Trabalho de Conclusão de Curso - Proteção de Dados

Prévia do material em texto

1 
 
ATHON ENSINO SUPERIOR 
 
 
 
 
 
 
 
CURSO DE DIREITO 
 
 
 
 
A PROTEÇÃO DE DADOS PESSOAIS 
NA LEGISLAÇÃO BRASILEIRA 
 
 
Luiz Otávio Nordi 
 
 
 
 
 
 
 
 
 
SOROCABA/SP 
2021 
2 
 
TEMA: A PROTEÇÃO DE DADOS PESSOAIS 
NA LEGISLAÇÃO BRASILEIRA 
 
 
 
 
 
 
Trabalho de Conclusão de Curso 
apresentado como exigência para 
aprovação na disciplina de TCC da 
Graduação em Direito, da Faculdade 
Athon – Ensino Superior. 
Orientadoras: Professora Especialista 
Daniele Pavin e Maria Cristina Vieira 
Rodrigues. 
 
 
3 
 
AGRADECIMENTOS 
 
 
 
 
Sou grato aos meus professores pelo tempo 
de convívio, pela dedicação e por todo o 
conhecimento partilhado. Grato, ainda, às 
professoras orientadoras Mestra Daniele 
Pavin e Maria Cristina Vieira Rodrigues. 
 
 
 
4 
 
DEDICATÓRIA 
 
 
 
 
 
 
À minha mãe, por todo o auxílio desde 
sempre. Aos meus amigos e familiares, 
principalmente a minha tia Patrícia Arruda. 
 
5 
 
RESUMO 
 
O presente trabalho de conclusão de curso tem como objetivo apresentar o direito à proteção de 
dados pessoais como direito fundamental da pessoa humana, em um contexto de crescente 
violação de privacidade e de vazamentos de dados pessoais. Para elucidação do tema, são 
expostos os princípios que regem o instituto e a evolução legislativa brasileira nesse sentido 
frente a movimentações internacionais, sendo também, portanto, foco do trabalho também 
evidenciar a influência de leis alienígenas na Lei Geral de Proteção de Dados brasileira. 
 
 
 
Palavras-chave: Dados pessoais. Proteção de dados. Direito fundamental. Constituição 
Federal. Lei Geral de Proteção de Dados. LGPD. Vazamento de Dados. Compliance. 
 
6 
 
ABSTRACT 
 
This essay aims to present the protection of personal data as a fundamental human right, in a 
context of growing violation of privacy and leaks of personal data. To elucidate the theme, the 
principles governing the institute are exposed, the types of personal information and the 
evolution of such right from the old concept of privacy, passing through informative self-
determination and later segregating into an autonomous law. The focus of the work is also to 
highlight the influence of alien laws on the Brazilian General Data Protection Law. Finally, an 
analysis will be made of some legislation that deals with the subject, such as the aforementioned 
General Data Protection Regulation, used as a model of law of the recent Brazilian General 
Data Protection Law, which takes care of the matter in detail, supplementing the Civil Law of 
the Internet. 
 
 
Keywords: Protection data. Human rights. Brazilian law. Brazilian General Data Protection 
Law. LGPD. Data leaks. Compliance. 
 
 
7 
 
METODOLOGIA 
 
Para o desenvolvimento do presente trabalho de pesquisa, foram realizadas revisões de 
literatura e do texto da lei e artigos sobre a LGPD, publicados em gov.br e em sites citados na 
bibliografia. Também foram utilizadas pesquisas de palavras-chave como: “Dados pessoais”. 
“Proteção de dados”. “Direito fundamental”. “Constituição Federal”. “Lei Geral de Proteção de 
Dados”. “LGPD”. “Vazamento de Dados”. “Compliance”. 
Foram, por fim, utilizados os resultados provenientes das pesquisas para desenvolvimento do 
trabalho, trazendo reflexões e os principais aspectos relevantes do instituto. 
 
8 
 
SUMÁRIO 
 
1. Introdução...................................................................................................................08 
 
2. Definições.....................................................................................................................11 
 
3. A proteção de dados no tempo...................................................................................13 
 
4. A “General Data Protection Regulation” ou “GDPR” .............................................15 
 
5. A Lei Geral de Proteção de Dados.............................................................................19 
5.1. Aspectos relevantes....................................................................................................... 
5.2. A Agência Nacional de Proteção de Dados.............................................................21 
 
6. Conclusão......................................................................................................................24 
 
7. Bibliografia....................................................................................................................26 
9 
 
1. Introdução 
 
Nos últimos anos, consequência do boom proporcionado pelo crescimento estratosférico 
da internet em um contexto de mundo cada vez mais globalizado, em que a troca de informações 
é instantânea, a todo tempo, a proteção aos dados pessoais dos indivíduos passou a ser assunto 
relevante mundo afora. 
Incidentes como vazamento de dados pessoais em massa, exposição não autorizada de 
imagens íntimas de personalidades famosas e capitalização sob venda de informações obtidas 
ilegalmente trouxeram à tona a imediata necessidade de regulação do chamado tratamento de 
dados. 
Não que leis tratando deste tema sejam novas, pois, na realidade, países como Alemanha, 
França, Suécia e outros, já vêm estabelecendo arcabouço jurídico de proteção a dados pessoais 
há, pelo menos, 30 (trinta) anos. 
No entanto, o que foi visto nos últimos anos foi uma verdadeira corrida para estancar a 
desenfreada banalização sob a propriedade e o uso indevido de dados pessoais, ao passo que, 
do ponto de vista corporativo-comercial, jurisdições mais atrasadas passaram a acelerar 
regulamentações a fim de não perder competividade no mercado, dentro do bojo do que se 
entende por compliance. 
No ordenamento jurídico brasileiro, conforme disposto no art. 5º, X, c, da Carta Magna, 
o direito fundamental à privacidade já é conferido às pessoas naturais há pelos menos três 
décadas: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, 
assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação” 
(BRASIL, 1988). 
Contudo, frente aos movimentos internacionais nesse sentido, como ora exposto, entrou 
em vigor em setembro de 2020 a Lei 13.709 de 14 de agosto de 2018, mais popularmente 
conhecida como Lei Geral de Proteção de Dados ou simplesmente “LGPD”, depois de um longo 
período de vacância e vários adiamentos, com vistas a regulamentar com mais propriedade 
assunto de tamanha relevância. 
Com inspiração na General Data Protection Regulation, também conhecida como 
“GDPR”, vigente em toda a União Europeia, a Lei Geral de Proteção de Dados trouxe algumas 
inovações à proteção dos dados pessoais como direitos individuais, além de garantir maior 
competitividade às empresas nacionais, principalmente àquelas que negociam 
10 
 
internacionalmente com empresas localizadas em jurisdição de arcabouço de proteção já 
estabilizado. 
 Com base em pesquisas desenvolvidas, utilizando bibliografias e estudos existentes 
sobre o tema, além de jurisprudência nacional e internacional, o objetivo do presente trabalho 
de conclusão de curso é demonstrar o benefício da implementação da legislação no país, mas 
também evidenciar questões ainda necessárias para uma maior efetividade prática das ações. 
 
11 
 
2. Definições 
 
A Lei Geral de Proteção de Dados (“LGPD”)¹, em seu artigo 5º, esclarece conceitos 
fundamentais que também auxiliam no entendimento do presente trabalho: 
1. Dados pessoais: informações relacionadas a pessoa natural identificada ou 
identificável. 
2. Dados pessoais sensíveis: dados pessoais sobre origem racial ou étnica, convicção 
religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso etc. 
3. Dados anonimizados: dados relativos a titular que não possa ser identificado, 
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu 
tratamento.4. Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em 
vários locais, em suporte eletrônico ou físico. 
5. Tratamento: toda operação realizada com dados pessoais, como as que se referem a 
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, 
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle 
da informação, modificação, comunicação, transferência, difusão ou extração; 
6. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda 
com o tratamento de seus dados pessoais para uma finalidade determinada; 
7. Transferência internacional de dados: transferência de dados pessoais para país 
estrangeiro ou organismo internacional do qual o país seja membro; 
Para identificação dos respectivos responsáveis no tratamento de dados pessoais, a LGPD 
conceitua da seguinte maneira: 
1. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de 
tratamento; 
2. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem 
competem as decisões referentes ao tratamento de dados pessoais; 
3. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o 
tratamento de dados pessoais em nome do controlador; 
4. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de 
comunicação entre o controlador, os titulares dos dados e a ANPD. 
São relevantes, ainda, para o tema tratado no seguinte trabalho, o entendimento dos 
seguintes princípios, dispostos no art. 6º da mesma Lei: 
12 
 
1. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos 
e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com 
essas finalidades; 
2. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas 
finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação 
às finalidades do tratamento de dados; 
3. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados 
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, 
alteração, comunicação ou difusão. 
 
 
13 
 
3. A proteção de dados no tempo 
 
A preocupação com a proteção de dados não é nova, sendo o direito à privacidade das 
informações tratado há, pelo menos, 3 (três) décadas pela legislação de países mundo afora. A 
Lei Federal de Proteção de Dados Pessoais de Hessen, estado alemão, foi uma das pioneiras em 
instituir direitos, obrigações e sanções no que se refere à proteção de dados pessoais ao passo 
que, ao longo dos anos, novas regulações nesse sentido passaram a surgir na França, Suécia e 
em outros países². 
Sendo proteção de dados produto, em grande medida, da revolução tecnológica e 
econômica causada pela internet, faz sentido que a preocupação com esse instituto tenha 
começado em países mais desenvolvidos economicamente, onde o acesso à comunicação 
instantânea chegou com maior antecedência e problemas com violação de privacidade, 
consequentemente, trouxeram à tona a necessidade de regulações. 
A lei alemã surgiu num contexto de reação às preocupações sobre os avanços da 
computação e a privacidade no processamento de dados pessoais. Em 1973, a Suécia criou a 
primeira lei nacional de privacidade, que estabelece parâmetros para a criminalização da 
apropriação de dados e deu aos titulares dos dados liberdade para acessar e exigir transparência 
sobre os seus próprios registros. Em 1978, a Lei Federal de Proteção de Dados alemã definiu 
parâmetros basilares de proteção de dados, como a necessidade de consentimento para o 
tratamento de dados pessoais. Em 1979, grande parte da União Europeia já havia incorporado 
as suas respectivas legislações arcabouço de proteção de dados como direitos de seus cidadãos. 
Em um julgamento que, de certa forma, foi precursor ao que temos como direito 
positivado nos dias de hoje, em muitos dos ordenamentos jurídicos que tratam de proteção de 
dados, o Tribunal da Constituição Federal da Alemanha determinou que seus cidadãos teriam 
como direito fundamental a prerrogativa sobre seus próprios dados pessoais. Na decisão, foi 
determinado que os cidadãos alemães deveriam ser protegidos contra o armazenamento, a 
coleta, o uso e a divulgação ilimitada de seus dados pessoais³. 
Com o avanço da tecnologia computacional e o avanço do fluxo do envio de informações, 
a União Europeia adotou, ainda, regramento que impôs padrões mínimos de proteção de dados 
pessoais aos seus Estados-membros, protegendo os direitos dos cidadãos europeus quanto ao 
tratamento não autorizado de dados pessoais entre os Estados-membros. Como a lei foi, 
contudo, adotada de forma diferente pelos Estados do bloco, alguns dos países ficaram sem 
determinações mais robustas. 
14 
 
Nos Estados Unidos, por conta do sistema jurídico adotado, que privilegia, em 
determinadas matérias, a independência dos Estados em relação a determinações de caráter 
federal, as leis de proteção de dados foram implementadas por Estado, sendo que nem todos a 
adotarem. Além de legislações que tratavam de dados bancários e de saúde, não há legislação 
federal estabelecendo proteção aos dados pessoais de seus cidadãos em geral. 
Na década de 80, o Conselho Europe anunciou normas para o tratamento de dados em 
uma perspectiva universal, não somente criada apenas para os países europeus. Em 1995, 
definiu os conceitos básicos de dados pessoais e outras definições importantes para a 
conceituação do tema. A GDPR, então, finalmente, no ano de 2018, assume o lugar desses 
antigos regramentos, para ser aplicada a todos os países-membros da União Europeia. 
Sob o recorte brasileiro, o direito à privacidade das informações pessoais já era 
assegurado pela Constituição, como anteriormente citado, além de outras leis que já dispunham 
genericamente sobre a segurança dos dados pessoais, como o Código do Consumidor, a Lei de 
Acesso à Informação e, ainda, o Marco Civil da Internet (Lei nº 12.965), pioneiro ao estabelecer 
diretamente os “princípios, garantias, direitos e deveres para o uso da Internet no Brasil”. 
Então, frente às movimentações internacionais já mencionadas, além da necessidade de 
compilar as normas sobre o assunto em um código mais específico, favorecendo o acesso 
normativo, como também a necessidade de garantir o direito efetivo à privacidade dos seus 
cidadãos e pressões políticas e de mercado, surgem a Lei Geral de Proteção de Dados (LGPD). 
 
 
 
 
 
15 
 
4. A “General Data Protection Regulation” ou “GDPR” 
 
Como anteriormente exposto, a Europa já reconhecia a questão da privacidade como um 
direito fundamental, sendo a proteção de dados por eles vista como destacada do direito à 
privacidade. A proteção de dados se concentra, no ponto de vista do jurista europeu, no aspecto 
de dados serem usados de forma justa e com a devido autorização, nos limites permitidos por 
seu titular, enquanto o conceito de privacidade preserva o ideal de vida privada. 
A GDPR, então, é a medida da União Europeia para abordar essas e outras questões até 
então pendentes. O estudo teve início em 2009, sendo que a Comissão Europeia publicou uma 
proposta de redação em 2012. Em 2014, o Parlamento Europeu firmou uma minuta de 
compromisso, com base em dezenas de alterações propostas. No final de 2015, o Parlamento e 
o Conselho entraram em concordância sobre o texto do GDPR, aplicável desde maio de 2018. 
Do ponto de vista de inovação e profundidade no tema, a GDPR é referência atualmente. 
Seu primeiro artigo inicia enfatizando o objetivo duplo de promover o livre fluxo de dados 
pessoais dentro da União Europeia, na tentativa de contribuir com as empresas alocadas no 
território europeu, bem como possui a função de proteger as pessoas físicas e seus dados 
pessoais. Define, ainda,questões normativas relacionadas às práticas da indústria como o uso 
de informações em modelos de negócios de big data e aprendizado de máquina. 
A referida lei europeia ainda procura colocar a questão da privacidade no nível de lei que 
as empresas, de uma forma geral, tendem a tratar com mais seriedade, como leis antitruste e de 
práticas de anticorrupção estrangeiras. Antes da promulgação da lei, empresas de dados 
beneficiavam-se de multas baixas, sendo que os mecanismos de aplicação da GDPR, então, 
preocuparam-se com a determinação de sanções mais justas e temerárias, instituição de 
obrigações de notificações de incidentes de segurança e outros aspectos procedimentais com 
vistas a documentar desvios ou negligência à lei, tudo de forma a impedir violações no 
tratamento dos dados. 
Além disso, a visão ampliada da GDPR sobre o tema determina a exigência de que 
empresas que usam dados pessoais para obrigatoriamente fiscalizem e responsabilizem suas 
prestadoras de serviços – sendo este ponto, especialmente, uma das grandes influências desta 
lei na LGPD - e impor limite contratual ao tratamento dos dados. 
Outra inovação apresentada pela normativa europeia é a promoção dos colaboradores das 
empresas em geral, cuja implementação do compliance de proteção de dados já esteja efetivado, 
no status de fiscal da lei, uma espécie de função de oficial de proteção de dados, levando aos 
16 
 
nomeados a responsabilidade por registrar qualquer incidente que ocorrer com os dados, 
inclusive em relação a questões de gestão das autorização, como, por exemplo, em relação ao 
prazo do consentimento para tratamento dos dados de determinado titular, conforme item (e) 
do art. 1 da Lei europeia: 
 
“... mantido em uma forma que permite a identificação dos 
titulares dos dados não é mais necessária para os fins para 
os quais os dados pessoais são tratados; os dados pessoais 
podem ser armazenados por períodos mais longos, desde 
que sejam processados exclusivamente para fins de 
arquivamento de interesse público, para fins de pesquisa 
científica ou histórica ou para fins estatísticos, de acordo 
com o Artigo 89 (1), sujeito à implementação de 
procedimentos técnicos e organizacionais apropriados 
aplica as medidas exigidas pelo presente regulamento para 
salvaguardar os direitos e liberdades do titular dos dados.” 
 
Outro ponto emprestado da GDPR pela LGPD, é a definição de dados pessoais, exposta 
no título de definições, como “qualquer informação relativa a uma pessoa física identificada ou 
identificável, sendo que uma pessoa física identificável é aquela que pode ser identificada, 
direta ou indiretamente (...)”. De forma resumida, todos os dados que identificam uma pessoa 
ou poderiam, de alguma forma, identificar uma pessoa são dados pessoais. 
A GDPR aplica-se quando os dados pessoais são tratados, o que significa dizer, 
basicamente, quando os dados pessoais são processados ou “qualquer operação ou conjunto de 
operações realizado em dados pessoais ou em conjuntos de dados pessoais, seja ou não por 
meios automatizados (...).” Neste arcabouço, considera-se como tratamento a coleta, 
armazenamento, divulgação etc. 
Conjuntamente e completares entre si, todos esses conceitos significam que sempre que 
uma organização manipula dados relacionados a um indivíduo, sejam os dados públicos ou 
privados, independente da forma do consentimento e se confidenciais ou não confidenciais, 
ainda que não diretamente identifiquem a pessoa, então os regramentos da GDPR aplicam-se a 
esta empresa. 
Diferente do funcionamento esparso das leis de proteção de dados nos Estados Unidos, 
onde cabe aos titulares dos dados ler e avaliar criticamente os disclaimers de privacidade e fazer 
escolhas com base neste olhar muito mais cuidadoso, visto como autonomia da vontade. Os 
juristas europeus, assim como na lei brasileira, rejeitam essa abordagem mais liberal, trazendo 
a responsabilidade aos operadores dos dados. Neste ínterim, por exemplo, os operadores de 
dados, como datas centers, quando dispostos em países europeus ou tratando dados de cidadãos 
17 
 
europeus, precisam cumprir uma considerável parcela da GDPR, sendo responsabilizado o 
operador que descumprir suas normas. 
A GDPR também determina que os Estados-membros da União Europeia equilibrem o 
direito sobre a proteção de dados com os interesses da liberdade de expressão, da liberdade 
comercial, além de relativizar algumas das disposições da GDPR no sentido de não se apliquem 
quando os dados pessoais são tratados para expressão artística, produção intelectual ou literária 
acadêmica. A União Europeia, nota-se, permitiu aos Estados-membros relativizar, flutuando, 
no campo mais subjetivo, o difícil equilíbrio entre proteção de dados e liberdade de expressão, 
porque diferentes Estados-Membros têm tradições peculiares neste contexto. Um exemplo disso 
é a Holanda, que classicamente pende a dar mais peso à liberdade de expressão do que a 
Espanha. Também podemos esperar mais jurisprudência de outros países sobre o equilíbrio 
entre liberdade de expressão e proteção de dados, como a França. 
A GDPR torna bastante claro que o direito à privacidade e outros direitos fundamentais, 
como a liberdade de expressão, geralmente têm peso igual ou semelhante, por isso permitindo 
limitações em uma pequena parte de suas regras, mais precisamente quando trata-se de direitos 
dos indivíduos, quando os governos dos Estados-membro consideram a limitação necessária a 
fim de proteger outros direitos fundamentais ou interesses públicos. 
No entanto, como já exposto, a GDPR também traz mudanças bastante significativas e 
detalhadas. A GDPR coloca os dados pessoais em um regime regulatório complexo, detalhado 
e protetor, com implicações e nuances mais profundas. Um exemplo disso é o incentivo às 
empresas a analisem com maior cautela acerca de suas práticas no que se refere ao tratamento 
de dados pessoais, principalmente aquelas que possuem como seu core business a 
comercialização ou uma grande manipulação de dados. A GDPR procura, então, fazer com que 
as empresas coloquem a privacidade em igualdade com outras questões de compliance, por 
exemplo. 
Num ponto mais técnico da questão da internet mundial de rede e computadores, a GDPR 
incentiva as empresas a examinarem suas nuvens e provedores de serviços quanto à 
conformidade com as regras, com ênfase em responsabilização pela segurança dos dados 
armazenados, elevando, com esse tipo de medida, os funcionários de privacidade dentro das 
organizações. Nessa linha de raciocínio (COLNAGO, 2014, p. 767): 
 
[...] se o provedor de conexão dispuser da informação acerca de 
quais aplicações de internet são mais acessadas por seus clientes, 
aberto estará o caminho para que ele busque firmar acordos 
comerciais de acesso preferencial diretamente com os provedores 
18 
 
de tais aplicações. Um meio ambiente digital sustentável, pois, 
pressupõe que todos possuam acesso igualitário à rede, sem o 
estabelecimento de escolhas preferenciais entre os grandes 
conglomerados econômicos que hoje contribuem para moldar a 
rede. Aí é que reside a instrumentalidade do dever previsto no artigo 
14 para com a neutralidade de rede e, logo, para com a preservação 
do meio ambiente digital. 
 
Além do mais, a GDPR enfatiza a relevância de dados precisos e atualizados, concedendo 
às pessoas o direito de reivindicar os seus dados em prazo de tempo hábil e não moroso. 
Prevemos que, no setor privado, as relações de primeira pessoa com pessoas físicas tornem-se 
ainda mais importantes – já vem se tornando, de fato, em detrimento das relações de terceiros. 
Também é esperada uma longa trava de braço entre autoridades de proteção de dados, 
principalmente em governos que não têm observado a importância da proteção dos dados, e 
grandes empresas de tecnologia e multinacionais mundo afora. 
A principal desvantagem da GDPR é seu cumprimentoe complexidade: são quase 100 
(cem) artigos cujas disposições são bastante detalhadas. As regras para um tratamento justo, 
equitativo e responsável de dados pessoais nunca serão terminadas, isto é fato, assim como o 
direito nunca será estático: da mesma forma que na legislação de defesa do consumidor ou na 
legislação ambiental, as regras e os conceitos terão que ser atualizados, alterados, suprimidos e 
complementados continuamente, a fim de se adaptar as novas circunstâncias. 
Em conclusão, a GDPR abre portas para uma nova fase na proteção de dados e da 
privacidade e influencia governos e políticas em todo o mundo, como o Brasil com a Lei Geral 
de Proteção de Dados. 
19 
 
5. A Lei Geral de Proteção de Dados 
 
5.1 Aspectos gerais 
 
O modelo europeu de proteção de dados é certamente considerado como um dos mais 
avançados no campo, conforme acima demonstrado, sendo com base nesse contexto que o 
Brasil redigiu sua própria Lei Geral de Proteção de Dados, ou simplesmente “LGPD”, de nº 
13.709 de 14 de agosto de 2018. 
Assim como a GDPR, a LGPD também reconhece que a privacidade e proteção de dados 
tratam-se de direitos fundamentais, atuando ainda como um regramento geral para o campo, 
tanto do ponto de vista do direito individual quanto do ponto de vista de limite para manipulação 
de dados por pessoas jurídicas. Além disso, assim como a lei europeia que a influenciou, como 
já exposto, estende-se a proteção dos dados coletados no Brasil para armazenamento e 
processamento fora do país, pelo conceito denominado de extraterritorialidade da lei. 
A Lei Geral de Proteção de Dados, que passou a vigorar na segunda metade de 2020 
depois de muita espera e cancelamentos de prazos, entrando em cena no contexto brasileiro de 
adaptação progressiva às mais modernas práticas globais de gestão de dados (e de compliance), 
abrange todas as empresas que oferecem serviços ou possuem operações envolvendo tratamento 
de dados no Brasil, indistintamente, principalmente aquelas que possuem como seu business 
principal a comercialização de dados. 
Empresas sujeitas à lei que violarem suas determinações são sujeitas à aplicação de 
advertências, multas, suspensões, exposições e proibições parciais ou totais de exercício de suas 
atividades, chegando a desembolsar até 2% (dois por cento) do seu faturamento, no limite de 
R$ 50.000,00 (cinquenta milhões de reais) por cada infração. 
Além de promover a garantia dos direitos individuais de seus cidadãos, a LGPD objetiva 
incentivar um desenvolvimento mais sustentável da economia e das relações comerciais, muito 
influenciada por todas as recentes movimentações internacionais. Tanto a legislação brasileira 
de proteção de dados quanto o GDPR exigem uma abordagem estratégica para a realização do 
tratamento de dados pessoais, considerando não apenas a implementação de um projeto de 
compliance de proteção de dados nas empresas, mas também, por outro lado, uma grande 
oportunidade para as empresas obterem vantagem competitiva no tratamento desses dados, em 
conformidade com as boas práticas de privacidade. 
20 
 
O Lei Geral de Proteção de Dados, então, segue o exemplo de sua lei base europeia, nesse 
sentido. Estabelece uma série de princípios e fundamentos sob os quais todo o sistema de 
privacidade e dados proteção deve ser analisados e respeitados, conceitos estes que, em sua 
maioria, podem ser consultados no título de glossário do trabalho. 
Os principais objetivos da LGPD, então, é a proteção da coleta e do processamento, a 
adequação e compatibilidade (entre coleta e processamento), a limitação e minimização de 
dados na coleção, o processamento e armazenamento, o tratamento calcado na transparência e 
não discriminação, tudo no âmbito de assunção de responsabilidades. Nesse sentido, acerca do 
princípio da transparência (CASTRO, 2005, p. 229): 
 
[...] o responsável de um tratamento de dados, devidamente 
identificado, deve dar a conhecer ao titular dos dados a realização 
do tratamento que lhe respeite, indicando, nomeadamente, os seus 
fins, categorias de dados tratados, período de conservação dos 
dados, eventuais comunicações dos mesmos etc. 
 
A LGPD, dessa forma, toma o caminho de estabelecer uma variedade de obrigações gerais 
para processamento de dados e direitos dos titulares dos dados, da mesma forma que a GDPR, 
e, como outras leis de proteção de dados, efetivamente põe limite à capacidade das organizações 
no sentido de travar a transferência de dados pessoais para fora do país. 
Na maior parte das condições, as empresas com sede no exterior devem cumprir 
parcialmente ou integralmente a LGPD se tiverem clientes, funcionários, contratados e 
autônomos localizados no dentro do território brasileiro e tiverem meios para transferir os dados 
pessoais de tais indivíduos para fora do Brasil, independente do destino. 
O consentimento para transferência de dados pessoais internacionalmente é questão 
delicada, porque, havendo alteração na manifestação da vontade do titular do direito de 
tratamento concedido, o ato pode ser considerado anulado, porém nem sempre sendo possível 
a atuação da Autoridade Nacional de Proteção de Dados (ANPD). 
Para muitas multinacionais cujas sedes são localizadas fora do Brasil, o grande desafio é 
administrar os dados dos funcionários que fluem da subsidiária local para a sede no exterior, 
vez que cada jurisdição trata do tema de acordo com suas peculiaridades, podendo haver 
conflitos na questão da extraterritorialidade da lei. 
Nesse ponto específico, em consonância com as diretrizes atuais, é impreciso determinar 
a real necessidade de notificação quando o vazamento de dados, por exemplo, não for 
contundentemente massivo ou afetar um grupo mais sensível. Importante salientar que dados 
21 
 
apropriados indevidamente muitas vezes são utilizados com fins discriminatórios ou até mesmo 
para práticas criminosas como estelionato. 
Outra complicação diz respeito às orientações atuais que sugerem que as organizações 
devem notificar sobre a ocorrência de incidente em até 02 (dois) dias úteis a partir da data do 
conhecimento (do incidente). Portanto, é de suma importância que os processadores 
comuniquem imediatamente um incidente ao controlador, sendo necessário que o controlador 
tenha mecanismos, preferencialmente por meio de cláusulas contratuais, para alcançar 
indenização dos processadores. 
Também é necessário que os contratos para prestação do serviço incluam obrigações 
específicas para o operador buscar autorização do controlador antes de envolver os 
subprocessadores. 
 
5.2 A Agência Nacional de Proteção de Dados 
 
Outra questão de importante destaque, cuja semelhança entre ambos os sistemas europeu 
e brasileiro também é notado, é a existência de uma autoridade de proteção de dados (DPA). 
Como visto acima, o sistema da LGPD, por meio da Autoridade Nacional de Proteção de Dados 
(ANPD) pode aplicar sanções em caso de violação da legislação a partir de agosto de 2021. As 
sanções variam de caso a caso, após processo administrativo de análise da ocorrência, sendo 
aplicadas, como citado anteriormente: advertências simples, multas de 2% (dois porcento) do 
valor do faturamento da empresa ou grupo no último exercício, bloqueio ou exclusão dos dados 
envolvidos na ocorrência e suspensão ou proibição do acesso ao tratamento de dados pessoais. 
Corroborando este pensamento, no contexto de atraso pelas definições envolvendo a ANPD: 
 
MANIFESTO PELA CRIAÇÃO IMEDIATA DA 
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS 
PESSOAIS - ANPD 
 
Dezembro de 2018 
 
As entidades representativas, instituições acadêmicas, 
organizações e pessoas (42 no total) que subscrevem este 
Manifesto clamam pela imediata criação da Autoridade 
Nacional de Proteção de Dados – ANPD de forma a implementar 
22 
 
as providências legais decorrentes da sanção da Lei no 13.709, 
de 15 de agosto de 2018 (a “Lei Geral de Proteçãode Dados 
Pessoais - LGPD”). 
A premência quanto à criação dessa Autoridade se faz latente 
em razão do inevitável processo de digitalização vivenciado 
pelas economias mundiais, questão que explicita a 
interdependência gerada pelo binômio desenvolvimento 
econômico e proteção de dados. 
Dada a apertada vacatio legis de 18 meses para adequação à 
LGPD por todos os seus múltiplos atores – e em razão desse 
prazo estar se esvaindo com rapidez assustadora – ratificamos o 
clamor pela criação urgente dessa Autoridade que terá dentre 
seus principais papéis garantir a eficácia da LGPD; e de ser a 
responsável por detalhar, através da elaboração de normas e 
diretrizes, a aplicação dos inúmeros dispositivos da citada Lei 
pendentes de regulamentação. 
Essa Autoridade deverá gozar de características imprescindíveis 
tais como independência e autonomia decisória; o mandato fixo 
de seus dirigentes; a manutenção do rol de atributos listados no 
art. 56 do PLC 53/2018, objeto de veto presidencial; ser 
composta por um corpo funcional estritamente técnico para 
realizar o gerenciamento deste tema perante seus múltiplos e 
distintos atores; e ter em sua estrutura um conselho consultivo 
multissetorial. 
A criação da Autoridade com essas características é essencial 
para consolidar no país uma estrutura institucional, apta a 
propiciar segurança jurídica para o tratamento de dados no país, 
dar efetividade aos direitos assegurados na LGPD e possibilitar 
que o Brasil participe do livre fluxo internacional de dados. 
Reiteramos a urgência na tomada de medidas cabíveis, com 
vigência imediata, até o final deste ano para que seja instituída a 
Autoridade nos moldes acima destacados, de modo a permitir a 
estruturação de todo o arcabouço normativo e diretrizes 
necessários para a aplicação participe do livre fluxo 
internacional de dados.”. 
 
A criação Autoridade Nacional de Proteção de Dados fez-se necessária para que as 
organizações que realizam o tratamento e o acesso a informações pessoais cumpram a 
legislação e possam ser auditadas quando não observarem o devido tratamento destes dados. É, 
23 
 
então, a ANPD que fará o poder de fiscalização do cumprimento do que foi estabelecido pela 
LGPD e, nos casos de vazamento de dados, acessos não autorizados e fora do limite autorizado 
e outros casos de descumprimento da lei, é a ANPD quem irá analisar e promoverá a autuação 
dos culpados pelas infrações, podendo também ser contatada pelos titulares dos dados em 
questão caso estes não tenham seus direitos concedidos por lei respeitados pelos controladores 
dos dados. 
Desde a aprovação da lei, em 2018, a Lei Geral de Proteção de Dados tem se estruturado, 
cada vez mais, ainda que de forma lenta, no ponto de vista de especialistas, existindo uma 
agenda de debates em torno das interpretações e da forma de implementação da lei, cujos efeitos 
atingem todo o ecossistema normativo, seja no setor público, seja no privado, bem como no 
interesse individual dos cidadãos. 
Sendo somente na data de 6 de novembro de 2020 o Conselho Diretor da ANPD 
empossado, dando início às operações da ANPD, a Autoridade passou então a ter circuitos 
administrativos e de promoção do conhecimento para expansão do tema e elucidações. Em 28 
de janeiro de 2021, então, neste ínterim, a ANPD definiu a agenda regulatória bianual da 
ANPD, com os 10 temas prioritários que a ANPD planeja abordar nos próximos dois anos, com 
base no seu entendimento de prioridades. 
 
24 
 
6. Conclusão 
 
Depreende-se, pela análise apresentada, que a LGPD instaurou arcabouço jurídico-legal 
para a proteção do tratamento de dados pessoais, inaugurando uma série de direitos e obrigações 
aos titulares dos dados e às empresas que coletam, usam, administram, enfim, que tratam de tais 
dados. 
Diante de economias e modelos de negócios que hoje expandem-se a partir da extração, 
muitas vezes indevidas, e do tratamento de dados pessoais dos usuários como commodities, é 
de extrema importância que a LGPD regule tais termos, colocando o protagonismo sobre os 
dados nos próprios titulares. 
Como foi demonstrado no presente trabalho de conclusão de curso, a questão não paira 
tão somente na privacidade no sentido da intimidade, como também na autonomia informativa 
e no controle mais concentrado sobre as informações, assim como numa série de abordagens 
relacionadas a não discriminação e não comercialização de dados privados indevidamente. 
Devido a tal complexidade, a LGPD, inspirada na GDPR, adota os princípios necessários 
para que a proteção dos dados seja instrumento de preservação dos direitos fundamentais e dos 
valores acima mencionados. É, consequentemente, nesse sentido que devem ser entendidos os 
direitos básicos dos titulares de dados, cuja previsão está no art. 18 da LGPD, de maneira a 
equilibrar que os princípios e as preocupações são necessários à regulação de dados. 
Contudo, a lei por si só não é capaz de resolver todos os problemas relacionados à 
proteção de dados pessoais tão logo quanto vigente. Os seus regramentos e as suas garantias só 
podem ter efetividade caso exista a concorrência proveitosa com efetiva prática dos preceitos, 
razão pela qual a importância da efetiva atuação da Autoridade Nacional de Proteção de Dados 
(ANPD) é de relevante importância. 
Conforme exposto no presente trabalho, o tratamento dos dados pessoais num contexto 
de organizações que capitalizam, cada vez mais, com informações pessoais, sendo esta uma das 
maiores vulnerabilidades que a lei mais pretende proteger, intenciona frear a exploração não 
declarada entre o interesse de muitas organizações e até do setor público, que possuem 
vantagens técnicas e econômicas, e de outro, a sociedade civil como os titulares de dados 
pessoais. 
Considerando que, atualmente, a direção que se tem tomado é em sentido a uma sociedade 
governada por dados, o ambiente social consubstanciado na ideia de privacidade informacional 
passa a ser essencial par a proteção dos direitos individuais. Portanto, a problemática da 
25 
 
privacidade e da banalização da titularidade de dados, hoje, é consequência do conflito 
constante existente entre os titulares de dados e aqueles que realizam o tratamento dos dados, o 
que culmina em desequilíbrio social e, então, leva à violação dos princípios da igualdade, 
privacidade, equidade e da liberdade. A proteção dos dados pessoais sensíveis é, sem dúvidas, 
instrumento de efetivação dos direitos fundamentais. 
 
26 
 
7. Referências Bibliográficas 
 
[¹] BRASIL. DECRETO N° 13.709, DE 14 DE AGOSTO DE 2018. Lei Geral de Proteção 
de Dados Pessoais, Brasília – Distrito Federal, agosto de 2018. Disponível em: 
http://planalto.gov.br/ccivil_03/_ato2015- 2018/2018/lei/l13709.htm Acesso em 2 de 
novembro de 2021. 
 
[²] Lei Geral de Proteção de Dados. Histórico pelo Mundo. Disponível em: 
http://dadospessoais.lavits.org/historico-pelo-mundo/. Acesso em: 02 de novembro de 2021. 
 
[³] As origens alemãs e o significado de autodeterminação afirmativa. Disponível em: 
https://migalhas.com.br/coluna/migalhas-de-protecao-de-dados/335735/as-origens-alemas-e-
o-significado-da-autodeterminacao-informativa. Acesso em: 05 de novembro de 2021. 
 
A, Ivan. A revolução dos dados. 2019. Consumidor Moderno. Disponível em: 
https://digital.consumidormoderno.com.br/a-revolucao-dos-dados-ed243. Acesso em: 01 de 
novembro de 2021. 
 
BLUM. Renato Opice. LGPD – Lei Geral de Proteção de Dados. 1ª Ed. Revista dos 
Tribunais. 2018. 
 
Lei 12.965/2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet 
no Brasil. Disponível em http://planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. 
Acessado em 02/set/2020. 
 
SILVA. José Afonso da. Curso de direito constitucional positivo. 19. ed. São Paulo: 
Malheiros, 2009. 
 
Autoridade Nacional de Proteção de Dados. Disponível em: https://www.gov.br/anpd/pt-br. 
Acessoem: 02 de novembro de 2021. 
 
SARAIVA NETO, Pery; FENILI, Maiara Bonetti. Novos marcos legais sobre proteção de 
dados pessoais e seus impactos na utilização e tratamento de dados para fins comerciais. 
https://www.gov.br/anpd/pt-br
27 
 
Revista de Estudos Jurídicos e Sociais - REJUS ON LINE – ISSN 2594-7702, v. 1, n. 1, dez. 
2018. Disponível em: https://www.univel.br/ojs-3.0.2/index.php/revista/article/view/46. 
Acesso em: 02 de novembro de 2021. 
 
MENDES, Laura Schertel. Transparência e privacidade: violação e proteção da 
informação pessoal na sociedade de consumo. 2008. 156 f. Dissertação (Mestrado em 
Direito) - Universidade de Brasília, Brasília, 2008. 
 
ALCASSA, Flávia. A Lei Geral de Proteção de Dados Pessoais (LGPD) e a exposição de 
dados sensíveis nas relações de trabalho. Revista do Tribunal Regional do Trabalho da 10ª 
Região, Brasília v. 24, n. 02, p. 145-151, jul./dez. 2020. Disponível em: 
https://revista.trt10.jus.br/index.php/revista10/article/view/419. Acesso em 05 de novembro de 
2021.