UNIVERSIDADE DO ESTADO DE MATO GROSSO CAMPUS

UNIVERSITÁRIO DE ALTO ARAGUAIA

FACULDADE DE LETRAS CIÊNCIAS SOCIAIS E TECNOLÓGICAS
BACHARELADO EM CIÊNCIA DA COMPUTAÇÃO

UMA BREVE ANÁLISE DOS ASPECTOS E CONCEITOS DA LEI

GERAL DE PROTEÇÃO DE DADOS: ANÁLISE DE IMPACTO E
AVALIAÇÃO DE CONFORMIDADE

Discente: Aryelly Jordanna Plateira de Souza

Orientador: Prof. Me. Dárley Domingos de Almeida

Alto Araguaia – MT
Novembro de 2021
 ARYELLY JORDANNA PLATEIRA DE SOUZA

UMA BREVE ANÁLISE DOS ASPECTOS E CONCEITOS DA LEI

GERAL DE PROTEÇÃO DE DADOS: ANÁLISE DE IMPACTO E
AVALIAÇÃO DE CONFORMIDADE

Monografia apresentada ao Departamento de Computação

da Universidade do Estado de Mato Grosso, Campus
Universitário de Alto Araguaia como Trabalho de
Conclusão de Curso sob orientação do Prof. Me. Darley
Domingos de Almeida e coordenação do Prof. Me. Lucas
Kriesel Sperotto, como exigência para obtenção do grau de
Bacharel em Ciência da Computação.

Alto Araguaia – MT
Novembro de 2021
 AGRADECIMENTOS

Agradeço a toda minha família, amigos, professores e pessoas que ajudaram na

realização desse trabalho. Sou imensamente grata pela paciência e incentivo.
“Às vezes a melhor maneira de dizer algo é não dizer nada”.

Justin Timberlake
 RESUMO
Numa visão sobre acesso de dados e privacidade dos mesmos, a criação e a aplicação da Lei
Geral de Proteção de Dados - LGPD finalmente é colocada em vigor no Brasil, na forma da
lei nº 13.709/2018 (LGPD). Haja vista o panorama atual da sociedade informatizada, a LGPD
trás expectativas para a defesa dos direitos dos usuarios. O presente trabalho apresenta uma
análise da importância da privacidade na sociedade informacional, as principais
características e conceitos associados à LGPD, apresenta uma breve lista de itens a serem
averiguados para fins de verificaçãod e adequação à LGDP e também alguns exemplos de
análise de conformidade de sites institucionais com a referida lei.

Palavras-chave: Lei Geral de Proteção de Dados; proteção aos dados pessoais; direito dos
usuarios; sociedade informacional; privacidade.
 ABSTRACT
In view of data access and data privacy, the creation and application of the General Data
Protection Law is finally put into effect in Brazil, in the form of Law No. 13.709/2018
(LGPD). Given the current panorama of the computerized society, the LGPD brings
expectations for the defense of users' rights. This work presents an analysis of the importance
of privacy in the information society, the main characteristics and concepts associated with
the LGPD, presents a brief list of items to be verified for the purpose of verification and
adequacy to the LGDP, and also some examples of website compliance analysis institutional
with the aforementioned law.

Keywords: General data protection law; protection of personal data; users' rights;
informational society; privacy.
 LISTA DE FIGURAS

FIGURA 1 – BUSCA PELA PAGINA DO SENADO FEDERAL

FIGURA 2 – AUSENCIA DE INFORMAÇÃO SOBRE OS COOKIES NO SITE DO
SENADO FEDERAL
FIGURA 3 – POLITICA DE PRIVACIDADE SITE DO SENADO FEDERAL FIGURA 4 –
CAIXA DE TERMOS DE USO E POLITICAS DE PRIVACIDADE FIGURA 5 –
EXEMPLO DE LEADS 1
FIGURA 6 – EXEMPLO DE LEADS 2
FIGURA 7 – MODELOS DE LEADS: ERRADO E CERTO FIGURA 8 – CADASTRO DE
USUARIOS
FIGURA 9 – REDEFINIÇÃO DE SENHA FIGURA 10 – EXPORTAR DADOS FIGURA 11
– EXPORTAR DADOS 2
FIGURA 12 – ALTERAÇÃO DE DADOS DO USUARIO FIGURA 13 – REDEFINIÇÃO
DE DADOS DE USUARIO FIGURA 14 – REDEFINIÇÃO DE DADOS DE USUARIO 2
FIGURA 15 – ANONIMIZAÇÃO DE DADOS
FIGURA 16 – PROTEÇÃO DE DADOS FIGURA 17 – DADOS ANONIMIZADOS
FIGURA 18 – CONSENTIMENTO DE COOKIES FIGURA 19 – UTILIZAÇÃO DE
COOKIES FIGURA 20 – COMO UTILIZAR COOKIES
FIGURA 21 – POLITICAS DE PRIVACIDADE E COOKIES FIGURA 22 – COOKIES E
COMO DESABILITALOS
 8

SUMÁRIO

1 INTRODUÇÃO.........................................................................................................................9
2 SOCIEDADE INFORMACIONAL......................................................................................12
2.1 BANCO DE DADOS................................................................................................................12
2.2 O CONCEITO DE PRIVACIDADE NA ERA DIGITAL.......................................................15
3 CONSIDERAÇÕES SOBRE A LEI GERAL DE PROTEÇÃO DE DADOS
(LGPD)..............................................................................................................1
8
3.1 CENÁRIO NACIONAL E INTERNACIONAL.....................................................................18
3.2 PRINCÍPIOS E OBJETIVOS...................................................................................................19
3.3 TERMINOLOGIAS..................................................................................................................21
3.4 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS E SANÇÕES
APLICÁVEIS..........................................................................................................................22
3.5 PUBLICIDADE DIRECIONADA...........................................................................................23
4 ADEQUAÇÃO À LEI 13.709/2018..........................................................................................26
4.1 CHECKLIST DE ADEQUAÇÃO À LGPD.............................................................................30
4.2 AVALIAÇÃO DE CONFORMIDADE À LGPD....................................................................31
4.2.1 Política de Privacidade...........................................................................................................31
4.2.2 Coleta de Leads......................................................................................................................33
4.2.3 Cadastro de Usuários..............................................................................................................35
4.2.4 Redefinição de senha..............................................................................................................36
4.2.5 Visualização e exportação dos dados do usuário...................................................................36
4.2.6 Alteração de dados do usuário...............................................................................................38
4.2.7 Eliminação de dados do usuário.............................................................................................39
4.2.8 Cookies 41
5 CONCLUSÃO.......................................................................................................................44
REFERÊNCIAS BIBLIOGRÁFICAS........................................................................................45
 9

1 INTRODUÇÃO

Com a ocorrência de diversos escândalos envolvendo empresas públicas e privadas e

venda de dados digitais sensíveis, destacando os muitos escândalos de dados colhidos sem
consentimento, e até mesmo o uso desses dados por parte de partidos e organizações políticas
com a finalidade de manipular a opinião popular, surgiu a necessidade de regulamentação do
uso de dados pessoais e sua proteção e privacidade (MARTINS E TATEOKI, 2019).
Ao colocar informações pessoais na internet estas acabavam se tornando disponíveis
para o acesso por terceiros, de forma benéfica e também malefíca. Até bem pouco tempo não
havia um debate a respeito dos riscos e responsabilidades, e nem existia uma preocupação do
uso e o compartilhamento de dados pessoais ao fazer uso das redes sociais.
Embora o tema envolva a sociedade como um todo e envolva direitos fundamentais,
como o direito à privacidade, não estava sendo tratado até então como é prioridade na
solicitação de medidas, por falta de conhecimento, o que indica a possibilidade de que as
pessoas com acesso a esses dados tenham agido da forma que lhes seja conveniente.
Nesse sentido, é importante destacar que, no Brasil, não existia uma lei que
regulamentasse especificamente a coleta, o armazenamento, o consentimento de dados
pessoais, programas empresariais e governamentais, as responsabilidades dos fornecedores de
aplicativos, os direitos dos usuários e outras questões de proteção de dados.

A restrição de acesso aos dados pessoais por terceiros geralmente depende do

usuário, mas está sujeita a influências significativas da organização proprietária da
plataforma, site ou instituição para manter a segurança do detentor das informações.

Entre 2014 e 2018, a Cambridge Analytica obteve dados de perfil de usuário nas
redes sociais do Facebook nos Estados Unidos e no Reino Unido para influenciar eleitores em
campanhas políticas. As informações obtidas foram coletadas por meio de um teste de
personalidade na própria página da rede social, para que os dados pessoais das pessoas
possam ser rastreados nas páginas de que gostam e nas postagens que publicam (MARTINS e
TATEOKI, 2019).

Ao analisar o comportamento do usuário nas redes sociais, é possível direcionar

anúncios com base nas suas informações pessoais. O caso do Facebook despertou insatisfação
 10

em todo o mundo sobre a responsabilidade da organização no processamento e obtenção de

dados pessoais. A fim de melhorar a segurança das informações dos titulares de dados, a
União Europeia (UE) formulou o Regulamento Geral de Proteção de Dados (General Data
Protection Regulation, GDPR) em 2016, que era aplicável a países/regiões pertencentes à
União Europeia em 2018. (DATA PROTECCION COMISSION, 2021)

O objetivo do GDPR é fornecer às pessoas mais segurança no manuseio de dados

pessoais e estabelecer um conjunto de princípios. O GDPR afirma claramente que os titulares
dos dados têm direitos completos à informação, conferindo-lhes assim mais direitos de
controle, que são da responsabilidade das empresas. De acordo com o GDPR, proteger os
direitos básicos (como liberdade e privacidade) é um passo importante para proteger os dados
pessoais.

A partir dos princípios do GDPR, o Brasil promulgou a Lei nº 13.709, de 14 de

agosto de 2018 (DATA PROTECCION COMISSION, 2021), conhecida como Lei Geral de
Proteção de Dados Pessoais (LGPD) que visa controlar a forma como as empresas coletam e
manipulam os dados pessoais sob sua responsabilidade.

A lei foi concebida para se adaptar à era digital, em que operações com dados de
usuários devem ser realizadas considerando princípios da liberdade de informação e
privacidade sempre sob o devido consentimento do detentor das informações, serão
explicados nas paginas 15 e 16.

A Lei nº 13.709 entrou em vigor em 18 de setembro de 2020 (SENADO FEDERAL,

2021), obrigando as organizações a ajustar as regulamentações propostas antes da data
especificada. Nesse sentido, este estudo tem como objetivo descrever e compreender a
realidade da adequação da LGPD nas organizações brasileiras.
Esta pesquisa tenta responder às questões levantadas em cinco capítulos de acordo
com sua estrutura.

No primeiro capítulo, foram apresentados: a realidade da sociedade da informação e

a proteção dos dados pessoais como autonomia e direitos fundamentais.

O segundo capítulo deste trabalho visa ilustrar como os dados pessoais são utilizados
em negócios, campanhas políticas, vigilância governamental, demonstrando a urgência do
tema e seus mais diversos desenvolvimentos.
 11

O Capítulo 3 apresenta que, embora existam leis que protegem vagamente os dados
pessoais, ainda existe a necessidade da LGPD, para incluir medidas e procedimentos
destinados a proteger eficazmente os proprietários dos dados pessoais.

No quarto capitulo é mostrado a ADEQUAÇÃO À LEI 13.709/2018, assim como o

CHECKLIST DE ADEQUAÇÃO À LGPD seguido da AVALIAÇÃO DE
CONFORMIDADE À LGPD , onde são citados Política de Privacidade, Coleta de Leads,
Cadastro de Usuários, Redefinição de senha , Visualização e exportação dos dados do
usuário, Alteração de dados do usuário, Eliminação de dados do usuário Cookies.

Finallizando com a CONCLUSÃO, que traz que todos tem o direito básico à
proteção de dados na sociedade da informação.
 12

2 SOCIEDADE INFORMACIONAL

As características da sociedade informacional são a ausência de fronteiras e o

crescimento exponencial da tecnologia. Com a ajuda da Internet, as informações tornaram-se
cada vez mais democráticas, de fácil acesso e com grande circulação. Por sua vez, as relações
sociais, políticas, jurídicas e econômicas são estabelecidas a partir do conhecimento e da
informação (SAGAN, 1997)

“(...) criamos uma civilização global em que elementos cruciais -

como as comunicações, o comércio, a educação e até a instituição
democrática do voto - dependem profundamente da ciência e da
tecnologia”. (SAGAN, 1997, p. 37)

O conhecimento de hoje representa a fonte de riqueza do mercado e é uma

ferramenta para mudar a forma de pensar e agir da civilização contemporânea. Em 2017,
69,9% da população brasileira estava conectada à Internet (REGULAMENTO GERAL
SOBRE A PROTEÇÃO DE DADOS, 2021), em 2017, o setor de comércio eletrônico trouxe
47,7 bilhões de reais para a economia brasileira (REGULAMENTO GERAL SOBRE A
PROTEÇÃO DE DADOS, 2021). Esses são apenas alguns dados, que mostram que a
tecnologia não é apenas uma ferramenta importante para a conveniência dos modernos, mas
também se tornou uma importante ferramenta de socialização, discussão e mobilização
pública, principalmente para a nova geração.
Dado a velocidade das criações tecnológicas e da disseminação desenfreada das
informações, o direito não tem capacidade de acompanhar as mudanças, muitas vezes
deixando lacunas na tutela da era digital e ignorando a profunda alteração no tecido social e
econômico causado pela circulação de informações.

2.1 BANCO DE DADOS

A revolução da informação permite o armazenamento de dados com capacidade

quase ilimitada. Em resumo, funciona da seguinte maneira: é usado um programa de
computador para digitalizar e armazenar dados em nuvem, uma vez no servidor, os usuários
podem acessar os dados através da rede compartilhada, que conecta o banco de dados.
“A base de dados sendo um conjunto de informações referentes a
um determinado setor do conhecimento humano, está organizada
 13

por meio de programas de computador especialmente

desenvolvidos para esta finalidade, e é suscetível de ser utilizada em
várias aplicações” (WACHOWICZ, 2005, p.13).

Em 1886, a Convenção de Berna estipulou em seu Artigo 25 que a compilação de

obras literárias ou artísticas (como enciclopédias) constituía criação intelectual, sujeita aos
direitos do autor de cada obra de compilação. Nesse sentido, é compreensível que os direitos
autorais possam ser amplamente aplicados às bases e bancos de dados. Somente no Acordo
TRIPS de 1994, uma convenção internacional estabeleceu esse entendimento. Com efeito,
veja-se o disposto pelo art. 10.2 do Decreto nº 1.355:

“As compilações de dados ou de outro material, legíveis por

máquina ou em outra forma, que em função da seleção ou da
disposição de seu conteúdo constituam criações intelectuais, serão
protegidas como tal. Essa proteção, que não se estenderá aos dados
ou ao material em si, se dará sem prejuízo de qualquer direito
autoral subsistente nesses dados ou material” (Diário Oficial da
União: seção 1, Brasília, DF, p. 21. 394, 31 dez.1994)

A análise interdisciplinar é muito importante, para que a lei possa orientar a proteção
e gestão da base de dados de forma a otimizar o uso de instituições jurídicas adequadas.

O uso de bancos de dados remonta ao início do século 20, porém, com o advento dos
bancos de dados eletrônicos na década de 1970, essa ferramenta ganhou uma posição vital. Os
bancos de dados atualmente possuem recursos tridimensionais, incluindo registros
alfanuméricos, imagens e sons. No que diz respeito às bases de dados eletrônicas, sua
existência depende de programas de computador, e os programas de computador têm proteção
independente.

Os programas de computador permitem controlar a maneira como o banco de dados é

organizado, processado e controlado.

O surgimento da multimídia interativa dificulta a mencionada separação entre banco

de dados e proteção de programas de computador, conforme nos expõe SANTOS (2001, p.
289):

Como porém já existem programas que se tornam parte integrante

da base de dados, que é o caso dos produtos multimídia interativos,
tem sido questionado de que maneira deve ser tratado este tipo de
situação. Quernos parecer que a solução não deve ser diferente
daquela que se aplica aosdemais casos em que o programa de
computador constitui ferramenta para o desenvolvimento ou
utilização da obra. (SANTOS 2001, p. 289)
 14

Em suma, a fim de esclarecer melhor os componentes do banco de dados

relacionados à legislação (WACHOWICZ, 2005):

(i) o conteúdo em si das bases de dados;

(ii) a forma ou sistema de organizar os conteúdos e de acesso ou utilização;

(iii) o programa de computador utilizado para a criação da base de dados;

(iv) o programa de computador necessário para a consulta e a utilização da base de

dados.

Desde que cumpridos os requisitos de originalidade e criatividade, qualquer processo

que permita a sistematização, organização e gestão da base de dados pode ser aceite com
direitos de autor. No entanto, na realidade, as bases de dados mais utilizadas não podem ser
concluídas com sucesso e nem mesmo estão interessadas em construir obras protegidas por
direitos de propriedade intelectual. Novamente, conforme nos elucida SANTOS (2001,
p.291):

(...) a funcionalidade da base de dados limita sua forma de

expressão, no que se refere à estrutura interna. Por esse motivo,
muitas das bases de dados apresenta- se com bastante simplicidade
enquanto forma de expressão, o que lhes tira o caráter de criação
intelectual e as priva da proteção autoral. (SANTOS 2001, p.291)

Ao fim, o usuário da base de dados é o consumidor, a pessoa física ou jurídica que

adquire e ou usufrui da criação.

É inegável que a revolução tecnológica não só facilita a coleta e o processamento de

dados, mas também é imprescindível em todos os ramos, seja para fins comerciais e
empresariais, seja para fins de educação, pesquisa e lazer.

A disseminação do uso de computadores fez com que, nos dias

atuais, não somente as agências governamentais que
tradicionalmente coletavam dados pessoais, a exemplo dos
Correios, os Departamentos de Trânsito e as repartições do Fisco,
funcionassem como poderosos centros de processamento de
informações pessoais, mas também todas as empresas privadas hoje
adquiriram os meios para coletar, manipular, armazenar e transmitir
dados de uma forma simples e a um custo relativamente baixo.
(DEMÓCRITO 2002, p.26)

Assim, à medida que mais e mais sujeitos se inserem nas relações jurídicas e têm direito
 15

ao acesso a informações sensíveis de terceiros, a autonomia e os direitos de uso dos titulares

se alteram, sendo necessários novos métodos de tratamento e controle dos dados pessoais.
gratuitamente.

2.2 O CONCEITO DE PRIVACIDADE NA ERA DIGITAL

A privacidade, o "direito de estar sozinho" na legislação americana, consolidou-se

nos Estados modernos e está intimamente ligada aos indivíduos. No que diz respeito à lei, é
importante proteger a inviolabilidade da residência do sujeito e seus bens e propriedades. Por
outro lado, no século XX, os conceitos de privacidade e liberdade foram inspirados nos
direitos constitucionais europeus da personalidade, a preocupação com a intimidade da vida
privada. Além de proteger contra a arbitrariedade da imprensa e da indústria editorial buscada
no século 19, a meta do século seguinte é enfrentar a proteção do Estado e da própria
sociedade. É importante notar que a proteção da privacidade sempre foi focada na
individualidade e está se movendo na direção de proteger a existência e a existência livre do
estilo de vida do sujeito.

Os fatos comprovam que a relação íntima da vida privada sofreu profundas

mudanças com o desenvolvimento da tecnologia e não pode ser observada e explicada da
mesma forma que nos últimos séculos. A sociedade da informação permite a autonomia
individual e certo controle sobre o acesso e divulgação de dados sobre sua vida pessoal, bem
como a liberdade de expressão diante das novas comunicações. Nesse sentido, o espaço e as
barreiras físicas que antes definiam o espaço entre a vida privada e a pública, deixaram de ser
tão fortes na sociedade da informação, alterando profundamente a percepção das pessoas
sobre privacidade e intimidade. No auge do direito brasileiro, estipula-se o direito à
privacidade no rol dos direitos básicos, segundo Constituição Brasileira:

“são invioláveis a intimidade, a vida privada, a honra e a imagem

das pessoas, assegurado o direito a indenização pelo dano material
ou moral decorrente de sua violação.”

A interpretação jurídica desses regulamentos não é suficiente para entender a

sociedade atual. Além da facilidade de acesso e aquisição de dados por terceiros, o fato é que
o principal órgão da sociedade da informação não enxerga seu próprio conceito de
privacidade como há décadas. O uso da comunicação, expressão pessoal e integração social
online (como as redes sociais), ainda que de forma voluntária, divulga conteúdos e
 16

informações pessoais de forma inédita.

O direito à privacidade na era da informação deve ser definido pelo

direito do sujeito de manter o controle sobre as informações em si.
Nesse sentido, dado que os indivíduos têm novos poderes para
processar dados, as escolhas pessoais são valiosas (RODOTÁ,
2008, p. 92).

Ao mesmo tempo, verificamos que o controle do indivíduo sobre a informação foi

fortalecido em vez do controle social anteriormente imposto a ele. Ao mesmo tempo,
verificamos o risco de ameaças cibernéticas graves. Neste momento, a lei deve entrar em ação
para proteger a privacidade do indivíduo. Podemos sugerir dois fatores principais que
enfraquecem os direitos básicos de privacidade:
I. O confronto com os mecanismos de segurança e vigilância oferecidos pela era
tecnológica. A retenção de dados e informações pessoais de maneira indiscriminada é
realizada em prol da fiscalização e vigilância, a coleta de dados dos cidadãos feita pelo
próprio Estado.

II. Detrimento da privacidade em prol do mercado, livre iniciativa e

concorrência. Ocorre não somente a coleta de dados de maneira avassaladora pelasempresas,
mas como também a distribuição, venda, e tratamento de dados pessoais para prospecção de
clientes, direcionamento de publicidade e propaganda, desenvolvimento da persona, entre
outras técnicas comerciais.

RODOTÁ (2008) apresenta uma reflexão importante, onde determina que o direito à
proteção de dados está relacionado aos direitos da personalidade, não à propriedade. Isso
ocorre porque a propriedade está diretamente relacionada a fins econômicos e, na opinião do
autor, dados pessoais sensíveis não têm nada a ver com fins comerciais, ou pelo menos não
deveriam estar relacionados a fins comerciais. Na cultura de marketing de processamento de
dados, as informações pessoais não são mais um elemento sensível gerado pelo indivíduo,
mas são processadas por uma série de algoritmos até que o objetivo da empresa seja
alcançado.

Um aspecto importante da Constituição brasileira é que várias áreas de proteção

podem ser usadas para proteger o sujeito da intervenção indevida do Estado, como o princípio
da proporcionalidade, o princípio da liberdade e, principalmente, o princípio da dignidade
humana, que ajuda a controlar a eficácia e o princípio da privacidade.

Conforme ensina MENDES (2015, p.283 a 294), como todo princípio básico, o
princípio da privacidade tem suas limitações, uma vez que a vida social, o interesse coletivo e
 17

o interesse público são naturalmente observados. Neste estudo, as restrições mais relevantes
para o assunto (ou seja, restrições à privacidade com consentimento individual e à privacidade
e confidencialidade das comunicações) serão restringidas.

Ainda, nas lições de MENDES (2015), de acordo com as observações, os direitos

fundamentais não precisam ser necessariamente abandonados por completo, mas a

autolimitação diminuiu e a dignidade humana é sempre mantida em certas circunstâncias. Em

situações em que os indivíduos renunciam expressamente ao seu direito à privacidade (como
postar fotos em redes sociais em exemplos diários), não há violação dos princípios de
privacidade. Os problemas surgem quando lidamos com isenções padrão, caso em que nem
sempre é possível verificar o consentimento do indivíduo. Nessas circunstâncias, as
limitações do conteúdo das notícias e da mídia e as discussões e disputas sobre interferir na
vida privada para o interesse público não devem ser confundidas com o interesse público. O
jurista explicou que, no conflito entre privacidade e liberdade de informação, deve-se prestar
atenção à aplicabilidade das notícias aos legítimos direitos e interesses do público, e: “deve
ser aferido, ainda, em cada caso, se o interesse público sobreleva a dor íntima que o informe
provocará.”

Nos setores público e privado, é responsabilidade da lei fornecer mais ferramentas de

controle e estabelecer restrições morais para efetivamente controlar os indivíduos por meio do
processamento de informações pessoais, beneficiando assim a privacidade. E privacidade:
suas propriedades derivadas são adequadas para a era digital.
 18

3 CONSIDERAÇÕES SOBRE A LEI GERAL DE PROTEÇÃO DE

DADOS (LGPD)

Tendo em vista o pleno desenvolvimento da utilização de dados pessoais divulgado

no tópico anterior, não é surpreendente que a tendência do sistema jurídico de criar regras
autônomas para proteger esta matéria tenha conduzido ao desenvolvimento da proteção dos
direitos básicos de dados.

3.1 CENÁRIO NACIONAL E INTERNACIONAL

Na Europa, o tema da proteção de dados está mais desenvolvido, vários países

europeus formularam normas sobre o assunto já nas décadas de 1970 e 1980, com foco no
princípio da dignidade humana. No Brasil foram integrados outros princípios relevantes,
princípios esses que foram efetivamente aplicados na formulação da Lei Geral de Proteção
de Dados do Brasil, são eles (MINISTÉRIO DA CIDADANIA):

Finalidade: a realização do tratamento deve ocorrer para propósitos legítimos,

específicos, explícitos e informados ao (à) titular, sem possibilidade de tratamento posterior
de forma incompatível com essas finalidades;

Adequação: a compatibilidade do tratamento deve ocorrer conforme as finalidades

informadas ao(à) titular, de acordo com o contexto do tratamento;

Necessidade: o tratamento deve se limitar à realização de suas finalidades, com

abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades
do tratamento de dados;

Livre acesso: é a garantia dada aos(às) titulares de consulta livre, de forma facilitada
e gratuita, à forma e à duração do tratamento, bem como à integralidade de seus dados
pessoais;

Qualidade dos dados: é a garantia dada aos(às) titulares de exatidão, clareza,

relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da
finalidade de seu tratamento;

Transparência: é a garantia dada aos(às) titulares de que terão informações claras,

 19

precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de

tratamento, observados os segredos comercial e industrial;

Segurança: trata-se da utilização de medidas técnicas e administrativas qualificadas

para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou difusão;

Prevenção: compreende a adoção de medidas para prevenir a ocorrência de danos

por causa do tratamento de dados pessoais;

Não discriminação: sustenta que o tratamento dos dados não pode ser realizado para
fins discriminatórios, ilícitos ou abusivos;

Responsabilização e prestação de contas: demonstração, pelo Controlador ou pelo

Operador, de todas as medidas eficazes e capazes de comprovar o cumprimento da lei e a
eficácia das medidas aplicadas.

Vale ressaltar que o Brasil é signatário de alguns acordos internacionais, embora

esses acordos internacionais tenham discutido a proteção de dados pessoais, como a
Convenção de Berna de 1886 e o Acordo sobre Direitos de Propriedade Intelectual
Relacionados ao Comércio (TRIPS). Da mesma forma, algumas leis nacionais do país
também fizeram breves disposições sobre o assunto, como a Lei de Proteção ao Consumidor
(Artigo 43), o Marco Civil da Internet (art. 7º e 11º) e o Decreto sobre Comércio Eletrônico
(art. 4º).

Igualmente, o Brasil há muito anseia pela entrada na Organização para a Cooperação

e Desenvolvimento Econômico (OCDE), manifestando o interesse em 2017, buscando se
juntar a mais 36 países, como objetivo de desenvolver uma cooperação internacional para
incrementar os investimentos e demais práticas de colaboração cosmopolita. Um dos fatores
que levaram à promulgação da LGPD brasileira de forma tão veloz é sem dúvida essa
motivação política, uma vez que possuir uma lei específica de proteção de dados pessoais é
um dos requisitos para os membros da OCDE. Um dos fatores que levaram ao
estabelecimento da LGPD no Brasil tão rapidamente é, sem dúvida, essa motivação política,
pois o estabelecimento de uma lei específica de proteção de dados pessoais é uma das
exigências dos estados membros da OCDE.
Aprovado o projeto, a Lei 13.709 / 2018 foi vetada por diversos presidentes, sendo o
mais grave deles o direito de veto nos arts. 55, que previa a criação da Agência Nacional de
 20

Proteção de Dados (ANPD), porem a lei não foi vetada, foram feitos a artigos e itens do
projeto de lei. A falta de fiscalização por parte das autoridades nacionais não só dificultará a
implementação técnica da lei, mas também onerará outros órgãos (como o Ministério
Público), e não colocará o Brasil e o GRPD da UE no mesmo nível. Impedir a entrada na
OCDE. Felizmente a Lei 13.853/2019 alterou a Lei 13.709/2018, sendo uma das mudanças, a
redação do art. 55A, efetivamente criou a Agência Nacional de Proteção de Dados, mas
limitou qualquer aumento nos custos necessários para seu surgimento e operação.

No art. 1º é definido o objeto da Lei 13.709/2018, qual seja o objetivo desta lei é
proteger a individualidade. As pessoas jurídicas processam dados pessoais, inclusive os meios
digitais, de acordo com as leis públicas ou privadas, com o objetivo de proteger a liberdade,
privacidade e liberdade desenvolvimento. Parece que a lei protegerá apenas as pessoas
singulares e as regras LGPD são do interesse público nacional.

A jurisdição extraterritorial da LGPD é aquela em que, no que diz respeito à sua

aplicação, o tratamento ou a coleta de dados ocorrem apenas no território do país, ou as
atividades de tratamento têm por objetivo o fornecimento ou a prestação de bens ou serviços
localizados no território do país. Possuir uma empresa que coleta dados de pessoas no Brasil
(mesmo que haja uma empresa internacional) também estará sujeito aos termos do LGPD.

3.2 PRINCÍPIOS E OBJETIVOS

Refletindo a integração da proteção de dados na Europa, o LGPD do Brasil se

concentrará nos princípios e fundamentos a serem seguidos na aplicação e interpretação de
equipamentos como um guia.

O art. 2º da LGPD apresenta um rol de fundamentos, incluindo:

“I - o respeito à privacidade; II - a autodeterminação informativa;

III - a liberdade de expressão, de informação, de comunicação e de
opinião; IV - a inviolabilidade da intimidade, da honra e da
imagem; V - o desenvolvimento econômico e tecnológico e a
inovação; VI - a livre iniciativa, a livre concorrência e a defesa do
consumidor; e VII - os direitos humanos, o livre desenvolvimento
da personalidade, a dignidade e o exercício da cidadania pelas
pessoas naturais.”

Esses princípios básicos constituem a base ampla e geral para a interpretação de

todas as disposições da lei e para a proteção da relação com os direitos fundamentais da
Constituição Federal.
 21

Igualmente, o art. 6º da Lei elenca os princípios a serem observados no tratamento de

dados, prevendo em seu caput que o princípio da boa-fé deverá ser considerado
concomitantemente. Os princípios para os fins da LGPD são: I - finalidade; II - adequação; III
- necessidade; IV - livre acesso; V - qualidade dos dados; VI - transparência; VII - segurança;
VIII - prevenção; IX - não discriminação; X- responsabilização e prestação de contas.

Além disso, no art. 7º da LGPD, são previstos os requisitos para que possa- se
realizar o tratamento dos dados pessoais. Observe que o principal conteúdo a ser observado é
o consentimento do titular. Sem o consentimento do títular, nenhum dado pessoal pode ser
processado, coletado ou fornecido, a menos que haja disposições especiais nas cláusulas
acima. A LGPD não considera a coleta de dados para fins privados e não econômicos.
Deve-se notar que o consentimento do titular não significa que os dados podem ser
processados indefinidamente. A LGPD estipula que em caso de perda de finalidade, o mesmo
se dê no final do prazo prescrito e no final do tratamento por decisão da autoridade nacional
competente ou mesmo a retirada do consentimento do titular.

Como já foi dito, a LGPD valerá tanto para o setor privado como para o setor
público. Aqui podemos verificar o conflito de dois princípios: o titular precisa obter
consentimento no tratamento e coleta de seus dados pessoais (privacidade), e Transparência
do poder público, que deve garantir a divulgação de informação relevante (publicidade) aos
cidadãos. A importância da transparência da informação e de um estado de direito social
democrático também deve respeitar a privacidade do sujeito, e as duas características devem
coexistir a fim de excluir qualquer totalitarismo estatal. Exceto pelas leis do Artigo 4 da
LGPD, é aplicável apenas às leis aplicáveis para fins de segurança pública, defesa nacional,
segurança nacional ou investigação e atividades criminosas. No entanto, esta exceção não
pode ser usada como uma razão para estabelecer um estado de vigilância contínua.

Pode-se concluir do conteúdo acima que é impossível usar apenas um princípio em

detrimento de outro princípio, mas avaliá-los para garantir a proporcionalidade, nos
excepcionais ensinamentos do jurista alemão Robert Alexy.

3.3 TERMINOLOGIAS

Para interpretar corretamente, também é importante entender a terminologia utilizada

 22

pela LGPD, e a própria norma garante essa interpretação, em seu art. 5º. O legislador
preocupou-se em simplificar as explicações dos termos para facilitar a verificação dos
elementos a serem analisados, retirando os significados demasiadamente técnicos e
informáticos que não interessam para fins de aplicação da LGPD. Espelhando-se no GRPD da
UE, a Lei 13.709/2018, também faz uma separação entre dados pessoais e dados pessoais
sensíveis:

“Art. 5º Para os fins desta Lei, considera-se: I - dado pessoal:

informação relacionada a pessoa natural identificada ou
identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou

étnica, convicção religiosa, opinião política, filiação a sindicato ou
a organização de caráter religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado genético ou biométrico,
quando vinculado a uma pessoa natural;”

Ao lidar com dados pessoais confidenciais, deve-se ser extremamente cauteloso, pois
são dados mais privados para o titular. Portanto, é compreensível que, ao lidar com dados
confidenciais, o princípio da privacidade seja enfraquecido. Em vista disso, os legisladores
são tecnicamente cuidadosos em separar as premissas usadas para processar dados sensíveis
de outras premissas.
Nas práticas de marketing, os dados pessoais confidenciais são essenciais para obter
lucro, direcionar publicidade e conduzir comportamento abusivo. Suponha que uma empresa
colete dados sensíveis e venda o acesso ao banco de dados para outra empresa, que, por sua
vez, pode verificar a saúde dos indivíduos e passar a direcioná-los para planos de saúde e
medicamentos. Mais seriamente, suponha que a empresa tenha acessado os dados
confidenciais de uma determinada pessoa, constatado que ela sofre dessa doença grave e fatal
e ofereça tratamento a preços e condições abomináveis. Na atual economia da informação,
esse tipo de cadeia é extremamente comum, o que acaba fragilizando a autonomia e a
liberdade dos

consumidores, bem como a privacidade do sujeito.

Outra diferença importante feita pelo LGPD é a aparência dos processadores e

controladores, o RGPD não usa essa classificação. Ambas as figuras são responsáveis pelo
processamento de dados, mas as características do responsável pelo tratamento são a pessoa
responsável pela tomada de decisões, a pessoa responsável pela proteção de dados e pelo
fornecimento de informações aos escritórios nacionais e aos principais usuários. O
 23

controlador também será responsável por fornecer relatórios sobre o impacto da proteção de
dados pessoais exigida por lei. Além disso, se a evidência do consentimento do usuário for
necessária para processar os dados, a responsabilidade será do controlador.

3.4 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS E

SANÇÕES APLICÁVEIS

Com a promulgação da LGPD, foi criada a Autoridade Nacional de Proteção de

Dados (ANPD), tendo sua competência estabelecida pelo art. 55-J, Suas principais funções
são fazer cumprir as leis com entusiasmo, conduzir fiscalizações, comunicar-se com os
controladores e formular sanções em caso de não conformidade.

A ANPD ainda não tem autonomia, pois está vinculada à Presidência da República,
tem mandato de dois anos, podendo ser transformada em órgão administrativo indireto na
forma de Autarquia. A agência será composta pelo conselho de administração, corregedoria,
Ombudsman (Pessoa encarregada de criticar as publicações e respondelas), assessoria
jurídica, os departamentos necessários à LGPD e o comitê nacional.

Se bem utilizado, este último pode ser um importante meio de democratização do

direito, pois tem a função de cooperar com a sociedade para divulgar informações sobre a
implementação de ações afirmativas. Com esse objetivo, você aprende muito com as
instituições do GDPR, que são independentes e têm como objetivo controlar a aplicação da
lei, fornecer informações de forma bastante clara e educar o público.

A aplicação das sanções e penalidades pela ANPD deverão levar em consideração os

parâmetros fixados em lei (art. 52º, §1º) sendo aplicada multa de até 50.000.000,00 reais (50
milhões de reais) a partir da advertência. Vale ressaltar que a empresa deve levar a sério o
compliance da LGPD e sempre estar atenta aos seus princípios norteadores, caso contrário,
corre o risco de severas penalidades.

Por fim, cabe ressaltar que para que a ANPD funcione de forma eficiente e coesa, é
necessário formar a equipe de forma multidisciplinar e possuir conhecimentos técnicos,
jurídicos e sociais para a proteção dos dados pessoais.

3.5 PUBLICIDADE DIRECIONADA

 24

Para fins da LGPD, os titulares de dados pessoais são considerados consumidores.

Nas palavras de Cláudia Lima Marques, o consumidor do CDC tem um conceito amplo,
mesmo que não considere o produto ou serviço como o destinatário final, atingiu o
comportamento ilegal antes do contrato e defendeu a comunidade dos acidentes de consumo.

Para defender os direitos básicos dos titulares, esse fator é imperativo. Isso porque os
usuários do ciberespaço estão munidos de uma nova forma de vulnerabilidade, pois pode se
mover livremente em um ambiente extremamente volátil e rápido, e enfrenta os riscos
inerentes à desumanidade e intangibilidade do ambiente digital. Assim como o conceito de
privacidade deve absorver novas explicações, em face da era do computador, a definição de
consumidor e de boa-fé também precisa de um novo filtro.

Potencializa-se a vulnerabilidade do consumidor na internet e outros meios digitais,

na medida em que estão expostos a riscos que não tem conhecimento, que lhe estão sendo
ocultados, e pela velocidade e facilidade os quais a relação de consumo pode ser consumada.
A título de exemplo podemos citar a simples conferência da opção “Li e Aceito os Termos”
em determinada plataforma, para o consumidor anuir que de fato teve acesso, leu e concorda
com todas as condições às quais está se sujeitando em determinada relação de consumo; ou a
utilização abusiva e escondida de cookies realizadas para melhorar o desempenho de sites na
web; ou a técnica de clickstream. Pertinente, nesse sentido, a observação de PINHEIRO
(2018,
P. 30): “a informação passou a ser a principal moeda de troca utilizada pelos usuários para ter
acesso a determinados bens, serviços ou conveniências.”
Nesse sentido, as redes sociais têm se tornado um dos principais meios de interação
social atual, não só permitindo, mas incentivando a divulgação de informações pessoais, e
outros usuários podem acessar essas informações. Portanto, em comparação com a
confidencialidade em sentido estrito, existem mais preocupações potenciais sobre o controle e
a liberdade de informações pessoais e dados pessoais.
Entre outros motivos, essas informações são utilizadas para avaliar o perfil de
consumo e as preferências de cada usuário. Por exemplo, o Google Analytics possibilita
rastrear toda a

rota de um determinado usuário consumidor na Internet, incluindo informações sobre sua

localização geográfica e o conteúdo de suas pesquisas nos motores de busca. Por meio dessas
referências, os fornecedores podem criar anúncios com base nos dados pessoais de cada
 25

consumidor na Internet.

Explica-se: a sociedade informacional levou a um desenvolvimento da eficiência do

marketing e publicidade. Os anúncios em jornais, televisão, revistas, entre outros, direcionado
ao público geral não geram uma taxa de conversão tão alta para os fornecedores, uma vez que
não se tem uma estatística da quantidade de consumidores predispostos a obtenção do serviço
ou produto. Havendo oconhecimento do perfil de um público específico, se poupam recursos
e se incrementa a captação de clientes. Podemos utilizar do conceito de BIONI (2018):

(...)publicidade direcionada é uma prática que procura personalizar, ainda que parcialmente, tal comunicação
social, correlacionando-a a um determinado fator que incrementa a possibilidade de êxito da indução ao
consumo. (BIONI, 2018, p.15)

Na publicidade direcionada, ainda podemos encontrar algumas tecnologias, como a

publicidade contextual, que usa observações do ambiente do usuário para determinar qual
publicidade tem mais probabilidade de aparecer, ou como a publicidade comportamental
online pode ser entregue de forma mais agressiva, porque pode ser capaz de resumir os dados
pessoais de cada consumidor.

Mais uma vez, tomemos o Google como exemplo, é de longe a ferramenta de busca
mais usada pelos brasileiros. Através do Google Ads, que é o segmento da empresa que mais
representa lucro, é possível direcionar as publicidades e anúncios de acordo com as palavras
que o usuário utilizou em sua busca.

A complexidade dessas relações formou uma rede de entrega de informações que se

estende além do escopo de consumidores/ fornecedores numa verdadeira “terceirizaçãoda
comercialização” (BIONI , 2017):
Elas conectam milhares de aplicações, como websites que exibem
(publishers) publicidade aos fornecedores, que querem anunciar
(advertisers) um bem de consumo. Os veiculadores (publishers)
associam- se a tais redes, terceirizando a venda, total ou
parcialmente, dos seusespaços publicitários. Assim, mediante tais
acordos, um anunciante(advertisers) poderá capilarizar a promoção
de seu produto por todos os publishers dessa rede, em vez de fazê-
lo, isoladamente, apenas em uma determinada aplicação.
 26

Neste sentido, a procura e armazenamento de informação é efetuado de forma

arbitrária, irrestrita e intrusiva, com o objectivo de recolher o máximo de dados para
distribuição, venda e revenda a outras empresas, criando assim a posse de dados pessoais
privados Rede de participantes. Processado por um terceiro.

Se considerarmos o objetivo de criar um perfil para cada usuário, esta situação

certamente se tornará mais perigosa. O exemplo mais importante que podemos encontrar é a
eleição dos EUA de 2016 (SAMPAIO , 2017), a empresa britânica Cambridge Analytica
processou os dados e algoritmos da rede social Facebook para direcionar mensagens e
anúncios, apoiando assim o então candidato Donald Trump assim como a coleta de dados
hoje em dia, que presta um serviço, uma aplicação “gratuita” da plataforma, que na realidade
se destina a recolher dados pessoais dos utilizadores.

Portanto, não existem apenas questões sobre privacidade e publicidade abusiva, mas
também questões sobre riscos morais e de controle social. Um dos principais eixos da
economia baseia-se no monitoramento dos dados do consumidor, que por sua vez ganha
qualidade dos produtos de capital, fragilizando a privacidade dos sujeitos na era da
informação.

Para tanto, é necessário estabelecer restrições para devolver ao usuário o controle do

processamento dos dados e do fluxo de informações acima mencionados, dever que a “Lei de
Proteção de Dados” deve cumprir. Pode-se presumir que quando um usuário aceita os termos
e condições, ao simplesmente "clicar", ele estará sujeito a todas as condições estipuladas,
assim como acontece na assinatura de um negócio jurídico tradicional? A publicidade
direcionada viola a liberdade de escolha do consumidor? Para defender os princípios
constitucionais e os direitos do consumidor, essas e muitas outras questões precisam ser
levantadas.
Destarte, na aplicação da LGPD, para fins de responsabilização, evidentemente haverá
desafios na verificação e identificação dos atores envolvidos no fluxo informacional
mencionado.
 27

4 ADEQUAÇÃO À LEI 13.709/2018

Com a LGPD já vigorada, as empresas vão levar um tempo para se adequarem as

conformidades legais.

Deve-se ressaltar que algumas medidas básicas precisarão ser tomadas, como métodos
para realizar o anonimato dos dados, criptografia de segurança e definição do pessoal de
proteção de dados. A empresa não deve apenas fazer ajustes para evitar punições, mas
também atrair parcerias internacionais e desenvolver a economia.

Considerando todos os aspectos técnicos, o fator humano não pode ser ignorado,
afinal, procedimentos de segurança devem ser adotados nos processos internos da empresa
para garantir que todo o pessoal envolvido na cadeia de processamento de dados compreenda
as regras e medidas de segurança. Em outras palavras, a mudança precisará atingir o nível da
cultura corporativa.

Claro, como as empresas (principalmente as startups) devem fazer investimentos

financeiros e estratégicos, esses ajustes serão um desafio. Para empresas que armazenaram
dados, será hora de investigar os dados e fazê-los cumprir os requisitos LGPD, analisar sua
finalidade, tornar anônimos e classificar dados pessoais e dados pessoais confidenciais e
verificar se há uma identidade do proprietário do consentimento, e reveja toda a política de
privacidade, incluindo a verificação da conformidade das empresas parceiras de coleta e
processamento de dados.

Além da empresa, o poder público também deve se preparar para a LGPD, tanto para
criar a ANPD quanto para preparar os controladores dos dados que possui em seu campo.

Nesse sentido, o Instituto de Tecnologia e Sociedade do Rio, colaborou com a

elaboração de um relatório, reunindo os principais pontos os quais o setorpúblico deverá
observar no tratamento de dados pessoais, destacam-se resumidamente:

a) Quais as possibilidades de utilização de dados pessoais pela Administração Pública, como

por exemplo, em contratos firmados com fornecedores ou concessões públicas ou em tutela
da saúde por hospitais públicos;

b) Quais as possibilidades de utilização de dados pessoais sensíveis pela Administração

 28

Pública;

c) Em relação aos órgãos de pesquisa;

d) Indicação dos órgãos de um encarregado;

e) Comunicação de Incidentes de segurança;

f) Verificação de finalidade e interesse público;

g)Vedação de transferência de dados pessoais para entidades privadas, salvo exceções

excepcionais;
h) Adaptação de bancos de dados.

Para melhor entendimento ROCHA (2019), lista oito intens essenciais que devem
existir para a conformidade das organizações, apresentados abaixo:

1. Estabelecer uma estrutura de prestação de contas e governança

A conformidade com a LGPD exige o suporte da Alta Gestão. Portanto, é essencial
que a diretoria entenda as implicações da Lei – tanto positivas quanto negativas – para
garantir os recursos necessários para alcançar e manter a conformidade.
O que fazer:
• Apresentar à Alta Gestão os riscos e oportunidades da LGPD.
• Obter suporte de gerenciamento para um projeto de conformidade com a
LGPD.
• Atribuir a responsabilidade pela LGPD a uma pessoa da Diretoria.
• Incorporar o risco de proteção de dados na estrutura de gerenciamento de
riscos corporativos e controles interno.

2. Escopo e planejamento do projeto

Neste passo você precisará descobrir quais áreas de sua organização se enquadram no
escopo da LGPD e considerar quais processos existentes podem ser afetados, auxiliando em
seus esforços de conformidade.
O que fazer:
• Nomear e capacitar um gerente de projeto e indicar/nomear um Encarregado de
Dados ,se necessário.
 29

• Identificar quais entidades estarão no escopo: unidades de negócios, filiais,

terceirizados, localidades, etc.
• Identificar padrões ou sistemas de gerenciamento que possam fornecer uma
estrutura para conformidade. Por exemplo: a ISO 27001 demonstra atendimento às melhores
práticas de gerenciamento de segurança da informação e proteção de dados.
• Avalie o princípio da proteção de dados incorporado e, por padrão, em relação
a processos e sistemas, atuais ou novos.
• Considere as implicações de regras e Leis anteriores à LGPD/GDPR, no seu
planejamento.

3. Realizar um inventário de dados e uma auditoria de fluxo de dados

É impossível cumprir os requisitos de processamento de dados da LGPD/GDPR, se
você não entender completamente quais dados processa e como você os processa.
O que fazer:
• Avalie as categorias de dados mantidos, a origem e a base legal para o
processamento.
• Mapeie os fluxos de dados de, para, através e da própria organização.
• Use o mapa de dados para identificar os riscos em suas atividades de
processamento de dados, indicando se um DPIA (análise de impacto na proteção de dados) é
necessário.
• Criar a documentação do Artigo 30 – o registro de atividades de processamento
de dados pessoais, com base na auditoria do fluxo de dados e da análise do inventário.

4. Realize uma análise detalhada de brechas

A abordagem sensata da conformidade estabelece o que você ainda não faz – avaliar
seus fluxos de trabalho, processos e procedimentos atuais – para identificar as lacunas que
você precisa preencher.
O que fazer:
• Auditar sua posição de conformidade atual em relação aos requisitos da LGPD/
GDPR.
• Identificar as lacunas de conformidade que exigem correção.

5. Desenvolver políticas, procedimentos e processos operacionais

Fornecemos uma avaliação no local de suas práticas de gerenciamento de
 30

privacidade e processamento de dados, produzindo um relatório resumido das suas lacunas de

conformidade e fornecendo recomendações de correção.

O que fazer:
• Garantir que as políticas de proteção de dados e os avisos de privacidade
estejam alinhados com a LGPD/GDPR.
• Sempre que precisar de consentimento, assegurar que atenda aos requisitos
da LGPD/GDPR.
• Revise os contratos de funcionários, clientes e fornecedores e atualize, se necessário.
• Planejar como reconhecer e lidar com as solicitações de acesso de sujeitos
dos dados, fornecendo respostas dentro do prazo estipulado.
• Tenha um processo para determinar se é necessária Análise de Impacto de
Privacidade.
• Analise se os mecanismos para transferências externas de dados são
compatíveis com a proteção interna.

6. Proteger os dados pessoais através de medidas processuais e técnicas

A LGPD/GDPR exige que as organizações implementem “medidas técnicas e
organizacionais apropriadas” para garantir que os dados pessoais sejam processados
apropriadamente.
O que fazer:
• Ter uma política de segurança da informação em vigor.
• Ter uma política de privacidade em vigor.
• Praticar controles técnicos básicos, como os especificados por estruturas
estabelecidas como o Cyber Essentials.
• Usar criptografia e /ou anonimizacão e /ou pseudonimização, quando apropriado.
• Garantir que políticas e procedimentos sejam implementados para detectar,
relatar, investigar e responder a violações de dados pessoais.

7. Comunicações
Manter sua conformidade com a LGPD/GDPR depende muito de sua equipe
entender corretamente o que deve fazer e por quê. Todos os envolvidos no processamento de
dados devem ser adequadamente capacitados e treinados para seguir processos e
procedimentos definidos.
 31

O que fazer:
• A conformidade com o LGPD/GDPR é um projeto de mudança de negócios –
comunicações internas eficazes com as partes interessadas e a equipe são essenciais.

• Os funcionários precisam entender a importância da proteção de dados e serem

treinados nos princípios básicos de LGPD/GDPR e nos procedimentos que estão sendo
implementados para garantir a conformidade.

8. Monitorar e auditar a conformidade

A conformidade com o GDPR é um projeto dinâmico – realizando uma jornada em
vez de buscar um destino. Você deve executar auditorias internas periódicas e atualizar seus
processos de proteção de dados, incluindo a verificação de seus registros de atividades de
processamento (logs), mecanismos de consentimento, testes de controles de segurança de
informações e a realização de Análises de Impacto na Privacidade (PIAs).
O que fazer:
*Agendar auditorias regulares de atividades de processamento de dados e controles de
segurança.
*Manter registros do processamento de dados pessoais atualizados.
*Empreender DPIAs e PIAs, quando necessário.

4.1 CHECKLIST DE ADEQUAÇÃO À LGPD

A partir da análise das orientações apresentadas por ASSE (2020) em seu manual
criado para que os desenvolvedores de sites e aplicativos tenham uma forma prática para
verificar a adequação dos seus sites e aplicativos à LGPD, apresentamos a seguir uma lista de
itens a serem verificados em uma avaliação de confirmidade à LGPD:

1. O termo Politica de Privacidade do site ou aplicativo, e este informa além da

finalidade para aquisição dos dados pessoais, também o modo como serão usados, e,
principalmente, todos serviços terceiros com os quais os dados do usuário serão
compartilhados?

2. Para o caso de coleta de leads (dados de usuários que são considerados

consumidores em potencial de um produto ou serviço), é oferecida opção de consentimento
(através de checkbox, por exemplo) do usuário para coleta dessas dados ?
 32

3. Todos os formulários de coleta de dados pessoais do usuário estão com as

devidas explicações das finalidades de cada dado coletado, e com o mínimo possível de
solicitações de dados pessoais?

4. No cadastro de usuário, é implementada exigência de senha forte?

5. É disponibilizada página de visualização dos dados de usuário contidos/armazenados no

site, sendo oferecidas opções para alterar os dados, alterar senha, exportar os dados e
solicitar remoção dos dados?

6. É solicitado ao usuário consentimento para o uso de Cookies (pequenos

arquivos de texto onde é registrada a identidade do usuário para o navegador, armazenando
dados de navegação como preferências, localização e frequência de cliques) ?

7. Caso seja realizado uso de cookies de terceiros, existe algum procedimento que
possibilite ativar os cookies somente após consentimento?

8. O módulo de pagamento, caso exista,, apresenta informações sobre como os

dados de cartão e dados bancários são armazenados e tokenizados?

9. Caso haja transferência internacional de dados pessoais, foram verificadas as

hipóteses permitidas para esse caso?

10. Em relação à exclusão dos dados do usuário, foram desenvolvidos mecanismos

para deixar inativos e inacessíveis os dados de usuário ou excluí-los ou anonimizá-los?

4.2 AVALIAÇÃO DE CONFORMIDADE À LGPD

Assim como o setor privado precisa mudar sua cultura para se adaptar aos requisitos
da LGPD, o setor público também deve adotar certas diretrizes para corrigir seus
procedimentos internos.

4.2.1 Política de Privacidade

Ao ser acessado, o primeiro passo que realmente precisa ser implantado no site ou
aplicativo é a política de privacidade, que tem como objetivo esclarecer como se utiliza os
dados

pessoais que coletam do usuário, além de informar o que é feito com aqueles dados. O modo
 33

de exibição desse tópico pode ser abordado em uma página do aplicativo ou utilizando um
URL que é o caso do site do Senado Federal apresentado abaixo:

FIGURA 1 – Busca pela pagina do Senado Federal.

Fonte: (https://www12.senado.leg.br)

Na imagem a seguir, também do site do Senado Federal, é observado que já existem os

cookies no navegador porém não colocaram opções para o navegador, simplesmente não tem
nada mencionando ou informando. Deduz-se que como a multa é de 2% do faturamento anual
e o senado não tem faturamento não houve de fato preocupação em se adequar a LGPD de
fato.

FIGURA 2 – Ausência de informação sobre os cookies no site do Senado Federal.

Fonte: (https://www12.senado.leg.br)
 34

Na figura 3, existe uma opção de privacidade, ou seja, uma URL acessível

publicamente, onde os usuários podem aprender mais sobre as opções de privacidade de seus
aplicativos ou sites e como gerenciá-los.

FIGURA 3 – Politica de Privacidade site do Senado Federal

Fonte: (https://www12.senado.leg.br)

O problema desse site é que ele não tem a usabilidade de facilitar ao usuário o modo
de apresentação da LGPD. Ou seja, não é apresentado na primeira página o recurso da caixa
de pergunta contendo os botões de recusar ou aceitar, como a figura 4 a seguir.
FIGURA 4 – Caixa de termos de uso e politicas de privacidade

Fonte: https://beeon.com.br/materia/lgpd-o-que-muda-no-marketing-digital-

4.2.2 Coleta de Leads

O que são leads?Quando é solicitado e coletado o e-mail do usuário com o intuito de

enviar uma sequência de e- mails promocionais e/ou informativos. Existem dois tipos de fazer
 35

coleta de Leads que são: coleta de leads informativa ou coleta de leads com consentimento.

Coleta de leads informativa:

É quando já deixa o usuário ciente que se ele colocar seu e-mail este será coletando
para receber informações ou promoções e deixa isso bem claro.

Coleta de leads com consentimento:

Caso tenha que coletar leads do usuário, tem que colocar uma caixa de seleção para
consentimento e é importante que este não esteja marcado ou em negrito pra não induzir o
mesmo a ter uma preferência a selecionar aquele que está marcado diferente, se for o caso e
tiver mais opções. Segue exemplos nas figuras 5 e 6:

FIGURA 5 – Exemplo de leads

Fonte: https://beeon.com.br/materia/lgpd-o-que-muda-no-marketing-digital FIGURA 6 –

Exemplo de leads 2

Fonte: https://support.wix.com/pt/article/utilizando-formul%C3%A1rios-wix-para-receber-
consentimento-expl%C3%ADcito

Abaixo, dois exemplos de leads, figura 7, segundo a fonte digitalks.com.br, um

modelo errado e um certo:
 36

FIGURA 7 – Modelos De Leads: Errado E Certo

Fonte: https://digitalks.com.br/artigos/lgpd-e-marketing-guia-pratico-para-o-profissional-de-
marketing-digital/

4.2.3 Cadastro de Usuários

O Primeiro passo é coletar o mínimo possível de dados e sempre informar o usuário o

porquê da utilização do dado em questão e não pode esquecer do checkbox (caixa de seleção)
que tem que estar sempre desabilitada. A melhor forma de fazer esse procedimento é colocar
o Tooltip que é uma breve explicação de um elemento na página que serve para ajudar o
usuário, geralmente aparece no site representado pelo caráter de interrogação (?), veja o
exemplo da figura 8:
FIGURA 8 – Cadastro de usuarios

Fonte: https://www.adianti.com.br/forum/pt/view_6727?tooltip-de-ajuda-em-um-campo-de-
um-formulario
 37

4.2.4 Redefinição de senha

Pra estar de acordo com a LGPD, a senha precisa ser realizada em dois fatores, o
usuário precisa clicar no botão que geralmente vai estar escrito “Esqueci minha senha”, onde
a próxima etapa de redefinição vai ser pelo e-mail do usuário onde irá encontrar o e-mail do
site pra fazer outra, esse é o padrão LGPD.
Outro recurso muito utilizado no cadastro é a “utilizar uma senha forte” que solicita ao
usuário inserir (letras, números e caráter especial) quando for fazer ou redefini-la, só assim
poderá validar a egresso, observar figura 9:

FIGURA 9 – Redefinição de senha

Fonte: https://condominizar.tomticket.com/kb/acesso-ao-condominizar/cadastro-da-senha-de-
acesso-ao-portal-da-administracao-e-ao-aplicativo

4.2.5 Visualização e exportação dos dados do usuário

É essencial ter um local onde o titular dos dados pessoais possa visualizar os dados
coletados e armazenados é necessário ter um modo do mesmo baixar um arquivo com esses
dados ou utilizar o E-mail pra mandar o anexo. Ou seja, exportar todos os dados pessoais que
foram coletados do usuário. Seguem figuras 10 e 11 como exemplos:
 38

FIGURA 10 – Exportar dados

Fonte: https://tdn.totvs.com/display/public/HF/Anonimizar+e+exportar+dados+pessoais

FIGURA 11 – Exportar dados 2

Fonte: https://www.oficinadanet.com.br/telegram/29560-como-exportar-seus-bate-papos-por-
telegram
 39

Nesse caso, o usuário do Telegram exporta seus dados marcando o checklist de

informações da conta onde está armazenado os dados como nome, número de telefone e foto
de perfil no aplicativo. Além de poder marcar outras opções como exportar seus dados e

conversas pessoais.

4.2.6 Alteração de dados do usuário

É um local onde o titular possa fazer a alteração de seus dados, bem como fazer a
redefinição de senha utilizando a política de força de senha.

FIGURA 12 – Alteração de dados do usuário

Fonte: https://privacidade.globo.com/privacy-policy/

É importante enfatizar esse período redefinido. Alguns sites, como os de instituições

públicas, estabelecem prazos para seus funcionários no sistema, especificando quando os
usuários são obrigados a alterar suas senhas. Para realizar este tipo de processo, você pode
usar uma janela pop-up (que é uma janela que se abre no navegador para abrir algumas
informações adicionais) para notificar o navegador para realizar esta redefinição. Como
acontece na pagina do SEFAZ, como ilustra a figura 13:
 40

FIGURA 13 – Redefinição de dados de usuario

Fonte: https://www.sefaz.mt.gov.br/acesso/pages/login/login.xhtml?tipoUsuario=2

FIGURA 14 – Redefinição de dados de usuario 2

Fonte: https://www.sefaz.mt.gov.br/acesso/pages/login/login.xhtml?tipoUsuario=2

4.2.7 Eliminação de dados do usuário

O usuário pode, se for de sua vontade, solicitar a eliminação de dados. Mas o site ou app
(aplicativo) não pode, segundo a LGPD, excluir de fato o mesmo do sistema. Pois, se o
usuário vir a entrar com uma ação judicial contra o site este tem que ter arquivado alguns
dados pra poder se defender. Pra manter esses dados mesmo que usuário solicite a eliminação
o site terá que “anonimizar” os dados, de forma que o sistema entenda que essa
“anonimização” se trata daquele usuário. Seguindo a legislação, os dados pessoais serão
inativos por um prazo determinado (em média 5 anos no Brasil, depende do caso). Depois
 41

desse período, os dados serão deletados.

A seguir referencias que determinado site, GLOBO, faz na aba de privacidade sobre a
eliminação de dados e a anonimização, segue figura 15:

FIGURA 15 – Anonimização de dados

Fonte: https://privacidade.globo.com/privacy-policy/ FIGURA 16 – Proteção de dados

Fonte: https://privacidade.globo.com/privacy-policy/ FIGURA 17 – Dados anonimizados

Fonte: https://privacidade.globo.com/privacy-policy/
 42

4.2.8 Cookies

Um cookie é um pequeno arquivo de texto que contém uma etiqueta de identificação

única, que é colocada em seu computador ou telefone celular por um site. Os cookies contêm
várias informações, incluindo páginas visitadas no domínio, dados fornecidos
voluntariamente, padrões de comportamento no site, nomes de login, senhas, etc.

Conforme esta no site veritasjuridico.com, algumas empresas permitem que os

usuários concordem ou discordem do uso de certos cookies, e até têm uma política de cookies
boa e respeitada e solicitações de consentimento detalhadas, todas obviamente atendendo aos
requisitos. No entanto, todos os cookies foram "aceitos" "por padrão" e os usuários só podem
escolher rejeitá-los. É isso, o consentimento nunca pode ser assumido, deve ser sempre uma
ação positiva expressando vontade, sempre um opt-in (o termo "opt-in" refere-se à expressão
da vontade dos usuários da Internet ou de celular, livrando-se de a suposição de aceitação
silenciosa), nunca "opt out" ( o termo opt-out refere-se às regras para o envio de mensagens
informativas relacionadas a atividades de marketing via e-mail, sem a necessidade de
destinatários específicos solicitá-las). as figuras a seguir servem de exemplo:

FIGURA 18 – Consentimento de cookies

Fonte: https://digitalks.com.br/artigos/lgpd-e-marketing-guia-pratico-para-o-profissional-de-
marketing-digital/

FIGURA 19 – Utilização de cookies

 43

Fonte: https://www12.senado.leg.br/radioagencia/politica-de-privacidade
 44

FIGURA 20 – Como utilizar cookies

Fonte: https://www12.senado.leg.br/radioagencia/politica-de-privacidade

A seguir a figura 21, da pagina da Empresa Aerea Azul, onde cita os cookies que são
utilizados e para que servem

FIGURA 21 – Politicas de privacidade e cookies

Fonte: https://www.voeazul.com.br/politica-privacidade-cookie

Ao acessar o site da CAIXA, a seguinte informação é apresentada “Clique aqui para

 45

saber mais sobre cookies ou como desabilitá-los nas configurações do seu navegador.” Como
visto na FIGURA 22. Ou seja, o usuário já está sendo cookado (Quando o site ou app já
esta operando com os cookies) e se ele quiser, terá que aprender como ir às configurações do
Chrome para tirar os cookies que já estão ativados. Desse modo, o site está contra as diretrizes
da LGPD.

FIGURA 22 – Cookies e como desabilitá-los

Fonte: https://www.caixa.gov.br/Paginas/home-caixa.aspx
 46

5 CONCLUSÃO

Segundo Stefano Rodotá, o direito à proteção de dados constitui um direito da

personalidade do indivíduo, o que significa que temos um direito básico à proteção de dados
na sociedade da informação e, portanto, necessitamos da proteção legal por parte das
instituições nacionais.

Devido à interseccionalidade inerente à proteção de dados, os operadores jurídicos

devem procurar compreender o conceito e o funcionamento dos ativos de TI (dentro do
âmbito permitido por lei) para garantir a execução e aplicação. Formular normas com eficácia
para a era digital. Ora, se não há como garantir a previsibilidade da tecnologia futura, o
princípio central e os direitos básicos de desenvolvimento devem garantir restrições morais.

A interpretação da LGPD deve obedecer aos seus princípios orientadores, o que é

fundamental. É importante compreender como a sociedade da informação está enfrentando as
mudanças na privacidade e se moldar para dar aos indivíduos a capacidade de controlar a
coleta e o processamento de informações. Seus dados pessoais.

Não há dúvida de que a Lei 13.709 / 2018 enfrentará diversos desafios para atingir
seus objetivos, mas esse é um passo importante do país para suprir a lacuna regulatória
relacionada aos direitos fundamentais de proteção de dados.

A LGPD observou que os métodos comerciais atuais de processamento de dados

pessoais no Brasil podem prevenir certas atividades ilegais, como publicidade direcionada, o
binômio para manter a adequação e a necessidade de coleta e processamento de dados.
 47

REFERÊNCIAS BIBLIOGRÁFICAS

10 BUSCADORES PREFERIDOS POR USUÁRIOS DE INTERNET NO BRASIL.

Disponível em: <https://www.serasaexperian.com.br/sala-de-imprensa/hitwise-divulga-top-
10-buscadores- preferidos-por-usu%25c3%25a1rios-de-internet-em-julho-no-brasil-9>
Acesso em 04 de março de 2021.

ALEXY, Robert. Constitucionalismo Discursivo. Or./trad. Luís Afonso Heck, 3ª ed. rev.,
Porto Alegre: Livraria do Advogado Editora, 2011, p.62.

ASSE. Renato. GUIA PRÁTICO DA LGPD PARA SITES E APLICATIVOS. Disponível

em:
<comunidadesemcodar/guiaLGPD.pdf> Acesso em 20 de Julho de 2021.

BIONI, Bruno Ricardo. Proteção de Dados Pessoais - A Função e os Limites do

Consentimento. Rio de Janeiro: Ed. Forense, 1ª Ed. 2018, p.15.

BRASIL. Constituição: República Federativa do Brasil de 1988. Brasília, DF: Senado

Federal, 1988.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais
(LGPD). Redação dada pela Lei nº 13.853, de 2019. Brasília, DF: Senado Federal, 2018.

CASTELLS, M.; CARDOSO, G. (Org.). A sociedade em rede: do conhecimento a acção

política. Lisboa: Imprensa Nacional: Casa da Moeda, 2006

CASTELLS, Manuel. A sociedade em rede. Vol. 1. São Paulo: Paz e Terra, 1999. CORRÊA,
Gustavo Testa. Aspectos jurídicos da internet. São Paulo: Saraiva, 2000.

Comissao Europeia. Disponível em: https://ec.europa.eu./info/law/law-

topic/data- protection/data-protection-eu_pt. Acesso 09/07/2021.

DATA PROTECCION COMISSION. Disponível em: <https://www.dataprotection.ie/>.

Acesso em 03 de fevereiro de 2021.

Doneda, D. (1). A proteção dos dados pessoais como um direito fundamental. Espaço Jurídico

GUERRA, Sidney Cesar Silva. O direito à privacidade na internet: uma discussão da esfera
privada no mundo globalizado. Rio de Janeiro: América Jurídica, 2004.

INSTITUTO DE TECNOLOGIA E SOCIEDADE DO RIO. LEI GERAL DE PROTEÇÃO

DE
DADOS PESSOAIS (LGPD) e Setor Público. Disponível
em:
<https://itsrio.org/pt/publicacoes/lei-geral-de-protecao-de-dados-pessoais-lgpd-e-setor-
publico/> Acesso em 4 de março de 2021.

LÔBO, Paulo. Direito civil: parte geral. 3 ed. São Paulo: Saraiva, 2012.
 48

MARQUES, Cláudia L; BEJAMIN, Antonio, H. V.; BESSA, Leonardo, R. Manual de Direito

do Consumidor. 6ª ed. rev. atual. São Paulo: Editora Revista dos Tribunais, 2014.
 49

MARTINS, Marcelo e TATEOKI, Victor. Proteção de dados pessoais e democracia: fake

news, manipulação do eleitor e o caso da Cambridge Analytica. Revista Eletrônica Direito e
Sociedade, Canoas, v. 7, n. 3, p. 135-148, out. 2019, Acesso em: 23 de Jul. 2021

MENDES, Gilmar F.; BRANCO, Paulo G. G. Curso de Direito Constitucional. 10ª ed. rev. e
atual. São Paulo: Saraiva, 2015.

METODOLOGIA CIENTIFICA. Disponivel em:

<https://www.metodologiacientifica.org/metodos-de-abordagem/metodo-indutivo/> Acesso
em 01de dezembro de 2021.

MINISTÉRIO DA CIDADANIA. Disponivel em:

<https://www.gov.br/cidadania/pt-br/acesso-a-informacao/lgpd/principios-da-lgpd> Acesso
em: 02 de dezembro de 2021.

PEREIRA, Marcelo Cardoso. Direito à intimidade na internet. Curitiba: Juruá, 2004.

PINHEIRO, Patricia P. Proteção de dados pessoais: comentários à Lei 13.709/2018.

REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS. Disponível em

<http://data.europa.eu/eli/reg/2016/679/oj> Acesso em 03 de fevereiro de 2021.

REINALDO, Demócrito. Direito da informática: temas polêmicos. Bauru/SP: EDIPRO, 2002.

ROCHA, Gustavo. Disponivel em: <

https://www.investidura.com.br/biblioteca-juridica/colunas/gestao-tecnologia-e-qualidade/
337320-checklist-de-conformidade-a-lgpdgdpr> Acesso em 02 de dezembro de 2021.

RODOTÁ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Rio de Janeiro:

Renovar, 2008

SAGAN, Carl. O mundo assombrado pelos demônios. São Paulo: Cia das Letras, 1997. p.39.
Disponível em:
<https://biblioteca.ibge.gov.br/visualizacao/livros/liv101631_informativo.pdf>Acesso em 04
de março de 2021.

SAMPAIO, Alice Castaldi. Data brokers: um novo modelo de negócios baseado em

vigilância de dados. 2017. 1 recurso online (135 p.). Dissertação (mestrado) - Universidade
Estadual de Campinas, Instituto de Estudos da Linguagem, Campinas,
SP. Disponível em: <http://www.repositorio.unicamp.br/handle/REPOSIP/322483>.
Acesso em: 04 de março de 2021.

SENADO FEDERAL, https://www12.senado.leg.br/noticias/materias/2020/09/18/lei-geral-

de- protecao-de-dados-entra-em-vigor Acesso 09/07/2021

SHAPIRO, Andrew L. The control revolution: how the internet is putting individuals in
charge and changing the world we know. New York: PublicAffairs, 1999.
 50

SWENSSIN, Walter Cruz. Direito e internet. São Paulo: Themis Livraria e Editora, 2001.

VERITAS, J. https://veritasjuridico.com/voce-tem-visto-diversos-sites-notificando-o-uso-de-
cookies-saiba-porque-eles-nao-estao-de-acordo-com-a-lgpd/

WACHOWICZ, Marcos. A proteção jurídica das bases de dados em face da revolução da

tecnologia da informação. Artigo atualizado e originalmente publicado na revista de direito
autoral, São Paulo, v. iii, 2005.