Escolar Documentos
Profissional Documentos
Cultura Documentos
NESSE CAPÍTULO
O Marco Civil da Internet (Lei nº 12.965/2014) e seu Decreto Regulamentador (Decreto nº REFERÊNCIAS
8.771/2016) estabelece princípios, garantias, direitos e deveres para o uso da Internet no
"Art. 31. O tratamento das informações pessoais deve ser feito de
Brasil. Dentre os princípios que regem a disciplina do uso da internet, está a proteção dos forma transparente e com respeito à intimidade, vida privada,
dados pessoais, na forma da lei. honra e imagem das pessoas, bem como às liberdades e garantias
individuais.
Para tanto, a Lei estabelece, como direitos dos usuários: inviolabilidade da intimidade e da vida § 1º - As informações pessoais, a que se refere este artigo, relativas
à intimidade, vida privada, honra e imagem:
privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; I - terão seu acesso restrito, independentemente de classificação
de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua
inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial; a data de produção, a agentes públicos legalmente autorizados e à
inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial; pessoa a que elas se referirem; e
II - poderão ter autorizada sua divulgação ou acesso por terceiros
não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de diante de previsão legal ou consentimento expresso da pessoa a
que elas se referirem.
acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou § 2º - Aquele que obtiver acesso às informações de que trata este
nas hipóteses previstas em lei; informações claras e completas sobre coleta, uso, artigo será responsabilizado por seu uso indevido.
§ 3º - O consentimento referido no inciso II do § 1º não será
armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser exigido quando as informações forem necessárias:
I - à prevenção e diagnóstico médico, quando a pessoa estiver física
utilizados para finalidades que justifiquem sua coleta, não sejam vedadas pela legislação e ou legalmente incapaz, e para utilização única e exclusivamente
estejam especificadas nos contratos de prestação de serviços ou em termos de uso de para o tratamento médico;
II - à realização de estatísticas e pesquisas científicas de evidente
aplicações de internet; consentimento expresso sobre coleta, uso, armazenamento e interesse público ou geral, previstos em lei, sendo vedada a
identificação da pessoa a que as informações se referirem;
tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas III - ao cumprimento de ordem judicial;
contratuais; exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação IV - à defesa de direitos humanos; ou
V - à proteção do interesse público e geral preponderante.
de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as § 4º - A restrição de acesso à informação relativa à vida privada,
honra e imagem de pessoa não poderá ser invocada com o intuito
hipóteses de guarda obrigatória de registros previstas nesta Lei; publicidade e clareza de de prejudicar processo de apuração de irregularidades em que o
titular das informações estiver envolvido, bem como em ações
eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet. voltadas para a recuperação de fatos históricos de maior relevância.
Vide art. 7º da Lei nº 12.965/2014. § 5º Regulamento disporá sobre os procedimentos para tratamento
de informação pessoal."
Inicialmente, ao ser promulgada, a LGPD possuía a previsão de início de vigência após 18 registros de conexão, e de acesso a aplicações de internet, salvo
mediante consentimento livre, expresso e informado ou nas
(dezoito) meses de sua publicação oficial, o que se daria em fevereiro de 2020, porém, tão logo, hipóteses previstas em lei;
VIII - informações claras e completas sobre coleta, uso,
a Medida Provisória nº 869, de 27 de dezembro de 2018, estabeleceu que a vigência dos armazenamento, tratamento e proteção de seus dados pessoais,
artigos relativos à criação da Autoridade Nacional de Proteção de Dados (ANPD) e do que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade se daria em 28 de b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou
dezembro de 2018, enquanto os demais dispositivos entraram em vigor 24 (vinte e quatro) em termos de uso de aplicações de internet;
IX - consentimento expresso sobre coleta, uso, armazenamento e
meses após a data de sua publicação, o que se daria em agosto de 2020. Essa Medida tratamento de dados pessoais, que deverá ocorrer de forma
Provisória foi convertida na Lei nº 13.853, de 8 de julho de 2019. destacada das demais cláusulas contratuais;
X - exclusão definitiva dos dados pessoais que tiver fornecido a
Porém, em 10 de junho de 2020, em razão da pandemia causada pela COVID-19, fora determinada aplicação de internet, a seu requerimento, ao término
da relação entre as partes, ressalvadas as hipóteses de guarda
promulgada a Lei nº 14.010/20, que, dentre outros assuntos, manteve o início da vigência dos obrigatória de registros previstas nesta Lei;
demais artigos da LGPD para agosto de 2020, postergando o início da incidência das sanções XI - publicidade e clareza de eventuais políticas de uso dos
provedores de conexão à internet e de aplicações de internet;
administrativas para 1º de agosto de 2021. Não obstante, também em razão da COVID-19, fora XII - acessibilidade, consideradas as características físico-motoras,
perceptivas, sensoriais, intelectuais e mentais do usuário, nos
promulgada a Medida Provisória nº 959/2020, que alterava a data de início de vigência dos termos da lei; e
dispositivos remanescentes da LGPD para o dia 03 de maio de 2021. No entanto, tais prazos XIII - aplicação das normas de proteção e defesa do consumidor
nas relações de consumo realizadas na internet."
foram considerados prejudicados pelo Senado Federal, sendo que a vigência da LGPD ficou "Art. 1º. Esta Lei dispõe sobre o tratamento de dados pessoais,
condicionada à sanção ou veto do Presidente da República em relação aos demais dispositivos inclusive nos meios digitais, por pessoa natural ou por pessoa
jurídica de direito público ou privado, com o objetivo de proteger
da MP nº 959/2020, o que veio a ocorrer somente em 17 de setembro de 2020, prevalecendo, os direitos fundamentais de liberdade e de privacidade e o livre
como data de início de vigência da LGPD, o dia 18 de setembro de 2020, com o início da desenvolvimento da personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de
incidência das penalidades previstas no art. 52 da LGPD para o dia 1º de agosto de 2021. interesse nacional e devem ser observadas pela União, Estados,
Distrito Federal e Municípios."
Vide arts. 1º e 65 da LGPD.
"Art. 65. Esta Lei entra em vigor: (Redação dada pela Lei nº 13.853,
de 2019)
I - dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C,
55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B;
A IMPORTÂNCIA DA LGPD PARA O BRASIL e (Incluído pela Lei nº 13.853, de 2019)
I-A – dia 1º de agosto de 2021, quanto aos arts. 52, 53 e 54;
(Incluído pela Lei nº 14.010, de 2020)
Como bem ressalta Felipe Soares em sua obra “Lei Geral de Proteção de Dados Pessoais II - 24 (vinte e quatro) meses após a data de sua publicação, quanto
(LGPD): Da Privacidade no Brasil às Penalidades de Descumprimento da Lei”, a proteção de aos demais artigos. (Incluído pela Lei nº 13.853, de 2019)"
dados pessoais é um tema sensível e de grande relevância para todas as empresas e cidadãos
brasileiros, seja em razão de aspectos econômicos, como, por exemplo, o desejo do Brasil em
ingressar na OCDE – Organização para a Cooperação e Desenvolvimento Econômico, ou em NOTAS
razão de se ter garantido o direito à privacidade e proteção de dados pessoais dos cidadãos, 1 "As Diretrizes da OCDE para a Proteção da Privacidade e dos
que, dessa forma, passam a ter mais confiança sobre a coleta e uso de seus dados pessoais (1). Fluxos Transfronteiriços de Dados Pessoais. Disponível em:
<http://www.oecd.org/sti/ieconomy/15590254.pdf>.
Como dito, o principal interesse do Brasil na edição e promulgação da Lei Geral de Proteção de
Dados Pessoais é o de integrar a OCDE – Organização para a Cooperação e Desenvolvimento
Econômico e, para que isto ocorra, existe a exigência acerca da existência de uma legislação em
plena vigência que trata sobre a proteção de dados pessoais.
Outro fator de extrema relevância é o fato de que a Europa já possui vigorando a sua legislação
sobre a proteção de dados pessoais, conhecida como “General Data Protection Regulation”
(GDPR), que, sem sombra de dúvida, impacta nos negócios das organizações brasileiras, já que
as empresas nacionais que fazem negócios com a Europa precisarão de uma política de
compliance de privacidade e proteção de dados para preservar tais relações comerciais.
É fato que a Europa assumiu protagonismo em matéria de proteção de dados e estabeleceu
standards a serem observados em termos mundiais sob as condições estabelecidas no
NOTAS Regulamento, notadamente no que se refere ao caráter extraterritorial da legislação e à
2 CARDOSO, Loni Melillo. LGPD: inspiração, vigência e o desafio
exigência de elevado nível de segurança para a efetivação de transferência internacional de
da eficiência da nova lei. Disponível em: dados, de modo que, sem referida adequação, não será possível a recepção de dados
<https://www.conjur.com.br/2020-out-06/loni-cardoso-
inspiracao-vigencia-desafio-eficiencia-lgpd>. provenientes dos 28 Estados-Membros da União Europeia e de mais três (Islândia, Noruega
3 MACHADO, José Mauro Decoussau; PARANHOS, Mario Cosac
e Liechtenstein), que, juntos, formam a EEA – European Economic Area, ou Espaço
Oliveira; SANTOS, Matheus Chucri. LGPD e GDPR: Uma Análise Econômico Europeu.
Comparativa entre as Legislações. Disponível em:
<http://www.pinheironeto.com.br/publicacoes/lgpd-e-gdpr- Sob essa perspectiva, conclui-se que a falta de adequação e compliance é capaz de
uma-analise-comparativa-entre-as-legislacoes>.
atravancar negociações comerciais de toda sorte, o que representa, indubitavelmente, perda
da chance e frustração quanto à ultimação dos negócios, essa razoavelmente aferível em
termos patrimoniais.
Vejamos, ainda, que os cidadãos também sofrerão os impactos positivos da Lei Geral de
Proteção de Dados, pois estes terão resguardado o direito à privacidade e à
autodeterminação informativa, que pode ser compreendida como o direito do cidadão em
controlar o acesso a seus dados pessoais, mediante as inúmeras possibilidades de utilização
dos mesmos, principalmente em meios tecnológicos.
Indubitável, portanto, a importância da Lei Geral de Proteção de Dados no que se refere à
unificação das regras sobre a questão de privacidade e proteção dos dados pessoais,
garantindo-se aos titulares dos dados e aos agentes de tratamento uma segurança jurídica
sobre o assunto.
BRASILEIRA
Ao ser promulgada em agosto de 2018, a LGPD foi altamente celebrada. Na sequência de
escândalos como o Cambridge Analytica e a entrada em vigor do Regulamento Geral de
Proteção de Dados na União Europeia (General Data Protection Regulation) em 25 de maio
de 2018, o Brasil se juntou, não sem certo atraso, à onda global de proteção de dados
pessoais.
Como bem pontua Loni Melillo Cardoso, em seu artigo “LGPD: inspiração, vigência e o
desafio da eficiência da nova lei” (2), a influência do GDPR sobre a LGPD é evidente. Os dois
dispositivos confluem na limitação de tratamento de dados a hipóteses restritas, na
positivação dos direitos de titulares de dados à anonimização e eliminação de seus dados e
no enquadramento legal estrito das possibilidades de tratamento. As penalidades
decorrentes do tratamento indevido de dados pessoais também evidenciam uma intenção do
legislador brasileiro de replicar a severidade europeia em face das entidades que deixarem
de observar as novas disposições, em especial a possível multa de até 2% do faturamento da
pessoa jurídica no ano anterior. Apesar disso, a norma brasileira é consideravelmente mais
lacônica do que a europeia. Enquanto o GDPR se assenta em substancial arcabouço
normativo, a lei nacional relega questões centrais à interpretação ainda desconhecida da
agência reguladora e do Judiciário, e a previsões infralegais que, até o momento, continuam
incógnitas.
Isso porque o GDPR constitui uma evolução da Diretiva Europeia de 1995 (Diretiva
95/46/CE) sobre o assunto. Isto é, na Europa, já existe há quase 25 anos preocupação com o
assunto, bem como uma cultura bastante desenvolvida de proteção a dados pessoais. No
Brasil, por sua vez, a LGPD surge como primeira legislação que efetivamente regulamenta o
tema de forma ampla, já que até hoje a regulamentação era feita de forma esparsa, como já
visto. Assim, mais do que uma mudança legislativa, a LGPD se propõe a gerar uma grande
mudança cultural na proteção de dados no Brasil (que já está consolidada da Europa),
fazendo com que as pessoas tenham instrumentos mais claros para zelar pelas informações
que lhe dizem respeito.
Vale destacar que o GDPR pode se aplicar às empresas brasileiras, tendo em vista que seu
escopo territorial abrange dados coletados de pessoais naturais que se encontram na União
Europeia. Desta forma, se uma empresa presta serviço tanto no território brasileiro quanto
no território europeu, deverá observar ambas legislações.
Dessa forma, em que pese a grande influência do GDPR sobre a LGPD, há diferenças
significativas entre elas, que serão oportunamente analisadas no quadro abaixo, extraído do
website do Pinheiro Neto Advogados (3), que deixa claro ser a legislação europeia mais
detalhada em muitos aspectos, como será a seguir demonstrado.
02 FUNDAMENTOS E PRINCÍPIOS DA
NESSE CAPÍTULO
FINALIDADE
ADEQUAÇÃO
NECESSIDADE
LIVRE ACESSO
TRANSPARÊNCIA
SEGURANÇA
PREVENÇÃO
NÃO DISCRIMINAÇÃO
NESSE CAPÍTULO
REFERÊNCIAS OBJETO
"Art. 5º. Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural
A LGPD abrange todas as atividades que envolvem tratamento, em meio analógico ou digital, de
identificada ou identificável; dados pessoais. Por tratamento entende-se toda operação realizada com dados pessoais, como
II - dado pessoal sensível: dado pessoal sobre origem racial ou
étnica, convicção religiosa, opinião política, filiação a sindicato ou a as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução,
organização de caráter religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado genético ou biométrico,
transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação
quando vinculado a uma pessoa natural; ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Note-
III - dado anonimizado: dado relativo a titular que não possa ser
identificado, considerando a utilização de meios técnicos razoáveis se que a conceituação é extremamente abrangente e inclui todas as operações relativas aos
e disponíveis na ocasião de seu tratamento; (...)
X - tratamento: toda operação realizada com dados pessoais, como
dados pessoais, desde sua coleta até o término propriamente dito.
as que se referem a coleta, produção, recepção, classificação, A lei deixa claro que a proteção de dados diz respeito a tratamentos em meios digitais e físicos.
utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, Com efeito, embora majoritariamente os tratamentos sejam realizados de forma automatizada,
avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração; os dados coletados e estruturados de forma física recebem idêntica proteção.
XI - anonimização: utilização de meios técnicos razoáveis e
disponíveis no momento do tratamento, por meio dos quais um
Vide art. 5º, X, da LGPD.
dado perde a possibilidade de associação, direta ou indireta, a um
indivíduo;
XV - transferência internacional de dados: transferência de dados DADOS PESSOAIS COMUNS
pessoais para país estrangeiro ou organismo internacional do qual o
país seja membro; (...)." Qualquer informação que identifique uma pessoa natural ou que possa levar à sua identificação.
"Art. 12. Os dados anonimizados não serão considerados dados Há dois tipos de dados pessoais: diretos (nome, RG, CPF, título de eleitor, entre outros) e
pessoais para os fins desta Lei, salvo quando o processo de
anonimização ao qual foram submetidos for revertido, utilizando
indiretos (hábitos de consumo, profissão, sexo, idade, entre outros). Assim, qualquer dado que,
exclusivamente meios próprios, ou quando, com esforços razoáveis,
puder ser revertido.
isoladamente (dado pessoal direto) ou agregado a outro (dado pessoal indireto), possa permitir a
§ 1º - A determinação do que seja razoável deve levar em identificação de uma pessoa natural, pode ser considerado como dado pessoal.
consideração fatores objetivos, tais como custo e tempo
necessários para reverter o processo de anonimização, de acordo Vide art. 5º, I, da LGPD.
com as tecnologias disponíveis, e a utilização exclusiva de meios
próprios.
§ 2º - Poderão ser igualmente considerados como dados pessoais,
DADOS PESSOAIS SENSÍVEIS
para os fins desta Lei, aqueles utilizados para formação do perfil
comportamental de determinada pessoa natural, se identificada.
§ 3º - A autoridade nacional poderá dispor sobre padrões e técnicas
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a
utilizados em processos de anonimização e realizar verificações sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou
acerca de sua segurança, ouvido o Conselho Nacional de Proteção
de Dados Pessoais." à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. São aqueles
"Art. 13. Na realização de estudos em saúde pública, os órgãos de dados relacionados à pessoa natural identificada ou identificável por meio dos quais uma pessoa
pesquisa poderão ter acesso a bases de dados pessoais, que serão
tratados exclusivamente dentro do órgão e estritamente para a
pode ser discriminada e, por tal motivo, são considerados e tratados como dados sensíveis.
finalidade de realização de estudos e pesquisas e mantidos em Vide art. 5º, II, da LGPD.
ambiente controlado e seguro, conforme práticas de segurança
previstas em regulamento específico e que incluam, sempre que
possível, a anonimização ou pseudonimização dos dados, bem como
considerem os devidos padrões éticos relacionados a estudos e DADOS ANONIMIZADOS
pesquisas. (...)
§ 4º - Para os efeitos deste artigo, a pseudonimização é o Dado anonimizados é aquele dado relativo a titular que não possa ser identificado, considerando
tratamento por meio do qual um dado perde a possibilidade de
associação, direta ou indireta, a um indivíduo, senão pelo uso de a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, por meio
informação adicional mantida separadamente pelo controlador em
ambiente controlado e seguro."
dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Via de
regra, os dados anonimizados não são considerados dados pessoais, salvo quando o processo de
"Art. 3º Esta Lei aplica-se a qualquer operação de tratamento
realizada por pessoa natural ou por pessoa jurídica de direito anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios,
público ou privado, independentemente do meio, do país de sua
sede ou do país onde estejam localizados os dados, desde que:
ou quando, com esforços razoáveis, puder ser revertido. A determinação do que seja razoável
I - a operação de tratamento seja realizada no território nacional; deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter
II - a atividade de tratamento tenha por objetivo a oferta ou o
fornecimento de bens ou serviços ou o tratamento de dados de o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva
indivíduos localizados no território nacional; ou
III - os dados pessoais objeto do tratamento tenham sido coletados
de meios próprios. A ANPD irá dispor sobre padrões e técnicas utilizados em processos de
no território nacional. anonimização e realizar verificações acerca de sua segurança.
§ 1º - Consideram-se coletados no território nacional os dados
pessoais cujo titular nele se encontre no momento da coleta. Vide art. 5º, III e XI, e 12 da LGPD.
§ 2º - Excetua-se do disposto no inciso I deste artigo o tratamento
de dados previsto no inciso IV do caput do art. 4º desta Lei."
DADOS PSEUDONIMIZADOS
Dado pessoal que, por meio de tratamento, perde a possibilidade de ser associado, direta ou
indiretamente, a um indivíduo, a menos que o controlador use uma informação adicional que era
mantida separadamente em ambiente seguro. Temos como exemplo o uso de dados
criptografados e o uso de hash como autenticação.
Vide art. 13, § 4º, da LGPD.
SUJEITO REFERÊNCIAS
A LGPD se aplica a qualquer pessoa, seja natural ou jurídica, de direito público ou privado, "Art. 33. A transferência internacional de dados pessoais somente é
permitida nos seguintes casos:
que realize o tratamento de dados pessoais. Todos, portanto, devem observar o conjunto I - para países ou organismos internacionais que proporcionem grau
normativo previsto na LGPD. de proteção de dados pessoais adequado ao previsto nesta Lei;
II - quando o controlador oferecer e comprovar garantias de
Vide art. 3º, caput, da LGPD. cumprimento dos princípios, dos direitos do titular e do regime de
proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
A LGPD se aplica a qualquer c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
pessoa, seja natural ou jurídica, III - quando a transferência for necessária para a cooperação jurídica
internacional entre órgãos públicos de inteligência, de investigação e
de direito público ou privado, de persecução, de acordo com os instrumentos de direito
A Lei se aplica tanto às internacional;
que realize o tratamento de IV - quando a transferência for necessária para a proteção da vida ou
empresas que tenham
dados pessoais. da incolumidade física do titular ou de terceiro;
estabelecimento no V - quando a autoridade nacional autorizar a transferência;
VI - quando a transferência resultar em compromisso assumido em
Brasil, quanto àquelas que, acordo de cooperação internacional;
VII - quando a transferência for necessária para a execução de
ainda que estejam fora do política pública ou atribuição legal do serviço público, sendo dada
publicidade nos termos do inciso I do caput do art. 23 desta Lei;
Brasil, ofereçam serviços ao VIII - quando o titular tiver fornecido o seu consentimento específico
mercado consumidor brasileiro e em destaque para a transferência, com informação prévia sobre o
caráter internacional da operação, distinguindo claramente esta de
ou tratem dados de pessoas outras finalidades; ou
IX - quando necessário para atender as hipóteses previstas nos
localizadas no país incisos II, V e VI do art. 7º desta Lei.
Parágrafo único. Para os fins do inciso I deste artigo, as pessoas
jurídicas de direito público referidas no parágrafo único do art. 1º da
Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à
Informação), no âmbito de suas competências legais, e responsáveis,
no âmbito de suas atividades, poderão requerer à autoridade
TERRITÓRIO nacional a avaliação do nível de proteção a dados pessoais conferido
por país ou organismo internacional."
Quanto à abrangência territorial, a LGPD se aplica tanto às empresas que tenham "Art. 34. O nível de proteção de dados do país estrangeiro ou do
estabelecimento no Brasil, quanto àquelas que, embora situadas fora do país, ofereçam serviços organismo internacional mencionado no inciso I do caput do art. 33
desta Lei será avaliado pela autoridade nacional, que levará em
ao mercado consumidor brasileiro ou coletem e tratem dados de pessoas localizadas no Brasil. consideração:
Vide art. 3º, caput, da LGPD. I - as normas gerais e setoriais da legislação em vigor no país de
destino ou no organismo internacional;
II - a natureza dos dados;
III - a observância dos princípios gerais de proteção de dados
pessoais e direitos dos titulares previstos nesta Lei;
TRANSFERÊNCIA INTERNACIONAL DE DADOS
IV - a adoção de medidas de segurança previstas em regulamento;
Por transferência internacional de dados a Lei entende a transferência de dados pessoais para V - a existência de garantias judiciais e institucionais para o respeito
aos direitos de proteção de dados pessoais; e
país estrangeiro ou organismo internacional do qual o país seja membro. A transferência VI - outras circunstâncias específicas relativas à transferência."
internacional de dados só é possível nas hipóteses taxativas previstas no art. 33, incluindo, entre "Art. 35. A definição do conteúdo de cláusulas-padrão contratuais,
outras oito hipóteses, países que gozem de determinado nível de proteção de dados. bem como a verificação de cláusulas contratuais específicas para uma
determinada transferência, normas corporativas globais ou selos,
Para avaliar se o país de destino tem o grau adequado de proteção de dados, a ANPD levará em certificados e códigos de conduta, a que se refere o inciso II do caput
do art. 33 desta Lei, será realizada pela autoridade nacional.
consideração alguns fatores, tais como: as normas gerais e setoriais da legislação em vigor no § 1º - Para a verificação do disposto no caput deste artigo, deverão
ser considerados os requisitos, as condições e as garantias mínimas
país de destino; a natureza dos dados; e a observância dos princípios de proteção de dados para a transferência que observem os direitos, as garantias e os
pessoais e direitos dos titulares previstos na LGPD. princípios desta Lei.
§ 2º - Na análise de cláusulas contratuais, de documentos ou de
As demais hipóteses de transferência internacional de dados pessoais são: quando o controlador normas corporativas globais submetidas à aprovação da autoridade
nacional, poderão ser requeridas informações suplementares ou
oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do realizadas diligências de verificação quanto às operações de
regime de proteção de dados previstos na LGPD, na forma de: a) cláusulas contratuais tratamento, quando necessário.
§ 3º - A autoridade nacional poderá designar organismos de
específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas certificação para a realização do previsto no caput deste artigo, que
permanecerão sob sua fiscalização nos termos definidos em
corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; quando a regulamento.
transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de § 4º - Os atos realizados por organismo de certificação poderão ser
revistos pela autoridade nacional e, caso em desconformidade com
inteligência, de investigação e de persecução, de acordo com os instrumentos de direito esta Lei, submetidos a revisão ou anulados.
§ 5º - As garantias suficientes de observância dos princípios gerais de
internacional; quando a transferência for necessária para a proteção da vida ou da incolumidade proteção e dos direitos do titular referidas no caput deste artigo
física do titular ou de terceiro; quando a ANPD autorizar a transferência; quando a transferência serão também analisadas de acordo com as medidas técnicas e
organizacionais adotadas pelo operador, de acordo com o previsto
resultar em compromisso assumido em acordo de cooperação internacional; quando a nos §§ 1º e 2º do art. 46 desta Lei."
transferência for necessária para a execução de política pública ou atribuição legal do serviço "Art. 36. As alterações nas garantias apresentadas como suficientes
de observância dos princípios gerais de proteção e dos direitos do
público; quando o titular tiver fornecido o seu consentimento específico e em destaque para a titular referidas no inciso II do art. 33 desta Lei deverão ser
transferência, com informação prévia sobre o caráter internacional da operação; ou quando comunicadas à autoridade nacional."
necessário: a) para o cumprimento de obrigação legal ou regulatória pelo controlador; b) para a "Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I - realizado por pessoa natural para fins exclusivamente particulares
execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja e não econômicos;
parte o titular, a pedido do titular dos dados; c) para o exercício regular de direitos em processo II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
judicial, administrativo ou arbitral. b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
Vide arts. 33 a 36 da LGPD. a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam
NÃO APLICABILIDADE objeto de comunicação, uso compartilhado de dados com agentes de
tratamento brasileiros ou objeto de transferência internacional de
dados com outro país que não o de proveniência, desde que o país de
A Lei não se preocupa com dados de pessoa jurídica, documentos sigilosos, confidenciais, proveniência proporcione grau de proteção de dados pessoais
segredos de negócio, planos estratégicos, algoritmos, fórmulas, softwares, patentes, entre outras adequado ao previsto nesta Lei.
§ 1º - O tratamento de dados pessoais previsto no inciso III será
informações que não sejam relacionadas à pessoa natural identificada ou identificável. Assim, regido por legislação específica, que deverá prever medidas
proporcionais e estritamente necessárias ao atendimento do
eventuais incidentes concernentes a essa classe de dados deverão ser solucionados à luz de interesse público, observados o devido processo legal, os princípios
legislações específicas (como a Lei de Direitos Autorais, por exemplo), ou, em sua ausência, à luz gerais de proteção e os direitos do titular previstos nesta Lei.
§ 2º - É vedado o tratamento dos dados a que se refere o inciso III do
da legislação comum civil e penal. caput deste artigo por pessoa de direito privado, exceto em
procedimentos sob tutela de pessoa jurídica de direito público, que
A Lei também traz, expressamente, algumas situações nas quais a LGPD não se aplica, sendo serão objeto de informe específico à autoridade nacional e que
deverão observar a limitação imposta no § 4º deste artigo.
elas: o tratamento de dados realizado por pessoa física para finalidade estritamente doméstica § 3º - A autoridade nacional emitirá opiniões técnicas ou
(agenda telefônica, envio de e-mails, entre outros); para fins estritamente jornalísticos, artísticos recomendações referentes às exceções previstas no inciso III do
caput deste artigo e deverá solicitar aos responsáveis relatórios de
ou acadêmicos; tratamentos que visem a segurança pública, a defesa nacional, a segurança do impacto à proteção de dados pessoais.
§ 4º - Em nenhum caso a totalidade dos dados pessoais de banco de
Estado ou as atividades de investigação e repressão de infrações penais; bem como em relação dados de que trata o inciso III do caput deste artigo poderá ser
aos dados pessoais provenientes de fora do território nacional e que não sejam objeto de tratada por pessoa de direito privado, salvo por aquela que possua
capital integralmente constituído pelo poder público."
comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de
transferência internacional de dados com outro país que não o de proveniência, desde que este
proporcione grau de proteção de dados pessoais adequado à LGPD.
Vide art. 4º da LGPD.
SUJEITOS DA PROTEÇÃO
04
DE DADOS
NESSE CAPÍTULO
REFERÊNCIAS TITULAR
"Art. 5º. Para os fins desta Lei, considera-se: (...) V - titular: pessoa
natural a quem se referem os dados pessoais que são objeto de
É a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
tratamento; (...)." Vide art. 5º, V, e 17 da LGPD.
"Art. 17. Toda pessoa natural tem assegurada a titularidade de seus
dados pessoais e garantidos os direitos fundamentais de liberdade,
de intimidade e de privacidade, nos termos desta Lei." DIREITOS DOS TITULARES DOS DADOS
"Art. 18. O titular dos dados pessoais tem direito a obter do O titular dos dados pessoais tem, desde já, direito a obter do controlador, a qualquer momento
controlador, em relação aos dados do titular por ele tratados, a
qualquer momento e mediante requisição: e mediante requisição: a confirmação da existência de tratamento de seus dados; o acesso a
I - confirmação da existência de tratamento;
II - acesso aos dados; esses dados; a correção de dados incompletos, inexatos ou desatualizados; a anonimização,
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados
bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
desnecessários, excessivos ou tratados em desconformidade com o com a Lei; a portabilidade dos dados a outro fornecedor de serviço ou produto, observados os
disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou segredos comercial e industrial; a eliminação dos dados pessoais tratados com o consentimento
produto, mediante requisição expressa, de acordo com a
regulamentação da autoridade nacional, observados os segredos
do titular; a informação das entidades públicas e privadas com as quais o controlador realizou
comercial e industrial; uso compartilhado de dados; a informação sobre a possibilidade de não fornecer consentimento
VI - eliminação dos dados pessoais tratados com o consentimento
do titular, exceto nas hipóteses previstas no art. 16 desta Lei; e sobre as consequências da negativa; e, por fim, a revogação do consentimento, a qualquer
VII - informação das entidades públicas e privadas com as quais o
controlador realizou uso compartilhado de dados;
momento, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob
VIII - informação sobre a possibilidade de não fornecer amparo do consentimento anteriormente manifestado enquanto não houver requerimento de
consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º eliminação.
desta Lei.
§ 1º - O titular dos dados pessoais tem o direito de peticionar em
relação aos seus dados contra o controlador perante a autoridade
BLOQUEIO
nacional.
§ 2º - O titular pode opor-se a tratamento realizado com
fundamento em uma das hipóteses de dispensa de consentimento, CONFIRMAÇÃO
em caso de descumprimento ao disposto nesta Lei.
§ 3º - Os direitos previstos neste artigo serão exercidos mediante
requerimento expresso do titular ou de representante legalmente
ANONIMIZAÇÃO
constituído, a agente de tratamento.
§ 4º - Em caso de impossibilidade de adoção imediata da
providência de que trata o § 3º deste artigo, o controlador enviará
ao titular resposta em que poderá:
I - comunicar que não é agente de tratamento dos dados e indicar,
sempre que possível, o agente; ou
ACESSO
II - indicar as razões de fato ou de direito que impedem a adoção
PORTABILIDADE
imediata da providência.
§ 5º O requerimento referido no § 3º deste artigo será atendido
sem custos para o titular, nos prazos e nos termos previstos em
regulamento.
§ 6º O responsável deverá informar, de maneira imediata, aos
agentes de tratamento com os quais tenha realizado uso INFORMAÇÃO
compartilhado de dados a correção, a eliminação, a anonimização
ou o bloqueio dos dados, para que repitam idêntico procedimento,
REVOGAÇÃO
exceto nos casos em que esta comunicação seja comprovadamente
impossível ou implique esforço desproporcional.
§ 7º - A portabilidade dos dados pessoais a que se refere o inciso V
do caput deste artigo não inclui dados que já tenham sido CORREÇÃO
anonimizados pelo controlador.
§ 8º - O direito a que se refere o § 1º deste artigo também poderá ELIMINAÇÃO
ser exercido perante os organismos de defesa do consumidor."
Vide arts. 9º e 18 da LGPD. "Art. 41. O controlador deverá indicar encarregado pelo tratamento
de dados pessoais.
§ 1º - A identidade e as informações de contato do encarregado
deverão ser divulgadas publicamente, de forma clara e objetiva,
preferencialmente no sítio eletrônico do controlador.
§ 2º - As atividades do encarregado consistem em:
DATA PROTECTION OFFICER (DPO) OU ENCARREGADO I - aceitar reclamações e comunicações dos titulares, prestar
esclarecimentos e adotar providências;
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o II - receber comunicações da autoridade nacional e adotar
providências;
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O III - orientar os funcionários e os contratados da entidade a respeito
encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública das práticas a serem tomadas em relação à proteção de dados
pessoais; e
ou privada, à LGPD. IV - executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.
Uma das mais importantes medidas de governança das organizações é avaliar a nomeação, § 3º - A autoridade nacional poderá estabelecer normas
posição e atribuições do DPO, com autonomia e recursos para desempenhar a função de forma complementares sobre a definição e as atribuições do encarregado,
inclusive hipóteses de dispensa da necessidade de sua indicação,
eficaz. É recomendável que ele responda para o mais alto grau hierárquico da organização e é conforme a natureza e o porte da entidade ou o volume de
operações de tratamento de dados."
peça-chave no devido cumprimento das leis aplicáveis e na mitigação de riscos.
"Art. 37. O controlador e o operador devem manter registro das
Ao contrário de outras legislações de proteção de dados estrangeiras, a LGPD não determinou operações de tratamento de dados pessoais que realizarem,
em que circunstâncias uma organização deve indicar um encarregado. Assim, deve-se assumir, especialmente quando baseado no legítimo interesse."
como regra geral, que toda organização deverá indicar uma pessoa para assumir esse papel. "Art. 38. A autoridade nacional poderá determinar ao controlador
que elabore relatório de impacto à proteção de dados pessoais,
Contudo, de acordo com o § 3º do art. 41, normativas futuras da ANPD poderão trazer inclusive de dados sensíveis, referente a suas operações de
hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o tratamento de dados, nos termos de regulamento, observados os
segredos comercial e industrial.
porte da entidade ou o volume de operações de tratamento de dados. Parágrafo único. Observado o disposto no caput deste artigo, o
relatório deverá conter, no mínimo, a descrição dos tipos de dados
O artigo 41 da LGPD não faz distinção quanto a instituições públicas ou privadas e por isso é coletados, a metodologia utilizada para a coleta e para a garantia da
importante que ambas estejam cientes da sua obrigação de indicar um Encarregado de dados. segurança das informações e a análise do controlador com relação a
medidas, salvaguardas e mecanismos de mitigação de risco
A LGPD também não distingue se o Encarregado deve ser pessoa física ou jurídica, e se deve ser adotados."
um funcionário da organização ou um agente externo. Considerando as boas práticas "Art. 39. O operador deverá realizar o tratamento segundo as
instruções fornecidas pelo controlador, que verificará a observância
internacionais, o encarregado poderá ser tanto um funcionário da instituição quanto um agente das próprias instruções e das normas sobre a matéria."
externo, de natureza física ou jurídica. Caso o DPO exerça outras atribuições dentro da "Art. 40. A autoridade nacional poderá dispor sobre padrões de
organização, recomenda-se que seja garantida a inexistência de conflito de interesses entre a interoperabilidade para fins de portabilidade, livre acesso aos dados e
segurança, assim como sobre o tempo de guarda dos registros, tendo
função de DPO e essas atribuições. em vista especialmente a necessidade e a transparência."
Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de "Art. 41. O controlador deverá indicar encarregado pelo tratamento
prestação de serviços ou um ato administrativo. Apesar de a LGPD não descrever o perfil do de dados pessoais.
§ 1º - A identidade e as informações de contato do encarregado
DPO, sugere-se: conhecimento jurídico-regulatório; gerenciamento de riscos, auditoria e deverão ser divulgadas publicamente, de forma clara e objetiva,
compliance; liderança e proatividade; conscientizador, educador; relações públicas, preferencialmente no sítio eletrônico do controlador.
§ 2º - As atividades do encarregado consistem em:
governamentais; conhecimento em tecnologia e segurança da informação. I - aceitar reclamações e comunicações dos titulares, prestar
esclarecimentos e adotar providências;
As funções previstas na LGPD para o DPO são: monitorar a conformidade do agente de II - receber comunicações da autoridade nacional e adotar
tratamento em relação à LGPD, outras normas de proteção de dados e suas próprias políticas providências;
III - orientar os funcionários e os contratados da entidade a respeito
internas relacionadas ao tema; aceitar reclamações e comunicações dos titulares, prestar das práticas a serem tomadas em relação à proteção de dados
pessoais; e
esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar IV - executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.
providências; executar as demais atribuições determinadas pelo controlador ou estabelecidas § 3º - A autoridade nacional poderá estabelecer normas
em normas complementares; treinar e conscientizar os colaboradores e terceiros dos agentes de complementares sobre a definição e as atribuições do encarregado,
inclusive hipóteses de dispensa da necessidade de sua indicação,
tratamento para criação de uma cultura de proteção de dados. conforme a natureza e o porte da entidade ou o volume de
operações de tratamento de dados."
Por agir como um ponto de contato com os titulares de dados e a ANPD, é importante que os
detalhes de contato do encarregado de dados estejam facilmente acessíveis, nos termos do § 1º "Art. 42. O controlador ou o operador que, em razão do exercício de
atividade de tratamento de dados pessoais, causar a outrem dano
do art. 41 da LGPD. patrimonial, moral, individual ou coletivo, em violação à legislação de
proteção de dados pessoais, é obrigado a repará-lo.
Vide arts. 5º, VIII, e 41 da LGPD. § 1º - A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo
tratamento quando descumprir as obrigações da legislação de
proteção de dados ou quando não tiver seguido as instruções lícitas
do controlador, hipótese em que o operador equipara-se ao
controlador, salvo nos casos de exclusão previstos no art. 43 desta
AGENTES DE TRATAMENTO Lei;
II - os controladores que estiverem diretamente envolvidos no
A definição de quem está na posição de controlador ou operador, de acordo com a respectiva tratamento do qual decorreram danos ao titular dos dados
atividade de tratamento de dados pessoais. Essa definição é importante para que se possa respondem solidariamente, salvo nos casos de exclusão previstos no
art. 43 desta Lei.
determinar obrigações e responsabilidades de cada um desses agentes de tratamento. § 2º - O juiz, no processo civil, poderá inverter o ônus da prova a
favor do titular dos dados quando, a seu juízo, for verossímil a
Ressalta-se que os agentes de tratamento devem ser definidos a partir de seu caráter alegação, houver hipossuficiência para fins de produção de prova ou
quando a produção de prova pelo titular resultar-lhe excessivamente
institucional. Não são considerados controladores (autônomos ou conjuntos) ou operadores os onerosa.
indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de § 3º - As ações de reparação por danos coletivos que tenham por
objeto a responsabilização nos termos do caput deste artigo podem
trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento. ser exercidas coletivamente em juízo, observado o disposto na
legislação pertinente.
No contexto de uma pessoa jurídica, a organização é o agente de tratamento para os fins da § 4º - Aquele que reparar o dano ao titular tem direito de regresso
LGPD, já que é esta que estabelece as regras para o tratamento de dados pessoais, a serem contra os demais responsáveis, na medida de sua participação no
evento danoso."
executadas por seus representantes ou prepostos. Mas, além disso, o agente de tratamento é
"Art. 43. Os agentes de tratamento só não serão responsabilizados
definido para cada operação de tratamento de dados pessoais, portanto, a mesma organização quando provarem:
poderá ser controladora e operadora, de acordo com sua atuação em diferentes operações de I - que não realizaram o tratamento de dados pessoais que lhes é
atribuído;
tratamento. II - que, embora tenham realizado o tratamento de dados pessoais
que lhes é atribuído, não houve violação à legislação de proteção de
Dentre as principais responsabilidades dos agentes de tratamento, estão: atender aos direitos dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados
dos titulares (art. 18); registrar as operações de tratamento (art. 37); elaborar o Relatório de ou de terceiro."
Impacto à Proteção de Dados (art. 38); nomear o Data Protection Officer (DPO) ou Encarregado
(art. 41); responsabilizar-se por eventuais danos (art. 42); adotar medidas de segurança, técnicas
e administrativas (art. 46); comunicar incidentes (art. 48); e executar instruções (art. 39).
Vide arts. 5º, IX, e 37 a 40 da LGPD.
CONTROLADOR
REFERÊNCIAS Pessoa natural ou jurídica, de direito público ou privado, que: toma todas as decisões
"Art. 44. O tratamento de dados pessoais será irregular quando referentes ao tratamento de dados pessoais ao longo do ciclo de vida destes; determina as
deixar de observar a legislação ou quando não fornecer a segurança
que o titular dele pode esperar, consideradas as circunstâncias finalidades e os meios de tratamento dos dados pessoais; avalia o enquadramento das bases
relevantes, entre as quais:
I - o modo pelo qual é realizado;
legais de tratamento; pode vir a ser responsabilizado diretamente por violações da LGPD;
II - o resultado e os riscos que razoavelmente dele se esperam; cabe a ele garantir o cumprimento dos direitos dos titulares. Vide art. 5º, VI, da LGPD.
III - as técnicas de tratamento de dados pessoais disponíveis à época
em que foi realizado. O conceito possui elevada importância prática, uma vez que a LGPD atribui obrigações
Parágrafo único. Responde pelos danos decorrentes da violação da
segurança dos dados o controlador ou o operador que, ao deixar de
específicas ao controlador, como a de elaborar relatório de impacto à proteção de dados
adotar as medidas de segurança previstas no art. 46 desta Lei, der pessoais (art. 38), a de comprovar que o consentimento obtido do titular atende às exigências
causa ao dano."
legais (art. 8º, § 2º) e a de comunicar à ANPD a ocorrência de incidentes de segurança (art.
"Art. 46. Os agentes de tratamento devem adotar medidas de
segurança, técnicas e administrativas aptas a proteger os dados 48). Além disso, a atribuição de responsabilidades em relação à reparação por danos
pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou qualquer
decorrentes de atos ilícitos é distinta de acordo com a qualificação do agente de tratamento,
forma de tratamento inadequado ou ilícito. isto é, se controlador ou operador, conforme o disposto nos arts. 42 a 45.
§ 1º - A autoridade nacional poderá dispor sobre padrões técnicos
mínimos para tornar aplicável o disposto no caput deste artigo, Não são controladoras as pessoas naturais que atuam como profissionais subordinados a uma
considerados a natureza das informações tratadas, as características
específicas do tratamento e o estado atual da tecnologia,
pessoa jurídica ou como membros de seus órgãos. É o caso de empregados, administradores,
especialmente no caso de dados pessoais sensíveis, assim como os sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos
princípios previstos no caput do art. 6º desta Lei.
§ 2º - As medidas de que trata o caput deste artigo deverão ser expressam a atuação desta. Nesse sentido, a definição legal de controlador não deve ser
observadas desde a fase de concepção do produto ou do serviço até
a sua execução."
entendida como uma norma de distribuição interna de competências e responsabilidades. De
forma diversa, trata-se de comando legal que atribui obrigações específicas à pessoa jurídica,
"Art. 47. Os agentes de tratamento ou qualquer outra pessoa que
intervenha em uma das fases do tratamento obriga-se a garantir a de modo que esta assume a responsabilidade pelos atos praticados por seus agentes e
segurança da informação prevista nesta Lei em relação aos dados
pessoais, mesmo após o seu término." prepostos em face dos titulares e da ANPD.
"Art. 48. O controlador deverá comunicar à autoridade nacional e ao
titular a ocorrência de incidente de segurança que possa acarretar
risco ou dano relevante aos titulares. CONTROLADORIA CONJUNTA
§ 1º - A comunicação será feita em prazo razoável, conforme definido
pela autoridade nacional, e deverá mencionar, no mínimo: A depender do contexto, uma mesma operação de tratamento de dados pessoais pode
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
envolver mais de um controlador. Conforme a LGPD, art. 42, §1º, II, quando mais de um
III - a indicação das medidas técnicas e de segurança utilizadas para a controlador estiver diretamente envolvido no tratamento do qual decorram danos ao titular
proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente; de dados, estes responderão de forma solidária, à exceção das hipóteses previstas no art. 43.
V - os motivos da demora, no caso de a comunicação não ter sido
imediata; e
Os controladores conjuntos são capazes de determinar os elementos essenciais do
VI - as medidas que foram ou que serão adotadas para reverter ou tratamento. Essa decisão é tomada de maneira coletiva, mas não há a necessidade de que
mitigar os efeitos do prejuízo.
§ 2º - A autoridade nacional verificará a gravidade do incidente e cada controlador determine todos os elementos envolvidos em uma operação de tratamento
poderá, caso necessário para a salvaguarda dos direitos dos titulares,
determinar ao controlador a adoção de providências, tais como: para que a controladoria conjunta se estabeleça.
I - ampla divulgação do fato em meios de comunicação; e
II - medidas para reverter ou mitigar os efeitos do incidente.
Cabe, contudo, frisar, que a identificação da controladoria conjunta será contextual e apenas
§ 3º - No juízo de gravidade do incidente, será avaliada eventual o caso concreto permitirá identificar em que casos a controladoria conjunta foi estabelecida.
comprovação de que foram adotadas medidas técnicas adequadas
que tornem os dados pessoais afetados ininteligíveis, no âmbito e Uma vez que se configure, a responsabilidade dos controladores será solidária, nos termos do
nos limites técnicos de seus serviços, para terceiros não autorizados
a acessá-los."
art. 42, §1º, II, o que reforça a importância de que todos estejam em conformidade com a
LGPD.
"Art. 5º. Para os fins desta Lei, considera-se: (...)
XIX - autoridade nacional: órgão da administração pública Assim, pode-se entender o conceito de controladoria conjunta como a determinação
responsável por zelar, implementar e fiscalizar o cumprimento desta
Lei em todo o território nacional."
conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos
elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo
"Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade
Nacional de Proteção de Dados (ANPD), órgão da administração que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD.
pública federal, integrante da Presidência da República.
§ 1º - A natureza jurídica da ANPD é transitória e poderá ser
transformada pelo Poder Executivo em entidade da administração
pública federal indireta, submetida a regime autárquico especial e OPERADOR
vinculada à Presidência da República.
§ 2º - A avaliação quanto à transformação de que dispõe o § 1º deste Pessoa natural ou jurídica, de direito público ou privado, que: realiza o tratamento de dados
artigo deverá ocorrer em até 2 (dois) anos da data da entrada em
vigor da estrutura regimental da ANPD. pessoais em nome do controlador; não possui poder decisório; também pode vir a executar
§ 3º - O provimento dos cargos e das funções necessários à criação e
à atuação da ANPD está condicionado à expressa autorização física e
tarefas complexas e com alguma discricionariedade, mas sempre sob o comando do
financeira na lei orçamentária anual e à permissão na lei de diretrizes controlador; pode ser responsabilizado solidariamente por violações que vier a causar à
orçamentárias."
LGPD. Vide art. 5º, VII, da LGPD.
"Art. 55-B. É assegurada autonomia técnica e decisória à ANPD."
Cabe destacar, ainda, algumas das obrigações do operador: seguir as instruções do
"Art. 55-C. A ANPD é composta de: controlador; firmar contratos que estabeleçam, dentre outros assuntos, o regime de
I - Conselho Diretor, órgão máximo de direção;
II - Conselho Nacional de Proteção de Dados Pessoais e da atividades e responsabilidades com o controlador; e dar ciência ao controlador em caso de
Privacidade;
III - Corregedoria; contrato com suboperador.
IV - Ouvidoria;
V - Órgão de assessoramento jurídico próprio; e
Em caso de pessoa jurídica, importa destacar que a organização ou empresa é entendida
VI - Unidades administrativas e unidades especializadas necessárias à como agente de tratamento, de forma que seus funcionários apenas a representam. Assim, a
aplicação do disposto nesta Lei."
definição legal de operador também não deve ser entendida como uma norma de distribuição
"Art. 55-D. O Conselho Diretor da ANPD será composto de 5 (cinco)
diretores, incluído o Diretor-Presidente.
interna de competências e responsabilidades. Nesse cenário, empregados, administradores,
§ 1º - Os membros do Conselho Diretor da ANPD serão escolhidos sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos
pelo Presidente da República e por ele nomeados, após aprovação
pelo Senado Federal, nos termos da alínea ‘f’ do inciso III do art. 52 expressam a atuação desta não devem ser considerados operadores, tendo em vista que o
da Constituição Federal, e ocuparão cargo em comissão do Grupo-
Direção e Assessoramento Superiores - DAS, no mínimo, de nível 5.
operador será sempre uma pessoa distinta do controlador, isto é, que não atua como
§ 2º - Os membros do Conselho Diretor serão escolhidos dentre profissional subordinado a este ou como membro de seus órgãos.
brasileiros que tenham reputação ilibada, nível superior de educação
e elevado conceito no campo de especialidade dos cargos para os
quais serão nomeados.
§ 3º - O mandato dos membros do Conselho Diretor será de 4 SUBOPERADOR
(quatro) anos.
§ 4º - Os mandatos dos primeiros membros do Conselho Diretor
nomeados serão de 2 (dois), de 3 (três), de 4 (quatro), de 5 (cinco) e
O suboperador é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de
de 6 (seis) anos, conforme estabelecido no ato de nomeação. dados pessoais em nome do controlador. A relação direta do suboperador é com o operador e
§ 5º - Na hipótese de vacância do cargo no curso do mandato de
membro do Conselho Diretor, o prazo remanescente será não com controlador. Porém, independentemente dos arranjos institucionais entre operador e
completado pelo sucessor."
suboperador, para efeitos da LGPD, ambos podem desempenhar, a depender do caso
"Art. 55-E. Os membros do Conselho Diretor somente perderão seus concreto, a função de operador e responder perante a ANPD.
cargos em virtude de renúncia, condenação judicial transitada em
julgado ou pena de demissão decorrente de processo administrativo No que se refere às responsabilidades, o suboperador pode ser é equiparado ao operador
disciplinar.
§ 1º - Nos termos do caput deste artigo, cabe ao Ministro de Estado
perante a LGPD em relação às atividades que foi contratado para executar. Ocorre, dessa
Chefe da Casa Civil da Presidência da República instaurar o processo forma, a ampliação da cadeia de responsabilidade solidária prevista no art. 42, §1º, I da LGPD.
administrativo disciplinar, que será conduzido por comissão especial
constituída por servidores públicos federais estáveis.
§ 2º - Compete ao Presidente da República determinar o afastamento
preventivo, somente quando assim recomendado pela comissão
especial de que trata o § 1º deste artigo, e proferir o julgamento."
REFERÊNCIAS REFERÊNCIAS
AUTORIDADE NACIONAL DE PROTEÇÃO
Art. 55-F. Aplica-se aos membros do Conselho Diretor, após o § 3º - A ANPD e os órgãos e entidades públicos responsáveis
exercício do cargo, o disposto no art. 6º da Lei nº 12.813, de pela regulação de setores específicos da atividade econômica
16 de maio de 2013. e governamental devem coordenar suas atividades, nas
Parágrafo único. A infração ao disposto no caput deste artigo correspondentes esferas de atuação, com vistas a assegurar o
caracteriza ato de improbidade administrativa." DE DADOS (ANPD) cumprimento de suas atribuições com a maior eficiência e
promover o adequado funcionamento dos setores regulados,
"Art. 55-G. Ato do Presidente da República disporá sobre a Órgão da administração pública responsável por zelar, implementar conforme legislação específica, e o tratamento de dados
estrutura regimental da ANPD. pessoais, na forma desta Lei.
§ 1º - Até a data de entrada em vigor de sua estrutura e fiscalizar o cumprimento desta Lei em todo o território nacional. § 4º - A ANPD manterá fórum permanente de comunicação,
regimental, a ANPD receberá o apoio técnico e administrativo
da Casa Civil da Presidência da República para o exercício de
Não é uma agência reguladora e, portanto, não terá autonomia inclusive por meio de cooperação técnica, com órgãos e
entidades da administração pública responsáveis pela
suas atividades. administrativa e nem personalidade jurídica própria, mas sua função regulação de setores específicos da atividade econômica e
§ 2º - O Conselho Diretor disporá sobre o regimento interno governamental, a fim de facilitar as competências regulatória,
da ANPD." é de grande relevância. Não obstante, o legislador garantiu à ANPD fiscalizatória e punitiva da ANPD.
"Art. 55-J. Compete à ANPD: da Privacidade; fiscalizar e aplicar sanções em caso de tratamento "Art. 55-K. A aplicação das sanções previstas nesta Lei
I - zelar pela proteção dos dados pessoais, nos termos da
legislação;
de dados realizado em descumprimento à legislação; apreciar compete exclusivamente à ANPD, e suas competências
prevalecerão, no que se refere à proteção de dados pessoais,
II - zelar pela observância dos segredos comercial e industrial, petições de titular contra controlador; promover na população o sobre as competências correlatas de outras entidades ou
observada a proteção de dados pessoais e do sigilo das órgãos da administração pública.
informações quando protegido por lei ou quando a quebra do conhecimento das normas e das políticas públicas sobre proteção de Parágrafo único. A ANPD articulará sua atuação com outros
sigilo violar os fundamentos do art. 2º desta Lei;
III - elaborar diretrizes para a Política Nacional de Proteção de
dados pessoais e das medidas de segurança; estimular a adoção de órgãos e entidades com competências sancionatórias e
normativas afetas ao tema de proteção de dados pessoais e
Dados Pessoais e da Privacidade;
IV - fiscalizar e aplicar sanções em caso de tratamento de
padrões para serviços e produtos que facilitem o exercício de será o órgão central de interpretação desta Lei e do
estabelecimento de normas e diretrizes para a sua
dados realizado em descumprimento à legislação, mediante controle dos titulares sobre seus dados pessoais; dispor sobre as implementação."
processo administrativo que assegure o contraditório, a ampla
defesa e o direito de recurso; formas de publicidade das operações de tratamento de dados "Art. 55-L. Constituem receitas da ANPD:
V - apreciar petições de titular contra controlador após
comprovada pelo titular a apresentação de reclamação ao
pessoais, respeitados os segredos comercial e industrial; realizar I - as dotações, consignadas no orçamento geral da União, os
créditos especiais, os créditos adicionais, as transferências e
controlador não solucionada no prazo estabelecido em auditorias, ou determinar sua realização, no âmbito da atividade de os repasses que lhe forem conferidos;
regulamentação;
VI - promover na população o conhecimento das normas e fiscalização, sobre o tratamento de dados pessoais efetuado pelos II - as doações, os legados, as subvenções e outros recursos
que lhe forem destinados;
das políticas públicas sobre proteção de dados pessoais e das
medidas de segurança;
agentes de tratamento, incluído o poder público; editar normas, III - os valores apurados na venda ou aluguel de bens móveis
e imóveis de sua propriedade;
VII - promover e elaborar estudos sobre as práticas nacionais orientações e procedimentos simplificados e diferenciados, inclusive IV - os valores apurados em aplicações no mercado
e internacionais de proteção de dados pessoais e privacidade;
VIII - estimular a adoção de padrões para serviços e produtos quanto aos prazos, para que microempresas e empresas de pequeno financeiro das receitas previstas neste artigo;
V - (VETADO);
que facilitem o exercício de controle dos titulares sobre seus
dados pessoais, os quais deverão levar em consideração as
porte, bem como iniciativas empresariais de caráter incremental ou VI - os recursos provenientes de acordos, convênios ou
contratos celebrados com entidades, organismos ou
especificidades das atividades e o porte dos responsáveis; disruptivo que se autodeclarem startups ou empresas de inovação, empresas, públicos ou privados, nacionais ou internacionais;
IX - promover ações de cooperação com autoridades de
proteção de dados pessoais de outros países, de natureza possam adequar-se a esta Lei; garantir que o tratamento de dados VII - o produto da venda de publicações, material técnico,
dados e informações, inclusive para fins de licitação pública. "
internacional ou transnacional;
X - dispor sobre as formas de publicidade das operações de
de idosos seja efetuado de maneira simples, clara, acessível e
tratamento de dados pessoais, respeitados os segredos adequada ao seu entendimento; deliberar, na esfera administrativa,
comercial e industrial;
XI - solicitar, a qualquer momento, às entidades do poder em caráter terminativo, sobre a interpretação da LGPD, as suas NOTAS
público que realizem operações de tratamento de dados
pessoais informe específico sobre o âmbito, a natureza dos
competências e os casos omissos; articular-se com as autoridades
dados e os demais detalhes do tratamento realizado, com a reguladoras públicas para exercer suas competências em setores Os conceitos de Controladoria Conjunta e Suboperador foram
trazidos pela Autoridade Nacional de Proteção de Dados, por
possibilidade de emitir parecer técnico complementar para
garantir o cumprimento desta Lei; (...)." específicos de atividades econômicas e governamentais sujeitas à meio do Guia Orientativo para Definições dos Agentes de
Tratamento de Dados Pessoais e do Encarregado, disponível
(...) XII - elaborar relatórios de gestão anuais acerca de suas
atividades;
regulação; e implementar mecanismos simplificados, inclusive por em: <https://www.gov.br/anpd/pt-br/documentos-e-
XIII - editar regulamentos e procedimentos sobre proteção de meio eletrônico, para o registro de reclamações sobre o tratamento publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf
>.
dados pessoais e privacidade, bem como sobre relatórios de
impacto à proteção de dados pessoais para os casos em que o de dados pessoais em desconformidade com a LGPD.
tratamento representar alto risco à garantia dos princípios
gerais de proteção de dados pessoais previstos nesta Lei;
Faz-se mister ressaltar que a aplicação das sanções administrativas
XIV - ouvir os agentes de tratamento e a sociedade em previstas na LGPD compete exclusivamente à ANPD, de forma que
matérias de interesse relevante e prestar contas sobre suas
atividades e planejamento; a sua competência prevalecerá sobre a competência de qualquer
XV - arrecadar e aplicar suas receitas e publicar, no relatório
de gestão a que se refere o inciso XII do caput deste artigo, o
entidade ou órgão da Administração Pública no que se refere à
detalhamento de suas receitas e despesas; proteção de dados pessoais.
XVI - realizar auditorias, ou determinar sua realização, no
âmbito da atividade de fiscalização de que trata o inciso IV e Vide arts. 5º, XIX, e 55-A a 55-L da LGPD.
com a devida observância do disposto no inciso II do caput
deste artigo, sobre o tratamento de dados pessoais efetuado
pelos agentes de tratamento, incluído o poder público;
XVII - celebrar, a qualquer momento, compromisso com
agentes de tratamento para eliminar irregularidade, incerteza
jurídica ou situação contenciosa no âmbito de processos
administrativos, de acordo com o previsto no Decreto-Lei nº
4.657, de 4 de setembro de 1942; ANPD
XVIII - editar normas, orientações e procedimentos
simplificados e diferenciados, inclusive quanto aos prazos,
para que microempresas e empresas de pequeno porte, bem
como iniciativas empresariais de caráter incremental ou
disruptivo que se autodeclarem startups ou empresas de
inovação, possam adequar-se a esta Lei;
XIX - garantir que o tratamento de dados de idosos seja
efetuado de maneira simples, clara, acessível e adequada ao
seu entendimento, nos termos desta Lei e da Lei nº 10.741,
de 1º de outubro de 2003 (Estatuto do Idoso);
XX - deliberar, na esfera administrativa, em caráter
terminativo, sobre a interpretação desta Lei, as suas
competências e os casos omissos;
XXI - comunicar às autoridades competentes as infrações
penais das quais tiver conhecimento;
XXII - comunicar aos órgãos de controle interno o DPO
descumprimento do disposto nesta Lei por órgãos e entidades
da administração pública federal;
XXIII - articular-se com as autoridades reguladoras públicas
para exercer suas competências em setores específicos de
atividades econômicas e governamentais sujeitas à regulação;
e
XXIV - implementar mecanismos simplificados, inclusive por
meio eletrônico, para o registro de reclamações sobre o
tratamento de dados pessoais em desconformidade com esta
Lei.
§ 1º - Ao impor condicionantes administrativas ao tratamento CONT. OPER.
de dados pessoais por agente de tratamento privado, sejam
eles limites, encargos ou sujeições, a ANPD deve observar a
exigência de mínima intervenção, assegurados os
fundamentos, os princípios e os direitos dos titulares
previstos no art. 170 da Constituição Federal e nesta Lei.
§ 2º - Os regulamentos e as normas editados pela ANPD
devem ser precedidos de consulta e audiência públicas, bem
como de análises de impacto regulatório.
BASES LEGAIS PARA TRATAMENTO
05
NESSE CAPÍTULO
A Administração Pública poderá realizar o uso compartilhado de dados com o estrito objetivo de
executar políticas públicas expressamente previstas na legislação. REFERÊNCIAS
Conforme bem asseverado por Viviane Nóbrega Maldonado e Renato Opice Blum na obra "Art. 5º. Para os fins desta Lei, considera-se: (...) XVIII - órgão de
pesquisa: órgão ou entidade da administração pública direta ou
“LGPD: Lei Geral de Proteção de Dados Comentada”, o conceito de políticas públicas não é indireta ou pessoa jurídica de direito privado sem fins lucrativos
único, mas, em linhas gerais, podemos considerá-lo como sendo toda atividade realizada por legalmente constituída sob as leis brasileiras, com sede e foro no
País, que inclua em sua missão institucional ou em seu objetivo social
qualquer ente da Administração Pública com o objetivo de solucionar demandas da sociedade, ou estatutário a pesquisa básica ou aplicada de caráter histórico,
científico, tecnológico ou estatístico; (...)."
englobando setores, tais como saúde, educação, economia, entre outros.
Vide art. 7º, III, da LGPD. "Art. 13. Na realização de estudos em saúde pública, os órgãos de
pesquisa poderão ter acesso a bases de dados pessoais, que serão
tratados exclusivamente dentro do órgão e estritamente para a
finalidade de realização de estudos e pesquisas e mantidos em
ambiente controlado e seguro, conforme práticas de segurança
REALIZAÇÃO DE ESTUDOS POR ÓRGÃOS DE PESQUISA
previstas em regulamento específico e que incluam, sempre que
Nesse caso, deve ser garantida, sempre que possível, a anonimização, ou seja, a utilização de possível, a anonimização ou pseudonimização dos dados, bem como
considerem os devidos padrões éticos relacionados a estudos e
meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado pesquisas.
§ 1º - A divulgação dos resultados ou de qualquer excerto do estudo
perde a possibilidade de associação, direta ou indireta, a um indivíduo. ou da pesquisa de que trata o caput deste artigo em nenhuma
Entende-se por órgão de pesquisa o órgão ou entidade da Administração Pública Direta ou hipótese poderá revelar dados pessoais.
§ 2º - O órgão de pesquisa será o responsável pela segurança da
Indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as informação prevista no caput deste artigo, não permitida, em
circunstância alguma, a transferência dos dados a terceiro.
leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu § 3º - O acesso aos dados de que trata este artigo será objeto de
regulamentação por parte da autoridade nacional e das autoridades
objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, da área de saúde e sanitárias, no âmbito de suas competências.
tecnológico ou estatístico. § 4º - Para os efeitos deste artigo, a pseudonimização é o tratamento
por meio do qual um dado perde a possibilidade de associação, direta
Uma prática já utilizada pelos órgãos de pesquisa com o intuito de anonimizar os dados pessoais ou indireta, a um indivíduo, senão pelo uso de informação adicional
mantida separadamente pelo controlador em ambiente controlado e
é, por exemplo, quando em uma pesquisa para apuração de intenção de votos em uma eleição, seguro."
haja a proporção de votação para cada candidato de acordo com sexo, escolaridade, região
geográfica, classe social, etc. O resultado da pesquisa é cumprido, ao ponto que é praticamente
impossível saber quem foram as pessoas que demonstraram aquelas intenções utilizando-se de NOTAS
técnicas razoáveis para tentar atribuir um conjunto de dados a uma pessoa individualizada (4).
4 Disponível em: <https://triplait.com/bases-legais-para-tratamento-
Vide arts. 5º, XVIII, 7º, IV, e 13 da LGPD. de-dados-da-lgpd/>.
Existem determinados dados pessoais que necessariamente precisam ser tratados para a
execução de obrigações contratualmente firmadas. Assim, por exemplo, nas situações em que o
titular de dados adquira produtos ou serviços, seus dados poderão ser tratados para essa
específica finalidade, sendo impossível executar o contrato sem que isso ocorra. Igualmente,
procedimentos preliminares à formalização do contrato em que o titular seja parte também
poderão ensejar o tratamento de dados pessoais.
Vide art. 7º, V, da LGPD.
Nas situações em que se entender que determinados dados pessoais poderão servir como
elemento para exercício de direitos em demandas em geral, eles poderão ser armazenados,
desde que para essa única e exclusiva finalidade, enquanto subsistir tal necessidade.
Podem ser utilizados como parâmetro para retenção da informação os respectivos prazos
prescricionais previstos, na legislação civil e penal. Havendo discussão judicial, haverá
fundamento para armazenamento dos dados durante todo o prazo em que subsistir
possibilidade de discussão da demanda.
Vide art. 7º, VI, da LGPD.
Estão relacionadas a questões graves e que ponham em risco a vida ou a integridade física do
titular ou de terceiros.
Como exemplos trazidos por Viviane Nóbrega Maldonado e Renato Opice Blum na obra “LGPD:
Lei Geral de Proteção de Dados Comentada”, podemos mencionar a obtenção de dados de
geolocalização de dispositivos de telefone celular, com o objetivo de tentar localizar eventuais
vidas que possam estar no meio dos escombros, após determinado incidente. Igualmente,
situações em que pessoas possam ter sido sequestradas ou estejam perdidas das suas famílias
podem ensejar tentativas de obtenção de dados de geolocalização, a fim de identificar os
titulares.
Vide art. 7º, VII, da LGPD.
TUTELA DA SAÚDE
Essa base legal se destina apenas e tão somente para procedimentos realizados por
profissionais da saúde, tais como médicos, farmacêuticos, enfermeiros, educadores físicos,
fisioterapeutas, psicólogos, nutricionistas, biólogos, biomédicos, entre outros; serviços da
saúde, isto é, os “estabelecimentos destinados a promover a saúde do indivíduo, protegê-lo de
doenças e agravos, prevenir e limitar os danos a ele causados e reabilitá-lo quando sua
capacidade física, psíquica ou social for afetada”; e entidades que são membro do SNVS
(Sistema Nacional de Vigilância Sanitária), tais como ANVISA (Agência Nacional de Vigilância
Sanitária), Laboratórios Centrais de Saúde Pública (LACENS), Instituto Nacional de Controle de
Qualidade em Saúde (INCQS), Fundação Oswaldo Cruz (FIOCRUZ), além de outras entidades,
inclusive estaduais e municipais.
Apenas essas figuras taxativamente elencadas poderão se valer dessa base legal para o
tratamento de dados, desde que com o objetivo específico de tutela da saúde, sendo vedado
qualquer outro uso que desvirtue essa finalidade.
Vide art. 7º, VIII, da LGPD.
LEGÍTIMO INTERESSE DO CONTROLADOR
REFERÊNCIAS O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais
"Art. 10. O legítimo interesse do controlador somente poderá para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se
fundamentar tratamento de dados pessoais para finalidades
legítimas, consideradas a partir de situações concretas, que incluem, limitam a: apoio e promoção de atividades do controlador; e proteção, em relação ao titular, do
mas não se limitam a:
I - apoio e promoção de atividades do controlador; e
exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as
II - proteção, em relação ao titular, do exercício regular de seus legítimas expectativas dele e os direitos e liberdades fundamentais.
direitos ou prestação de serviços que o beneficiem, respeitadas as
legítimas expectativas dele e os direitos e liberdades fundamentais, Como exemplos de apoio e promoção das atividades do controlador, podemos citar: o
nos termos desta Lei.
§ 1º - Quando o tratamento for baseado no legítimo interesse do
controlador que, após observar as preferências de determinados usuários em seu portal, passar a
controlador, somente os dados pessoais estritamente necessários exibir para eles produtos que mais o agradem, com base no tratamento de dados dos demais
para a finalidade pretendida poderão ser tratados.
§ 2º - O controlador deverá adotar medidas para garantir a usuários daquele site; o envio de e-mail com descontos específicos para aqueles produtos
transparência do tratamento de dados baseado em seu legítimo
interesse.
buscados por determinado titular, ou até mesmo com indicações, tomando por base seu histórico
§ 3º - A autoridade nacional poderá solicitar ao controlador relatório de compras; ou relembrar determinado consumidor que incluiu produtos em seu “carrinho
de impacto à proteção de dados pessoais, quando o tratamento tiver
como fundamento seu interesse legítimo, observados os segredos virtual”, mas não finalizou a compra.
comercial e industrial."
Já as questões relativas à proteção do titular relacionam-se a tratamentos de seus dados
"Art. 11. O tratamento de dados pessoais sensíveis somente poderá
ocorrer nas seguintes hipóteses:
realizados para sua segurança ou para evitar fraude, não se limitando, contudo, a essas
I - quando o titular ou seu responsável legal consentir, de forma hipóteses. Assim, podem ser tratados dados de determinado titular que realiza uma transação
específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em bancária, a fim de evitar fraude e garantir a segurança dos valores que o cidadão possui junto ao
que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
banco.
b) tratamento compartilhado de dados necessários à execução, pela Somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser
administração pública, de políticas públicas previstas em leis ou
regulamentos; tratados, sendo certo que o controlador deverá adotar medidas para garantir a transparência do
c) realização de estudos por órgão de pesquisa, garantida, sempre
que possível, a anonimização dos dados pessoais sensíveis;
tratamento de dados baseado em seu legítimo interesse.
d) exercício regular de direitos, inclusive em contrato e em processo Quando o tratamento tiver como fundamento o interesse legítimo do controlador, a ANPD
judicial, administrativo e arbitral, este último nos termos da Lei nº
9.307, de 23 de setembro de 1996 (Lei de Arbitragem); poderá solicitar ao controlador Relatório de Impacto à Proteção de Dados Pessoais, observados
e) proteção da vida ou da incolumidade física do titular ou de
terceiro;
os segredos comercial e industrial.
f) tutela da saúde, exclusivamente, em procedimento realizado por Vide arts. 7º, IX, e 10 da LGPD.
profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos
processos de identificação e autenticação de cadastro em sistemas
eletrônicos, resguardados os direitos mencionados no art. 9º desta PROTEÇÃO DO CRÉDITO
Lei e exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais. Informações sobre adimplência e inadimplência de determinado titular poderão ser utilizadas, a
§ 1º - Aplica-se o disposto neste artigo a qualquer tratamento de
dados pessoais que revele dados pessoais sensíveis e que possa fim de se tomar decisão acerca da concessão ou não de crédito. É importante ressaltar que,
causar dano ao titular, ressalvado o disposto em legislação específica.
§ 2º - Nos casos de aplicação do disposto nas alíneas “a” e “b” do quando o tratamento se fundamentar nessa base legal, também deverá ser observado o disposto
inciso II do caput deste artigo pelos órgãos e pelas entidades
públicas, será dada publicidade à referida dispensa de
na legislação pertinente, a qual contempla a Lei do Cadastro Positivo (Lei nº 12.414/2011), bem
consentimento, nos termos do inciso I do caput do art. 23 desta Lei. como o Código de Defesa do Consumidor (Lei nº 8.078/1990).
§ 3º - A comunicação ou o uso compartilhado de dados pessoais
sensíveis entre controladores com objetivo de obter vantagem Vide art. 7º, X, da LGPD.
econômica poderá ser objeto de vedação ou de regulamentação por
parte da autoridade nacional, ouvidos os órgãos setoriais do Poder
Público, no âmbito de suas competências.
§ 4º - É vedada a comunicação ou o uso compartilhado entre
controladores de dados pessoais sensíveis referentes à saúde com DADOS PESSOAIS SENSÍVEIS
objetivo de obter vantagem econômica, exceto nas hipóteses
relativas a prestação de serviços de saúde, de assistência
farmacêutica e de assistência à saúde, desde que observado o § 5º As bases legais para o tratamento de dados pessoais sensíveis são diferenciadas e limitadas. Por
deste artigo, incluídos os serviços auxiliares de diagnose e terapia,
em benefício dos interesses dos titulares de dados, e para permitir:
isso, num primeiro momento, vale ressaltar que não há base legal para o tratamento de dados
I - a portabilidade de dados quando solicitada pelo titular; ou sensíveis por legítimo interesse do controlador, nem tampouco para a proteção do crédito. A
II - as transações financeiras e administrativas resultantes do uso e
da prestação dos serviços de que trata este parágrafo. esse respeito, inclusive, a Lei do Cadastro Positivo veda, expressamente, anotações de
§ 5º - É vedado às operadoras de planos privados de assistência à
saúde o tratamento de dados de saúde para a prática de seleção de
“informações sensíveis, assim consideradas aquelas pertinentes à origem social e étnica, à saúde,
riscos na contratação de qualquer modalidade, assim como na à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas”. Da
contratação e exclusão de beneficiários."
mesma forma, não há base legal para tratamento de dado sensível para a execução de contrato
ou procedimentos preliminares relacionados a contrato, mas sim para o exercício regular de
direitos, inclusive em contrato. Outra diferença salutar em relação ao tratamento de dado
sensível é que há base legal específica para garantia da prevenção à fraude e à segurança do
titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Quando a base legal para o tratamento do dado sensível for o consentimento, além de ser livre,
inequívoco e informado, também deverá ser específico e destacado. Isso quer dizer que o trecho
relativo ao tratamento dos dados deve ser destacado, o que pode se dar a partir do uso de caixa
alta, fontes em negrito, sublinhado, itálico, entre outros, garantindo ao titular o efetivo acesso ao
referido conteúdo.
Por outro lado, quando não houver o consentimento expresso do titular, só será possível realizar
o tratamento de dados pessoais sensíveis para: cumprimento de obrigação legal ou regulatória
pelo controlador; tratamento compartilhado de dados necessários à execução, pela
Administração Pública, de políticas públicas previstas em leis ou regulamentos; realização de
estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados
pessoais sensíveis; exercício regular de direitos, inclusive em contrato e em processo judicial,
administrativo e arbitral; proteção da vida ou da incolumidade física do titular ou de terceiro;
tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços
de saúde ou autoridade sanitária; e, por fim, garantia da prevenção à fraude e à segurança do
titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos,
resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem
direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores, com o
objetivo de obter vantagem econômica, poderá ser objeto de vedação ou de regulamentação por
parte da ANPD, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.
Todavia, a LGPD veda expressamente a comunicação ou o uso compartilhado entre
controladores de dados pessoais sensíveis referentes à saúde com o objetivo de obter vantagem
econômica, exceto nas hipóteses de portabilidade de dados quando consentido pelo titular ou
necessidade de comunicação para a adequada prestação de serviços de saúde suplementar,
sendo expressamente vedado às operadoras de planos privados de assistência à saúde o
tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer
modalidade, assim como na contratação e exclusão de beneficiários.
Vide art. 11 da LGPD.
DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES REFERÊNCIAS
Inicialmente, faz-se mister ressaltar que de acordo com a Lei nº 8.069/1990 (Estatuto da "Art. 14. O tratamento de dados pessoais de crianças e de
adolescentes deverá ser realizado em seu melhor interesse, nos
Criança e do Adolescente) criança é a pessoa com até 12 (doze) anos incompletos e termos deste artigo e da legislação pertinente.
adolescente é aquela entre 12 (doze) e 18 (dezoito) anos incompletos. Assim, o tratamento § 1º - O tratamento de dados pessoais de crianças deverá ser
realizado com o consentimento específico e em destaque dado por
de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor pelo menos um dos pais ou pelo responsável legal.
§ 2º - No tratamento de dados de que trata o § 1º deste artigo, os
interesse, nos termos da legislação pertinente. controladores deverão manter pública a informação sobre os tipos de
dados coletados, a forma de sua utilização e os procedimentos para o
No que se refere ao tratamento de dados pessoais de crianças, este só poderá se dar com o exercício dos direitos a que se refere o art. 18 desta Lei.
consentimento específico e em destaque dado por pelo menos um dos pais ou pelo § 3º - Poderão ser coletados dados pessoais de crianças sem o
consentimento a que se refere o § 1º deste artigo quando a coleta
responsável legal. for necessária para contatar os pais ou o responsável legal, utilizados
uma única vez e sem armazenamento, ou para sua proteção, e em
Nesse caso, os controladores deverão manter pública a informação sobre os tipos de dados nenhum caso poderão ser repassados a terceiro sem o
coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos dos consentimento de que trata o § 1º deste artigo.
§ 4º - Os controladores não deverão condicionar a participação dos
titulares. titulares de que trata o § 1º deste artigo em jogos, aplicações de
internet ou outras atividades ao fornecimento de informações
A coleta de dados pessoais de crianças sem o consentimento de pelo menos um dos pais pessoais além das estritamente necessárias à atividade.
ou do responsável legal só poderá ocorrer quando a coleta for necessária para contatar os § 5º - O controlador deve realizar todos os esforços razoáveis para
verificar que o consentimento a que se refere o § 1º deste artigo foi
próprios pais ou responsável legal, ou para proteção do titular, sendo que, nesses casos, os dado pelo responsável pela criança, consideradas as tecnologias
disponíveis.
dados serão utilizados uma única vez e sem armazenamento, não podendo, em nenhum § 6º - As informações sobre o tratamento de dados referidas neste
caso, ser repassados a terceiro sem consentimento. artigo deverão ser fornecidas de maneira simples, clara e acessível,
consideradas as características físico-motoras, perceptivas,
Por fim, as informações sobre o tratamento de dados de crianças deverão ser fornecidas de sensoriais, intelectuais e mentais do usuário, com uso de recursos
audiovisuais quando adequado, de forma a proporcionar a
maneira simples, clara e acessível, consideradas as características físico-motoras, informação necessária aos pais ou ao responsável legal e adequada
perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais ao entendimento da criança."
CONSENTIMENTO PROCESSOS
1 6
COMUNS
OBRIGAÇÃO LEGAL 2
POLÍTICAS PÚBLICAS 3
ESTUDOS 4
DADOS
CONSENTIMENTO PESSOAIS
1 PROCESSOS 5
SENSÍVEIS
PROTEÇÃO DA VIDA 6
TUTELA DA SAÚDE 7
PREVENÇÃO À FRAUDE 8
SEGURANÇA, BOAS PRÁTICAS E
06
SANÇÕES ADMINISTRATIVAS
NESSE CAPÍTULO
A LGPD traz disposição expressa acerca da aplicação do conceito privacy by design, ao prever REFERÊNCIAS
que as medidas de segurança da informação deverão ser observadas desde a fase de concepção "Art. 50. Os controladores e operadores, no âmbito de suas
competências, pelo tratamento de dados pessoais, individualmente
do produto ou do serviço até a sua execução. O privacy by design foi adotado pela LGPD como ou por meio de associações, poderão formular regras de boas
forma de garantir que a privacidade e a proteção de dados estivessem presentes em todo o práticas e de governança que estabeleçam as condições de
organização, o regime de funcionamento, os procedimentos,
ciclo de vida de produtos e serviços, desde a sua concepção. O conceito foi desenvolvido pela incluindo reclamações e petições de titulares, as normas de
segurança, os padrões técnicos, as obrigações específicas para os
canadense Ann Cavoukian, Comissária de Informação e Privacidade de Ontario, Canadá, entre diversos envolvidos no tratamento, as ações educativas, os
os anos de 1997 e 2014 – que a idealizou em meados da década de 1990. mecanismos internos de supervisão e de mitigação de riscos e outros
aspectos relacionados ao tratamento de dados pessoais.
Portanto, no momento do desenvolvimento de produtos ou serviços que utilizem dados § 1º - Ao estabelecer regras de boas práticas, o controlador e o
operador levarão em consideração, em relação ao tratamento e aos
pessoais, o controlador deve usar meios técnicos, de segurança e administrativos, adequados dados, a natureza, o escopo, a finalidade e a probabilidade e a
para garantir a legalidade durante todo o ciclo de vida dos dados. gravidade dos riscos e dos benefícios decorrentes de tratamento de
dados do titular.
Em decorrência da aplicação do privacy by design, emerge também o conceito privacy by default, § 2º - Na aplicação dos princípios indicados nos incisos VII e VIII do
caput do art. 6º desta Lei, o controlador, observados a estrutura, a
que se refere à metodologia que adota por padrão a configuração de privacidade mais restritiva escala e o volume de suas operações, bem como a sensibilidade dos
dados tratados e a probabilidade e a gravidade dos danos para os
possível na fase da coleta de dados pessoais por qualquer sistema de tecnologia da informação, titulares dos dados, poderá:
a fim de garantir a proteção dos dados pessoais de forma automática, ainda que nenhuma I - implementar programa de governança em privacidade que, no
mínimo:
interação com a máquina tenha sido feita pelo usuário nesse sentido. É a configuração do a) demonstre o comprometimento do controlador em adotar
processos e políticas internas que assegurem o cumprimento, de
sistema nesse mais alto padrão protetivo. forma abrangente, de normas e boas práticas relativas à proteção de
Assim, as empresas são incentivadas a aplicar medidas técnicas e organizativas, nas fases dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam
iniciais da concepção das operações de tratamento, de forma a garantir os princípios da sob seu controle, independentemente do modo como se realizou sua
coleta;
privacidade e proteção de dados logo desde o início (privacy by design). Ademais, as empresas c) seja adaptado à estrutura, à escala e ao volume de suas operações,
bem como à sensibilidade dos dados tratados;
devem garantir que os dados pessoais sejam tratados com a mais elevada proteção da d) estabeleça políticas e salvaguardas adequadas com base em
privacidade para que, por padrão, os dados pessoais não sejam disponibilizados a um número processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular,
indefinido de pessoas (privacy by default). por meio de atuação transparente e que assegure mecanismos de
participação do titular;
Para ilustrar o que poderiam ser exemplos de técnicas no contexto em questão, trazemos os f) esteja integrado a sua estrutura geral de governança e estabeleça e
seguintes exemplos para a privacy by design: o recurso à pseudonimização, ou seja, a aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
substituição de material pessoalmente identificável por identificadores artificiais; e a cifragem, h) seja atualizado constantemente com base em informações obtidas
a partir de monitoramento contínuo e avaliações periódicas;
ou seja, a codificação de mensagens para que apenas as pessoas autorizadas as possam ler. Já II - demonstrar a efetividade de seu programa de governança em
como exemplos da privacy by default, temos: uma plataforma de redes sociais deve ser privacidade quando apropriado e, em especial, a pedido da
autoridade nacional ou de outra entidade responsável por promover
incentivada a definir as configurações de perfil dos utilizadores de forma a facilitar a o cumprimento de boas práticas ou códigos de conduta, os quais, de
forma independente, promovam o cumprimento desta Lei.
privacidade, por exemplo, limitando desde o início a acessibilidade do perfil para que não seja § 3º - As regras de boas práticas e de governança deverão ser
publicadas e atualizadas periodicamente e poderão ser reconhecidas
acessível, por padrão, a outros usuários. e divulgadas pela autoridade nacional."
obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os fundamentais, bem como medidas, salvaguardas e mecanismos de
mitigação de risco; (...)."
mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao "Art. 38. A autoridade nacional poderá determinar ao controlador
tratamento de dados pessoais. Para tanto, terão que considerar a natureza e o escopo do que elabore relatório de impacto à proteção de dados pessoais,
inclusive de dados sensíveis, referente a suas operações de
tratamento e dos dados pessoais, a finalidade, a probabilidade e a gravidade dos potenciais tratamento de dados, nos termos de regulamento, observados os
riscos envolvidos, bem como todos os benefícios decorrentes do tratamento de dados. segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o
Na implementação do programa de governança, o controlador deverá demonstrar seu relatório deverá conter, no mínimo, a descrição dos tipos de dados
coletados, a metodologia utilizada para a coleta e para a garantia da
comprometimento em adotar processos e políticas internas que assegurem o cumprimento, de segurança das informações e a análise do controlador com relação a
forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais, aplicando- medidas, salvaguardas e mecanismos de mitigação de risco
adotados."
os a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do
modo como se realizou sua coleta, e adaptando-os à estrutura, à escala e ao volume de suas
operações, bem como à sensibilidade dos dados tratados. Ademais, o controlador deverá, ainda:
estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática
de impactos e riscos à privacidade; estabelecer uma relação de confiança com o titular, por
meio de atuação transparente e que assegure mecanismos de participação do titular;
estabelecer e aplicar mecanismos de supervisão internos e externos; contar com planos de
resposta a incidentes e remediação; e atualizar seu programa constantemente, com base em
informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
A fim de demonstrar a efetividade de seu programa de governança em privacidade, em especial
quando solicitado pela ANPD, o controlador deverá manter registro das atividades de
tratamento de dados, além do Relatório de Impacto à Proteção de Dados, conforme a seguir
explicitado.
Vide arts. 50 e 51 da LGPD.
REFERÊNCIAS Trata-se da documentação do controlador que contém a descrição dos processos de tratamento
de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem
"Art. 15. O término do tratamento de dados pessoais ocorrerá nas
seguintes hipóteses: como medidas, salvaguardas e mecanismos de mitigação de risco.
I - verificação de que a finalidade foi alcançada ou de que os dados
deixaram de ser necessários ou pertinentes ao alcance da finalidade
Esse documento deve conter, no mínimo, a descrição dos tipos de dados coletados, a
específica almejada; metodologia utilizada para a coleta e para a segurança da informação, e a análise do controlador
II - fim do período de tratamento;
III - comunicação do titular, inclusive no exercício de seu direito de sobre as medidas que podem ser implementadas para minimizar os riscos.
revogação do consentimento conforme disposto no § 5º do art. 8º
desta Lei, resguardado o interesse público; ou Como o RIPD tem o propósito de mitigar riscos, Viviane Nóbrega Maldonado e Renato Opice
IV - determinação da autoridade nacional, quando houver violação ao
disposto nesta Lei."
Blum, na obra “LGPD: Lei Geral de Proteção de Dados Comentada”, indicam que ele deverá ser
realizado antes do início do tratamento, mas com uma visão completa de todo o ciclo de vida
"Art. 16. Os dados pessoais serão eliminados após o término de seu
tratamento, no âmbito e nos limites técnicos das atividades, dos dados. Assim, o controlador conseguirá enxergar, claramente, quais serão os principais
autorizada a conservação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
fatores que poderão impactar as liberdades civis e os direitos fundamentais para a tomada de
II - estudo por órgão de pesquisa, garantida, sempre que possível, a decisão, desde a implementação de medidas e mecanismos que demonstrem o cumprimento da
anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de Lei até a descontinuidade do projeto.
tratamento de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e
Essas medidas e mecanismos podem ser administrativos ou técnicos, como a abstenção da
desde que anonimizados os dados." coleta de uma determinada espécie de dado pessoal, restrição de acessos aos dados tratados,
"Art. 52. Os agentes de tratamento de dados, em razão das infrações reforçar a tecnologia de criptografia ou realizar o procedimento de pseudonimização dos dados,
cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes
sanções administrativas aplicáveis pela autoridade nacional: apenas para citar alguns exemplos. Frise-se que a ANPD poderá solicitar o relatório de impacto
I - advertência, com indicação de prazo para adoção de medidas
corretivas;
para tratamento de dados que envolvam interesse legítimo, bem como determinar que este seja
II - multa simples, de até 2% (dois por cento) do faturamento da feito para tratamento que implique dados sensíveis.
pessoa jurídica de direito privado, grupo ou conglomerado no Brasil
no seu último exercício, excluídos os tributos, limitada, no total, a R$ Vide arts. 5º, XVII, e 38 da LGPD.
50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada
a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua
regularização;
CICLO DE VIDA DOS DADOS
VI - eliminação dos dados pessoais a que se refere a infração;
VII - (VETADO); Um dos aspectos mais relevantes atinentes ao tratamento dos dados pessoais é a chamada
VIII - (VETADO);
IX - (VETADO);
“retenção”, que condiciona a obrigatoriedade de que seja instituída política assertiva sobre o
X - suspensão parcial do funcionamento do banco de dados a que se
refere a infração pelo período máximo de 6 (seis) meses, prorrogável
tempo de tratamento e sobre a previsão de sua expiração. Ferramentas construídas para
por igual período, até a regularização da atividade de tratamento pelo projetos de implementação da LGPD normalmente incluem uma “marca” temporal, destinada a
controlador;
criar um alerta futuro quanto à expiração da base legal e a determinar, quando não exista nova
circunstância, o efetivo término do tratamento e consequente eliminação dos dados até então
existentes.
Assim, o término do tratamento de dados pessoais e sua consequente eliminação, que operar-
XI - suspensão do exercício da atividade de tratamento dos dados
pessoais a que se refere a infração pelo período máximo de 6 (seis) se-á de forma automática, não se fazendo necessário qualquer pedido expresso do titular dos
meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas
dados, deverá ocorrer sempre que for verificada qualquer das seguintes hipóteses: quando a
a tratamento de dados. finalidade foi alcançada ou quando os dados deixaram de ser necessários ou pertinentes ao
§ 1º - As sanções serão aplicadas após procedimento administrativo
que possibilite a oportunidade da ampla defesa, de forma gradativa, alcance da finalidade específica almejada; ao fim do período de tratamento; quando solicitado
isolada ou cumulativa, de acordo com as peculiaridades do caso
concreto e considerados os seguintes parâmetros e critérios:
pelo titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o
I - a gravidade e a natureza das infrações e dos direitos pessoais
afetados;
interesse público; bem como por determinação da ANPD, quando houver violação ao disposto
II - a boa-fé do infrator; na Lei.
III - a vantagem auferida ou pretendida pelo infrator;
IV - a condição econômica do infrator; Via de regra, quando identificada qualquer das situações descritas acima, deverá ocorrer a
V - a reincidência;
VI - o grau do dano;
eliminação dos dados pessoais, sendo, contudo, autorizada sua conservação para as seguintes
VII - a cooperação do infrator; finalidades: cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão
VIII - a adoção reiterada e demonstrada de mecanismos e
procedimentos internos capazes de minimizar o dano, voltados ao de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; transferência a
tratamento seguro e adequado de dados, em consonância com o
disposto no inciso II do § 2º do art. 48 desta Lei;
terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na Lei; ou para
IX - a adoção de política de boas práticas e governança; uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os
X - a pronta adoção de medidas corretivas; e
XI - a proporcionalidade entre a gravidade da falta e a intensidade da dados.
sanção.
§ 2º - O disposto neste artigo não substitui a aplicação de sanções Vide arts. 15 e 16 da LGPD.
administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de
setembro de 1990, e em legislação específica.
§ 3º - O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste
artigo poderá ser aplicado às entidades e aos órgãos públicos, sem
prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na SANÇÕES ADMINISTRATIVAS
Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de
novembro de 2011.
§ 4º - No cálculo do valor da multa de que trata o inciso II do caput Inicialmente, cabe-nos destacar que a Lei nº 14.010/2020 postergou o início da vigência dos
deste artigo, a autoridade nacional poderá considerar o faturamento
total da empresa ou grupo de empresas, quando não dispuser do
artigos relacionados às sanções administrativas da LGPD para 1º de agosto de 2021. Isso se deu
valor do faturamento no ramo de atividade empresarial em que porque é importante que haja um período de adaptação, no qual a ANPD esteja mais voltada
ocorreu a infração, definido pela autoridade nacional, ou quando o
valor for apresentado de forma incompleta ou não for demonstrado para orientação e divulgação de boas práticas do que para a punição.
de forma inequívoca e idônea.
§ 5º - O produto da arrecadação das multas aplicadas pela ANPD,
Como bem apontado no caput do art. 52 e no art. 55-K, a competência para aplicação das
inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa penalidades administrativas previstas na LGPD é exclusiva da ANPD.
de Direitos Difusos de que tratam o art. 13 da Lei nº 7.347, de 24 de
julho de 1985, e a Lei nº 9.008, de 21 de março de 1995. As sanções só serão aplicadas após procedimento administrativo que possibilite a oportunidade
§ 6º - As sanções previstas nos incisos X, XI e XII do caput deste
artigo serão aplicadas: da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do
I - somente após já ter sido imposta ao menos 1 (uma) das sanções de
que tratam os incisos II, III, IV, V e VI do caput deste artigo para o
caso concreto e considerados os seguintes parâmetros e critérios: a gravidade e a natureza das
mesmo caso concreto; e infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou
II - em caso de controladores submetidos a outros órgãos e entidades
com competências sancionatórias, ouvidos esses órgãos. pretendida pelo infrator; a condição econômica do infrator; a reincidência; o grau do dano; a
§ 7º - Os vazamentos individuais ou os acessos não autorizados de
que trata o caput do art. 46 desta Lei poderão ser objeto de
cooperação do infrator; a adoção reiterada e demonstrada de mecanismos e procedimentos
conciliação direta entre controlador e titular e, caso não haja acordo, internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; a
o controlador estará sujeito à aplicação das penalidades de que trata
este artigo." adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e a
proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Vale destacar, ainda, que as sanções administrativas definidas pela LGPD não substituem a
aplicação de sanções administrativas, civis ou penais definidas no Código de Defesa do REFERÊNCIAS
Consumidor e em legislações específicas.
Vide arts. 52 a 54 da LGPD. "Art. 53. A autoridade nacional definirá, por meio de regulamento
próprio sobre sanções administrativas a infrações a esta Lei, que
deverá ser objeto de consulta pública, as metodologias que
orientarão o cálculo do valor-base das sanções de multa.
§ 1º - As metodologias a que se refere o caput deste artigo devem
ADVERTÊNCIA
ser previamente publicadas, para ciência dos agentes de tratamento,
Nesse caso, a sanção se limita à indicação de prazo para adoção de medidas corretivas. e devem apresentar objetivamente as formas e dosimetrias para o
cálculo do valor-base das sanções de multa, que deverão conter
fundamentação detalhada de todos os seus elementos,
demonstrando a observância dos critérios previstos nesta Lei.
§ 2º - O regulamento de sanções e metodologias correspondentes
MULTA SIMPLES deve estabelecer as circunstâncias e as condições para a adoção de
multa simples ou diária."
A multa será de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado,
grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no "Art. 54. O valor da sanção de multa diária aplicável às infrações a
esta Lei deve observar a gravidade da falta e a extensão do dano ou
total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. prejuízo causado e ser fundamentado pela autoridade nacional.
Parágrafo único. A intimação da sanção de multa diária deverá
No cálculo do valor da multa, a ANPD poderá considerar o faturamento total da empresa ou conter, no mínimo, a descrição da obrigação imposta, o prazo
grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade razoável e estipulado pelo órgão para o seu cumprimento e o valor da
multa diária a ser aplicada pelo seu descumprimento."
empresarial em que ocorreu a infração, ou quando o valor for apresentado de forma
incompleta ou não for demonstrado de forma inequívoca e idônea.
A ANPD definirá, por meio de regulamento próprio, que deverá ser objeto de consulta pública,
as metodologias que orientarão o cálculo do valor-base das sanções de multa. Essas
metodologias devem ser previamente publicadas, para ciência dos agentes de tratamento, e
devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das
sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos.
O regulamento de sanções e metodologias correspondentes deve estabelecer, ainda, as
circunstâncias e as condições para a adoção de multa simples ou diária.
Essa sanção não poderá ser aplicada às entidades e aos órgãos públicos.
MULTA DIÁRIA
A multa diária, diferentemente da multa simples, não representa uma satisfação jurídico-legal
ao cometimento de uma infração, mas um instrumento de coercitividade para cumprimento de
obrigação imposta.
A Lei traz a limitação no total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração
também para essa modalidade de multa. Porém, o valor da multa diária deverá observar a
gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela ANPD.
Ademais, a intimação da sanção de multa diária deverá conter, no mínimo, a descrição da
obrigação imposta, o prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor
da multa diária a ser aplicada pelo seu descumprimento. Essa sanção não poderá ser aplicada às
entidades e aos órgãos públicos.
PUBLICIZAÇÃO DA INFRAÇÃO
O bloqueio dos dados objeto da infração equivale a uma limitação temporária em seu
tratamento, até a sua regularização.
A eliminação dos dados pessoais a que se refere a infração equivale ao seu apagamento
definitivo. Nesse sentido, dever-se-á, tão somente, assegurar a plenitude desse tratamento, de
maneira a que não se recuperem os dados por métodos e tecnologias hoje capazes de
recuperação de dados excluídos em armazenamentos magnéticos e outras mídias.
PROIBIÇÃO DE TRATAMENTO
NESSE CAPÍTULO
IMPLEMENTAÇÃO
Nessa etapa, será elaborada uma visão única e integrada do roadmap, para implementação do
plano de ação. Aqui será colocado em prática todo o planejamento feito especialmente para a
empresa/cliente. Como este é o momento em que efetivamente começa a acontecer a adequação,
muitas dúvidas podem surgir por parte dos funcionários. É indicado acompanhamento de perto e
atuação conjunta e, se possível, novo workshop com os funcionários para início dessa fase.
MONITORAMENTO