que haja interferências em sua vida priva-
da. O artigo denominado The Right to Privacy, que numa tradução livre
significa “O direito à Privacidade”, publicado por Samuel D. Warren e
Louis D. Brandeis, em 1890, na Harvard Law Review, é tido como marco
do surgimento do direito à privacidade no âmbito teórico-jurídico.
No artigo mencionado, os autores expõem a questão do right
to be let alone (ou seja, o direito de ser deixado só), no contexto das
constantes invasões da imprensa no âmbito da vida privada e da vida
doméstica, demonstrando ser necessária a proteção do direito à priva-
cidade. A publicação deste artigo impulsionou diversos debates sobre
a questão, culminando com a sua tutela legal (WARREN; BRANDEIS,
1890).
Inicialmente o direito à privacidade estava relacionado com a
defesa da propriedade. Nesse contexto, a proteção do domicílio ga-
nhou destaque, entendendo-se que seria o local no qual o sujeito esta-
ria protegido, tanto de terceiros quanto do próprio Estado. Ocorre que
com o passar do tempo as relações sociais se modificaram, de modo
que houve a necessidade de evolução do conceito. A privacidade, en-
tão, passou a ser compreendida para além do âmbito da propriedade,
inserindo-se de vez como um direito à personalidade.
De se dizer que tanto o direito à privacidade quanto o direito à
proteção de dados pessoais estão estampados na Constituição Federal,
no Art. 5º, inciso X e possuem status de direito fundamental, contudo,
somente no dia 10 de fevereiro de 2022 é que o Congresso Nacional
promulgou a Emenda Constitucional (EC) nº 115, que incluiu a proteção
de dados pessoais entre os direitos fundamentais do cidadão.
Pode-se dizer que a escalada da importância dos dados pesso-
ais e o consequente surgimento de legislações regulamentando o seu
tratamento, acarretou a necessidade de que se conciliasse o tratamen-
339
339
to realizado até então com as determinações legislativas impostas,

especialmente pela LGPD. Para isso, se faz necessária uma criteriosa
avaliação, implantado um Programa de Privacidade e Proteção de Da-
dos, que normalmente passa pelas etapas de preparação, organização,
implementação, governança e avaliação.
Além disso, a organização deve definir uma política de privaci-
dade e proteção de dados, de maneira a direcionar a implementação e
manutenção das práticas corporativas, que devem estar alinhadas com
os requisitos do negócio e com os princípios estabelecidos na LGPD.
Mas não é só: a organização precisa estar atenta à maneira como as
organizações com as quais compartilha dados pessoais os tratam.
O instrumento que irá ligar as pontas e regulamentar as ques-
tões relativas a esta incipiente matéria que diz respeito ao tratamento
de dados é antigo: o contrato.
4.1 A ADEQUAÇÃO DOS CONTRATOS COMO ETAPA

PARA ADERÊNCIA DA ORGANIZAÇÃO À LEI GERAL DE
PROTEÇÃO DE DADOS
Risco é definido pela norma ISO 31000 (ABNT, 2018) como

o “efeito da incerteza nos objetivos”, ou seja, é a probabilidade de um
evento acontecer, sendo ele uma ameaça quando negativo ou oportu-
nidade quando positivo. Nesse sentido, pode-se dizer que risco é algo
que está presente em praticamente todas as transações e abrange
uma série de variáveis. No que diz respeito à atividade de tratamento
de dados pessoais, não poderia ser diferente, ainda mais levando-se em
consideração que tal atividade envolve, por sua natureza, riscos.
Riscos dificilmente são eliminados, de forma que frequente-
mente são utilizados instrumentos para mitigá-los. Nesse contexto, o
estabelecimento de acordos, com o objetivo de definir regras claras no
que diz respeito ao tratamento de dados pessoais constitui uma maneira
340
340
eficiente para a mitigação dos riscos relacionados. O instrumento de va-

lor jurídico apto a determinar as condições acordadas é o contrato, que
é um acordo de vontades que possui a finalidade de gerar determinados
efeitos e tradicionalmente designa um instituto jurídico que engloba
uma série de relações interpessoais alçadas e configuradas à condição
de obrigação, que vinculam as partes envolvidas (DIAS, 2004).
Assim, através de cláusulas contratuais as partes ajustam a cria-
ção de um vínculo obrigacional, que determina que as partes se sujeitem
a realizar tudo aquilo que se comprometeram e o seu descumprimento
gera consequências, podendo ou não gerar o dever de indenizar.
Pode-se dizer que um contrato é a materialização de um ne-
gócio jurídico, ou seja, quando o ser humano usa de sua manifestação
de vontade com a intenção precípua de gerar efeitos jurídicos. Ao
interpretarmos ou elaborarmos um contrato que contenha normas
de proteção de dados, é imprescindível cumprir com as normas gerais
de contratos, sendo que as regras gerais do direito contratual são as
mesmas para todos os negócios jurídicos. (LIMA et al., 2021).
Conforme observa Adrianne Lima, a Lei Geral de Proteção de
Dados está demasiadamente ligada aos contratos, isso porque todas as
pessoas físicas ou jurídicas, que possuem contratos ligados às cláusulas
de proteção de dados pessoais de uma das partes precisarão alterá-los
conforme a LGPD, por exemplo, nos contratos de trabalho, nos con-
tratos entre fornecedores e todos os outros contratos que envolvam
tratamento de dados pessoais. (LIMA et al., 2021)
Nesse contexto é necessário que sejam redigidas cláusulas
adequadas a reger o tratamento de dados, de forma a garantir que
as obrigações ali previstas reflitam as exigências da legislação. Assim,
todos os contratos devem conter disposições que incorporem a LGPD,
pois caso contrário, corre-se o risco de infringir a legislação de prote-
ção de dados.
341
341
A LGPD, assim como a General Data Protection Regulation

(GDPR), prevê pesadas sanções administrativas, de natureza admoes-
tativa, pecuniária e restritiva de direitos aos que a descumprirem. Tais
multas estão previstas no Art. 52 da LGPD e poderão ser impostas por
qualquer infração cometida às determinações impostas pela Lei. Tais
sanções, que serão aplicadas pela ANPD, podem chegar a cinquenta
milhões de reais ou 2% do faturamento total da empresa.
4.2 FATORES IMPORTANTES A SEREM ANALISADOS PARA

REALIZAR A ADEQUAÇÃO DOS CONTRATOS
Como dito acima, é necessário que sejam redigidas cláusulas

adequadas a reger o tratamento de dados para garantir que as obriga-
ções de proteção de dados reflitam as exigências da legislação. Assim,
os contratos devem observar não só os elementos essenciais postos
na legislação civil como agente capaz, objeto lícito e forma prescrita ou
não proibida pela lei, mas também os elementos específicos postos pela
LGPD, tais como, bases legais, princípios e regras de responsabilidade.
Como mencionamos na seção 4.1, todos os contratos em
que ocorra o tratamento de dados pessoais devem ser adequados.
Contudo, deve-se atentar para o fato de que essa adequação não
será padrão: irá variar de acordo com a situação. Como bem observa
Damarys Montes (2021), cada empresa possui suas especificidades, a
depender do seu modelo de negócio, do mercado em que atua e do seu
relacionamento com os clientes e parceiros e que, em virtude disso, o
compartilhamento dos dados e a celebração de contratos pode ganhar
diferentes nuances.
Mas como saber quais cláusulas devemos inserir em um con-
trato de forma a regulamentar de maneira adequada o tratamento
de dados pessoais? Inicialmente deve-se avaliar se na relação jurídica
em questão, há, de fato, o tratamento de dados pessoais, pois em al-
342
342
gumas situações pode acontecer de não ocorrer tratamento de dados

pessoais. Por exemplo, em um contrato para a reforma do escritório
é muito provável que não ocorra o tratamento de dados pessoais (ex-
ceto, eventualmente, o nome das partes contratantes), de forma que
não se faz necessária a inclusão de cláusulas sobre proteção de dados
pessoais no contrato, que irá se ocupar somente com questões como o
objeto, forma de prestação dos serviços, prazo, pagamento etc.
Contudo, algumas situações são mais desafiadoras e algumas
vezes as partes contratantes possuem opiniões divergentes acerca da
existência ou não do tratamento de dados. Por exemplo, na prestação
de Serviços de Telefonia Fixa Comutada (STFC), que inclui ligações de
telefone fixo para telefone móvel, com fornecimento de faixas de ra-
mais, há o tratamento de dados pessoais? Nessa situação, entendemos
que há sim tratamento de dados pessoais, uma vez que a voz é consi-
derada um dado pessoal, sendo tratada através da transmissão pelos
circuitos, ligando a origem ao destino, de modo que há necessidade da
inclusão de cláusulas regulamentando a temática.
Superada a questão de existir ou não o tratamento de dados
pessoais, deve-se avaliar o contexto deste tratamento e é recomendá-
vel a elaboração de um inventário de dados, que irá servir de subsídio
para a elaboração das cláusulas de proteção de dados. Um dos temas
mais complexos para a criação das cláusulas contratuais adequadas é a
definição dos agentes de tratamento de dados. Qual o papel exercido
por cada parte contratante na relação estabelecida? Esta pergunta
precisa ser respondida logo após ser identificado que há o tratamento
de dados pessoais.
Entendido o acima, a partir daí, é de extrema relevância que as
cláusulas contemplem os vários deveres que as partes devem assumir,
como por exemplo, responsabilizar-se pela realização do tratamento
para propósitos legítimos, específicos, explícitos e informados ao ti-
343
343
tular; responsabilizar-se também pela compatibilidade do tratamento

com as finalidades informadas; realizar a gestão do consentimento,
caso esta seja a base legal escolhida; garantir que o tratamento seja
limitado às atividades necessárias ao atingimento das finalidades con-
tratadas; cooperar com a outra parte no cumprimento das obrigações
referentes ao exercício dos direitos dos titulares previstos na LGPD;
comunicar à outra parte sobre o resultado de auditoria realizada pela
ANPD, na medida em que esta diga respeito aos dados da outra parte,
dentre outros, a depender da situação em concreto.
Cláusulas regulamentando o acesso de colaboradores das par-
tes aos dados tratados, limitando-os aos necessários, determinações
de que tais colaboradores recebam treinamento adequado, bem como
que mantenham sigilo, são bem-vindas. Nesse sentido, é recomendável
a elaboração de um termo de confidencialidade, conhecido como
“NDA” ou “non disclosure agreement”, que é um acordo em que a parte
se compromete a não revelar determinadas informações a terceiros,
sem autorização da parte interessada.
Sugere-se também que sejam incluídas cláusulas regulamen-
tando a maneira como serão comunicados os incidentes de segurança,
uma vez que a LGPD determina que o controlador deverá comunicar
à autoridade nacional e ao titular, a ocorrência de incidente de segu-
rança o qual possa acarretar risco ou danos relevantes aos titulares. É
recomendável que a definição de incidente de segurança esteja posta
no contrato. A ANPD (2021b, on-line) definiu um incidente de seguran-
ça como qualquer evento adverso confirmado, relacionado à violação
na segurança de dados pessoais, tais como acesso não autorizado, aci-
dental ou ilícito que resulte na destruição, perda, alteração, vazamento
ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita,
os quais possam ocasionar risco para os direitos e liberdades do titular
dos dados pessoais.
344
344
Em algumas situações o prazo para a comunicação pode gerar

celeuma entre as partes, que podem divergir dos prazos estipulados
nas cláusulas contratuais, já que a LGPD determina apenas que tal
comunicação deve ocorrer em prazo “razoável”.
A ANPD (2021b, on-line), diante de tal situação, se manifestou
no sentido de que enquanto pendente a regulamentação, recomen-
da-se que após a ciência do evento adverso e havendo risco relevante,
a ANPD seja comunicada com a maior brevidade possível, sendo tal
considerado a título indicativo o prazo de 2 dias úteis, contados da data
do conhecimento do incidente.
Outro ponto a ser tratado contratualmente é a segurança dos
dados pessoais. É inegável sua necessidade, que poderá ser mais ou me-
nos detalhada, a depender do objeto do contrato, sendo imprescindível
que as partes adotem medidas de segurança técnicas e administrativas
adequadas a assegurar a proteção de dados (nos termos do Art. 46
da LGPD), garantindo um nível apropriado de segurança e mitigando
possíveis riscos.
A depender do tratamento de dados efetuado, deve-se avaliar
a necessidade de se inserir cláusulas dispondo acerca da transferência
internacional, assim consideradas as transferências dos dados pesso-
ais de uma das partes para um terceiro país. Desse modo, devem ser
redigidas cláusulas que estabeleçam condições e limites para tais ope-
rações, como, por exemplo, a necessidade de uma das partes notificar
a outra quando tiver intenção de realizar a transferência internacional,
bem como de obter autorização por escrito.
Importante ainda, que os contratos contenham cláusulas ou
cláusulas detalhando a maneira como deverá ser realizada a exclusão
dos dados pessoais após o tratamento ou após a vigência do contrato.
Outro ponto a ser abordado, diz respeito aos direitos dos titula-
res dos dados pessoais, destinatário principal da LGPD que, segundo a
345
345
legislação, devem ser atendidos pelo controlador, que será responsável

por decidir se, e como eventuais requisições deverão ser atendidas. Há
de se considerar ainda, a inclusão de cláusula explicitando a necessi-
dade de o operador informar ao controlador caso ocorra contato do
titular diretamente com o operador.
Diante do cenário descrito nesta seção, percebemos que a ade-
quação contratual deve seguir a estrutura abaixo, para que a aderência
à legislação se concretize e o titular de dados esteja protegido:
Figura 2 - Adequação Contratual.
5. CONCLUSÃO
Procurando responder aos problemas formulados, é nosso
entendimento que a adequação de todos os contratos em que ocorra o
tratamento de dados é algo que se impõe, em razão de toda a explanação
346
346
acima. A LGPD apenas positivou algo que, do ponto de vista prático, já

deveria estar sendo seguido por todos aqueles que tratam dados pes-
soais. Proteger o titular é o que buscou a lei, e a ela se aliam as cláusulas
contratuais de proteção de dados, que regulamentam e customizam o
tratamento que venha a ocorrer em cada caso concreto, convergindo
com as determinações da legislação de proteção de dados.
De tudo que se foi dito acima, fica claro que não se vê com bons
olhos a adoção de cláusulas contratuais genéricas, que se prestem a
abarcar diferentes situações fáticas. Em nosso entendimento, o alcan-
ce dessas cláusulas é restrito, e deixa a descoberto o titular de dados
e as partes contratantes, já que é a partir do objeto contratual que se
identifica as cláusulas que melhor se amoldam à realidade dos fatos
O estabelecimento de regras claras no que diz respeito ao
tratamento de dados pessoais constitui uma maneira eficiente para a
mitigação dos riscos relacionados e o instrumento de valor jurídico apto
a determinar as condições acordadas é o contrato, que possui o condão
de gerar determinados efeitos, que vinculam as partes envolvidas.
Cláusulas claras e detalhadas outorgam segurança jurídica aos
envolvidos, sendo também um instrumento de prestação de contas
para a sociedade em geral, demonstrando o nível de maturidade da or-
ganização, bem como a coerência dos agentes de tratamento de dados
e seu comprometimento no cumprimento da LGPD.
REFERÊNCIAS
ABNT. Associação Brasileira de Normas Técnicas. ABNT NBR ISO 31000:
2018 - Gestão de Riscos - Diretrizes. São Paulo, 2018.
ANPD. Autoridade Nacional de Proteção de Dados. Comunicação de
incidentes de segurança. 2021b. Disponível em: https://www.gov.br/anpd/pt-
br/assuntos/incidente-de-seguranca. Acesso em: 20 maio 2022.
ANPD. Autoridade Nacional de Proteção de Dados. Guia orientativo para
347
347
definições dos agentes de tratamento de dados pessoais e do encarregado.

Brasília, DF: ANPD, 2021a. Disponível em https://www.gov.br/anpd/pt-br/
assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-
guia-agentes-de-tratamento_final.pdf. Acesso em: 2 jun. 2022.
BIONI, Bruno Ricardo. Proteção de dados Pessoais: a função e os limites de
consentimento. São Paulo: Forense, 2018.
BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília,
DF, 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/
constituicao.htm. Acesso em: 21 abr.2022.
BRASIL. Lei no 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de
Dados Pessoais (LGPD). (Redação dada pela Lei nº 13.853, de 2019). Brasília,
DF, 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/L13709.htm. Acesso em: 21 maio 2022.
CASTELLS, M. A sociedade em rede. 18. ed. São Paulo: Paz e Terra, 2017.
DIAS, Jean Carlos. Direito Contratual no ambiente Virtual. 2. ed. Curitiba:
Juruá, 2004.
LIMA, Adriane et al. LGPD para contratos: adequando contratos e documentos
à Lei Geral de Proteção de Dados). São Paulo: Saraiva Jur., 2021.
MONTES, Damarys. Espécies Contratuais para adequar à LGPD - Pontos de
atenção! In: LIMA, Adriane et al. LGPD para contratos: adequando contratos
e documentos à Lei Geral de Proteção de Dados). São Paulo: Saraiva Jur, 2021.
SMITH, B.; BROWNE, C. A. Tools and Weapons: The Promise and the Peril of
the Digital Age. London: Hodder & Stoughton, 2019.
VIEIRA, T. M. O direito à privacidade na sociedade da informação: efetividade
desse direito fundamental diante dos avanços da tecnologia da informação.
Brasília, DF, 2007. 296 f. Dissertação (Mestrado em Direito, Estado e
Sociedade). Universidade de Brasília, Brasília, DF, 2007. Disponível em: https://
repositorio.unb.br/handle/10482/3358. Acesso em: 22 maio 2022.
WARREN, D.; BRANDEIS, Luis D. The Right to Privacy. Harvard Law
Review, v. 4, n. 5, p. 193-220, 1890. Disponível em: https://www.jstor.org/
stable/1321160?seq=3. Acesso em 2 jun. 2022.
348
348
SOBRE OS ORGANIZADORES E AUTORES
Gileno Gurjão Barreto
Formado em Direito pela Uniceub, pós-graduado e mestrando em Direito

Tributário Internacional, possui MBA em Administração de Empresas
pela FGV-SP. Ex-Conselheiro do Carf e da CSRF entre 2004 e 2014, atuou
em contencioso administrativo e judicial tributários e como consultor de
grandes empresas nacionais e multinacionais, acumulando uma experiência
profissional de 25 anos.
Possui, também, vasta experiência em trabalhos de planejamento tributá-
rio e de suporte jurídico-tributário para investidores multinacionais e em
empresas familiares, voltada para a sucessão familiar e para a gestão de
patrimônio. Atuou em processos de due diligence, em valuations, em fusões,
incorporações e cisões de grandes empresas, na elaboração e implementa-
ção de planos de reestruturação societária e no post-deal em processos de
integração (integration process).
Tem, ainda, experiência destacada em projetos de compliance como auditor
externo de grandes empresas nacionais e multinacionais, na redação de pro-
posições legislativas e atuação em consultoria tributária e de gestão para
órgãos governamentais (Government Services), estatais e paraestatais, tais
como autarquias (RFB), agências reguladoras (ANEEL, ANTT) e entidades
de classe (CNI, CNA, CNF).
350
350

REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ
DA LAI E LGPD
André Luiz Sucupira Antônio (org.)
Diretor Jurídico e de Governança e de Gestão, Encarregado pelo Tratamento

de Dados Pessoais no Serpro. É graduado em Direito pela Universidade Gama
Filho (2004); pós-graduado em Direito Constitucional pela Universidade
Cândido Mendes (2018) e em Direito Digital pelo Instituto New Law (2020).
Formação Executiva em Gerenciamento de Projetos pela FGV.
Possui certificado pela Exin em ISO 27001 Foundation; Privacy And Data
Protection Practitioner; Privacy And Data Protection Foundation e Data Pro-
tection Officer. Certificado pela ABNT em Lead Implementer para a Gestão
da Privacidade da Informação (Baseado na ABNT NBR ISO/IEC 27701:2019);
Certificação Profissional pelo Serpro- Encarregado de Dados (Serpro/Da-
tashield:2021).
Ingressou no Serpro em 2013 no cargo de analista com especialização em
Direito. Trabalhou como gestor do contencioso trabalhista dos estados do
Rio de Janeiro, Espírito Santo, Rio Grande do Sul, Paraná e Santa Catarina.
André Gustavo Bastos Lima (org.)
Analista do Serpro, atualmente exerce a função de Superintendente de priva-

cidade e proteção de dados na empresa, tem mais de 15 anos de experiência
em gestão. É professor de cursos de tecnologia da informação pela UCB,
doutorando em Educação pela UCB e mestre em Gestão da Tecnologia da
Informação e do Conhecimento. Possui certificação Lead Implementer da ISO
27.701, DPO e PMP.
351
351
Vladimir Fagundes
Analista de Governança de Dados no Serpro, Membro - Rede Acadêmica

Serpro; Rede de Privacidade Serpro e Rede de Inteligência Serpro, Instrutor
LGPD Educacional Serpro, Professor Universitário em Gestão de TI, Plane-
jamento Estratégico de TI, Arquitetura Corporativa, Doutorando em Infor-
mática pela UFRJ; Mestre em Engenharia de Sistemas e Computação pela
COPPE/UFRJ, Especialista em Gestão Pública pela UNB, Lead Implementer
da ABNT NBR ISO/IEC 27701:2019, Certificado em Encarregado de Dados e
Gestão de Dados.
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM

HISTÓRICA E EVOLUCIONISTA
Analista do Serpro, é advogado graduado em Direito e em Ciência da Com-

putação pela UniCarioca. Possui especialização em Redes de Computadores
(PUC-RJ) e Segurança da Informação (UFRJ). Certificado DataPrivacy Brasil,
DPO EXIN e Lead Implementer ABNT ISO 27701. Atuando há mais de 20 anos
em diversas entidades da Administração Pública, sempre na área de Tecnolo-
gia (Desenvolvimento, Bancos de Dados, Auditoria, Gestão).
352
352
DIREITOS DO TITULAR: ESTABELECENDO UMA

DADOS PESSOAIS
Marco Antônio
Bazzanella Fontoura
Analista do Serpro, tem pós-graduação em Gestão Pública pela UnB e em
Redes e Telecomunicações pela UNIDERP. Certificações Data Privacy Brasil
em PPD, ABNT Lead Implementer 27701, EXIN Data Protection Officer.
DIREITOS DO TITULAR: ESTABELECENDO UMA

DADOS PESSOAIS
Rosemberg Augusto
Pereira Rodrigues
Analista do Serpro, tem formação em Direito pelo Centro Universitário Pro-
cessus, Especialista em Desenvolvimento para Dispositivos Móveis pelo IESB
e em Ciência da Computação pela Universidade Federal do Tocantins. Iniciou
a carreira como programador de sistemas, ingressando no Serpro em 2007 na
área de negócio, atuando com processos de negócio, gestão de produtos, ges-
tor de projetos e análise de dados. Hodiernamente, trabalha com privacidade
e proteção de dados pessoais envolvendo adequações de contratos e análise
de tecnologias voltadas para computação em nuvem.
353
353
Daniel Cesar
No SERPRO desde 2005, analista na Superintendência de Privacidade e

Proteção de Dados Pessoais (SUPPD), tendo passado pela área de desenvolvi-
mento de soluções, onde atuou como analista de sistemas, gerente de divisão
e de departamento; Mestrando em Direito na Sociedade da Informação pela
FMU; Certificado CIPM e CDPO/BR pela IAPP, DPO pela EXIN, Encarregado
de Dados e Gestor de Dados pela SERPRO EDUCA, Certificado Implementa-
dor e Auditor Líder de Segurança da Informação e de Privacidade de Dados
Pessoais ISO/IEC 27001 e ISO/IEC 27701 pela Tradius; Bacharel em Ciências
da Computação pela PUC/SP e Direito pela FMU; Pós graduado em Gestão
Empresarial; MBA em Gestão de Projetos com ênfase no PMI; Advogado.
Ednaldo Lúcio dos Santos Júnior
Analista no Serpro, graduado em Tecnologia de Processamento de Dados;

Pós-graduado em engenharia de software pela Universidade Federal do Rio
Grande do Sul; Bacharel em Direito e Pós-graduando em Compliance; Possui
de Curso de Proteção de dados pela Legal Thics Compliance – LEC (2018);
Consultor em Compliance, Privacidade e Proteção de Dados Pessoais (Curso
General Data Protection Regulation e Lei de Proteção de Dados Pessoais: Im-
plementando a conformidade em empresas e órgãos públicos), Pelo Instituto
de Perícias Digitais – IPDIG (2019); Curso Privacy and Data Protection Foun-
dation - IT Partner Treinamento e Consultoria (2019); Certificado pela ABNT
em Lead Implementer para a Gestão da Privacidade da Informação (Baseado
na ABNT NBR ISO/IEC 27701:2019).
354
354
Márcia Cristina de Castro
Da carreira de Técnico do Serpro, atua na Superintendência de Privacidade

e Proteção de Dados na empresa. Certificada em ABNT Lead Implementer
27701; Formada em infraestrutura de Redes de Computadores em 2008
pelo CENTRO UNIVERSITARIO CARIOCA – UNICARIOCA. Pós Graduada em
Gestão de segurança da Informação em 2019 pela UNISUL - UNIVERSIDADE
SUL SANTA CATARINA, Cursos na área de Cybersecurity e Data Protection
Officer. Pós Graduação - especialista em nível de pós-graduação na proteção
digital de negócios, tecnologia, gestão e segurança de dados pela FIA – SAO
PAULO ESCOLA DE NEGOCIOS, Amante e estudante de Idiomas – Inglês/
italiano/alemão/espanhol.
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA

DE DADOS
Analista no Serpro, é especialista em Segurança da Informação, Privacidade e

Proteção de Dados. Profissional com mais de 20 anos de experiência. Possui
graduação em TI e pós-graduação em Gestão Pública. Certificações: Lead
Implementer ABNT NBR ISO/IEC 27701; Lead Auditor BS ISO/IEC 27001; IT
Disaster Recovery Analyst (ITDRA); Encarregado de Dados e Gestor de Da-
dos (Serpro/Datashield) e Security, Compliance, and Identity Fundamentals
(Microsoft). Membro da Comissão de Estudo de Segurança da Informação,
Segurança Cibernética e Proteção da Privacidade da ABNT (CE-021:004.027).
No Serpro, atua principalmente na gestão de incidentes com violação de da-
dos pessoais, na gestão de riscos e conformidade à privacidade e proteção de
dados pessoais e na elaboração/revisão de normativos.
355
355
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA

DE DADOS
Analista no Serpro, possui Graduação em Bacharelado em Ciências da Com-

putação pela Universidade Católica de Brasília - DF (2003); Pós Graduação em
Melhoria de Processo de Software pela Universidade Federal de Lavras - MG
(2005); Mestrado em Gestão do Conhecimento e da Tecnologia da Informa-
ção pela Universidade Católica de Brasília - DF (2011); Tem experiência na
gestão de processo de desenvolvimento (CMMI e métodos ágeis), na gestão
de escritórios de controle e acompanhamento do desenvolvimento, na gestão
e condução de avaliações de conformidade organizacional e na condução
de projetos estratégicos. Especialista em privacidade e proteção de dados
pessoais (PPD), com foco de atuação na gestão de riscos e de conformidade,
apoiando times quanto a adequação dos processos/soluções à PPD.
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO

DE DADOS: SIMBIOSE INDISPENSÁVEL PARA UMA
IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
Analista no Serpro, formado em Tecnologia em Processamento de Dados, pós-

-graduado em Segurança da Internet pela UNIRIO e MBA Master in Project Ma-
nagement pela UFRJ. Certificado como PMP pelo Project Management Institute
- PMI, desde 2004, com experiência em Gerenciamento de Projetos, Programas
e Portfólios e ainda ABNT Lead Implementer 27701. Aprovado no processo
seletivo de Líderes da Transformação Digital 2020 do Ministério da Economia
/ Secretaria de Governo Digital. Foi professor docente na Universidade Católica
de Brasília. Atuando em: educação, comercial, consultoria em privacidade e
proteção de dados pessoais; segurança da informação; governança; gestão de
projetos; gestão de processos, gestão de produto; transformação digital.
356
356
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO

DE DADOS: SIMBIOSE INDISPENSÁVEL PARA UMA
IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
Paulo Roberto Correa Leão
Assessor da Diretoria do Serpro, Doutor em Educação pela Universidade Católi-

ca de Brasília (UCB - 2020). Mestre em Gestão do Conhecimento e Tecnologia de
Informação (UCB - 2004) e em Aplicações Militares pela Escola de Aperfeiçoa-
mento de Oficiais (ESAO/EB: 1988). Pós-graduação Lato-Sensu em Supervisão
Escolar (UFRJ), Análise de Sistemas (CEP) e Gestão Estratégica da Informação
(FGV). Graduado pela Academia Militar das Agulhas Negras (AMAN/EB:1977).
Certificado em Encarregado de Dados/DPO (Serpro/Datashield:2021), Gestor
de Dados/DPO (Serpro/Datashield:2021) e Lead Implementer para a Gestão
da Privacidade da Informação, Baseado na ABNT NBR ISO/ IEC 27701:2019
(ABNT:2020). Outras especializações: Gerência Pública com Qualidade, Pla-
nejamento Estratégico e Cenários Prospectivos, Aprendizagem Cooperativa e
Tecnologia Educacional, entre outros.
TRANSPARÊNCIA NA IMPLEMENTAÇÃO DE INTELIGÊNCIA

ARTIFICIAL EM ORGANIZAÇÕES
Aline Macohin
Analista no Serpro, doutoranda em Direito pela UFPR. Mestre em Engenharia

de Sistemas Computacionais pela UTFPR. Advogada. Membro da Comissão
de Direito Digital e Proteção de Dados da OAB/PR. Pesquisadora no Law-
gorithm. Professora de pós-graduação na PUC PR. Membro suplente Red
Iberoamericana de Universidades e Institutos con investigación en Derecho e
Informática (Red CIIDDI).
357
357
TRANSPARÊNCIA NA IMPLEMENTAÇÃO DE INTELIGÊNCIA

ARTIFICIAL EM ORGANIZAÇÕES
Juliano Souza de
Albuquerque Maranhão
Juliano Maranhão é Professor da Faculdade de Direito da USP. Membro do
Comitê Diretor da Associação Internacional de Inteligência Artificial e Direito.
Pesquisador Senior da Fundação Alexander von Humboldt. Pesquisador Asso-
ciado do Center for Artificial Intelligence da USP-IBM e do Centro de Pesquisa
Aplicada em Inteligência Artificial Recriando Ambientes (CPA IARA). Diretor
do Instituto Lawgorithm de Pesquisa em Inteligência Artificial. Sócio de Opice
Blum Advogados.
Analista no SERPRO desde 2019, arquiteto de software no SERPRO desde

2005; analista de sistemas pós-graduado em engenharia de software pela
Universidade Federal do Rio Grande do Sul e pós-graduado em Direito do
Uso e Proteção de Dados Pessoais pela PUC-MG; ABNT Leader Implementer
27701; é um dos criadores do GDC (Guia de Desenvolvimento Confiável) usado
nas soluções digitais do SERPRO; palestrante regular nos temas LGPD, PPD
(privacidade e proteção de dados) e design de código; conteudista e instrutor
de cursos em engenharia e qualidade de software; instrutor dos cursos LGPD
educacional do SERPRO e de oficinas práticas sobre LGPD e PPD.
358
358
GESTÃO DE CONTRATOS: FORTALECER OS ELOS

DO TRATAMENTO DE DADOS
Analista no Serpro, graduada em Ciências Jurídicas e Sociais – Direito, pela PU-

CRS, possui pós-graduação em Direito Público e Direito Digital. Ao longo de 15
atuando como advogada, já trabalhou em alguns escritórios de advocacia da
capital do RS e como analista da Procuradoria Geral do Estado.
Desde 2012, faz parte do time jurídico do Serviço Federal de Processamento
de Dados (SERPRO) e atualmente está lotada no Departamento Jurídico de
Privacidade, Proteção de Dados e Propriedade Intelectual, além de atuar
como DPO local. Possui diversas certificações na área de proteção de dados
e privacidade, como: P01C – Encarregado de Dados, Serpro/DataShield e ISO
27701 – Gestão da Privacidade da Informação, da ABNT. Faz parte da Comis-
são Especial da OAB de Proteção de Dados e Privacidade do Rio Grande do Sul
e atua no grupo de trabalho de Inteligência Artificial desta comissão.
GESTÃO DE CONTRATOS: FORTALECER OS ELOS

DO TRATAMENTO DE DADOS
Analista no Serpro, formado há mais de 20 anos em Direito pela Pontifícia

Universidade Católica do Rio Grande do Sul (PUCRS), é pós-graduado em
Processo Civil pela Universidade Federal do Rio Grande do Sul (UFRGS) e
certificado pela ABNT - ISO 27701 (Sistema de Gestão da Privacidade da
Informação – SGPI). Desde 2007, é advogado da empresa pública Serviço
Federal de Processamento de Dados (Serpro), estando atualmente lotado
no departamento jurídico ligado ao direito digital. Desde o ano de 2021 é
membro da Comissão Especial de Proteção de Dados e Privacidade da OAB
do Rio Grande do Sul.
359
359

Governança em Privacidade e Proteção de Dados

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Governança em Privacidade e Proteção de Dados

Enviado por

Direitos autorais:

Formatos disponíveis

Gileno Gurjão Barreto

(DIRETOR PRESIDENTE DO SERPRO)

André Luiz Sucupira Antonio

André Gustavo Bastos Lima

Éverson Ciriaco Brenner Silva

DADOS INTERNACIONAIS DE CATALOGAÇÃO NA PUBLICAÇÃO (CIP)

G721 Governança em privacidade e proteção de dados: uma visão integrada

1. Direito à privacidade. 2. Proteção de dados. I. Barreto, Gileno Gurjão

CDD 342.0858 (22.ed)

A seleção de textos reunidos em “Governança em privacidade e

André Luiz Sucupira Antônio

1. IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E

2. PRIVACIDADE E PROTEÇÃO DE DADOS: UMA

3. DIREITOS DO TITULAR: ESTABELECENDO UMA

4. UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS

6. GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA

7. SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E

9. MAPEAMENTO DOS TRATAMENTOS DE DADOS

10. GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO

11. SOBRE OS ORGANIZADORES E AUTORES. . . . . . . . 349

André Gustavo Bastos Lima

Abstract: The growing use of personal data’s, especially motivated by digital

importantes modificações no cenário brasileiro de privacidade e pro-

A necessidade de organizar todos os componentes com objeti-

Alguns fatores devem ser levados em consideração para que

Este trabalho tem como objetivo descrever as etapas de im-

a) Apresentar abordagens de sistematização das atividades

A necessidade de construir um modelo de Governança em

esteja integrado a sua estrutura geral de governança e

Contudo, mesmo com a proposição da legislação apontando

1.4 ORGANIZAÇÃO DO TRABALHO

Este trabalho está organizado em cinco seções. A primeira, in-

A seção três descreve o referencial metodológico, detalhando

A LGPD destaca, em seu Art. 50 inciso I, que as organizações devem

Figura 1 - Governança em Privacidade.

Fonte: Elaborada pelos autores.

Os requisitos mínimos propostos na LGPD (BRASIL, 2018)

III) Implementação - d) estabeleça políticas e salvaguardas

2.2 SISTEMA DE GESTÃO DE PRIVACIDADE DA

A NBR ISO/IEC 27701 (ABNT, 2019) materializa a necessidade

(DP), incluindo a condição de controlador conjunto de

• avaliação de riscos de segurança da informa-

VII) Melhoria – Busca atingir um ciclo virtuoso do estabeleci-

2.3 SISTEMA DE GESTÃO DE PRIVACIDADE E PROTEÇÃO DE

A necessidade de se constituir um sistema de gestão da privaci-

I) Fase 1: Preparação da privacidade e proteção de dados;

Fase 1: Preparação da privacidade e proteção de dados

Tem como objetivo geral preparar a organização para a pri-

cionados à privacidade e proteção de dados; e (iii) estabelecer um plano

Fase 2: Organização da privacidade e proteção de dados

Esta fase tem como objetivo estabelecer as estruturas e meca-

IV) Manter o compromisso de privacidade e proteção de

Fase 3: Implementação da privacidade e proteção de dados

O objetivo principal desta terceira fase é desenvolver e imple-

VII) Implementar segurança de dados.

Fase 4: Governança da privacidade e proteção de dados

Nesta fase 4 têm-se como objetivo geral estabelecer os meca-

VII) Estabelecer e manter um plano de resposta à violação de

Fase 5: Avaliação e melhoria da privacidade e proteção de dados

O objetivo geral desta fase consiste em avaliar e melhorar os

2.4 FRAMEWORK DE PRIVACIDADE DO NIST

Nas últimas décadas as soluções digitais impulsionaram inova-