Buscar

MERCADO DIGITAL AGORA TEM LEI Aprenda como adequar o seu negócio à LGPD - Lei Geral de Proteção de Dados

Prévia do material em texto

1
2
INFORMAÇÕES GERAIS 
APRESENTAÇÃO DO CONTEÚDO
POR QUE VOCÊ DEVE LER ESTE LIVRO?
CAPÍTULO I 
INFORMAÇÕES GERAIS SOBRE O TEMA
 1. Por que é importante proteger dados pessoais? 
 2. O que são dados pessoais? 
 3. Que lei é esta? 
 4. Do que essa lei trata? 
 5.Por que essa lei foi criada no Brasil? 
 6. Quando a LGPD entrou em vigor? 
 7. Quais dados são protegidos pela LGPD? 
 8. Quais são os fundamentos desta lei? 
 9. A quais operações esta lei se aplica? 
 10. A quais operações esta lei não se aplica?
CAPÍTULO II 
CONCEITOS QUE VOCÊ PRECISA ENTENDER
CAPÍTULO III 
TRATAMENTO DE DADOS: O QUE VOCÊ PRECISA SABER
III.I – TRATAMENTO DE DADOS
 11. O que é tratamento de dados pessoais, de acordo com a LGPD?
 12.O que é preciso observar para tratar os dados?
 13. Quais princípios devem ser observados no tratamento de dados?
 14.. Em quais hipóteses pode ser realizado o tratamento de dados 
pessoais?
 15. Quais são as bases legais para o tratamento de dados pessoais?
 16.O que é legítimo interesse do controlador?
ÍN
D
IC
E
3
 17. Quais são as bases legais para o tratamento de dados pessoais 
sensíveis?
 19. Quais são as bases legais para o tratamento de dados de 
menores?
 20. É preciso consentimento para o uso de dados tornados 
públicos pelo titular?
 21. Qual a diferença entre o tratamento de dados pessoais comuns 
e sensíveis?
III.II - CONSENTIMENTO
 22. O que você precisa fazer para usar os dados de uma pessoa?
 23. Como deve ser esse consentimento?
 24. O controlador pode usar uma autorização geral que lhe 
permita tratar os dados de todas as formas que desejar?
 25. A utilização de pixels e cookies no site institucional ou na 
página de vendas também precisa de consentimento do titular 
dos dados?
 26. O que o controlador deve fazer quando desejar utilizar os 
dados para finalidade diversa da previamente autorizada?
 27. O controlador poderá utilizar os dados pessoais do titular sem 
o seu consentimento?
 28. A empresa pode vender sua base de dados ou sua lista de 
e-mails, telefone ou whatsapp?
 29. O que o controlador precisa fazer caso queira compartilhar seu 
banco de dados com outra empresa?
 30. Caso o titular negue ter dado autorização, a quem cabe provar 
que a mesma foi concedida?
 31. O consentimento do titular é por prazo determinado?
 32. Como o titular revoga o consentimento concedido ao 
controlador?
 33. Caso o titular revogue o consentimento para usar os seus 
dados, o que o controlador deverá fazer?
ÍN
D
IC
E
4
 34. Caso o titular revogue a autorização, como ficam os atos já 
praticados pelo controlador?
 35. Quando o controlador será obrigado a eliminar os dados do 
titular do seu banco de dados?
 36. O controlador pode ficar com os dados pessoais arquivados 
após o término do tratamento?
III.III – TRANSFERÊNCIA INTERNACIONAL DE DADOS
 
 37. O que é transferência internacional de dados?
 38. Em quais casos é permitida a transferência internacional de 
dados?
 39. Quais assuntos referentes à transferência internacional de 
dados serão objeto de regulamentação pela ANPD?
CAPÍTULO IV 
DIREITOS DO TITULAR DOS DADOS
 
 40. Quem são os titulares dos direitos previstos na LGPD?
 41. Quais são os direitos dos cidadãos com a entrada em vigor da 
LGPD?
 42. Caso o titular queira usar de qualquer dos direitos acima, como 
deverá proceder?
 43. O titular dos dados pode se opor ao tratamento dado pela 
empresa em relação aos seus dados?
 44. Caso qualquer desses direitos seja desrespeitado pelo 
controlador, o que o titular pode fazer?
 45. Caso o controlador receba um requerimento do titular acerca 
dos seus direitos, o que deverá fazer?
 46. É possível impugnar tratamento automatizado dos dados 
pessoais feito pelo controlador?
ÍN
D
IC
E
5
 47. O que acontece se o controlador não atende à solicitação do 
titular?
 48. Quais procedimentos devem ser adotados para o registro, 
perante à ANPD, de reclamações sobre o tratamento de dados 
pessoais em desconformidade com a LGPD?
 49. Quais providências podem ser adotadas pelo titular de dados 
no caso de recebimento de chamadas telefônicas frequentes 
oferecendo serviços ou produtos?
 50. Quais os impactos dos direitos dos titulares na sua empresa?
CAPÍTULO V 
AGENTES DE TRATAMENTO DE DADOS
 
 51. Quem são os agentes de tratamento?
 52. O que são os controladores?
 53. O que são os operadores?
 54. Quais as obrigações dos agentes de tratamento?
 55. Quais cuidados o controlador deve ter em relação ao operador?
 56. Quem é o encarregado pelo tratamento de dados pessoais?
 57. Toda empresa precisará ter um encarregado?
 58. O controlador deverá contratar um novo empregado para 
exercer a função de encarregado?
 59. Quais devem ser as características de um encarregado?
 60. Quais são as obrigações do encarregado no tocante ao âmbito 
externo da empresa (titular e ANDP)?
 61. Quais são as obrigações do encarregado no âmbito interno da 
empresa?
 62. O encarregado precisa ser empregado da empresa ou pode ser 
uma empresa contratada?
 63. Quais as responsabilidades do controlador e do operador?
ÍN
D
IC
E
6
 64. Existe alguma situação que exclui a responsabilidade dos 
agentes de tratamento?
 65. Quando mais de um controlador estiver envolvido no 
tratamento do qual decorram danos ao titular, a quem caberá a 
responsabilidade?
 66. O que é considerado tratamento irregular de dados pessoais?
 67. Podem ser encaminhados à ANPD documentos a serem 
revisados e aprovados pela autoridade?
CAPÍTULO VI 
SEGURANÇA DOS DADOS
 68. C omo os agentes de tratamento devem proteger os dados 
pessoais?
 69. Caso ocorra um incidente de segurança o que o controlador 
deve fazer?
 70. Como deverá ser feita a comunicação de sinistro?
 71. Caso ocorra um sinistro, quais medidas de poderão ser 
adotadas pela ANPD?
 72. Diante de um incidente de segurança, de que forma o 
controlador pode demonstrar sua boa-fé?
 73. O que são boas práticas e governança?
 74. Por que é importante para o seu negócio ter normas de boas 
práticas e governança?
 75. Como os titulares poderão ter acesso às regras de boas práticas 
e governança de um controlador?
CAPÍTULO VII 
SANÇÕES ADMINISTRATIVAS
 76. O que é sanção jurídica?
ÍN
D
IC
E
7
 77. O é sanção administrativa?
 78. Quais tipos de sanções administrativas estão previstas na lei?
 79. As sanções administrativas já estão valendo?
 78. Como serão aplicadas as sanções?
 79. Quais critérios a LGPD estabeleceu para a aplicação das 
sanções?
 80. Uma mesma infração pode gerar sanções administrativas, civis 
ou penais concomitantemente?
 81. A empresa que sofreu sanção administrativa também poderá ser 
condenada a pagar indenização por danos morais ao titular pela 
mesma infração?
 82. Como a Autoridade Nacional fará o cálculo da multa a ser 
aplicada?
 83. O que acontece se o controlador ou operador multado não 
pagar a multa aplicada?
 84. O que a ANPD fará com o valor arrecadado com as multas?
 85. Em alguma hipótese o controlador poderá entrar em acordo 
com o titular dos dados para se isentar da aplicação da 
penalidade?
CAPÍTULO VIII 
Autoridade Nacional DE PROTEÇÃO DOS DADOS
 86. O que é Autoridade Nacional de Proteção de Dados Pessoais?
 87. Qual é o papel da Autoridade Nacional de Proteção de dados?
 88. Quando a ANPD foi criada?
 89. Qual é a estrutura da ANPD?
 90. A ANPD é uma autoridade independente?
 91. A ANPD pode aplicar sanções pelo descumprimento da lei?
 92. A Autoridade Nacional de Proteção de Dados Pessoais se 
ÍN
D
IC
E
8
articula com outras entidades e órgãos públicos no exercício das 
suas competências?
 93. Qual é o perfil dos diretores da ANPD? Como eles são 
escolhidos?
 94. Para que serve o Conselho Nacional de Proteção de Dados 
Pessoais e da Privacidade – CNPD?
 95. Como serão escolhidos os membros do CNPD?
 96. Como ocorrerá a participação da sociedade nos trabalhos da 
ANPD?
 97. As pessoas físicase jurídicas, públicas e privadas, que realizam 
atividades de tratamento de dados pessoais terão de transferir 
para a ANPD seus bancos de dados?
CAPÍTULO IX 
PLANO DE ADEQUAÇÃO DO SEU NEGÓCIO À LGPD
CONCLUSÃO
BIBLIOGRAFIA
SOBRE A AUTORA
ÍN
D
IC
E
9
INFORMAÇÕES 
GERAIS 
Antes de você seguir adiante com 
a sua leitura, vamos fazer uma 
pequena enquete pra maximizar o 
aproveitamento deste livro e vamos 
fazer isso com uma simples pergunta 
...
Será que 
esse livro 
é para 
você?
10
“Será que esse livro é para você?”
Para responder a essa pergunta, veja se você se enquadra em uma das categorias 
abaixo:
a. Você faz eventos e 
divulga online, coletando 
informações das pessoas 
interessadas em participar 
do seu evento
d. Você trabalha com 
marketing digital e faz 
campanhas publicitárias 
em alguma plataforma 
de busca (como o 
Google, por exemplo) ou 
em plataformas de redes 
sociais (como o FaceBook 
ou Instagram), coletando 
informações das pessoas 
interessadas naquilo que 
você está oferecendo
f. Você tem uma loja física e 
ou um e-commerce (loja virtual) e 
você tem informações das pessoas 
interessadas no que você oferece 
ou que já adquiriram seu produto/
serviço
g. Você pensa em montar um 
negócio online e, pra isso, você 
terá que montar sua lista 
de e-mails (utilizando 
uma plataforma de 
autoresponder) pra 
divulgar seu produto/
serviço pra essa lista
h. Você divulga ou 
faz vendas de 
produtos físicos 
ou digitais através 
de grupos de 
whatsapp 
e. Você faz campanhas de 
publicidade online para promover 
determinado produto (físico 
ou digital) ou evento (palestra, 
webinário, live, etc) e você coleta 
o nome, o e-mail e o telefone 
(normalmente o Whatsapp) das 
pessoas em troca de um 
“brinde digital”
b. Você vende algum produto 
físico ou oferece algum 
serviço online e coleta 
informações das pessoas 
interessadas em comprar 
seu produto ou seu serviço
c. Você vende um 
infoproduto (e-book, curso 
online ou presencial, 
consultoria, aplicativo, 
software, etc) online e 
coleta informações das 
pessoas interessadas em 
adquirir seu infoproduto
?
11
Se você respondeu “sim” para quaisquer dessas 
categorias, esse livro É PARA VOCÊ!
Se você respondeu “não” para quaisquer dessas categorias, mas pensa em 
montar um negócio físico ou online que envolva a coleta de dados pessoais que 
permitam que você entre em contato com essas pessoas, seja por e-mail, telefone 
ou mensagens, esse livro É PARA VOCÊ.
Se você respondeu “não” e não pensa em montar um negócio online, mas você 
pensa em trabalhar com marketing digital (ou dar consultoria nessa área) que 
envolve a coleta de dados pessoais para divulgar seu produto ou serviço pra essas 
pessoas, esse livro É PARA VOCÊ. 
Pode ser que o fato do seu negócio ser B2B (voltado para empresas) leve você a 
pensar que este livro não seja pra você. Porém, se você tem empregados na sua 
empresa você necessariamente precisará adequá-la para tratar dos dados dos 
seus empregados com observância à Lei de Proteção de Dados.
Agora, se você respondeu “não”, não pensa em montar um negócio online nem 
físico e não vai trabalhar com marketing digital, esse livro NÃO É PARA VOCÊ. 
Nesse caso, peça o reembolso porque nada do que será abordado aqui será útil 
pra você. Devolveremos seu dinheiro sem problemas e seguiremos, você e nós, 
nossos caminhos, sem ressentimentos nem mágoas.
O importante é que nós possamos te ajudar e se você não vai ser beneficiado com 
esse livro, sugiro que você pegue seu dinheiro de volta e invista em algo que vai 
lhe trazer algum benefício, estamos combinados?
Se você continua aqui, é porque você se enquadra em algumas das categorias que 
mencionamos e/ou pensa em trabalhar (ou já trabalha) com marketing digital, 
coletando informações pessoais (nomes, e-mails, telefones, Whatsapp, etc) e, 
nesse caso, esse livro vai ser EXTREMAMENTE útil, importante e vai te salvar de 
sérios problemas que poderão comprometer o seu negócio (financeiramente e 
judicialmente) ou mesmo, forçar você a fechar seu negócio.
Isso mesmo ... o que abordaremos nesse livro é muito sério e envolve um assunto 
de altíssima importância hoje em dia ... a proteção de dados pessoais.
Essa questão não é apenas no Brasil, mas no mundo inteiro em maior ou menor 
grau. No caso desse livro, nosso foco será o que está acontecendo no Brasil através 
da nova Lei Geral de Proteção de Dados Pessoais (LGPD).
Este livro é, na realidade, um MANUAL PRÁTICO para que você possa se 
adequar às exigências da nova Lei Geral de Proteção de Dados Pessoais e evitar 
as consequências legais que poderão ter um impacto muito negativo nas suas 
atividades, no seu negócio, na sua vida financeira e jurídica.
Aqui você vai encontrar todas as informações que você vai precisar saber para 
12
evitar que você (ou sua empresa) viole essa nova Lei (LGPD) e incida em ilegalidades 
com sérias consequências para você e seu negócio, isso tudo de uma maneira 
simples, didática, prática e objetiva.
Pra darmos uma visão geral inicial sobre essa lei (LGPD), vamos fazer isso através 
de perguntas e respostas, destrinchando essa Lei antes de mergulharmos a fundo 
nos detalhes de que ela trata e do que você precisa estar ciente (e que deverá 
cumprir) para evitar infringi-la e ter que arcar com as consequências.
As perguntas serão simples e objetivas ... as respostas serão (quando necessário) 
divididas em duas partes: a primeira parte é com a visão de um advogado, uma vez 
que estamos lidando com leis e, a segunda parte da resposta, será uma tradução 
para o linguajar utilizado no nosso dia-a-dia para ajudar no entendimento.
Pronto? Vamos lá ...
13
POR QUE VOCÊ DEVE LER ESSE LIVRO?
Se você continua aqui, é porque você se enquadra em uma das categorias que 
serão, direta ou indiretamente, afetadas pela nova LGPD, mas uma coisa é você 
estar dentro do perfil das pessoas que terão parte do seu negócio regulado por 
essa lei, outra é saber o porquê.
Você sabe POR QUÊ você deve ler esse livro?
A resposta é simples, mas não é sem importância ... você deve ler esse livro porque 
SE VOCÊ NÃO SE ADEQUAR às normas e diretrizes da nova LGPD, você e o seu 
negócio poderão sofrer sanções (penalidades previstas nessa lei) que poderão 
não somente tirar o seu sono, mas poderão acabar com seu negócio, seja ele 
físico ou digital.
É isso mesmo, não estou exagerando ... se você não se adequar 
ao que a nova LGPD exige, em última análise e no caso mais 
grave, você pode PERDER SEU NEGÓCIO, PERDER SUA FONTE 
DE RENDA, além de outras sanções que poderão comprometer 
o seu nome.
Sim, isso é muito sério ... 
essa é a nova realidade imposta 
pela LGPD.
As sanções são diversas 
e variam em função da 
gravidade da infração.
Essas sanções (penalidades) 
são tão sérias que elas serão 
tratadas num capítulo 
específico para elas mais 
à frente neste livro, mas 
queremos frisar isso logo 
no início, antes mesmo 
de você conhecer a nova 
LGPD, para que você tenha 
a dimensão da seriedade e 
das consequências de não se 
adequar a essa lei.
14
Veja algumas das sanções que você poderá 
sofrer caso você viole alguma das normas e 
diretrizes da nova LGPD:
Advertência
 Multa simples ... 
que pode chegar a R$50.000.000,00 por infração (isso mesmo, cinquenta milhões 
de reais!!!! Você tem esse dinheiro?)
 
Multa diária ...
 de até R$5.000,00 por dia! Deixe-me repetir ... 
R$5.000,00 por dia!
Publicização ... 
 sua infração se tornará pública e todos saberão que 
você é um infrator da nova LGPD, ou seja, não é uma 
empresa confiável, porque não respeita os dados 
pessoais de seus clientes
Bloqueio dos dados
Suspensão parcial do uso dos 
dados...você já pensou o prejuízo financeiro que 
terá se for suspenso de tratar dados de forma parcial 
ou total? Você simplesmente para de faturar (vender), 
quebra o seu negócio!
Suspensão total do 
uso dos dados e 
outros ...
Isso sem contar as penalidades 
previstas por outras instâncias 
jurídicas como, por exemplo:
• Danosmorais
• Danos por prejuízos 
financeiros
• Processos judiciais 
criminalistas
• E tudo o mais que as leis 
impõem aos que violam 
suas normas
15
Esses últimos NÃO SÃO SANÇÕES PREVISTAS PELA NOVA LGPD, mas saiba que 
a aplicação de uma penalidade prevista pela nova LGPD não elimina as punições 
prevista por outras leis.
É isso mesmo, você poderá sofrer diversos tipos de penalidades, não apenas as 
previstas pela nova LGPD.
Como você pode ver, o assunto é sério e as consequências podem ser muito 
severas e, por isso, como foi dito, dedicamos um capítulo inteiro para que você 
saiba, exatamente, o que pode acontecer com você e seu negócio caso você não 
se adeque ao que essa lei exige.
Seja prudente, adeque-se para se proteger.
Com diz o ditado, “é preferível prevenir do que remediar” ... e é esse o nosso 
objetivo, ajudar você a se prevenir das sanções previstas pela nova LGPD para 
evitar as possíveis devastadoras consequências que podem, em última análise, 
inviabilizar o seu negócio e comprometer o seu nome perante a lei.
É por essas razões que você deve ler esse livro.
Pronto pra começar? 
Então vamos lá ...
16
CAPÍTULO I
INFORMAÇÕES GERAIS 
SOBRE O TEMA
Este capítulo lhe trará noções gerais sobre o tema para que você possa entender 
a sua importância, onde ele se encontra, quando passará a valer, de forma 
que você possa se familiarizar com o conteúdo. A partir disso, começaremos a 
aprofundar. Então, vamos lá...
1. POR QUE É IMPORTANTE PROTEGER DADOS 
PESSOAIS?
Antes de mais nada é preciso compreender por que é importante proteger dados 
pessoais!
E acredito que você possa estar pensando: “Poxa...a minha vida estava tão boa, 
pra quê inventaram de criar essa lei de proteção de dados? Pra quê isso?”
Eu vou lhe explicar e acredito que vai fazer muito sentido!
Vivemos hoje em uma sociedade de informação onde o uso, a criação, a distribuição, 
a manipulação e a integração da informação é uma atividade significativa1 É 
uma sociedade que busca, através da inovação tecnológica, tornar os processos 
de comunicação mais ágeis e eficientes para auxiliar no desenvolvimento das 
organizações e instituições de ensino unindo pesquisa e informação. Esse termo 
surgiu no século XX e diz respeito a nossa sociedade atual. 
1 www.meuartigo.brasilescola.uol.com.br. A Sociedade da informação – Brasil Escola
17
“O termo ‘informação’ é descrito como os dados estruturados, organizados e 
processados, apresentados dentro do contexto, o que o torna relevante e útil para 
a pessoa que o deseja. 
A informação serve para divulgação, compartilhamento e assimilação de 
conhecimentos, emoções e intensões. A capacidade de processar informações 
e transmiti-la entre os seus semelhantes é o que distingue o homem dos outros 
seres habitantes da Terra.” 2
E por que é desejável uma sociedade de informação? Porque o novo paradigma 
oferece perspectivas de avanços significativos para a vida individual e coletiva, 
elevando o patamar de conhecimentos gerados e utilizados na sociedade, 
oferecendo o estímulo para constante aprendizagem e mudança, facilitando 
a salvaguarda da diversidade e deslocando o eixo da atividade econômica em 
direção mais condizente com o respeito ao meio ambiente.
Um exemplo claro da importância da informação para a sociedade contemporânea 
é o aplicativo WASE. O Wase hoje funciona muito bem porque todas as pessoas 
que o utilizam compartilham seus dados de geolocalização. Através da sua 
inteligência artificial, ele identifica os locais onde o fluxo do trânsito está mais 
livre e informa ao usuário. Se não houvesse o compartilhamento dos dados, as 
pessoas ficariam presas no trânsito.
Quando o Wase foi criado ele não era tão bom quanto é hoje, pois não haviam dados 
suficientes. É que quanto mais pessoas utilizam o aplicativo, mais eficiente e inteligente 
ele se torna e, consequentemente, melhores informações ele presta ao usuário. 
Outro exemplo é o uso da inteligência artificial para fins de medicina. No Japão 
3 uma paciente que tinha um tipo raro de leucemia ficou aguardando nove 
meses para obter um diagnóstico. Inconformados, os médicos decidiram utilizar 
o Watson 4 , ferramenta de inteligência artificial da IBM, que gastou nada mais 
que 11 minutos para dar o diagnóstico correto.
E por que isso foi possível? Poque a ferramenta analisou centenas de milhares de 
diagnósticos (dados, informações) para então chegar ao diagnóstico final. Essa é 
uma contribuição valiosíssima para a sociedade à medida em que pode evitar ou 
amenizar o sofrimento humano e permitir que as pessoas vivam muito melhor.
Conforme se vê, em uma sociedade de informação, a informação é um grande 
valor! Na verdade, pode-se dizer sem medo de errar que na atualidade informação 
vale mais que petróleo. E por que informação vale tanto? Porque quanto mais se 
conhece uma pessoa, quanto mais se entende o que ela gosta, como ela age, quais 
são seus sonhos, seus medos e as suas dores, mais adequado será o produto ou 
o serviço que você pode oferecer para ela ou a criação de políticas públicas pelo 
Estado. E são os dados das pessoas que fornecem essas informações tão valiosas. 
 
2 www.meuartigo.brasilescola.uol.com.br. A Sociedade da informação – Brasil Escola
3 https://youtu.be/EuXueJnYP7o LGPD – Lei Geral de Proteção de Dados - LECCAST 12, Podcast Marcio El Kalay recebe 
Camilla Jimene 
4 https://www.ibm.com/br-pt/cloud/ai?p1=Search&p4=43700055864819414&p5=b&gclsrc=aw.
ds&gclid=Cj0KCQjwnueFBhChARIsAPu3YkSd8s_
OV5oBf18mhPQGTPcPSrbCMd2oTtoz87vP4E5K3VoPOnA44jQaAot3EALw_wcB
18
O compartilhamento de informações é, então, algo positivo que contribui para a 
melhoria da qualidade de vida das pessoas? Claro que sim, mas é preciso protege-
la de abusos. Por isso, tornou-se necessária a criação de regras de conduta que 
estabelecessem parâmetros mínimos de ética na utilização desses dados, surgindo 
daí Lei Geral de Proteção de Dados Pessoais - LGPD.
2. O QUE SÃO DADOS PESSOAIS?
Como o próprio nome diz, são dados de pessoas, seres humanos, não se incluindo 
aí animais nem empresas (pessoas jurídicas). 
A LGPD adota um conceito amplo de dado pessoal, segundo a qual dado pessoal 
pode ser entendido como:
a) Dados que identificam a pessoa, informações relativas ao nome, número de 
inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas 
(CPF) e endereço residencial, seus hábitos de consumo, sua aparência e 
aspectos de sua personalidade.
b) Dados que permitam a identificação de uma pessoa. São aqueles que tornam 
a pessoa identificável, tendo em vista tratar-se de alguma característica 
sua, como por exemplo, placa do carro, geolocalização, número de cartão 
de crédito, dentre outros. Em determinadas situações até o sexo pode 
tornar uma pessoa identificável. Suponhamos que num processo seletivo 
para vaga de emprego participem 5 homens e apenas 1 mulher. Finalizado 
o processo, vaza a informação de que a candidata aprovada é mulher. Ora, 
neste caso, a candidata mostra-se perfeitamente identificável, tendo em 
vista ter sido a única a participar do processo seletivo.
c) Dados pessoais sensíveis, que são aqueles que podem gerar discriminação 
das pessoas. Tratam-se de dados relacionados à vida sexual, origem racial 
ou ética, opção política, convicção religiosa e dados relativos à saúde, 
genéticos ou biomédicos. Um exemplo seria uma empresa, em processo 
seletivo, pedir ao candidato que informe se ele é sindicalizado ou não. 
Esse dado é sensível por que? Porque dependendo da visão da empresa, a 
resposta pode contribuir para a desclassificação do candidato.
3. QUE LEI É ESSA?
A Lei de que trata este manual é a lei 13.709, de 14 de agosto de 2018, que é a Lei 
Geral de Proteção de Dados Pessoais, designada a partir de agora apenas LGPD.
Em 2019 alguns artigos da Lei 13.709 (LGPD) foram alterados pela Lei 13.853.
19
Além disso, sobre essa Lei, há ainda o Decreto 10.474, de 26 de agosto de 2020, 
que cria e regulamenta a Autoridade Nacional de Proteção de Dados queé a 
Autoridade Estatal responsável pela fiscalização e aplicabilidade da LGPD.
É esperado que muitas outras normas sejam elaboradas pela Autoridade Geral de 
Proteção de Dados no intuito de regulamentação desta lei.
4. DO QUE ESSA LEI TRATA?
A Lei Geral de Proteção de Dados – LGPD – dispõe sobre o tratamento de dados 
pessoais das pessoas naturais 5 , definindo as hipóteses em que tais dados podem 
legitimamente ser utilizados por terceiros e estabelecendo mecanismos para 
proteger os titulares dos dados contra usos inadequados, abusos, vazamento de 
informação, dentre outros.
A Lei é aplicável ao tratamento de dados realizado por pessoas naturais ou por 
pessoas jurídicas de direito público ou privado, e tem o objetivo de proteger os 
direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da 
personalidade da pessoa. 
Ou seja, essa Lei regulamenta o que pode e o que não pode ser feito com os 
dados pessoais que são coletados presencialmente ou via Internet, seja por você, 
por sua empresa ou por terceiros (contratados por você), tudo com uma única 
finalidade .... proteger os dados dessas pessoas e evitar que sejam utilizados de 
forma inadequada e contra a vontade delas.
5. POR QUE ESSA LEI FOI CRIADA NO BRASIL?
O Brasil há alguns anos vem dando passos lentos no sentido de regulamentar 
minimamente a proteção dos dados pessoais. 
Foi assim em 1990 quando foi inserido no Código de Defesa do Consumidor (Lei 
8.078) o art. 43, que prevê que o consumidor “terá acesso às informações existentes 
em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre 
ele, bem como sobre as suas respectivas fontes.”
Em 2013, tratando especificamente do comércio eletrônico, o Decreto 7.962, previu 
em seu art. 4, VII, norma sobre segurança no tratamento de dados, disposta assim: 
“Para garantir o atendimento facilitado ao consumidor no comércio eletrônico, o 
fornecedor deverá utilizar mecanismos de segurança eficazes para pagamento e 
para tratamento de dados do consumidor”.
Em 2014 foi promulgado o Marco Civil da Internet, através da Lei 12.965, que 
em seu art. 7, garante uma série de direitos ao usuário, dentre eles o direito à 
intimidade, à privacidade, sigilo de suas comunicações armazenadas, direito à 
informações constantes dos contratos e práticas de gerenciamento de rede, não 
5 Pessoa natural é o ser humano dotado de capacidade, titular de direitos e obrigações a partir do seu nascimento com vida
20
compartilhamento de dados à terceiros, informações sobre o tratamento dos 
seus dados, consentimento, exclusão definitiva, aplicação de normas de proteção 
e defesa do consumidor, dentre outras.
Contudo, embora o Brasil já tivesse uma legislação incipiente sobre proteção 
dos dados pessoais, a criação da LGPD não foi uma escolha livre, mas fruto de 
pressão internacional, notadamente da União Europeia, que tendo promulgado 
seu RGPD - Regulamento Geral de Proteção de Dados em 2018.
A RGPD proibiu o comércio ou a transferência de dados pessoais de seus 
membros para países não membros que não tivessem o mesmo nível de 
proteção e segurança previsto em lei própria, com previsão de constituição de 
uma Autoridade destinada à proteção dos dados. 
Assim, em 2018, o Brasil promulgou a LGPD para não ser prejudicado 
economicamente por essa barreira comercial.
 
A constituição de um ambiente jurídico voltado à proteção de dados pessoais 
corresponde também a um alinhamento com as diretrizes da Organização 
para a Cooperação e Desenvolvimento Econômico – OCDE, que há décadas vem 
desempenhando um relevante papel na promoção do respeito à privacidade 
como um valor fundamental e como um pressuposto para o livre fluxo de dados.
Além disso, o Brasil foi um dos últimos países da América Latina a se adequar às 
exigências internacionais de proteção aos dados pessoais. 
Tendo por objetivo proteger os direitos fundamentais relacionados à esfera 
informacional do cidadão, a LGPD introduziu uma série de novos direitos que 
asseguram maior transparência quanto ao uso dos dados e conferem protagonismo 
ao titular quanto ao seu uso.
Antes da lei, a ideia praticada pelas empresas era a de que os dados eram de sua 
propriedade, tendo em vista serem elas as guardiãs dos dados. Contudo, a lei veio 
dizer de forma clara e objetiva que os dados são das pessoas e por isso elas têm 
direitos sobre os mesmos e as empresas deveres em relação a eles.
Por fim, mas não menos importante, a LGPD traz a oportunidade de aperfeiçoamento 
das políticas de governança de dados, com adoção de regras de boas práticas e 
incorporação de medidas técnicas e administrativas que mitiguem os riscos e 
aumentem a confiança dos titulares dos dados na organização.
Numa linguagem coloquial, a Lei foi criada no Brasil para proteger os dados 
pessoais que foram confiados a você, sua empresa ou terceiros, de tal forma que 
haja uma maior transparência no que será feito com esses dados, evitando que 
eles sejam utilizados para finalidades diversas das que foram obtidos. 
21
6. QUANDO A LGPD ENTROU EM VIGOR?
A Lei entrou em vigor de maneira escalonada a partir de 2018:
Em 28 de dezembro de 2018, a lei entrou em vigor quanto aos arts. 55-A, 55-B, 
55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam 
da constituição da Autoridade Nacional de Proteção de Dados – ANPD – e do 
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPD.
Em 18 de setembro de 2020, a lei entrou em vigor quanto aos demais artigos, com 
exceção dos dispositivos que tratam da aplicação de sanções administrativas;
Em 1º de agosto de 2021, entrarão em vigor os arts. 52. 53 e 54, que tratam 
das sanções administrativas. Data essa em que a LGPD passará a vigorar na sua 
totalidade. 
Resumindo, a LGPD entrou em vigor no final de 2018 e foi sendo implementada, 
gradativamente, a fim de que as pessoas (pessoas físicas) e empresas (pessoas 
jurídicas) pudessem tomar consciência e se adequarem a essa lei.
No entanto, a partir de 01 de agosto de 2021, aqueles que não cumprirem essa 
Lei e não se adequarem a ela, poderão sofrer as punições previstas nessa Lei 
(trataremos disso mais adiante no livro)
É preciso ficar atento para o fato de que estrutura física da Autoridade Nacional 
de Proteção de Dados foi criada sem dotação orçamentária específica e sem 
aumento de despesa, sendo certo que a sua constituição foi feita valendo-se de 
servidores emprestados de outros órgãos, compartilhamento de espaço físico 
destinado a outras atividades.
Contudo, fato é que pela importância das atividades a serem desenvolvidas pela 
Autoridade, bem como o crescimento de suas demandas, ela precisará investir na 
sua estrutura e para fazê-lo precisará de dinheiro. 
E esses recursos virão, prioritariamente, da arrecadação das multas aplicadas. 
Em razão disso, este é um momento importante para que você e sua empresa se 
adequem às normas da lei, a fim de evitar penalidades desnecessárias. 
7. QUAIS DADOS SÃO PROTEGIDOS PELA LGPD?
A LGPD garante proteção a todos os dados pessoais, estejam eles em formato 
físico ou digital. Isso significa dizer que a LGPD protege desde o dado que está no 
arquivo morto físico ou naqueles fichários antigos como os dados que estão nas 
nuvens sob a custódia de alguma empresa.
A LGPD protege os dados de pessoas, não abrangendo dados de 
pessoas jurídicas – os quais não são considerados dados pessoais 
para os efeitos da Lei. 
22
Apenas a título de informação, as pessoas jurídicas que tenham seus dados 
violados ou utilizados indevidamente também poderão pleitear reparação e 
indenização. Contudo, não o farão com base na LGPD, mas com base no Código 
Civil Brasileiro.
Resumindo, a LGPD protege os dados dos seres humanos, mas NÃO PROTEGE 
OS DADOS DE PESSOAS JURÍDICAS (empresas), tampouco de animais! 
8. QUAIS SÃO OS FUNDAMENTOS DESTA LEI?
A LGPT tem como fundamento princípios protegidos pela Constituição Federal 
relacionados ao direito de personalidade, privacidade,informação, liberdade de 
expressão, desenvolvimento econômico, dentre outros.
Seus preceitos buscam coordenar valores importantes e contraditórios como o 
desenvolvimento econômico (que pressupõe o avanço tecnológico, a necessidade de 
compartilhamento de dados) e o direito à privacidade (que pressupõe a proteção à 
intimidade, à autodeterminação informativa, à liberdade de expressão, dentre outros)
Assim, são fundamentos da LGPD: 
a) O Respeito à privacidade. 
 A privacidade diz respeito ao direito de garantia da inviolabilidade da 
intimidade, da vida privada. Isso significa dizer que você não poderá usar 
os dados de uma pessoa de modo a expor as suas relações pessoais, a sua 
intimidade ou a sua honra ou a sua imagem e caso isso não seja respeitado, 
você e/ou a sua empresa estarão sujeitos a ação de indenização para 
reparação de dano material e/ou moral decorrentes de sua violação.
b) A autodeterminação Informativa. 
 A autodeterminação é um termo filosófico e aristotélico que tem como 
base a possibilidade de um indivíduo agir ou não agir, de ter a liberdade e 
a possibilidade de determinar a si mesmo, de decidir por si próprio. Assim, 
quando falamos em autodeterminação informativa, estamos falando sobre 
a possibilidade do indivíduo, titular do dado, exigir que seus dados deixem 
de ser tratados 6, sejam modificados, revistos, retificados, dentre outros.
 Para se autodeterminar, o titular dos dados precisa saber como e para que 
os dados por ele cedidos serão usados, daí a previsão do consentimento 
do titular que é a manifestação de vontade através da qual o indivíduo se 
autodetermina.
 
6 https://paduanseta.jusbrasil.com.br/artigos/762224470/o-que-e-autodeterminacao-informativa-e-como-isso-tem-a-ver-com-a-lgpd 
23
c) A liberdade de expressão, de informação, de comunicação 
e de opinião. 
 A liberdade de pensamento que abrange toda forma de expressão artística, 
jornalística, cultural, religiosa, etc, é prevista pelo artigo 220 da Constituição 
que dispõe que “A manifestação do pensamento, a criação, a expressão e a 
informação, sob qualquer forma, processo ou veículo, não sofrerão qualquer 
restrição, observado o disposto nesta constituição”. 
 Assim, nenhuma lei poderá limitar a liberdade de expressão, de informação 
jornalística, em qualquer veículo de comunicação social 7. Isto significa dizer 
que é vedada toda e qualquer censura de natureza política, ideológica e 
artística. E exatamente o que vemos nesta lei quando excetua do seu campo de 
sua abrangência o tratamento de dados para fins exclusivamente particulares 
e não econômicos e, ainda, para fins jornalísticos, artísticos e acadêmicos. 
 
d) A inviolabilidade da intimidade, da honra e da imagem. 
A intimidade, a honra e a imagem são protegidas pelo inciso X, do art. 5 
da Constituição, que garante ao titular o direito de indenização por danos 
morais e materiais, caso tenha seus direitos violados. A ‘intimidade’ diz 
respeito ao círculo de relações mais próximas de um indivíduo, tais como 
as relações mantidas com seus familiares. Proteger a intimidade é impedir 
a intromissão de estranhos na vida privada e familiar de cada um, limitando 
o compartilhamento de informações pessoais e íntimas dos indivíduos sem 
seu consentimento 8. A honra, por sua vez, traduz-se pelo sentimento de 
dignidade própria e a imagem pelo apreço social, relacionado à reputação 
e à boa fama do cidadão na sociedade. 
e) O desenvolvimento econômico e tecnológico e a inovação. 
É um direito humano inalienável, em virtude do qual toda pessoa está 
habilitada a participar do desenvolvimento econômico, social, cultural 
e político, para ele contribuir e dele desfrutar, no qual todos os direitos 
humanos e liberdades fundamentais possam ser plenamente realizados.
 Em outras palavras, é o direito que garante a você e à sua empresa a 
possibilidade de crescerem e participarem do desenvolvimento econômico, 
tecnológico, social, cultural e político do país, desde que respeitando os 
direitos individuais de cada pessoa.
f) A livre inciativa, a livre concorrência e a defesa do 
consumidor. 
 A livre iniciativa, a livre concorrência e a defesa do consumidor são 
princípios constitucionais da ordem econômica que visam coibir práticas 
de concorrência desleal e atos que configurem infração contra a ordem 
econômica. A livre iniciativa diz respeito à liberdade dos cidadãos 
constituírem seus próprios negócios e a livre concorrência diz respeito 
à liberdade de competição entre essas empresas. A LGPD incentiva a 
iniciativa privada e prevê que ela deve ser exercida em respeito ao direito 
do consumidor e do titular dos dados.
7 https://www.conjur.com.br/2021-fev-28/opiniao-direito-esquecimento-lgpd-liberdade-expressao 
8 https://www.politize.com.br/artigo-5/intimidade/
24
g) Os direitos humanos, o livre desenvolvimento da 
personalidade, a dignidade e o exercício da cidadania 
pelas pessoas. 
 Os direitos humanos, o livre desenvolvimento da personalidade e 
a dignidade dizem respeito às liberdades individuais, do direito do 
indivíduo decidir como construir sua personalidade, sem a interferência 
de terceiros, assegurando uma autodeterminação própria do seu 
desenvolvimento. Dizem respeito também às relações sociais e 
ambientais em que a pessoa está inserida, uma vez que afetam o seu 
desenvolvimento 9. 
9. A QUAIS OPERAÇÕES ESTA LEI SE APLICA?
A LGPD é aplicável a qualquer operação de tratamento de dados pessoais 
que tenham sido coletados dentro do território brasileiro ou que tenham 
como objetivo fornecer bens ou serviços a pessoas localizadas no Brasil, 
independentemente se esses dados pessoais terem sido coletados offline ou 
online, em meios físicos ou virtuais. 
A LGPD se aplica a empresas que têm estabelecimento no Brasil e/ou oferecem 
produtos e serviços ao mercado brasileiro e/ou coletam e tratam de dados de 
pessoas que estejam no país.
Conforme se vê a LGPD adotou o critério da territorialidade no tocante à coleta 
dos dados para definir o seu âmbito de aplicação.
Em outras palavras, isso significa dizer que esta lei se aplica a todas as operações de 
captura de leads, fechamento de contratos, envio de mensagens de publicidade, 
conteúdo e oferta de e-mails, mensagens no Whatsapp, telefone, dentre outros, 
de pessoas localizadas no Brasil ou cujos dados tenham sido coletados no Brasil.
EXEMPLO RECENTE DA EMPRESA WHATSAPP 
Em janeiro de 2021, o WhatsApp anunciou que promoveria uma mudança em 
sua política de privacidade. Na nova versão, o aplicativo de mensagens detalhava 
práticas de tratamento de dados pessoais dos usuários, afirmando não expandir 
a habilidade de compartilhamento de informações com o Facebook, proprietário 
do WhatsApp. 
Algum tempo depois do anúncio, a empresa decidiu prorrogar a entrada em 
vigor da nova política, com o objetivo de fornecer aos usuários mais informações 
sobre privacidade e segurança.
Diante dessa informação, o CADE - Conselho Administrativo de Direito Econômico, 
o MPF – Ministério Público Federal, a ANPD - Autoridade Nacional de Proteção 
de Dados e a Senacon – Secretaria Nacional do Consumidor emitiram uma 
recomendação ao aplicativo de mensagens e ao Facebook indicando a adoção 
9 https://www.google.com/amp/s/vieiravictor.jusbrasil.com.br/artigos/1108676532/o-que-e-o-livre-desenvolvimento-da-
personalidade/amp
25
de providências relacionadas à nova política, enquanto não forem adotadas as 
recomendações sugeridas após as análises dos órgãos reguladores.
Nessa recomendação, as instituições apontaram que a política de privacidade 
e as práticas de tratamento de dados apresentadas pelo WhatsApp podem, em 
princípio, representar violações aos direitos dos titulares de dados pessoais. As 
instituições ainda demonstrarampreocupação com os potenciais efeitos sobre a 
concorrência e sob a ótica da proteção e defesa do consumidor 10. 
Em resposta, a empresa whatsapp informou que irá adiar a implementação da 
nova política de segurança da empresa.
10. A QUAIS OPERAÇÕES ESTA LEI NÃO SE 
APLICA? 
Se a legislação brasileira adotou o princípio da territorialidade da captura dos 
dados, isso significa dizer que, em linhas gerais, a lei não se aplicada a dados 
coletados fora do território nacional.
Também não se aplica ao tratamento de dados realizados: 
a) para fins exclusivamente particulares e sem finalidade econômica. (Ex.: 
enviar um e-mail a um amigo)
b) para fins jornalísticos (informação jornalística que menciona os dados 
pessoais de uma pessoa em uma notícia)
c) para fins acadêmicos (a menção aos dados de pessoas, com exemplo trazido 
por um professor aos seus alunos)
d) p ara fins artísticos (uma pintura que retrata um indivíduo de forma caricata 
ou uma foto artística que pega a imagem de um grupo de pessoas)
e) para fins exclusivos de segurança pública, defesa nacional, segurança do 
Estado ou atividades de investigação e repressão de infrações penais, cujos 
tratamentos de dados serão objeto de legislação específica. Esta hipótese 
só poderá ser utilizada por agente de tratamento público, sendo vetada a 
utilização por empresa privada.
 Ex.: o tratamento de dados de um titular suspeito de ser terrorista ou da 
prática de algum crime contra a segurança nacional.) 
10 https://www.gov.br/anpd/pt-br
26
f) dados coletados fora do território nacional e que não sejam objeto de 
comunicação ou compartilhamento com empresas brasileiras ou objeto de 
transferência internacional de dados com outro país diverso do país onde 
os dados são coletados, desde que o país de proveniência proporcione grau 
de proteção de dados pessoais adequado ao previsto nesta Lei. 
 Ex.: um brasileiro que, estando de férias nos EUA, entra em um aplicativo 
de relacionamento estrangeiro. A proteção dos seus dados, nesse caso, será 
regida pela legislação norte-americana e não pela LGPD, tendo em vista que 
os dados foram coletados fora do país, a empresa não comunica seus dados 
com nenhuma empresa brasileira de tratamento de dados e o serviço foi 
oferecido fora do país)
27
CONCEITOS
QUE VOCÊ 
PRECISA 
ENTENDER
28
CAPÍTULO II
CONCEITOS QUE VOCÊ 
PRECISA ENTENDER 
Pra entender a lei, a gente precisa entender a terminologia utilizada para que ela 
faça sentindo. Se a gente não entender o significado das palavras, a informação 
não será compreendida ou pior, a compreensão pode ser equivocada e a gente 
vai errar achando que está acertando.
O problema é que, perante a Lei, não podemos alegar desconhecimento. Por 
isso, vamos entender, primeiramente, algumas terminologias utilizadas na LGPD 
antes de nos aprofundarmos nela.
Se você já conhece essas terminologias, pule para o próximo capítulo, mas se 
você desconhece ou não tem certeza se conhece ou não, continue lendo.
Vamos fazer isso de uma forma direta e objetiva, apresentando a terminologia e 
o seu significado. 
Vamos lá ...
DADO PESSOAL – É qualquer informação relacionada à pessoa física, seja ela uma 
pessoa identificada ou identificável como, por exemplo, nome (e sobrenome), 
e-mail, telefone, Whatsapp, endereço, redes sociais, etc
DADO PESSOAL SENSÍVEL - Dado pessoal sobre origem racial ou étnica, convicção 
religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, 
filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou 
biométrico, quando vinculado a uma pessoa. 
DADO ANONIMIZADO - Dado relativo a titular que não possa ser identificado, 
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião 
de seu tratamento
BANCO DE DADOS - Conjunto estruturado de dados pessoais, estabelecido em 
um ou em vários locais, em suporte eletrônico ou físico
TITULAR – É a pessoa natural a quem se referem os dados pessoais que são 
objeto de tratamento (continue lendo que existe uma explicação sobre a palavra 
“tratamento”)
CONTROLADOR – É a pessoa natural (física) ou jurídica (empresa), de direito 
público ou privado, responsável pelas decisões referentes ao que será feito com 
os dados pessoais coletados
OPERADOR – é a pessoa natural (física) ou jurídica (empresa), de direito público 
29
ou privado, que utiliza os dados pessoais em nome do controlador, ou seja, é a 
pessoa ou empresa que você contratou para cuidar da coleta e uso dos dados 
pessoais
ENCARREGADO – é a pessoa indicada pelo controlador e operador para atuar 
como canal de comunicação entre o controlador, os titulares dos dados e a 
Autoridade Nacional de Proteção de Dados (ANPD) 
AGENTES DE TRATAMENTO – é o controlador e o operador
TRATAMENTO – É toda operação realizada com dados pessoais, como as que se 
referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, 
transmissão, distribuição, processamento, arquivamento, armazenamento, 
eliminação, avaliação ou controle da informação, modificação, comunicação, 
transferência, difusão ou extração. Em resumo, é tudo que você faz com os dados 
pessoais desde a coleta até sua utilização
ANONIMIZAÇÃO – É a utilização de meios técnicos razoáveis e disponíveis no 
momento do tratamento, por meio dos quais um dado perde a possibilidade 
de associação, direta ou indireta, a um indivíduo. O que significa isso? Significa 
você ter os dados mas não poder relacioná-los ao seu titular. Mas pra quê isso me 
serve? Para análise, pesquisa, histórico e tomada de decisão da sua atividade. 
Suponhamos que você tenha feito uma campanha para venda de um produto para 
pessoas de 30 a 60 anos. Após o término da campanha ao invés de você descartar 
os dados, como seria o correto a ser feito já que a finalidade foi alcançada, você 
poderá anonimizar os dados (desassociá-los dos seus titulares) para fazer uma 
pesquisa mais detalhada sobre o seu público, o comportamento de consumo, 
suas dores, sonhos, se a comunicação foi assertiva, dentre outros.
CONSENTIMENTO: É a manifestação livre, informada e inequívoca pela qual o 
titular concorda com o tratamento de seus dados pessoais para uma finalidade 
determinada
BLOQUEIO: É a suspensão temporária de qualquer operação de tratamento, 
mediante guarda do dado pessoal ou do banco de dados
ELIMINAÇÃO: Exclusão de dado ou de conjunto de dados armazenados em banco 
de dados, independentemente do procedimento empregado
TRANSFERÊNCIA INTERNACIONAL DE DADOS: É a transferência de dados 
pessoais para país estrangeiro ou organismo internacional do qual o país seja 
membro
USO COMPARTILHADO DE DADOS: É a comunicação, difusão, transferência 
internacional, interconexão de dados pessoais ou tratamento compartilhado de 
bancos de dados pessoais por órgãos e entidades públicos no cumprimento de 
suas competências legais, ou entre esses e entes privados, reciprocamente, com 
autorização específica, para uma ou mais modalidades de tratamento permitidas 
por esses entes públicos, ou entre entes privados
30
RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS: É a documentação 
do controlador que contém a descrição dos processos de tratamento de dados 
pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, 
bem como medidas, salvaguardas e mecanismos de mitigação de risco
ÓRGÃO DE PESQUISA: É o órgão ou entidade da administração pública direta 
ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente 
constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua 
missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou 
aplicada de caráter histórico, científico, tecnológico ou estatístico
AUTORIDADE NACIONAL: É o órgão da administração pública responsável por 
zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território 
nacional. 
31
O QUE É 
TRATAMENTO
DE DADOS?
32
CAPÍTULO III
TRATAMENTO DE DADOS:
O QUE VOCÊPRECISA SABER
Agora é a hora de começarmos a aprofundar na LGPD e vamos fazer isso em 
partes para facilitar a sua compreensão.
Usando uma analogia, seria como se fôssemos construir uma casa. A gente não 
começa a casa pelo telhado nem pelo acabamento ... a gente começa a casa 
pelas fundações e é isso que iremos fazer aqui. 
Se você começar pelo telhado, não vai dar certo ... então vamos começar pelas 
fundações e, pra isso, vamos utilizar o método das perguntas e respostas para 
facilitar sua compreensão. 
Vamos lá ... 
11. O QUE É TRATAMENTO DE DADOS 
PESSOAIS DE ACORDO COM A LGPD?
Segundo a LGPD, “tratamento de dados pessoais” é toda operação realizada 
com dados pessoais como, por exemplo, as que se referem à coleta, produção, 
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, 
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle 
da informação, modificação, comunicação, transferência, difusão ou extração. Em 
outras palavras, “tratamento de dados pessoais” é tudo que você faz com os dados 
coletados das pessoas interessadas no seu produto e/ou serviço, simples assim.
Se você observar bem, a conceituação da lei considera tratamento a prática de 
20 ações, ou seja, tudo que você faz com os dados pessoais desde a coleta até sua 
utilização. Vejamos:
1. Coleta,
2. Produção,
3. Recepção,
4. Classificação,
5. Utilização,
6. Acesso,
7. Reprodução,
8. Transmissão,
9. Distribuição,
10. Processamento,
11. Arquivamento,
12. Armazenamento,
13. Eliminação,
14. Avaliação ou 
15. Controle da informação,
16. Modificação, 
17. Comunicação,
18. Transferência, 
19. Difusão ou
20. Extração.
33
É difícil imaginar o uso de um dado que não se enquadre no conceito de 
tratamento previsto pela LGPD. Até o arquivamento e armazenamento que você 
faz em arquivo morto de papel é considerado tratamento, bem como o descarte 
ou a eliminação desse dado, que também é uma forma de tratamento. Assim, 
todas estas práticas deverão observar os preceitos da lei.
12. O QUE É PRECISO OBSERVAR PARA 
TRATAR DADOS?
Essa é uma pergunta importante, porque a LGPD trouxe mudanças significativas 
que vão alterar impactar a vida de todas as pessoas, eis que traz uma mudança 
de cultura que precisa ser assimilada por nossa sociedade.
O Brasil sempre se cultuou a prática da ‘big data’, ou seja, a ideia de quanto mais 
informação melhor. Desta forma, as empresas estavam acostumadas à coleta do 
máximo de dados possíveis, independentemente da necessidade e finalidade. 
Isso era comum porque o tratamento de dados não gerava responsabilidade para 
os controladores.
A LGPD, contudo, trouxe a ideia da ‘small data’, ou seja, deve-se coletar o mínimo 
de dados possível, ou seja, apenas os necessários às finalidades do tratamento 
desejado. 
Exemplo: Suponhamos que você vá a uma livraria comprar um livro e na hora 
de fazer o seu cadastro, além do nome e CPF a loja lhe peça para informar o 
endereço, a data de aniversário, sexo, tipo de leitura que gosta, signo, religião e 
idade. Ora, qual a finalidade de todas essas informações? São compatíveis com a 
finalidade da empresa (vender livros)? Será realmente necessário saber o signo, 
religião, idade, sexo e endereço?
Lembre-se que hoje você pode se negar a informar seus dados caso o controlador 
não justifique a finalidade para a qual eles estão sendo coletados. E ainda 
assim, você poderá optar por não fornecer, caso o tratamento dependa do seu 
consentimento.
 
Com base nisso, todo tratamento de dados deverá observar princípios que 
garantam ao titular proteção aos seus dados pessoais, conforme veremos a seguir.
34
13. QUAIS PRINCÍPIOS DEVEM SER 
OBSERVADOS NO TRATAMENTO DE DADOS? 
 
O tratamento de dados pessoais deverá observar alguns princípios. O primeiro 
deles, considerado fundamento do tratamento de dados, é o da BOA-FÉ. A boa-fé 
pressupõe a existência de um padrão ético de conduta para as partes nas mais 
diversas relações obrigacionais. 
A boa-fé está relacionada tanto à intenção entre os contratantes (boa-fé subjetiva), 
como também às atitudes por eles tomadas (boa-fé objetiva). 
No princípio da boa-fé estão implícitos uma série de direitos anexos, tais como 
o ‘dever de cuidado em relação à outra parte negocial; dever de respeito; dever 
de informar a outra parte sobre o conteúdo do negócio; dever de agir conforme 
a confiança depositada; dever de lealdade e probidade 11; dever de colaboração 
ou cooperação; dever de agir com honestidade; dever de agir conforme a 
razoabilidade, a equidade e a boa razão’ 12
 
O tratamento de dados deverá respeitar também os princípios abaixo:
PRINCÍPIO DO QUE SE TRATA
FINALIDADE
realização do tratamento para 
propósitos legítimos, específicos, 
explícitos e informados ao titular, sem 
possibilidade de tratamento posterior 
de forma incompatível com essas 
finalidades
ADEQUAÇÃO
compatibilidade do tratamento com 
as finalidades informadas ao titular, de 
acordo com o contexto do tratamento
NECESSIDADE
limitação do tratamento ao mínimo 
necessário para a realização de suas 
finalidades, com abrangência dos 
dados pertinentes, proporcionais e não 
excessivos em relação às finalidades do 
tratamento de dados
11 Probidade significa agir de acordo com os princípios éticos e morais aceitos em uma sociedade. Significa ter integridade 
de caráter. É uma característica de pessoas que costumam agir com ética e honra nas suas decisões.” https://www.
significados.com.br/probidade/ Significado de Probidade (o que é, Conceito e Definição)
12 https://www.aurum.com.br/blog/principio-da-boa-fe/ Boa-fé: saiba TUDO sobre esse importante princípio jurídico.
35
LIVRE ACESSO
garantia, aos titulares, de consulta 
facilitada e gratuita sobre a forma e 
a duração do tratamento, bem como 
sobre a integralidade de seus dados 
pessoais
QUALIDADE DOS DADOS
garantia, aos titulares, de exatidão, 
clareza, relevância e atualização dos 
dados, de acordo com a necessidade e 
para o cumprimento da finalidade de 
seu tratamento
TRANSPARÊNCIA
garantia, aos titulares, de informações 
claras, precisas e facilmente acessíveis 
sobre a realização do tratamento e os 
respectivos agentes de tratamento, 
observados os segredos comercial e 
industrial
SEGURANÇA
utilização de medidas técnicas e 
administrativas aptas a proteger 
os dados pessoais de acessos não 
autorizados e de situações acidentais 
ou ilícitas de destruição, perda, 
alteração, comunicação ou difusão
PREVENÇÃO
adoção de medidas para prevenir a 
ocorrência de danos em virtude do 
tratamento de dados pessoais;
NÃO DISCRIMINAÇÃO
impossibilidade de realização do 
tratamento para fins discriminatórios 
ilícitos ou abusivos (ex: características 
como religião, política, racial, 
caraterísticas físicas, comorbidades...)
RESPONSABILIZAÇÃO E 
PRESTAÇÃO DE CONTAS
demonstração, pelo agente, da 
adoção de medidas eficazes e capazes 
de comprovar a observância e o 
cumprimento das normas de proteção 
de dados pessoais e, inclusive, da 
eficácia dessas medidas
36
Para que você e sua empresa realizem 
tratamentos legítimos e legais, ao fazê-lo 
deverão se perguntar:
• Quero tratar esse dado pra qual finalidade?
• Esse tratamento é adequado, ou seja, é proporcional às finalidades?
• É necessário às finalidades ou é excessivo?
• Permite ao titular consulta facilitada?
• Os dados estão corretos, atualizados? São suficientes?
• O titular desses dados tem informações claras, precisas e facilmente 
acessíveis sobre a realização desse tratamento? 
• Ao efetuar este tratamento, os dados do titular estarão seguros?
• O que o poderei fazer para evitar possíveis riscos ou danos decorrentes 
deste tratamento?
• O tratamento desses dados é discriminatório?
• O tratamento desses dados é abusivo?
• O tratamento desses dados é ilícito?
• Ao tratar esses dados minha empresa está cumprindo todas as medidas 
eficazes e as normas de proteção de dados pessoais?
Se você conseguir responder adequadamente a todas as perguntas,então o seu 
tratamento estará em consonância com os princípios legais que devem regê-lo.
Princípios são linhas mestras, é como se fossem um grande farol apontando a 
direção na qual você deve seguir. Dessa forma, sempre você tiver dúvida sobre 
a adequação do tratamento (uso) que você pretenda dar ao dado, você deve 
se fazer as perguntas acima, a fim de garantir a legalidade e a legitimidade do 
tratamento.
É importante destacar que, mesmo para os dados pessoais de acesso público, 
o tratamento deverá considerar a finalidade, a boa-fé e o interesse público que 
justificaram sua disponibilização.
Além disso, mesmo nas hipóteses de dispensa de consentimento previstas nesta 
lei (apresentadas no capítulo anterior), o tratamento de dados deverá sempre 
observar os princípios listados acima.
37
14. EM QUAIS HIPÓTESES PODE SER 
REALIZADO O TRATAMENTO DE DADOS 
PESSOAIS?
Segundo a LGPD você só pode tratar os dados de uma pessoa nas hipóteses 
previstas em lei. Isso significa dizer que qualquer tratamento de dados que você 
faça precisa ou estar amparado por um dispositivo legal ou ter o consentimento 
de vontade do titular.
Assim, a LGPD vai enumerar as hipóteses legais de tratamento:
 
1ª situação: no caso dos dados pessoais, quando se verificar a ocorrência de 
qualquer uma das hipóteses previstas em seu artigo 7o (ao todo, são dez bases 
legais que iremos abordar a seguir em detalhes)
2ª situação: no caso de dados pessoais sensíveis, quando se verificar a ocorrência 
de uma das hipóteses previstas no artigo 11 (ao todo são oito bases legais que 
iremos abordar a seguir em detalhes). 
15. QUAIS SÃO AS BASES LEGAIS PARA 
O TRATAMENTO DE DADOS PESSOAIS 
COMUNS?
Conforme anteriormente mencionado, o tratamento de dados pessoais, previstos 
no art. 7o da LGPD, poderá ser realizado mediante:
a) Consentimento do titular 
b) Sem o consentimento, nas hipóteses abaixo:
• Para o cumprimento de obrigação legal ou regulatória pelo controlador 
(ex.: imobiliária que informa à Receita Federal sobre o imposto que reteve 
na fonte em relação aos alugueres recebidos como intermediária dos 
proprietários dos imóveis) 
• Para a execução de políticas públicas, pela administração pública 
(transferência do tratamento de pacientes de câncer de um hospital geral, 
para um Centro Oncológico)
• Para a realização de estudos por órgão de pesquisa (Informação dos 
hospitais para a Secretaria Municipal de Saúde dos pacientes com COVID-19)
38
• Para a execução de contrato ou de procedimentos preliminares (ex.: envio 
para a contabilidade da ficha cadastral do novo empregado contratado 
para registro no livro próprio)
• Relacionados a contrato do qual seja parte o titular, a pedido do titular 
dos dados (ex.: portabilidade de linha telefônica para outra operadora)
• Para o exercício regular de direitos em processo judicial, administrativo 
ou arbitral (ex.: Caso o empregado tenha sido demitido, o arquivamento 
dos seus dados pelo prazo de 02 (dois) anos pelo controlador é justificável 
tendo em vista ser esse o prazo que o empregado tem para ajuizar alguma 
reclamação trabalhista contra o empregador após a sua dispensa)
• Para a proteção da vida ou da segurança física do titular ou de terceiro 
(ex.: uso de reconhecimento facial para garantir a segurança da empresa, 
seus empregados e clientes. O reconhecimento facial é uma tecnologia 
interessante porém, se não for usada de forma a caracterizar o objetivo 
específico de segurança, pode ser considerada violação à LGPD no tocante 
à proteção à imagem, além de abuso e excesso do controle por parte do 
controlador quanto aos empregados)
 A título de curiosidade, “a prefeitura de São Paulo bloqueou 331.641 
cartões de Bilhete Únicos nos últimos dois anos por meio da ‘tecnologia de 
reconhecimento facial’. A tecnologia é empregada para encontrar cartões 
que sejam utilizados por terceiros, dessa maneira, evitando fraude.” 13 
• Para a tutela da saúde, exclusivamente, em procedimento realizado por 
profissionais de saúde, serviços de saúde ou autoridade sanitária (ex.: 
vacinação por idade)
• Para atender aos interesses legítimos do controlador ou de terceiro, 
exceto no caso de prevalecerem direitos e liberdades fundamentais do 
titular que exijam a proteção dos dados pessoais
• Para a proteção do crédito (ex.: SERASA que disponibiliza os dados sobre 
clientes devedores)
Conforme podemos observar, são inúmeras as hipóteses em que as pessoas ou 
empresas estão autorizadas a tratar dados pessoais sem autorização do titular. É 
por isso que no processo de adequação da empresa à LGPD você deverá identificar 
quais processos internos tratam dados pessoais e, ainda, definir o fundamento 
legal de cada tratamento. 
Para todas as hipóteses cujo tratamento não tenha uma previsão legal 
correspondente, há que se obter o consentimento do titular do dado. É conveniente 
que as empresas procurem ao máximo enquadrar o tratamento que dão aos 
dados às hipóteses legais que não dependam do consentimento, tendo em vista 
que este pode ser revogado pelo titular a qualquer momento.
13 https://youtu.be/ZsLBXTUxJ4K Segurança Digital e Proteção de Dados – Dra. Patrícia Peck Pinheiro
39
Outro aspecto importante a se observar neste hall é a hipótese de tratamento 
por ‘legítimo interesse do controlador’, por ser um conceito vago, amplo e 
completamente subjetivo, sobre o qual falaremos a seguir.
16. O QUE É LEGÍTIMO INTERESSE DO 
CONTROLADOR?
A LGPD autoriza o uso de dados em caso de “interesses legítimos do controlador”, 
mesmo que não haja consentimento do titular. O que seria esse legítimo interesse 
do controlador? 
Primeiramente há que se dizer que o fato de ‘legítimo interesse’ ser um conceito 
extremamente subjetivo, não pode servir para justificar práticas abusivas, eximindo 
as empresas de solicitar o consentimento dos titulares.
O art. 10 da LGPD prevê que o uso de dados com base no “legítimo interesse” 
somente deve se dar a partir de situações concretas, como por exemplo:
 a) Apoio e promoção de atividades do controlador
 b) Proteção, em relação ao titular, do exercício regular de seus direitos
 c) Prestação de serviços que o beneficiem, respeitadas as legítimas 
expectativas dele e os direitos e liberdades fundamentais.
40
Obviamente, nem todo interesse no tratamento de dados é legítimo. Há quem 
considere exemplos práticos de legítimo interesse para fundamentar o tratamento 
de dados 14 , como por exemplo:
• A coleta de informações para detectar ou prevenir fraudes
• A captura de cliques de consumidores em seu site para melhoria da sua 
experiência on-line
• O processamento de dados pessoais para análise de perfil de clientes
• A oferta de marketing direto
• O controle do horário de entrada e saída dos funcionários da empresa
• A realização de pesquisas com funcionários, questionando quais suas 
preferências de lazer para elaborar políticas de bem-estar dentro da 
empresa
• O monitoramento dos deslocamentos realizados por empregados em 
viagens a trabalho
Certo é que o legítimo interesse é a hipótese mais flexível de autorização legal 
para tratamento de dados pessoais e por isso mesmo precisa ser usado com 
cuidado.
A limitação que a lei impõe ao uso dos dados por legítimo interesse do controlador 
é quando esse tratamento violar os direitos e liberdades fundamentais do titular. 
Hipótese em que os dados não poderão ser tratados, mas protegidos.
Assim, sempre que sua empresa desejar usar dados, sem autorização do titular, 
por ‘legítimo interesse’ você deverá se perguntar: Esse tratamento viola algum 
direito ou liberdade do titular?
Outro cuidado que se deve tomar quando sua empresa for tratar dados com base 
no legítimo interesse é usar apenas os dados pessoais estritamente necessários à 
finalidade pretendida.
Além disso, o controlador deverá adotar medidas para garantir a transparência 
desse tipo de tratamento.
Outra peculiaridade do tratamento por legítimo interesse do controlador é que 
a empresa será obrigadaa emitir relatório de impacto do tratamento realizado 
sempre que solicitado pela Autoridade Nacional de Proteção de Dados.
14 https://chcadvocacia.adv.br/blog/legitimo-interesse/
41
Resumindo, para que você ou sua empresa usem dados pessoais 
em seu legítimo interesse, deverão:
• Ter um interesse realmente legítimo
• Ser indispensável o tratamento dos dados para atingir esse legítimo 
interesse;
• Não haver outra base legal para o tratamento dos dados (não ser possível o 
consentimento, por exemplo)
• Zelar pelos direitos e liberdades fundamentais do titular;
• Tratar os dados apenas para as finalidades específicas;
• Tratar apenas os dados estritamente necessários;
• Manter o registro de todas as operações de tratamento de dados;
• Ser transparente quanto ao tratamento desses dados;
• Emitir relatório de impacto à proteção de dados pessoais quando solicitado 
pela ANDP
• Prevenir e reduzir eventuais danos ao titular dos dados, com a adoção de 
medidas de segurança de dados e privacidade.
Exemplo: 
Ana compra hambúrguer no e-commerce do Burguer Queen, para isso fornece 
suas preferências de sabor de hambúrguer, seu endereço residencial e seus 
dados do cartão de crédito. No site de vendas, Ana não marca a opção de receber 
publicidade da empresa. 
A hamburgueria, então, coleta e guarda seus dados para entrega do hambúrguer. 
Cinco dias após a compra, Ana recebe, na caixa postal do seu prédio, um cupom 
de desconto da Burger Queen para compra de hambúrguer.
Nesse caso, é inquestionável que a Burguer Queen realizou o tratamento de dados 
da consumidora para fins de publicidade, sem o seu consentimento. Seria esse 
tratamento abusivo ou justificável pelo legítimo interesse da hamburgueria vender 
mais produtos aos seus clientes, oferecendo-lhes cupons em benefício destes? 15
O envio dos cupons seria hipótese de tratamento de dados por legítimo interesse 
do controlador. Referido tratamento seria legal tendo em vista corresponder às 
expectativas do titular 16. 
15 e 16 https://chcadvocacia.adv.br/blog/legitimo-interesse/
42
Além disso, não houve por parte da Burger Queen intromissão excessiva na 
vida privada da cliente, nem qualquer outro dano a seus direitos e liberdades. 
A empresa obedeceu à LGPD e tratou os dados apenas para uma finalidade 
determinada. Se o titular tem o hábito de consumir produtos da hamburgueria é 
natural que receba ofertas ou lançamento de novos produtos desta. 
Contudo, não se poderia considerar legítimo interesse do controlador o 
compartilhamento de dados feitos pela Burger Queen com a Pizzaria ABC, 
também de sua propriedade, para o envio de promoções e descontos à Ana.
Considerando que o tratamento acima enquadra-se no legítimo interesse do 
controlador, o que poderíamos dizer das inúmeras ligações feitas por sua operadora 
de telefone para oferecer-lhe cada hora um plano ou produto diferente? Também 
esse tratamento poderia ser considerado legítimo interesse do controlador? 
Sendo invasivo, cansativo, insistente e desgastante?
Veja como é tênue o limiar entre a legalidade e a ilegalidade! Veja como é subjetiva 
essa análise, que, a final, ficará a cabo do juízo de valor exclusivo do controlador.
Outro exemplo: João trabalhava na empresa ‘Alcance Administradora’ em 
regime de teletrabalho. A empresa instalou no notebook do empregado, sem 
consentimento expresso, um software que registrava todas as teclas digitadas 
e produzia capturas de telas e de webcam a cada vinte minutos para fins de 
controle administrativo e de jornada.
Neste exemplo, as ações da empresa são consideradas abusivas ou legítimo 
interesse do controlador?
Neste caso, observando as regras supra mencionadas, verifica-se que houve um 
excesso nas ações do controlador, porque não tratou apenas os dados estritamente 
necessários para o controle do empregado. 
Além disso, o ato de fotografar viola o direito à privacidade e à intimidade de 
João, além de correr o risco de capturar a imagem de crianças e outras pessoas 
que circulam no ambiente. O tratamento dos dados pela empresa ‘Alcance 
Administradora’ foi extremamente abusivo, fugindo dos limites do legítimo 
interesse, violando os direitos de João. 
Contudo, sendo possível, prefira o tratamento de dados pessoais com fundamento 
em outra base legal ao invés do legítimo interesse. Isso porque como o legítimo 
interesse é um conceito subjetivo ele pode ser questionado pelo titular e dar 
margem a interpretações, o que aumenta o risco da sua operação.
43
17. QUAIS SÃO AS BASES LEGAIS PARA 
O TRATAMENTO DE DADOS PESSOAIS 
SENSÍVEIS?
 
Os dados sensíveis, conforme já dito no capítulo conceitual são aqueles dados 
passíveis de discriminação, como é o caso da origem racial ou étnica, convicção 
religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, 
filosófico ou político, dado referente à saúde ou à vida sexual, dado genético 
ou biométrico, quando vinculado a uma pessoa natural. Por isso, recebem um 
tratamento mais cuidadoso por parte da lei.
As bases legais para o tratamento de dados pessoais sensíveis estão 
previstas no art. 11 da LGPD. São eles:
.
1. Quando o seu titular consentir
2. Sem o consentimento do titular, nas seguintes hipóteses:
 a) cumprimento de obrigação legal ou regulatória pelo controlador;
 b) tratamento compartilhado de dados necessários à execução, pela 
administração pública, de políticas públicasprevistas em leis ou 
regulamentos;
 c) r ealização de estudos por órgão de pesquisa, garantida, sempre que 
possível, a anonimização dos dados pessoais sensíveis;
 d) exercício regular de direitos, inclusive em contrato e em processo 
judicial, administrativo e arbitral;
 e) proteção da vida ou da segurança física do titular ou de terceiro;
 f) tutela da saúde, exclusivamente, em procedimento realizado por 
profissionais de saúde, serviços de saúde ou autoridade sanitária;
 g) garantia da prevenção à fraude e à segurança do titular, nos processos 
de identificação e autenticação de cadastro em sistemas eletrônicos 
e exceto no caso de prevalecerem direitos e liberdades fundamentais 
do titular que exijam a proteção dos dados pessoais.
44
18. QUAIS AS BASES LEGAIS PARA O 
TRATAMENTO DE DADOS DE MENORES?
Se você trabalha com produtos ou serviços destinados a crianças e adolescentes, 
você precisa saber que a LGPD também prevê uma proteção ainda maior 
para o tratamento dos dados dessas pessoas, tendo em vista a fragilidade e a 
incapacidade de responderem pelos seus atos.
Segundo a legislação brasileira, Estatuto da Criança e do Adolescente, é 
considerada criança a pessoa de 0 a 12 anos incompletos e adolescente a pessoa 
de 12 a 18 anos incompletos.
A LGPD prevê que o tratamento de dados pessoais das crianças e adolescentes 
somente poderá ser realizado, em seu melhor interesse, e mediante O 
CONSENTIMENTO DE PELO MENOS UM DOS PAIS OU RESPONSÁVEIS. Sendo 
que esse consentimento deverá ser específico e em destaque.
Prevê ainda que o controlador deverá realizar esforços razoáveis para verificar que 
o consentimento foi realmente dado pelo responsável pela criança, consideradas 
as tecnologias disponíveis.
Mesmo com o consentimento dado pelos pais ou responsáveis, a LGPD prevê que 
a coleta de dados das crianças ou dos adolescentes envolverá as informações 
estritamente necessárias às atividades (jogos, aplicativos de internet ou outras).
Apenas em duas hipóteses o controlador poderá coletar dados pessoais das 
crianças sem o consentimento:
 • Para contatar os pais ou o responsável e, mesmo assim, utilizados 
uma única vez e sem armazenamento
 • Para a sua proteção
Em nenhuma hipótese poderão ser repassados a terceiros sem o consentimento 
dos pais ou responsáveis.
Os controladores deverão manter pública a informação sobre os tipos de dados 
coletados, a forma de sua utilização e os procedimentos para o exercício dos 
direitos do titular, tudo em linguagem e forma adequadas ao entendimento do 
menor usuário e de seus responsáveis.
45Em resumo, pra você cujo trabalho tem como públicos-alvo crianças ou 
adolescentes, somente poderá coletar e tratar dados legalmente quando observar 
as seguintes regras:
 • Ter um interesse legítimo, ou seja, que realmente justifique essa 
coleta e/ou tratamento do dado
 • Agir de boa-fé
 • Ter o consentimento de pelo menos um dos pais ou responsável
 • Solicitar apenas os dados essenciais à finalidade da atividade
 • Deixar público e com linguagem acessível quais dados pretende 
coletar, para qual finalidade e os procedimentos para exercício dos 
direitos pelo titular
19. É PRECISO CONSENTIMENTO PARA O 
USO DE DADOS TORNADOS PÚBLICOS 
PELO TITULAR?
Não é necessário obter o consentimento do titular para usar os dados tornados 
públicos por ele, contudo é necessária a observância dos princípios gerais e dos 
direitos dos titulares previstos na Lei.
O que isso significa? 
Significa que MESMO que os dados sejam públicos, ainda assim eles estão 
protegidos pela nova LGPD.
Muito cuidado com isso...deixe-me repetir... MESMO QUE OS DADOS SEJAM 
PÚBLICOS, AINDA ASSIM ELES ESTÃO PROTEGIDOS PELA NOVA LGPD!
20. QUAL A DIFERENÇA ENTRE O 
TRATAMENTO DE DADOS PESSOAIS 
COMUNS E SENSÍVEIS?
As diferenças que existem entre o tratamento de dados pessoais comuns e de 
dados pessoais sensíveis são as seguintes:
46
 1. As hipóteses legais de tratamento dos dados sensíveis são muito 
mais restritas que as dos dados comuns;
 2. Os dados sensíveis não podem ser tratados com fundamento no 
“legítimo interesse do controlador”, mas somente nas hipóteses legais 
previstas e mediante consentimento expresso;
 3. O consentimento para o tratamento de dados sensíveis deve ser dado 
de forma específica e para uma finalidade específica;
Vamos entender isso com um exemplo: 
O tratamento de dados para a assinatura de um contrato de prestação de serviço 
de saúde para tratamento de HIV ou de uma doença degenerativa. Esse é um 
dado sensível que deverá ser mantido em sigilo entre as partes. 
O seu uso inadequado, poderá dificultar que a pessoa (o titular) seja aceita em 
vaga de emprego ou seja alvo de preconceito e discriminação. 
É importante saber que a LGPD proíbe a comunicação ou o uso compartilhado 
entre controladores de dados pessoais sensíveis referentes à saúde com objetivo 
de obter vantagem econômica. Exceção à essa regra são as hipóteses relativas à
 
 1. Prestação de serviços de saúde, de assistência farmacêutica e de 
assistência à saúde. Contudo, continua vedado às operadoras de 
planos privados de assistência à saúde o tratamento de dados de 
saúde para a prática de seleção de riscos na contratação de qualquer 
modalidade, assim como na contratação e exclusão de beneficiários 
(§ 5º, art. 7, da LGPD)
 2. Serviços de auxiliares de diagnose e terapia, em benefício dos 
interesses dos titulares de dados e para permitir a portabilidade de 
dados, quando solicitado pelo titular
 3. Transações financeiras e administrativas resultantes do uso e da 
prestação de serviços supra mencionadas.
Vejamos isso com um exemplo:
Uma empresa de assistência à saúde, como a UNIMED, por exemplo, está 
proibida de compartilhar dados sensíveis sobre a saúde de um usuário com uma 
empresa de seguro, para o fim de que essa possa autorizar a contratação ou não 
a contratação de seguro de vida por aquele usuário. 
47
Da mesma forma, um laboratório de imagem, por exemplo, está proibido de 
compartilhar informação sobre um cliente que seja portador de LER – lesão por 
esforço repetitivo (que afeta músculos, nervos, ligamentos e tendões), com uma 
empresa contratante de mão-de-obra em serviços de tecnologia ou com Ente 
Público, no exame médico anterior à posse em concurso público.
Por essa razão, a LGPD prevê que a comunicação ou o uso compartilhado de 
dados pessoais sensíveis entre controladores com objetivo de obter vantagem 
econômica poderá ser objeto de vedação ou de regulamentação por parte da 
Autoridade Nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de 
suas competências.
Contudo, tais dados poderão ser usados, sem o consentimento, quando:
 a) O controlador tiver de cumprir alguma obrigação legal, como por 
exemplo, fornecer relatório para a Autoridade Nacional de Proteção 
de Dados ou ainda para a Organização Mundial de Saúde quanto ao 
número de casos de determinada doença.
 Ex.: Como no exemplo acima com pessoas portadoras de alguma 
doença degenerativa
 
 b) Quando for necessário o compartilhamento dos dados para a 
execução de políticas públicas, previstas em lei, pela administração 
pública. 
 Ex.: Quando o Município requerer aos hospitais informações sobre 
todos os pacientes de COVID-19, a fim de fazer uma análise para 
tomada de providências, ampliação de leitos, deslocamento de 
profissionais, regiões de maior foco, para a revisão da política pública 
existente ou desenvolvimento de uma nova.
 c) Realização de estudos por órgão de pesquisa, neste caso, sempre que 
possível será garantida a anonimização dos dados pessoais.
 Ex.: Quando é feito uma pesquisa de opinião pública por alguma 
agência de pesquisa
 d) Exercício regular de direito, inclusive em contrato e em processo 
judicial, administrativo e arbitral (Processo arbitral é aquele cuja 
solução é dada por um árbitro ou por uma câmara de arbitragem 
escolhida pelas partes) 
 Ex.: Uma empresa de seguro que descobre que o segurado já era 
portador de determinada doença antes da contratação e ajuíza ação 
para recuperar o benefício concedido ao segurado.
48
 
 e) Para a proteção da vida ou da segurança física 
 Ex.: O caso de uma pessoa que toma conhecimento de alguma 
informação sobre algum tipo de crime ou golpe e vai até a polícia 
denunciar o suposto autor.
 f) Para a garantia da prevenção à fraude e à segurança do titular, nos 
processos de identificação e autenticação de cadastro em sistemas 
eletrônicos, observadas as regras de tratamento de dados. 
 Ex.: São os casos das autenticações dos cartórios de notas, contrato 
de união estável celebrado em pessoas do mesmo sexo, registrado no 
cartório de títulos e documentos.
II - CONSENTIMENTO
Conforme visto acima, sempre que o tratamento a ser feito não se enquadrar em 
nenhuma das hipóteses previstas em lei, o controlador e/ou operador precisarão 
obter o consentimento do titular para tratar os seus dados pessoais.
21. O QUE VOCÊ PRECISA FAZER PARA USAR 
OS DADOS DE UMA PESSOA?
49
Esse ponto é CRUCIAL, é o cerne da nova LGPD e não pode ser negligenciado em 
hipótese alguma: você deve, OBRIGATORIAMENTE, verificar se há base legal para 
fazê-lo. Caso não haja, você deverá requerer o consentimento do titular para usá-lo. 
Isso significa dizer que os dados que você possui precisam estar amparados por 
alguma hipótese legal, ainda que seja o consentimento. Caso não estejam, você 
deverá providenciar o consentimento do titular.
Vou repetir isso para ficar bem claro e não ter dúvidas ... você NÃO PODE UTILIZAR 
OS DADOS SEM QUE HAJA UMA BASE LEGAL QUE AMPARE ESSE TRATAMENTO!
22. COMO DEVE SER ESSE CONSENTIMENTO?
O consentimento dado pelo titular é uma autorização simples, mas que deve 
observar dois requisitos básicos:
a) Ser expressa, ou seja, tem de ser fruto de manifestação livre por parte do 
titular, fruto de uma ação. 
O que isso significa? Isso significa dizer que o consentimento não pode estar 
subentendido ou tácito (que possa ser emanado de certos atos positivos 
reveladores da intenção de autorizar). Ele deve ser expresso, concedido por escrito 
ou mediante manifestação digital que demande uma ação do titular.
Um exemplo de “manifestação digital” é o caso que poderá ser previsto em um 
campo onde o titular dos dados possa marcar “Aceito receber informações sobre 
os produtos em promoção desta empresa”, por exemplo. Ainda que o titular 
apenas marque o quadradinho do consentimento, ele o estará dando de forma 
expressa.
Veja um exemplo de cláusula de autorização:
“Ao concordar com a política de privacidade,

Outros materiais

Materiais relacionados

Perguntas relacionadas

Perguntas Recentes