ASPECTOS INTRODUTÓRIOS

SOBRE A PROTEÇÃO DE DADOS

NESSE CAPÍTULO

A Evolução Histórica da Proteção de Dados no Brasil

A Importância da LGPD para o Brasil
A Influência do General Data Protection Regulation (GDPR)
para a Legislação Brasileiral

A EVOLUÇÃO HISTÓRICA DA PROTEÇÃO DE DADOS NO

REFERÊNCIAS
"Art. 5º. Todos são iguais perante a lei, sem distinção de qualquer
natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no
País a inviolabilidade do direito à vida, à liberdade, à igualdade, à BRASIL
segurança e à propriedade, nos termos seguintes: (...) X - são invioláveis
a intimidade, a vida privada, a honra e a imagem das pessoas,
assegurado o direito a indenização pelo dano material ou moral
decorrente de sua violação; (...)."
CONSTITUIÇÃO FEDERAL DE 1988
"Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá
acesso às informações existentes em cadastros, fichas, registros e
A Constituição Federal de 1988 elenca, dentre os direitos fundamentais do indivíduo a
dados pessoais e de consumo arquivados sobre ele, bem como sobre as inviolabilidade de sua intimidade, vida privada, honra e imagem, assegurando, inclusive, o direito
suas respectivas fontes.
§ 1° - Os cadastros e dados de consumidores devem ser objetivos, à indenização pelos danos decorrentes de sua violação.
claros, verdadeiros e em linguagem de fácil compreensão, não podendo
conter informações negativas referentes a período superior a cinco
Vide art. 5º, X, da CF/88.
anos.
§ 2º - A abertura de cadastro, ficha, registro e dados pessoais e de
consumo deverá ser comunicada por escrito ao consumidor, quando
CÓDIGO DE DEFESA DO CONSUMIDOR
não solicitada por ele.
§ 3º - O consumidor, sempre que encontrar inexatidão nos seus dados e
cadastros, poderá exigir sua imediata correção, devendo o arquivista,
O Código de Defesa do Consumidor (Lei nº 8.078/1990) regula a criação e a manutenção das
no prazo de cinco dias úteis, comunicar a alteração aos eventuais bases de dados dos consumidores dentro das relações de consumo, estipulando a
destinatários das informações incorretas.
§ 4º - Os bancos de dados e cadastros relativos a consumidores, os obrigatoriedade de que os cadastros e dados dos consumidores sejam objetivos, claros,
serviços de proteção ao crédito e congêneres são considerados
entidades de caráter público.
verdadeiros e em linguagem de fácil compreensão, sendo que a abertura de cadastro, ficha ou
§ 5º - Consumada a prescrição relativa à cobrança de débitos do registro de seus dados pessoais, quando não solicitada pelo próprio consumidor, deverá ser
consumidor, não serão fornecidas, pelos respectivos Sistemas de
Proteção ao Crédito, quaisquer informações que possam impedir ou comunicada a este por escrito. Ademais, o CDC ainda prevê expressamente alguns direitos aos
dificultar novo acesso ao crédito junto aos fornecedores.
§ 6º - Todas as informações de que trata o caput deste artigo devem consumidores, como, por exemplo, o direito de acesso às informações existentes a seu respeito e
ser disponibilizadas em formatos acessíveis, inclusive para a pessoa
com deficiência, mediante solicitação do consumidor."
suas respectivas fontes, bem como a correção dos dados inexatos.
Vide art. 43 do CDC.
"Art. 11. Com exceção dos casos previstos em lei, os direitos da
personalidade são intransmissíveis e irrenunciáveis, não podendo o seu
exercício sofrer limitação voluntária."
"Art. 12. Pode-se exigir que cesse a ameaça, ou a lesão, a direito da CÓDIGO CIVIL DE 2002
personalidade, e reclamar perdas e danos, sem prejuízo de outras
sanções previstas em lei. O Código Civil de 2002 também tratou do assunto, mesmo que indiretamente, ao prever os
Parágrafo único. Em se tratando de morto, terá legitimação para
requerer a medida prevista neste artigo o cônjuge sobrevivente, ou direitos da personalidade como direitos intransferíveis e irrenunciáveis, dentre os quais está o
qualquer parente em linha reta, ou colateral até o quarto grau."
"Art. 13. Salvo por exigência médica, é defeso o ato de disposição do
direito à privacidade e à intimidade. Vide arts. 11 a 21 do Código Civil.
próprio corpo, quando importar diminuição permanente da integridade
física, ou contrariar os bons costumes.
Parágrafo único. O ato previsto neste artigo será admitido para fins de LEI DE ACESSO À INFORMAÇÃO
transplante, na forma estabelecida em lei especial."
"Art. 14. É válida, com objetivo científico, ou altruístico, a disposição A Lei de Acesso à Informação visa regular a prestação de informações pela Administração Pública
gratuita do próprio corpo, no todo ou em parte, para depois da morte.
Parágrafo único. O ato de disposição pode ser livremente revogado a Direta e Indireta, no que concerne ao cumprimento do direito à informação garantido nos arts.
qualquer tempo."
"Art. 15. Ninguém pode ser constrangido a submeter-se, com risco de
5º, XXXIII; 37, § 3º, II; e 216, § 2º, todos da Constituição Federal.
vida, a tratamento médico ou a intervenção cirúrgica."
"Art. 16. Toda pessoa tem direito ao nome, nele compreendidos o
Para isso, a Lei prescreve que o tratamento das informações pessoais deve ser feito de forma
prenome e o sobrenome." transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como
"Art. 17. O nome da pessoa não pode ser empregado por outrem em
publicações ou representações que a exponham ao desprezo público, às liberdades e garantias individuais, restringindo seu acesso ao titular e aos agentes públicos
ainda quando não haja intenção difamatória."
"Art. 18. Sem autorização, não se pode usar o nome alheio em
legalmente autorizados, independentemente de classificação de sigilo, só podendo ser divulgadas
propaganda comercial." ou acessadas por terceiros se houver consentimento expresso do titular ou previsão legal para
"Art. 19. O pseudônimo adotado para atividades lícitas goza da
proteção que se dá ao nome." tanto, responsabilizando-se aquele que obtiver acesso às informações por seu uso indevido.
"Art. 20. Salvo se autorizadas, ou se necessárias à administração da
justiça ou à manutenção da ordem pública, a divulgação de escritos, a
A Lei ainda prevê as hipóteses em que o consentimento do titular para divulgação ou acesso às
transmissão da palavra, ou a publicação, a exposição ou a utilização da informações pessoais por terceiro será dispensado, como quando as informações forem
imagem de uma pessoa poderão ser proibidas, a seu requerimento e
sem prejuízo da indenização que couber, se lhe atingirem a honra, a necessárias à prevenção e diagnóstico médico; à realização de estatísticas e pesquisas científicas
boa fama ou a respeitabilidade, ou se se destinarem a fins comerciais.
Parágrafo único. Em se tratando de morto ou de ausente, são partes
de evidente interesse público ou geral (sendo vedada, nesse caso, a identificação da pessoa a que
legítimas para requerer essa proteção o cônjuge, os ascendentes ou os as informações se referirem); ao cumprimento de ordem judicial; à defesa de direitos humanos;
descendentes."
"Art. 21. A vida privada da pessoa natural é inviolável, e o juiz, a ou à proteção do interesse público e geral preponderante.
requerimento do interessado, adotará as providências necessárias para
impedir ou fazer cessar ato contrário a esta norma." Por fim, dispõe a Lei que a restrição de acesso à informação relativa à vida privada, honra e
imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de
irregularidades em que o titular das informações estiver envolvido, bem como em ações voltadas
para a recuperação de fatos históricos de maior relevância.
Vide art. 31 da Lei nº 12.527/2011.
MARCO CIVIL DA INTERNET
O Marco Civil da Internet (Lei nº 12.965/2014) e seu Decreto Regulamentador (Decreto nº
8.771/2016) estabelece princípios, garantias, direitos e deveres para o uso da Internet no
Brasil. Dentre os princípios que regem a disciplina do uso da internet, está a proteção dos
dados pessoais, na forma da lei.
Para tanto, a Lei estabelece, como direitos dos usuários: inviolabilidade da intimidade e da vida
privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;
inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial; a
inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;
não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de
acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou
nas hipóteses previstas em lei; informações claras e completas sobre coleta, uso,
armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser
utilizados para finalidades que justifiquem sua coleta, não sejam vedadas pela legislação e
estejam especificadas nos contratos de prestação de serviços ou em termos de uso de
aplicações de internet; consentimento expresso sobre coleta, uso, armazenamento e
tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas
contratuais; exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação
de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as
hipóteses de guarda obrigatória de registros previstas nesta Lei; publicidade e clareza de
eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet.
Vide art. 7º da Lei nº 12.965/2014.
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Finalmente, em 14 de agosto de 2018, foi promulgada a Lei Geral de Proteção de Dados
Pessoais – Lei nº 13.709/2018, a qual dispõe especificamente acerca do tratamento de dados
pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito
público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de
privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Note-se que a intenção do legislador foi deixar claro que a Lei regula o tratamento de dados
pessoais tanto online quanto offline, diferentemente do Marco Civil da Internet, que, como o
próprio nome indica, regula apenas e exclusivamente os dados pessoais que trafegam na
Internet (online).
Inicialmente, ao ser promulgada, a LGPD possuía a previsão de início de vigência após 18
(dezoito) meses de sua publicação oficial, o que se daria em fevereiro de 2020, porém, tão logo,
a Medida Provisória nº 869, de 27 de dezembro de 2018, estabeleceu que a vigência dos
artigos relativos à criação da Autoridade Nacional de Proteção de Dados (ANPD) e do
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade se daria em 28 de
dezembro de 2018, enquanto os demais dispositivos entraram em vigor 24 (vinte e quatro)
meses após a data de sua publicação, o que se daria em agosto de 2020. Essa Medida
Provisória foi convertida na Lei nº 13.853, de 8 de julho de 2019.
Porém, em 10 de junho de 2020, em razão da pandemia causada pela COVID-19, fora
promulgada a Lei nº 14.010/20, que, dentre outros assuntos, manteve o início da vigência dos
demais artigos da LGPD para agosto de 2020, postergando o início da incidência das sanções
administrativas para 1º de agosto de 2021. Não obstante, também em razão da COVID-19, fora
promulgada a Medida Provisória nº 959/2020, que alterava a data de início de vigência dos
dispositivos remanescentes da LGPD para o dia 03 de maio de 2021. No entanto, tais prazos
foram considerados prejudicados pelo Senado Federal, sendo que a vigência da LGPD ficou
condicionada à sanção ou veto do Presidente da República em relação aos demais dispositivos
da MP nº 959/2020, o que veio a ocorrer somente em 17 de setembro de 2020, prevalecendo,
como data de início de vigência da LGPD, o dia 18 de setembro de 2020, com o início da
incidência das penalidades previstas no art. 52 da LGPD para o dia 1º de agosto de 2021.
Vide arts. 1º e 65 da LGPD.
A IMPORTÂNCIA DA LGPD PARA O BRASIL
Como bem ressalta Felipe Soares em sua obra “Lei Geral de Proteção de Dados Pessoais
(LGPD): Da Privacidade no Brasil às Penalidades de Descumprimento da Lei”, a proteção de
dados pessoais é um tema sensível e de grande relevância para todas as empresas e cidadãos
brasileiros, seja em razão de aspectos econômicos, como, por exemplo, o desejo do Brasil em
ingressar na OCDE – Organização para a Cooperação e Desenvolvimento Econômico, ou em
razão de se ter garantido o direito à privacidade e proteção de dados pessoais dos cidadãos,
que, dessa forma, passam a ter mais confiança sobre a coleta e uso de seus dados pessoais (1).
Como dito, o principal interesse do Brasil na edição e promulgação da Lei Geral de Proteção de
Dados Pessoais é o de integrar a OCDE – Organização para a Cooperação e Desenvolvimento
Econômico e, para que isto ocorra, existe a exigência acerca da existência de uma legislação em
plena vigência que trata sobre a proteção de dados pessoais.
Outro fator de extrema relevância é o fato de que a Europa já possui vigorando a sua legislação
sobre a proteção de dados pessoais, conhecida como “General Data Protection Regulation”
(GDPR), que, sem sombra de dúvida, impacta nos negócios das organizações brasileiras, já que
as empresas nacionais que fazem negócios com a Europa precisarão de uma política de
compliance de privacidade e proteção de dados para preservar tais relações comerciais.
REFERÊNCIAS
"Art. 31. O tratamento das informações pessoais deve ser feito de
forma transparente e com respeito à intimidade, vida privada,
honra e imagem das pessoas, bem como às liberdades e garantias
individuais.
§ 1º - As informações pessoais, a que se refere este artigo, relativas
à intimidade, vida privada, honra e imagem:
I - terão seu acesso restrito, independentemente de classificação
de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua
data de produção, a agentes públicos legalmente autorizados e à
pessoa a que elas se referirem; e
II - poderão ter autorizada sua divulgação ou acesso por terceiros
diante de previsão legal ou consentimento expresso da pessoa a
que elas se referirem.
§ 2º - Aquele que obtiver acesso às informações de que trata este
artigo será responsabilizado por seu uso indevido.
§ 3º - O consentimento referido no inciso II do § 1º não será
exigido quando as informações forem necessárias:
I - à prevenção e diagnóstico médico, quando a pessoa estiver física
ou legalmente incapaz, e para utilização única e exclusivamente
para o tratamento médico;
II - à realização de estatísticas e pesquisas científicas de evidente
interesse público ou geral, previstos em lei, sendo vedada a
identificação da pessoa a que as informações se referirem;
III - ao cumprimento de ordem judicial;
IV - à defesa de direitos humanos; ou
V - à proteção do interesse público e geral preponderante.
§ 4º - A restrição de acesso à informação relativa à vida privada,
honra e imagem de pessoa não poderá ser invocada com o intuito
de prejudicar processo de apuração de irregularidades em que o
titular das informações estiver envolvido, bem como em ações
voltadas para a recuperação de fatos históricos de maior relevância.
§ 5º Regulamento disporá sobre os procedimentos para tratamento
de informação pessoal."
"Art. 7º. O acesso à internet é essencial ao exercício da cidadania, e
ao usuário são assegurados os seguintes direitos:
I - inviolabilidade da intimidade e da vida privada, sua proteção e
indenização pelo dano material ou moral decorrente de sua
violação;
II - inviolabilidade e sigilo do fluxo de suas comunicações pela
internet, salvo por ordem judicial, na forma da lei;
III - inviolabilidade e sigilo de suas comunicações privadas
armazenadas, salvo por ordem judicial;
IV - não suspensão da conexão à internet, salvo por débito
diretamente decorrente de sua utilização;
V - manutenção da qualidade contratada da conexão à internet;
VI - informações claras e completas constantes dos contratos de
prestação de serviços, com detalhamento sobre o regime de
proteção aos registros de conexão e aos registros de acesso a
aplicações de internet, bem como sobre práticas de gerenciamento
da rede que possam afetar sua qualidade;
VII - não fornecimento a terceiros de seus dados pessoais, inclusive
registros de conexão, e de acesso a aplicações de internet, salvo
mediante consentimento livre, expresso e informado ou nas
hipóteses previstas em lei;
VIII - informações claras e completas sobre coleta, uso,
armazenamento, tratamento e proteção de seus dados pessoais,
que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou
em termos de uso de aplicações de internet;
IX - consentimento expresso sobre coleta, uso, armazenamento e
tratamento de dados pessoais, que deverá ocorrer de forma
destacada das demais cláusulas contratuais;
X - exclusão definitiva dos dados pessoais que tiver fornecido a
determinada aplicação de internet, a seu requerimento, ao término
da relação entre as partes, ressalvadas as hipóteses de guarda
obrigatória de registros previstas nesta Lei;
XI - publicidade e clareza de eventuais políticas de uso dos
provedores de conexão à internet e de aplicações de internet;
XII - acessibilidade, consideradas as características físico-motoras,
perceptivas, sensoriais, intelectuais e mentais do usuário, nos
termos da lei; e
XIII - aplicação das normas de proteção e defesa do consumidor
nas relações de consumo realizadas na internet."
"Art. 1º. Esta Lei dispõe sobre o tratamento de dados pessoais,
inclusive nos meios digitais, por pessoa natural ou por pessoa
jurídica de direito público ou privado, com o objetivo de proteger
os direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de
interesse nacional e devem ser observadas pela União, Estados,
Distrito Federal e Municípios."
"Art. 65. Esta Lei entra em vigor: (Redação dada pela Lei nº 13.853,
de 2019)
I - dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C,
55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B;
e (Incluído pela Lei nº 13.853, de 2019)
I-A – dia 1º de agosto de 2021, quanto aos arts. 52, 53 e 54;
(Incluído pela Lei nº 14.010, de 2020)
II - 24 (vinte e quatro) meses após a data de sua publicação, quanto
aos demais artigos. (Incluído pela Lei nº 13.853, de 2019)"
NOTAS
1 "As Diretrizes da OCDE para a Proteção da Privacidade e dos
Fluxos Transfronteiriços de Dados Pessoais. Disponível em:
<http://www.oecd.org/sti/ieconomy/15590254.pdf>.

NOTAS
2 CARDOSO, Loni Melillo. LGPD: inspiração, vigência e o desafio
da eficiência da nova lei. Disponível em:
<https://www.conjur.com.br/2020-out-06/loni-cardoso-
inspiracao-vigencia-desafio-eficiencia-lgpd>.
3 MACHADO, José Mauro Decoussau; PARANHOS, Mario Cosac
Oliveira; SANTOS, Matheus Chucri. LGPD e GDPR: Uma Análise
Comparativa entre as Legislações. Disponível em:
<http://www.pinheironeto.com.br/publicacoes/lgpd-e-gdpr-
uma-analise-comparativa-entre-as-legislacoes>.
É fato que a Europa assumiu protagonismo em matéria de proteção de dados e estabeleceu
standards a serem observados em termos mundiais sob as condições estabelecidas no
Regulamento, notadamente no que se refere ao caráter extraterritorial da legislação e à
exigência de elevado nível de segurança para a efetivação de transferência internacional de
dados, de modo que, sem referida adequação, não será possível a recepção de dados
provenientes dos 28 Estados-Membros da União Europeia e de mais três (Islândia, Noruega
e Liechtenstein), que, juntos, formam a EEA – European Economic Area, ou Espaço
Econômico Europeu.
Sob essa perspectiva, conclui-se que a falta de adequação e compliance é capaz de
atravancar negociações comerciais de toda sorte, o que representa, indubitavelmente, perda
da chance e frustração quanto à ultimação dos negócios, essa razoavelmente aferível em
termos patrimoniais.
Vejamos, ainda, que os cidadãos também sofrerão os impactos positivos da Lei Geral de
Proteção de Dados, pois estes terão resguardado o direito à privacidade e à
autodeterminação informativa, que pode ser compreendida como o direito do cidadão em
controlar o acesso a seus dados pessoais, mediante as inúmeras possibilidades de utilização
dos mesmos, principalmente em meios tecnológicos.
Indubitável, portanto, a importância da Lei Geral de Proteção de Dados no que se refere à
unificação das regras sobre a questão de privacidade e proteção dos dados pessoais,
garantindo-se aos titulares dos dados e aos agentes de tratamento uma segurança jurídica
sobre o assunto.
A INFLUÊNCIA DO GDPR PARA A LEGISLAÇÃO
BRASILEIRA
Ao ser promulgada em agosto de 2018, a LGPD foi altamente celebrada. Na sequência de
escândalos como o Cambridge Analytica e a entrada em vigor do Regulamento Geral de
Proteção de Dados na União Europeia (General Data Protection Regulation) em 25 de maio
de 2018, o Brasil se juntou, não sem certo atraso, à onda global de proteção de dados
pessoais.
Como bem pontua Loni Melillo Cardoso, em seu artigo “LGPD: inspiração, vigência e o
desafio da eficiência da nova lei” (2), a influência do GDPR sobre a LGPD é evidente. Os dois
dispositivos confluem na limitação de tratamento de dados a hipóteses restritas, na
positivação dos direitos de titulares de dados à anonimização e eliminação de seus dados e
no enquadramento legal estrito das possibilidades de tratamento. As penalidades
decorrentes do tratamento indevido de dados pessoais também evidenciam uma intenção do
legislador brasileiro de replicar a severidade europeia em face das entidades que deixarem
de observar as novas disposições, em especial a possível multa de até 2% do faturamento da
pessoa jurídica no ano anterior. Apesar disso, a norma brasileira é consideravelmente mais
lacônica do que a europeia. Enquanto o GDPR se assenta em substancial arcabouço
normativo, a lei nacional relega questões centrais à interpretação ainda desconhecida da
agência reguladora e do Judiciário, e a previsões infralegais que, até o momento, continuam
incógnitas.
Isso porque o GDPR constitui uma evolução da Diretiva Europeia de 1995 (Diretiva
95/46/CE) sobre o assunto. Isto é, na Europa, já existe há quase 25 anos preocupação com o
assunto, bem como uma cultura bastante desenvolvida de proteção a dados pessoais. No
Brasil, por sua vez, a LGPD surge como primeira legislação que efetivamente regulamenta o
tema de forma ampla, já que até hoje a regulamentação era feita de forma esparsa, como já
visto. Assim, mais do que uma mudança legislativa, a LGPD se propõe a gerar uma grande
mudança cultural na proteção de dados no Brasil (que já está consolidada da Europa),
fazendo com que as pessoas tenham instrumentos mais claros para zelar pelas informações
que lhe dizem respeito.
Vale destacar que o GDPR pode se aplicar às empresas brasileiras, tendo em vista que seu
escopo territorial abrange dados coletados de pessoais naturais que se encontram na União
Europeia. Desta forma, se uma empresa presta serviço tanto no território brasileiro quanto
no território europeu, deverá observar ambas legislações.
Dessa forma, em que pese a grande influência do GDPR sobre a LGPD, há diferenças
significativas entre elas, que serão oportunamente analisadas no quadro abaixo, extraído do
website do Pinheiro Neto Advogados (3), que deixa claro ser a legislação europeia mais
detalhada em muitos aspectos, como será a seguir demonstrado.
02 FUNDAMENTOS E PRINCÍPIOS DA

LEI GERAL DE PROTEÇÃO DE DADOS

NESSE CAPÍTULO

Fundamentos da Lei Geral de Proteção de Dados

Princípio da Autodeterminação Informativa
Princípios Gerais da Proteção de Dados Pessoais

REFERÊNCIAS FUNDAMENTOS DA LEI GERAL DE PROTEÇÃO DE

"Art. 2º. A disciplina da proteção de dados pessoais tem como
fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
DADOS
III - a liberdade de expressão, de informação, de comunicação
e de opinião; O art. 2º da LGPD traz, como fundamentos da Lei Geral de Proteção de Dados: o respeito à
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de
inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do
comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o
consumidor; e desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência
VII - os direitos humanos, o livre desenvolvimento da
personalidade, a dignidade e o exercício da cidadania pelas e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade,
pessoas naturais."
a dignidade e o exercício da cidadania pelas pessoas naturais.
"Art. 6º. As atividades de tratamento de dados pessoais Vide art. 2º da LGPD.
deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos
legítimos, específicos, explícitos e informados ao titular, sem
possibilidade de tratamento posterior de forma incompatível
com essas finalidades;
II - adequação: compatibilidade do tratamento com as PRINCÍPIO DA AUTODETERMINAÇÃO INFORMATIVA
finalidades informadas ao titular, de acordo com o contexto
do tratamento; A autodeterminação informativa é um dos fundamentos da LGPD, a partir do qual se
III - necessidade: limitação do tratamento ao mínimo
necessário para a realização de suas finalidades, com desenvolvem diversos princípios, direitos e obrigações previstos na legislação. O ponto
abrangência dos dados pertinentes, proporcionais e não
excessivos em relação às finalidades do tratamento de dados;
essencial para as empresas que tratam dados pessoais em sua atividade é a compreensão de
IV - livre acesso: garantia, aos titulares, de consulta facilitada que eles pertencem aos seus titulares, para quem devem satisfação, na forma de prestação
e gratuita sobre a forma e a duração do tratamento, bem
como sobre a integralidade de seus dados pessoais; de contas.
V - qualidade dos dados: garantia, aos titulares, de exatidão,
clareza, relevância e atualização dos dados, de acordo com a
Na LGPD, a autodeterminação informativa é amparada principalmente pelo respeito aos
necessidade e para o cumprimento da finalidade de seu
tratamento;
princípios gerais da proteção dos dados pessoais, dentre os quais destaca-se os da finalidade,
VI - transparência: garantia, aos titulares, de informações da necessidade e da transparência no tratamento dos dados, e alcançada pela observação dos
claras, precisas e facilmente acessíveis sobre a realização do
tratamento e os respectivos agentes de tratamento, direitos dos titulares, em especial a confirmação do tratamento, o livre acesso aos dados, a
observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e
revogação do consentimento, a portabilidade e a oposição ao tratamento.
administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas
de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a
ocorrência de danos em virtude do tratamento de dados PRINCÍPIOS GERAIS DA PROTEÇÃO DE DADOS
pessoais;
IX - não discriminação: impossibilidade de realização do
tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração,
pelo agente, da adoção de medidas eficazes e capazes de PESSOAIS
comprovar a observância e o cumprimento das normas de
proteção de dados pessoais e, inclusive, da eficácia dessas Conforme dicção do art. 6º da LGPD, as atividades de tratamento de dados pessoais deverão
medidas."
observar a boa-fé e os seguintes princípios:
Vide art. 6º da LGPD.
BOA-FÉ

Trata-se de um dever de agir ativamente de acordo com

determinados padrões socialmente recomendados.

FINALIDADE

Trata-se da realização do tratamento para propósitos legítimos,

específicos, explícitos e informados ao titular, sem possibilidade
de tratamento posterior de forma incompatível com essas
finalidades.

ADEQUAÇÃO

O tratamento deve ser compatível com as finalidades informadas

ao titular, de acordo com o contexto do tratamento.

NECESSIDADE

Limitação do tratamento ao mínimo necessário para a realização

de suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades do
tratamento de dados.

LIVRE ACESSO

Garantia, aos titulares, de consulta facilitada e gratuita sobre a

forma e a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais.

QUALIDADE DOS DADOS

Garantia, aos titulares, de exatidão, clareza, relevância e

atualização dos dados, de acordo com a necessidade e para o
cumprimento da finalidade de seu tratamento.

TRANSPARÊNCIA

Garantia, aos titulares, de informações claras, precisas e

facilmente acessíveis sobre a realização do tratamento e os
respectivos agentes de tratamento, observados os segredos
comercial e industrial.

SEGURANÇA

Utilização de medidas técnicas e administrativas aptas a proteger

os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão.

PREVENÇÃO

Adoção de medidas para prevenir a ocorrência de danos em

virtude do tratamento de dados pessoais.

NÃO DISCRIMINAÇÃO

Impossibilidade de realização do tratamento para fins

discriminatórios ilícitos ou abusivos.

RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS

Demonstração, pelo agente, da adoção de medidas eficazes e

capazes de comprovar a observância e o cumprimento das
normas de proteção de dados pessoais e, inclusive, da eficácia
dessas medidas.
 ÂMBITO DE APLICAÇÃO DA LEI
03

GERAL DE PROTEÇÃO DE DADOS

NESSE CAPÍTULO

Dados Pessoais Comuns e Sensíveis

Dados Anonimizados e Pseudonimizados
Transferência Internacional de Dados

REFERÊNCIAS OBJETO
"Art. 5º. Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural
A LGPD abrange todas as atividades que envolvem tratamento, em meio analógico ou digital, de
identificada ou identificável; dados pessoais. Por tratamento entende-se toda operação realizada com dados pessoais, como
II - dado pessoal sensível: dado pessoal sobre origem racial ou
étnica, convicção religiosa, opinião política, filiação a sindicato ou a as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução,
organização de caráter religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado genético ou biométrico,
transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação
quando vinculado a uma pessoa natural; ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Note-
III - dado anonimizado: dado relativo a titular que não possa ser
identificado, considerando a utilização de meios técnicos razoáveis se que a conceituação é extremamente abrangente e inclui todas as operações relativas aos
e disponíveis na ocasião de seu tratamento; (...)
X - tratamento: toda operação realizada com dados pessoais, como
dados pessoais, desde sua coleta até o término propriamente dito.
as que se referem a coleta, produção, recepção, classificação, A lei deixa claro que a proteção de dados diz respeito a tratamentos em meios digitais e físicos.
utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, Com efeito, embora majoritariamente os tratamentos sejam realizados de forma automatizada,
avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração; os dados coletados e estruturados de forma física recebem idêntica proteção.
XI - anonimização: utilização de meios técnicos razoáveis e
disponíveis no momento do tratamento, por meio dos quais um
Vide art. 5º, X, da LGPD.
dado perde a possibilidade de associação, direta ou indireta, a um
indivíduo;
XV - transferência internacional de dados: transferência de dados DADOS PESSOAIS COMUNS
pessoais para país estrangeiro ou organismo internacional do qual o
país seja membro; (...)." Qualquer informação que identifique uma pessoa natural ou que possa levar à sua identificação.
"Art. 12. Os dados anonimizados não serão considerados dados Há dois tipos de dados pessoais: diretos (nome, RG, CPF, título de eleitor, entre outros) e
pessoais para os fins desta Lei, salvo quando o processo de
anonimização ao qual foram submetidos for revertido, utilizando
indiretos (hábitos de consumo, profissão, sexo, idade, entre outros). Assim, qualquer dado que,
exclusivamente meios próprios, ou quando, com esforços razoáveis,
puder ser revertido.
isoladamente (dado pessoal direto) ou agregado a outro (dado pessoal indireto), possa permitir a
§ 1º - A determinação do que seja razoável deve levar em identificação de uma pessoa natural, pode ser considerado como dado pessoal.
consideração fatores objetivos, tais como custo e tempo
necessários para reverter o processo de anonimização, de acordo Vide art. 5º, I, da LGPD.
com as tecnologias disponíveis, e a utilização exclusiva de meios
próprios.
§ 2º - Poderão ser igualmente considerados como dados pessoais,
DADOS PESSOAIS SENSÍVEIS
para os fins desta Lei, aqueles utilizados para formação do perfil
comportamental de determinada pessoa natural, se identificada.
§ 3º - A autoridade nacional poderá dispor sobre padrões e técnicas
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a
utilizados em processos de anonimização e realizar verificações sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou
acerca de sua segurança, ouvido o Conselho Nacional de Proteção
de Dados Pessoais." à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. São aqueles
"Art. 13. Na realização de estudos em saúde pública, os órgãos de dados relacionados à pessoa natural identificada ou identificável por meio dos quais uma pessoa
pesquisa poderão ter acesso a bases de dados pessoais, que serão
tratados exclusivamente dentro do órgão e estritamente para a
pode ser discriminada e, por tal motivo, são considerados e tratados como dados sensíveis.
finalidade de realização de estudos e pesquisas e mantidos em Vide art. 5º, II, da LGPD.
ambiente controlado e seguro, conforme práticas de segurança
previstas em regulamento específico e que incluam, sempre que
possível, a anonimização ou pseudonimização dos dados, bem como
considerem os devidos padrões éticos relacionados a estudos e DADOS ANONIMIZADOS
pesquisas. (...)
§ 4º - Para os efeitos deste artigo, a pseudonimização é o Dado anonimizados é aquele dado relativo a titular que não possa ser identificado, considerando
tratamento por meio do qual um dado perde a possibilidade de
associação, direta ou indireta, a um indivíduo, senão pelo uso de a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, por meio
informação adicional mantida separadamente pelo controlador em
ambiente controlado e seguro."
dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Via de
regra, os dados anonimizados não são considerados dados pessoais, salvo quando o processo de
"Art. 3º Esta Lei aplica-se a qualquer operação de tratamento
realizada por pessoa natural ou por pessoa jurídica de direito anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios,
público ou privado, independentemente do meio, do país de sua
sede ou do país onde estejam localizados os dados, desde que:
ou quando, com esforços razoáveis, puder ser revertido. A determinação do que seja razoável
I - a operação de tratamento seja realizada no território nacional; deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter
II - a atividade de tratamento tenha por objetivo a oferta ou o
fornecimento de bens ou serviços ou o tratamento de dados de o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva
indivíduos localizados no território nacional; ou
III - os dados pessoais objeto do tratamento tenham sido coletados
de meios próprios. A ANPD irá dispor sobre padrões e técnicas utilizados em processos de
no território nacional. anonimização e realizar verificações acerca de sua segurança.
§ 1º - Consideram-se coletados no território nacional os dados
pessoais cujo titular nele se encontre no momento da coleta. Vide art. 5º, III e XI, e 12 da LGPD.
§ 2º - Excetua-se do disposto no inciso I deste artigo o tratamento
de dados previsto no inciso IV do caput do art. 4º desta Lei."

DADOS PSEUDONIMIZADOS

Dado pessoal que, por meio de tratamento, perde a possibilidade de ser associado, direta ou
indiretamente, a um indivíduo, a menos que o controlador use uma informação adicional que era
mantida separadamente em ambiente seguro. Temos como exemplo o uso de dados
criptografados e o uso de hash como autenticação.
Vide art. 13, § 4º, da LGPD.
 SUJEITO
A LGPD se aplica a qualquer pessoa, seja natural ou jurídica, de direito público ou privado,
que realize o tratamento de dados pessoais. Todos, portanto, devem observar o conjunto
normativo previsto na LGPD.
Vide art. 3º, caput, da LGPD.
A LGPD se aplica a qualquer
pessoa, seja natural ou jurídica,
de direito público ou privado,
A Lei se aplica tanto às
que realize o tratamento de
empresas que tenham
dados pessoais.
estabelecimento no
Brasil, quanto àquelas que,
ainda que estejam fora do
Brasil, ofereçam serviços ao
mercado consumidor brasileiro
ou tratem dados de pessoas
localizadas no país
TERRITÓRIO
Quanto à abrangência territorial, a LGPD se aplica tanto às empresas que tenham
estabelecimento no Brasil, quanto àquelas que, embora situadas fora do país, ofereçam serviços
ao mercado consumidor brasileiro ou coletem e tratem dados de pessoas localizadas no Brasil.
Vide art. 3º, caput, da LGPD.
TRANSFERÊNCIA INTERNACIONAL DE DADOS
Por transferência internacional de dados a Lei entende a transferência de dados pessoais para
país estrangeiro ou organismo internacional do qual o país seja membro. A transferência
internacional de dados só é possível nas hipóteses taxativas previstas no art. 33, incluindo, entre
outras oito hipóteses, países que gozem de determinado nível de proteção de dados.
Para avaliar se o país de destino tem o grau adequado de proteção de dados, a ANPD levará em
consideração alguns fatores, tais como: as normas gerais e setoriais da legislação em vigor no
país de destino; a natureza dos dados; e a observância dos princípios de proteção de dados
pessoais e direitos dos titulares previstos na LGPD.
As demais hipóteses de transferência internacional de dados pessoais são: quando o controlador
oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do
regime de proteção de dados previstos na LGPD, na forma de: a) cláusulas contratuais
específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas
corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; quando a
transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de
inteligência, de investigação e de persecução, de acordo com os instrumentos de direito
internacional; quando a transferência for necessária para a proteção da vida ou da incolumidade
física do titular ou de terceiro; quando a ANPD autorizar a transferência; quando a transferência
resultar em compromisso assumido em acordo de cooperação internacional; quando a
transferência for necessária para a execução de política pública ou atribuição legal do serviço
público; quando o titular tiver fornecido o seu consentimento específico e em destaque para a
transferência, com informação prévia sobre o caráter internacional da operação; ou quando
necessário: a) para o cumprimento de obrigação legal ou regulatória pelo controlador; b) para a
execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja
parte o titular, a pedido do titular dos dados; c) para o exercício regular de direitos em processo
judicial, administrativo ou arbitral.
Vide arts. 33 a 36 da LGPD.
NÃO APLICABILIDADE
A Lei não se preocupa com dados de pessoa jurídica, documentos sigilosos, confidenciais,
segredos de negócio, planos estratégicos, algoritmos, fórmulas, softwares, patentes, entre outras
informações que não sejam relacionadas à pessoa natural identificada ou identificável. Assim,
eventuais incidentes concernentes a essa classe de dados deverão ser solucionados à luz de
legislações específicas (como a Lei de Direitos Autorais, por exemplo), ou, em sua ausência, à luz
da legislação comum civil e penal.
A Lei também traz, expressamente, algumas situações nas quais a LGPD não se aplica, sendo
elas: o tratamento de dados realizado por pessoa física para finalidade estritamente doméstica
(agenda telefônica, envio de e-mails, entre outros); para fins estritamente jornalísticos, artísticos
ou acadêmicos; tratamentos que visem a segurança pública, a defesa nacional, a segurança do
Estado ou as atividades de investigação e repressão de infrações penais; bem como em relação
aos dados pessoais provenientes de fora do território nacional e que não sejam objeto de
comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de
transferência internacional de dados com outro país que não o de proveniência, desde que este
proporcione grau de proteção de dados pessoais adequado à LGPD.
Vide art. 4º da LGPD.
REFERÊNCIAS
"Art. 33. A transferência internacional de dados pessoais somente é
permitida nos seguintes casos:
I - para países ou organismos internacionais que proporcionem grau
de proteção de dados pessoais adequado ao previsto nesta Lei;
II - quando o controlador oferecer e comprovar garantias de
cumprimento dos princípios, dos direitos do titular e do regime de
proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
III - quando a transferência for necessária para a cooperação jurídica
internacional entre órgãos públicos de inteligência, de investigação e
de persecução, de acordo com os instrumentos de direito
internacional;
IV - quando a transferência for necessária para a proteção da vida ou
da incolumidade física do titular ou de terceiro;
V - quando a autoridade nacional autorizar a transferência;
VI - quando a transferência resultar em compromisso assumido em
acordo de cooperação internacional;
VII - quando a transferência for necessária para a execução de
política pública ou atribuição legal do serviço público, sendo dada
publicidade nos termos do inciso I do caput do art. 23 desta Lei;
VIII - quando o titular tiver fornecido o seu consentimento específico
e em destaque para a transferência, com informação prévia sobre o
caráter internacional da operação, distinguindo claramente esta de
outras finalidades; ou
IX - quando necessário para atender as hipóteses previstas nos
incisos II, V e VI do art. 7º desta Lei.
Parágrafo único. Para os fins do inciso I deste artigo, as pessoas
jurídicas de direito público referidas no parágrafo único do art. 1º da
Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à
Informação), no âmbito de suas competências legais, e responsáveis,
no âmbito de suas atividades, poderão requerer à autoridade
nacional a avaliação do nível de proteção a dados pessoais conferido
por país ou organismo internacional."
"Art. 34. O nível de proteção de dados do país estrangeiro ou do
organismo internacional mencionado no inciso I do caput do art. 33
desta Lei será avaliado pela autoridade nacional, que levará em
consideração:
I - as normas gerais e setoriais da legislação em vigor no país de
destino ou no organismo internacional;
II - a natureza dos dados;
III - a observância dos princípios gerais de proteção de dados
pessoais e direitos dos titulares previstos nesta Lei;
IV - a adoção de medidas de segurança previstas em regulamento;
V - a existência de garantias judiciais e institucionais para o respeito
aos direitos de proteção de dados pessoais; e
VI - outras circunstâncias específicas relativas à transferência."
"Art. 35. A definição do conteúdo de cláusulas-padrão contratuais,
bem como a verificação de cláusulas contratuais específicas para uma
determinada transferência, normas corporativas globais ou selos,
certificados e códigos de conduta, a que se refere o inciso II do caput
do art. 33 desta Lei, será realizada pela autoridade nacional.
§ 1º - Para a verificação do disposto no caput deste artigo, deverão
ser considerados os requisitos, as condições e as garantias mínimas
para a transferência que observem os direitos, as garantias e os
princípios desta Lei.
§ 2º - Na análise de cláusulas contratuais, de documentos ou de
normas corporativas globais submetidas à aprovação da autoridade
nacional, poderão ser requeridas informações suplementares ou
realizadas diligências de verificação quanto às operações de
tratamento, quando necessário.
§ 3º - A autoridade nacional poderá designar organismos de
certificação para a realização do previsto no caput deste artigo, que
permanecerão sob sua fiscalização nos termos definidos em
regulamento.
§ 4º - Os atos realizados por organismo de certificação poderão ser
revistos pela autoridade nacional e, caso em desconformidade com
esta Lei, submetidos a revisão ou anulados.
§ 5º - As garantias suficientes de observância dos princípios gerais de
proteção e dos direitos do titular referidas no caput deste artigo
serão também analisadas de acordo com as medidas técnicas e
organizacionais adotadas pelo operador, de acordo com o previsto
nos §§ 1º e 2º do art. 46 desta Lei."
"Art. 36. As alterações nas garantias apresentadas como suficientes
de observância dos princípios gerais de proteção e dos direitos do
titular referidas no inciso II do art. 33 desta Lei deverão ser
comunicadas à autoridade nacional."
"Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I - realizado por pessoa natural para fins exclusivamente particulares
e não econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam
objeto de comunicação, uso compartilhado de dados com agentes de
tratamento brasileiros ou objeto de transferência internacional de
dados com outro país que não o de proveniência, desde que o país de
proveniência proporcione grau de proteção de dados pessoais
adequado ao previsto nesta Lei.
§ 1º - O tratamento de dados pessoais previsto no inciso III será
regido por legislação específica, que deverá prever medidas
proporcionais e estritamente necessárias ao atendimento do
interesse público, observados o devido processo legal, os princípios
gerais de proteção e os direitos do titular previstos nesta Lei.
§ 2º - É vedado o tratamento dos dados a que se refere o inciso III do
caput deste artigo por pessoa de direito privado, exceto em
procedimentos sob tutela de pessoa jurídica de direito público, que
serão objeto de informe específico à autoridade nacional e que
deverão observar a limitação imposta no § 4º deste artigo.
§ 3º - A autoridade nacional emitirá opiniões técnicas ou
recomendações referentes às exceções previstas no inciso III do
caput deste artigo e deverá solicitar aos responsáveis relatórios de
impacto à proteção de dados pessoais.
§ 4º - Em nenhum caso a totalidade dos dados pessoais de banco de
dados de que trata o inciso III do caput deste artigo poderá ser
tratada por pessoa de direito privado, salvo por aquela que possua
capital integralmente constituído pelo poder público."
 SUJEITOS DA PROTEÇÃO
04

DE DADOS

NESSE CAPÍTULO

Direitos dos Titulares de Dados

Agentes de Tratamento
Data Protection Officer - DPO ou Encarregado
Autoridade Nacional de Proteção de Dados - ANPD

REFERÊNCIAS TITULAR
"Art. 5º. Para os fins desta Lei, considera-se: (...) V - titular: pessoa
natural a quem se referem os dados pessoais que são objeto de
É a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
tratamento; (...)." Vide art. 5º, V, e 17 da LGPD.
"Art. 17. Toda pessoa natural tem assegurada a titularidade de seus
dados pessoais e garantidos os direitos fundamentais de liberdade,
de intimidade e de privacidade, nos termos desta Lei." DIREITOS DOS TITULARES DOS DADOS

"Art. 18. O titular dos dados pessoais tem direito a obter do O titular dos dados pessoais tem, desde já, direito a obter do controlador, a qualquer momento
controlador, em relação aos dados do titular por ele tratados, a
qualquer momento e mediante requisição: e mediante requisição: a confirmação da existência de tratamento de seus dados; o acesso a
I - confirmação da existência de tratamento;
II - acesso aos dados; esses dados; a correção de dados incompletos, inexatos ou desatualizados; a anonimização,
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados
bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
desnecessários, excessivos ou tratados em desconformidade com o com a Lei; a portabilidade dos dados a outro fornecedor de serviço ou produto, observados os
disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou segredos comercial e industrial; a eliminação dos dados pessoais tratados com o consentimento
produto, mediante requisição expressa, de acordo com a
regulamentação da autoridade nacional, observados os segredos
do titular; a informação das entidades públicas e privadas com as quais o controlador realizou
comercial e industrial; uso compartilhado de dados; a informação sobre a possibilidade de não fornecer consentimento
VI - eliminação dos dados pessoais tratados com o consentimento
do titular, exceto nas hipóteses previstas no art. 16 desta Lei; e sobre as consequências da negativa; e, por fim, a revogação do consentimento, a qualquer
VII - informação das entidades públicas e privadas com as quais o
controlador realizou uso compartilhado de dados;
momento, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob
VIII - informação sobre a possibilidade de não fornecer amparo do consentimento anteriormente manifestado enquanto não houver requerimento de
consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º eliminação.
desta Lei.
§ 1º - O titular dos dados pessoais tem o direito de peticionar em
relação aos seus dados contra o controlador perante a autoridade
BLOQUEIO
nacional.
§ 2º - O titular pode opor-se a tratamento realizado com
fundamento em uma das hipóteses de dispensa de consentimento, CONFIRMAÇÃO
em caso de descumprimento ao disposto nesta Lei.
§ 3º - Os direitos previstos neste artigo serão exercidos mediante
requerimento expresso do titular ou de representante legalmente
ANONIMIZAÇÃO
constituído, a agente de tratamento.
§ 4º - Em caso de impossibilidade de adoção imediata da
providência de que trata o § 3º deste artigo, o controlador enviará
ao titular resposta em que poderá:
I - comunicar que não é agente de tratamento dos dados e indicar,
sempre que possível, o agente; ou
ACESSO
II - indicar as razões de fato ou de direito que impedem a adoção
PORTABILIDADE
imediata da providência.
§ 5º O requerimento referido no § 3º deste artigo será atendido
sem custos para o titular, nos prazos e nos termos previstos em
regulamento.
§ 6º O responsável deverá informar, de maneira imediata, aos
agentes de tratamento com os quais tenha realizado uso INFORMAÇÃO
compartilhado de dados a correção, a eliminação, a anonimização
ou o bloqueio dos dados, para que repitam idêntico procedimento,
REVOGAÇÃO
exceto nos casos em que esta comunicação seja comprovadamente
impossível ou implique esforço desproporcional.
§ 7º - A portabilidade dos dados pessoais a que se refere o inciso V
do caput deste artigo não inclui dados que já tenham sido CORREÇÃO
anonimizados pelo controlador.
§ 8º - O direito a que se refere o § 1º deste artigo também poderá ELIMINAÇÃO
ser exercido perante os organismos de defesa do consumidor."

"Art. 9º O titular tem direito ao acesso facilitado às informações

sobre o tratamento de seus dados, que deverão ser disponibilizadas
Os direitos serão exercidos mediante requerimento expresso do titular ou de representante
de forma clara, adequada e ostensiva acerca de, entre outras
características previstas em regulamentação para o atendimento do
legalmente constituído, a agente de tratamento, sem qualquer custo para o titular. Em caso de
princípio do livre acesso: impossibilidade de adoção imediata da providência requerida, o controlador enviará ao titular
I - finalidade específica do tratamento;
II - forma e duração do tratamento, observados os segredos resposta, em que poderá comunicar que não é agente de tratamento dos dados e indicar,
comercial e industrial;
III - identificação do controlador;
sempre que possível, o agente; ou indicar as razões de fato ou de direito que impedem a adoção
IV - informações de contato do controlador; imediata da providência.
V - informações acerca do uso compartilhado de dados pelo
controlador e a finalidade; O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais
VI - responsabilidades dos agentes que realizarão o tratamento; e
VII - direitos do titular, com menção explícita aos direitos contidos
tenha realizado uso compartilhado de dados, a correção, a eliminação, a anonimização ou o
no art. 18 desta Lei." bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta
comunicação seja comprovadamente impossível ou implique esforço desproporcional.
Em caso de inobservância dos seus direitos, o titular dos dados pessoais tem o direito de
peticionar contra o controlador perante a Autoridade Nacional de Proteção de Dados, bem
como perante os órgãos de defesa do consumidor.
Outrossim, tratando especificamente do direito ao livre acesso, o titular tem direito ao acesso
facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de
forma clara, adequada e ostensiva acerca: da finalidade específica do tratamento; da forma e
duração do tratamento, observados os segredos comercial e industrial; da identificação do
controlador; das informações de contato do controlador; das informações acerca do uso
compartilhado de dados pelo controlador e a finalidade; das responsabilidades dos agentes que
realizarão o tratamento; e dos seus direitos, com menção explícita aos direitos contidos no art.
18 da Lei.
Por fim, quando o tratamento de dados pessoais for condição para o fornecimento de produto
ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse
fato e sobre os meios pelos quais poderá exercer seus direitos.
Vide arts. 9º e 18 da LGPD.
DATA PROTECTION OFFICER (DPO) OU ENCARREGADO
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O
encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública
ou privada, à LGPD.
Uma das mais importantes medidas de governança das organizações é avaliar a nomeação,
posição e atribuições do DPO, com autonomia e recursos para desempenhar a função de forma
eficaz. É recomendável que ele responda para o mais alto grau hierárquico da organização e é
peça-chave no devido cumprimento das leis aplicáveis e na mitigação de riscos.
Ao contrário de outras legislações de proteção de dados estrangeiras, a LGPD não determinou
em que circunstâncias uma organização deve indicar um encarregado. Assim, deve-se assumir,
como regra geral, que toda organização deverá indicar uma pessoa para assumir esse papel.
Contudo, de acordo com o § 3º do art. 41, normativas futuras da ANPD poderão trazer
hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o
porte da entidade ou o volume de operações de tratamento de dados.
O artigo 41 da LGPD não faz distinção quanto a instituições públicas ou privadas e por isso é
importante que ambas estejam cientes da sua obrigação de indicar um Encarregado de dados.
A LGPD também não distingue se o Encarregado deve ser pessoa física ou jurídica, e se deve ser
um funcionário da organização ou um agente externo. Considerando as boas práticas
internacionais, o encarregado poderá ser tanto um funcionário da instituição quanto um agente
externo, de natureza física ou jurídica. Caso o DPO exerça outras atribuições dentro da
organização, recomenda-se que seja garantida a inexistência de conflito de interesses entre a
função de DPO e essas atribuições.
Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de
prestação de serviços ou um ato administrativo. Apesar de a LGPD não descrever o perfil do
DPO, sugere-se: conhecimento jurídico-regulatório; gerenciamento de riscos, auditoria e
compliance; liderança e proatividade; conscientizador, educador; relações públicas,
governamentais; conhecimento em tecnologia e segurança da informação.
As funções previstas na LGPD para o DPO são: monitorar a conformidade do agente de
tratamento em relação à LGPD, outras normas de proteção de dados e suas próprias políticas
internas relacionadas ao tema; aceitar reclamações e comunicações dos titulares, prestar
esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar
providências; executar as demais atribuições determinadas pelo controlador ou estabelecidas
em normas complementares; treinar e conscientizar os colaboradores e terceiros dos agentes de
tratamento para criação de uma cultura de proteção de dados.
Por agir como um ponto de contato com os titulares de dados e a ANPD, é importante que os
detalhes de contato do encarregado de dados estejam facilmente acessíveis, nos termos do § 1º
do art. 41 da LGPD.
Vide arts. 5º, VIII, e 41 da LGPD.
AGENTES DE TRATAMENTO
A definição de quem está na posição de controlador ou operador, de acordo com a respectiva
atividade de tratamento de dados pessoais. Essa definição é importante para que se possa
determinar obrigações e responsabilidades de cada um desses agentes de tratamento.
Ressalta-se que os agentes de tratamento devem ser definidos a partir de seu caráter
institucional. Não são considerados controladores (autônomos ou conjuntos) ou operadores os
indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de
trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento.
No contexto de uma pessoa jurídica, a organização é o agente de tratamento para os fins da
LGPD, já que é esta que estabelece as regras para o tratamento de dados pessoais, a serem
executadas por seus representantes ou prepostos. Mas, além disso, o agente de tratamento é
definido para cada operação de tratamento de dados pessoais, portanto, a mesma organização
poderá ser controladora e operadora, de acordo com sua atuação em diferentes operações de
tratamento.
Dentre as principais responsabilidades dos agentes de tratamento, estão: atender aos direitos
dos titulares (art. 18); registrar as operações de tratamento (art. 37); elaborar o Relatório de
Impacto à Proteção de Dados (art. 38); nomear o Data Protection Officer (DPO) ou Encarregado
(art. 41); responsabilizar-se por eventuais danos (art. 42); adotar medidas de segurança, técnicas
e administrativas (art. 46); comunicar incidentes (art. 48); e executar instruções (art. 39).
Vide arts. 5º, IX, e 37 a 40 da LGPD.
REFERÊNCIAS
"Art. 5º. Para os fins desta Lei, considera-se: (...)
VI - controlador: pessoa natural ou jurídica, de direito público ou
privado, a quem competem as decisões referentes ao tratamento de
dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou
privado, que realiza o tratamento de dados pessoais em nome do
controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para
atuar como canal de comunicação entre o controlador, os titulares
dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
(...)."
"Art. 41. O controlador deverá indicar encarregado pelo tratamento
de dados pessoais.
§ 1º - A identidade e as informações de contato do encarregado
deverão ser divulgadas publicamente, de forma clara e objetiva,
preferencialmente no sítio eletrônico do controlador.
§ 2º - As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar
esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar
providências;
III - orientar os funcionários e os contratados da entidade a respeito
das práticas a serem tomadas em relação à proteção de dados
pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.
§ 3º - A autoridade nacional poderá estabelecer normas
complementares sobre a definição e as atribuições do encarregado,
inclusive hipóteses de dispensa da necessidade de sua indicação,
conforme a natureza e o porte da entidade ou o volume de
operações de tratamento de dados."
"Art. 37. O controlador e o operador devem manter registro das
operações de tratamento de dados pessoais que realizarem,
especialmente quando baseado no legítimo interesse."
"Art. 38. A autoridade nacional poderá determinar ao controlador
que elabore relatório de impacto à proteção de dados pessoais,
inclusive de dados sensíveis, referente a suas operações de
tratamento de dados, nos termos de regulamento, observados os
segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o
relatório deverá conter, no mínimo, a descrição dos tipos de dados
coletados, a metodologia utilizada para a coleta e para a garantia da
segurança das informações e a análise do controlador com relação a
medidas, salvaguardas e mecanismos de mitigação de risco
adotados."
"Art. 39. O operador deverá realizar o tratamento segundo as
instruções fornecidas pelo controlador, que verificará a observância
das próprias instruções e das normas sobre a matéria."
"Art. 40. A autoridade nacional poderá dispor sobre padrões de
interoperabilidade para fins de portabilidade, livre acesso aos dados e
segurança, assim como sobre o tempo de guarda dos registros, tendo
em vista especialmente a necessidade e a transparência."
"Art. 41. O controlador deverá indicar encarregado pelo tratamento
de dados pessoais.
§ 1º - A identidade e as informações de contato do encarregado
deverão ser divulgadas publicamente, de forma clara e objetiva,
preferencialmente no sítio eletrônico do controlador.
§ 2º - As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar
esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar
providências;
III - orientar os funcionários e os contratados da entidade a respeito
das práticas a serem tomadas em relação à proteção de dados
pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.
§ 3º - A autoridade nacional poderá estabelecer normas
complementares sobre a definição e as atribuições do encarregado,
inclusive hipóteses de dispensa da necessidade de sua indicação,
conforme a natureza e o porte da entidade ou o volume de
operações de tratamento de dados."
"Art. 42. O controlador ou o operador que, em razão do exercício de
atividade de tratamento de dados pessoais, causar a outrem dano
patrimonial, moral, individual ou coletivo, em violação à legislação de
proteção de dados pessoais, é obrigado a repará-lo.
§ 1º - A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo
tratamento quando descumprir as obrigações da legislação de
proteção de dados ou quando não tiver seguido as instruções lícitas
do controlador, hipótese em que o operador equipara-se ao
controlador, salvo nos casos de exclusão previstos no art. 43 desta
Lei;
II - os controladores que estiverem diretamente envolvidos no
tratamento do qual decorreram danos ao titular dos dados
respondem solidariamente, salvo nos casos de exclusão previstos no
art. 43 desta Lei.
§ 2º - O juiz, no processo civil, poderá inverter o ônus da prova a
favor do titular dos dados quando, a seu juízo, for verossímil a
alegação, houver hipossuficiência para fins de produção de prova ou
quando a produção de prova pelo titular resultar-lhe excessivamente
onerosa.
§ 3º - As ações de reparação por danos coletivos que tenham por
objeto a responsabilização nos termos do caput deste artigo podem
ser exercidas coletivamente em juízo, observado o disposto na
legislação pertinente.
§ 4º - Aquele que reparar o dano ao titular tem direito de regresso
contra os demais responsáveis, na medida de sua participação no
evento danoso."
"Art. 43. Os agentes de tratamento só não serão responsabilizados
quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é
atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais
que lhes é atribuído, não houve violação à legislação de proteção de
dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados
ou de terceiro."
 CONTROLADOR

REFERÊNCIAS Pessoa natural ou jurídica, de direito público ou privado, que: toma todas as decisões
"Art. 44. O tratamento de dados pessoais será irregular quando referentes ao tratamento de dados pessoais ao longo do ciclo de vida destes; determina as
deixar de observar a legislação ou quando não fornecer a segurança
que o titular dele pode esperar, consideradas as circunstâncias finalidades e os meios de tratamento dos dados pessoais; avalia o enquadramento das bases
relevantes, entre as quais:
I - o modo pelo qual é realizado;
legais de tratamento; pode vir a ser responsabilizado diretamente por violações da LGPD;
II - o resultado e os riscos que razoavelmente dele se esperam; cabe a ele garantir o cumprimento dos direitos dos titulares. Vide art. 5º, VI, da LGPD.
III - as técnicas de tratamento de dados pessoais disponíveis à época
em que foi realizado. O conceito possui elevada importância prática, uma vez que a LGPD atribui obrigações
Parágrafo único. Responde pelos danos decorrentes da violação da
segurança dos dados o controlador ou o operador que, ao deixar de
específicas ao controlador, como a de elaborar relatório de impacto à proteção de dados
adotar as medidas de segurança previstas no art. 46 desta Lei, der pessoais (art. 38), a de comprovar que o consentimento obtido do titular atende às exigências
causa ao dano."
legais (art. 8º, § 2º) e a de comunicar à ANPD a ocorrência de incidentes de segurança (art.
"Art. 46. Os agentes de tratamento devem adotar medidas de
segurança, técnicas e administrativas aptas a proteger os dados 48). Além disso, a atribuição de responsabilidades em relação à reparação por danos
pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou qualquer
decorrentes de atos ilícitos é distinta de acordo com a qualificação do agente de tratamento,
forma de tratamento inadequado ou ilícito. isto é, se controlador ou operador, conforme o disposto nos arts. 42 a 45.
§ 1º - A autoridade nacional poderá dispor sobre padrões técnicos
mínimos para tornar aplicável o disposto no caput deste artigo, Não são controladoras as pessoas naturais que atuam como profissionais subordinados a uma
considerados a natureza das informações tratadas, as características
específicas do tratamento e o estado atual da tecnologia,
pessoa jurídica ou como membros de seus órgãos. É o caso de empregados, administradores,
especialmente no caso de dados pessoais sensíveis, assim como os sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos
princípios previstos no caput do art. 6º desta Lei.
§ 2º - As medidas de que trata o caput deste artigo deverão ser expressam a atuação desta. Nesse sentido, a definição legal de controlador não deve ser
observadas desde a fase de concepção do produto ou do serviço até
a sua execução."
entendida como uma norma de distribuição interna de competências e responsabilidades. De
forma diversa, trata-se de comando legal que atribui obrigações específicas à pessoa jurídica,
"Art. 47. Os agentes de tratamento ou qualquer outra pessoa que
intervenha em uma das fases do tratamento obriga-se a garantir a de modo que esta assume a responsabilidade pelos atos praticados por seus agentes e
segurança da informação prevista nesta Lei em relação aos dados
pessoais, mesmo após o seu término." prepostos em face dos titulares e da ANPD.
"Art. 48. O controlador deverá comunicar à autoridade nacional e ao
titular a ocorrência de incidente de segurança que possa acarretar
risco ou dano relevante aos titulares. CONTROLADORIA CONJUNTA
§ 1º - A comunicação será feita em prazo razoável, conforme definido
pela autoridade nacional, e deverá mencionar, no mínimo: A depender do contexto, uma mesma operação de tratamento de dados pessoais pode
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
envolver mais de um controlador. Conforme a LGPD, art. 42, §1º, II, quando mais de um
III - a indicação das medidas técnicas e de segurança utilizadas para a controlador estiver diretamente envolvido no tratamento do qual decorram danos ao titular
proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente; de dados, estes responderão de forma solidária, à exceção das hipóteses previstas no art. 43.
V - os motivos da demora, no caso de a comunicação não ter sido
imediata; e
Os controladores conjuntos são capazes de determinar os elementos essenciais do
VI - as medidas que foram ou que serão adotadas para reverter ou tratamento. Essa decisão é tomada de maneira coletiva, mas não há a necessidade de que
mitigar os efeitos do prejuízo.
§ 2º - A autoridade nacional verificará a gravidade do incidente e cada controlador determine todos os elementos envolvidos em uma operação de tratamento
poderá, caso necessário para a salvaguarda dos direitos dos titulares,
determinar ao controlador a adoção de providências, tais como: para que a controladoria conjunta se estabeleça.
I - ampla divulgação do fato em meios de comunicação; e
II - medidas para reverter ou mitigar os efeitos do incidente.
Cabe, contudo, frisar, que a identificação da controladoria conjunta será contextual e apenas
§ 3º - No juízo de gravidade do incidente, será avaliada eventual o caso concreto permitirá identificar em que casos a controladoria conjunta foi estabelecida.
comprovação de que foram adotadas medidas técnicas adequadas
que tornem os dados pessoais afetados ininteligíveis, no âmbito e Uma vez que se configure, a responsabilidade dos controladores será solidária, nos termos do
nos limites técnicos de seus serviços, para terceiros não autorizados
a acessá-los."
art. 42, §1º, II, o que reforça a importância de que todos estejam em conformidade com a
LGPD.
"Art. 5º. Para os fins desta Lei, considera-se: (...)
XIX - autoridade nacional: órgão da administração pública Assim, pode-se entender o conceito de controladoria conjunta como a determinação
responsável por zelar, implementar e fiscalizar o cumprimento desta
Lei em todo o território nacional."
conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos
elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo
"Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade
Nacional de Proteção de Dados (ANPD), órgão da administração que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD.
pública federal, integrante da Presidência da República.
§ 1º - A natureza jurídica da ANPD é transitória e poderá ser
transformada pelo Poder Executivo em entidade da administração
pública federal indireta, submetida a regime autárquico especial e OPERADOR
vinculada à Presidência da República.
§ 2º - A avaliação quanto à transformação de que dispõe o § 1º deste Pessoa natural ou jurídica, de direito público ou privado, que: realiza o tratamento de dados
artigo deverá ocorrer em até 2 (dois) anos da data da entrada em
vigor da estrutura regimental da ANPD. pessoais em nome do controlador; não possui poder decisório; também pode vir a executar
§ 3º - O provimento dos cargos e das funções necessários à criação e
à atuação da ANPD está condicionado à expressa autorização física e
tarefas complexas e com alguma discricionariedade, mas sempre sob o comando do
financeira na lei orçamentária anual e à permissão na lei de diretrizes controlador; pode ser responsabilizado solidariamente por violações que vier a causar à
orçamentárias."
LGPD. Vide art. 5º, VII, da LGPD.
"Art. 55-B. É assegurada autonomia técnica e decisória à ANPD."
Cabe destacar, ainda, algumas das obrigações do operador: seguir as instruções do
"Art. 55-C. A ANPD é composta de: controlador; firmar contratos que estabeleçam, dentre outros assuntos, o regime de
I - Conselho Diretor, órgão máximo de direção;
II - Conselho Nacional de Proteção de Dados Pessoais e da atividades e responsabilidades com o controlador; e dar ciência ao controlador em caso de
Privacidade;
III - Corregedoria; contrato com suboperador.
IV - Ouvidoria;
V - Órgão de assessoramento jurídico próprio; e
Em caso de pessoa jurídica, importa destacar que a organização ou empresa é entendida
VI - Unidades administrativas e unidades especializadas necessárias à como agente de tratamento, de forma que seus funcionários apenas a representam. Assim, a
aplicação do disposto nesta Lei."
definição legal de operador também não deve ser entendida como uma norma de distribuição
"Art. 55-D. O Conselho Diretor da ANPD será composto de 5 (cinco)
diretores, incluído o Diretor-Presidente.
interna de competências e responsabilidades. Nesse cenário, empregados, administradores,
§ 1º - Os membros do Conselho Diretor da ANPD serão escolhidos sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos
pelo Presidente da República e por ele nomeados, após aprovação
pelo Senado Federal, nos termos da alínea ‘f’ do inciso III do art. 52 expressam a atuação desta não devem ser considerados operadores, tendo em vista que o
da Constituição Federal, e ocuparão cargo em comissão do Grupo-
Direção e Assessoramento Superiores - DAS, no mínimo, de nível 5.
operador será sempre uma pessoa distinta do controlador, isto é, que não atua como
§ 2º - Os membros do Conselho Diretor serão escolhidos dentre profissional subordinado a este ou como membro de seus órgãos.
brasileiros que tenham reputação ilibada, nível superior de educação
e elevado conceito no campo de especialidade dos cargos para os
quais serão nomeados.
§ 3º - O mandato dos membros do Conselho Diretor será de 4 SUBOPERADOR
(quatro) anos.
§ 4º - Os mandatos dos primeiros membros do Conselho Diretor
nomeados serão de 2 (dois), de 3 (três), de 4 (quatro), de 5 (cinco) e
O suboperador é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de
de 6 (seis) anos, conforme estabelecido no ato de nomeação. dados pessoais em nome do controlador. A relação direta do suboperador é com o operador e
§ 5º - Na hipótese de vacância do cargo no curso do mandato de
membro do Conselho Diretor, o prazo remanescente será não com controlador. Porém, independentemente dos arranjos institucionais entre operador e
completado pelo sucessor."
suboperador, para efeitos da LGPD, ambos podem desempenhar, a depender do caso
"Art. 55-E. Os membros do Conselho Diretor somente perderão seus concreto, a função de operador e responder perante a ANPD.
cargos em virtude de renúncia, condenação judicial transitada em
julgado ou pena de demissão decorrente de processo administrativo No que se refere às responsabilidades, o suboperador pode ser é equiparado ao operador
disciplinar.
§ 1º - Nos termos do caput deste artigo, cabe ao Ministro de Estado
perante a LGPD em relação às atividades que foi contratado para executar. Ocorre, dessa
Chefe da Casa Civil da Presidência da República instaurar o processo forma, a ampliação da cadeia de responsabilidade solidária prevista no art. 42, §1º, I da LGPD.
administrativo disciplinar, que será conduzido por comissão especial
constituída por servidores públicos federais estáveis.
§ 2º - Compete ao Presidente da República determinar o afastamento
preventivo, somente quando assim recomendado pela comissão
especial de que trata o § 1º deste artigo, e proferir o julgamento."
REFERÊNCIAS
Art. 55-F. Aplica-se aos membros do Conselho Diretor, após o
exercício do cargo, o disposto no art. 6º da Lei nº 12.813, de
16 de maio de 2013.
Parágrafo único. A infração ao disposto no caput deste artigo
caracteriza ato de improbidade administrativa."
"Art. 55-G. Ato do Presidente da República disporá sobre a
estrutura regimental da ANPD.
§ 1º - Até a data de entrada em vigor de sua estrutura
regimental, a ANPD receberá o apoio técnico e administrativo
da Casa Civil da Presidência da República para o exercício de
suas atividades.
§ 2º - O Conselho Diretor disporá sobre o regimento interno
da ANPD."
AUTORIDADE NACIONAL DE PROTEÇÃO
DE DADOS (ANPD)
Órgão da administração pública responsável por zelar, implementar
e fiscalizar o cumprimento desta Lei em todo o território nacional.
Não é uma agência reguladora e, portanto, não terá autonomia
administrativa e nem personalidade jurídica própria, mas sua função
é de grande relevância. Não obstante, o legislador garantiu à ANPD
REFERÊNCIAS
§ 3º - A ANPD e os órgãos e entidades públicos responsáveis
pela regulação de setores específicos da atividade econômica
e governamental devem coordenar suas atividades, nas
correspondentes esferas de atuação, com vistas a assegurar o
cumprimento de suas atribuições com a maior eficiência e
promover o adequado funcionamento dos setores regulados,
conforme legislação específica, e o tratamento de dados
pessoais, na forma desta Lei.
§ 4º - A ANPD manterá fórum permanente de comunicação,
inclusive por meio de cooperação técnica, com órgãos e
entidades da administração pública responsáveis pela
regulação de setores específicos da atividade econômica e
governamental, a fim de facilitar as competências regulatória,
fiscalizatória e punitiva da ANPD.

"Art. 55-H. Os cargos em comissão e as funções de confiança

da ANPD serão remanejados de outros órgãos e entidades do
Poder Executivo federal."
"Art. 55-I. Os ocupantes dos cargos em comissão e das
funções de confiança da ANPD serão indicados pelo Conselho
Diretor e nomeados ou designados pelo Diretor-Presidente."
autonomia técnica e decisória, de forma a validar todos os seus atos
e regulamentos que serão publicados.
Dentre o extenso rol de competências da ANPD, destacam-se as
seguintes: zelar pela proteção dos dados pessoais; elaborar
diretrizes para a Política Nacional de Proteção de Dados Pessoais e
§ 5º - No exercício das competências de que trata o caput
deste artigo, a autoridade competente deverá zelar pela
preservação do segredo empresarial e do sigilo das
informações, nos termos da lei.
§ 6º - As reclamações colhidas conforme o disposto no inciso
V do caput deste artigo poderão ser analisadas de forma
agregada, e as eventuais providências delas decorrentes
poderão ser adotadas de forma padronizada."

"Art. 55-J. Compete à ANPD: da Privacidade; fiscalizar e aplicar sanções em caso de tratamento "Art. 55-K. A aplicação das sanções previstas nesta Lei
I - zelar pela proteção dos dados pessoais, nos termos da
legislação;
de dados realizado em descumprimento à legislação; apreciar compete exclusivamente à ANPD, e suas competências
prevalecerão, no que se refere à proteção de dados pessoais,
II - zelar pela observância dos segredos comercial e industrial, petições de titular contra controlador; promover na população o sobre as competências correlatas de outras entidades ou
observada a proteção de dados pessoais e do sigilo das órgãos da administração pública.
informações quando protegido por lei ou quando a quebra do conhecimento das normas e das políticas públicas sobre proteção de Parágrafo único. A ANPD articulará sua atuação com outros
sigilo violar os fundamentos do art. 2º desta Lei;
III - elaborar diretrizes para a Política Nacional de Proteção de
dados pessoais e das medidas de segurança; estimular a adoção de órgãos e entidades com competências sancionatórias e
normativas afetas ao tema de proteção de dados pessoais e
Dados Pessoais e da Privacidade;
IV - fiscalizar e aplicar sanções em caso de tratamento de
padrões para serviços e produtos que facilitem o exercício de será o órgão central de interpretação desta Lei e do
estabelecimento de normas e diretrizes para a sua
dados realizado em descumprimento à legislação, mediante controle dos titulares sobre seus dados pessoais; dispor sobre as implementação."
processo administrativo que assegure o contraditório, a ampla
defesa e o direito de recurso; formas de publicidade das operações de tratamento de dados "Art. 55-L. Constituem receitas da ANPD:
V - apreciar petições de titular contra controlador após
comprovada pelo titular a apresentação de reclamação ao
pessoais, respeitados os segredos comercial e industrial; realizar I - as dotações, consignadas no orçamento geral da União, os
créditos especiais, os créditos adicionais, as transferências e
controlador não solucionada no prazo estabelecido em auditorias, ou determinar sua realização, no âmbito da atividade de os repasses que lhe forem conferidos;
regulamentação;
VI - promover na população o conhecimento das normas e fiscalização, sobre o tratamento de dados pessoais efetuado pelos II - as doações, os legados, as subvenções e outros recursos
que lhe forem destinados;
das políticas públicas sobre proteção de dados pessoais e das
medidas de segurança;
agentes de tratamento, incluído o poder público; editar normas, III - os valores apurados na venda ou aluguel de bens móveis
e imóveis de sua propriedade;
VII - promover e elaborar estudos sobre as práticas nacionais orientações e procedimentos simplificados e diferenciados, inclusive IV - os valores apurados em aplicações no mercado
e internacionais de proteção de dados pessoais e privacidade;
VIII - estimular a adoção de padrões para serviços e produtos quanto aos prazos, para que microempresas e empresas de pequeno financeiro das receitas previstas neste artigo;
V - (VETADO);
que facilitem o exercício de controle dos titulares sobre seus
dados pessoais, os quais deverão levar em consideração as
porte, bem como iniciativas empresariais de caráter incremental ou VI - os recursos provenientes de acordos, convênios ou
contratos celebrados com entidades, organismos ou
especificidades das atividades e o porte dos responsáveis; disruptivo que se autodeclarem startups ou empresas de inovação, empresas, públicos ou privados, nacionais ou internacionais;
IX - promover ações de cooperação com autoridades de
proteção de dados pessoais de outros países, de natureza possam adequar-se a esta Lei; garantir que o tratamento de dados VII - o produto da venda de publicações, material técnico,
dados e informações, inclusive para fins de licitação pública. "
internacional ou transnacional;
X - dispor sobre as formas de publicidade das operações de
de idosos seja efetuado de maneira simples, clara, acessível e
tratamento de dados pessoais, respeitados os segredos adequada ao seu entendimento; deliberar, na esfera administrativa,
comercial e industrial;
XI - solicitar, a qualquer momento, às entidades do poder em caráter terminativo, sobre a interpretação da LGPD, as suas NOTAS
público que realizem operações de tratamento de dados
pessoais informe específico sobre o âmbito, a natureza dos
competências e os casos omissos; articular-se com as autoridades
dados e os demais detalhes do tratamento realizado, com a reguladoras públicas para exercer suas competências em setores Os conceitos de Controladoria Conjunta e Suboperador foram
trazidos pela Autoridade Nacional de Proteção de Dados, por
possibilidade de emitir parecer técnico complementar para
garantir o cumprimento desta Lei; (...)." específicos de atividades econômicas e governamentais sujeitas à meio do Guia Orientativo para Definições dos Agentes de
Tratamento de Dados Pessoais e do Encarregado, disponível
(...) XII - elaborar relatórios de gestão anuais acerca de suas
atividades;
regulação; e implementar mecanismos simplificados, inclusive por em: <https://www.gov.br/anpd/pt-br/documentos-e-
XIII - editar regulamentos e procedimentos sobre proteção de meio eletrônico, para o registro de reclamações sobre o tratamento publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf
>.
dados pessoais e privacidade, bem como sobre relatórios de
impacto à proteção de dados pessoais para os casos em que o de dados pessoais em desconformidade com a LGPD.
tratamento representar alto risco à garantia dos princípios
gerais de proteção de dados pessoais previstos nesta Lei;
Faz-se mister ressaltar que a aplicação das sanções administrativas
XIV - ouvir os agentes de tratamento e a sociedade em previstas na LGPD compete exclusivamente à ANPD, de forma que
matérias de interesse relevante e prestar contas sobre suas
atividades e planejamento; a sua competência prevalecerá sobre a competência de qualquer
XV - arrecadar e aplicar suas receitas e publicar, no relatório
de gestão a que se refere o inciso XII do caput deste artigo, o
entidade ou órgão da Administração Pública no que se refere à
detalhamento de suas receitas e despesas; proteção de dados pessoais.
XVI - realizar auditorias, ou determinar sua realização, no
âmbito da atividade de fiscalização de que trata o inciso IV e Vide arts. 5º, XIX, e 55-A a 55-L da LGPD.
com a devida observância do disposto no inciso II do caput
deste artigo, sobre o tratamento de dados pessoais efetuado
pelos agentes de tratamento, incluído o poder público;
XVII - celebrar, a qualquer momento, compromisso com
agentes de tratamento para eliminar irregularidade, incerteza
jurídica ou situação contenciosa no âmbito de processos
administrativos, de acordo com o previsto no Decreto-Lei nº
4.657, de 4 de setembro de 1942; ANPD
XVIII - editar normas, orientações e procedimentos
simplificados e diferenciados, inclusive quanto aos prazos,
para que microempresas e empresas de pequeno porte, bem
como iniciativas empresariais de caráter incremental ou
disruptivo que se autodeclarem startups ou empresas de
inovação, possam adequar-se a esta Lei;
XIX - garantir que o tratamento de dados de idosos seja
efetuado de maneira simples, clara, acessível e adequada ao
seu entendimento, nos termos desta Lei e da Lei nº 10.741,
de 1º de outubro de 2003 (Estatuto do Idoso);
XX - deliberar, na esfera administrativa, em caráter
terminativo, sobre a interpretação desta Lei, as suas
competências e os casos omissos;
XXI - comunicar às autoridades competentes as infrações
penais das quais tiver conhecimento;
XXII - comunicar aos órgãos de controle interno o DPO
descumprimento do disposto nesta Lei por órgãos e entidades
da administração pública federal;
XXIII - articular-se com as autoridades reguladoras públicas
para exercer suas competências em setores específicos de
atividades econômicas e governamentais sujeitas à regulação;
e
XXIV - implementar mecanismos simplificados, inclusive por
meio eletrônico, para o registro de reclamações sobre o
tratamento de dados pessoais em desconformidade com esta
Lei.
§ 1º - Ao impor condicionantes administrativas ao tratamento CONT. OPER.
de dados pessoais por agente de tratamento privado, sejam
eles limites, encargos ou sujeições, a ANPD deve observar a
exigência de mínima intervenção, assegurados os
fundamentos, os princípios e os direitos dos titulares
previstos no art. 170 da Constituição Federal e nesta Lei.
§ 2º - Os regulamentos e as normas editados pela ANPD
devem ser precedidos de consulta e audiência públicas, bem
como de análises de impacto regulatório.
 BASES LEGAIS PARA TRATAMENTO
05

DOS DADOS PESSOAIS

NESSE CAPÍTULO

Bases Legais para Tratamento de Dados Pessoais Tratamento de

Dados Pessoais Comuns
Tratamento de Dados Pessoais Sensíveis
Tratamento de Dados de Crianças e Adolescentes.

REFERÊNCIAS DADOS PESSOAIS COMUNS

"Art. 7º. O tratamento de dados pessoais somente poderá ser
realizado nas seguintes hipóteses:
Conforme o art. 7º da LGPD, o tratamento de dados pessoais comuns somente poderá ser
I - mediante o fornecimento de consentimento pelo titular; realizado nas seguintes hipóteses:
II - para o cumprimento de obrigação legal ou regulatória pelo
controlador;
III - pela administração pública, para o tratamento e uso
compartilhado de dados necessários à execução de políticas públicas CONSENTIMENTO PELO TITULAR
previstas em leis e regulamentos ou respaldadas em contratos,
convênios ou instrumentos congêneres, observadas as disposições do O consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com
Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, o tratamento de seus dados pessoais para uma finalidade determinada. Assim, o titular deve ter
sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de
liberdade para aceitar ou recusar o tratamento de seus dados, bem como receber as informações
procedimentos preliminares relacionados a contrato do qual seja na linguagem e forma adequadas para compreender o que será feito com seus dados. Para que o
parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, consentimento seja válido, não pode haver dúvidas de que o titular consentiu, sem vícios. Por
administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de
23 de setembro de 1996 (Lei de Arbitragem);
isso, o consentimento deve pressupor ação afirmativa e será considerado nulo caso as
VII - para a proteção da vida ou da incolumidade física do titular ou de informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido
terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento apresentadas previamente com transparência, de forma clara e inequívoca.
realizado por profissionais de saúde, serviços de saúde ou autoridade
sanitária;
Aliás, como bem destacado por Viviane Nóbrega Maldonado e Renato Opice Blum na obra
IX - quando necessário para atender aos interesses legítimos do “LGPD: Lei Geral de Proteção de Dados Comentada”, opções pré-selecionadas ou o mero silêncio
controlador ou de terceiro, exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a proteção dos dados passivo não serão considerados manifestação do consentimento inequívoco, não havendo espaço
pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na
para dúvida acerca da efetiva intenção do titular. Na ausência de certeza, certamente se estará
legislação pertinente.
§ 1º - (Revogado).
em momento de insegurança para o controlador, o que pode ensejar o entendimento de ilicitude
§ 2º - (Revogado). do tratamento dos dados pessoais, com as consequências negativas daí decorrentes.
§ 3º - O tratamento de dados pessoais cujo acesso é público deve
considerar a finalidade, a boa-fé e o interesse público que justificaram É dispensada a exigência do consentimento para os dados tornados manifestamente públicos
sua disponibilização.
§ 4º - É dispensada a exigência do consentimento previsto no caput
pelo titular, resguardados os direitos do titular e os princípios previstos na Lei. O controlador que
deste artigo para os dados tornados manifestamente públicos pelo obteve o consentimento e que necessitar comunicar ou compartilhar dados pessoais com outros
titular, resguardados os direitos do titular e os princípios previstos
nesta Lei. controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as
§ 5º - O controlador que obteve o consentimento referido no inciso I
do caput deste artigo que necessitar comunicar ou compartilhar
hipóteses de dispensa do consentimento previstas na LGPD. Da mesma forma, se houver
dados pessoais com outros controladores deverá obter mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o
consentimento específico do titular para esse fim, ressalvadas as
hipóteses de dispensa do consentimento previstas nesta Lei. consentimento original, o controlador deverá informar previamente o titular sobre as mudanças
§ 6º - A eventual dispensa da exigência do consentimento não
desobriga os agentes de tratamento das demais obrigações previstas
de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
nesta Lei, especialmente da observância dos princípios gerais e da Aliás, o consentimento pode ser revogado a qualquer momento mediante manifestação expressa
garantia dos direitos do titular.
§ 7º - O tratamento posterior dos dados pessoais a que se referem os do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob
§§ 3º e 4º deste artigo poderá ser realizado para novas finalidades,
desde que observados os propósitos legítimos e específicos para o amparo do consentimento anteriormente manifestado enquanto não houver requerimento de
novo tratamento e a preservação dos direitos do titular, assim como
os fundamentos e os princípios previstos nesta Lei."
eliminação. Eventual dispensa da exigência do consentimento não desobriga os agentes de
tratamento das demais obrigações previstas na Lei, especialmente da observância dos princípios
"Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei
deverá ser fornecido por escrito ou por outro meio que demonstre a gerais e da garantia dos direitos do titular.
manifestação de vontade do titular.
§ 1º - Caso o consentimento seja fornecido por escrito, esse deverá
Vide arts. 7º, I, e 8º da LGPD.
constar de cláusula destacada das demais cláusulas contratuais.
§ 2º - Cabe ao controlador o ônus da prova de que o consentimento
foi obtido em conformidade com o disposto nesta Lei. CUMPRIMENTO DE OBRIGAÇÃO LEGAL OU REGULATÓRIA
§ 3º - É vedado o tratamento de dados pessoais mediante vício de
consentimento.
§ 4º - O consentimento deverá referir-se a finalidades determinadas,
Caso exista determinação legal (quer em lei federal, estadual ou municipal), quer nas demais
e as autorizações genéricas para o tratamento de dados pessoais normas (decretos, resoluções, entre outros), o controlador poderá realizar o tratamento de dados
serão nulas.
§ 5º - O consentimento pode ser revogado a qualquer momento pessoais com fundamento nessa base legal.
mediante manifestação expressa do titular, por procedimento gratuito
e facilitado, ratificados os tratamentos realizados sob amparo do
Como exemplo, podemos citar o caso de uma empresa que compartilha os dados de seus
consentimento anteriormente manifestado enquanto não houver empregados constantes em seus registros internos de RH à Secretaria Especial do Ministério da
requerimento de eliminação, nos termos do inciso VI do caput do art.
18 desta Lei. Economia (antigo Ministério do Trabalho), a fim de cumprir com a entrega da Relação Anual de
§ 6º - Em caso de alteração de informação referida nos incisos I, II, III
ou V do art. 9º desta Lei, o controlador deverá informar ao titular,
Informações Sociais (RAIS). Nesse caso, os empregados não podem opor resistência ao
com destaque de forma específica do teor das alterações, podendo o compartilhamento, uma vez que é necessária para o cumprimento de obrigação legal/regulatória
titular, nos casos em que o seu consentimento é exigido, revogá-lo
caso discorde da alteração." por parte do controlador. Outro exemplo é a Lei nº 13.787/18 que determina o armazenamento
pelo prazo mínimo de 20 (vinte) anos dos prontuários médicos, exceto quando houverem outros
prazos fixados em regulamento próprio.
Vide art. 7º, II, da LGPD.
EXECUÇÃO DE POLÍTICAS PÚBLICAS

A Administração Pública poderá realizar o uso compartilhado de dados com o estrito objetivo de
executar políticas públicas expressamente previstas na legislação.
Conforme bem asseverado por Viviane Nóbrega Maldonado e Renato Opice Blum na obra
“LGPD: Lei Geral de Proteção de Dados Comentada”, o conceito de políticas públicas não é
único, mas, em linhas gerais, podemos considerá-lo como sendo toda atividade realizada por
qualquer ente da Administração Pública com o objetivo de solucionar demandas da sociedade,
englobando setores, tais como saúde, educação, economia, entre outros.
Vide art. 7º, III, da LGPD.
REALIZAÇÃO DE ESTUDOS POR ÓRGÃOS DE PESQUISA
REFERÊNCIAS
"Art. 5º. Para os fins desta Lei, considera-se: (...) XVIII - órgão de
pesquisa: órgão ou entidade da administração pública direta ou
indireta ou pessoa jurídica de direito privado sem fins lucrativos
legalmente constituída sob as leis brasileiras, com sede e foro no
País, que inclua em sua missão institucional ou em seu objetivo social
ou estatutário a pesquisa básica ou aplicada de caráter histórico,
científico, tecnológico ou estatístico; (...)."
"Art. 13. Na realização de estudos em saúde pública, os órgãos de
pesquisa poderão ter acesso a bases de dados pessoais, que serão
tratados exclusivamente dentro do órgão e estritamente para a
finalidade de realização de estudos e pesquisas e mantidos em
ambiente controlado e seguro, conforme práticas de segurança
previstas em regulamento específico e que incluam, sempre que

Nesse caso, deve ser garantida, sempre que possível, a anonimização, ou seja, a utilização de
meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado
perde a possibilidade de associação, direta ou indireta, a um indivíduo.
possível, a anonimização ou pseudonimização dos dados, bem como
considerem os devidos padrões éticos relacionados a estudos e
pesquisas.
§ 1º - A divulgação dos resultados ou de qualquer excerto do estudo
ou da pesquisa de que trata o caput deste artigo em nenhuma

Entende-se por órgão de pesquisa o órgão ou entidade da Administração Pública Direta ou
Indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as
leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu
objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico,
tecnológico ou estatístico.
Uma prática já utilizada pelos órgãos de pesquisa com o intuito de anonimizar os dados pessoais
é, por exemplo, quando em uma pesquisa para apuração de intenção de votos em uma eleição,
hipótese poderá revelar dados pessoais.
§ 2º - O órgão de pesquisa será o responsável pela segurança da
informação prevista no caput deste artigo, não permitida, em
circunstância alguma, a transferência dos dados a terceiro.
§ 3º - O acesso aos dados de que trata este artigo será objeto de
regulamentação por parte da autoridade nacional e das autoridades
da área de saúde e sanitárias, no âmbito de suas competências.
§ 4º - Para os efeitos deste artigo, a pseudonimização é o tratamento
por meio do qual um dado perde a possibilidade de associação, direta
ou indireta, a um indivíduo, senão pelo uso de informação adicional
mantida separadamente pelo controlador em ambiente controlado e
seguro."

haja a proporção de votação para cada candidato de acordo com sexo, escolaridade, região
geográfica, classe social, etc. O resultado da pesquisa é cumprido, ao ponto que é praticamente
impossível saber quem foram as pessoas que demonstraram aquelas intenções utilizando-se de NOTAS
técnicas razoáveis para tentar atribuir um conjunto de dados a uma pessoa individualizada (4).
4 Disponível em: <https://triplait.com/bases-legais-para-tratamento-
Vide arts. 5º, XVIII, 7º, IV, e 13 da LGPD. de-dados-da-lgpd/>.

EXECUÇÃO DE CONTRATOS E PROCEDIMENTOS PRELIMINARES A ELE RELACIONADOS

Existem determinados dados pessoais que necessariamente precisam ser tratados para a
execução de obrigações contratualmente firmadas. Assim, por exemplo, nas situações em que o
titular de dados adquira produtos ou serviços, seus dados poderão ser tratados para essa
específica finalidade, sendo impossível executar o contrato sem que isso ocorra. Igualmente,
procedimentos preliminares à formalização do contrato em que o titular seja parte também
poderão ensejar o tratamento de dados pessoais.
Vide art. 7º, V, da LGPD.

EXERCÍCIO REGULAR DE DIREITOS EM PROCESSO JUDICIAL, ADMINISTRATIVO OU ARBITRAL

Nas situações em que se entender que determinados dados pessoais poderão servir como
elemento para exercício de direitos em demandas em geral, eles poderão ser armazenados,
desde que para essa única e exclusiva finalidade, enquanto subsistir tal necessidade.
Podem ser utilizados como parâmetro para retenção da informação os respectivos prazos
prescricionais previstos, na legislação civil e penal. Havendo discussão judicial, haverá
fundamento para armazenamento dos dados durante todo o prazo em que subsistir
possibilidade de discussão da demanda.
Vide art. 7º, VI, da LGPD.

PROTEÇÃO DA VIDA OU DA INCOLUMIDADE FÍSICA DO TITULAR OU DE TERCEIROS

Estão relacionadas a questões graves e que ponham em risco a vida ou a integridade física do
titular ou de terceiros.
Como exemplos trazidos por Viviane Nóbrega Maldonado e Renato Opice Blum na obra “LGPD:
Lei Geral de Proteção de Dados Comentada”, podemos mencionar a obtenção de dados de
geolocalização de dispositivos de telefone celular, com o objetivo de tentar localizar eventuais
vidas que possam estar no meio dos escombros, após determinado incidente. Igualmente,
situações em que pessoas possam ter sido sequestradas ou estejam perdidas das suas famílias
podem ensejar tentativas de obtenção de dados de geolocalização, a fim de identificar os
titulares.
Vide art. 7º, VII, da LGPD.

TUTELA DA SAÚDE

Essa base legal se destina apenas e tão somente para procedimentos realizados por
profissionais da saúde, tais como médicos, farmacêuticos, enfermeiros, educadores físicos,
fisioterapeutas, psicólogos, nutricionistas, biólogos, biomédicos, entre outros; serviços da
saúde, isto é, os “estabelecimentos destinados a promover a saúde do indivíduo, protegê-lo de
doenças e agravos, prevenir e limitar os danos a ele causados e reabilitá-lo quando sua
capacidade física, psíquica ou social for afetada”; e entidades que são membro do SNVS
(Sistema Nacional de Vigilância Sanitária), tais como ANVISA (Agência Nacional de Vigilância
Sanitária), Laboratórios Centrais de Saúde Pública (LACENS), Instituto Nacional de Controle de
Qualidade em Saúde (INCQS), Fundação Oswaldo Cruz (FIOCRUZ), além de outras entidades,
inclusive estaduais e municipais.
Apenas essas figuras taxativamente elencadas poderão se valer dessa base legal para o
tratamento de dados, desde que com o objetivo específico de tutela da saúde, sendo vedado
qualquer outro uso que desvirtue essa finalidade.
Vide art. 7º, VIII, da LGPD.

REFERÊNCIAS
"Art. 10. O legítimo interesse do controlador somente poderá
fundamentar tratamento de dados pessoais para finalidades
legítimas, consideradas a partir de situações concretas, que incluem,
mas não se limitam a:
I - apoio e promoção de atividades do controlador; e
II - proteção, em relação ao titular, do exercício regular de seus
direitos ou prestação de serviços que o beneficiem, respeitadas as
legítimas expectativas dele e os direitos e liberdades fundamentais,
nos termos desta Lei.
§ 1º - Quando o tratamento for baseado no legítimo interesse do
controlador, somente os dados pessoais estritamente necessários
para a finalidade pretendida poderão ser tratados.
§ 2º - O controlador deverá adotar medidas para garantir a
transparência do tratamento de dados baseado em seu legítimo
interesse.
§ 3º - A autoridade nacional poderá solicitar ao controlador relatório
de impacto à proteção de dados pessoais, quando o tratamento tiver
como fundamento seu interesse legítimo, observados os segredos
comercial e industrial."
"Art. 11. O tratamento de dados pessoais sensíveis somente poderá
ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma
específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em
que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela
administração pública, de políticas públicas previstas em leis ou
regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre
que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo
judicial, administrativo e arbitral, este último nos termos da Lei nº
9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de
terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos
processos de identificação e autenticação de cadastro em sistemas
eletrônicos, resguardados os direitos mencionados no art. 9º desta
Lei e exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais.
§ 1º - Aplica-se o disposto neste artigo a qualquer tratamento de
dados pessoais que revele dados pessoais sensíveis e que possa
causar dano ao titular, ressalvado o disposto em legislação específica.
§ 2º - Nos casos de aplicação do disposto nas alíneas “a” e “b” do
inciso II do caput deste artigo pelos órgãos e pelas entidades
públicas, será dada publicidade à referida dispensa de
consentimento, nos termos do inciso I do caput do art. 23 desta Lei.
§ 3º - A comunicação ou o uso compartilhado de dados pessoais
sensíveis entre controladores com objetivo de obter vantagem
econômica poderá ser objeto de vedação ou de regulamentação por
parte da autoridade nacional, ouvidos os órgãos setoriais do Poder
Público, no âmbito de suas competências.
§ 4º - É vedada a comunicação ou o uso compartilhado entre
controladores de dados pessoais sensíveis referentes à saúde com
objetivo de obter vantagem econômica, exceto nas hipóteses
relativas a prestação de serviços de saúde, de assistência
farmacêutica e de assistência à saúde, desde que observado o § 5º
deste artigo, incluídos os serviços auxiliares de diagnose e terapia,
em benefício dos interesses dos titulares de dados, e para permitir:
I - a portabilidade de dados quando solicitada pelo titular; ou
II - as transações financeiras e administrativas resultantes do uso e
da prestação dos serviços de que trata este parágrafo.
§ 5º - É vedado às operadoras de planos privados de assistência à
saúde o tratamento de dados de saúde para a prática de seleção de
riscos na contratação de qualquer modalidade, assim como na
contratação e exclusão de beneficiários."
LEGÍTIMO INTERESSE DO CONTROLADOR
O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais
para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se
limitam a: apoio e promoção de atividades do controlador; e proteção, em relação ao titular, do
exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as
legítimas expectativas dele e os direitos e liberdades fundamentais.
Como exemplos de apoio e promoção das atividades do controlador, podemos citar: o
controlador que, após observar as preferências de determinados usuários em seu portal, passar a
exibir para eles produtos que mais o agradem, com base no tratamento de dados dos demais
usuários daquele site; o envio de e-mail com descontos específicos para aqueles produtos
buscados por determinado titular, ou até mesmo com indicações, tomando por base seu histórico
de compras; ou relembrar determinado consumidor que incluiu produtos em seu “carrinho
virtual”, mas não finalizou a compra.
Já as questões relativas à proteção do titular relacionam-se a tratamentos de seus dados
realizados para sua segurança ou para evitar fraude, não se limitando, contudo, a essas
hipóteses. Assim, podem ser tratados dados de determinado titular que realiza uma transação
bancária, a fim de evitar fraude e garantir a segurança dos valores que o cidadão possui junto ao
banco.
Somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser
tratados, sendo certo que o controlador deverá adotar medidas para garantir a transparência do
tratamento de dados baseado em seu legítimo interesse.
Quando o tratamento tiver como fundamento o interesse legítimo do controlador, a ANPD
poderá solicitar ao controlador Relatório de Impacto à Proteção de Dados Pessoais, observados
os segredos comercial e industrial.
Vide arts. 7º, IX, e 10 da LGPD.
PROTEÇÃO DO CRÉDITO
Informações sobre adimplência e inadimplência de determinado titular poderão ser utilizadas, a
fim de se tomar decisão acerca da concessão ou não de crédito. É importante ressaltar que,
quando o tratamento se fundamentar nessa base legal, também deverá ser observado o disposto
na legislação pertinente, a qual contempla a Lei do Cadastro Positivo (Lei nº 12.414/2011), bem
como o Código de Defesa do Consumidor (Lei nº 8.078/1990).
Vide art. 7º, X, da LGPD.
DADOS PESSOAIS SENSÍVEIS
As bases legais para o tratamento de dados pessoais sensíveis são diferenciadas e limitadas. Por
isso, num primeiro momento, vale ressaltar que não há base legal para o tratamento de dados
sensíveis por legítimo interesse do controlador, nem tampouco para a proteção do crédito. A
esse respeito, inclusive, a Lei do Cadastro Positivo veda, expressamente, anotações de
“informações sensíveis, assim consideradas aquelas pertinentes à origem social e étnica, à saúde,
à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas”. Da
mesma forma, não há base legal para tratamento de dado sensível para a execução de contrato
ou procedimentos preliminares relacionados a contrato, mas sim para o exercício regular de
direitos, inclusive em contrato. Outra diferença salutar em relação ao tratamento de dado
sensível é que há base legal específica para garantia da prevenção à fraude e à segurança do
titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Quando a base legal para o tratamento do dado sensível for o consentimento, além de ser livre,
inequívoco e informado, também deverá ser específico e destacado. Isso quer dizer que o trecho
relativo ao tratamento dos dados deve ser destacado, o que pode se dar a partir do uso de caixa
alta, fontes em negrito, sublinhado, itálico, entre outros, garantindo ao titular o efetivo acesso ao
referido conteúdo.
Por outro lado, quando não houver o consentimento expresso do titular, só será possível realizar
o tratamento de dados pessoais sensíveis para: cumprimento de obrigação legal ou regulatória
pelo controlador; tratamento compartilhado de dados necessários à execução, pela
Administração Pública, de políticas públicas previstas em leis ou regulamentos; realização de
estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados
pessoais sensíveis; exercício regular de direitos, inclusive em contrato e em processo judicial,
administrativo e arbitral; proteção da vida ou da incolumidade física do titular ou de terceiro;
tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços
de saúde ou autoridade sanitária; e, por fim, garantia da prevenção à fraude e à segurança do
titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos,
resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem
direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores, com o
objetivo de obter vantagem econômica, poderá ser objeto de vedação ou de regulamentação por
parte da ANPD, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.
Todavia, a LGPD veda expressamente a comunicação ou o uso compartilhado entre
controladores de dados pessoais sensíveis referentes à saúde com o objetivo de obter vantagem
econômica, exceto nas hipóteses de portabilidade de dados quando consentido pelo titular ou
necessidade de comunicação para a adequada prestação de serviços de saúde suplementar,
sendo expressamente vedado às operadoras de planos privados de assistência à saúde o
tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer
modalidade, assim como na contratação e exclusão de beneficiários.
Vide art. 11 da LGPD.
DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES REFERÊNCIAS

Inicialmente, faz-se mister ressaltar que de acordo com a Lei nº 8.069/1990 (Estatuto da "Art. 14. O tratamento de dados pessoais de crianças e de
adolescentes deverá ser realizado em seu melhor interesse, nos
Criança e do Adolescente) criança é a pessoa com até 12 (doze) anos incompletos e termos deste artigo e da legislação pertinente.

adolescente é aquela entre 12 (doze) e 18 (dezoito) anos incompletos. Assim, o tratamento
de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor
interesse, nos termos da legislação pertinente.
No que se refere ao tratamento de dados pessoais de crianças, este só poderá se dar com o
consentimento específico e em destaque dado por pelo menos um dos pais ou pelo
responsável legal.
Nesse caso, os controladores deverão manter pública a informação sobre os tipos de dados
coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos dos
titulares.
A coleta de dados pessoais de crianças sem o consentimento de pelo menos um dos pais
ou do responsável legal só poderá ocorrer quando a coleta for necessária para contatar os
próprios pais ou responsável legal, ou para proteção do titular, sendo que, nesses casos, os
dados serão utilizados uma única vez e sem armazenamento, não podendo, em nenhum
caso, ser repassados a terceiro sem consentimento.
Por fim, as informações sobre o tratamento de dados de crianças deverão ser fornecidas de
maneira simples, clara e acessível, consideradas as características físico-motoras,
perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais
§ 1º - O tratamento de dados pessoais de crianças deverá ser
realizado com o consentimento específico e em destaque dado por
pelo menos um dos pais ou pelo responsável legal.
§ 2º - No tratamento de dados de que trata o § 1º deste artigo, os
controladores deverão manter pública a informação sobre os tipos de
dados coletados, a forma de sua utilização e os procedimentos para o
exercício dos direitos a que se refere o art. 18 desta Lei.
§ 3º - Poderão ser coletados dados pessoais de crianças sem o
consentimento a que se refere o § 1º deste artigo quando a coleta
for necessária para contatar os pais ou o responsável legal, utilizados
uma única vez e sem armazenamento, ou para sua proteção, e em
nenhum caso poderão ser repassados a terceiro sem o
consentimento de que trata o § 1º deste artigo.
§ 4º - Os controladores não deverão condicionar a participação dos
titulares de que trata o § 1º deste artigo em jogos, aplicações de
internet ou outras atividades ao fornecimento de informações
pessoais além das estritamente necessárias à atividade.
§ 5º - O controlador deve realizar todos os esforços razoáveis para
verificar que o consentimento a que se refere o § 1º deste artigo foi
dado pelo responsável pela criança, consideradas as tecnologias
disponíveis.
§ 6º - As informações sobre o tratamento de dados referidas neste
artigo deverão ser fornecidas de maneira simples, clara e acessível,
consideradas as características físico-motoras, perceptivas,
sensoriais, intelectuais e mentais do usuário, com uso de recursos
audiovisuais quando adequado, de forma a proporcionar a
informação necessária aos pais ou ao responsável legal e adequada
ao entendimento da criança."

quando adequado, de forma a proporcionar a informação necessária aos pais ou ao

responsável legal e adequada ao entendimento da criança.
Vide art. 14 da LGPD.

CONSENTIMENTO PROCESSOS
1 6

2 OBRIGAÇÃO LEGAL PROTEÇÃO DA VIDA 7

DADOS

POLÍTICAS PÚBLICAS PESSOAIS TUTELA DA SAÚDE 8

3

COMUNS

ESTUDOS LEGÍTIMO INTERESSE 9

4

CONTRATO PROTEÇÃO DO CRÉDITO 10

5

OBRIGAÇÃO LEGAL 2

POLÍTICAS PÚBLICAS 3

ESTUDOS 4
DADOS

CONSENTIMENTO PESSOAIS
1 PROCESSOS 5
SENSÍVEIS

PROTEÇÃO DA VIDA 6

TUTELA DA SAÚDE 7

PREVENÇÃO À FRAUDE 8

06
REFERÊNCIAS
"Art. 46. Os agentes de tratamento devem adotar medidas de
segurança, técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou qualquer
forma de tratamento inadequado ou ilícito.
§ 1º - A autoridade nacional poderá dispor sobre padrões técnicos
mínimos para tornar aplicável o disposto no caput deste artigo,
considerados a natureza das informações tratadas, as características
específicas do tratamento e o estado atual da tecnologia,
especialmente no caso de dados pessoais sensíveis, assim como os
princípios previstos no caput do art. 6º desta Lei.
§ 2º - As medidas de que trata o caput deste artigo deverão ser
observadas desde a fase de concepção do produto ou do serviço até a
sua execução."
"Art. 47. Os agentes de tratamento ou qualquer outra pessoa que
intervenha em uma das fases do tratamento obriga-se a garantir a
segurança da informação prevista nesta Lei em relação aos dados
pessoais, mesmo após o seu término."
"Art. 48. O controlador deverá comunicar à autoridade nacional e ao
titular a ocorrência de incidente de segurança que possa acarretar
risco ou dano relevante aos titulares.
§ 1º - A comunicação será feita em prazo razoável, conforme definido
pela autoridade nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a
proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido
imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou
mitigar os efeitos do prejuízo.
§ 2º - A autoridade nacional verificará a gravidade do incidente e
poderá, caso necessário para a salvaguarda dos direitos dos titulares,
determinar ao controlador a adoção de providências, tais como:
I - ampla divulgação do fato em meios de comunicação; e
II - medidas para reverter ou mitigar os efeitos do incidente.
§ 3º - No juízo de gravidade do incidente, será avaliada eventual
comprovação de que foram adotadas medidas técnicas adequadas
que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos
limites técnicos de seus serviços, para terceiros não autorizados a
acessá-los."
"Art. 49. Os sistemas utilizados para o tratamento de dados pessoais
devem ser estruturados de forma a atender aos requisitos de
segurança, aos padrões de boas práticas e de governança e aos
princípios gerais previstos nesta Lei e às demais normas
regulamentares."
SEGURANÇA, BOAS PRÁTICAS E
SANÇÕES ADMINISTRATIVAS
NESSE CAPÍTULO
Segurança e Sigilo dos Dados
Privacy by Design e Privacy by Default
Boas Práticas e Governança
Ciclo de Vida dos Dados
Sanções Administrativas.
SEGURANÇA E SIGILO DOS DADOS
Os agentes de tratamento, ou seja, controlador e operador, devem adotar medidas de
segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não
autorizados, ou seja, acesso realizado por pessoa que não detém permissão dos agentes de
tratamento para tanto, e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Pedindo vênia para transcrever a valiosa lição de Viviane Nóbrega Maldonado e Renato Opice
Blum, extraída da obra “LGPD: Lei Geral de Proteção de Dados Comentada”, as medidas
técnicas são aquelas adotadas no âmbito da Tecnologia da Informação, com o uso de recursos
informáticos dotados de funcionalidades voltadas à garantia da segurança da informação. São
exemplos dessas tecnologias: ferramentas de autenticação de acesso a sistemas, mecanismos
de segurança em softwares e hardwares, recursos de controle de tráfego de dados em rede,
instrumentos detectores de invasões de sistemas, recursos de criptografia, segregação de
servidores, ferramentas de prevenção à perda de dados, testes de vulnerabilidade, cópias de
segurança, entre muitos outros.
Por sua vez, as medidas administrativas são as atividades realizadas no âmbito administrativo-
gerencial dos agentes de tratamento, incluindo-se as de natureza jurídica. São exemplos de
medidas administrativas: políticas corporativas para proteção dos dados pessoais, contratos de
confidencialidade, políticas de privacidade de sites e aplicativos, capacitação dos empregados
cujas atividades envolvam o tratamento de dados pessoais, controle de acesso aos arquivos
físicos, entre outras.
A ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicáveis as medidas de
segurança da informação, considerados a natureza das informações tratadas, as características
específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados
pessoais sensíveis, assim como os princípios gerais da proteção de dados.
O controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança
que possa acarretar risco ou dano relevante aos titulares. Essa comunicação será feita em
prazo razoável e deverá mencionar, no mínimo: a descrição da natureza dos dados pessoais
afetados; as informações sobre os titulares envolvidos; a indicação das medidas técnicas e de
segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
os riscos relacionados ao incidente; os motivos da demora, no caso de a comunicação não ter
sido imediata; e as medidas que foram ou que serão adotadas para reverter ou mitigar os
efeitos do prejuízo.
Ato contínuo, a ANPD verificará a gravidade do incidente e poderá, caso necessário para a
salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais
como a ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar
os efeitos do incidente. No juízo de gravidade do incidente, será avaliada, pela ANPD, eventual
comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados
pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para
terceiros não autorizados a acessá-los.
Assim, por exemplo, no caso de vazamento de uma base de dados que continha números de
cartões de crédito, caso houvesse sido aplicado recurso de criptografia em tal base, ainda que
os dados vazassem na internet, ninguém conseguiria decifrar que ali estariam contidos os
dados de cartão de crédito, de modo que o risco estaria mitigado.
Vide arts. 46 a 49 da LGPD.
PRIVACY BY DESIGN E PRIVACY BY DEFAULT
A LGPD traz disposição expressa acerca da aplicação do conceito privacy by design, ao prever
que as medidas de segurança da informação deverão ser observadas desde a fase de concepção
do produto ou do serviço até a sua execução. O privacy by design foi adotado pela LGPD como
forma de garantir que a privacidade e a proteção de dados estivessem presentes em todo o
ciclo de vida de produtos e serviços, desde a sua concepção. O conceito foi desenvolvido pela
canadense Ann Cavoukian, Comissária de Informação e Privacidade de Ontario, Canadá, entre
os anos de 1997 e 2014 – que a idealizou em meados da década de 1990.
Portanto, no momento do desenvolvimento de produtos ou serviços que utilizem dados
pessoais, o controlador deve usar meios técnicos, de segurança e administrativos, adequados
para garantir a legalidade durante todo o ciclo de vida dos dados.
Em decorrência da aplicação do privacy by design, emerge também o conceito privacy by default,
que se refere à metodologia que adota por padrão a configuração de privacidade mais restritiva
possível na fase da coleta de dados pessoais por qualquer sistema de tecnologia da informação,
a fim de garantir a proteção dos dados pessoais de forma automática, ainda que nenhuma
interação com a máquina tenha sido feita pelo usuário nesse sentido. É a configuração do
sistema nesse mais alto padrão protetivo.
Assim, as empresas são incentivadas a aplicar medidas técnicas e organizativas, nas fases
iniciais da concepção das operações de tratamento, de forma a garantir os princípios da
privacidade e proteção de dados logo desde o início (privacy by design). Ademais, as empresas
devem garantir que os dados pessoais sejam tratados com a mais elevada proteção da
privacidade para que, por padrão, os dados pessoais não sejam disponibilizados a um número
indefinido de pessoas (privacy by default).
Para ilustrar o que poderiam ser exemplos de técnicas no contexto em questão, trazemos os
seguintes exemplos para a privacy by design: o recurso à pseudonimização, ou seja, a
substituição de material pessoalmente identificável por identificadores artificiais; e a cifragem,
ou seja, a codificação de mensagens para que apenas as pessoas autorizadas as possam ler. Já
como exemplos da privacy by default, temos: uma plataforma de redes sociais deve ser
incentivada a definir as configurações de perfil dos utilizadores de forma a facilitar a
privacidade, por exemplo, limitando desde o início a acessibilidade do perfil para que não seja
acessível, por padrão, a outros usuários.
BOAS PRÁTICAS E GOVERNANÇA
Os controladores e operadores podem, isoladamente ou por meio de associações, formular suas
próprias regras de boas práticas e de governança sobre proteção de dados pessoais, que
estabeleçam as condições de organização, o regime de funcionamento, os procedimentos,
incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as
obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os
mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao
tratamento de dados pessoais. Para tanto, terão que considerar a natureza e o escopo do
tratamento e dos dados pessoais, a finalidade, a probabilidade e a gravidade dos potenciais
riscos envolvidos, bem como todos os benefícios decorrentes do tratamento de dados.
Na implementação do programa de governança, o controlador deverá demonstrar seu
comprometimento em adotar processos e políticas internas que assegurem o cumprimento, de
forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais, aplicando-
os a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do
modo como se realizou sua coleta, e adaptando-os à estrutura, à escala e ao volume de suas
operações, bem como à sensibilidade dos dados tratados. Ademais, o controlador deverá, ainda:
estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática
de impactos e riscos à privacidade; estabelecer uma relação de confiança com o titular, por
meio de atuação transparente e que assegure mecanismos de participação do titular;
estabelecer e aplicar mecanismos de supervisão internos e externos; contar com planos de
resposta a incidentes e remediação; e atualizar seu programa constantemente, com base em
informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
A fim de demonstrar a efetividade de seu programa de governança em privacidade, em especial
quando solicitado pela ANPD, o controlador deverá manter registro das atividades de
tratamento de dados, além do Relatório de Impacto à Proteção de Dados, conforme a seguir
explicitado.
Vide arts. 50 e 51 da LGPD.
REGISTRO DAS ATIVIDADES DE TRATAMENTO DE DADOS
O controlador e o operador devem manter registro das operações de tratamento de dados
pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Embora similares, o registro das atividades de tratamento de dados não se confunde com o
Relatório de Impacto à Proteção de Dados, já que suas finalidades são distintas. Enquanto o
registro das atividades de tratamento de dados pessoais se presta a meramente documentar os
processos relacionados ao tratamento de dados pessoais, o relatório apresenta um foco
específico no mapeamento dos riscos decorrentes da atividade de tratamento de dados
pessoais objeto do relatório. Nesse sentido, a finalidade principal do relatório de impacto à
proteção de dados pessoais é de apontar qualquer risco que possa advir daquela operação de
tratamento de dados pessoais, e direcionar o controlador e/ou o operador à mitigação daqueles
riscos mapeados.
Vide art. 37 da LGPD.
REFERÊNCIAS
"Art. 50. Os controladores e operadores, no âmbito de suas
competências, pelo tratamento de dados pessoais, individualmente
ou por meio de associações, poderão formular regras de boas
práticas e de governança que estabeleçam as condições de
organização, o regime de funcionamento, os procedimentos,
incluindo reclamações e petições de titulares, as normas de
segurança, os padrões técnicos, as obrigações específicas para os
diversos envolvidos no tratamento, as ações educativas, os
mecanismos internos de supervisão e de mitigação de riscos e outros
aspectos relacionados ao tratamento de dados pessoais.
§ 1º - Ao estabelecer regras de boas práticas, o controlador e o
operador levarão em consideração, em relação ao tratamento e aos
dados, a natureza, o escopo, a finalidade e a probabilidade e a
gravidade dos riscos e dos benefícios decorrentes de tratamento de
dados do titular.
§ 2º - Na aplicação dos princípios indicados nos incisos VII e VIII do
caput do art. 6º desta Lei, o controlador, observados a estrutura, a
escala e o volume de suas operações, bem como a sensibilidade dos
dados tratados e a probabilidade e a gravidade dos danos para os
titulares dos dados, poderá:
I - implementar programa de governança em privacidade que, no
mínimo:
a) demonstre o comprometimento do controlador em adotar
processos e políticas internas que assegurem o cumprimento, de
forma abrangente, de normas e boas práticas relativas à proteção de
dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam
sob seu controle, independentemente do modo como se realizou sua
coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações,
bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em
processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular,
por meio de atuação transparente e que assegure mecanismos de
participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e
aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas
a partir de monitoramento contínuo e avaliações periódicas;
II - demonstrar a efetividade de seu programa de governança em
privacidade quando apropriado e, em especial, a pedido da
autoridade nacional ou de outra entidade responsável por promover
o cumprimento de boas práticas ou códigos de conduta, os quais, de
forma independente, promovam o cumprimento desta Lei.
§ 3º - As regras de boas práticas e de governança deverão ser
publicadas e atualizadas periodicamente e poderão ser reconhecidas
e divulgadas pela autoridade nacional."
"Art. 51. A autoridade nacional estimulará a adoção de padrões
técnicos que facilitem o controle pelos titulares dos seus dados
pessoais."
"Art. 37. O controlador e o operador devem manter registro das
operações de tratamento de dados pessoais que realizarem,
especialmente quando baseado no legítimo interesse."
"Art. 5º Para os fins desta Lei, considera-se: (...) XVII - relatório de
impacto à proteção de dados pessoais: documentação do controlador
que contém a descrição dos processos de tratamento de dados
pessoais que podem gerar riscos às liberdades civis e aos direitos
fundamentais, bem como medidas, salvaguardas e mecanismos de
mitigação de risco; (...)."
"Art. 38. A autoridade nacional poderá determinar ao controlador
que elabore relatório de impacto à proteção de dados pessoais,
inclusive de dados sensíveis, referente a suas operações de
tratamento de dados, nos termos de regulamento, observados os
segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o
relatório deverá conter, no mínimo, a descrição dos tipos de dados
coletados, a metodologia utilizada para a coleta e para a garantia da
segurança das informações e a análise do controlador com relação a
medidas, salvaguardas e mecanismos de mitigação de risco
adotados."
 RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS

REFERÊNCIAS Trata-se da documentação do controlador que contém a descrição dos processos de tratamento
de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem
"Art. 15. O término do tratamento de dados pessoais ocorrerá nas
seguintes hipóteses: como medidas, salvaguardas e mecanismos de mitigação de risco.
I - verificação de que a finalidade foi alcançada ou de que os dados
deixaram de ser necessários ou pertinentes ao alcance da finalidade
Esse documento deve conter, no mínimo, a descrição dos tipos de dados coletados, a
específica almejada; metodologia utilizada para a coleta e para a segurança da informação, e a análise do controlador
II - fim do período de tratamento;
III - comunicação do titular, inclusive no exercício de seu direito de sobre as medidas que podem ser implementadas para minimizar os riscos.
revogação do consentimento conforme disposto no § 5º do art. 8º
desta Lei, resguardado o interesse público; ou Como o RIPD tem o propósito de mitigar riscos, Viviane Nóbrega Maldonado e Renato Opice
IV - determinação da autoridade nacional, quando houver violação ao
disposto nesta Lei."
Blum, na obra “LGPD: Lei Geral de Proteção de Dados Comentada”, indicam que ele deverá ser
realizado antes do início do tratamento, mas com uma visão completa de todo o ciclo de vida
"Art. 16. Os dados pessoais serão eliminados após o término de seu
tratamento, no âmbito e nos limites técnicos das atividades, dos dados. Assim, o controlador conseguirá enxergar, claramente, quais serão os principais
autorizada a conservação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
fatores que poderão impactar as liberdades civis e os direitos fundamentais para a tomada de
II - estudo por órgão de pesquisa, garantida, sempre que possível, a decisão, desde a implementação de medidas e mecanismos que demonstrem o cumprimento da
anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de Lei até a descontinuidade do projeto.
tratamento de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e
Essas medidas e mecanismos podem ser administrativos ou técnicos, como a abstenção da
desde que anonimizados os dados." coleta de uma determinada espécie de dado pessoal, restrição de acessos aos dados tratados,
"Art. 52. Os agentes de tratamento de dados, em razão das infrações reforçar a tecnologia de criptografia ou realizar o procedimento de pseudonimização dos dados,
cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes
sanções administrativas aplicáveis pela autoridade nacional: apenas para citar alguns exemplos. Frise-se que a ANPD poderá solicitar o relatório de impacto
I - advertência, com indicação de prazo para adoção de medidas
corretivas;
para tratamento de dados que envolvam interesse legítimo, bem como determinar que este seja
II - multa simples, de até 2% (dois por cento) do faturamento da feito para tratamento que implique dados sensíveis.
pessoa jurídica de direito privado, grupo ou conglomerado no Brasil
no seu último exercício, excluídos os tributos, limitada, no total, a R$ Vide arts. 5º, XVII, e 38 da LGPD.
50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada
a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua
regularização;
CICLO DE VIDA DOS DADOS
VI - eliminação dos dados pessoais a que se refere a infração;
VII - (VETADO); Um dos aspectos mais relevantes atinentes ao tratamento dos dados pessoais é a chamada
VIII - (VETADO);
IX - (VETADO);
“retenção”, que condiciona a obrigatoriedade de que seja instituída política assertiva sobre o
X - suspensão parcial do funcionamento do banco de dados a que se
refere a infração pelo período máximo de 6 (seis) meses, prorrogável
tempo de tratamento e sobre a previsão de sua expiração. Ferramentas construídas para
por igual período, até a regularização da atividade de tratamento pelo projetos de implementação da LGPD normalmente incluem uma “marca” temporal, destinada a
controlador;
criar um alerta futuro quanto à expiração da base legal e a determinar, quando não exista nova
circunstância, o efetivo término do tratamento e consequente eliminação dos dados até então
existentes.

COLETAR ANALISAR ARMAZENAR COMPARTILHAR REUTILIZAR ELIMINAR

Assim, o término do tratamento de dados pessoais e sua consequente eliminação, que operar-
XI - suspensão do exercício da atividade de tratamento dos dados
pessoais a que se refere a infração pelo período máximo de 6 (seis) se-á de forma automática, não se fazendo necessário qualquer pedido expresso do titular dos
meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas
dados, deverá ocorrer sempre que for verificada qualquer das seguintes hipóteses: quando a
a tratamento de dados. finalidade foi alcançada ou quando os dados deixaram de ser necessários ou pertinentes ao
§ 1º - As sanções serão aplicadas após procedimento administrativo
que possibilite a oportunidade da ampla defesa, de forma gradativa, alcance da finalidade específica almejada; ao fim do período de tratamento; quando solicitado
isolada ou cumulativa, de acordo com as peculiaridades do caso
concreto e considerados os seguintes parâmetros e critérios:
pelo titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o
I - a gravidade e a natureza das infrações e dos direitos pessoais
afetados;
interesse público; bem como por determinação da ANPD, quando houver violação ao disposto
II - a boa-fé do infrator; na Lei.
III - a vantagem auferida ou pretendida pelo infrator;
IV - a condição econômica do infrator; Via de regra, quando identificada qualquer das situações descritas acima, deverá ocorrer a
V - a reincidência;
VI - o grau do dano;
eliminação dos dados pessoais, sendo, contudo, autorizada sua conservação para as seguintes
VII - a cooperação do infrator; finalidades: cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão
VIII - a adoção reiterada e demonstrada de mecanismos e
procedimentos internos capazes de minimizar o dano, voltados ao de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; transferência a
tratamento seguro e adequado de dados, em consonância com o
disposto no inciso II do § 2º do art. 48 desta Lei;
terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na Lei; ou para
IX - a adoção de política de boas práticas e governança; uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os
X - a pronta adoção de medidas corretivas; e
XI - a proporcionalidade entre a gravidade da falta e a intensidade da dados.
sanção.
§ 2º - O disposto neste artigo não substitui a aplicação de sanções Vide arts. 15 e 16 da LGPD.
administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de
setembro de 1990, e em legislação específica.
§ 3º - O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste
artigo poderá ser aplicado às entidades e aos órgãos públicos, sem
prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na SANÇÕES ADMINISTRATIVAS
Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de
novembro de 2011.
§ 4º - No cálculo do valor da multa de que trata o inciso II do caput Inicialmente, cabe-nos destacar que a Lei nº 14.010/2020 postergou o início da vigência dos
deste artigo, a autoridade nacional poderá considerar o faturamento
total da empresa ou grupo de empresas, quando não dispuser do
artigos relacionados às sanções administrativas da LGPD para 1º de agosto de 2021. Isso se deu
valor do faturamento no ramo de atividade empresarial em que porque é importante que haja um período de adaptação, no qual a ANPD esteja mais voltada
ocorreu a infração, definido pela autoridade nacional, ou quando o
valor for apresentado de forma incompleta ou não for demonstrado para orientação e divulgação de boas práticas do que para a punição.
de forma inequívoca e idônea.
§ 5º - O produto da arrecadação das multas aplicadas pela ANPD,
Como bem apontado no caput do art. 52 e no art. 55-K, a competência para aplicação das
inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa penalidades administrativas previstas na LGPD é exclusiva da ANPD.
de Direitos Difusos de que tratam o art. 13 da Lei nº 7.347, de 24 de
julho de 1985, e a Lei nº 9.008, de 21 de março de 1995. As sanções só serão aplicadas após procedimento administrativo que possibilite a oportunidade
§ 6º - As sanções previstas nos incisos X, XI e XII do caput deste
artigo serão aplicadas: da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do
I - somente após já ter sido imposta ao menos 1 (uma) das sanções de
que tratam os incisos II, III, IV, V e VI do caput deste artigo para o
caso concreto e considerados os seguintes parâmetros e critérios: a gravidade e a natureza das
mesmo caso concreto; e infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou
II - em caso de controladores submetidos a outros órgãos e entidades
com competências sancionatórias, ouvidos esses órgãos. pretendida pelo infrator; a condição econômica do infrator; a reincidência; o grau do dano; a
§ 7º - Os vazamentos individuais ou os acessos não autorizados de
que trata o caput do art. 46 desta Lei poderão ser objeto de
cooperação do infrator; a adoção reiterada e demonstrada de mecanismos e procedimentos
conciliação direta entre controlador e titular e, caso não haja acordo, internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; a
o controlador estará sujeito à aplicação das penalidades de que trata
este artigo." adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e a
proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Vale destacar, ainda, que as sanções administrativas definidas pela LGPD não substituem a
aplicação de sanções administrativas, civis ou penais definidas no Código de Defesa do REFERÊNCIAS
Consumidor e em legislações específicas.
Vide arts. 52 a 54 da LGPD. "Art. 53. A autoridade nacional definirá, por meio de regulamento
próprio sobre sanções administrativas a infrações a esta Lei, que
deverá ser objeto de consulta pública, as metodologias que
orientarão o cálculo do valor-base das sanções de multa.
§ 1º - As metodologias a que se refere o caput deste artigo devem
ADVERTÊNCIA
ser previamente publicadas, para ciência dos agentes de tratamento,

Nesse caso, a sanção se limita à indicação de prazo para adoção de medidas corretivas.
MULTA SIMPLES
A multa será de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado,
grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no
total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
No cálculo do valor da multa, a ANPD poderá considerar o faturamento total da empresa ou
e devem apresentar objetivamente as formas e dosimetrias para o
cálculo do valor-base das sanções de multa, que deverão conter
fundamentação detalhada de todos os seus elementos,
demonstrando a observância dos critérios previstos nesta Lei.
§ 2º - O regulamento de sanções e metodologias correspondentes
deve estabelecer as circunstâncias e as condições para a adoção de
multa simples ou diária."
"Art. 54. O valor da sanção de multa diária aplicável às infrações a
esta Lei deve observar a gravidade da falta e a extensão do dano ou
prejuízo causado e ser fundamentado pela autoridade nacional.
Parágrafo único. A intimação da sanção de multa diária deverá
conter, no mínimo, a descrição da obrigação imposta, o prazo

grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade razoável e estipulado pelo órgão para o seu cumprimento e o valor da
multa diária a ser aplicada pelo seu descumprimento."
empresarial em que ocorreu a infração, ou quando o valor for apresentado de forma
incompleta ou não for demonstrado de forma inequívoca e idônea.
A ANPD definirá, por meio de regulamento próprio, que deverá ser objeto de consulta pública,
as metodologias que orientarão o cálculo do valor-base das sanções de multa. Essas
metodologias devem ser previamente publicadas, para ciência dos agentes de tratamento, e
devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das
sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos.
O regulamento de sanções e metodologias correspondentes deve estabelecer, ainda, as
circunstâncias e as condições para a adoção de multa simples ou diária.
Essa sanção não poderá ser aplicada às entidades e aos órgãos públicos.

MULTA DIÁRIA

A multa diária, diferentemente da multa simples, não representa uma satisfação jurídico-legal
ao cometimento de uma infração, mas um instrumento de coercitividade para cumprimento de
obrigação imposta.
A Lei traz a limitação no total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração
também para essa modalidade de multa. Porém, o valor da multa diária deverá observar a
gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela ANPD.
Ademais, a intimação da sanção de multa diária deverá conter, no mínimo, a descrição da
obrigação imposta, o prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor
da multa diária a ser aplicada pelo seu descumprimento. Essa sanção não poderá ser aplicada às
entidades e aos órgãos públicos.

PUBLICIZAÇÃO DA INFRAÇÃO

O próprio agente de tratamento deverá dar publicidade à condenação, em veículos de grande

circulação, o que impõe um dano reputacional significativo ao agente infrator.

BLOQUEIO DOS DADOS

O bloqueio dos dados objeto da infração equivale a uma limitação temporária em seu
tratamento, até a sua regularização.

ELIMINAÇÃO DOS DADOS

A eliminação dos dados pessoais a que se refere a infração equivale ao seu apagamento
definitivo. Nesse sentido, dever-se-á, tão somente, assegurar a plenitude desse tratamento, de
maneira a que não se recuperem os dados por métodos e tecnologias hoje capazes de
recuperação de dados excluídos em armazenamentos magnéticos e outras mídias.

SUSPENSÃO DO BANCO DE DADOS

A suspensão parcial do funcionamento do banco de dados a que se refere a infração pode se

dar pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização
da atividade de tratamento pelo controlador.
É sempre bom lembrar que banco de dados é conceituado, pela Lei, como sendo o conjunto
estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico
ou físico.

SUSPENSÃO DA ATIVIDADE DE TRATAMENTO

A suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a

infração pode se dar pelo período máximo de 6 (seis) meses, prorrogável por igual período.

PROIBIÇÃO DE TRATAMENTO

A proibição do exercício de atividades relacionadas a tratamento de dados pode ser parcial ou

total.
As sanções relativas à suspensão do banco de dados, suspensão da atividade de tratamento e
sua proibição só poderão ser aplicadas após já ter sido imposta ao menos uma das sanções de
multa, simples ou diária, publicização da infração, bloqueio ou eliminação dos dados objeto da
infração para o mesmo caso concreto; e, em caso de controladores submetidos a outros órgãos
e entidades com competências sancionatórias, ouvidos esses órgãos.

07
O Programa de Adequação à Lei Geral de
Proteção de Dados, elaborado e
desenvolvido por nós, representa um
completo programa de compliance digital,
implementado em 06 (seis) fases, que
poderão ser contratadas conjunta ou
separadamente.
É importante ressaltar que este
documento representa apenas um esboço
genérico do programa, já que a
implementação da LGPD vai depender
muito do porte da empresa, da quantidade
de dados tratados, bem como de sua
categoria, entre outros fatores. O
programa será elaborado especificamente
para a sua empresa, podendo haver
redução das fases.
O tempo de duração do programa pode
variar de 02 (dois) a 12 (doze) meses para
sua finalização.
As empresas que se adequarem possuirão
verdadeiro diferencial competitivo,
imagem superior no mercado, viabilizando
negociações com outras empresas de
maior porte, que já estão adequadas e
passarão a exigir conformidade à LGPD de
seus parceiros, mitigando riscos de danos
financeiros e reputacionais.
Torne-se uma das empresas mais
atualizadas, preparadas e influentes no
mercado, começando agora!
Para mais informações sobre nossos
serviços, aponte a câmera do seu celular
para o QR CODE abaixo, para acessar
nosso portfólio:
PROGRAMA DE ADEQUAÇÃO À LEI
GERAL DE PROTEÇÃO DE DADOS
NESSE CAPÍTULO
Conheça o Programa de Adequação à Lei Geral de
Proteção de Dados, elaborado e desenvolvido pelas
advogadas e especialistas em Direito Digital,
autoras deste E-Book, Amanda T. Lenci Paccola,
Camilla Beatriz Paula e Emília Garbuio Pelegrini.
PREPARAÇÃO E CONSCIENTIZAÇÃO
O objetivo dessa fase é promover a conscientização de todos os funcionários sobre a importância
da proteção de dados e o impacto que a falta dela pode trazer ao negócio. Devem ser
consideradas no escopo todas as áreas de negócio que tratam dados pessoais: que coletam,
armazenam, processam, transferem ou recebem dados pessoais de titulares de dados – clientes,
consumidores, prospects, funcionários, candidatos a vagas de emprego, parceiros e fornecedores.
MAPEAMENTO DE DADOS
Essa etapa detalha como executar uma avaliação inicial do cenário atual de privacidade e
proteção de dados da empresa. Para isso, traçamos um roadmap de atividades que visam capturar
as informações-chave, para, por meio da identificação clara dos gaps e pontos, permitir a
identificação dos riscos, impactos e desafios que necessitam ser endereçados nas próximas
etapas. Será elaborado um mapa do fluxo dos dados dentro da sua empresa, levando em
consideração todas as regulamentações aplicáveis. Esse mapa permitirá tangibilizar melhor como
planejar essa coleta das informações iniciais.
DIAGNÓSTICO DE FALHAS OU BRECHAS
De posse do cenário inicial de privacidade e proteção de dados e das regulamentações que
afetam esse cenário, é hora de realizar um levantamento mais detalhado das informações e
validação do cenário atual. Essa etapa deve envolver a participação integrada de toda a empresa,
capturando detalhes do cenário atual e os pontos de vista de cada uma delas. Ao final, será
elaborado o relatório com o diagnóstico detalhado e plano de trabalho para as próximas etapas.
GOVERNANÇA DO PROGRAMA
Cumpridas as etapas anteriores, cabe agora estabelecer a governança do Programa de Privacidade
e Proteção de Dados. Essa governança deverá assegurar uma implementação efetiva e sua
manutenção. A governança deve contemplar minimamente os seguintes componentes: a
estratégia em privacidade de dados; atribuição clara de papeis e responsabilidades; políticas de
privacidade e proteção de dados; gestão dos direitos dos titulares de dados; gestão do compliance
de parceiros e fornecedores (compartilhamento de dados); plano de treinamento e
conscientização; elaboração de contratos e aditamentos; plano de gestão de crises;
Implementação do Privacy by Design e Privacy by Default nos produtos e serviços, entre outros.
IMPLEMENTAÇÃO
Nessa etapa, será elaborada uma visão única e integrada do roadmap, para implementação do
plano de ação. Aqui será colocado em prática todo o planejamento feito especialmente para a
empresa/cliente. Como este é o momento em que efetivamente começa a acontecer a adequação,
muitas dúvidas podem surgir por parte dos funcionários. É indicado acompanhamento de perto e
atuação conjunta e, se possível, novo workshop com os funcionários para início dessa fase.
MONITORAMENTO
O monitoramento é a última etapa do programa, onde são monitoradas as implementações para
verificação da efetividade. Será observado por um período como as implementações feitas estão
sendo executadas, para analisar se é necessária alguma alteração ou se o programa foi efetivo.
Finalizada a implementação, a empresa estará em compliance com a LGPD.