CURSO DE DIREITO

HAILTON NAPOLEÃO JUNIOR

DESAFIOS JURÍDICOS E TECNOLÓGICOS DA LGPD:

UMA ANÁLISE ABRANGENTE

CURITIBA
2023
 HAILTON NAPOLEÃO JUNIOR

DESAFIOS JURÍDICOS E TECNOLÓGICOS DA LGPD:

UMA ANÁLISE ABRANGENTE

Projeto de pesquisa apresentado como

requisito avaliativo à Atividade Prática
Supervisionada do Curso de Direito da
Faculdade Curitibana - FAC.

Orientadora: Profª Dra. Beatriz Oliveira de

Paola

CURITIBA
2023
 AGRADECIMENTOS

A DEUS, por me dar sabedoria e coragem em todos os momentos

difíceis.
A minha esposa, Simone, que sempre esteve ao meu lado, e com muito
amor, foi minha grande incentivadora.
A minha mãe, Irene, que com seu exemplo, me ensina a cada dia, as
melhores lições de vida que um homem poderia receber.
Aos meus filhos, Augusto e Gustavo, que se transformaram em dois
exemplos para mim.
Às minhas irmãs, Denize, Dayse e Deuci (in memoriam), que mais do
que irmãs, sempre foram minhas grandes amigas e companheiras.
A professora Drª. Beatriz Oliveira de Paola, pela compreensão e
confiança depositadas em todas as fases deste trabalho.
Por fim, agradeço a todos que, direta ou indiretamente, contribuíram para
a realização deste trabalho.
"A mente que se abre a uma
nova ideia jamais voltará ao
seu tamanho original"
Albert Einstein
 RESUMO

Este trabalho analisa a implementação e as implicações da Lei Geral de

Proteção de Dados Pessoais - LGPD (Lei 13.709/2018) no contexto brasileiro,
com ênfase nas implicações jurídicas, empresariais e futuras. A LGPD, que
entrou em vigor em setembro de 2020, representa um marco importante na
proteção da privacidade e dos dados pessoais no Brasil. O trabalho explora a
aplicação da LGPD, suas sanções e punições, casos emblemáticos de empresas
que enfrentaram multas relacionadas à proteção de dados e os desafios futuros
que essa legislação enfrenta. O estudo observa a influência do Código de Defesa
do Consumidor e do Marco Civil da Internet, destacando as questões de
aplicação quando duas ou mais leis se sobrepõem. Conclui-se que a LGPD exige
que as empresas implementem programas de governança em privacidade e
nomeiem um Data Protection Officer (DPO) para garantir a conformidade com a
lei. Os desafios incluem a fiscalização eficaz da LGPD e a necessidade de
regulamentar aspectos específicos. O setor financeiro, em particular, enfrenta
desafios significativos devido ao aumento das fraudes eletrônicas. O futuro da
LGPD é visto como parte de uma jornada contínua na proteção de dados no
Brasil, uma vez que a sociedade avança em sua transição digital. A aplicação
consistente da lei e a educação do consumidor são essenciais para garantir que
os direitos dos cidadãos sejam protegidos em um ambiente digital em constante
evolução.

Palavras-chave: LGPD, Lei Geral de Proteção de Dados, privacidade,

proteção de dados, fiscalização, regulamentação, desafios, futuro.
 ABSTRACT

. This thesis analyzes the implementation and implications of the General

Data Protection Law (LGPD) in the Brazilian context, with a focus on its legal,
business, and future implications. The LGPD, which came into effect in
September 2020, represents a significant milestone in privacy and personal data
protection in Brazil. The paper explores the application of LGPD, its sanctions
and penalties, emblematic cases of companies facing fines related to data
protection, and the future challenges that this legislation faces. The study
observes the influence of the Consumer Protection Code and the Internet Civil
Framework, highlighting issues of application when two or more laws overlap. It
is concluded that LGPD requires companies to implement privacy governance
programs and appoint a Data Protection Officer (DPO) to ensure compliance with
the law. Challenges include effective enforcement of LGPD and the need to
regulate specific aspects. The financial sector, in particular, faces significant
challenges due to the rise of electronic fraud. The future of LGPD is seen as part
of an ongoing journey in data protection in Brazil as society advances in its digital
transition. Consistent law enforcement and consumer education are essential to
ensure that citizens' rights are protected in an ever-evolving digital environment.

Keywords: LGPD, General Data Protection Law, privacy, data protection,

enforcement, regulation, challenges, future.
SUMÁRIO

1. Introdução............................................................................................................ 10
2. Evolução Histórica da Proteção de Dados ........................................................... 11
2.1 Do Direito à Privacidade e à Proteção de Dados Pessoais ........................... 11
2.2 Breve Histórico da LGPD .............................................................................. 13
3. A LGPD e Seus Fundamentos ............................................................................. 15
3.1 Princípios da LGPD ...................................................................................... 15
3.1.1 Princípio da Boa Fé: .............................................................................. 15
3.1.2 Princípio da Finalidade: ......................................................................... 16
3.1.3 Princípio da Adequação: ........................................................................ 16
3.1.4 Princípio da Necessidade: ..................................................................... 17
3.1.5 Princípio do Livre Acesso: ..................................................................... 17
3.1.6 Princípio da Qualidade: ......................................................................... 17
3.1.7 Princípio da Trasnsparência: ................................................................. 18
3.1.8 Princípio da Segurança: ........................................................................ 18
3.1.9 Princípio da Prevenção: ......................................................................... 18
3.1.10 Princípio da Não Discriminação: ............................................................ 19
3.1.11 Princípio da Responsabilização e Prestação de Contas: ....................... 19
3.2 A Fundamentos da LGPD ............................................................................. 19
3.3 Conceitos e Definições da LGPD.................................................................. 23
3.3.1 Tipos de Dados, segundo a LGPD ........................................................ 23
3.3.2 Agentes Envolvidos ............................................................................... 24
3.3.3 Tratamento de Dados Pessoais ............................................................. 25
3.3.4 Autoridade Nacional de Proteção dos Dados - ANPD............................ 26
4. Aplicação, Sanções, Punições e Casos Emblemáticos ........................................ 28
4.1 Aplicação da LGPD ...................................................................................... 28
4.2 Sanções e Punições ..................................................................................... 33
4.3 Casos Emblemáticos .................................................................................... 34
4.3.1 Google multado em € 50 milhões .......................................................... 34
4.3.2 Facebook fecha acordo de US$ 5 bilhões ............................................. 34
4.3.3 Uber é multado em US$ 148 mi por esconder vazamento de dados ..... 35
4.3.4 Primeira Ação Civil Pública com aplicação da LGPD ............................. 35
4.4 Desafios da LGPD para o futuro ................................................................... 36
4.4.1 Implementação da LGPD: Uma Mudança Significativa .......................... 36
4.4.2 Requisitos da LGPD e Desafios Empresariais ....................................... 36
4.4.3 Desafios no Setor Financeiro ................................................................. 37
 4.4.4 O Futuro da LGPD ................................................................................. 37
5. Conclusão............................................................................................................ 40
6. Referências Bibliográficas ................................................................................... 42
LISTA DE ABREVIATURAS E SIGLAS

ANPD - Autoridade Nacional de Proteção de Dados;

CDC - Código de Defesa do Consumidor;

DPO - Data Protection Officer - Encarregado de Proteção de Dados;

DUDH - Declaração Universal dos Direitos Humanos;

FTC - Federal Trade Commission - Comissão Federal do Comércio dos Estados

Unidos;

GDPR - General Data Protection Regulation - Regulamento Geral sobre a

Proteção de Dados;

LGPD - Lei Geral de Proteção de Dados;

MCI - Marco Civil da Internet;

OCDE - Organização para a Cooperação e Desenvolvimento Econômico;

 10

1. Introdução

O advento da era digital e o crescente desenvolvimento tecnológico

revolucionaram a maneira como a sociedade lida com informações e dados
pessoais. No entanto, essa transformação também trouxe consigo desafios
inéditos relacionados à privacidade e à segurança desses dados. Conscientes
da necessidade de proteger a privacidade dos cidadãos e estabelecer diretrizes
claras para o tratamento de informações pessoais, governos em todo o mundo
têm promulgado leis abrangentes de proteção de dados.
No contexto brasileiro, esse marco legislativo é representado pela Lei
Geral de Proteção de Dados Pessoais - LGPD (Lei 13.709/2018), que foi
inspirada em regulamentos europeus, e busca criar um ambiente de maior
segurança e confiança para os cidadãos brasileiros, estabelecendo regras
rigorosas para a coleta de dados, o armazenamento, o tratamento e o
compartilhamento de dados pessoais.
Este trabalho se propõe a examinar em detalhes a Lei Geral de Proteção
de Dados Pessoais - LGPD (Lei 13.709/2018) no cenário brasileiro, explorando
a legislação em si, seus requisitos, sua aplicação, bem como as sanções e
punições em casos de não conformidade. Adicionalmente, serão analisados
casos emblemáticos envolvendo empresas globais que enfrentaram sanções
sob a Lei e situações em que a legislação se sobrepôs a outras normas jurídicas.
 11

2. Evolução Histórica da Proteção de Dados

2.1 Do Direito à Privacidade e à Proteção de Dados Pessoais

Muito antes de se especular a implantação da Lei Geral de Proteção de

Dados Pessoais - LGPD (Lei 13.709/2018), à medida que a tecnologia avançava
e as novas tecnologias eram criadas, a proteção da privacidade e dos dados
pessoais era protegida, legislada e desenvolvida gradativamente conforme as
necessidades evoluíram. Em 1948, a Declaração Universal dos Direitos
Humanos incluía o direito à privacidade como um dos direitos humanos
fundamentais, o que deu origem à diversas legislações a respeito do tema em
todo o globo. Percebe-se no seu artigo 12, que a Declaração ressalta que
“Ninguém será sujeito a interferências na sua vida privada, família, lar ou na sua
correspondência, nem a ataque à sua honra e reputação. Toda Pessoa tem
direito à proteção da lei contra tais interferências ou ataques” (DECLARAÇÃO
UNIVERSAL DOS DIREITOS HUMANOS, 1948).
Partindo para momentos mais atuais veremos, a evolução e garantias
no Brasil, começando pela Constituição Federal de 1988, em seu artigo 5º, que
coloca “todos iguais perante a lei” e demonstra também que o direito à
privacidade é um direito fundamental conforme verificamos nos incisos X, XI e
XII:
[...]
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das
pessoas, assegurado o direito a indenização pelo dano material ou moral
decorrente de sua violação;
XI - a casa é asilo inviolável do indivíduo, ninguém nela podendo
penetrar sem consentimento do morador, salvo em caso de flagrante
delito ou desastre, ou para prestar socorro, ou, durante o dia, por
determinação judicial;
XII - é inviolável o sigilo da correspondência e das comunicações
telegráficas, de dados e das comunicações telefônicas, salvo, no último
caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer
para fins de investigação criminal ou instrução processual penal;
(BRASIL, 1988)

Porém não é suficiente somente o exposto na Constituição, é uma base,

mas que precisa ser complementada conforme a evolução tecnológica e a
necessidade.
 12

Com o advento de novas tecnologias, notadamente o desenvolvimento

da biotecnologia e da Internet, o acesso a dados sensíveis e,
consequentemente, a sua divulgação, foram facilitados de forma
extrema. Como resultado, existe uma expansão das formas potenciais
de violação da esfera privada, na medida em que se mostra a facilidade
por meio da qual é possível o acesso não autorizado de terceiros a esses
dados. Com isso, a tutela da privacidade passa a ser vista não só como
o direito de não ser molestado, mas também como o direito de ter
controle sobre os dados pessoais e, com isso, impedir a sua circulação
indesejada. (MULHOLLAND, 2012, p. 3).

Desta forma começaram a ser criados instrumentos legais que buscam

a proteção de dados pessoais e alteravam a visão sobre a importância desses
dados. Nos anos 90 surgiu o Código de Defesa do Consumidor (Lei 8.078/90),
que começou a dar direitos ao consumidor sobre seus dados em posse de
outros, podendo gerar alertas. Em 1996, a Lei de Interceptação Telefônica e
Telemática (Lei 9.296/96), impôs a utilização desse meio a somente casos
específicos e sempre com a devida autorização judicial. Assim como a Lei do
Habeas Data (Lei 9.507/97), que regulou o rito de acesso e a correção de
informações pessoais e se tornou um direito constitucional. O direito à vida
privada também é reconhecido no Código Civil Brasileiro, em seu art. 21: “A vida
privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado,
adotará as providências necessárias para impedir ou fazer cessar ato contrário
a esta norma” (BRASIL, 2002, Art. 21).
Em 2014, o Marco Civil da Internet (Lei nº 12.965/14), estabeleceu os
princípios, as garantias, os direitos e os deveres para o uso da internet no Brasil.
A lei abordou questões importantes relacionadas à privacidade e à proteção de
dados em ambiente digital, os incisos I e II do artigo 7º asseguram,
respetivamente, o direito à “inviolabilidade da intimidade e da vida privada, sua
proteção e indenização pelo dano material ou moral em caso de sua violação” e
à “inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por
ordem judicial, na forma da lei” (BRASIL, 2014).
Há também no Marco Civil da Internet, outros incisos do artigo 7º que
tutelam a proteção de dados, destacando-se o inciso VII, que que vem a proibir
o fornecimento de dados pessoais sem que haja autorização do titular, o inciso
IX, que exige o consentimento do tutular para o armazenamento dos seus dados,
e o inciso X, que por sua vez determina a destruição definitiva (exclusão) dos
dados, quando terminar a relação entre as duas partes (BRASIL, 2014).
 13

Outros artigos também apontam a proteção, como a necessidade de

consentimento para utilização de dados, sendo um grande marco a proteção e
tratamento de dados.
Em 25 de maio de 2018 foi criado o Regulamentação Geral de Proteção
de Dados (General Data Protection Regulation, UE2016 679, GDPR), com a
“finalidade primordial de harmonizar as leis de privacidade de dados em todos
os Estados membros da União Europeia” (TEIXEIRA, 2019, pg. 19).
A GDPR foi concebida para criar um conjunto unificado de regras de
proteção de dados em toda a UE, substituindo a Diretiva de Proteção de
Dadosde 1995 (95 45 CE). A GDPR introduziu uma série de mudanças
significativas nas práticas de proteção de dados e impôs obrigações mais
rigorosas às organizações que tratam dados pessoais.
Caio Cesar Carvalho Lima explica que:

“... a aplicação do regulamento se dá uniformemente nos 28 países

membros da União Européia e também em três países do Espaço
Econômico Europeu (Noruega, Islândia e Lich-tesnstein). Isto é
entendido como grande vantagem, em relação ao anterior modelo da
Diretiva 95/46 (antiga legislação de proteção de dados da União
Europeia), a qual demandava leis internas para que tivesse validade
dentro de cada nação, o que trazia disparidade na execução dessa
legislação, na prática” (LIMA, 2018)

Diante disso, não só o Brasil, como também outros países que se

relacionam comercialmente com países da União Europeia, aceleraram a corrida
na tentativa de deixar suas legislações de proteção de dados equivalentes à lei
Europeia.

2.2 Breve Histórico da LGPD

No Brasil já havia algum tipo de tratamento no que diz respeito à

proteção de dados e privacidade, porém eram insuficiente perante a evolução
digital e a forma de lidar com todos esses dados, que hoje são tratados nos
meios digitais. Dessa forma a Lei Geral de Proteção de Dados Pessoais - LGPD
(Lei 13.709/2018) foi promulgada, ocorrendo em 14 de agosto de 2018, e os
legisladores determinaram que a Vacatio Legis seria de 18 meses. Após a
 14

entrada em vigor da Lei que dispõe sobre a proteção de dados pessoais, cria a
Autoridade Nacional de Proteção de Dados; e dá outras providências (Lei nº
13.853 / 2019), esse prazo foi alterado para 24 meses, a ser apurado que a Lei
apenas entraria em vigor dia 16 de agosto de 2020.
Porém, devido à crise causada pela Covid-19, ocorreu um pedido de
prorrogação do período de vacância da Lei de Proteção de Dados Pessoais -
LGPD (Lei 13.709/2018), a fim de normalizar o principal impacto econômico
provocado pela pandemia de corona no país. Lembrando que os dispositivos que
descrevem as sanções administrativas constantes nos Artigos 52, 53 e 54 da lei
em comento, entraram em vigor no dia 1° de agosto de 2021 (SENADO
FEDERAL, 2020).
Foi assim que em 18 de setembro de 2020 a Lei de Proteção de Dados
Pessoais entrou em vigor, com a sua devida sanção por parte do Presidente da
República, e veio para regulamentar o tratamento desses dados. Surgiu
inspirada na (GDPR), a legislação europeia de tratamento de dados dos
cidadãos. Esta Regulamentação protege os titulares contra a coleta não
autorizada, e o uso abusivo de seus dados pessoais.
Na obra de Rafael Fernandez “Manual Prático sobre a Lei Geral de
Proteção de Dados Pessoais”, podemos ver que é uma Lei onde:

dispõe sobre o tratamento de dados pessoais por pessoa natural ou

por pessoa jurídica de direito público ou privado, com o objetivo de
proteger os direitos fundamentais de liberdade e privacidade e o livre
desenvolvimento da personalidade natural, inclusive por meio digital
(FERNANDEZ, 2020, p. 17).

Dessa forma, é evidente que a Lei Geral de Proteção de Dados Pessoais

- LGPD (Lei 13.709/2018) se aplica a todas as operações de processamento de
dados realizadas por entidades jurídicas, sejam elas de natureza pública ou
privada, sem levar em consideração o local da execução dessas operações ou
a localização dos dados.
 15

3. A LGPD e Seus Fundamentos

Para auxiliar na compreensão da Lei de Proteção de Dados Pessoais -

LGPD (Lei 13.709/2018), é importante falar sobre os seus Princípios,
Fundamentos, Agentes Envolvidos e Tratamento de Dados Pessoais, como
vemos a seguir:

3.1 Princípios da LGPD

Conforme anteriormente mencionado, a Lei Geral de Proteção de Dados

Pessoais - LGPD (Lei 13.709/2018) se inspira no GDPR, o que se torna ainda
mais evidente ao analisarmos os princípios estabelecidos no Artigo 6º da nossa
legislação. Segundo Doneda (2020, p.100) “Tais regras apresentadas compõe
um conjunto de medidas que passou a ser encontrada em várias normas sobre
a proteção de dados pessoais, aos quais se passaram a referir como Fair
Information Principles”. (Princípio da informação justa)".
Nestes princípios encontramos o termo “núcleo comum” que define um
conjunto de princípios que, ao serem aplicados na proteção de dados pessoais,
especialmente com a Convenção de Strasbourg e nas Guidelines da OECD, no
início da década de 80, eles são (OECD, 2002, p.04)

3.1.1 Princípio da Boa Fé:

Art. 6º As atividades de tratamento de dados pessoais deverão

observar a boa-fé e os seguintes princípios:
(BRASIL. Lei nº 13.709/2018. Art 6º, caput)

O caput do Artigo 6º da Lei Geral de Proteção de Dados Pessoais -

LGPD (Lei 13.709/2018) estabelece que as atividades de tratamento de dados
pessoais devem obedecer à boa-fé e aos princípios estabelecidos na própria Lei
Geral de Proteção de Dados Pessoais - LGPD (Lei 13.709/2018). Isso significa
que qualquer entidade, seja ela pessoa jurídica de direito público ou privado, que
esteja envolvida no tratamento de dados pessoais deve conduzir essas
atividades com integridade, honestidade e em conformidade com os princípios
estabelecidos na lei.
 16

Em essência, o caput do Artigo 6º enfatiza a importância de conduzir o

tratamento de dados pessoais de maneira ética e em conformidade com os
princípios legais que regem a proteção de dados. Ele estabelece uma base ética
para todas as atividades relacionadas a dados pessoais, garantindo que os
princípios de finalidade, adequação, necessidade, transparência, segurança e
outros sejam respeitados ao lidar com informações pessoais. Esse é um
componente fundamental da Lei Geral de Proteção de Dados Pessoais - LGPD
(Lei 13.709/2018), que visa proteger a privacidade e os direitos dos titulares de
dados no contexto do tratamento de informações pessoais.

3.1.2 Princípio da Finalidade:

I - finalidade: realização do tratamento para propósitos legítimos,

específicos, explícitos e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com essas finalidades;
(BRASIL. Lei nº 13.709/2018. Art 6º, I)

Os dados têm de ser coletados para fins específicos, mantendo seu

tratamento das informações somente a finalidade pela qual foi disponibilizada,
deixando clara essa finalidade. O dado coletado para finalidade diferente,
consiste em uma violação da lei.

3.1.3 Princípio da Adequação:

II - adequação: compatibilidade do tratamento com as finalidades

informadas ao titular, de acordo com o contexto do tratamento;
(BRASIL. Lei nº 13.709/2018. Art 6º, II)

Todo tratamento dos dados deve ter uma relação especifica conforme
visto acima pela finalidade, devendo se adequar ao que for solicitado. Um
exemplo disso é quando o usuário solicita que os seus dados sejam deletados
do banco de dados, mas a empresa que os possui não deleta, apenas ocultam
do usuário. Isso é uma violação ao princípio da adequação, podendo o detentor
dos dados sofrer punições.
 17

3.1.4 Princípio da Necessidade:

III - necessidade: limitação do tratamento ao mínimo necessário para a

realização de suas finalidades, com abrangência dos dados
pertinentes, proporcionais e não excessivos em relação às finalidades
do tratamento de dados;
(BRASIL. Lei nº 13.709/2018. Art 6º, III)

Tudo precisa de um motivo e ser limitado somente a necessidade, sem

complementos desnecessários ou de interesse distinto da finalidade. Os dados
solicitados devem ter uma justificativa plausível de necessidade, para o fim a que
se destina

3.1.5 Princípio do Livre Acesso:

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita

sobre a forma e a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais;
(BRASIL. Lei nº 13.709/2018. Art 6º, IV)

O acesso tem de estar disponível para o titular dados pessoais em

qualquer momento aos dados referentes a si mesmo, sem custo, bloqueios ou
dificuldades. O detentor dos dados pessoais deve garantir ao titular o direito de
realizar consultas de forma gratuita e acessível, abrangendo todos os dados que
estão atualmente sob seu controle ou que estarão sob o controle de terceiros
que os processarão. Além disso, o titular também tem o direito de verificar a
integridade de seus dados.

3.1.6 Princípio da Qualidade:

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza,

relevância e atualização dos dados, de acordo com a necessidade e
para o cumprimento da finalidade de seu tratamento;
(BRASIL. Lei nº 13.709/2018. Art 6º, V)

Deve-se apresentar uma devida garantia, aos titulares dos dados, de que
seus dados serão tratados com a devida exatidão, clareza, relevância,
 18

atualização de acordo com a necessidade e para o cumprimento específico da

finalidade para os quais os devidos dados foram coletados.

3.1.7 Princípio da Trasnsparência:

VI - transparência: garantia, aos titulares, de informações claras,

precisas e facilmente acessíveis sobre a realização do tratamento e os
respectivos agentes de tratamento, observados os segredos comercial
e industrial;
(BRASIL. Lei nº 13.709/2018. Art 6º, VI)

O Princípio da Transparência, em conjunto com o Inciso IV, estabelece

que as informações sobre os dados e os processos de tratamento devem ser
comunicadas de forma clara, precisa e transparente.
Portanto, estabelece de maneira inequívoca que o responsável deverá
apresentar evidências de como os dados serão tratados a fim de assegurar a
proteção contra eventos acidentais, ações ilícitas e acessos não autorizados que
possam resultar em perdas, modificações, vazamentos ou outras ocorrências
indesejadas. O detentor dos dados deve assegurar a segurança dos usuários e
pode ser responsabilizado em caso de violações.

3.1.8 Princípio da Segurança:

VII - segurança: utilização de medidas técnicas e administrativas aptas

a proteger os dados pessoais de acessos não autorizados e de
situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão;
(BRASIL. Lei nº 13.709/2018. Art 6º, VII)

O tratamento deve ser executado de forma que utilize medidas técnicas

afim de proteger os mesmos de acessos não autorizados, e de situações
acidentais e ilícitas a destruições.

3.1.9 Princípio da Prevenção:

VIII - prevenção: adoção de medidas para prevenir a ocorrência de

danos em virtude do tratamento de dados pessoais;
 19

(BRASIL. Lei nº 13.709/2018. Art 6º, VIII)

Este princípio enfatiza a necessidade de implementar medidas

preventivas para impedir qualquer forma de dano aos dados pessoais dos
titulares.

3.1.10 Princípio da Não Discriminação:

IX - não discriminação: impossibilidade de realização do tratamento

para fins discriminatórios ilícitos ou abusivos;
(BRASIL. Lei nº 13.709/2018. Art 6º, IX)

Princípio que assegura que os dados nunca devem ser processados

com propósitos discriminatórios, abusivos ou ilegais.

3.1.11 Princípio da Responsabilização e Prestação de Contas:

X - responsabilização e prestação de contas: demonstração, pelo

agente, da adoção de medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas de proteção de dados
pessoais e, inclusive, da eficácia dessas medidas.
(BRASIL. Lei nº 13.709/2018. Art 6º, X)

Por fim, esse princípio enfatiza que os agentes responsáveis pelo

tratamento de dados pessoais devem ser capazes de demonstrar de forma clara
e concreta que adotaram medidas eficazes para garantir a conformidade com as
normas de proteção de dados pessoais. Isso inclui a capacidade de comprovar
que as ações implementadas são eficazes na proteção dos dados e no
cumprimento das obrigações legais.

3.2 A Fundamentos da LGPD

O Artigo 2º da Lei Geral de Proteção de Dados Pessoais - LGPD (Lei

13.709/2018) estabelece os fundamentos que orientam a disciplina da proteção
de dados pessoais no Brasil, como podemos observar a seguir:
 20

Respeito à Privacidade: O respeito à privacidade é um dos princípios

fundamentais, destacando a importância de proteger a esfera pessoal das
pessoas em relação ao tratamento de seus dados.
Autodeterminação Informativa: Esse princípio enfatiza o direito das
pessoas de controlar suas próprias informações pessoais, decidindo como seus
dados serão coletados e utilizados.
Liberdade de Expressão, Informação, Comunicação e Opinião: A Lei
Geral de Proteção de Dados Pessoais - LGPD (Lei 13.709/2018) reconhece a
importância da liberdade de expressão, informação, comunicação e opinião,
garantindo que a proteção de dados não viole esses direitos.
Inviolabilidade da Intimidade, Honra e Imagem: O respeito à
inviolabilidade da intimidade, honra e imagem das pessoas é essencial,
protegendo esses aspectos contra qualquer forma de violação.
Desenvolvimento Econômico e Tecnológico e Inovação: A Lei Geral de
Proteção de Dados Pessoais - LGPD (Lei 13.709/2018) busca equilibrar a
proteção de dados com o estímulo ao desenvolvimento econômico, tecnológico
e inovação.
Livre Iniciativa, Livre Concorrência e Defesa do Consumidor: A
legislação visa promover a livre iniciativa, concorrência justa e a proteção dos
direitos do consumidor no contexto do tratamento de dados pessoais.
Direitos Humanos, Livre Desenvolvimento da Personalidade, Dignidade
e Cidadania das Pessoas Naturais: A Lei Geral de Proteção de Dados Pessoais
- LGPD (Lei 13.709/2018) destaca o compromisso com os direitos humanos, o
livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania
das pessoas naturais como princípios-chave que devem ser respeitados ao lidar
com dados pessoais.

Art. 2º A disciplina da proteção de dados pessoais tem como

fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de
opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
 21

VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII - os direitos humanos, o livre desenvolvimento da personalidade, a
dignidade e o exercício da cidadania pelas pessoas naturais.
(BRASIL. Lei nº 13.709/2018. Art 2º)

Artigo 4º da Lei Geral de Proteção de Dados Pessoais - LGPD (Lei

13.709/2018) define as situações em que a lei não se aplica ao tratamento de
dados pessoais, garantindo, ao mesmo tempo, que essas exceções estejam
sujeitas a regulamentações específicas e ao respeito aos direitos dos titulares
de dados.
No entanto, o tratamento de dados pessoais sob as exceções do inciso
III está sujeito a legislação específica que deve ser proporcional e estritamente
necessária para atender ao interesse público. O Artigo 4º também proíbe o
tratamento total de dados pessoais por entidades privadas, exceto em
procedimentos sob a supervisão de entidades públicas, desde que haja capital
integralmente constituído pelo poder público.
Uso Particular e Não Econômico: A Lei Geral de Proteção de Dados
Pessoais - LGPD (Lei 13.709/2018) não se aplica ao tratamento de dados
pessoais realizado por uma pessoa natural para fins exclusivamente particulares
e não econômicos.
Finalidades Específicas: A lei não se aplica quando o tratamento de
dados é feito exclusivamente para finalidades jornalísticas, artísticas,
acadêmicas, de segurança pública, defesa nacional, segurança do Estado ou
atividades de investigação e repressão de infrações penais.
Dados Provenientes de Fora do País: Quando os dados pessoais são
originados fora do território nacional e não envolvem compartilhamento ou
transferência para outros agentes de tratamento brasileiros ou para países que
não garantam um nível adequado de proteção, a Lei Geral de Proteção de Dados
Pessoais - LGPD (Lei 13.709/2018) pode não se aplicar, desde que o país de
origem ofereça proteção adequada aos dados.

Esta Lei não se aplica ao tratamento de dados pessoais:

I - realizado por pessoa natural para fins exclusivamente particulares e

não econômicos;
 22

II - realizado para fins exclusivamente:

a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam objeto
de comunicação, uso compartilhado de dados com agentes de
tratamento brasileiros ou objeto de transferência internacional de
dados com outro país que não o de proveniência, desde que o país de
proveniência proporcione grau de proteção de dados pessoais
adequado ao previsto nesta Lei.
1º O tratamento de dados pessoais previsto no inciso III será regido por
legislação específica, que deverá prever medidas proporcionais e
estritamente necessárias ao atendimento do interesse público,
observados o devido processo legal, os princípios gerais de proteção
e os direitos do titular previstos nesta Lei.
2º É vedado o tratamento dos dados a que se refere o inciso III do caput
deste artigo por pessoa de direito privado, exceto em procedimentos
sob tutela de pessoa jurídica de direito público, que serão objeto de
informe específico à autoridade nacional e que deverão observar a
limitação imposta no § 4º deste artigo.
3º A autoridade nacional emitirá opiniões técnicas ou recomendações
referentes às exceções previstas no inciso III do caput deste artigo e
deverá solicitar aos responsáveis relatórios de impacto à proteção de
dados pessoais.
4º Em nenhum caso a totalidade dos dados pessoais de banco de
dados de que trata o inciso III do caput deste artigo poderá ser tratada
por pessoa de direito privado, salvo por aquela que possua capital
integralmente constituído pelo poder público.
(BRASIL. Lei nº 13.709/2018. Art 4º)
 23

3.3 Conceitos e Definições da LGPD

3.3.1 Tipos de Dados, segundo a LGPD

O Artigo 5º também define os diferentes tipos de dados pessoais são

tratados e protegidos. Estas definições são a base para a compreensão e
aplicação da legislação de proteção de dados pessoais no Brasil.
Dado Pessoal: Refere-se a informações relacionadas a uma pessoa
natural que pode ser identificada ou identificável. Isso inclui uma ampla gama de
dados que podem ser usados para identificar alguém, como nome, endereço,
número de identificação, entre outros.
Dado Pessoal Sensível: Trata-se de dados pessoais que são
considerados sensíveis devido à sua natureza. Isso inclui informações sobre a
origem racial ou étnica, crenças religiosas, opiniões políticas, filiação a
sindicatos, dados de saúde, informações sobre vida sexual, dados genéticos ou
biométricos quando associados a uma pessoa. A Lei Geral de Proteção de
Dados Pessoais - LGPD (Lei 13.709/2018) impõe requisitos adicionais para o
tratamento de dados pessoais sensíveis, devido à sua sensibilidade.
Dado Anonimizado: Este é um dado relacionado a um titular que não
pode ser identificado. O dado é considerado anonimizado quando o uso de meios
técnicos razoáveis e disponíveis na época de seu tratamento impede a
identificação do titular. Dados anonimizados não são regulamentados pela Lei
Geral de Proteção de Dados Pessoais - LGPD (Lei 13.709/2018) , uma vez que
não podem ser vinculados a uma pessoa específica.
Banco de Dados: Refere-se a um conjunto estruturado de dados
pessoais, que pode estar localizado em um ou vários locais e pode ser
armazenado em formato eletrônico ou físico. Os bancos de dados são utilizados
para armazenar informações pessoais e são regulamentados pela Lei Geral de
Proteção de Dados Pessoais - LGPD (Lei 13.709/2018) em termos de
tratamento, segurança e proteção dos dados contidos neles.

Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada
ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização
de caráter religioso, filosófico ou político, dado referente à saúde ou à
 24

vida sexual, dado genético ou biométrico, quando vinculado a uma

pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser
identificado, considerando a utilização de meios técnicos razoáveis e
disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais,
estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
(BRASIL. Lei nº 13.709/2018. Art 5º, I, II, III)

3.3.2 Agentes Envolvidos

O Artigo 5º da Lei Geral de Proteção de Dados Pessoais - LGPD (Lei

13.709/2018) define termos e conceitos essenciais para o entendimento da
legislação. Especificamente nos Incisos V, VI, VII, VIII e IX deste artigo, encontra-
se os conceitos fundamentais para determinar quem é responsável pelo
tratamento de dados, garantindo a proteção dos direitos dos titulares e o
cumprimento das obrigações legais estabelecidas na Lei.
Titular: Refere-se à pessoa natural a quem se aplicam os dados pessoais
que são objeto de tratamento. Em outras palavras, o titular é a pessoa a quem
os dados pessoais pertencem.
Controlador: É a pessoa natural ou jurídica, seja de direito público ou
privado, que tem a autoridade para tomar decisões relacionadas ao tratamento
de dados pessoais. O controlador é o responsável pela gestão e pelo
cumprimento das obrigações da Lei Geral de Proteção de Dados Pessoais -
LGPD (Lei 13.709/2018).
Operador: Trata-se de uma pessoa natural ou jurídica, de direito público
ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Os operadores atuam de acordo com as instruções do controlador e
desempenham funções específicas relacionadas ao tratamento de dados.
Encarregado: O encarregado é uma pessoa indicada pelo controlador e
pelo operador para atuar como um intermediário entre eles, os titulares dos
dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado
desempenha um papel crucial na comunicação e no cumprimento das
obrigações da LGPD, facilitando o contato entre as partes envolvidas.
Agentes de Tratamento: Esse termo se refere coletivamente ao
controlador e ao operador, ou seja, a todas as partes envolvidas no tratamento
 25

de dados pessoais. Os agentes de tratamento são responsáveis por cumprir as

obrigações legais estabelecidas na LGPD.

3.3.3 Tratamento de Dados Pessoais

Observa-se que os inciso X, XI, XII, XIII, XIV e XV do Artigo 5º,

estabelecem o escopo de aplicação da LGPD e fornecem orientação sobre as
operações de tratamento de dados, consentimento e proteção de privacidade.
Tratamento: Refere-se a todas as operações realizadas com dados
pessoais, abrangendo atividades como coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação, controle,
modificação, comunicação, transferência, difusão ou extração. Basicamente,
trata-se de qualquer ação que envolva dados pessoais.
Anonimização: A anonimização é um processo pelo qual um dado
pessoal é tornadoincapaz de ser associado, direta ou indiretamente, a um
indivíduo. Isso é feito por meio de técnicas técnicas razoáveis e disponíveis no
momento do tratamento, garantindo a privacidade e a proteção dos dados.
Consentimento: Consentimento refere-se à manifestação livre,
informada e inequívoca de um titular de dados, em que ele concorda com o
tratamento de seus dados pessoais para uma finalidade específica. O
consentimento é fundamental para que o tratamento de dados seja legal e deve
ser obtido de forma clara e voluntária.
Bloqueio: É a suspensão temporária de qualquer operação de
tratamento de dados, enquanto os dados pessoais ou o banco de dados
permanecem armazenados. O bloqueio pode ser usado em situações em que o
tratamento de dados precisa ser interrompido, mas os dados não podem ser
excluídos.
Eliminação: Refere-se à exclusão de um dado ou conjunto de dados
armazenados em um banco de dados. Independentemente do procedimento
usado, a eliminação implica a remoção permanente dos dados.
Transferência Internacional de Dados: É a transferência de dados
pessoais para um país estrangeiro ou para um organismo internacional do qual
 26

o país de origem seja membro. Esse processo envolve regras específicas para
garantir a proteção dos dados durante a transferência.
Uso Compartilhado de Dados: Refere-se à comunicação, difusão,
transferência internacional, interconexão de dados pessoais ou tratamento
compartilhado de bancos de dados pessoais. Esse compartilhamento pode
ocorrer entre órgãos e entidades públicas no cumprimento de suas
competências legais, ou entre entes públicos e entes privados, com autorização
específica, para uma ou mais modalidades de tratamento permitidas por esses
entes públicos.

X - tratamento: toda operação realizada com dados pessoais, como as

que se referem a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou
extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis
no momento do tratamento, por meio dos quais um dado perde a
possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual
o titular concorda com o tratamento de seus dados pessoais para uma
finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de
tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados
armazenados em banco de dados, independentemente do procedimento
empregado;
XV - transferência internacional de dados: transferência de dados
pessoais para país estrangeiro ou organismo internacional do qual o país
seja membro;
XVI - uso compartilhado de dados: comunicação, difusão, transferência
internacional, interconexão de dados pessoais ou tratamento
compartilhado de bancos de dados pessoais por órgãos e entidades
públicos no cumprimento de suas competências legais, ou entre esses e
entes privados, reciprocamente, com autorização específica, para uma
ou mais modalidades de tratamento permitidas por esses entes públicos,
ou entre entes privados;
(BRASIL. Lei nº 13.709/2018. Art 5º, X até XVI)

3.3.4 Autoridade Nacional de Proteção dos Dados - ANPD

O Inciso XIX do Artigo 5º, define a "Autoridade Nacional" se referindo a

um órgão do governo responsável por supervisionar, implementar e fiscalizar o
cumprimento da LGPD em todo o território nacional. Essa autoridade
desempenha um papel central na aplicação da lei, garantindo que as
 27

organizações estejam em conformidade com seus requisitos e protegendo os

direitos dos titulares de dados.

XIX - autoridade nacional: órgão da administração pública responsável

por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o
território nacional. (Redação dada pela Lei nº 13.853, de 2019)
(BRASIL. Lei nº 13.709/2018. Art 5º, XIX)

Vale destacar, que não basta legislar, é necessário acompanhar, gerar

ferramentas para fiscalização e a efetiva aplicação das regras fiscalizatórias.
Neste ponto destaca-se que uma das principais ferramentas para que a lei
alcance sucesso em seu objetivo de consolidar a proteção de dados
nacionalmente, foi a criação da Autoridade Nacional de Proteção de Dados
(ANPD), nos termos do art. 55-J da LGPD, que será o órgão responsável pela
fiscalização do descumprimento da legislação de tratamento de dados (BRASIL,
2018).
De acordo com a estrutura definida pelo Decreto n° 10.474/2020, ANPD
exerce quatro funções básicas:
• Normativa: edição de normas que regulamentem a proteção de dados
pessoais;
• Educativa: estabelecimento de diretrizes para a adequada aplicação da
lei, promovendo na população o conhecimento das normas e das políticas
públicas;
• Fiscalizatória: zelar pela proteção de dados pessoais, fiscalizando as
atividades de tratamento;
• Sancionatória: aplicação de sanções, na hipótese de tratamento de dados
pessoais realizado em desacordo com a legislação.
 28

4. Aplicação, Sanções, Punições e Casos Emblemáticos

4.1 Aplicação da LGPD

Em primeiro lugar, é importante ressaltar que, conforme mencionado

acima, a LGPD se aplica a todas as pessoas em tratamento de Dados pessoais,
quer se trate de uma pessoa de direito público ou privado, uma pessoa singular
ou coletiva, desde que realize qualquer tipo de operação adequada ao
tratamento de dados pessoais.
Essa situação se aplica sem considerar o ambiente em que ocorre, a
localização da sede da organização, ou onde os dados estejam armazenados. É
válido desde que a operação de processamento seja executada dentro do
território nacional e o propósito dessa atividade seja a oferta de produtos,
serviços ou o tratamento de dados de indivíduos situados no território brasileiro.
Conforme estabelecido nos artigos 3º, I, II e III da Lei n.º 13.709 / 2018
(LGDP), os dados pessoais tratados são recolhidos no território do país.

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada

por pessoa natural ou por pessoa jurídica de direito público ou privado,
independentemente do meio, do país de sua sede ou do país onde
estejam localizados os dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o
fornecimento de bens ou serviços ou o tratamento de dados de
indivíduos localizados no território nacional; ou (Redação dada pela Lei
nº 13.853, de 2019) Vigência
III - os dados pessoais objeto do tratamento tenha sido coletados no
território nacional.
(BRASIL. Lei nº 13.709/2018. Art 3º, I, II, III)

Outro aspecto relevante é a natureza extraterritorial da lei. Mesmo que

os dados sejam coletados dentro do território nacional, a LGPD terá alcance
internacional sempre que a organização oferecer produtos ou serviços a pessoas
no Brasil ou que estejam fisicamente presentes no país. Isso significa que, se
uma empresa coleta dados no Brasil, mesmo que sua sede esteja localizada em
outro país, ainda está sujeita aos requisitos e obrigações estabelecidos pela
LGPD.Quanto à inaplicabilidade da LGDP, temos do art. 4° da Lei (LGPD):

Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:

I - Realizado por pessoa natural para fins exclusivamente particulares
e não econômicos;
II - Realizado para fins exclusivamente:
 29

a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - Realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - Provenientes de fora do território nacional e que não sejam objeto
de comunicação, uso compartilhado de dados com agentes de
tratamento brasileiros ou objeto de transferência internacional de
dados com outro país que não o de proveniência, desde que o país de
proveniência proporcione grau de proteção de dados pessoais
adequado ao previsto nesta Lei.
(BRASIL. Lei nº 13.709/2018. Art 4º)

Deve-se notar que a lei trouxe uma certa limitação de aplicabilidade no

que diz respeito aos tipos de dados que são regulamentados pela LGPD.
Entretanto segundo Peck (2018, p.44-43): “o tratamento de dados
pessoais deve seguir um propósito certo e funcional, mas que não supere a
liberdade de informação e expressão, a soberania, segurança e a defesa do
Estado” nesse sentido, uma certa limitação, buscando consigo uma maior
segurança em temas relevantes da sociedade.

Podemos inferir, com base no texto da Lei, que seu propósito é promover
um equilíbrio adequado entre a proteção da vida privada e a segurança pública.
Em outras palavras, a Lei busca estabelecer um benefício mútuo, protegendo os
dados pessoais dos indivíduos sem, no entanto, comprometer a segurança do
Estado e da sociedade como um todo.

Outro ponto que vale a pena mencionar é que o LGDP só se aplica nos
casos em que há uma pesquisa por fornecimento ou bens ou serviços, ou seja,
uma participação econômica. Nos casos em que lá não tem finalidade e quando
é pessoa natural, não é necessário falar da aplicação do LGDP.
O que a Lei visa diretamente com esta especificação, a proteção dos
dados pessoais, que se tornou, nestes tempos, a principal moeda para os
usuários acessarem determinados bens, serviços ou comodidades.
Ao analisar a lei, percebe-se que essas restrições visam a promover um
equilíbrio saudável entre a proteção da privacidade e a segurança pública. O
cerne da questão reside na busca por uma harmonia que gere benefícios e
segurança para ambas as partes envolvidas.
 30

Entretanto, mesmo com essas limitações e em meio à coexistência de

várias normas, surgem dúvidas sobre qual legislação é aplicável. Não obstante,
não existe incompatibilidade com a LGPD, uma vez que a nova lei amplia e
aprimora os dispositivos anteriores relacionados à proteção de dados:
“Apesar de já abordar essas questões como garantias dos titulares de
dados pessoais, o Marco Civil da Internet não explora os detalhes da mesma
forma que a Lei 13.709/2018, que aprofunda e oferece maior clareza à
regulamentação no Brasil”. (BRANDÃO, 2019, p. 39).
Conforme vemos a LGPD, em seus arts. 42 a 45, coloca especificamente
a responsabilidade civil.

Art. 42. O controlador ou o operador que, em razão do exercício de

atividade de tratamento de dados pessoais, causar a outrem dano
patrimonial, moral, individual ou coletivo, em violação à legislação de
proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo
tratamento quando descumprir as obrigações da legislação de
proteção de dados ou quando não tiver seguido as instruções lícitas do
controlador, hipótese em que o operador equipara-se ao controlador,
salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no
tratamento do qual decorreram danos ao titular dos dados respondem
solidariamente, salvo nos casos de exclusão previstos no art. 43 desta
Lei.
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor
do titular dos dados quando, a seu juízo, for verossímil a alegação,
houver hipossuficiência para fins de produção de prova ou quando a
produção de prova pelo titular resultar-lhe excessivamente onerosa.
§ 3º As ações de reparação por danos coletivos que tenham por objeto
a responsabilização nos termos do caput deste artigo podem ser
exercidas coletivamente em juízo, observado o disposto na legislação
pertinente.
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra
os demais responsáveis, na medida de sua participação no evento
danoso.
Art. 43. Os agentes de tratamento só não serão responsabilizados
quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é
atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que
lhes é atribuído, não houve violação à legislação de proteção de dados;
ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou
de terceiro.
Art. 44. O tratamento de dados pessoais será irregular quando deixar
de observar a legislação ou quando não fornecer a segurança que o
titular dele pode esperar, consideradas as circunstâncias relevantes,
entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
 31

III - as técnicas de tratamento de dados pessoais disponíveis à época

em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da
segurança dos dados o controlador ou o operador que, ao deixar de
adotar as medidas de segurança previstas no art. 46 desta Lei, der
causa ao dano.
Art. 45. As hipóteses de violação do direito do titular no âmbito das
relações de consumo permanecem sujeitas às regras de
responsabilidade previstas na legislação pertinente.
(BRASIL. Lei nº 13.709/2018. Art 42 até 45)

Embora a legislação seja minuciosa, é prematuro fazer uma análise da

sua aplicação real, uma vez que ainda não existem precedentes judiciais que
permitam uma compreensão prática de como as questões legais serão tratadas
nos tribunais. No entanto, já existem abordagens teóricas baseadas em
doutrinas:
“O legislador criou uma série de deveres de cuidado que devem ser
seguidos pelo controlador e pelo operador, sob pena de virem a ser
responsabilizados”. (GUEDES; MEIRELES, 2020, p. 229)
No que diz respeito aos danos resultantes de um tratamento inadequado
de dados pessoais, é essencial entender a existência de um dever de segurança
atribuído aos agentes de tratamento (sejam eles controladores ou operadores de
dados). Esse dever de segurança é a expectativa legítima de que aqueles que
exercem profissionalmente a atividade tenham a expertise necessária para
garantir a integridade dos dados e a proteção da privacidade dos titulares.
Portanto, a responsabilidade dos agentes de tratamento surge quando ocorre
um tratamento indevido ou irregular dos dados pessoais que resulta em danos.
A chave para essa responsabilidade está na identificação de uma falha por parte
do controlador ou operador, o que estabelece o nexo causal para o dano. É
importante observar que não é necessário determinar se a falha ocorreu devido
a dolo ou culpa; a simples constatação da falha é suficiente para atribuir
responsabilidade. Além disso, a Lei Geral de Proteção de Dados (LGPD) prevê
a possibilidade de inversão do ônus de prova em favor do titular dos dados, nas
situações em que este seja hipossuficiente e existam indícios que justifiquem
essa inversão, de forma semelhante ao que ocorre nas relações de consumo
(conforme estabelecido no art. 42, § 2º, da LGPD). (MIRAGEM, 2019, p. 26)
Conclui-se, portanto, que apesar do uso de expressões diversas em sua
redação, tanto o artigo 42, quanto o artigo 44, da LGPD, adotam o fundamento
 32

da responsabilidade civil objetiva, impondo aos agentes de tratamento a

obrigação de indenizar os danos causados aos titulares de dados, afastando
destes o dever de comprovar a existência de conduta culposa por parte do
controlador ou operador. Fundamenta esta conclusão o fato de que a atividade
desenvolvida pelo agente de tratamento é evidentemente uma atividade que
impõe riscos aos direitos dos titulares de dados, que, por sua vez, são
intrínsecos, inerentes à própria atividade e resultam em danos a direito
fundamental. Ademais, tais danos se caracterizam por serem quantitativamente
elevados e qualitativamente graves, ao atingirem direitos difusos, o que, por si
só, já justificaria a adoção da responsabilidade civil objetiva, tal como no caso
dos danos ambientais e dos danos causados por acidentes de consumo.
(MULHOLLAND, 2020)

Desta forma, vemos que a principal compreensão, leva a

responsabilidade civil objetiva, que, além de ter previsão no Código de Defesa
do Consumidor (BRASIL, 1990), também encontra amparo no art. 927, § único,
do Código Civil (BRASIL, 2002). Assim, fica clara a responsabilidade civil dos
agentes de tratamento de dados como objetiva, vendo que é uma atividade de
risco para os titulares.

Seguindo adiante, observa-se a influência prévia do Código de Defesa

do Consumidor (CDC) no tratamento das causas que podem eximir a
responsabilidade civil, um padrão que também será adotado na Lei Geral de
Proteção de Dados (LGPD). Ambas as legislações preveem a inversão do ônus
da prova.
Com base na doutrina, percebe-se que, no contexto das relações de
consumo, a responsabilidade objetiva é aplicada em ambas as vertentes. No
entanto, é importante abordar um aspecto relevante para evitar interpretações
equivocadas. O artigo 45 da LGPD não exclui a sua aplicação às relações de
consumo. Em vez disso, ele aponta que o regime de responsabilidade civil
objetiva será aplicado quando qualquer disposição da LGPD for violada ou
quando houver infringência das garantias de proteção de dados pessoais nas
relações de consumo, conforme estabelecido nos artigos 43 a 44 do CDC. Em
resumo, se ocorrer uma violação dos princípios e garantias dos titulares de
 33

dados pessoais no contexto das relações de consumo, o regime de

responsabilidade civil objetiva estabelecido no artigo 14 do CDC será aplicado
com base no artigo 45 da LGPD. No que diz respeito ao conjunto de garantias e
direitos dos titulares de dados pessoais e às responsabilidades dos
controladores e operadores de dados pessoais, a LGPD será aplicada
integralmente (MORAES; QUEIROZ, 2019).

4.2 Sanções e Punições

Quanto à forma de aplicação e às sanções previstas para o

descumprimento da Lei Geral de Proteção de Dados (LGPD), é importante
observar que as empresas tiveram um período de adaptação concedido. A LGPD
estabelece seis penalidades, conforme delineado no artigo subsequente.

Art. 52. Os agentes de tratamento de dados, em razão das infrações

cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes
sanções administrativas aplicáveis pela autoridade nacional: I -
advertência, com indicação de prazo para adoção de medidas
corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa
jurídica de direito privado, grupo ou conglomerado no Brasil no seu
último exercício, excluídos os tributos, limitada, no total, a R$
50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada
a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua
regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
(BRASIL. Lei nº 13.709/2018. Art 52)

No entanto, surge uma controvérsia em relação à aplicação da Lei, uma

vez que o Marco Civil da Internet (MCI) também prevê suas próprias sanções no
contexto do tratamento de dados, mas apenas em situações relacionadas à
internet. A questão que se coloca é: em casos de infrações puníveis cometidas
por uma empresa ao lidar com dados online, qual punição será aplicada? A
LGPD prevê uma penalidade de 2% (dois por cento) do faturamento da empresa,
enquanto o MCI estabelece uma penalidade de 10% (dez por cento). Além disso,
não há impedimento para a aplicação simultânea de ambas as leis. Portanto, há
dúvidas sobre qual será aplicada prioritariamente. Pode-se questionar se o MCI
será revogado ou modificado para harmonizar os valores das penalidades com
ambas as leis.
 34

4.3 Casos Emblemáticos

4.3.1 Google multado em € 50 milhões

O caso do Google oferece uma oportunidade interessante para analisar

os desafios e as implicações legais no campo da proteção de dados e
privacidade em um ambiente globalizado e digitalizado. A empresa, gigante da
tecnologia com presença internacional, encontrou-se em uma situação na qual,
apesar de cumprir muitos requisitos legais, acabou multada na França em 50
milhões de euros devido a uma suposta violação do Regulamento Geral de
Proteção de Dados (GDPR).
O Google iniciou um processo de adaptação às novas políticas de
privacidade e proteção de dados, agindo em conformidade com muitas diretrizes
legais. Isso incluiu a divulgação de comunicados sobre as mudanças nas
políticas, a notificação de todos os usuários sobre as atualizações e a criação de
uma página dedicada dentro de sua plataforma para esclarecer dúvidas sobre a
nova política de dados. A empresa parecia estar empenhada em cumprir as
normas legais e fornecer informações aos usuários.
No entanto, a despeito desses esforços, o Google enfrentou uma multa
substancial em 2019 na França, no valor de 50 milhões de euros. A justificativa
para essa penalidade foi a alegação de que a empresa não forneceu informações
adequadas aos usuários sobre a política de consentimento para o tratamento de
dados. Essa falta de informações, que poderia incluir detalhes sobre como os
dados seriam usados, compartilhados ou retidos, foi considerada uma violação
das diretrizes do GDPR.

4.3.2 Facebook fecha acordo de US$ 5 bilhões

No mesmo ano, o Facebook chegou a um acordo com a Comissão

Federal do Comércio dos Estados Unidos (FTC) para encerrar uma investigação
governamental de longa data sobre suas práticas de proteção à privacidade, que
haviam sido alvo de críticas de usuários. A empresa de mídia social liderada por
Mark Zuckerberg concordou em pagar uma multa substancial de US$ 5 bilhões
 35

e também aceitou a implementação de um plano de supervisão que abrangerá

os próximos 20 anos.

4.3.3 Uber é multado em US$ 148 mi por esconder vazamento de

dados

Outro caso notável ocorreu em 2018, quando a Uber fechou um acordo

com as autoridades dos Estados Unidos que envolveu o pagamento de uma
multa no valor de US$ 148 milhões. Esse acordo decorreu de um incidente de
vazamento de dados que impactou cerca de 57 milhões de clientes da empresa
de transporte por aplicativo. A Uber havia inicialmente tentado ocultar a violação
de seu banco de dados das autoridades e, inclusive, chegou a oferecer um
pagamento de US$ 100 mil aos hackers responsáveis pelo ataque na tentativa
de apagar as informações roubadas.

4.3.4 Primeira Ação Civil Pública com aplicação da LGPD

Recentemente, o Ministério Público do Distrito Federal ajuizou uma ação

civil pública contra uma empresa de tecnologia que comercializava informações
pessoais, como nomes, endereços de e-mail, números de telefone para SMS,
dados de localização (bairro, cidade, estado e CEP), dos usuários por meio de
um site na internet. Além disso, o referido site disponibilizava informações
segmentadas de acordo com diferentes perfis, permitindo a compra de pacotes
de dados pessoais com base nas profissões dos titulares dessas informações.
Essa prática configurou uma grave violação aos princípios estabelecidos
na Lei Geral de Proteção de Dados (LGPD), incluindo o direito à intimidade, à
privacidade, à imagem, ao consentimento, entre outros.
No entanto, apesar das diversas violações identificadas, a ação judicial
foi encerrada sem uma resolução de mérito, uma vez que a petição inicial foi
considerada inepta devido à falta de interesse processual, que é uma das
condições essenciais para o andamento do processo.
Essa decisão se deu porque, após a entrada em vigor da LGPD, o site
da empresa foi retirado do ar. O tribunal, ao analisar o caso, inferiu que os
 36

responsáveis pelo site provavelmente estavam trabalhando para adaptar seus

serviços às novas regulamentações legais em vigor.

4.4 Desafios da LGPD para o futuro

A Lei Geral de Proteção de Dados (LGPD) completou cinco anos em

agosto de 2023, evento que representa um marco importante na proteção da
privacidade e dos dados pessoais no Brasil. No entanto, à medida que a
implementação e a aplicação da lei se consolidam, novos desafios e
perspectivas se apresentam para o futuro.

4.4.1 Implementação da LGPD: Uma Mudança Significativa

A LGPD, que entrou em vigor em setembro de 2020, trouxe mudanças

significativas no cenário jurídico e corporativo brasileiro. Em um país onde as
fraudes eletrônicas são frequentes e a transição para o ambiente digital é um
processo em desenvolvimento, a LGPD representa um passo importante na
proteção dos consumidores. A confiança desempenha um papel central nessa
transição, e a LGPD é vista como uma ferramenta que fortalece a confiança entre
empresas e consumidores.
A lei impõe regras rigorosas sobre a coleta, armazenamento, tratamento
e compartilhamento de dados pessoais. Isso se torna fundamental em um
contexto em que muitos consumidores estão apenas começando sua jornada
digital. As empresas que se adequam à LGPD não apenas cumprem a lei, mas
também estabelecem uma relação de confiança sólida com seus clientes.

4.4.2 Requisitos da LGPD e Desafios Empresariais

Para se adequar à LGPD, as empresas tiveram que implementar

Programas de Governança em Privacidade, nomear um Data Protection Officer
(DPO) e garantir a conformidade com a lei. O não cumprimento da LGPD pode
resultar em impactos significativos, como danos à reputação da empresa,
implicações financeiras, perda de oportunidades de negócios e impacto na
competitividade.
 37

No entanto, o Brasil enfrenta desafios significativos na aplicação e

fiscalização da LGPD, especialmente em um contexto de crescente sofisticação
das fraudes eletrônicas. A visão de Alcoforado destaca a importância de uma
legislação robusta para proteger os consumidores, já que a transição digital é um
processo de aprendizado baseado na confiança.
A Autoridade Nacional de Proteção de Dados (ANPD) enfrentou desafios
na fiscalização e aplicação de sanções. Além disso, a regulamentação de
diversos aspectos da LGPD, como o tratamento de dados pessoais de crianças
e adolescentes e a transferência internacional de dados, continua sendo uma
necessidade premente.

4.4.3 Desafios no Setor Financeiro

Em particular, o setor financeiro tem sido um alvo frequente de fraudes

eletrônicas. O Brasil registrou mais de 2,8 mil tentativas de fraude financeira em
canais eletrônicos a cada minuto durante o primeiro trimestre deste ano,
totalizando cerca de 365 milhões de tentativas de golpes no mesmo período.
A LGPD enfatiza a importância da segurança cibernética e da
privacidade em um país onde as fraudes eletrônicas são comuns e avançadas.
Todos, independentemente de sua classe social, podem se tornar vítimas.
Portanto, a lei, juntamente com a governança corporativa e a educação do
consumidor, desempenha um papel vital na proteção dos cidadãos.

4.4.4 O Futuro da LGPD

A LGPD é apenas o começo de uma jornada contínua na proteção de

dados no Brasil. Com o avanço tecnológico e a crescente digitalização da
sociedade brasileira, a proteção de dados se tornará ainda mais crucial. A
maioria dos brasileiros está no início de sua jornada digital, reforçando a
necessidade de leis sólidas e educação para o consumo digital.
Nos próximos anos, espera-se que a ANPD continue a desempenhar um
papel ativo na regulamentação e fiscalização da LGPD. A proteção de dados e
a privacidade se tornarão cada vez mais relevantes, à medida que o Brasil busca
reconhecimento internacional e atrai investimentos.
 38

Portanto, a LGPD enfrenta desafios contínuos e oportunidades no futuro,

à medida que a sociedade brasileira avança em sua jornada digital, buscando
um equilíbrio entre inovação, proteção de dados e confiança do consumidor. A
aplicação eficaz da lei e a educação contínua são essenciais para garantir que
os direitos dos cidadãos sejam protegidos em um ambiente digital em constante
evolução.
"A confiança é crucial na transição do mundo físico para o virtual. A lei é
um instrumento essencial para fortalecer essa confiança." (GALVÃO, Lucas -
2023).
A LGPD é um importante marco, mas é apenas o começo de uma
jornada contínua na proteção de dados. O avanço tecnológico, a crescente
digitalização da sociedade e a sofisticação das fraudes eletrônicas tornam a
proteção de dados mais crucial do que nunca.
A ANPD desempenha um papel fundamental na regulamentação e
fiscalização da LGPD, e espera-se que continue a desempenhar um papel ativo
no futuro. A proteção de dados e a privacidade se tornarão cada vez mais
relevantes, à medida que o Brasil busca se posicionar internacionalmente e atrair
investimentos.
A experiência do Brasil com a LGPD destaca a importância da educação
do consumidor, da governança corporativa e da aplicação eficaz da lei. A
aplicação consistente da LGPD é essencial para garantir que os direitos dos
cidadãos sejam protegidos em um ambiente digital em constante evolução.
Portanto, a LGPD enfrenta desafios e oportunidades no futuro, à medida
que o Brasil avança em sua jornada digital. A lei desempenha um papel crucial
na construção da confiança e na proteção dos direitos dos cidadãos em um
cenário digital em constante transformação.
"A LGPD é apenas o começo de uma jornada de proteção de dados no
Brasil. Com o avanço tecnológico e a crescente digitalização da sociedade
brasileira, a proteção de dados se tornará ainda mais crucial." (GALVÃO, Lucas
- 2023)
Em resumo, a LGPD representa um passo importante na proteção de
dados e privacidade no Brasil. No entanto, desafios como a aplicação eficaz da
lei, a regulamentação de aspectos específicos e a sofisticação das fraudes
eletrônicas continuam a ser desafios a serem enfrentados. O futuro da LGPD
 39

envolve a necessidade de leis sólidas, educação para o consumo digital e a

atuação ativa da ANPD para garantir a proteção dos direitos dos cidadãos em
um mundo digital em constante evolução.
 40

5. Conclusão

A Lei Geral de Proteção de Dados (LGPD) representa um marco

importante na proteção da privacidade e dos dados pessoais no Brasil, refletindo
a crescente importância da segurança digital e da privacidade em uma sociedade
cada vez mais conectada. A LGPD estabelece diretrizes rigorosas para a coleta,
armazenamento, tratamento e compartilhamento de dados pessoais, garantindo
direitos essenciais aos cidadãos.
Contudo, a implementação e aplicação da LGPD enfrentam desafios
significativos. A Autoridade Nacional de Proteção de Dados (ANPD) enfrenta
obstáculos na fiscalização e aplicação eficaz da lei, especialmente em um
contexto de sofisticação crescente das fraudes eletrônicas. Além disso, a
regulamentação de aspectos específicos da LGPD, como o tratamento de dados
pessoais de crianças e adolescentes e a transferência internacional de dados,
permanece como uma necessidade premente.
No futuro, a LGPD continuará a ser fundamental à medida que o Brasil
avança em sua jornada digital. O avanço tecnológico e a crescente digitalização
da sociedade tornam a proteção de dados ainda mais crucial. Os brasileiros,
muitos deles apenas começando sua jornada digital, exigem um ambiente de
confiança e segurança em relação aos seus dados pessoais.
Profissionais de TI e Advogados terão um papel essencial na promoção
da conformidade com a LGPD e na proteção dos direitos dos cidadãos. A
colaboração entre especialistas em tecnologia da informação e especialistas
jurídicos é fundamental para a compreensão das complexidades da lei e sua
implementação eficaz nas empresas e organizações.
A LGPD não é um ponto final, mas um começo. À medida que o Brasil
busca reconhecimento internacional e atrai investimentos, a proteção de dados
e a privacidade ganham destaque. A educação contínua e a aplicação
consistente da lei são essenciais para garantir que os direitos dos cidadãos
sejam protegidos em um ambiente digital em constante evolução.
Em resumo, a LGPD desempenha um papel crucial na construção da
confiança entre empresas e consumidores no cenário digital brasileiro. O futuro
da lei envolve desafios contínuos e oportunidades à medida que a sociedade
brasileira avança em sua jornada digital, buscando um equilíbrio entre inovação,
 41

proteção de dados e confiança do consumidor. É uma jornada que requer a

colaboração de todos os setores da sociedade para assegurar que a proteção
da privacidade seja um pilar central da revolução digital do Brasil.
 42

6. Referências Bibliográficas

Livros:

PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais. 3. ed. São Paulo, SP;
Saraiva Educação, 2021.

SALES, Fernando Augusto de Vita Borges. Manual da LGPD. Leme, SP;

Mizuno, 2021.

DONDA, Daniel. Guia Prático de Implementação da LGPD. São Paulo, SP;

Labrador, 2020.

GARCIA, Lara Rocha. et al. Lei Geral de Proteção de Dados Pessoais

(LGPD): Guia de Implantação. São Paulo, SP; Blucher, 2020.

LIMA, Ana Paula Moraes Canto. et al. LGPD - Lei Geral de Proteção de Dados:
Sua Empresa está pronta?. São Paulo, SP; Literare Books, 2020.

TEIXEIRA, Tarcisio. et al. LGPD - Lei Geral de Proteção de Dados –

Comentada artigo por artigo. Salvador, BA; Editora Podivm, 2019.

Teses e Dissertações

GONÇALVES, Jaqueline Paixão. Lei Geral de Proteção de Dados (LGPD): da

revolução digital à segurança jurídica na proteção dos direitos
fundamentais. Dissertação (Mestrado em Direito), Universidade de Brasília,
Brasília, 2019.

Artigos Científicos

ROCHA, Raoni Barros; VECHI, Eduardo Fonseca Costa; AGUDO, Felipe Lé.
"Lei Geral de Proteção de Dados: desafios para as empresas brasileiras".
In: Revista Direito GV, São Paulo, v. 15, n. 3, p. 721-740, 2019.

PEREIRA, Gabriela Monteiro; SANTOS, Diogo Raimundo dos. "A LGPD e a

proteção de dados pessoais". In: Revista de Direito da Cidade, Rio de Janeiro,
v. 11, n. 3, p. 1393-1406, 2019.
 43

Documentos Oficiais

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de

Dados Pessoais (LGPD). Disponível em: <
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm >.
Acesso em 30 de maio de 2022.

BRASIL. Lei nº 13.853, de 08 de julho de 2019. Altera a Lei nº 13.709, de 14 de

agosto de 2018. Sobre a proteção de dados pessoais e para criar a
Autoridade Nacional de Proteção de Dados. Disponível em: <
http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/l13853.htm >.
Acesso em 30 de maio de 2023.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Perguntas

Frequentes - LGPD. Disponível em: < https://www.gov.br/anpd/pt-br/acesso-a-
informacao/perguntas-frequentes/lgpd-perguntas-frequentes.pdf >. Acesso em
30 de maio de 2023.

BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de

1988. Promulgada em 5 de outubro de 1988. Brasília, DF: Senado Federal.

Sites

MULHOLLAND, Caitlin. A LGPD e o fundamento da responsabilidade civil

dos agentes de tratamento de dados pessoais: culpa ou risco?. Disponível
em: < https://www.migalhas.com.br/coluna/migalhas-de-responsabilidade-
civil/329909/a-lgpd-e-o-fundamento-da-responsabilidade-civil-dos-agentes-de-
tratamento-de-dados-pessoais--culpa-ou-risco >. Acesso em 30 de maio de
2023

CORRÊA, Luiz Carlos. LGPD: 3 casos emblemáticos de punições a

empresas por violação de dados. Disponível em: <
https://tmjuntos.com.br/direito/lgpd-3-casos-emblematicos-de-punicoes-a-
empresas-por-violacao-de-dados/ >. Acesso em 30 de maio de 2023