UNIVERSIDADE SÃO JUDAS

CURSO DE DIREITO

TRABALHO DE CONCLUSÃO DE CURSO

LGPD (Lei Geral de Proteção de Dados Pessoais) Direitos e Obrigações da Pessoa

Jurídica

Marcelo Augusto Vidal

São Paulo, novembro de 2022

 UNIVERSIDADE SÃO JUDAS
CURSO DE DIREITO
TRABALHO DE CONCLUSÃO DE CURSO

LGPD (Lei Geral de Proteção de Dados Pessoais) Direitos e Obrigações da Pessoa

Jurídica

Trabalho de conclusão de curso à

coordenação do Curso de Direito da
Universidade São Judas o qual é
requisito para obtenção do diploma de
Bacharel em Direito.

São Paulo, novembro e 2022

 RESUMO DO PROJETO

Esse projeto busca analisar condutas sobre a aplicação de necessidades da nova Lei
13.7093 de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais – LGPD,
algo novo, que gera muitas dúvidas, especialmente quanto à responsabilidade civil
dos fornecedores de serviços pelo tratamento inadequado de dados pessoais. Porém
sem deixar de reparar que o direito à proteção dos dados pessoais é anterior à LGPD,
sendo a ela agora uma melhoria para acompanhar o atual momento digital, antes era
possível extraí-lo de forma mais ineficaz, mas existente da Constituição Federal de
1988, do Código Civil de 2002, do Código de Defesa do Consumidor e do Marco
Civil da Internet. Assim iremos ver o equilíbrio onde a empresa tem que chegar e os
direitos que ela e a pessoa física tem principalmente vendo o direito a segurança dos
dados.

Palavras-chave: LGPD, direito à privacidade, direito de informação, direito ao livre

acesso, direito à segurança dos dados.
Índice

Índice ............................................................................................................................................. 4
1. LEI GERAL DE PROTEÇÃO DE DADOS -Lei 13.7093 de 14 de agosto de 2018 ....................... 6
1.1. ANTES DA LGPD - A PROTEÇÃO DE DADOS ....................................................................... 6
1.2. A LGPD ............................................................................................................................... 8
1.3. LGPD – TRATAMENTO DOS DADOS................................................................................. 12
2. APLICAÇÂO ESTRUTURAL .................................................................................................... 14
2.1. DENTRO DOS FORNECEDORES ........................................................................................ 14
3. A RESPONSABILIDADE CIVIL ................................................................................................ 16
3.1. CODIGO DE DEFESA DO CONSUMIDOR........................................................................... 16
3.2. LIGAÇÃO ENTRE LGPD E CDC ........................................................................................... 18
3.3. APLICAÇÃO ...................................................................................................................... 19
3.4. PUNIÇÕES ........................................................................................................................ 22
CONCLUSÃO ................................................................................................................................ 24
REFERÊNCIAS BIBLIOGRÁFICAS ................................................................................................... 25
 INTRODUÇÃO

Hoje há muito conflito e confusão entre a aplicação da Lei Geral de Proteção de Dados
e como fazer, será analisado o impacto, a responsabilidade civil dos fornecedores pelo
tratamento inadequado dos dados pessoais, nos últimos anos muito se tornou digital,
o mundo virtual não para de crescer e muitos produtos e serviços se tornaram on-line.
Porém os usuários, ao utilizarem esses serviços, na maioria das vezes, devem
preencher formulários de cadastros, disponibilizando dados de caráter pessoal, que,
em muitos casos, são informações sensíveis a respeito do usuário.

Será abordado o antes e o depois à LGPD, vendo que a proteção dos dados é anterior
à LGPD, constando na Constituição Federal, no Código Civil, no Código de Defesa
do Consumidor e no Marco Civil da Internet, porém não conseguia garantir
completamente os direitos no mundo atual, trazendo a LGPD como um complemento.
Uma ordem natural como um exemplo foi a criação do Código de Defesa do
Consumidor, complementando o Código Civil.

Hoje que no mundo digital existe a necessidade de garantir que informações coletadas
tenham um tratamento adequado, bem como a pessoa tenha controle dos seus dados
pessoais fornecidos para as empresas, podendo modificar, corrigir ou excluir as
informações e para garantir esse direito veio a LGPD, conforme outras Nações já têm
meios semelhantes de fiscalização.

Ao final, veremos por meio de análise, o que é necessário ser feito e como os
fornecedores responderão pelos danos causados pela violação da proteção dos dados
pessoais.
1. LEI GERAL DE PROTEÇÃO DE DADOS -Lei 13.7093 de 14 de agosto de 2018

1.1. ANTES DA LGPD - A PROTEÇÃO DE DADOS

Muito antes de especular a criação da LGPD, com os avanços tecnológicos e criação

de novas tecnologias, a proteção à privacidade, dados pessoais já vêm sendo protegida,
legislada e tendo suas evoluções graduais conforme a evolução da necessidade. Podemos
ver em 1948, na Declaração Universal dos Direitos Humanos, que trouxe o Direito à
Privacidade como um direito fundamental do ser humano, dando origem, assim, às
diversas legislações, a respeito do tema. A declaração, no seu artigo 12, ainda válida para
os dias de hoje, ressalta que: “Ninguém será sujeito a interferências na sua vida privada,
família, lar ou na sua correspondência, nem a ataque à sua honra e reputação. Toda Pessoa
tem direito à proteção da lei contra tais interferências ou ataques” (DECLARAÇÃO
UNIVERSAL DOS DIREITOS HUMANOS, 1948).

Partindo para momentos mais atuais veremos, a evolução e garantias no Brasil,

começando pelo artigo 5º da Constituição Federal de 1988 que coloca “todos iguais
perante a lei” e demonstra que o direito à privacidade é um direito fundamental conforme
inciso X, XI e XII:

[...]
X - são invioláveis a intimidade, a vida privada, a honra e a imagem
das pessoas, assegurado o direito a indenização pelo dano material ou
moral decorrente de sua violação;
XI - a casa é asilo inviolável do indivíduo, ninguém nela podendo
penetrar sem consentimento do morador, salvo em caso de flagrante
delito ou desastre, ou para prestar socorro, ou, durante o dia, por
determinação judicial;
XII - é inviolável o sigilo da correspondência e das comunicações
telegráficas, de dados e das comunicações telefônicas, salvo, no último
caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer
para fins de investigação criminal ou instrução processual penal;
(BRASIL, 1988)
 Porém não é suficiente somente o exposto na Constituição, é uma base, mas que
precisa ser complementada conforme a evolução tecnológica e a necessidade.

Com o advento de novas tecnologias, notadamente o desenvolvimento

da biotecnologia e da Internet, o acesso a dados sensíveis e,
conseqüentemente, a sua divulgação, foram facilitados de forma
extrema. Como resultado, existe uma expansão das formas potenciais
de violação da esfera privada, na medida em que se mostra a facilidade
por meio da qual é possível o acesso não autorizado de terceiros a esses
dados. Com isso, a tutela da privacidade passa a ser vista não só como
o direito de não ser molestado, mas também como o direito de ter
controle sobre os dados pessoais e, com isso, impedir a sua circulação
indesejada. (MULHOLLAND, 2012, p. 3).

Desta forma começaram a ser criados instrumentos legais que buscam a proteção
de dados pessoais e alteravam a visão sobre a importância desses dados. Nos anos 90
começaram a aparecer, o Código de Defesa do Consumidor (Lei 8.078/90). Que começou
a dar direitos ao consumidor sobre seus dados em posse de outros, podendo gerar alertas.
Em 1996, a Lei de Interceptação Telefônica e Telemática (Lei 9.296/96), impôs a
utilização desse meio a somente casos específicos e sempre com a devida autorização
judicial, também como a Lei do Habeas Data (Lei 9.507/97), que regulou o rito de acesso
e a correção de informações pessoais e se tornou um direito constitucional., ainda se
destaca. o direito à vida privada é reconhecido também no art. 21 do Código Civil: “A
vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado,
adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta
norma”.

Em 2014, com o Marco Civil da Internet veio a regulamentação dos direitos aos
usuários da Internet, os incisos I e II do artigo 7º asseguram, respetivamente, o direito à
“inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano
material ou moral decorrente de sua violação” e à “inviolabilidade e sigilo do fluxo de
suas comunicações pela internet, salvo por ordem judicial, na forma da lei” (BRASIL,
2014).
 Continuando com o Marco Civil da Internet, há outros incisos do artigo 7º da referida
lei que tutelam a proteção de dados, destaca-se o inciso VII, que veda o fornecimento de
dados pessoais sem que haja autorização do internauta, o inciso IX, que exige
consentimento expresso para o armazenamento de dados, e o inciso X, que determina a
exclusão definitiva dos dados ao término da relação entre as partes (BRASIL, 2014).
Entre outros artigos estes não tão específicos, mas que auxiliam a proteção, como a
necessidade de consentimento para utilização de dados, sendo um grande marco a
proteção e tratamento de dados.

1.2. A LGPD

Como visto anteriormente, no Brasil já havia alguma proteção de dados, de

privacidade, porém insuficiente perante a evolução digital e a forma de lidar com todos
esses dados hoje contemplados nos meios digitais. Dessa forma a Lei 13.709 (BRASIL,
2018) veio para regulamentar o tratamento desses dados. Surgiu inspirada na (GDPR), a
legislação europeia de tratamento de dados dos seus cidadãos, protege seus titulares
contra a coleta não autorizada e o uso abusivo de seus dados pessoais. Com o mesmo
intuito a LGPD protege os dados de pessoas naturais, principalmente no que se refere à
defesa da sua intimidade e privacidade.

Na obra de Rafael Fernandez “Manual Prático sobre a Lei Geral de Proteção de

Dados Pessoais”, podemos ver que é uma Lei onde:

dispõe sobre o tratamento de dados pessoais por pessoa natural ou por

pessoa jurídica de direito público ou privado, com o objetivo de
proteger os direitos fundamentais de liberdade e privacidade e o livre
desenvolvimento da personalidade natural, inclusive por meio digital
(FERNANDEZ, 2020, p. 17).

Assim vemos que a LGPD incide sobre qualquer atividade de tratamento de dados
efetuada por pessoa jurídica de direito público ou privado, independentemente do meio
em que ela é realizada e do país de sua sede ou do país em que os dados estejam situados.
 A proteção de dados pessoais está baseada nos fundamentos claramente colocados
no o artigo 2º da Lei.

Art. 2º A disciplina da proteção de dados pessoais tem como

fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de
opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a
dignidade e o exercício da cidadania pelas pessoas naturais.

Porém, já deixando claro no artigo 4º, pessoas naturais e fins não econômicos não se
aplicam, deixando a regulamentação para empresas (pessoas jurídicas) sobre o
armazenamento e utilização de dados, eliminando também fins acadêmicos e
jornalísticos.

Seguindo, ela segue os seguintes princípios: Finalidade, adequação, necessidade,

livre acesso, qualidade dos dados, transparência, segurança, prevenção, não
discriminação, responsabilização e prestação de contas. Abaixo temos o que são e como
são esses dados que a LGPD menciona conforme a definição legal:

Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada
ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou político, dado referente
à saúde ou à vida sexual, dado genético ou biométrico, quando
vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser
identificado, considerando a utilização de meios técnicos razoáveis e
disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais,
estabelecido em um ou em vários locais, em suporte eletrônico ou
físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são
objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou
privado, a quem competem as decisões referentes ao tratamento de
dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou
privado, que realiza o tratamento de dados pessoais em nome do
controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para
atuar como canal de comunicação entre o controlador, os titulares dos
dados e a Autoridade Nacional de Proteção de Dados (ANPD);
(Redação dada pela Lei nº 13.853, de 2019) Vigência
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as
que se referem a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou
extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis
no momento do tratamento, por meio dos quais um dado perde a
possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela
qual o titular concorda com o tratamento de seus dados pessoais para
uma finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de
tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados
armazenados em banco de dados, independentemente do procedimento
empregado;
XV - transferência internacional de dados: transferência de dados
pessoais para país estrangeiro ou organismo internacional do qual o
país seja membro;
XVI - uso compartilhado de dados: comunicação, difusão,
transferência internacional, interconexão de dados pessoais ou
tratamento compartilhado de bancos de dados pessoais por órgãos e
entidades públicos no cumprimento de suas competências legais, ou
entre esses e entes privados, reciprocamente, com autorização
específica, para uma ou mais modalidades de tratamento permitidas
por esses entes públicos, ou entre entes privados;
XVII - relatório de impacto à proteção de dados pessoais:
documentação do controlador que contém a descrição dos processos
de tratamento de dados pessoais que podem gerar riscos às liberdades
 civis e aos direitos fundamentais, bem como medidas, salvaguardas e
mecanismos de mitigação de risco;
XVIII - órgão de pesquisa: órgão ou entidade da administração pública
direta ou indireta ou pessoa jurídica de direito privado sem fins
lucrativos legalmente constituída sob as leis brasileiras, com sede e
foro no País, que inclua em sua missão institucional ou em seu objetivo
social ou estatutário a pesquisa básica ou aplicada de caráter
histórico, científico, tecnológico ou estatístico; e (Redação dada pela
Lei nº 13.853, de 2019) Vigência
XIX - autoridade nacional: órgão da administração pública
responsável por zelar, implementar e fiscalizar o cumprimento desta
Lei em todo o território nacional. (Redação dada pela Lei nº 13.853,
de 2019) Vigência

Importante também, observar expressões utilizadas na Lei: pessoa natural, pessoa

jurídica, dados pessoais, titular dos dados, tratamento dos dados, dados pessoais sensíveis,
consentimento, banco de dados, controlador e operador.

Até hoje, como é sabido, as empresas simplesmente cumprem o

expediente fornecendo um kit de documentos (formulários de
informações e consentimento, política de privacidade, documento de
segurança etc.) aos quais ninguém realmente presta atenção. A partir
de 2020, quando a lei entra em vigor plenamente, qualquer
organização a ela sujeita deverá provar: i) que avaliou e, se necessário,
redesenhou adequadamente o processamento de dados pessoais; ii) que
as medidas de segurança implementadas são adequadas e eficazes; iii)
que aplica uma política de privacidade interna com obrigações claras,
ações concretas vinculadas a cada uma e que foram designados os
responsáveis pelo cumprimento; iv) que nomeou um encarregado e que
exige esse mesmo cumprimento responsável de seus funcionários e na
sua cadeia de terceirização. (MORAES; QUEIROZ, 2019, p. 129)

Entretanto não basta legislar, precisa ser acompanhando, gerar ferramentas para
fiscalizar a aplicação da mesma e neste ponto destaca-se que uma das principais
ferramentas para que a lei alcance sucesso em seu objetivo de consolidar a proteção de
dados nacionalmente, além das novas regras, é a criação da Autoridade Nacional de
Proteção de Dados (ANPD), nos termos do art. 55-J da LGPD, que será o órgão
responsável pela fiscalização do descumprimento da legislação de tratamento de dados
(BRASIL, 2018).
1.3. LGPD – TRATAMENTO DOS DADOS

Bom seguindo na compreensão da Lei Geral de Proteção dos Dados, é importante

falar sobre os princípios aplicáveis e que são os tratamentos dos dados conforme
colocados no artigo 6º.

Art. 6º As atividades de tratamento de dados pessoais deverão observar

a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos,
específicos, explícitos e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com essas finalidades;

Os dados têm de ser coletados para fins específicos, mantendo seu tratamento das
informações somente a finalidade pela qual foi disponibilizada, deixando clara essa
finalidade.

II - adequação: compatibilidade do tratamento com as finalidades

informadas ao titular, de acordo com o contexto do tratamento;

Todo tratamento dos dados deve ter uma relação especifica conforme visto acima
pela finalidade, devendo se adequar ao que for solicitado. Um exemplo disso é quando o
usuário solicita que os seus dados sejam deletados do banco de dados, mas a empresa que
os possui não deleta, apenas ocultam do usuário. Isso é uma violação ao princípio da
adequação, podendo o detentor dos dados sofrer punições.

III - necessidade: limitação do tratamento ao mínimo necessário para

a realização de suas finalidades, com abrangência dos dados
pertinentes, proporcionais e não excessivos em relação às finalidades
do tratamento de dados;

Tudo precisa de um motivo e ser limitado somente a necessidade, sem complementos

desnecessários ou de interesse distinto da finalidade.

IV - livre acesso: garantia, aos titulares, de consulta facilitada e

gratuita sobre a forma e a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais;
 O acesso tem de estar disponível para o titular em qualquer momento aos dados
referentes a si mesmo, sem custo, bloqueios ou dificuldades.

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza,

relevância e atualização dos dados, de acordo com a necessidade e
para o cumprimento da finalidade de seu tratamento;

Uma garantia clara aos titulares de como e por que serão tratados os seus dados,
deixando exposto sua finalidade.

VI - transparência: garantia, aos titulares, de informações claras,

precisas e facilmente acessíveis sobre a realização do tratamento e os
respectivos agentes de tratamento, observados os segredos comercial e
industrial;

Transparência complementa o IV afirmando que os dados e tratamentos oferecidos

devem ser informados de maneira clara, precisa e transparente.

Assim até o momento impõe de forma clara que o responsável terá que demonstrar
como serão tratados os dados para garantir a proteção de situações acidentais, ilícitas,
acessos indevidos que gerem perda, alterações vazamentos e outros. O possuidor deverá
garantir os usuários seguros podendo ser responsabilizado em caso de violação.

VII - segurança: utilização de medidas técnicas e administrativas aptas

a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou
difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de
danos em virtude do tratamento de dados pessoais;

A segurança e a prevenção, que destacam as medidas preventivas que devem ser

adotadas, para evitar que ocorram quaisquer tipos de danos aos dados pessoais dos
titulares.

IX - não discriminação: impossibilidade de realização do tratamento

para fins discriminatórios ilícitos ou abusivos;
 X - responsabilização e prestação de contas: demonstração, pelo
agente, da adoção de medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas de proteção de dados
pessoais e, inclusive, da eficácia dessas medidas.

Por fim, temos a discriminação, da responsabilização e prestação de contas. O

primeiro reforça a finalidade clara e sem finalidades discriminatórias, abusivas ou ilícitas.
Já o segundo aponta que o agente de tratamento é responsável pelos dados pessoais bem
como deve, a qualquer momento que for solicitado, ser capaz de demonstrar que está
adotando as medidas necessárias para o devido cumprimento das normas de proteção dos
dados pessoais, inclusive comprovando a eficácia das medidas que estão sendo adotadas.

2. APLICAÇÂO ESTRUTURAL

2.1. DENTRO DOS FORNECEDORES

Conforme ficou claro vendo os princípios, há a necessidade de adaptação de forma

clara para a segurança e transparência, na Lei também há uma sessão específica para
aplicação dessas necessidades Da Segurança e do Sigilo de Dados, que nessa demonstra
as formas de atuação dos agentes de tratamento (artigos 46 à 49).

Visto conforme colocado no artigo 46º:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança,

técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de
tratamento inadequado ou ilícito.

O que seria isso aplicado, somente uma atualização de segurança é suficiente? Como
podemos ver analisando a legislação todos os sistemas antigos terão de ser atualizados,
treinamentos deverão ser estruturados e as necessidades das empresas deverão ser
adaptadas.
 Na LGPD, hoje muitos seguem na linha de uma consultoria para análise das
necessidades da implementação nas empresas, há muitos Advogados seguindo nessa
linha, da mesma forma que outras empresas também, de fato muito importante para a
visão geral de como e por que a empresa será obrigada a se reestruturar, tanto com
treinamentos, com sua infraestrutura tecnológica, com a análise dos dados realmente
necessários a serem coletados e a possível eliminação de muitos outros.

Questão de tecnologia, algo muito importante é a segurança dos dados armazenados,

algo que com a esta lei, poderá responsabilizar aqueles que tiverem alguma invasão por
não ter os devidos cuidados, como veremos a frente, há muitos métodos e formas que
deverão ser adotadas, para se comprovar que não houve descuidos como falta de
criptografias para a limitação da visualização de dados por pessoas não autorizadas, que
também complementa a dificuldade de acesso, a separação de níveis hierárquicos de
visualização, nem todos dentro de uma empresa precisam ver todos os dados e são
investimentos que ainda estão sendo deixados de lado.

Além da tecnologia, há a educação de quem irá manipular os dados, para saber cada
um até onde pode visualizar/tratar esses dados, como, porque e o que fazer. A LGPD
devidamente aplicada não é uma adaptação, é uma restruturação da visão atual e uma
limitação do abuso sobre o “novo petróleo” como alguns dizem que é o acesso aos dados.

Dados, pode ser visto de várias formas hoje com a evolução tecnológica, desde seus
dados pessoais, documentos, especificações físicas, médicas, também padrões de
consumo que podem definir preferencias, doenças, necessidades, há questões de acesso
financeiro, como digitais, cartões de crédito, tudo que se cair em mãos erradas pode ser
prejudicial.

Por exemplo, empresas deverão buscar se adaptar no tratamento de dados pessoais,

como nome, RG, CPF, gênero, data de nascimento, endereço de IP (Internet Protocol) do
usuário e até mesmo informações obtidas por cookies e hábitos de consumo, que
geralmente são realizadas em alguns tipos de produtos com conexão à internet.

Também deverá existir atenção aos dados sensíveis, que são mais específicos, mas
que em determinados contextos podem sim estar em posse da empresa, que deverá estar
muito atenta ao seu tratamento. Estas são informações a respeito de crianças ou
adolescentes, dados que revelam origem étnica e/ou racial, religião, opiniões políticas
e/ou filosóficas, questões de saúde e da vida sexual do indivíduo.

Vendo um pouco sobre os princípios aplicáveis ao tratamento de dados pessoais,

aplicações e adaptações a serem feitas, exemplos de dados, podemos citar algumas ações
que são entendidas como atividade de tratamento de dados, sendo assim, passíveis da
aplicação da LGPD, sendo elas: coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, armazenamento,
eliminação, dentre outros atos.

3. A RESPONSABILIDADE CIVIL

3.1. CODIGO DE DEFESA DO CONSUMIDOR

Anteriormente falamos de responsabilidades sobre os dados tratados LGPD, agora

vemos o Código de Defesa do Consumidor (BRASIL, 1990) responsabilidade do
fornecedor esse definido pelo em seu artigo 14, que em sequência a relação entre os dois
códigos:

Art.14 O fornecedor de serviços responde, independentemente da

existência de culpa, pela reparação dos danos causados aos
consumidores por defeitos relativos à prestação dos serviços, bem
como por informações insuficientes ou inadequadas sobre sua fruição
e riscos.

Então, podemos ver que quando houver relação de consumo pessoa física com pessoa
jurídica, essa que se encaixa na LGPD também estará contemplada pelo CDC isto é,
relação fornecedor e consumidor. Desta forma caracterizado pelo CDC o consumidor da
seguinte maneira em seu artigo 2º: “consumidor é toda pessoa física ou jurídica que
adquire ou utiliza produto ou serviço como destinatário final” e no artigo 3º
complementando o fornecedor como prestador de serviços e outros, mais claro aplicado
aqui no §2º do mesmo artigo:

§ 2° Serviço é qualquer atividade fornecida no mercado de consumo,

mediante remuneração, inclusive as de natureza bancária, financeira,
de crédito e securitária, salvo as decorrentes das relações de caráter
trabalhista.

Complementando, conforme estamos falando nos dados e seus tratamentos por

pessoas jurídicas essas com objetivos econômicos, independentemente de quais:

Note-se que, independentemente do modelo de negócios do site, sendo

atividade de aproximação de interessados no negócio, pode qualificar-
se como espécie de serviço de que trata o artigo 3., § 2., do CDC. Da
mesma forma, e remunerado, direta ou indiretamente, por intermédio
de contraprestação das partes ou da comercialização de espaços de
publicidade no site. Daí poder indicar-se como espécie de relação de
consumo e as vítimas de eventuais fraudes por intermédio do site,
fazerem jus ao regime de responsabilidade por fato do serviço previsto
no artigo 14 do CDC. Há, pois, de parte dos provedores que
intermedeiam negócios, 0 dever de segurança em relação ao serviço
que prestam. (MIRAGEM, 2016, p. 558)

Continuando a complementar, desta vez sobre a visão do consumidor:

Nosso entendimento é de que consumidor é pessoa física ou jurídica

que adquire ou utiliza produto ou serviço como destinatário final fático
e econômico, isto é, sem reempregá-lo no mercado de consumo com o
objetivo de lucro. Admite-se, todavia, em caráter excepcional, que
agentes econômicos de pequeno porte, quando comprovadamente
vulneráveis, que não tenham o dever de conhecimento sobre as
características de um determinado produto ou serviço, ou sobre as
consequências de uma determinada contratação, possam ser
considerados consumidores para efeito de aplicação das normas do
CDC. (MIRAGEM, 2016, p. 159)
3.2. LIGAÇÃO ENTRE LGPD E CDC

Como já vimos, a Lei Geral de Proteção de Dados não é revolucionária, ela é baseada
na evolução normativa e da estrutura hoje vivida:

A literatura atual sobre privacidade tem destacado, quase que de forma

unânime, que a noção tradicional de privacidade, restrita à intimidade
e ao direito de ser deixado só, não é mais compatível com a
complexidade dos desafios inerentes à economia movida a dados e à
vigilância. (FRAZÃO, 2020, p. 102)

Evolução essa como já falado que se vem mostrando, e de como cada passo se
complementa, hoje podendo dizer que temos uma proteção de dados:

Nesse sentido, as raízes da proteção de dados estão ligadas aos direitos

da personalidade abrigados no Código Civil e perpassam pela Lei do
Habeas Data, pelo Código de Defesa do Consumidor, pela Lei de
Acesso à Informação, pela Lei do Cadastro Positivo e pelo Marco Civil
da Internet. Com efeito, o Brasil foi desenvolvendo um sistema de
proteção de dados, que também se refletiu na atuação de tribunais
superiores e órgãos da administração pública. (OLIVEIRA; LOPES,
2020, p. 80)

De forma que nas próprias Leis, elas colocam a complementação mútua, conforme
podemos ver:

Art. 18.(...)
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação
aos seus dados contra o controlador perante a autoridade nacional.
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser
exercido perante os organismos de defesa do consumidor.
Art. 64. Os direitos e princípios expressos nesta Lei não excluem outros
previstos no ordenamento jurídico pátrio relacionados à matéria ou
nos tratados internacionais em que a República Federativa do Brasil
seja parte.
(LEI Nº 13.709, DE 14 DE AGOSTO DE 2018)

Art. 7° Os direitos previstos neste código não excluem outros

decorrentes de tratados ou convenções internacionais de que o Brasil
seja signatário, da legislação interna ordinária, de regulamentos
expedidos pelas autoridades administrativas competentes, bem como
 dos que derivem dos princípios gerais do direito, analogia, costumes e
eqüidade.
(LEI Nº 8.078, DE 11 DE SETEMBRO DE 1990.)

3.3. APLICAÇÃO

Bom aplicado a lei, a LGPD, claro que existirão certas limitações, como vemos
segundo Patricia Peck (2018, p. 43-44): “o tratamento de dados pessoais deve seguir um
propósito certo e funcional, mas que não supere a liberdade de informação e expressão, a
soberania, segurança e a defesa do Estado.”.

Vendo a lei, essas limitações são para um melhor equilíbrio, entre a privacidade e a
segurança pública, tudo se baseia na busca do equilíbrio, gerando benefícios e segurança
para os dois lados.

Contudo, mesmo com limitações, uma escrita ainda nova e diante da coexistência de
diversas normas surgem dúvidas acerca de qual legislação será aplicável, entretanto não
há incompatibilidade com a LGPD, na medida em que a nova lei amplia as antigas
disposições acerca da proteção de dados:

Apesar de já tratar dessas possibilidades enquanto garantias dos

titulares de dados pessoais, o Marco Civil da Internet não se aprofunda
tanto quanto a Lei 13.709/2018, que refina e oferece mais detalhes para
a disciplina no Brasil. (BRANDÃO, 2019, p. 39)

Conforme veremos a LGPD, em seus arts. 42 a 45, coloca especificamente a

responsabilidade civil.

Art. 42. O controlador ou o operador que, em razão do exercício de

atividade de tratamento de dados pessoais, causar a outrem dano
patrimonial, moral, individual ou coletivo, em violação à legislação de
proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo
tratamento quando descumprir as obrigações da legislação de
proteção de dados ou quando não tiver seguido as instruções lícitas do
controlador, hipótese em que o operador equipara-se ao controlador,
salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no
tratamento do qual decorreram danos ao titular dos dados respondem
solidariamente, salvo nos casos de exclusão previstos no art. 43 desta
Lei.
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor
do titular dos dados quando, a seu juízo, for verossímil a alegação,
houver hipossuficiência para fins de produção de prova ou quando a
produção de prova pelo titular resultar-lhe excessivamente onerosa.
§ 3º As ações de reparação por danos coletivos que tenham por objeto
a responsabilização nos termos do caput deste artigo podem ser
exercidas coletivamente em juízo, observado o disposto na legislação
pertinente.
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra
os demais responsáveis, na medida de sua participação no evento
danoso.
Art. 43. Os agentes de tratamento só não serão responsabilizados
quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é
atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que
lhes é atribuído, não houve violação à legislação de proteção de dados;
ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou
de terceiro.
Art. 44. O tratamento de dados pessoais será irregular quando deixar
de observar a legislação ou quando não fornecer a segurança que o
titular dele pode esperar, consideradas as circunstâncias relevantes,
entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à época
em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da
segurança dos dados o controlador ou o operador que, ao deixar de
adotar as medidas de segurança previstas no art. 46 desta Lei, der
causa ao dano.
Art. 45. As hipóteses de violação do direito do titular no âmbito das
relações de consumo permanecem sujeitas às regras de
responsabilidade previstas na legislação pertinente.
 Apesar de detalhados, ainda é cedo para analisar a real aplicação, não tendo ainda
jurisprudências para conseguir analisar as atuais compreensões reais de como perante a
justiça será conduzida. Entretanto já há linhas de pensamento, baseadas nas doutrinas:

O legislador criou uma série de deveres de cuidado que devem ser

seguidos pelo controlador e pelo operador, sob pena de virem a ser
responsabilizados”. (GUEDES; MEIRELES, 2020, p. 229)

Em relação aos danos causados em relação ao tratamento indevido de

dados pessoais, é necessário que se compreenda a existência de um
dever de segurança imputável aos agentes de tratamento
(controladores e operadores de dados), que é segurança legitimamente
esperada daqueles que exercem a atividade em caráter profissional, e
por esta razão presume-se que tenham a expertise suficiente para
assegurar a integridade dos dados e a preservação da privacidade de
seus titulares. Daí porque a responsabilidade dos agentes de
tratamento decorre do tratamento indevido ou irregular dos dados
pessoais do qual resulte o dano. Exige-se a falha do controlador ou do
operador, que caracteriza o nexo causal do dano. Contudo, não se deve
perquirir se a falha se dá por dolo ou culpa, senão que apenas sua
constatação é suficiente para atribuição da responsabilidade, inclusive
com a possibilidade de inversão do ônus da prova em favor do titular
dos dados, nas mesmas hipóteses de hipossuficiência e verossimilhança
que a autorizam no âmbito das relações de consumo (art. 42, § 2º, da
LGPD). (MIRAGEM, 2019, p. 26)

Conclui-se, portanto, que apesar do uso de expressões diversas em sua

redação, tanto o artigo 42, quanto o artigo 44, da LGPD, adotam o
fundamento da responsabilidade civil objetiva, impondo aos agentes de
tratamento a obrigação de indenizar os danos causados aos titulares
de dados, afastando destes o dever de comprovar a existência de
conduta culposa por parte do controlador ou operador. Fundamenta
esta conclusão o fato de que a atividade desenvolvida pelo agente de
tratamento é evidentemente uma atividade que impõe riscos aos
direitos dos titulares de dados, que, por sua vez, são intrínsecos,
inerentes à própria atividade e resultam em danos a direito
fundamental. Ademais, tais danos se caracterizam por serem
quantitativamente elevados e qualitativamente graves, ao atingirem
direitos difusos, o que, por si só, já justificaria a adoção da
responsabilidade civil objetiva, tal como no caso dos danos ambientais
e dos danos causados por acidentes de consumo. (MULHOLLAND,
2020)

Desta forma, vemos que a principal compreensão, leva a responsabilidade civil

objetiva, que, além de ter previsão no Código de Defesa do Consumidor (BRASIL, 1990),
também encontra amparo no art. 927, § único, do Código Civil (BRASIL, 2002). Assim,
fica clara a responsabilidade civil dos agentes de tratamento de dados como objetiva,
vendo que é uma atividade de risco para os titulares.

Seguindo, vemos a inspiração prévia do tratamento já adotado pelo Código de Defesa

do Consumidor que será seguido na nova Lei Geral de Proteção dos Dados, quanto às
causas que possam eventualmente eximir a responsabilidade civil, e ambas as leis
preveem a inversão do ônus probatório.

Com base na doutrina, também visualizamos as relações de consumo, que a

responsabilidade objetiva é aplicada nas duas vertentes, quando se fala em relação de
consumo.

Uma leitura desavisada do dispositivo e contrária à unidade do

ordenamento poderia levar à conclusão incorreta de que a LGPD não
se aplica às relações de consumo, sendo acertado concluir que o art.
45 quer, em verdade, apontar para que o regime de responsabilidade
civil do controlador ou operador de dados pessoais no âmbito das
relações de consumo será objetivo quando violada qualquer disposição
da própria LGPD ou de quaisquer garantias de proteção de dados
pessoais nas relações de consumo contidas nos arts. 43 a 44 do CDC.
Em outras palavras, estando o intérprete diante da violação dos
princípios e garantias do titular de dados pessoais no âmbito de
relações de consumo, aplicar-seá o regime de responsabilidade civil
objetiva contida no art. 14 do CDC, com fulcro no art. 45 da LGPD e,
no que diz respeito ao rol de garantias e direitos do titular de dados
pessoais e dos deveres dos tratadores e coletores de dados pessoais,
aplica-se a LGPD em sua inteireza. (MORAES; QUEIROZ, 2019, p.
131)

3.4. PUNIÇÕES

Passando a forma da aplicação, vemos sobre as punições previstas do

descumprimento da nova Lei Geral de Proteção de Dados de suas normas, lembrando que
foi dado um prazo para que as empresas possam se adaptar as mesmas. São 6 (seis)
penalidades que foram previstas como podemos ver no artigo seguinte:

Art. 52. Os agentes de tratamento de dados, em razão das infrações

cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes
sanções administrativas aplicáveis pela autoridade nacional:
 I - advertência, com indicação de prazo para adoção de medidas
corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa
jurídica de direito privado, grupo ou conglomerado no Brasil no seu
último exercício, excluídos os tributos, limitada, no total, a R$
50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada
a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua
regularização;
VI - eliminação dos dados pessoais a que se refere a infração;

Entretanto, existe uma controvérsia sobre a aplicação, no Marco Civil da Internet que
traz suas próprias penalidades no que diz respeito a tratamento de dados, mas, apenas
num contexto de internet e surge pela dúvida, em casos de erros puníveis que uma
empresa venha a cometer ao lidar com dados online, qual punição seria aplicada, já que
a LGPD pune somente em 2% (dois por cento) do faturamento da empresa, enquanto o
MCI pune em 10% (dez por cento). Ou como nenhuma aplicação impede a outra, qual
será aplicado inicialmente, será que o MCI será revogado, ou talvez alterado para ter
valores iguais das duas leis
CONCLUSÃO

Ao longo deste trabalho, foi mostrado em bases gerais, o que é a LGPD, seu formato,
aplicação e a responsabilização civil dos prestadores de serviço (fornecedores) e seu
histórico conforme explicado.

Vendo que nasceu da necessidade a Lei Geral de Proteção de Dados: uma lei
brasileira, baseada na regulamentação Europeia (GDPR), e complementando as
legislações já existentes como o CDF e o MCI, a LGPD busca atingir um equilíbrio com
a evolução tecnologia e o uso descontrolado de informações pessoais, com o direito à
privacidade.

Desta forma, na prática vemos a LGPD aplicada às empresas, garantindo a segurança,

utilização e finalidade dos dados pessoais, ainda gerando para as pessoas a transparência
em relação aos seus dados e sua utilização, essa que sempre deve ser autorizada.

É algo ainda novo a ser efetivado, irá ainda gerar muito debate e com uma
implantação difícil, pois se mistura entre a parte jurídica para a compreensão conforme
exposto, porem também se baseia muito na aplicação dentro da empresa e da tecnologia,
levando essa compreensão além de uma consultoria, para uma implantação de tecnologias
de segurança e de controles para se encaixar nas necessidades aqui demonstradas, além
também de uma reeducação interna, para níveis de acesso devido somente a necessidade
e não simplesmente pela disponibilidade.

Não será do dia para noite, já está em vigor, mas ainda se vê muita adaptação, ainda
não a base jurisprudencial para estudo sobre, mas é uma grande evolução na privacidade
e segurança.
REFERÊNCIAS BIBLIOGRÁFICAS

BENJAMIN, Antônio Herman; MARQUES, Claudia Lima. A teoria do diálogo das

fontes e seu impacto no Brasil: uma homenagem a Erik Jayme. Revista de Direito do
Consumidor, São Paulo, v. 115, p. 21-40, jan./fev. 2018.

BRANDÃO, Luíza Couto Chaves. O Marco Civil da Internet e a Proteção de Dados:

diálogos com a LGPD. Cadernos Adenauer, Rio de Janeiro, n. 3, p. 35-48, out. 2019.

CASADO FILHO, Napoleão. Direitos humanos e fundamentais. São Paulo: Saraiva,

2012.

CAVALIERI FILHO, Sergio. Programa de responsabilidade civil. 10. ed. São Paulo:
Atlas, 2012.

DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental.

Espaço Jurídico, Joaçaba, v. 12, n. 2, p. 91-108, jul./dez. 2011.

DUQUE, Bruna Lyra; PEDRA, Adriano Sant'Ana. Os deveres fundamentais e a

solidariedade nas relações privadas. Revista de Direitos Fundamentais e Democracia,
Curitiba, v. 14, n. 14, p. 147-161, jul./dez. 2013.

FARIAS, Cristiano Chaves de; ROSENVALD, Nelson; NETTO, Felipe Peixoto

Braga. Curso de direito civil: responsabilidade civil. 2. ed. São Paulo: Atlas, 2015. v.
3.

FRAZÃO, Ana. Objetivos e alcance da Lei Geral de Proteção de Dados. IN:

TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei Geral
de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. 2. ed. São
Paulo: Revista dos Tribunais, 2020.

GAGLIANO, Pablo Stolze; PAMPLONA FILHO, Rodolfo. Novo curso de direito

civil: responsabilidade civil. 10. ed. São Paulo: Saraiva, 2012. v. 3.

GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Vencelau. Término do

tratamento de dados. IN: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena
Donato (Coord.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no
direito brasileiro. 2. ed. São Paulo: Revista dos Tribunais, 2020.
MALDONADO, Viviane Nóbrega - Lgpd Sanções E Decisões Judiciais – Editora
Revista dos Tribunais, 25 fevereiro 2022

MALDONADO, Viviane Nóbrega e BLUM, Renato Opice - Lgpd - Lei Geral de

Proteção de Dados Pessoais Comentada 4º Edição, Revista dos Tribunais, 28 abril
2022.

MIRAGEM, Bruno. A lei geral de proteção de dados (lei 13.709/2018) e o direito do

consumidor. Revista dos Tribunais, São Paulo, v. 1009, p. 173-224, nov. 2019. 37

MORAES, Maria Celina Bodin de; QUEIROZ, João Quinelato de. Autodeterminação
informativa e responsabilização proativa: novos instrumentos de tutela da pessoa
humana na LGDP. Cadernos Adenauer, Rio de Janeiro, n. 3, p. 113-136, out. 2019.

MULHOLLAND, Caitlin. A LGPD e o fundamento da responsabilidade civil dos

agentes de tratamento de dados pessoais: culpa ou risco?. Migalhas. 30 jun. 2020.

NORONHA, Fernando. Desenvolvimentos contemporâneos da Responsabilidade

Civil. Seqüência - Estudos Jurídicos e Políticos, Florianópolis, v. 19, n. 37, p. 21- 37,
dez. 1998.

OLIVEIRA, Marco Aurélio Bellizze; LOPES, Isabela Maria Pereira. Os princípios

norteadores da proteção de dados pessoais no Brasil e sua otimização pela Lei
13.709/2018. IN: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato
(Coord.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito
brasileiro. 2. ed. São Paulo: Revista dos Tribunais, 2020.

PORTUGAL. Constituição da República Portuguesa. Disponível em: . Acesso em: 08

out. 2020.

RODRIGUES, Leandro Nascimento; LEAL, Pastora do Socorro Teixeira. A eficácia

dos direitos fundamentais nas relações privadas à luz da jurisprudência do STF:
análise crítica do RE 201.819-8 e ADI 4815. Revista de Direitos e Garantias
Fundamentais, Vitória, v. 19, n. 2, p. 11-42, maio/ago. 2018.

SILVA, Heleno Florindo da; FABRIZ, Daury César Fabriz. A família e o afeto: O
Dever Fundamental dos Pais em dar Afeto aos Filhos como Mecanismo de Proteção
ao Desenvolvimento da Personalidade e Concretização da Dignidade Humana. 38
TARTUCE, Flávio. Direito civil: Obrigações e Responsabilidade Civil. 9. ed. Rio de
Janeiro: Forense, 2014. v. 2.

TEIXEIRA, Tarcisio EMPRESAS E A IMPLEMENTAÇÃO DA LEI GERAL DE

PROTEÇÃO DE DADOS (2021), Editora: Juspodivm, lançamento: 29/09/2020

VENOSA, Sílvio de Salvo. Direito civil: Obrigações e Responsabilidade Civil. 17.

ed. São Paulo: Atlas, 2017. v.2.