AULA LGPD PÓS-GRADUAÇÃO EM CLOUD COMPUTING

MÓDULO I – panorama geral

1) Breve síntese jurídica contratual
2) O que é a LGPD e como se aplica nas empresas

MÓDULO II – tratamento de dados

1) O que é tratamento de dados?
2) Quando e por quanto tempo as empresas podem tratar dados
3) Término do tratamento de dados

MÓDULO III – Agentes de tratamento

1) O que é ser controlador e responsabilidade contratual
2) O que é operador e qual a responsabilidade contratual
3) Encarregado de dados - função, nomeação e responsabilidades

MÓDULO IV – Segurança de dados

1) Quais medidas para garantir a segurança dos dados tratados pela empresa
2) LGPD
3) Formas de adequação à LGPD nas empresas;
4) LGPD aplicada em cloud

MÓDULO V – dos direitos do titular

1) Quais os direitos das pessoas físicas com a LGPD em vigor
2) Como empresa faz para atender os direitos das pessoas físicas que a empresa
realizada o tratamento dos dados

MÓDULO VI– Os órgãos de fiscalização

1) Autoridade Nacional de Proteção de Dados - ANPD
2) Ações e multas administrativas - Procon
3) Ações judiciais;

Horas/aula da matéria: 16 horas

Avaliação: Prova escrita
 MÓDULO I – panorama geral
1) Breve síntese jurídica contratual
2) O que é a LGPD e como se aplica nas empresas

Breve síntese jurídica contratual

Para compreendermos a aplicação da Lei Geral de Proteção de Dados antes é

necessário compreender brevemente questões jurídicas contratuais.
Thomas Hobbes, primeiro contratualista. E trouxe o conceito de contrato social.
Para Hobbes contrato social é: O contrato é um consenso entre os
componentes da sociedade e não como um documento firmado em cartório.
Para Hobbes e para os outros contratualistas, a criação do consenso marca
uma transição do Estado de Natureza para o Estado Social.
“homem é lobo do próprio homem”. O Contrato de Hobbes propõe um governo
superior que controlaria as guerras e conflitos humanos. Dessa forma, ele teria
todo o poder como governante, que seria transferido dos cidadãos diretamente
para ele a fim de manter a vida e paz (sem guerras e mortes), além de
controlar o “instinto de lobo” do homem. Essa autoridade com o poder absoluto
seria o Leviatã.
Já outro contratualista é Jean-Jacques Rousseau que escreveu Do contrato
social. O contrato social para Rousseau é um acordo entre indivíduos para se
criar uma sociedade, e só então um Estado, isto é, o contrato é um pacto de
associação, e não de submissão.
Ou seja, O contrato social é uma metáfora usada pelos filósofos contratualistas
para explicar a relação entre os seres humanos e o Estado.
Abaixo um pequeno quadro resumindo os principais tópicos que vimos neste
texto:
Filósofo Thomas Hobbes John Locke J.J. Rousseau

O homem é bom, mas

Natureza O homem é bom, porém a
O homem é egoísta. faz a guerra para se
Humana propriedade o corrompeu.
defender.

Proteger a propriedade e
Criação Evitar a destruição Preservar a liberdade civil e
assim fazer o homem
do Estado mútua. os direitos dos homens.
progredir.

Monarquia absoluta, Monarquia

Tipo de mas sem a parlamentarista, sem a
Democracia direta.
Governo justificativa do Direito justificativa do Direito
Divino. Divino.

Teria do Direito Revolução Inglesa Revolução Francesa

Influência
Moderno e Constituição Americana Comunismo

"A natureza fez o homem

"O Homem é o lobo "Onde não há lei, não há feliz e bom, mas a sociedade
Citação
do Homem." liberdade." deprava-o e torna-o
miserável."

A criação do Estado tal qual conhecemos hoje e a forma de governo, qual seja,
a democracia, decorre destes pensadores, com alterações e desconstruções
ao longo do tempo. Mas importante compreender que hoje, o fato de vivermos
em uma sociedade, que possui leis, um Estado implica em compreendermos
que vivemos em um grande Contrato Social.
Essa metáfora é para entendermos que já estamos imbuídos em leis e regras
que garantem direitos e geram obrigações desde o nosso nascimento,
queremos nós ou não.
Momento descontração: A opção de não viver nesse contrato é ser igual ao
Alexander Super Tramp .
CONCEITO/NOÇÃO DE CONTRATO

Tendo essa base, vou passar alguns séculos adiante até chegarmos no
conceito que temos de Contrato no Código Civil de 2002.
Artigo 107 do Código Civil Brasileiro prevê: “A validade da declaração de
vontade não dependerá de forma especial, senão quando a lei expressamente
a exigir”
Art. 421. A liberdade de contratar será exercida em razão e nos limites da
função social do contrato, observado o disposto na Declaração de Direitos de
Liberdade Econômica. A liberdade contratual será exercida nos limites da
função social do contrato.
Art. 422. Os contratantes são obrigados a guardar, assim na conclusão do
contrato, como em sua execução, os princípios de probidade e boa-fé.

Orlando Gomes, jurista brasileiro, resume da seguinte forma:

“Contrato é, assim, o negócio jurídico bilateral, ou plurilateral, que sujeita as
partes à observância de conduta idônea à satisfação dos interesses que
regularam”. (Orlando Gomes. Contratos. Editora Forense).
Dessa forma, para que um contrato exista, todas as partes envolvidas devem
trabalhar a fim de alcançar o cumprimento daquilo que foi prometido.

Clóvis Bevilaqua (1934, p. 245), contrato é um “acordo de vontades para o fim

de adquirir, resguardar, modificar ou extinguir direitos”
O contrato é uma espécie de negócio jurídico, isto é, um ato humano em que
tem papel preponderante a vontade dirigida a um determinado fim. Assim,
ações diversas como a instituição de um testamento, a compra e venda de uma
casa e a constituição de uma sociedade empresária são negócios jurídicos –
respectivamente, unilateral, bilateral e plurilateral – visto que todos, em tese,
não foram obrigados a celebrá-los (sendo, assim, produto de seus desejos de
interferirem na ordem econômica do mundo real) e, em maior ou menor grau,
puderam dispor, por exemplo, sobre a partilha dos bens, o valor do imóvel
negociado e as quotas-partes de cada um na sociedade. O negócio jurídico
seria a expressão máxima do poder que o homem tem de dispor sobre si
mesmo, e de, assim, obrigar-se em relação a outra pessoa e ter outro obrigado
a si. “Os negócios jurídicos bilaterais se formam a partir de manifestações de
vontade distintas, porém coincidentes, recíprocas e concordantes sobre o
mesmo objeto. […] Forma-se o negócio jurídico bilateral no momento em que
os figurantes materializam o acordo. Em geral, há uma oferta (= proposta) e
uma aceitação, negócios jurídicos unilaterais que se soldam pelo consenso”
(MELLO, 2003, p. 198).
concluir um contrato significa “realizar uma operação econômica reconhecida e
tutelada pelo direito” (ROPPO, 1988, p. 211)
Resumo: Contrato é um negócio jurídico oriundo do acordo de duas ou mais
vontades em vista de produzir efeitos jurídicos cujo objetivo é cumprir com o
prometido. E precisam respeitar os seguintes princípios:
Princípios (explicar de maneira sucinta as fontes do direito) contratuais: o da
autonomia da vontade, o do consensualismo, o da força obrigatória, o da
boa-fé, o do equilíbrio econômico do contrato e, por fim, o da função social
(explicar cada um dos princípios).
Autonomia da vontade
Também conhecido como princípio da liberdade das partes, a autonomia da
vontade está ligada à ampla liberdade e poder dos contratantes de disciplinar e
regular seus interesses, conforme vontade e consenso de ambos.
Desta forma, a lei dá às partes a possibilidade de dispor, entre si, sem
intervenção do Estado, sobre as obrigações, interesses e contratações que
bem entenderem.
Entretanto, destacamos que a autonomia das partes não é ilimitada, pois
possui limitações legais.
Isso quer dizer que existem alguns requisitos, chamados de elementos
essenciais de um contrato, que devem ser atendidos para que o instrumento
seja considerado válido.
Respeitados tais elementos, as partes podem prosseguir com autonomia e
liberdade nas disposições contratuais.
Consensualismo
Como o próprio nome do princípio indica, o consensualismo consiste na
manifestação mútua da vontade de todas as partes envolvidas no contrato.
A premissa do consensualismo é que bastam as partes estarem de comum
acordo para o contrato ser aperfeiçoado, não se exigindo o início da execução
das obrigações acordadas.
Como se pode perceber, este princípio está intimamente ligado à confiança
recíproca entre as partes.
Obrigatoriedade da convenção
A obrigatoriedade da convenção ou do contrato é conhecida, no mundo
jurídico, como pacta sunt servanda.
Este princípio consiste na força vinculante do instrumento contratual.
As partes, antes de realizarem a manifestação da vontade, possuem ampla
liberdade para aceitar e negociar os termos do contrato; portanto, uma vez
formalizado o acordo, este é considerado lei entre os envolvidos.
Assim, sendo válido e eficaz, o contrato deverá ser cumprido pelas partes, na
medida de suas obrigações.
Destacamos, ainda, que a obrigatoriedade da convenção implica na
impossibilidade de revogar ou alterar cláusulas, ou o Estado ou do juiz
intervirem para o mesmo fim, exceto se houver concordância de todos os
envolvidos.
Função social do contrato
A função social do contrato refere-se à uma limitação na liberdade contratual.
Todos os contratos devem ser realizados dentro dos limites da função social.
Isso quer dizer que, se a autonomia da vontade estiver em conflito com o
interesse social, ela não deverá predominar e o contrato não deverá ser
formalizado.
O princípio da função social do contrato, portanto, orienta que os contratos
devem buscar diminuir as desigualdades substanciais entre as partes,
almejando-se uma justiça comutativa.
Relatividade dos efeitos do contrato
Como visto até então, o contrato é um acordo de vontades estipulado de forma
consensual entre os envolvidos.
Desta forma, as obrigações constantes no instrumento contratual devem ser
cumpridas pela parte que lhes couber.
A relatividade dos efeitos do contrato, por sua vez, diz respeito ao cumprimento
exclusivo de tais obrigações somente por aqueles que fazem parte do acordo,
não envolvendo terceiros, nem seu patrimônio.
Qualquer pessoa que não tenha participado e manifestado sua vontade para
integrar o contrato, não será atingida pelos efeitos do mesmo.
Essa relatividade não se aplica aos sucessores das partes, os quais, embora
não tenham participado do contrato, deverão assumi-lo e dar continuidade ao
seu cumprimento, exceto se for uma obrigação personalíssima.
Boa-fé objetiva
O princípio da boa-fé está previsto no art. 422 do Código Civil, o qual prevê que
os contratantes devem agir com probidade e boa-fé em todas as etapas do
contrato.
A boa-fé objetiva, então, é uma conduta ética que se espera dos envolvidos em
um negócio jurídico. Sua atuação deve ser honesta e leal ao que foi pactuado,
bem como deve se manter dentro do que prevê a lei.
É válido mencionar que a boa-fé objetiva é diferente da subjetiva, sendo que
esta se refere à moralidade dos atos pessoais do indivíduo, sem se referir a
uma negociação contratual.
O que se pode extrair de todos esses princípios que regem os contratos é que
eles conversam entre si, explicando, complementando ou limitando uns aos
outros.

https://upis.br/blog/contratos-no-direito-civil/
https://www.projuris.com.br/contratos-direito-civil/#O_que_e_um_contrato

FUNDAMENTO DA OBRIGATORIEDADE DOS CONTRATOS

Uma vez ultimado o contrato liga as partes concordantes, estabelecendo um

vínculo obrigacional entre elas. Algumas legislações vão a ponto de afirmar que
as convenções legalmente firmadas transformam-se em lei entre as partes.
Tal vínculo se impõe aos contratantes, que, em tese, só o podem desatar pela
concordância de todos os interessados. E o descumprimento da avença por
qualquer da partes, afora os casos permitidos em lei, sujeita o inadimplente à
reparação das perdas e danos (CC, art. 389).
 A explicação da obrigatoriedade dos contratos assenta em preocupação que
ultrapassa as raias do interesse particular para atender a um anseio de
segurança que é de ordem geral. Pois o problema deve ser encarado não sob
o ângulo individual, mas sob o social. Aquele que, por livre manifestação da
vontade, promete dar, fazer ou não fazer qualquer coisa, cria uma expectativa
no meio social, que a ordem jurídica deve garantir. O propósito de se obrigar,
envolvendo uma espontânea restrição da liberdade individual, provoca
consequências que afetam o equilíbrio da sociedade. Por conseguinte, a
ordenação jurídica, na defesa da harmonia das relações inter-humanas, cria
elementos compulsórios do adimplemento.
Com efeito, é a lei que torna obrigatório o cumprimento do contrato. E o faz
compelir aquele que livremente se vinculou a manter sua promessa,
procurando, desse modo, assegurar as relações assim estabelecidas.
O contrato se aperfeiçoa pela coincidência de duas ou mais manifestações
unilaterais da vontade. Se estas se externarem livre e conscientemente e se
foram obedecidas as prescrições legais, a lei as faz obrigatórias, impondo a
reparação das perdas e danos para a hipótese de inadimplemento.

ELEMENTOS DO CONTRATO

Elementos subjetivos
Os requisitos subjetivos de um contrato dizem respeito às partes e sua
manifestação de vontade.
Basicamente, são 4 características que você deve analisar no aspecto
subjetivo:
● Pluralidade das partes: Os contratos devem envolver duas ou mais pessoas;
● Capacidade das partes: As partes devem possuir capacidade para praticar os
atos civis;
● Aptidão das partes: As partes devem possuir aptidão e autonomia para decidir;
● Consenso: As partes devem agir em consenso, de forma livre e espontânea.
Caso você encontre, na doutrina, requisitos de nomenclatura diferente, mas
que se refiram às partes de um contrato, eles serão considerados elementos
subjetivos.
 Elementos objetivos
Enquanto os elementos subjetivos estão associados às partes de um contrato,
os elementos objetivos estão ligados ao seu objeto.
Portanto, são 4 os requisitos que compõem o aspecto objetivo dos contratos:
● Licitude: O objeto deve ser lícito;
● Possibilidade: o objeto do contrato deve ser possível física ou juridicamente.
● Determinação: O objeto deve ser determinado ou passível de determinação em
quantidade e gênero;
● Patrimonialidade: o objeto deve envolver o patrimônio das partes, seja em
forma de bens ou dinheiro.
Alcançando estas 4 características, o objeto do contrato será válido e legal.

EXTINÇÃO DOS CONTRATOS

formas pelas quais um contrato pode ser extinto:

Pelo cumprimento do contrato
Este é o modo “normal” pelo qual um contrato se extingue. Ele ocorre quando
as partes cumprem as obrigações pactuadas, não havendo mais nada a ser
feito.
Também ocorre nos casos em que um contrato pode ser renovado, mas não o
é, o que acarreta em sua extinção.
Pela resolução do contrato
Um contrato pode ser extinto pela resolução quando uma das partes não
cumpre a obrigação que lhe cabia, ou a cumpre de forma deficiente.
Se um contrato fica “muito pesado” para a parte cumpri-lo, por conta de fatores
extraordinários, como a pandemia do Covid-19, por exemplo, o contrato
também pode se extinguir pela resolução por onerosidade excessiva.
Pela resilição do contrato
A resilição do contrato ocorre quando uma ou ambas as partes desejam
encerrar o contrato. Para que essa forma de extinção possa ser realizada, os
contratantes devem estar em dia com suas obrigações.
Se as partes, de comum acordo, decidirem encerrar o contrato, a extinção será
chamada de distrato.
Quando apenas uma das partes quiser encerrá-lo, será chamado de denúncia.
Pela rescisão do contrato
O contrato será extinto pela rescisão quando uma das partes sofrer uma lesão
e for impossível restaurar o equilíbrio contratual novamente.
Essa lesão é vista como uma vantagem desproporcional em favor de uma parte
e detrimento de outra.
Neste caso, o contrato só pode ser extinto por meio de intervenção judicial.

O que é LGPD e como se aplica nas empresas

Com a criação do Estado, conforme descrito anteriormente, aqui o conceito de

Estado falamos em país, nação, tem o objetivo de regular as relações, sair do
estado de natureza que o homem se encontrava para então, ter um governo e
esse governo responsável por regular as relações, por regular se entende, criar
leis que todos devem seguir para haver uma convivência harmônica na
sociedade. No caso do Brasil hoje, forma de governo é a democracia e é
composto por 3 poderes: legislativo, executivo e judiciário que devem ser
independentes. No executivo nós temos o presidente, vice e ministros. Já o
legislativo, responsável pela criação das leis, composto por Senadores,
deputados, vereadores, e o judiciário composto por magistrados. Uma forma
mais fácil: Legislativo cria as leis, judiciário aplica e executivo administra, de
uma maneira bem simples. E nesse contexto, nós temos a Constituição Federal
como a Lei máxima, e abaixo leis menores, em formato de pirâmide. Nesse
contexto foi criada a Lei Geral de Proteção de Dados, a LGPD.

O que é a lei então?

A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma legislação que tem
o objetivo de proteger os dados garantindo assim, direitos como a privacidade,
a liberdade dos cidadãos, assegurar direitos que estão descritos no artigo 2° da
LGPD.
Art. 2º A disciplina da proteção de dados pessoais tem como
fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
 III - a liberdade de expressão, de informação, de comunicação e de
opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a
dignidade e o exercício da cidadania pelas pessoas naturais.

A LGPD entrou em vigor em setembro de 2020, e determina que empresas e

órgãos públicos se atentem sobre a forma de coletar, usar, compartilhar e
armazenar dados de pessoas físicas.
Poucas empresas estão de fato preparadas para as exigências da LGPD e
muitas ainda desconhecem a legislação. Apesar de trazer penalidades para
negócios que não estiverem adequados, a Lei propiciou o surgimento de
oportunidades de oferta de novos produtos e serviços. Nesta aula apresentarei
os princípios, os
Objetivos e as finalidades da legislação.

A LGPD é uma lei diferente das demais, pois quando se fala em proteção de
dados não tem como proteger informações sem adotar e implementar medidas
de segurança da informação. Ou seja, para as empresas comprovarem que
estão de acordo vão precisar implementar ou aprimorar medidas de boas
práticas em todos os setores da empresa em que haja circulação de dados,
principalmente: marketing, vendas, RH, etc.
Para saber se uma empresa está de acordo com a Lei ou não, a pergunta
básica é: você protege a CID das informações?
C – confidencialidade;
I – integralidade
D – Disponibilidade

Mas por que as empresas precisam proteger os dados pessoais? Porque os

dados que circulam na empresa são das PF´s. Vamos a um exemplo: Você
pega com seu amigo o carro dele pra fazer uma viagem, ou visitar um cliente.
Esse carro passa a ser seu porque vai utilizar em uma visita? Não, o seu amigo
 emprestou o carro, permanecendo a propriedade do seu amigo. Com os dados
a mesma coisa. As PF´s emprestam para as empresas, órgãos públicos. O
CPF da Patrícia, mesmo sendo tratado por várias empresas, permanece da
Patrícia, assim como minha biometria, tipo sanguíneo, sexo, cor, religião, e
demais dados.
Agora vamos imaginar o seguinte, voltando ao exemplo do carro. O amigo
emprestou para você o carro. Você vai cuidar do carro, certo? Afinal, não é seu,
seu amigo emprestou porque confia em você, porque você já teve um carro e
sempre cuidou, porque dirige bem, porque é prudente e sabe que vai tomar
mais cuidados ainda em se tratando de um carro que não é seu, não é
mesmo? Você em contra partida vai cuidar do carro, até talvez mais que fosse
seu, afinal, não se trata do carro em si, mas sim da confiança que é a base da
amizade que fez com que ele emprestasse o carro para você, não é mesmo?
A lógica dos dados é exatamente essa. Como vc demonstra ao cliente ou a
empresa que vc está prestando serviços que ela pode confiar na sua empresa,
nos seus serviços? Tem várias formas, uma delas é estando de acordo com as
leis, ainda mais, quando a sua irresponsabilidade pode gerar danos a ele.
Ainda mais nesse caso.
Para demonstrar ao seu cliente, parceiro comercial, fornecedores, toda a
cadeia de steck holders, que vc é uma empresa de confiança quando se fala
em LGPD necessariamente vai precisar demonstrar através de documentos
jurídicos que está seguindo a lei, assim como, na prática na proteção da CID.
Estando claro o que a Lei, o que ela protege, vamos para o módulo seguinte
que é saber quando e como as empresas podem tratar os dados.

MÓDULO II – tratamento de dados

1) O que é tratamento de dados?
2) Quando e por quanto tempo as empresas podem tratar dados
3) Término do tratamento de dados

1. O que é tratamento de dados?

O Artigo 5° da LGPD afirma que:
X - tratamento: toda operação realizada com dados pessoais, como as que se
referem a coleta, produção, recepção, classificação, utilização, acesso,
 reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração;
Exemplo: Fiz uma campanha de marketing com a criação de uma L.P para
capturar leads e dados como: nome completo, telefone e e-mail. A partir do
momento que recebi os dados a empresa passa a realizar o tratamento, porque
houve: coleta, recepção, transmissão, pode haver distribuição, caso a empresa
que coleta esteja operando em nome de outra empresa, armazenamento,
afinal, vou guardar esses dados.
Outro exemplo: Contratei um funcionário. Coletei a CTPS dele, informações
bancárias, foto. Novamente: coleta, recepção, classificação, utilização,
reprodução, transmissão e distribuição (vou enviar para a contabilidade),
processamento, armazenamento.
Percebe que, a empresa usa dados ela precisa seguir a Lei. Por que? Lembra
do exemplo do carro que você pegou com seu amigo.

2. Quando e por quanto tempo as empresas podem tratar dados?

O tratamento de dados por parte das empresas vai precisar seguir os

seguintes requisitos:
Art. 6º As atividades de tratamento de dados pessoais deverão observar a
boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos,
específicos, explícitos e informados ao titular, sem possibilidade de tratamento
posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades
informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a
realização de suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades do tratamento de
dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita
sobre a forma e a duração do tratamento, bem como sobre a integralidade de
seus dados pessoais;
 V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza,
relevância e atualização dos dados, de acordo com a necessidade e para o
cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas
e facilmente acessíveis sobre a realização do tratamento e os respectivos
agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a
proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos
em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para
fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente,
da adoção de medidas eficazes e capazes de comprovar a observância e o
cumprimento das normas de proteção de dados pessoais e, inclusive, da
eficácia dessas medidas.

Seguindo os princípios acima, para a empresa tratar dados deve obedecer

os seguintes requisitos.
Lembra do exemplo que dei acima da L.P? Pois bem, para estar de
acordo com a Lei nessa LGPD precisaria ter um termo de consentimento, pois
é uma justificativa para o tratamento de dados. Vamos entender quais são
requisitos.
Sempre temos que ter me mente o exemplo do carro emprestado, então
para eu ter circulando na empresa, preciso de uma base legal, ou,
embasamento jurídico, afinal, o meu amigo emprestou o carro pra mim, mas
não para o meu primo que ele nem conhece, certo?
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de
dados necessários à execução de políticas públicas previstas em leis e
regulamentos ou respaldadas em contratos, convênios ou instrumentos
congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida,
sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte o titular, a pedido do
titular dos dados;
VI - para o exercício regular de direitos em processo judicial,
administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de
setembro de 1996 (Lei de Arbitragem) ;
VII - para a proteção da vida ou da incolumidade física do titular ou de
terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado
por profissionais de saúde, serviços de saúde ou autoridade
sanitária; (Redação dada pela Lei nº 13.853, de 2019) Vigência
IX - quando necessário para atender aos interesses legítimos do
controlador ou de terceiro, exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação
pertinente.
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser
fornecido por escrito ou por outro meio que demonstre a manifestação de
vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar
de cláusula destacada das demais cláusulas contratuais.
O consentimento e o legítimo interesse podem ser revogados a qualquer
momento pelo titular. Voltando ao exemplo da L.P, vamos imaginar que a LP
estava de acordo com a LGPD e tem um termo de consentimento onde eu
assinalei que a empresa poderia tratar meus dados e depois de 6 meses eu
percebo que eu não quero mais receber nada dessa empresa, motivo? Não
precisa, simplesmente não quero mais. Logo, eu, como PF, titular dos dados,
vou entrar em contato com a empresa para revogar o consentimento. Se a
empresa não tem outro embasamento legal, exceto o consentimento, significa
que ela deve apagar meu nome, email e telefone do seu banco de dados e não
mais mandar nada.
Agora, vamos imaginar que eu dei o consentimento e também adquiri um
serviço dessa empresa. Nesse caso, eu posso revogar o consentimento sobre
o marketing, mas não pode exigir que a empresa apague os meus dados,
porque a empresa pode tratar meus dados com base no inciso V, que é
cumprimento e contrato e a legislação específica diz que preciso ficar com
esses dados por 5 anos. Percebem a diferença?
Nesse caso, como uma empresa vai fazer isso e ter clareza do que pode
fazer com determinado dado? Vai precisar mapear processos, classificar os
dados, por exemplo.

§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo

para os dados tornados manifestamente públicos pelo titular, resguardados os
direitos do titular e os princípios previstos nesta Lei.

O § 4° traz uma exceção bem importante que muitas empresas argumentam

para não seguir a LGPD que é: Os dados são públicos, logo, posso acessar.
A resposta é sim. Se os dados são públicos, exemplo: empresa pegou meu
telefone em um cadastro online, acessou um site de domínio público e meu
telefone estava lá e então a empresa pegou e me ligou para oferecer os
serviços. Está violando a LGPD? Não. Mas agora, se empresa ligou, ofereceu
o serviço eu não quis, mas aceitei receber e-mails, nesse caso, a empresa
passa a tratar os dados, e precisa seguir um dos fundamentos que listei acima,
porque no final desse artigo está descrito: resguardados o direito do titular. Ou
seja, se empresa irá tratar, precisa seguir tudo que falamos anteriormente.
A LGPD também tem um capítulo específico sobre tratamento de D.P. S e de
crianças e adolescentes que eu não vou entrar, porque elenca maiores
cuidados com esses dados, mas o raciocínio de proteção e fundamento que
está tratando segue o que expus até agora, vou apenas frisar pontos
diferentes:

Do Tratamento de Dados Pessoais Sensíveis

§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de
dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem
econômica, exceto nas hipóteses relativas a prestação de serviços de saúde,
de assistência farmacêutica e de assistência à saúde, desde que observado o
§ 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em
benefício dos interesses dos titulares de dados, e para permitir.
II - as transações financeiras e administrativas resultantes do uso e da
prestação dos serviços de que trata este parágrafo. (Incluído pela Lei
nº 13.853, de 2019) Vigência
§ 5º É vedado às operadoras de planos privados de assistência à saúde o
tratamento de dados de saúde para a prática de seleção de riscos na
contratação de qualquer modalidade, assim como na contratação e exclusão
de beneficiários.

Do Tratamento de Dados Pessoais de Crianças e de Adolescentes

Art. 14. O tratamento de dados pessoais de crianças e de adolescentes
deverá ser realizado em seu melhor interesse, nos termos deste artigo e da
legislação pertinente.
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado
com o consentimento específico e em destaque dado por pelo menos um dos
pais ou pelo responsável legal.
§ 4º Os controladores não deverão condicionar a participação dos titulares de
que trata o § 1º deste artigo em jogos, aplicações de internet ou outras
atividades ao fornecimento de informações pessoais além das estritamente
necessárias à atividade.

3. Término do tratamento de dados

A empresa pode ficar ad eterno com os dados das pessoas físicas? Via de
regra, não. Porque o tratamento deve encerrar, ou finalizar quando:
Art. 15. O término do tratamento de dados pessoais ocorrerá nas
seguintes hipóteses:
I - verificação de que a finalidade foi alcançada ou de que os dados
deixaram de ser necessários ou pertinentes ao alcance da finalidade específica
almejada;
 Exemplo:
II - fim do período de tratamento;
Exemplo:
III - comunicação do titular, inclusive no exercício de seu direito de
revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei,
resguardado o interesse público; ou
Exemplo:
IV - determinação da autoridade nacional, quando houver violação ao
disposto nesta Lei.
Art. 16. Os dados pessoais serão eliminados após o término de seu
tratamento, no âmbito e nos limites técnicos das atividades, autorizada a
conservação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de
tratamento de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde
que anonimizados os dados.

MÓDULO III – Agentes de tratamento

1) O que é ser controlador e responsabilidade contratual

A LGPD trouxe o que ela determinou como agentes de tratamento para definir
responsabilidade civil no compartilhamento de dados entre as empresas.
Controlador é toda a empresa que coleta dados pessoais. Exemplo: tem
funcionários, prestador de serviços, captura leads, faz venda direta para cliente
final, o B2C ou até B2C que acaba tendo acesso e armazena dados dos
sócios, representantes das empresas. Nesse caso todas as empresas são
controladoras em algum momento, pois captura lead. Exemplos: empresa que
vende doces, hamburgueria, restaurantes, comércio em geral. Há coleta de
dados PF´s de maneira direta.
Trazer exemplo do escritório: em relação aos nossos clientes, por mais que
sejam pessoas jurídicas, mas que estão sendo necessariamente representadas
por pessoas físicas e para fazer o nosso serviço precisamos dos dados
pessoais, logo, assumimos perante a LGPD a responsabilidade de controladora
dos dados.
Bem, mas o que isso significa exatamente para fins de responsabilidade?
A Lei em seu artigo 42 afirma que o controlador ou operador (que estudaremos
na segunda parte da aula) que em razão de seu exercício ou atividade de
tratamento de dados, tratamento nós já vimos anteriormente o que é, causar
dano: patrimonial, moral, individual ou coletivo, em violação à legislação é
obrigado a repará-lo.
Então a pergunta que a empresa deve fazer é: O que eu faço para evitar a
violação da lei e causar dano para não precisar pagar? Ou quais medidas eu
adoto para conseguir mitigar os riscos? Qual a estrutura da minha empresa e o
que diante da minha situação atual como empresa, o que preciso fazer?
Porque dependendo da indenização, a minha empresa pode fechar ou então
prejudicar meu nome que estou aqui arduamente construindo.
A resposta de certa maneira já foi dada nas aulas anteriores: que é: adotar os
princípios que foram passados no módulo II, tratar dados necessários, até
porque tem um banco de dados mais qualificado e isso custa menos pra
empresa e em específico sobre o que fazer veremos no módulo IV.
O que quero me ater nessa aula é passar a responsabilidade em si da empresa
para depois explicar sobre isso.
A primeira responsabilidade é essa que o artigo 42 traz que mencionei.
Importante frisar que, a princípio, lendo o artigo da lei, podemos esclarecer
que: a simples violação da lei não causa dano, é preciso o titular demonstrar
que teve um dano. Vamos de exemplo.
No judiciário, se uma empresa realiza uma cobrança e negativação indevida o
dano moral é chamado de in re ipsa. Descomplicando o direito, significa dizer
que, a pessoa não precisa demonstrar que sofreu um dano por ter o nome
negativado, a simples negativação dá o dano moral. Isso é entendimento dos
tribunais. Aqui na LGPD, a princípio temos que a pessoa precisa demonstrar o
dano, no entanto, isso pode mudar caso as empresas violem de maneira
excessiva a LGPD, por exemplo, e os juízes entenderem que ocorrendo algum
incidente, vazamento e efetivamente comprovar a responsabilidade da
empresa, por si gera o dano moral, não tendo a pessoa que teve algum dano
pelo fato em si. A LGPD ainda é recente para afirmar qualquer coisa, seja a
nível judiciário como da própria Autoridade Nacional.
Agora vocês, falo agora como empresas, empresários, não como quem
executa o serviço de cloud,é que tem duas divisões que precisa estar clara na
mente de vocês.
Uma coisa é a responsabilidade que a empresa possui como controladora
perante os titulares de dados, perante os clientes, consumidores, leia-se as
PF´s. Outra totalmente diferente é a responsabilidade no compartilhamento dos
dados das PF´s que a empresa coleta e compartilha com outras empresas. São
vieses diferentes, obrigações diferentes, responsabilidades totalmente
diferentes.
Sobre os direitos dos consumidores, irei explicar no módulo somente sobre
esse assunto. Agora vamos analisar as responsabilidades de maneira geral do
controlador.
Outro ponto que é responsabilidade é acerca do consentimento. Lembra nas
aulas passadas que expliquei que para a empresa realizar o tratamento de
dados precisa estar dentro de uma das bases legais e que uma é o
consentimento? Citei o exemplo da L.P. O art. 7, §2° afirma que:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses:
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido
em conformidade com o disposto nesta Lei.
Ou seja, não é a pessoa física que precisa demonstrar que deu consentimento,
é a empresa que precisa demonstrar. Uma das formas de demonstrar é tendo
um documento jurídico e que de alguma forma, seja ela física ou virtual, a
pessoa deu o consentimento.
Outra obrigação que o controlador possui, segundo art. 38
Art. 38. A autoridade nacional poderá determinar ao controlador que
elabore relatório de impacto à proteção de dados pessoais, inclusive de dados
sensíveis, referente a suas operações de tratamento de dados, nos termos de
regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório
deverá conter, no mínimo, a descrição dos tipos de dados coletados, a
metodologia utilizada para a coleta e para a garantia da segurança das
informações e a análise do controlador com relação a medidas, salvaguardas e
mecanismos de mitigação de risco adotados.
O que é que esse relatório de impacto, conhecido como DPIA. Para conseguir
fazer esse relatório de impacto a empresa precisa estar adequada a LGPD. O
DPIA é uma forma de analisar quais os dados a empresa está tratando e em
caso de incidente quais as consequências desse incidente. é um documento
que tem o fim de demonstrar como os dados pessoais são coletados, tratados,
usados, compartilhados e quais medidas são adotadas para mitigação dos
riscos que possam afetar os direitos que comentei lá na aula explicando a
LGPD. Esse documento deve ser feito quando a autoridade solicitar, caso não
fizer, incorre em multa e penalidades da ANPD que veremos no capítulo
específico sobre isso ou sempre que vai fazer alguma alteração interna na
empresa que envolve dados. Exemplo: migração de um sistema para outro. Até
mesmo na nuvem, o ideal, dependendo do tamanho da empresa, é
interessante fazer um DPIA ou então pelo menos uma matriz de risco para
identificar os riscos, analisar o risco, definir qual resposta ao risco, impacto e
monitorar o risco. Exemplo: empresa contrata vcs para fazer a migração de um
banco de dados para nuvem, porém não tem backup, nesse caso, ao fazer
essa migração, quais riscos estão envolvidos? O que pode acontecer? Talvez
um risco seja perder algumas informações, ou seja, disponibilidade. Risco
identificado, qual resposta? Analisei o risco. Fazer 2 bakcsups provisórios
antes de fazer a migração. Mitiguei o risco e depois monitoro, pois se acaso
ocorrer algum incidente o controlador é responsável, e quando falo
responsável, digo a nível interno. É viável perder algumas informações
importantes para a empresa? Isso é até uma segurança para vocês que irão
prestar o serviço, porque se der algum problema, o controlador pode vir à
cobrar de vocês a responsabilidade. A culpa é do prestador de serviços que
não fez o trabalho direito e eu perdi informações como: carteira de clientes,
relatórios financeiros, controle de vendas, enfim, o que uma empresa faz hoje
sem ter dados?
Outras responsabilidades:
§ 2º O controlador deverá adotar medidas para garantir a transparência do
tratamento de dados baseado em seu legítimo interesse.
 Que também é um fundamento que empresa pode tratar os dados, pois se
não adotar, pode ser penalizada com multas do procon, ações judiciais,
fiscalização da ANPD.
E por fim, porém não menos importante é:
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados
pessoais.
Nesse caso já teve condenação na esfera trabalhista porque a empresa
não tinha nomeado um encarregado de dados ou também conhecido como
D.P.O. A função e o que é esse encarregado veremos na última aula desse
módulo. Caso a empresa não nomeie esse encarregado é muito fácil verificar
que está descumprindo a LGPD, pq esse encarregado deve estar no canal
oficial da empresa, é quem responde a alguma fiscalização na empresa,
violação de dados, e se a empresa não tem ninguém responsável por essa
parte é uma clara violação.
Nesse caso da decisão trabalhista, a empresa foi condenada a pagar
multa diária de R$1.000,00 caso não nomeasse um encarregado de dados,
além de na sentença, na decisão final, ter o valor da condenação da empresa
aumentado por não ter esse responsável.
Quando tem um artigo específico exigindo determinada conduta da empresa e
ela não cumpre é praticamente certa uma condenação, pq está ali claro que a
empresa não segue a lei e para não gerar insegurança jurídica precisa haver
uma punição.
Passamos agora ao personagem do operador.

2) O que é operador e qual a responsabilidade contratual

O operador, como próprio nome indica é a empresa que opera os dados do

controlador. Exemplos para facilitar: contabilidade, serviço jurídico, prestador
de serviços, no caso de vocês que prestam serviços à outras empresas e tem
acesso, manuseiam e até mesmo tratam dados em nome do controlador.
A empresa pode, e na maioria das vezes é, controladora e operadora.
Controladora quando coleta dados, operadora, quando atua com dados da
controladora.
Importante frisar que, os dados que o operador acessa em relação ao
controlador não significa que está aumentando seu banco de dados ou tendo
que informar ou declarar em caso de fiscalização. Exemplo: Controlador vai
realizar uma mudança na empresa, ex. migrar o banco de dados do físico para
a nuvem. O corretor é realizar um relatório de impacta ou matriz de impacto
como comentei, no entanto, o operador não precisa fazer esse trabalho, pois o
risco é do controlador. Agora, o operador tem responsabilidade a partir do
momento que acessa esses dados que são diferentes do controlador, pois a
responsabilidade dele obviamente é maior.
Aqui sempre cito um exemplo de um dos vieses que mostra a LGPD sendo
necessária, para a própria empresa operadora ter clientes e relações
comerciais.
Se eu sou uma empresa que me adequei a LGPD, eu vou colocar em risco
todo o trabalho contratante um operador que nem sabe o que é LGPD ou que
não possui o mínimo na empresa, como clausulas em contrato, termo de
confidencialidade, termo de privacidade, políticas de segurança, site com uma
política de privacidade de acordo com a lei? Eu não. No escritório estamos
vendo parceiros e prestadores que estejam de acordo com a lei, pois o risco é
muito grande.
Vamos ao que diz a lei:

Art. 39. O operador deverá realizar o tratamento segundo as instruções

fornecidas pelo controlador, que verificará a observância das próprias
instruções e das normas sobre a matéria.
Art. 37. O controlador e o operador devem manter registro das operações
de tratamento de dados pessoais que realizarem, especialmente quando
baseado no legítimo interesse.
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os
demais responsáveis, na medida de sua participação no evento danoso.

Esse parágrafo quarto é a chave de tudo. Isso significa dizer que: houve
um incidente, a empresa controladora teve que pagar uma multa, indenização,
gastar com advogado em processo, enfim, teve prejuízo, pra empresa pode ter
sido enorme ou não. O gerente, CEO, chega na empresa e determina a
abertura de um processo interno para saber a origem do problema ou então
tem muito mapeado e sabe onde estão as vulnerabilidade, checou cada uma e
chegou no operador e verificou que a origem foi dele e não interno. Pronto, vai
cobrar do operador. Tem duas maneira, se tiver previsão no contrato, só envia
uma notificação com o seguinte teor.
Ilustre, operador
Após processo interno acerca do incidente envolvendo proteção de dados,
constatou-se que a origem do incidente decorreu da sua empresa.
Apresente em 48 horas, documentos e medidas de segurança que
comprovam a proteção de dados, sob pena de encerramento do contrato,
pagamento dos prejuízos, incluindo custas com advogado, perdas e danos que
a empresa teve e mais uma multa contratual de R$50.000,00 conforme
clausula 7 do contrato de prestação de serviços.
Aí você operador faz o que? Entre a multa e o que empresa gastou fecha
as postas, vende a casa e olha lá.
Patrícia, acontece isso realmente? Sim, com toda certeza. Eu inclusive já
coloquei essa clausula como advogada do controlador e briguei pra tirar em
caso de operador, se via que empresa não tinha condições de supirtar ou não
sabia nada da LGPD. Consegui? Depende do jurídico do outro lado. Tem
jurídico que não aceitou e eu cheguei na empresa e perguntei: Quanto vc quer
fechar esse contrato? O representante me disse, muito. Falei, bom, então
vamos lá. 1) Assina o contrato, mas deixa em aberto para continuar discutindo
as cláusulas da LGPD. Melhor cenário: Consigo tirar a multa, tiro do contrato e
a empresa vai precisa executar vc no judiciário. Pior cenário: não abrem mão.
Aí nesse caso, pra ontem pagar uma consultoria pra adequação da LGPD e
não qualquer uma, pq fazer trabalho ruim, o risco é igual não fazer. Ahh, mas
não tenho condições, bem, pergunto, tem fé? Então comece a praticar.
Brincadeiras que são verdades à parte, o cenário é esse, gente. Vcs estão no
jogo do mercado e jogo do mercado não tem pena de coitadinho, ah mas não
sabia, ah mas não fiz, ah mas jurídico não precisa só gasto. É mesmo é? Ah
não sabia? Então pq desceu pro play?
Continuando aqui, a lei também afirma que:
Art. 43. Os agentes de tratamento só não serão responsabilizados quando
provarem:
 I - que não realizaram o tratamento de dados pessoais que lhes é
atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que
lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de
terceiro.
Como faço pra comprovar e não ser responsabilizado? Adequação. Como
foi provar que não fiz algo que é de minha responsabilidade comprovar?
Veja, a lei fala em inversão do ônus da prova. A parte hipossuficiente
precisa provar que não fez o que está sendo alegado. É qualquer alegação? Aí
realmente fica difícil. Claro que não, vcs já entenderam na aula 1 que expliquei
do contrato social. Se não lembra, por favor, volte 2 casas antes de avançar.
Tudo precisa ter indícios. To recebendo mensagem no whats, e-mail e tenho
aqui um numero de protocolo que demonstra que não dei meu consentimento.
O controlador recebeu e falou, bom, mas quem faz a parte de marketing é uma
empresa terceira. O empresa terceira, pq ta mandando e-mail pra essa pessoa
aqui? Tu não organização? Cade a LGPD?
E pra finalizar essa parte:

Art. 44. O tratamento de dados pessoais será irregular quando deixar de

observar a legislação ou quando não fornecer a segurança que o titular dele
pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I - O modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;

Exemplo: Fui contratado para fazer uma implantação em nuvem de uma

clínica e não fiz nem um pedido do controlador. Você tem backup? Você
analisou os riscos caso aconteça um incidente?
Ah Patrícia, mas aí não trabalho. Lembra do exemplo da multa,
indenização? Pois é. E assim, pessoal, na prática não é assim. Pelo contrário,
isso mostra zelo, profissionalismo. Mostra pra empresa: Olha, pessoal lá é
cuidadoso, comentou sobre algo que não tinha pensado. Pensa na reputação
da clínica se tiver envolvida com vazamento de exames: diagnósticos? Digo
isso na prática. Empresas que estão no mercado tem uma marca a zelar.
 III - as técnicas de tratamento de dados pessoais disponíveis à época em
que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da
segurança dos dados o controlador ou o operador que, ao deixar de adotar as
medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

3) Encarregado de dados - função, nomeação e responsabilidades

O encarregado de dados, também conhecido como DPO, pela sigla Europeia é

uma nova profissão. Essa nova profissão não está regulamentada. O que isso
significa dizer: Que não tem exigência para ser DPO, ao contrário de um
profissional de TI, advogado, contador que precisa fazer uma graduação.
Exemplo de outras profissões não regulamentadas: acupunturista, terapeuta
holístico.
No entanto, a lei traz essa obrigação legal, conforme artigo 41:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de

dados pessoais.

Quem é o controlador? Já vimos na aula 1.

Ah então como não é uma profissão regulamentada, vou me auto nomear DPO
ou então oferecer pra empresa se alguém quer. Posso? Pode. É
recomendável? Não.

já fizeram acupuntura? Eu faço há muitos anos, tenho quase um

acupuntirusta particular e assim, as agulhas são enormes. Ele já aplicou na
cabeça, testa, nariz, queixo, sobrancelha, atras da orelha, pulso, perna, pé;
Imagina se não soubesse aplicar. Eu iria: obvio que não. Se quero correr riscos
que seja me divertindo e que eu escolha. Mesma regra agora, como diz no
jurisdoques, mutato mutandis, ou seja, muda a profissão e forma, mas a regra
é a mesma.

Nomear um DPO que não sabe o trabalho mesma coisa que ir no acupunturista
que não entende nada de MTC e sair de lá reclamando e falando que a MTC
não funciona ou que saiu com machucados, olho furado, pq não sabia
manusear corretamente e aplicar as agulhas.
 Agora, contratou esse profissional, vamos às regras:

§ 1º A identidade e as informações de contato do encarregado deverão

ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no
sítio eletrônico do controlador.

§ 2º As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar

esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das

práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou

estabelecidas em normas complementares.

§ 3º A autoridade nacional poderá estabelecer normas complementares

sobre a definição e as atribuições do encarregado, inclusive hipóteses de
dispensa da necessidade de sua indicação, conforme a natureza e o porte da
entidade ou o volume de operações de tratamento de dados.

Módulo V:

Titulares

Art. 9º O titular tem direito ao acesso facilitado às informações sobre o

tratamento de seus dados, que deverão ser disponibilizadas de forma clara,
adequada e ostensiva acerca de, entre outras características previstas em
regulamentação para o atendimento do princípio do livre acesso:
II - os controladores que estiverem diretamente envolvidos no tratamento
do qual decorreram danos ao titular dos dados respondem solidariamente,
salvo nos casos de exclusão previstos no art. 43 desta Lei.
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do
titular dos dados quando, a seu juízo, for verossímil a alegação, houver
hipossuficiência para fins de produção de prova ou quando a produção de
prova pelo titular resultar-lhe excessivamente onerosa.
§ 3º As ações de reparação por danos coletivos que tenham por objeto a
responsabilização nos termos do caput deste artigo podem ser exercidas
coletivamente em juízo, observado o disposto na legislação pertinente.
Art. 45. As hipóteses de violação do direito do titular no âmbito das
relações de consumo permanecem sujeitas às regras de responsabilidade
previstas na legislação pertinente.

Vamos lá, presta atenção para não perder o raciocínio:

Lembra que comecei explicando que os dados são as PF´s, certo? Usei
exemplo do carro emprestado. Pois bem, o artigo 18 da lei traz vários direitos.
Vou citar aqui:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em
relação aos dados do titular por ele tratados, a qualquer momento e mediante
requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários,
excessivos ou tratados em desconformidade com o disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante
requisição expressa, de acordo com a regulamentação da autoridade nacional,
observados os segredos comercial e industrial; (Redação dada pela Lei nº
13.853, de 2019) Vigência
VI - eliminação dos dados pessoais tratados com o consentimento do titular,
exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador
realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre
as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
A empresa precisa garantir cada um desses direitos
 § 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo
tratamento quando descumprir as obrigações da legislação de proteção de
dados ou quando não tiver seguido as instruções lícitas do controlador,
hipótese em que o operador equipara-se ao controlador, salvo nos casos de
exclusão previstos no art. 43 desta Lei;