PRIVACIDADE E

PROTEÇÃO DE DADOS
SUMÁRIO

APRESENTAÇÃO DA LGPD
Definição e objetivos 2
Aplicabilidade 2
Categoria de Dados 3
Categoria de Tratamentos 3
Bases Legais 4
Princípios 5
ASPECTOS PRÁTICOS
Sujeitos Envolvidos 6
Direitos dos Titulares 7
Fiscalizações da ANPD 8
Dosimetria 9
Boas práticas 10
INCIDENTES ENVOLVENDO DADOS PESSOAIS
Principais causas 12
Principais consequências 13
Casos notórios 14
APRESENTAÇÃO DA LGPD

DEFINIÇÃO E OBJETIVOS
A Lei Geral de Proteção de Dados, que entrou em vigor em 18 de
setembro de 2020, regulamenta as atividades de tratamento de dados
pessoais feitas por pessoa física ou jurídica, de direito público ou
privado, e engloba um amplo conjunto de operações efetuadas em
meios físicos e digitais.

Seu intuito é tutelar os direitos fundamentais de liberdade, privacidade

e a livre formação de cada indivíduo. E, por meio dela, as empresas
passam a seguir os fundamentos listados ao lado ao realizarem o
tratamento dos dados pessoais.

APLICABILIDADE
A LGPD possui abrangência extraterritorial, ou seja, é aplicável para
tratamentos de dados pessoais em geral, independentemente da
localização da sede de quem os processa, ou da localização em que
os dados são processados.

EXCEÇÃO
A LGPD não se aplica para fins exclusivamente jornalísticos e
artísticos; de segurança pública; de defesa nacional; de segurança do
Estado; de investigação e repressão de infrações penais e
particulares.
CATEGORIA DE DADOS
Dados Pessoais, em geral, referem-se a uma pessoa identificada ou
identificável, como nome, telefone, endereço físico/eletrônico, data de
nascimento e endereço de IP.

Dados Pessoais Sensíveis oferecem especial vulnerabilidade ao titular

devido à possibilidade de discriminação, como por exemplo:
raça/etnia, saúde, vida sexual, genética, biometria, orientação política
e associação sindical.

"Uma espécie de dados pessoais que

compreende uma tipologia diferente em razão
do seu conteúdo oferecer uma especial
vulnerabilidade, discriminação”
Bruno Bioni

CATEGORIA DE TRATAMENTOS
É preciso compreender que o termo "tratamento" engloba uma série
de ações relacionadas aos dados pessoais como produção,
classificação, coleta, processamento, acesso, utilização,
transmissão/distribuição, recepção, armazenamento, arquivamento e
eliminação.

Todos estes processos, são regidos pelos preceitos e princípios da

LGPD.
BASES LEGAIS
O tratamento de dados pessoais deve, sempre, justificar-se por ao
menos uma (preferencialmente a mais específica) das 10 bases legais
oferecidas pela LGPD, ou seja, hipóteses que autorizam este
tratamento.

CUMPRIMENTO DE
CONSENTIMENTO PELO
OBRIGAÇÃO LEGAL OU
TITULAR
REGULATÓRIA

EXECUÇÃO DE POLÍTICAS ESTUDOS POR ÓRGÃO

PÚBLICAS DE PESQUISA

EXERCÍCIO REGULAR
EXECUÇÃO DE CONTRATO DE DIREITOS
OU DILIGÊNCIAS PRÉ-CONTRATUAIS em processo judicial,
administrativo ou arbitral

PROTEÇÃO DA VIDA
ou da incolumidade física do
titular ou de terceiro
TUTELA DE SAÚDE
exclusivamente, em
procedimento realizado por
profissionais de saúde, serviços
de saúde ou autoridade sanitária

INTERESSES LEGÍTIMOS
DO CONTROLADOR OU DE TERCEIRO PROTEÇÃO AO CRÉDITO

Atenção! Estas bases legais apenas amparam o tratamento de dados

pessoais triviais, não sendo aplicável ao tratamento de dados sensíveis.
PRINCÍPIOS
O tratamento de dados pessoais deve, obrigatoriamente, a adequar-se
aos 10 princípios da LGPD, ou seja valores que norteiam todas as
ações na cadeia de tratamento.

Atenção aos propósitos legítimos, específicos,

FINALIDADE
explícitos e informativos

Tratamento compatível com as finalidades

ADEQUAÇÃO
informadas ao titular

Utilização (apenas) de dados estritamente

NECESSIDADE necessários para atingir a finalidade específica
informada ao titular

LIVRE ACESSO Acesso ao tratamento e à integridade dos dados

Manutenção de dados exatos, claros, relevantes e

QUALIDADE DOS DADOS
atualizados

TRANSPARÊNCIA Informações claras e precisas aos titulares

Medidas técnicas e administrativas aptas a

SEGURANÇA
proteger os dados pessoais

PREVENÇÃO Adoção de medidas para evitar danos aos titulares

Não utilização para fins discriminatórios, ilícitos

NÃO DISCRIMINAÇÃO
ou abusivos

RESPONSABILIZAÇÃO E Demonstração de adoção de medidas eficazes ao

PRESTAÇÃO DE CONTAS cumprimento das normas
ASPECTOS PRÁTICOS
SUJEITOS ENVOLVIDOS

TITULAR
Pessoa natural a quem se referem os dados

CONTROLADOR
Pessoa natural ou jurídica a quem compete as decisões
sobre o tratamento dos dados

OPERADOR
Pessoa natural ou jurídica que realiza o tratamento dos
dados em nome do CONTROLADOR

ENCARREGADO
Pessoa indicada pelo CONTROLADOR e OPERADOR para
atuar como canal de comunicação entre a organização,
os titulares e a ANPD

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS

Órgão responsável por zelar, implementar e fiscalizar o
cumprimento da LGPD

ATENÇÃO
Em seu art. 42, a LGPD prevê que "o operador responde solidariamente
pelos danos causados pelo tratamento, quando descumprir as obrigações
da legislação de proteção de dados ou quando não tiver seguido as
instruções lícitas do controlador, hipótese em que o operador equipara-se
ao controlador"
DIREITO DOS TITULARES
Confirmação de que existe um ou mais tratamento
CONFIRMAÇÃO
de dados sendo realizado

Acesso aos dados pessoais tratados que sejam

ACESSO
de sua titularidade

Correção de dados pessoais incompletos,

CORREÇÃO
inexatos e desatualizados

Eliminação de dados pessoais, desnecessários,

ELIMINAÇÃO
excessivos ou cujo seu tratamento seja ilícito

Portabilidade de dados a outro fornecedor de

PORTABILIDADE serviço ou produto, observados os segredos
comercial e industrial

Informações claras e precisas aos titulares sobre

INFORMAÇÃO SOBRE O com quais entidades públicas e privadas seus
COMPARTILHAMENTO dados serão compartilhados e com qual
finalidade.

Informações claras e precisas aos titulares sobre

INFORMAÇÃO SOBRE O
a opção da negativa do tratamento de dados bem
NÃO CONSETIMENTO
como suas respectivas consequências

Revogação do consentimento fornecido para o

REVOGAÇÃO
tratamento de dados

Reclamação contra o controlador dos dados

RECLAMAÇÃO À ANPD
perante à autoridade nacional (ANPD)

Oposição ao tratamento de dados feito de modo

OPOSIÇÃO
irregular
FISCALIZAÇÕES DA ANPD | SANÇÕES E DOSIMETRIAS
Sanções: no art 52 da LGPD são previstas algumas modalidades de
sanções que podem ser aplicadas pela ANPD em caso de tratamento
irregular de dados pessoais, vejamos:

Eliminação de Dados Pessoais

Bloqueio do Tratamento ​de Dados

Multa Diária de 2% do faturamento do Grupo no

Brasil​ (limitada a R$50 milhões por infração)

Advertência

Publicação da Infração

ATENÇÃO
Estas penalidades não substituem a aplicação de
sanções administrativas, civis ou penais previstas em
legislação específica (art. 52, §2o).
DOSIMETRIA
No art. 52 da LGPD, também são previstos alguns aspectos que a
ANPD deve levar em conta para mensurar a sanção aplicável ao caso
concreto de tratamento irregular de dados pessoais.
Vejamos quais critérios são estes:
o Gravidade e a natureza das infrações e dos direitos pessoais
afetados
o Boa-fé do infrator
o Vantagem auferida ou pretendida pelo infrator
o Condição econômica do infrator
o Reincidência
o Grau do dano
o Cooperação do infrator
o Adoção reiterada e demonstrada de mecanismos e procedimentos
internos capazes de minimizar o dano, voltados ao tratamento
seguro e adequado de dados
o Adoção de política de boas práticas e governança
o Pronta adoção de medidas corretivas
o Proporcionalidade entre a gravidade da falta e a intensidade da
sanção

ATENÇÃO
Incidentes com dados sensíveis
tendem a resultar em sanções mais
rígidas devido aos maiores danos.
BOAS PRÁTICAS
Existem métodos norteadores de todas as condutas em atividades de
tratamento de dados, capazes de mitigar significativamente os riscos
de danos e irregularidades.
Vejamos alguns exemplos:

PRIVACIDADE DESDE Á CONCEPAÇÃO

A abordagem de Privacidade desde a Concepção (PdC) antecipa e
evita eventos invasivos de privacidade antes que eles aconteçam.
Desse modo, não espera que riscos de privacidade se materializem,
nem oferece soluções para as infrações de privacidade após a
ocorrência, mas visa impedir que eles ocorram.

POLÍTICA MESA LIMPA,

TELA LIMPA, LIXO LIMPO
São práticas de segurança baseadas na norma da ISO 27001,
recomendadas para o local de trabalho, buscando assegurar e/ou
evitar a exposição de informações sensíveis e/ou confidenciais, de
forma que não fiquem desprotegidas, tanto em espaços de trabalho
pessoal ou público e, assim, reduzindo riscos de acessos não
autorizados, perda, danos, comprometimento ou roubou durante ou
fora do horário de trabalho.

PRÍNCIPIO DA MINIMIZAÇÃO
Limitação do tratamento ao mínimo necessário para a realização de
suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades do
tratamento de dados.
BOAS PRÁTICAS
Existem, também, algumas ferramentas e instrumentos capazes de
incrementar a segurança da informação em ambientes físicos, digitais
e em seara contratual. Vejamos alguns exemplos específicos de cada
área, considerando que não são métodos alternativos, mas
cumulativos, uma vez que dificilmente haverá uma organização à qual
não se aplique todas as searas elencadas:

AMBIENTES FÍSICOS
Prefira áreas com trancas e câmeras. Para eliminar documentos de modo
seguro, uma boa opção é a picotadora!

AMBIENTES DIGITAIS
Atenção à proteção de dispositivos e sistemas de informação, com uso de
ferramentas como firewalls, antivírus, logins e senhas restritos.
Ao adquirir softwares, prefira individualizar dados de acesso e licenças, não
os compartilhando com equipes e departamentos inteiros

ESPECTRO CONTRATUAL
Estabeleça acordos de confidencialidade com funcionários que lidem com
fluxos de dados pessoais.
Além disso, antes de firmar contratos com parceiros comerciais, verifique
seu nível de adequação à LGPD.
Em processos de M&A é crucial realizar a due diligence de conformidade
em privacidade e proteção de dados da empresa-alvo.

Atenção! É preciso lembrar de cumprir o princípio da transparência nas

filmagens, sendo devidamente esclarecido aos indivíduos a alocação de
câmeras no ambiente, bem como, não direcioná-las a funcionários
específicos ou áreas de acesso a sanitários.
INCIDENTES COM DADOS PESSOAIS
PRINCIPAIS CAUSAS
VENDAS DE DADOS SEM CONSETIMENTO
A venda de dados de consumidores sem consentimento e em desatenção
ao princípio da transparência, bem como, o não oferecimento de meios para
que o consumidor se oponha à venda dos seus dados, é responsável por
expressiva parcela dos escândalos envolvendo tratamento irregular de
dados pessoais.
É de suma importância que as organizações disponibilizem sua política de
privacidade online, na qual deve ser informada a venda de dados pessoais,
e também, fornecer meios para que os consumidores optem por não vender
seus dados. Do contrário, não é possível configurar uma manifestação de
consentimento "livre, informada e inequívoca" como exige a LGPD.

TRATAR DADOS DE MODO ABUSIVO E ARBITRARIO

É extremamente importante se atentar ao princípio da transparência e da
finalidade em toda atividade de tratamento de dados.
O uso de dados de terceiros como funcionários e consumidores, para fins
de espionagem, vigilância e discriminação, é gravemente lesivo ao princípio
da transparência e da finalidade. Isto é, ainda que se tenha obtido acesso
ao dado de modo legítimo, a irregularidade se configura pelo desvio da
finalidade no tratamento e pela ausência de informação clara e precisa ao
titular sobre tais diretivas.

FRAGILIDADE NA SEGRANÇA DA INFORMAAÇÃO

A falta de métodos eficientes para garantir a segurança da informação,
tanto em meios físicos quanto digitais, é a causa de parcela significativa
dos incidentes envolvendo dados pessoais.
É preciso se atentar, também, ao fato de que os invasores cada vez mais se
utilizam de métodos de engenharia social para invadir sistemas, motivo
pelo qual o treinamento, instrução e conscientização de toda a equipe se
faz crucial.
PRINCIPAIS CONSEQUÊNCIAS
ABALO PATRIMONIAL
Escândalos envolvendo incidentes com dados pessoais podem ocasionar
sanções pecuniárias astronômicas.
A tendência notada no ordenamento pátrio induz ao crescente
protagonismo da tutela dos dados pessoais, concebidos como bem jurídico
de grande valor. Também por isso, a proteção dos dados pessoais em
meios digitais tornou-se garantia autônoma pela Emenda Constitucional Nº
115, de 10 de fevereiro de 2022, e não mais meramente reflexa à garantia
da privacidade.
Neste sentido, a fixação de multa pecuniária pela ANPD, de até 2% do
faturamento do grupo econômico no Brasil​, limitada ao teto de R$50
milhões por infração, pode até mesmo inviabilizar a continuidade do
negócio.

ABALO MORAL
O abalo moral é, ainda, de mais difícil reparação que o abalo patrimonial.
Além de que, indiretamente, repercute na esfera patrimonial por sua
capacidade de configurar entrave à realização de novos negócios
comerciais.
Isto porque, consumidores que tiverem seus dados vazados ou mal
tratados, se tornam mais suscetíveis a consequências altamente
indesejáveis como discriminação, violação do direito à imagem e à
reputação, fraudes financeiras e roubo de identidade.
Já os fornecedores, por sua vez, possuem receio de se relacionar com
empresas mal vistas em termos de governança de dados, além dos
potenciais riscos de responsabilização nos termos da lei, motivo pelo qual
antes da celebração de contratos, é comum a sondagem da ocorrência
deste tipo de episódio na organização. Esta sondagem ocorre também, e
de modo ainda mais minucioso, em processos de M&A, de modo que, caso
se verifique a ocorrência, o valor da instituição pode ser seriamente afetado
na transação.
CASOS NOTÓRIOS
CASO NETSHOES
Janeiro de 2018 | Ministério Público (MP) constatou que um incidente de
segurança comprometeu dados pessoais como nome, CPF, e-mail, data de
nascimento e histórico de compras de clientes.
As investigações mostram que informações como cartão de crédito ou
senhas de clientes não foram reveladas, "mas deixaram as pessoas
vulneráveis a diversas espécies de fraudes".
Em acordo assinado com o MP, o site de comércio eletrônico pagou R$ 500
mil de indenização por danos morais.
Além disso, a empresa se comprometeu a adotar medidas adicionais de
proteção de dados pessoais e a fazer campanhas de conscientização
sobre "melhores práticas para privacidade".

CASO H&M
A H&M foi acusada de coletar informações impertinentes ao trabalho de
seus colaboradores, como práticas religiosas, histórico de doenças e dados
familiares.
Além de avaliar o desempenho no trabalho, os gerentes também usavam
os dados para tomar decisões sobre emprego. Os dados se tornaram
públicos em outubro de 2019, após um erro de configuração que tornou os
dados acessíveis por toda a empresa por várias horas.
A lei de proteção de dados da União Europeia foi aplicada sobre o incidente
e a German Watchdog (autoridade antitruste da Alemanha) penalizou a
empresa no valor de 35,3 milhões de euros.
CASOS NOTÓRIOS
CASO SEPHORA
Em 2022, diante das reivindicações do procurador-geral da Califórnia, Rob
Bonta, a Sephora celebrou acordo de US$ 1,2 milhão por violar a Lei de
Privacidade do Consumidor da Califórnia.
Após investigação, comprovou-se que a Sephora não informou aos clientes
que estava vendendo seus dados pessoais, negligenciou o processamento
de solicitações de usuários que optaram por não vender seus dados e não
resolveu estas irregularidades dentro do período de 30 dias permitido pela
CCPA.
Além da multa, a Sephora deve seguir outras exigências como esclarecer
sua política de privacidade online para indicar que vende dados pessoais,
fornecer meios para que os consumidores optem por não vender seus
dados e adaptar seus contratos de provedor de serviços para estar em
conformidade com os requisitos da CCPA.

ATENÇÃO
Estas são apenas algumas das inúmeras ocorrências por tratamento
irregular de dados pessoais notadas em todo o mundo, o que evidencia a
tendência de que medidas de governança nesta seara sejam cada vez mais
valorizadas internamente, e vistas como determinantes para a realização
de operações internacionais.
Não deixe de manter sua organização adequada. Dissemine a cultura da
proteção de dados!