MÓDULO 01 - CONCEITOS FUNDAMENTAIS DA LGPD

Aula 01 - Noções Gerais sobre LGPD

Precisamos entender os fundamentos da privacidade para entender o que motivou a

LGPD – The Right Privacy: uma pessoa não queria sua vida exposta a outras pessoas,
ou seja, o direito de ser deixado só, sem partilhar sua vida com outros.

Teoria dos Círculos Concêntricos:

 Círculo grande: zona de privacidade, permeável, que está disposto a abrir mão
de pedaços da sua privacidade. É o que fazemos hoje nas redes sociais:
permitimos de forma controlada que pessoas adentrem na minha privacidade.
 Círculo mediano: zona de intimidade. Você não quer dividir, poucos fazem
parte, portanto, não há permissividade. É como se fosse sua casa: só tem direito
de conhecer quem você convida.
 Círculo pequeno: zona de segredo. Você não quer ninguém ou, quando quer,
quer uma única pessoa e ninguém tem o direito de invadir.

Estamos falando de proteção de dados ou privacidade? Aquele é um desdobramento

deste – ERA, não é mais. Hoje a proteção é praticamente um direito fundamental –
ainda não houve promulgação da emenda para acrescentar no art. 5º, ou seja, não foi
efetivamente reconhecida no texto constitucional.

Precisamos separar os conceitos de privacidade e proteção de dados, em especial na área

trabalhista. Exemplo: filmar a pessoa no ambiente de trabalho. Tem proteção de dados?
Sim, se eu trato e arquivo essa imagem. Se só estou monitorando, sem gravação, não
tem proteção de dados, MAS tem privacidade se onde a câmera está invadir a
intimidade dos funcionários.

A privacidade, portanto, é um direito de não fazer, de não deixar que adentrem no meu
círculo.

Sempre que há avanço industrial, há desafio à privacidade.

A doutrina e a jurisprudência já produziram diversos conceitos unitários de privacidade,
os quais podem ser enquadrados, de modo geral, em quatro categorias:
 O direito a ser deixado só (the right to be let alone);
  O resguardo contra interferências alheias;
 Segredo ou sigilo;
 Controle sobre informações e dados pessoais (autodeterminação informativa).

Autodeterminação informativa: É o pilar da proteção de dados: direito constitucional

trazido por um julgamento alemão que determinou que ao titular dos dados cabe seu
controle¹, saber o que está sendo feito com seus dados² e saber se ele QUER que seja
feito ou não³.

Desde a década de 80 a união europeia já discutia sobre a privacidade – Onde surgiu a

Convenção 108 que é primeiro instrumento de proteção de dados para vários membros
do conselho da Europa.

Na década de 90 surge a Diretiva 95/46: A Diretiva estabeleceu princípios e obrigações,

requerendo que os Estados-membros os implementassem em suas legislações internas.
A diretiva vigorou até 2018!

GDPR surgiu em 2016, mas só entrou em vigor em maio de 2018.

Free data flow: os dados não estão estritos a uma legislação entre países – por isso,
precisamos entender também a GDPR.

Legislação Brasileira:

CC/02 - CAPÍTULOII - Dos Direitos da Personalidade

Art. 11. Com exceção dos casos previstos em lei, os direitos da personalidade são
intransmissíveis, irrenunciáveis, não podendo seu exercício sofrer limitação
voluntária.
 A parte final não é aplicável, pois hoje sofremos limitações constantemente –
sempre que damos dados em qualquer site, estamos abrindo mão da privacidade,
por isso precisamos da proteção dos dados – ESSA É A FINALIDADE.

Art. 12. Pode-se exigir que cesse a ameaça, ou a lesão, a direito da personalidade, e
reclamar perdas e danos, sem prejuízo de outras sanções previstas em lei.
Parágrafo único. Em se tratando de morto, terá legitimação para requerer a medida
prevista neste artigo o cônjuge sobrevivente, ou qualquer parente em linha reta, ou
colateral até o quarto grau.
Caso Snowden*
Cambridge Analytica*

A quem a LGPD se destina?

SUJEITOS DA LEI GERAL DE PROTEÇÃO DE DADOS:

a) TITULAR DE DADOS PESSOAIS: Qualquer pessoa natural, incluindo crianças

e adolescentes.
b) AGENTES DE TRATAMETNO:
Controlador: decide o destino dos dados pessoais, bem como seu
tratamento.
Operador: realiza/executa a mando do Controlador.
c) ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DPO): é o
dono da rotina dos dados. Pode ser funcionário ou um terceiro. Ele tem a função
de falar com os titulares (tipo ouvidoria), de ser o ponto focal da autoridade
nacional (por isso tem que ter nome e telefone do DPO em local de fácil
acesso no site da empresa), vai fazer o mapeamento de dados e tirar as dúvidas.
d) AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS - ANPD

Eu sou dono da empresa e quero 10 candidatos e contrato uma empresa de

recrutamento. Minha empresa será a controladora, quem terá os dados. No entanto, a
empresa de recrutamento, que vai recolher os dados, será a operadora.

APLICAÇÃO MATERIAL E TERRITORIAL: Se aplica a todos aqueles que

realizam o tratamento de dados pessoais (organizações públicas ou privadas, pessoas
físicas ou jurídicas), que realizem qualquer operação de tratamento de dados pessoais
que:
1. Ocorrer em território nacional;
2. Que tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o
tratamento de dados de indivíduos localizados no território nacional;
3. Em que os dados tenham sido coletados no território nacional.

A legislação é para DADOS que é qualquer informação que pode identificar ou ser
identificável de um titular.
  Dado identificado: O nome completo, número da OAB/CPF, identificam a
pessoa.
 Dado identificável: “homem, advogado, reside em são Paulo, carioca, 39 anos”
você não necessariamente chegará na pessoa, mas pode ser que chega – dados
que correlatos permite que identifique uma pessoa.

RH deu benefício de farmácia: o medicamento “X” é para mulheres de 30 anos e causa

palidez. Dentro da empresa, temos quantas mulheres? 60%. Quantas tem 30 anos? 15%.
Palidez? Fica possível identificar quem utiliza o remédio.

Dentro das empresas existem diversos dados identificáveis.

OBS. Primeiramente, a LGPD aplicava-se apenas às pessoas (físicas ou jurídicas)

com finalidade econômica – Isso foi tirado, pois deixava de fora inúmeras pessoas
que contém nossos dados. Exemplo: igrejas.

TERRITORIALIDADE: Não é nacionalidade, portanto, não aplica-se aos brasileiros

apenas, temos que analisar:
1º. TRATAMENTO no Brasil (não importa onde foi feita a coleta);
2º. COLETA no Brasil (não importa onde será tratado);
3º. Se estou oferecendo produto ou serviço no Brasil (ainda que a empresa ou o
produto esteja no Japão);

EXTRATERRITORIALIDADE: Assim como a GDPR, a Lei Geral de Proteção de

Dados tem alcance extraterritorial. Portanto, gera efeitos internacionais na medida em
que se aplica também aos dados que sejam tratados fora do Brasil. Exemplo: Serviços
de Cloud Computing – todas informações nas “nuvens” estão fora do Brasil e, ainda
assim, aplica-se a LGPD pois dados foram coletados aqui.

PRINCÍPIOS:

Princípios pilares:
a) Finalidade: eu informo que preciso dos dados para fazer “A”, com isso, fico
vinculada à finalidade. Se mudar a finalidade, eu preciso acionar o titular
 novamente, para saber se posso fazer “B”, OU se eu tiver base legal que permita
ampliar a finalidade.
 O desvio da finalidade é punido.

b) Necessidade: só deve coletar os dados imprescindíveis – limitador.

c) Transparência: se eu não fornecer todas as informações ao titular, está sendo

violada a autodeterminação informativa. Nada pode ficar subentendido.

BASES LEGAIS: Para que os dados pessoais sejam tratados de forma adequada a
LGPD são trazidas 10 hipóteses de bases legais que autorizam o tratamento, nos incisos
do Art. 7º:

1) Mediante o fornecimento do consentimento pelo titular – não é a melhor base

para todas as hipóteses. O consentimento é do titular, logo, ele pode retirar a
permissão a qualquer momento.
Problema: Consentimento Livre, inequívoco e informado – na justiça do
trabalho isso é difícil, pois o trabalhador em situação de hipossuficiência não
concede de maneira “livre” – é um consentimento mitigado/manipulado e
subordinado.
O empregado não é sempre tão vulnerável – a LGPD não pode ser um
procedimento de difícil implementação. Entraremos mais adiante.
2) Para o cumprimento de obrigação legal ou regulatória pelo controlador – se
existe uma lei determinando isso. Na justiça do trabalho: o empregador não
recolhe porque quer, mas porque a lei determina que ele faça contrato de
trabalho e, para isso, precisa das informações. A admissão é com base da
obrigação legal – mas cuidado com a necessidade.
3) Pela Administração Pública para execução de políticas públicas – só é
utilizada quando o poder público é um “player”. Exemplo: na pandemia o
governo determinou que a empresa/hospitais informassem todos os
contaminados pelo COVID.
4) Realização de estudos por órgão de pesquisa – SENSO.
5) Execução de contrato ou de procedimentos preliminares relacionados a
contrato do qual seja parte o titular – não aplica-se ao contrato de trabalho. É a
coleta para que o contrato seja adimplido. Exemplo: fiz cadastro no ifood e pedi
o não compartilhamento, porém, sem passar meus dados o ifood não consegue
entregar o produto. Logo, o adimplemento depende disso.
6) Para o exercício regular de direitos em processo judicial, administrativo ou
arbitral – quando a empresa vai se defender em uma reclamatória trabalhista –
é o que justifica a empresa guardar os dados por 05 anos (prescrição
quinquenal).
7) Proteção da vida ou da incolumidade física do titular ou de terceiro – base
emergencial, quando a vida ou integridade está em risco.
8) Tutela da saúde, em procedimento realizado por profissionais da área da saúde
ou por entidades sanitárias – atendimento regular de um profissional de saúde.
Exame laboratorial, clínica, cirurgia.
9) Necessário para atender aos interesses legítimos do controlador ou terceiro – é
uma base residual, só ai utilizar se nenhuma outra se encaixar.
 10) Para a proteção do crédito – brasileiro usa de financiamento e parcelamento, o
que trouxe essa possibilidade. Não é pro banco, porque este tem direito para
execução de contratos, mas para analisar se possuo ou não empecilhos para
pagamento do crédito.

O consentimento é a única base de AÇÃO, em que falamos com o titular. As demais são
bases de dispensa de consentimento.

O rol é TAXATIVO e EXAUSTIVO, ou seja, não existem outras hipóteses.

Nenhuma base é MELHOR, cada uma é mais adequada a depender da circunstância e

da situação.
o Conjugar bases é complexo, pois uma pode revogar a outra.

CONSENTIMENTO

Requisitos obrigatórios e que precisam ser concomitantemente preenchidos:

 Prévio;
 Livre (livre e espontânea vontade);
 Informado;
 Inequívoco – ter PROVA - silêncio não é consentimento, não existe na
modalidade TÁCITA. Não precisa ser escrito, pode ser uma gravação.
 Revogável (com autonomia do titular apenas).

Sempre vinculado às finalidades!!!

Para o Professor Tarcisio Teixeira e Ruth Maria Guerreiro, em seu livro Lei Geral de
Proteção de Dados Pessoais Comentada artigo por artigo: “ O consentimento do titular,
mesmo diante de novas possibilidades legais de tratamento, continua a ter certa
preferência sobre os demais, pois geralmente facilita a obrigação do agente de
tratamento em demonstrar que o tratamento foi feito dentro de uma hipótese legal, ante
o princípio da accountability”.
 Accountability – a LGPD está dentro do complience.

O consentimento só serve para o agente que o obteve, não sendo extensivo a outras
pessoas para que possam realizar qualquer tratamento de dados. OU SEJA, não se
estende ao grupo econômico, salvo se informou que transferiria para todas. E, ainda
assim, teria que ser dentro da mesma finalidade.

Granularidade – não se pode ter como válido o consentimento manifestado no formato

“tudo ou nada”. Nas situações em que houver coleta de dados para diferentes
finalidades, o titular dos dados deve ter a possibilidade de escolher, de uma a uma, a
finalidade específica em relação a qual autoriza o tratamento de dados, sendo inválido
se não houver essa opção.

No que toca a característica de informação do consentimento devem ser minimamente

apresentadas as seguintes informações:
a) Finalidades específicas do tratamento;
b) Forma e duração do tratamento, guardados os segredos comercial e industrial –
Exemplo: até a execução do contrato/ por 05 anos após a extinção do contrato.
c) Identificação e informações de contato do controlador;
d) Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
e) Responsabilidades dos agentes que realizarão o tratamento – tem que informar quem
fará o tratamento e o que será feito.
f) Direitos do titular, aí se incluindo menção a possibilidade de confirmação de
tratamento dos dados, acesso, atualização, retificação, anonimização, eliminação,
além de outros dispostos nos Arts. 17 a 22 da LGPD.

Não repúdio e prova de pessoalidade – Segurança da informação: a pessoa não pode

negar que ele fez determinada ação. Tenho que ter certeza que o consentimento é do
TITULAR dos dados e o registro do consentimento (in dubio pro titular).

Deve estar em cláusula destacada, para chamar atenção da pessoa que estará
assinando.
Quando houver a granularidade, tem que ter ação afirmativa do titular (opt in ou opt
out) – você tem que partir da premissa que o titular não quer dividir nenhuma
informação (o padrão é o opt out) e precisa partir dele por AÇÃO afirmativa escolher o
opt in.

A LGPD não retroage, mas se por uma ação antiga o operador tem seus dados de
maneira ativa (dentro da base de dados do controlador/operador), a LGPD passa a valer
para este controlador, independente se adquiriu anterior a lei.
 Ele deu consentimento? Provavelmente não, logo, ele precisaria de um novo
consentimento (ou renovação - nesse caso só se não mudou nada da finalidade).
 A revogação deve ser facilitada.

Na seara trabalhista: Banco de currículo – você pode pedir consentimento para renovar
o período do currículo a empresa, para caso surjam novas vagas.

Pode ter uma cláusula geral para consentimento de todas finalidades? NÃO, pois a
finalidade provavelmente não é a mesma, logo, muda o consentimento e a coleta tem
que ser individual – uma é pro plano de saúde, outra pro sindicato, e etc.

INTERESSE LEGÍTIMO

É uma base extremamente aberta, para ser base coringa. Isto porque o legislador optou
por não conceituar o que seria interesse legítimo deixando um conceito aberto capaz de
se amoldar as mais diversas hipóteses.

Contudo, isto não significa que esta base pode ser utilizada livremente para qualquer
hipótese. É necessário observar-se os dois requisitos que SEMPRE deverão ser
respeitados: FINALIDADE LEGÍTIMA (que é a existência de situação concreta – ter
razão de existir naquele momento, não é algo futuro ou possível) e NÃO VIOLAÇÃO
DE DIREITOS E LIBERDADES DO TITULAR.

Todos os requisitos acima expostos são CUMULATIVOS e devem estar

NECESSARIAMENTE presentes para utilização da base legal do interesse legítimo
Se eu tratei os dados usando o interesse legítimo, a ANPD vai pedir o RIPD.
 A legislação fala que a autoridade poderá requerer, contudo, se ela requisitar e
eu não tiver, eu serei multado. Logo, devemos ler como DEVERÁ produzir o
RIPD.
 Normalmente as bases são repetidas, assim o RIPD vai se repetir também.
 O RIPD NUNCA poderá ser posterior, pois é um relatório dos impactos que
podem ser sofridos e não que já ocorreram.

Como avaliar se devo usar o interesse legítimo?

Exemplos:

 Exercício do direito à liberdade de expressão ou de informação, nomeadamente

nos meios de comunicação social e nas artes;
 Marketing direto convencional e outras formas de marketing ou de publicidade;
 Mensagens não comerciais não solicitadas, nomeadamente relativas a
campanhas políticas ou a atividades de angariação de fundos para fins de
beneficência;
 Execução de créditos, incluindo cobrança de dívidas através de processos não
judiciais;
 Prevenção da fraude, utilização abusiva de serviços ou branqueamento de
capitais;
 Monitorização da atividade dos trabalhadores para fins de segurança ou de
gestão;
 Sistemas de denúncia;
 Segurança física, tecnologias de informação e segurança das redes;
 Tratamento para fins históricos, científicos ou estatísticos;
 Tratamento para fins de investigação (nomeadamente pesquisas de mercado).
DIREITO DOS TITULARES:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos
dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento – todo titular tem o direito de
saber se seus dados estão sendo tratados.
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos
ou tratados em desconformidade com o disposto nesta Lei – técnica de TI para
separar o dado da identificação do titular. Por estar anonimizado, ele deixa de
ser pessoal, e sai da esfera da LGPD.
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante
requisição expressa, de acordo com a regulamentação da autoridade nacional,
observados os segredos comercial e industrial;
VI - eliminação dos dados pessoais tratados com o consentimento do titular,
exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador
realizou uso compartilhado de dados – o titular pode perguntar com quem você
compartilhou os dados pessoais dele. Você é capaz de saber disso?
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as
consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

Na rescisão devemos analisar se o empregado pede a eliminação de dados e como

iremos armazenar/utilizar estes dados.

Como controlador posso negar uma eliminação? Sim. Trabalharemos com isso depois.

SANÇÕES:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas
previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela
autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de
direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os
tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por
infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência
– é uma das piores sanções, pois perda de imagem e reputação pode nunca ser
recuperada.
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração
pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a
regularização da atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se
refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas a
tratamento de dados – a maior candidata a judicialização, pois envolve a continuação
da atividade empresarial e laboral, logo, envolve garantia a empregos.

Aula 02 - Dados Pessoais x Dados Sensíveis

DADO PESSOAL: é a informação que tem o condão de identificar ou ser identificável

ao titular.

Art. 5º. I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

DADO SENSÍVEL: dado com o condão de causar embaraço ou constrangimento ao

titular. Por isso, suas hipóteses são mais restritivas e possuem maior proteção.

Art. 5º. II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político,
dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma
pessoa natural;

OBS. Gênero não é dado pessoal sensível, mas a orientação sexual é.

Professor entende que o art. 5º não deveria ser taxativo, pois a sensibilidade está
atrelada ao fato e caso concreto: a nacionalidade é um dado pessoal sensível? Por
padrão não, mas se tiver um local em que etnias estão sendo discriminadas é, pois gera
vulnerabilidade e exposição desnecessária.

Tratamento só pode ocorrer da seguinte maneira:

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para
finalidades específicas;

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública,
de políticas públicas previstas em leis ou regulamentos;
 c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo
e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de
Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde,
serviços de saúde ou autoridade sanitária;
g) garantia da prevenção à fraude e à segurança do titular, nos processos de
identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos
mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais – A primeira parte
alcança prevenção do terceiro, enquanto que a segunda foca no titular. Exemplo: Coletar
impressão digital para o titular adentrar numa sala.

EXECUÇÃO CONTRATUAL, INTERESSE LEGÍTIMO E PROTEÇÃO DO

CRÉDITO NÃO ESTÃO PRESENTES.

§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele
dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação
específica.
§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo
pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de
consentimento, nos termos do inciso I do caput do art. 23 desta Lei.
§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com
objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por
parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas
competências.
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais
sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses
relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde ,
desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em
benefício dos interesses dos titulares de dados, e para permitir:
I - a portabilidade de dados quando solicitada pelo titular; ou
II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de
que trata este parágrafo.
§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de
saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na
contratação e exclusão de beneficiários.

Temos que ter cuidado com e-mail: uma hora tem que ser descarregado – NÃO FAZER
NADA PELO WHATSAPP.