CADERNO - 3o - DIREITO E TECNOLOGIA - MARCUS SEIXAS

Prévia do material em texto

CADERNO – FBDG - 3º semestre DIREITO E TECNOLOGIA – MARCUS SEIXAS 
 
AULA 01 – OBSERVAÇÕES GERAIS E A TECNOLOGIA NO SÉCULO XXI 
 
OBSERVAÇÕES GERAIS DA DISCIPLINA: 
 Disciplina que abre os horizontes e, cada vez mais, trata de uma questão 
contemplada pelos profissionais do Direito; 
 Os principais aspectos das tecnologias utilizadas na vida em sociedade são de 
fundamental importância para que o profissional lide com uma grande quantidade de 
demandas; 
 Avaliações (25/03 e 27/05) serão individuais, compostas por três questões 
(geralmente duas teóricas e uma prática), com limites de linhas e realizadas em sala 
presencialmente. 
 A segunda avaliação será pautada na análise de um caso concreto (é necessário, 
portanto, estudar profundamente o caso para ter a capacidade de responder às 
perguntas); 
 Temas a serem discutidos: LGPD (Lei Geral de Proteção de Dados), a Lei do Marco 
Civil da Internet; a neutralidade dos serviços de internet; a Inteligência Artificial (IA) 
no nosso dia-dia; direito ao esquecimento e à internet; cookies, internet das coisas; 
governança algorítmica; DLT, Blockchain e as criptomoedas; o smartcontract; os 
direitos de autor e P2P; biotecnologia e biossegurança; VANS/drones; 
 
 A LGPD dialoga com os limites e possibilidades do uso de dados pessoais por 
terceiros. 
 
 A Lei do Marco Civil da Internet regulamenta como deve funcionar a internet no 
Brasil, como o país pode regular essa matéria se a internet não é brasileira e quais 
são as fronteiras da intervenção brasileira em temas associados à internet. 
 
 A neutralidade dos serviços de internet pauta-se na proibição de haver 
discriminação com base nos sujeitos ou no objeto/conteúdo de uso da rede. 
 
 Por exemplo, no que tange à atuação da Inteligência Artificial, pode-se citar a ocasião 
na qual há o bloqueio de transações de cartão de crédito, por exemplo, em compras 
realizadas no exterior (Estados Unidos, China...). Assim, contata-se o proprietário 
para verificar se, de fato, aquela transação é válida. Isso ocorre porque a empresa é 
detentora do histórico de compras dos indivíduos. Se, a título exemplificativo, há o 
molde do histórico de compras de Marcus (gasolina, mercado, americanas, amazona, 
magazine, restaurantes – gastos no Brasil), pode ocorrer o bloqueio da transação de 
um material de construção de R$ 30.000,00 que ele adquiriu no Vietnã. Daí a 
necessidade de Marcus confirmar a transação para a confirmação da compra. 
 
 A IA também se encontra presente em serviços de streaming (Netflix, Amazon Prime, 
Sportify), uma vez que é traçado o perfil do consumidor para indicar 
filmes/séries/músicas (sugestões: “como você gostou de X, talvez se interesse por 
Y”). Às vezes é comum termos essa sensação de “espionagem”, principalmente, 
quando recebemos em nosso e-mails ou navegadores anúncios de coisas que 
estávamos procurando ou conversando com alguém a respeito; 
 
 Outro exemplo, cada vez mais comum, consiste no sistema de câmeras de 
reconhecimento facial. No último carnaval realizado na Bahia, antes do período 
pandêmico, o governo anunciou o sistema de câmeras de reconhecimento facial para 
identificar criminosos (e alguns foragidos foram, de fato, capturados). Entretanto, 
essa tecnologia também teve uma má repercussão em virtude da grande quantidade 
de falsos positivos. Portanto, uma vez que se encontra projetada para reconhecer um 
grupo determinado de pessoas (e pautada em uma visão de um sistema branco), essa 
IA precisa ser treinada (deep learning) para não oferecer riscos à população. 
 
 Além dos desafios regulatórios, outro tema essencial vinculado à tecnologia trata-se 
da governança algorítmica – responsabilidade interna da empresa que esteja 
construindo algum tipo de tecnologia, ou seja, antes de lançar a tecnologia no 
mercado é necessário checar e rechecar aquela programação, realizando testes com 
o fito de evitar lançar no mercado um instrumento que ofereça riscos à população. 
 
 Com o Blockchain, não há mais a dependência do armazenamento de informações 
pessoais de forma centralizada, uma vez que há a descentralização dos dados e 
constitui-se uma tecnologia extremamente segura e imune a fraudes (justamente em 
virtude da criação dessa “rede”). O Blockchain também se encontra vinculado às 
criptomoedas (como as bitcoins). 
 
 O smartcontract feito para facilitar e reforçar a negociação ou desempenho de um 
contrato, proporcionando confiabilidade em transações online. Esse smartcontract, 
para algumas pessoas, aproxima as profissões do advogado e do programador – 
trata-se de um contrato que não depende das partes para se concretizar, dando mais 
segurança jurídica. 
 
 No que diz respeito aos direitos de autor e P2P, a ascensão do Torrent, por exemplo, 
torna-se uma grande ameaça. 
 
 Os liames éticos envolvendo a biotecnologia e a biossegurança serão, também, 
contempladas no curso, discutindo-se questões como as células-tronco, transgenia, 
clonagem, etc. 
 
 Os veículos aéreos não tripulados (VANS/drones) são, também, alvo da disciplina, 
uma vez que existem limites para o uso desses no Brasil. 
 
INTRODUÇÃO À LGPD: 
 
1. O controle de dados na contemporaneidade: 
O FaceApp – que se popularizou recentemente por permitir a projeção dos usuários no 
futuro (versão idosa) – possuía uma grande quantidade de informações contidas nos 
celulares desses usuários (como fotos, por exemplo). O PROCOM-SP tentou aplicar uma 
multa nessa empresa, entretanto, esta não detinha patrimônio/sede no Brasil, multando-se 
a Apple e o Google por permitirem a instalação de um aplicativo que colocava em risco a 
privacidade e a segurança dos usuários. 
 
Muita gente faz, hoje em dia, uso das assistentes virtuais (como Siri, por exemplo) – IA de 
reconhecimento de voz e fala -, entretanto, esses recursos fornecem riscos à privacidade dos 
usuários visto que funcionam como microfones instalados no ambiente. 
O Google fatura, principalmente, através de anúncios direcionados a depender do perfil dos 
usuários e pode armazenar informações como áudios dos usuários e monitorar os locais 
mais visitados por eles. O Google, portanto, é uma grande empresa de publicidade (fim), 
sendo a tecnologia (meio) crucial para esse processo de enriquecimento. 
Hoje, usamos bastante as ferramentas do Google como Gmail, Google Maps, Google Street 
View, Google Drive, Google Meet, Google Chrome, Google Agenda, Google Docs – e, por 
conseguinte, assumimos o papel de produto e não de consumidor. Os consumidores são os 
anunciantes. Por isso se diz que “os dados são o novo petróleo”, em virtude, justamente 
dessa economia de dados e da ascensão de empresas de BigDatas (Facebook, Google, 
Apple...) 
 
Cambridge Analytica (escândalo): Essa empresa foi capaz de traçar o alinhamento político 
dos cidadãos e dados foram sendo utilizados para conseguir votos (e, inclusive, converter 
votos) nas eleições presidenciais dos Estados Unidos (inclusive através de fake news) que 
elegeram Donald Trump. Essa polêmica é retratada no documentário da Netflix denominado 
“Privacidade Hackeada”. 
 
 
OBS: O Google teve que borrar as imagens das pessoas que apareciam nas fotos coletadas 
pelo Google Street View (mesmo sem querer o Google adquiria dados dos usuários, uma vez 
que o objetivo era somente fotografar as localizações geográficas). 
 
Durante o período pandêmico, muitos governos passaram a armazenar mais dados dos 
usuários e, inclusive, de forma arbitrária já que alguns países obrigaram a população a 
manter ativo um aplicativo que monitorava, entre outras coisas, o local em que essas 
pessoas transitavam. Destarte, se João, por exemplo, teve contato com Mário que testou 
positivo para a covid-19, o aplicativo informava esse fato e sugeria o cumprimento da 
quarentena por parte de João. 
Não é somente o setor privado que armazena nossos dados, mas o setor públicodetém e 
utiliza bastante os nossos dados. O governo chinês, a título exemplificativo, está fazendo um 
experimento social de rankeamento dos cidadãos (se frequenta ou falta o trabalho, se está 
vacinado e vacinou seus filhos, se paga tributos) de acordo com a sua performance social (os 
melhores cidadãos têm notas mais altas e, por conseguinte, gozam de determinadas 
prerrogativas – como férias maiores – que os de notas menores não gozam). Desse modo, é 
nítida a influência que o governo chinês possui em relação à vida dos cidadãos que lá 
habitam. 
Por isso, cada vez mais, se tem falado em tecnopolíticas. Vivemos, hoje, em um capitalismo 
de vigilância que é capaz de traçar o nosso perfil e prever os nossos interesses. Essa temática 
é mais abordada em três livros: The Black Box Society, Tecnopolíticas da Vigilância e The 
Glass Consumer. 
 
 
2. O surgimento da LGPD: 
Até termos controle dos nossos dados – que vai muito além de assinar termos de políticas de 
privacidade de sites –, é necessário todo um aparato legal que nos proteja contra “o 
capitalismo de vigilância”. A partir da próxima aula, mergulharemos na dogmática da LGPD, 
em especial, nos princípios do tratamento de dados pessoais (Art. 6º da LGPD). 
 
Para a próxima aula: Assistir ao documentário “Privacidade Hackeada” e ler o Art. 6º da 
LGPD. 
 
 
AULA 02 – PRINCÍPIOS E BASES LEGAIS DO TRATAMENTO DE DADOS 
PESSOAIS 
 
1. Princípios do tratamento de dados pessoais (art. 6º da LGPD): 
 
 Finalidade: Todo tratamento de dados pessoais se vincula a uma finalidade e essa 
finalidade não pode ser modificada sem que seja comunicado previamente ao titular. 
Essa finalidade precisa ser legítima e específica, sendo livre a forma de comunicação 
ao titular. Por exemplo, uma padaria que deseja vender cestas natalinas aos seus 
clientes, necessita de informações pessoais destes – como o nome, endereço, e-mail 
e o número de celular – para viabilizar a entrega e a comunicação com os clientes 
(finalidade legítima e específica); 
 
 Adequação: Princípio segundo o qual deve haver compatibilidade do tratamento com 
a finalidade informada ao titular – dialogando, nessa perspectiva, com o princípio da 
finalidade. Se a padaria, por exemplo, armazenou esses dados – como o número de 
telefone – para, posteriormente, ofertar outros produtos e anunciar produções, essa 
finalidade é distinta daquela declarada ao titular dos dados (viabilizar a entrega do 
produto solicitado), violando-se, por conseguinte, o princípio da adequação; 
 
 Necessidade: Princípio segundo o qual o tratamento dos dados pessoais deve se 
restringir ao mínimo necessário para se alcançar uma determinada finalidade. Com 
base naquele exemplo citado da padaria, esta, para viabilizar a entrega, necessita de 
informações como o nome do cliente, o endereço, o número de telefone, o e-mail, o 
pedido e a forma de pagamento. Se a padaria realizar questionamentos como a 
renda mensal do cliente, o seu estado civil e a sua profissão - essas são informações 
desnecessárias para se alcançar a finalidade: a entrega do produto; 
 
 Livre acesso: Nós, titulares dos dados pessoais, somos os verdadeiros donos dos 
dados. As empresas e os governos que detêm e utilizam os nossos dados são 
controladores dos nossos dados e, nós, enquanto titulares, temos o direito de saber 
como os nossos dados estão sendo utilizados, por quanto tempo, para qual 
finalidade, sob quais bases legais e quais tratamentos estão sendo realizados. 
Ademais, temos o direito de informação acerca dessas circunstâncias, direito este 
que é oponível ao controlador – podemos exercê-lo em face do controlador – e este 
procedimento de coleta de informações sobre os nossos dados precisa ser facilitado 
e gratuito (um livre acesso acerca dos nossos dados pessoais e como eles são 
utilizados). São vedadas, destarte, condutas que obstaculizem o acesso às 
informações, seja por elementos burocráticos ou de elevado custo; 
 
 Qualidade dos dados: Princípio segundo o qual os titulares têm o direito de que seus 
dados pessoais reflitam com clareza e exatidão a realidade. Através desse princípio, 
os titulares podem solicitar a atualização de dados antigos ou incorretos que eram 
mantidos por controladores. Essa atualização é importante para evitar prejuízos ao 
titular dos dados (como no caso do indivíduo que foi punido erroneamente no SPC 
SERASA); 
 
 Transparência: Princípio segundo o qual é estabelecido que os controladores devem 
comunicar aos titulares de forma proativa, clara e precisa sobre quais são os 
tratamentos que eles realizam e quais são as finalidades associadas a esses 
tratamentos, bem como quais são os agentes de tratamento envolvidos nesse 
tratamento. Normalmente o princípio da transparência é atendido pelos 
controladores por meio da divulgação de um documento denominado política ou 
aviso de privacidade. Há um debate intenso na contemporaneidade acerca de qual 
deve ser o conteúdo mínimo dessas políticas de privacidade (vide, por exemplo, a 
precariedade da política de privacidade do aplicativo FaceApp – aquele que previa a 
forma idosa das pessoas); 
 
 Segurança: Os controladores devem adotar medidas administrativas para evitar 
incidentes de segurança (físicos ou virtuais) – como acessos não autorizados de 
dados pessoais, eliminação de dados, modificação de conteúdos nos bancos de 
dados, entre outras manifestações de falha de segurança. Por exemplo, se o banco 
Itaú sofrer um ataque e ocorrer a alteração ou eliminação de dados bancários dos 
clientes, o princípio da segurança impõe a necessidade de se tomarem medidas para 
evitar incidentes de segurança como esses. Algumas medidas de segurança podem 
ser das mais simples – como trancar armários – até as mais complexas – como um 
sistema que armazene o histórico de verificação de dados por funcionários, a 
proibição de Cntrl-C Cntrl-V e da ferramenta do PrtSc para copiar dados, etc; 
 
 Prevenção: Princípio segundo o qual os controladores devem evitar causar danos aos 
titulares em razão do tratamento dos dados pessoais. Esse princípio foi violado no 
caso envolvendo a empresa Avon – a qual, em determinada ocasião, não tomou 
medidas de cautela e enquadrou uma vítima de fraude no SERASA espanhol, 
causando danos significativos ao titular (como a dificuldade em tomar empréstimos 
ou negociar com bancos); 
 
 Discriminação: Princípio segundo o qual proíbe a utilização de dados para fins 
discriminatórios ilícitos ou ilegítimos. Por exemplo, vamos supor que exista uma 
doença que determinados grupos étnicos tenham maior resistência, é plausível a 
coordenação de um programa de combate à doença incluindo apenas médicos 
pertencentes a esse grupo étnico. Esse princípio proíbe, por exemplo, as empresas de 
banda larga de discriminarem o uso da internet a depender da atividade exercida 
dentro do espaço (um indivíduo que está assistindo Netflix deve possuir a mesma 
qualidade da internet de um indivíduo que está estudando); 
 
 Responsabilização e prestação de contas: Os agentes devem ter a condição de 
demonstrar, sempre que forem solicitados, que adotaram medidas em conformidade 
com a lei. Algumas medidas podem ser: a capacitação dos funcionários da empresa, a 
contratação de advogados para a verificação do processamento de dados, a 
produção de um documento denominado relatório de impacto, medidas para mitigar 
os eventuais riscos; 
 
Os dados pessoais não precisam ser tratados somente com o consentimento do titular, 
existindo outras situações que podem legitimar o uso de dados por parte dos controladores. 
Os arts. 7º e 11 discorrem sobre as bases legais para tratamento. 
 
2. Bases legais para tratamento dos dados pessoais (art. 7º da LGPD): 
 
 Mediante o fornecimento de consentimento pelo titular: Existem novos requisitos 
para o consentimento que se tornou uma base legal residual – os controladores 
optam,nesse cenário, por outras bases legais e, somente se não conseguirem 
enquadrar as outras bases legais, buscarão o consentimento do titular; 
 
 Cumprimento de obrigação legal ou regulatória pelo controlador: O controlador 
precisa tratar, às vezes, o dado pessoal de alguma pessoa não porque ele queira (sem 
razão de interesse), mas porque se encontra obrigado por lei a fazer isso em virtude 
de lei. A título exemplificativo, pode-se citar a troca de produtos em uma loja, uma 
vez que os clientes precisam preencher uma ficha pois a legislação tributária exige a 
emissão de um documento denominado nota fiscal de troca para ajudar a combater 
a sonegação fiscal. 
 
Outro exemplo pode-se citar o pedido do CPF por uma loja para a concretização de 
uma compra (que pode ter interesse da empresa para monitorar o perfil dos clientes, 
mas, aqui na Bahia, comprar acima de R$ 500,00 gera a obrigação do fornecimento 
do CPF); 
 
 Execução de políticas públicas pela Administração: Essa base legal é utilizada pelo 
governo para tratar os dados pessoais em razão dos serviços públicos do Estado. O 
alistamento militar, a retirada da CNH, a candidatura a eleições, cadastro no SUS são 
algumas situações que envolvem a coleta e tratamento de dados; 
 
 Execução de contratos (e procedimentos preliminares de contratos): Deriva de um 
negócio jurídico entre um controlador e um controlado. Por exemplo, a Faculdade 
Baiana de Direito precisa tratar dados pessoais, financeiros, pedagógicos dos seus 
alunos. 
 
A outro título exemplificativo, Marcus iniciou negociações com um contador, mas 
não chegou a contratá-lo com o intuito de auxiliá-lo na declaração do imposto de 
renda. Esse contador teve acesso aos dados de Marcus e emitiu opiniões sobre tais 
dados. Esse contador irá poder alegar a legitimidade do tratamento dos dados de 
Marcus mediante procedimentos preliminares de contrato; 
 
 Exercício regular de direitos em processo judicial, administrativo ou arbitral: Se há 
um litígio de uma pessoa contra outra, os sujeitos envolvidos nessa relação precisam 
dos dados do outro para o processo (no caso de uma batida entre veículos, por 
exemplo); 
 
 Proteção da vida ou da incolumidade física do titular ou de terceiro: Pode ser que o 
agente de tratamento presencie alguma situação que esteja colocando em risco a 
vida de alguém e é possível tratar os dados dessa pessoa para evitar a concretização 
do risco. Por exemplo, um palestrante na Faculdade Baiana de Direito passa mal e 
precisa de atendimento médico urgente. É necessário, portanto, pegar a carteira de 
identidade da pessoa para buscar o documento de identidade e saber quem é essa 
pessoa para solicitar contato médico. 
 
Se um responsável quiser o histórico de frequência do aluno na Faculdade Baiana de 
Direito, essa somente pode fornecer esses dados mediante o consentimento do 
titular (inciso I); 
 
 Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de 
saúde, serviços de saúde ou autoridade sanitária: Dados de prontuário médico não 
sensíveis (tratados no art. 11) tais como o nome do paciente, o seu número do cartão 
do SUS, os seus parentes mais próximos, etc; 
 
 Legítimo interesse do controlador ou de terceiro, exceto no caso de prevalecerem 
direitos e liberdades fundamentais do titular que exijam a proteção de dados 
pessoais: Base legal mais enigmática da LGPD e que gera mais dificuldades na sua 
operacionalização em virtude dos seus conceitos extremamente vagos; 
 
 Proteção do crédito, inclusive quanto ao disposto na legislação pertinente: Presente, 
sobretudo, no que tange às transações bancárias; 
 
 
3. Bases legais para tratamento de dados sensíveis (art. 11): 
Art. 5º da LGPD - Para os fins desta Lei, considera-se: 
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, 
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou 
político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando 
vinculado a uma pessoa natural; 
 
O art. 11 foi arrumado diferente do art. 7, uma vez que apresenta somente dois incisos, 
sendo o segundo composto por uma grande quantidade de alíneas. 
 Consentimento específico e destacado para finalidades específicas. 
 
 Sem consentimento, quando for indispensável, para: 
 Cumprimento de obrigação legal ou regulatória pelo controlador; 
 Tratamento compartilhado de dados necessários à execução, pela administração 
pública, de políticas públicas previstas em leis ou regulamentos; 
 Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a 
anonimização dos dados pessoais sensíveis; 
 Exercício regular de direitos, inclusive em contrato e em processo judicial, 
administrativo e arbitral; 
 Proteção da vida ou da incolumidade física do titular ou de terceiro; 
 Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de 
saúde, serviços de saúde ou autoridade sanitária. Por exemplo, aqui se enquadram as 
informações sobre comorbidades de determinados pacientes; 
 Garantia da prevenção à fraude e à segurança do titular, nos processos de 
identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os 
direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e 
liberdades fundamentais do titular que exijam a proteção dos dados pessoais. O uso 
de dados biométricos a bancos, celulares, aplicações, tecnologia, acesso a caixa 
automático evidencia algumas situações que dialogam com essa alínea; 
OBS: Os dados de crédito e o legítimo interesse (incisos do art. 7) não são incluídos nos dados 
sensíveis, mas se observa a inclusão de um tópico – a prevenção à fraude e à segurança do 
titular, nos processos de identificação de cadastro em sistemas eletrônicos. 
 
Para a próxima aula: Leitura do art. 5º da LGPD – que contém uma série de conceitos + 
pendência: critérios específicos do consentimento (art. 7º, I + art. 5º, XII). 
 
AULA 03 – CONTROLADOR X OPERADOR E RESPONSABILIDADE SOLIDÁRIA 
 
1. Controlador x Operador: 
Art. 5º - LGPD: Para os fins desta Lei, considera-se: 
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de 
tratamento; 
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem 
as decisões referentes ao tratamento de dados pessoais; 
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o 
tratamento de dados pessoais em nome do controlador; 
 
A Faculdade Baiana de Direito é controladora dos dados pessoais dos seus alunos. Pode ser 
que a faculdade precise contratar um escritório de advocacia para defender a instituição em 
um processo movido por um ex-aluno. Destarte, a instituição precisa compartilhar alguns 
dados pessoais do aluno com o escritório de advocacia para que este venha a tratá-los 
conforme orientações da faculdade. Assim, o escritório de advocacia é o operador dos dados 
pessoais do aluno (titular) que estão controlados pela Faculdade Baiana de Direito 
(controlador). 
O controlador pode tratar os dados, mas, também, pode optar por contratar um operador 
para realizar o tratamento em seu lugar. Por exemplo, uma padaria precisa mover uma ação 
judicial contra um fornecedor de trigo que não entregou a quantia estabelecida e, nesse 
sentido, precisa contratar um escritório de advocacia (operador) para tratar os dados 
referentes ao caso. Caso o dono da padaria for um advogado, a própria padaria poderia 
realizar o tratamento dos dados espontaneamente, sem a necessidade de contratar um 
operador. 
A atribuição das notas dos alunos em provas e o registro de frequência via dados 
biométricos pela Faculdade Baiana de Direito ilustram a tese de que o próprio controlador 
pode tratar dados pessoais. O professor que atribui a nota nãoé operador. As pessoas que 
possuem vínculos funcionais com o controlador não podem ser considerados operadores 
pois os tratamentos praticados por essas pessoas são tratamentos do próprio controlador. 
Ante o exposto, vale ressaltar que os vínculos funcionais não se limitam aos vínculos 
empregatícios pautados na CLT (carteira assinada) – abrangendo estagiários, prestadores de 
serviço, etc... 
Os operadores são, portanto, aqueles que não têm vínculo funcional/permanente e relação 
de exclusividade com o controlador e vai, doravante, tratar os dados pessoais sob orientação 
deste. 
OBS: Não devemos associar as posições de controlador/operador às posições de 
contratante/contratado, sendo a classificação de controlador/operador pautada na análise 
do caso concreto. 
 
2. Análise de casos concretos: 
 
A) Uma empresa A contrata um consultor de marketing para que este, de forma 
autônoma, trace o perfil de clientes da empresa visando a impulsionar os seus 
anúncios. 
 
Do ponto de vista da prestação de serviço, tem-se o contratante (a empresa) e o contratado 
(diretor de marketing). Do ponto de vista do tratamento de dados, tem-se o controlador 
(diretor de marketing – “DEIXE COMIGO”), mas não há um operador (pois a empresa não 
está recebendo instruções). 
OBS: Não se pode falar em controlador-operador, mas somente controlador (quando este 
detém e trata os dados de forma autônoma). 
 
B) Uma empresa B já tem consciência prévia de que o público de 60 anos ou mais 
adquire poucos dos seus produtos. Ela, então, para impulsionar as vendas para essa 
faixa etária, contrata um diretor de marketing para que este venha a executar 
aquilo que a empresa estabeleceu (OK!). 
 
Do ponto de vista da prestação de serviço, tem-se o contratante (a empresa) e o contratado 
(diretor de marketing). Do ponto de vista do tratamento de dados, tem-se o controlador 
(empresa) e o operador (diretor de marketing). 
 
C) Supondo que uma empresa C contrate uma empresa de RH que irá auxiliá-la na 
identificação de perfis de liderança com o fito de encontrar, após sucessivas 
entrevistas, os três melhores candidatos para assumir o cargo de diretor de 
marketing da empresa C na América Latina. 
 
Há duas possibilidades para a obtenção de currículos: (I) o envio direto pelos 
titulares dos dados para a plataforma da empresa C ou (II) o envio direto pelos 
titulares dos dados para a empresa de headhunter. 
O controlador dos dados pessoais na hipótese I é a empresa C e, na hipótese II, é a empresa 
de headhunter (pois ela toma a decisão de alocar ou não o seu acervo para uma determina 
finalidade). 
Na hipótese I, o operador de dados pessoais é a empresa de headhunter e, na hipótese II, 
não há operador. 
D) Uma agência de viagens D recebe os dados pessoais de passageiros. Da quantia 
financeira recebida ($$$), a agência de viagens D fica com uma parte ($) e divide o 
restante entre uma companhia área ($) e um hotel ($). 
 
No caso anteriormente mencionado, existem três controladores (a agência de viagens, a 
companhia aérea e o hotel) pois tratam os dados de forma independente e não recebendo 
ordens entre si. 
 
E) Um professor é empregado de uma faculdade E. Essa faculdade resolve, 
espontaneamente, compartilhar os dados do professor com a receita federal. 
 
No cenário apresentado, a faculdade E é controladora dos dados do professor em virtude do 
vínculo empregatício. A receita se transforma em um novo contralador, surgindo, assim, 
uma nova cadeia de controladoria devido à “quebra do nexo de causalidade”. A receita atua 
de forma independente no tratamento de dados pessoais. 
 
F) Algumas cadeias de tratamento de dados são mais complexas e possuem mais 
agentes envolvidos – assemelhando-se a redes. 
 
O subprocessador é operador do operador, uma vez que, em determinadas ocasiões, o 
operador do controlador não é capaz de tratar os dados sozinho. Necessita-se, desse modo, 
de transparência – até para que o controlador avise ao titular dos dados. 
Supondo que uma empresa F de e-commerce contrate uma empresa de plataforma de 
serviços e esta resolve contratar uma empresa filiada da Amazon para salvar os dados na 
nuvem. Tem-se, nesse sentido, um subprocessador (a AWS IAS) pelo fato de ter sido 
contratada pela operadora (HEROKU PAAS). 
 
3. Art. 37 da LGPD: 
Art. 37 – LGPD: O controlador e o operador devem manter registro das operações de 
tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo 
interesse. 
A lei não foi explícita acerca de quais informações os agentes de tratamento deveriam reunir 
para fazer o registro nem o prazo de atualização do inventário, mas podemos levar em 
consideração as boas práticas adotadas em vários países do mundo com relação à 
elaboração desses registros/inventários de tratamento de dados pessoais. 
Se um controlador quer fazer um registro de tratamento de dados pessoais que ele executa, 
ele pode levar em consideração os seguintes parâmetros: 
Identificar as portas de entrada e saída de dados dentro daquela instituição – dados de 
clientes via processos comerciais e dados de empregados via processos seletivos; quem são 
os titulares dos dados tratados; por quanto tempo os dados são tratados; quais as 
finalidades do tratamento dos dados (advocacia, por exemplo); e por quais bases legais 
(exercício legal de direito em processo, por exemplo) está sendo realizado o tratamento. 
O inventário, portanto, é um documento descritivo e dinâmico/atualizado (pelo menos 
anualmente). 
 
A ANPD (Autoridade Nacional de Proteção de Dados) precisa definir quais são os 
componentes de um inventário de dados, levando-se em consideração as diferenças entre 
controladores e processadores que podem resultar numa documentação igualmente 
definida. 
A ANPD pode considerar eventual exceção a tal obrigação legal, considerando o porte de 
organização e se a sua atividade de tratamento de dados seria de alto risco. 
Na ausência de regulamentação da ANPD, uma opção é socorrer-se de boas práticas e 
exemplos de outras jurisdições como, por exemplo, da própria GDPR. 
 
4. Art. 38 da LGPD: 
Art. 5, XVII – LGPD: relatório de impacto à proteção de dados pessoais: 
documentação do controlador que contém a descrição dos processos de tratamento de 
dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem 
como medidas, salvaguardas e mecanismos de mitigação de risco; 
O RIPD é composto por um processo descritivo (mapeamento dos processos de tratamento 
de dados pessoais) e um processo crítico-interno (identificação dos riscos, das possíveis 
falhas de segurança, das medidas administrativas adotadas para proteger os dados, se no 
processo há bases legais inadequadas...). 
O RIPD é importante para evitar que danos aconteçam, possibilitando que muitas empresas 
percebam a necessidade de melhorar os mecanismos de proteção de dados. Ademais, 
mostra-se para a sociedade que há uma preocupação/responsabilidade do controlador que 
pode ser levada em consideração na hipótese de um incidente (como o vazamento de dados 
pessoais). A ANPD analisa o RIPD e, dessa forma, o controlador pode ser apenado com uma 
sanção mais branda (diminuição da culpabilidade). 
OBS: Apenado = punido; penalizado = ter pena de. 
 
Art. 38 – LGPD: A autoridade nacional poderá determinar ao controlador que elabore 
relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a 
suas operações de tratamento de dados, nos termos de regulamento, observados os 
segredos comercial e industrial. 
Muito se tem questionado o art. 38 da LGPD pelo fato deste expressar que somente os 
controladores devem elaborar relatórios de impacto. Desse modo, acaba sendo 
negligenciada a possibilidade dos operadores oferecem riscos à sociedade e, vale lembrar, 
que existem grandes operadores (AWS, por exemplo).A lei se refere, textualmente, apenas ao controlador (art. 5º, XVII e art. 36, caput – LGPD), 
mas interpretação sistemática permite que se estenda essa obrigação aos operadores, em 
relação aos dados sob responsabilidade de cada controlador. 
 
A ANPD deve estabelecer: 
 Modelos e orientações sobre como fazer um relatório de impacto e tornar essas 
recomendações acessíveis em linguagem e custo; 
 Orientações sobre o que é considerado risco ou um possível alto risco em operações 
de tratamento de dados; 
 As situações em que o relatório será recomendável (a lei já sinaliza pela sua 
necessidade nas atividades que envolvem o tratamento de dados sensíveis, bem 
como nas operações de tratamento de dados envolvendo legítimo interesse). 
 
5. Art. 39 da LGPD: 
Art. 39 – LGPD: O operador deverá realizar o tratamento segundo as instruções fornecidas 
pelo controlador, que verificará a observância das próprias instruções e das normas sobre a 
matéria. 
Não exime o operador de adotar, independentemente das instruções do controlador, 
medidas para conformidade com a legislação de proteção de dados (vide os princípios da 
segurança e proteção), bem como medidas técnicas e organizacionais de segurança referidas 
no art. 46 da LGPD. 
Possibilidade de responsabilização solidária do controlador por falhas do operador (art. 42 – 
LGPD), exceto quando demonstrado o descumprimento de instruções do controlador. 
O operador pode se recusar a fazer um tratamento ilícito e/ou danoso aos titulares mesmo 
que com ordens do controlador. O operador só deve acatar as instruções lícitas. No caso de 
dúvida acerca da licitude da instrução, o operador deve tomar a decisão de acatar ou não. 
 
6. Art. 42 da LGPD: 
Art. 42 – LGPD: O controlador ou o operador que, em razão do exercício de atividade de 
tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou 
coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. 
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados: 
I - o operador responde solidariamente pelos danos causados pelo tratamento quando 
descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as 
instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, 
salvo nos casos de exclusão previstos no art. 43 desta Lei; 
Se o operador comete falhas no tratamento de dados pessoais ordenada pelo controlador, 
pode ser responsabilizado. A responsabilidade solidária do controlador pelos atos praticados 
pelo operador se encontra prevista no art. 42 da LGPD e consiste na possibilidade da vítima 
exigir a reparação dos danos causados de forma integral, tanto do operador quanto do 
controlador. 
Em síntese, essa solidariedade consiste na possibilidade da vítima cobrar tudo de um ou de 
outro. 
Por exemplo, Victor encomendou um bolo nas mãos de Marcos e Daniel, entretanto, este 
veio estragado. Como a responsabilidade não é solidária, cada um responderá 50%. Caso 
eles tivessem estabelecido um contrato de solidariedade, Victor podia cobrar o valor integral 
a um dos dois – Marcos ou Daniel (em síntese, entende-se que os dois são integralmente 
responsáveis pelo ato – constando-se expressamente e não havendo presunção). 
OBS: A responsabilidade solidária não se confunde com a responsabilidade subsidiária. 
 
A exceção prevista no inciso I do referido artigo se dá quando o operador agiu por conta 
própria, ou seja, o operador se comportou de uma forma que não foi instruída pelo 
controlador. Nesse caso, o controlador não responde e operador se equipara à posição de 
controlador. O controlador por equiparação é o operador que age em desconformidade com 
as instruções passadas pelo controlador e dessa forma, assume a responsabilidade de ser 
controlador para aquele tratamento – devendo responder sozinho aos danos causados aos 
titulares. 
 
7. Os DPA’s: 
 
 DPA’s (ATD’s em português - acordo de processamento de dados); 
 Identifica quem é controlador e quem é operador; 
 O controlador precisa formalizar as instruções que está adotando (medidas de 
segurança exigidas pelo controlador para o operador, dever de colaboração); 
 
 
AULA 04 – 
 
PARTE I: ATIVIDADE – ANÁLISE DE TRÊS POLÍTICAS DE PRIVACIDADE 
POLÍTICA DE PRIVACIDADE DAS 
AMERICANAS.COM: A MAIS SIMPLES E 
ACESSÍVEL AO PÚBLICO, ENTRETANTO, É 
TAMBÉM A MAIS OMISSA NO QUE TANGE 
À APRESENTAÇÃO DE INFORMAÇÕES – 
SOBRETUDO SOB QUAIS BASES LEGAIS OS 
DADOS SÃO TRATADOS. 
 
 
 
Linguagem mais direta, objetiva e acessível 
ao público; 
 
Apesar de mais curta, é omissa na exposição 
do tratamento de informações; 
 
Discorre sobre conceitos importantes para 
facilitar a compreensão dos leitores da 
política de privacidade (lembra muito o art. 
5 da LGPD); 
 
Preza pelos princípios consagrados na LGPD, 
sobretudo os princípios da finalidade, 
necessidade, segurança e transparência. 
Busca-se, destarte, esclarecer como a 
empresa coleta dados pessoais e a finalidade 
do uso dos dados, limitando-se ao mínimo 
necessário para o propósito almejado 
(preza pelo uso proporcional e não 
excessivo); 
 
Fala também de quais são as empresas 
parceiras das americanas que têm acesso 
aos dados tratados por ela e através das 
quais ela pode coletar dados. 
 
6. por quanto tempo armazenamos dados 
pessoais? Armazenamos as informações dos 
Clientes de acordo com as normas de 
prescrição do Direito brasileiro  
extremamente raso, uma vez que não 
especifica o prazo nem cita qual (is) 
norma(s) discorrem sobre tal tempo. Desse 
modo, a americanas.com não explicita quais 
são as bases legais utilizadas para o 
tratamento de dados (embora nem a LGPD 
nem a ANPD obriguem a indicação das bases 
legais, essa é uma prática de mercado). 
“Se você bloquear ou rejeitar nossos 
cookies, não poderá adicionar itens ao seu 
carrinho de compras, prosseguir para o 
checkout ou usar nossos produtos e serviços 
que exijam login.” (coerção – não há a opção 
de prosseguir em uma compra caso discorde 
da política de privacidade – neste caso, dos 
cookies  dados colocados no computador 
ou em dispositivo para reconhecer o perfil 
do consumidor (as suas preferências, o que 
tem no carrinho, etc.) 
Atualizado recentemente: 26 de novembro 
de 2021; 
 
 
 
POLÍTICA DE PRIVACIDADE DA L’OREAL 
BRASIL (português) – A MELHOR POLÍTICA 
Extremamente detalhista e contém alguns 
exemplos para facilitar a compreensão dos 
DE PRIVACIDADE NO QUE TANGE À 
RIQUEZA DE DETALHES, ENTRETANTO, É 
MUITO EXTENSA E POUCO ACESSÍVEL À 
POPULAÇÃO (NÃO SOMENTE NO QUE DIZ 
RESPEITO ÀQUELAS COM BAIXO ÍNDICE DE 
ESCOLARIDADE). 
 
 
leitores; 
 
Por outro lado, totaliza 25 páginas – o que 
dificulta a leitura integral; 
 
Não esclarece conceitos como controlador, 
operador, etc – como visto nas políticas de 
privacidade das Americanas e da Agilize 
Contabilidade (linguagem mais voltada para 
operadores do Direito e de ciência da 
computação); 
 
Preocupação em assegurar princípios da 
LGPD (tais como a transparência, a 
segurança e a qualidade de dados): “Para 
mais informações sobre nossas práticas de 
privacidade, definimos abaixo quais os tipos 
de dados pessoais que podemos coletar ou 
armazenar sobre você, como podemos usá-
los, com quem podemos compartilhá-los, 
como os protegemos e os mantemos 
seguros e seus direitos com relação aos 
seus dados pessoais.” 
Diferentemente das americanas.com, 
discorre sobre as bases legais que 
permitem a coleta de dados sem 
consentimento do titular (melhoria dos 
produtos e serviços da empresa, prevenção 
de fraudes, proteção das ferramentas da 
empresa) 
“ente guardamos os seus dados pessoais 
pelo tempo que for necessário para atingir 
a finalidade para a qual os coletamos ou 
armazenamos, para atender às suas 
necessidades, ou para cumprir nossas 
obrigações legais ou regulatórias.”  
ponto melhorem comparação com às lojas 
americanas (discorre mais detalhadamente 
sobre o tempo utilizado dos dados); 
Tabela detalhada, para explicar pontos 
extremamente relevantes: quais os dados 
coletados, de que forma os dados são 
coletados, qual a finalidade do uso desses 
dados coletados, como eles são tratados e 
sob quais bases legais. 
Poderia utilizar uma linguagem menos 
engessada e, portanto, mais acessível à 
população, transmitindo as informações de 
forma clara, direta e objetiva. 
Assim como nas americanas, há uma 
coerção para o uso de cookies (somente se 
pode acessar determinadas ferramentas, 
caso se aceite os cookies): 
“Muitos cookies são usados para melhorar 
a utilização e funcionalidade dos sites/apps, 
portanto, a desativação dos cookies pode 
impedi-lo de utilizar determinadas partes 
dos nossos sites/apps, conforme detalhado 
em nossa Tabela de Cookies.” 
Traz uma tabela bem detalhista e que 
esclarece os clientes acerca dos seus 
direitos e as consequências provenientes de 
tais escolhas – como o direito de desativar 
os cookies  pode ocorrer o impedimento 
de utilizar determinadas partes dos 
sites/apps 
POLÍTICA DE PRIVACIDADE DA AGILIZE 
CONTABILIDADE: UMA BOA POLÍTICA DE 
PRIVACIDADE, COM EXTENSÃO MÉDIA, 
MAIS COMPLETA EM RELAÇÃO ÀS LOJAS 
AMERICANAS, PORÉM MENOS DETALHISTA 
EM COMPARAÇÃO COM A L’OREAL BRASIL. 
 
 
Disse explicitamente, diferentemente das 
outras duas empresas que se omitiram, que 
coleta a voz dos clientes; 
 
Traz definições de forma bem organizada 
acerca de conceitos importantes (lembra o 
art. 5 da LGPD e a política de privacidade 
das americanas); 
Coerção explícita no que tange ao 
consentimento sobre a política de 
privacidade adotada: “Caso o Usuário ou o 
Cliente não concorde com esta Política de 
Privacidade, não deverá utilizar os serviços.” 
Admite a possibilidade de ser controladora 
em determinadas ocasiões e controladoras 
em outros momentos  “Apesar de, na 
maioria dos casos, atuarmos como 
Operadora no tratamento dos dados 
pessoais, em algumas situações a Agilize 
atua como Controladora”; 
Lista os subprocessadores que podem ter 
acessos aos dados do titular; 
Lista diversos direitos dos titulares de dados; 
Demonstra expressamente – através de 
menção a artigos – o vínculo da política de 
privacidade com a LGPD; 
 
 
OBS: Algumas empresas têm inovado e criado políticas de privacidade no formato de vídeo 
com uma linguagem acessível com o fito de aproximar a linguagem dogmática do Direito dos 
titulares de dados. Entretanto, a parte majoritária tende a não abrir mão de documento 
formal e escrito pois este é, justamente, o que concede segurança jurídica a essas empresas. 
 
CONTINUAÇÃO DO CONTEÚDO... 
 
1. Responsabilidade solidária dos operadores: 
Tanto o controlador quanto o operador estão solidariamente responsabilizados pelos 
danos causados um pelo outro (art. 42 – LGPD) – de acordo com a regra geral, o 
controlador pode responder por erros do operador e vice-versa, isto é, o operador por 
erros do controlador. 
Essa solidariedade é interessante para um controlador (Faculdade Baiana de Direito, por 
exemplo) que apresente um patrimônio menor que o operador (Amazon, por exemplo). 
Art. 42 – LGPD: O controlador ou o operador que, em razão do exercício de atividade de 
tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou 
coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. 
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados: 
I - o operador responde solidariamente pelos danos causados pelo tratamento quando 
descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as 
instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, 
salvo nos casos de exclusão previstos no art. 43 desta Lei; 
II - os controladores que estiverem diretamente envolvidos no tratamento do qual 
decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de 
exclusão previstos no art. 43 desta Lei. 
Observa-se que, no geral, o titular de dado que sofrer um dano pode, em virtude da 
responsabilidade solidária do controlador e do operador, exigir a reparação do dano de 
forma integral para qualquer um dos dois. 
Entretanto, o inciso I do referido artigo da LGPD nos mostra a existência de uma exceção 
para tal regra. Quando o operador não tiver seguido as instruções lícitas do controlador, ou 
seja, agiu por conta própria e gerou danos a algum titular, o operador responderá sozinho e 
é equiparado ao controlador. Destarte, o controlador por equiparação é o operador que age 
em desconformidade com as instruções passadas pelo controlador e dessa forma, assume a 
responsabilidade de ser controlador para aquele tratamento – devendo responder sozinho 
aos danos causados aos titulares. 
Relembrando o caso da agência de viagens que compartilhava dados com o hotel e a 
companhia aérea. Pode ser que, durante esse compartilhamento ocorra um vazamento de 
dados pelo hotel ou pela companhia aérea e, como esses são solidariamente 
responsabilizados um pelos outros, a agência de viagens pode vir a responder, também, 
pelos danos causados ao titular. 
 
O inciso II do art. 42 retrata a responsabilidade solidária entre controladores, inferindo-se 
uma correlação entre distintos controladores que armazenam e/ou tratam dados de 
determinadas pessoas. 
 
Art. 43 – LGPD: Os agentes de tratamento só não serão responsabilizados quando provarem: 
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído; 
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não 
houve violação à legislação de proteção de dados; ou 
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. 
 
2. Portabilidade de dados: 
Art. 40 – LGPD: A autoridade nacional poderá dispor sobre padrões de interoperabilidade 
para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de 
guarda dos registros, tendo em vista especialmente a necessidade e a transparência. 
 
A Anatel admitiu que o número de telefone é um dado pessoal e não “propriedade” das 
operadoras telefônicas. 
Essa portabilidade se refere a todo e qualquer dado pessoal e não somente a dados 
telefônicos (dados telefônicos, dados bancários, dados de consumo de internet, dados 
contábeis, dados jurídicos...) 
O Open banking (“sistema bancário aberto” em uma tradução para a língua portuguesa) 
admite que os titulares dos dados da conta são aos clientes e, portanto, não pertencem aos 
bancos. Quando ficar 100% concluído o Open banking vai ser possível a transferência de 
dados pessoais entre bancos e para outros tipos de empresa (como o GuiaBolso – aplicativo 
que auxilia na administração das finanças dos usuários). 
Interoperabilidade: Tecnologia comum que vai permitir que aquele dado seja acessado por 
qualquer remetente e qualquer destinatário do sistema financeiro (pode-se assim transferir 
dados entre bancos – como do Bradesco para o Itaú). 
A LGPD é uma lei genérica (geral) e que, desse modo, não se refere a setores específicos da 
sociedade. Existem normas setoriais que tratam especificamente da proteção de dados e 
que não necessariamente seguem a linguagem e os termos da LGPD (muito em virtude de 
serem anteriores à LGPD): 
 Offline: Código de Defesa do Consumidor (CDC); 
 Online: Marco Civil da Internet (MCI); 
 Seguros: Superintendência de seguros no Brasil (SUSEP); 
 Financeiro: Normas do Banco Central (LC 105/2001); 
 Educação: Normas do MEC (ECA, LDB, leis municipais e estaduais); 
 Crédito: Lei 12.414/11; 
 Publicidade: CONAR; 
 Saúde: CRM, MS e leis federais; 
 Administração Pública; 
 E assim por diante; 
Para um aprofundamento na área de proteção de dados, é necessário compreender as 
peculiaridades do uso de dadospessoais em um determinado setor (como no âmbito da 
Saúde – normas de segurança de informações nesse âmbito, quais dados podem ser 
compartilhados ou não, por quanto tempo um hospital pode guardar os dados, como deve 
ser o descarte de dados, etc...). Desse modo, a LGPD apenas trata das normas gerais e não 
abrange os atos normativos setoriais. 
 
3. O encarregado: 
Art. 5, VIII – LGPD: 
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de 
comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de 
Proteção de Dados (ANPD); 
 
 Chamado em inglês de DPO (Data Protection Officer); 
 Somente os controladores podem ter, a rigor da lei, um encarregado (art. 41, caput – 
LGPD) – mas tem se discutido se não valeria a pena, hoje em dia, estender essa regra 
para os operadores em virtude do volume de dados que alguns operadores possuem 
e dos iminentes riscos no tratamento desses dados; 
 Esse encarregado pode ser uma pessoa física ou jurídica. É muito comum que uma 
empresa contrate um escritório de advocacia para que este atue como o seu DPO; 
 A LGPD não estipulou critérios para uma pessoa física ou jurídica ser indicada como 
encarregado pelo controlador. Entretanto, em termos práticos, o DPO deve conhecer 
as bases legais sobre o tratamento de dados e como os dados são tratados dentro 
daquela determinada organização; 
 Controladores deverão fazer avaliações internas a respeito da necessidade ou não de 
nomear encarregado com base em tais regulamentos e documentar essa análise. 
Art. 41 – LGPD: O controlador deverá indicar encarregado pelo tratamento de dados 
pessoais. 
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas 
publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do 
controlador. 
 
O DPO tem quatro principais atribuições: 
 Se relaciona diretamente com os titulares dos dados no exercício dos direitos; 
 É uma espécie de “líder” dentro do controlador para garantir o cumprimento de 
normas de proteção de dados naquela organização (o DPO que elabora o relatório de 
impacto, explicita o inventário, realiza auditorias periódicas); 
 Se relaciona com outros DPO’s para contratualizar a relação de tratamento de dados 
ou discutir possibilidades jurídicas de compartilhar determinados dados; 
 Presta contas à ANPD (Autoridade Nacional de Proteção de Dados); 
Art. 41 – LGPD: 
§ 2º As atividades do encarregado consistem em: 
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar 
providências; 
II - receber comunicações da autoridade nacional e adotar providências; 
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem 
tomadas em relação à proteção de dados pessoais; e 
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em 
normas complementares. 
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e 
as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua 
indicação, conforme a natureza e o porte da entidade ou o volume de operações de 
tratamento de dados. 
 
4. Peculiaridades do encarregado: 
 É muito importante que não haja nenhum tipo de conflito de interesses, devendo o 
DPO exercer apenas a função de DPO para que ele fale com isenção sobre qualquer 
aspecto da empresa. Possa ser que caso ele seja simultaneamente, por exemplo, 
chefe de TI e DPO, ele não admita que houve um problema de TI. 
 
 Não é recomendável qualquer tipo de vínculo entre a remuneração e os resultados 
da empresa, bônus ou qualquer outra meta. Se o DPO receber uma quantia 
modificável, pode exercer mal o seu trabalho para beneficiar a empresa (omitir 
possíveis riscos, por exemplo). O DPO deve, portanto, possuir salário fixo; 
 
 Reporte direto à diretoria e presidência da empresa, com todos os recursos 
necessários para executar suas funções – visando à ampliação da autonomia 
profissional do DPO; 
 
 
AULA 05 – O TRATAMENTO DE DADOS DE CRIANÇAS E ADOLESCENTES E OS 
DIREITOS DOS TITULARES 
 
1. Tratamento de dados de crianças e adolescentes: 
Art. 14 – LGPD: O tratamento de dados pessoais de crianças e de adolescentes deverá ser 
realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente. 
Esse termo “em seu melhor interesse” é contemplado por outras normas – inclusive 
internacionais – que discorrem sobre crianças e adolescentes. 
Legislação pertinente: ECA e outras normas infralegais existentes. 
Crianças: Pessoas de 0 a 12 anos incompletos. 
Adolescente: A partir de 12 anos completos até 18 anos incompletos. 
 
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento 
específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. 
A interpretação literal do primeiro parágrafo do art. 14 da LGPD culmina na concepção de 
que somente o tratamento de dados pessoais de crianças deve ser realizado com o 
consentimento específico dos responsáveis legais. 
A restrição do tratamento de dados pessoais de crianças a uma única base legal é prejudicial, 
pois, em determinadas ocasiões, o controlador necessita de tratar dados sem o 
consentimento dos pais/responsáveis legais. Por exemplo, uma criança que atua (ator/atriz) 
estabelece uma relação de trabalho com uma instituição. O controlador, às vezes, precisa 
tratar os dados da criança com base no estabelecido em contratos ou para se adequar a leis. 
Algumas escolas apresentam dados pessoais do aluno: desempenho pedagógico, frequência, 
histórico financeiro. Supondo que uma instituição de ensino precise compartilhar os dados 
dos alunos com a Secretaria de Educação do estado. Destarte, o consentimento dos pais não 
pode prejudicar (se tornar um empecilho a) uma política pública do governo. 
A interpretação plausível do art. 14 seria a seguinte: quando o consentimento for a base 
legal para o tratamento de determinados dados das crianças, esse consentimento deve ser 
dado pelos pais/responsáveis legais. 
 
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere 
o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável 
legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum 
caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste 
artigo. 
 
§ 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 
1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de 
informações pessoais além das estritamente necessárias à atividade. 
A criança não tem discernimento e não consegue lidar com determinadas particularidades 
da vida adulta. Por exemplo, uma criança que coloca o cartão de crédito dos pais, sem o 
consentimento destes, para comprar itens em um jogo. Ela não o faz por maldade, mas pela 
falta de maturidade e experiência de vida (não consegue entender a seriedade inerente 
àquele cartão). Desse modo, o legislador foi muito feliz no parágrafo 4º do art. 14 da LGPD 
ao buscar concretizar o princípio da necessidade pelo fato de proibir a coleta de dados 
pessoais desnecessários à participação no jogo. Desse modo, por exemplo, não é necessário 
que o usuário insira o cartão de crédito/débito no jogo para participá-lo; somente caso 
queira realizar compras no aplicativo. 
Para solucionar o problema da autenticação (provar que foi o responsável legal que 
consentiu), ainda é inimaginável a adoção de medidas simples (como perguntas para testar a 
capacidade cognitiva da criança) ao invés de burocráticas. 
 
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser 
fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos 
audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais 
ou ao responsável legal e adequada ao entendimento da criança. 
Não somente os pais/responsáveis legais são responsáveis pela transparência, mas as 
crianças (titulares), também. Deve-se utilizar, portanto, uma linguagem simples, clara e 
objetiva para mostrar às crianças o que será feito com os seus dados. 
Como o parágrafo 6º utiliza a expressa “referidas neste artigo”, inclui-se o caput e, por 
conseguinte, os adolescentes. Entretanto, a parte final se refere somente às crianças, 
levando-se em conta as características sensoriais e intelectuais desses indivíduos. 
 
2. O art. 18 da LGPD: 
Art. 18 – LGPD: O titular dos dados pessoais tem direito a obter do controlador, em relação 
aos dados do titular por ele tratados, a qualquer momento e mediante requisição: 
I - confirmação da existência de tratamento; 
II - acesso aos dados; 
III - correção de dados incompletos, inexatos ou desatualizados; 
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou 
tratados em desconformidade com o disposto nesta Lei; 
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante 
requisição expressa, de acordo com a regulamentação da autoridade nacional, observados 
os segredos comercial e industrial; 
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas 
hipóteses previstas no art. 16 desta Lei; 
VII - informação das entidades públicas e privadas com as quais o controlador realizou 
uso compartilhado de dados; 
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as 
consequências da negativa; 
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. 
 
Vale relembrar o princípio do livre acesso já estudado acerca da LGPD, o qual afirma que não 
devem existir medidas burocráticas que dificultem o acesso aos dados por parte do titular. 
Marcus que não é mais cliente da Oi a uma década, caso desconfie que esta ainda continue 
armazenando seus dados, pode solicitar expressamente a confirmação da existência do 
tratamento e pode ter, inclusive, acesso a esses dados tratados. 
O inciso III do art. 18 apresenta vínculo com o princípio da qualidade dos dados, auxiliando, 
eventualmente, o titular a resolver problemas de ordem prática a partir da atualização dos 
seus dados. 
Os incisos IV e VI apontam para a eliminação dos dados, entretanto, caindo sobre questões 
distintas. No inciso IV, a eliminação está vinculada a dados desnecessários, excessivos ou 
tratados em desconformidade com a lei. 
Diante de conflitos em face de eventuais recusas do controlador, uma das saídas por parte 
do titular seria peticionar perante a autoridade nacional (ANPD) – conforme o disposto no 
parágrafo 1º do referido artigo. 
 
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados 
contra o controlador perante a autoridade nacional. 
 
A eliminação tratada no inciso VI não tem nada a ver com a necessidade/desnecessidade 
e/ou licitude/ilicitude. Uma das particularidades do consentimento é a prerrogativa do 
titular revogar o consentimento dado (conforme o inciso IX do art. 18) e que impacta, 
diretamente, o expresso no inciso VI – podendo o titular solicitar a eliminação dos dados 
tratados com o consentimento 
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. 
 
Um aluno pode informar a uma escola da revogação do seu consentimento para o 
recebimento de propagandas de intercâmbio. Dessa forma, pode, também, solicitar a 
remoção dos dados no que tange aos parceiros dessa escola. 
 
§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com 
os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a 
anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos 
casos em que esta comunicação seja comprovadamente impossível ou implique esforço 
desproporcional. 
 
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do 
titular ou de representante legalmente constituído, a agente de tratamento. 
 
A lei prevê, expressamente, que o titular seja informado expressamente pelo controlador a 
recusa do exercício de direito que trata o parágrafo 3º. 
§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º 
deste artigo, o controlador enviará ao titular resposta em que poderá: 
I - comunicar que não é agente de tratamento dos dados e indicar, sempre que 
possível, o agente; ou 
II - indicar as razões de fato ou de direito que impedem a adoção imediata da 
providência 
Essas razões mencionadas no inciso II do parágrafo quarto podem ser jurídicas (geralmente 
são) ou fáticas (“não posso remover dados sobre você porque não tenho dados sobre você” 
– questão de fato que pode ser apresentada pelo controlador). 
O inciso VII discorre sobre a possibilidade do controlador apresentar aos titulares 
informações compartilhadas com terceiros (inclusive com órgãos do governo). 
O inciso VIII gera a liberdade de recusa no que tange ao consentimento, ou seja, o 
consentimento precisa ser livre. A não atribuição do consentimento pode gerar algumas 
consequências – que devem ser explicitadas ao titular. Exemplo: Um curso de inglês coletou 
dados dos alunos para o ensino pedagógico e para o controle financeiro. Supondo que a 
base legal para legitimar isso teria sido o consentimento (e não o cumprimento de contrato), 
mas que impõe o consentimento para o ingresso do aluno em um serviço de intercâmbio 
parceiro do curso de inglês. Se A não consentiu com o tratamento daqueles dados, isso não 
o inviabiliza de frequentar as aulas, somente não poderá participar do intercâmbio. 
 
3. O art. 20 da LGPD: 
Art. 20 – LGPD: O titular dos dados tem direito a solicitar a revisão de decisões tomadas 
unicamente com base em tratamento automatizado de dados pessoais que afetem seus 
interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de 
consumo e de crédito ou os aspectos de sua personalidade. 
O artigo anterior discorre sobre o tratamento automatizado. 
Por exemplo, Marcus tentou comprar um produto no exterior e teve a compra recusada 
imediatamente por suposta tentativa fraudulenta. Esse “não” foi realizado por um programa 
de computador treinado para analisar padrões dos clientes e bloquear transações suspeitas. 
Ao ocorrer ao bloqueio, um atendente (pessoa física) entra em contato com Marcus para 
saber se foi ele que realizou a compra. Marcus afirma que sim, que foi ele que realizou a 
transação para adquirir um produto no Vietnã. 
A Amazon tem um tempo de resposta incrível que no que concerne ao tempo de aprovações 
pois apresenta um algoritmo que analisa a confiabilidade do cliente. Destarte, a Amazon 
envia o produto, às vezes, antes do “cliente confiável” efetuar o pagamento, analisando o 
benefício dele ficar satisfeito com a resposta da entrega e continuar comprando. 
O uso de IA, por exemplo, em processos seletivos, embora possa proporcionar celeridade, 
pode, às vezes, acabar colocando em risco o princípio da não discriminação no que tange ao 
tratamento de dados pessoais. 
A lei, no seu art. 20, caput, é vaga pois não especifica quem realizaria essa “revisão”. Marcus 
Seixas compreende que o mais adequado seria uma revisão humana, ainda que esta se 
limitasse em identificar na máquina algum tipo de irregularidade e, por conseguinte, manter 
ou não o que a máquina realizou. 
O ferimento ao princípio da não discriminação pode proporcionar intervenção da ANPD. 
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas 
a respeito dos critérios e dos procedimentosutilizados para a decisão automatizada, 
observados os segredos comercial e industrial. 
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado 
na observância de segredo comercial e industrial, a autoridade nacional poderá realizar 
auditoria para verificação de aspectos discriminatórios em tratamento automatizado de 
dados pessoais. 
 
AULA 06 – MARCO CIVIL DA INTERNET (LEI Nº 12.965/14) 
 
1. Conceitos importantes: 
Internet: Grande rede que conecta terminais entre si. 
Terminal: Qualquer dispositivo que pode se conectar à internet – televisores, celulares, 
videogames, tablets, fornos, cortinas, carros, lâmpadas, geladeiras, etc. 
Roteador: Dispositivo que transforma sinal, sem fio, em internet. 
Provedores de conexão: Empresas contratadas para o fornecimento de internet – VIVO, TIM, 
Claro, Oi, etc. 
Protocolo de internet: É a tecnologia que permite que possamos acessar outros terminais e 
que possibilita ao navegador compreender qual terminar queremos acessar. Pode-se, assim, 
acessar diversos terminais simultaneamente sem comprometimento das funções. 
Todo terminal que se liga a internet apresenta um endereço de IP. O endereço de IP é um 
número grande que identifica uma rede ou um dispositivo. 
Os cientistas da internet inventaram o equivalente à agenda telefônica no nosso celular – o 
DNS. O protocolo DNS – Domain name system – converte nomes de domínio legíveis por 
humanos, direcionando, instantaneamente, a um endereço de IP. Exemplo: 
www.uol.com.br  Endereço de IP: 200.221.2.45. 
A internet é descentralizada, consistindo em uma rede que conecta várias redes. 
O roteador se encontra ligado ao provedor de conexão. No provedor de conexão há 
cabeamentos que vão ligar a rede dos seus usuários com outras redes de usuários do mundo 
todo. Daí o significado da internet como “a rede de redes”. Utiliza-se, nesse processo, um 
provedor de infraestrutura denominado backbone. 
Largura da banda: Capacidade da banda de suportar informações (o cabo suporta um 
volume maior em comparação ao satélite). 
 
(Cabos submarinos, majoritariamente subsidiados pela iniciativa privada) 
O primeiro cabo foi instalado no Brasil em 1996 – Brazilian Festoon – cujo proprietário é a 
Embratel e extensão 2.552 km. 
O cabo submarino, após atravessar, encontra um servidor (como, por exemplo, o da Netflix). 
Esse servidor retribui e o sinal percorre o caminho de volta. Esse processo ocorre que quase 
instantaneamente. 
http://www.uol.com.br/
Quanto mais perto estiver o servidor do local que estivermos, mais rápido receberemos o 
sinal (em virtude da distância geográfica). Todavia, essa diferença temporal é praticamente 
imperceptível em razão da velocidade de transmissão dos dados. 
 
 
O VPN mascara o endereço de IP pois conduz a rede a outros caminhos antes que se chegue 
ao destino final. Por isso a velocidade cai (percorre um maior caminho) quando se utiliza 
VPN. O VPN pode ser uma ferramenta interessante, sobretudo para grandes empresas, com 
o intuito de se proteger contra hackers e criminosos cibernéticos. 
O Tor é uma ferramenta utilizada para navegar na deep web. Do conteúdo disponível na 
internet, apenas uma minoria é alcançada pelos buscadores (“ponta do iceberg”) e, 
consequentemente por nós. O Tor é um dos navegadores especiais voltados para se alcançar 
a “outra porção iceberg”. Na deep web, algumas atividades ilícitas são propensas de 
acontecer (vide o caso Silk Road – espécie de “e-commerce do mal”, voltado para 
encomendar drogas, armas, sequestros, assassinatos e etc, por meio de transações por 
criptomoedas). É preciso saber o que se está fazendo ao utilizar o Tor (por isso não é 
aconselhado) para evitar deixar rastros para criminosos. 
2. O Marco Civil da Internet (Lei nº 12.965/14): 
A internet é uma rede de redes (rede universal), ou seja, a rede dos provedores de conexão 
que se ligam através dos backbones com o fito de permitir a transmissão de informações. 
Sendo a internet uma rede universal, é possível regular, pelo menos, o uso da internet no 
Brasil, bem como estabelecer direitos aos usuários de internet. É possível impor esses 
padrões normativos limitados geograficamente ao Brasil 
 
 Promoção (art. 4º) 
 
 Do direito de acesso à internet a todos; 
 Do acesso à informação, ao conhecimento e à participação na vida cultural e na 
condução dos assuntos públicos (título eleitor digital, carteira de motorista digital, 
carteira de trabalho digital, etc...) 
 Da inovação e do fomento à ampla difusão de novas tecnologias e modelos de uso e 
acesso; 
 De adesão a padrões tecnológicos abertos que permitem a comunicação, a 
acessibilidade e a interoperabilidade entre aplicações e bases de dados; 
 A livre iniciativa, a livre concorrência e a defesa do consumidor (a internet é um meio 
pelo qual grandes transações acontecem – vide os microempreendedores para além 
das BigTech); 
 
Apesar dos governos – como o brasileiro – executarem políticas públicas em prol de 
estender o acesso à internet às camadas menos favorecidas da sociedade (como o Internet 
Brasil – que pode entrar em vigência a qualquer momento – cuja finalidade é a 
disponibilização de chips de internet para estudantes de escolas públicas estaduais e 
municipais), o uso da internet ainda é extremamente restrito. Tal constatação gera debates 
acerca do “acesso universal” e gratuito, o que nenhum Estado concretizou até o momento (a 
criação de uma “internet nacional”). 
A digitalização dos assuntos públicos, apesar de contribuir bastante para facilitar a vida dos 
cidadãos – evitando grandes filas e deslocamentos contínuos -, somente pode ser pensada 
caso existisse um amplo acesso à internet e os cidadãos tivessem consciência de como usá-
la. 
A tecnologia causa um choque no primeiro momento, mas depois se normaliza. O elevador, 
que hoje é naturalizado, já foi uma grande novidade. A sociedade precisa se adaptar às 
mudanças provenientes da incorporação das novas tecnologias (como, por exemplo, nas 
relações de trabalho – tende a crescer, cada vez mais, profissionais no setor de tecnologia). 
3. Princípios do uso da Internet (art. 3º): 
Antes mesmo da criação da LGPD já existia, no âmbito do Marco Civil da Internet, uma 
preocupação no que concerne ao tratamento dos dados pessoais (restritos ao ambiente da 
internet). 
 
 Garantia da liberdade de expressão, comunicação e manifestação de pensamento: 
Na Rússia, por exemplo, não se pode falar em tal garantia, uma vez que lá a internet 
é utilizada como um mecanismo de espionagem e repressão. Na China, há um 
bloqueio de diversos conteúdos para serem acessados no país, o que evidencia, por 
conseguinte, uma censura significativa. No Brasil, não há tal repressão, contudo, 
devemos nos responsabilizar pelas nossas manifestações de pensamento (injúrias, 
difamações, fake news...); 
 
 Princípio da proteção da privacidade; 
 
 Princípio da proteção dos dados pessoais, na forma da lei; 
 
 Preservação e garantia da neutralidade da rede: A ideia de neutralidade é 
interessante, uma vez que corrobora a tese de que os usuários de internet não 
podem ser discriminados pelo acesso da internet. Por exemplo, um indivíduo que 
está assistindo a um filme deve apresentar a mesma conexão (sem melhora ou piora) 
de um indivíduo que está lendo notícias; 
 
 Preservação da estabilidade, segurança e funcionalidade da rede, por meio de 
medidas técnicas compatíveis com os padrões internacionais e pelo estímulo do uso 
de boas práticas; 
 
 Responsabilização dos agentes de acordo com suas atividades, nos termos da lei; 
 
 Preservação da natureza participativa da rede: Os agentes aqui referidos são os 
provedores e, também, os usuários da internet (visto que estes devem ser 
responsabilizados pelos seus atos, principalmente, no que se vincula a atos ilícitos). 
Hoje é possível responsabilizar pessoas pelosseus atos, inclusive, atos realizados sob 
anonimato (vide os conceitos de “registro de conexão” e “registro de acesso à 
aplicação de internet” – presentes no art. 5 no Marco Geral da Internet); 
 
 Liberdade dos modelos de negócios promovidos na internet, desde que não 
conflitem com os demais princípios estabelecidos nesta Lei; 
 
 Esses princípios não excluem outros previstos no ordenamento jurídico pátrio 
relacionados à matéria ou nos tratados internacionais em que a República Federativa 
do Brasil seja parte; 
 
Para a próxima aula: 
Ler os arts. 1º a 5º do Marco Civil da Internet (princípios do uso da internet no Brasil e 
conceitos jurídicos da tecnologia da internet) + art. 9º do Marco Civil da Internet 
(neutralidade da rede). 
 
AULA 07 – DIREITOS DO USUÁRIO DA INTERNET 
 
1. Direitos do usuário da internet (art. 7º): 
 
 Inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano 
material ou moral decorrente de sua violação; 
 
 Inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem 
judicial, na forma da lei; 
 
 Inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem 
judicial; 
A tecnologia de criptografia de ponta a ponta utilizada pelo WhatsApp possibilita que 
somente o remetente e o destinatário tenham acesso às informações da conversa 
criptografada (daí a expressão “de ponta a ponta”: remetente  destinatário). O 
Telegram, diferentemente do WhatsApp, tem criptografia “ponta-Telegram-ponta” 
(remetente  Telegram  destinatário). 
O Telegram guarda e acessa as informações dos usuários e, por conta disso, o WhatsApp 
é um veículo de comunicação mais seguro. O WhatsApp tem diretores no Brasil, o que 
possibilitou ao STF constrangê-lo, através da imposição de multas, a cumprir uma 
decisão judicial com o intuito de impedir a disseminação de fake news em grupos do 
aplicativo. 
Para se derrubar um usuário da rede, bloqueia-se o acesso de tal usuário ao provedor. 
 
 Não suspensão da conexão à internet, salvo por débito diretamente decorrente de 
sua utilização (reafirmação das disposições do Código de Defesa do Consumidor); 
 
 Manutenção da qualidade contratada da conexão à internet; 
Sem ofender a neutralidade da rede, o provedor de conexão pode discriminar baseado na 
velocidade contratada por duas principais razões: (I) a decisão é unilateral do consumidor; 
(II) trata-se de uma discriminação agnóstica, ou seja, não é uma discriminação pautada no 
conteúdo ou na origem, mas uma discriminação que se aplica a toda e qualquer atividade 
realizada pelo indivíduo. É vedada, portanto, a um indivíduo A que contratou um 
determinado serviço com o provedor X, ter uma diferente velocidade para acessar o site B 
em comparação ao momento em que ele acessa o site C. 
 Informações claras e completas constantes dos contratos de proteção de serviços, 
com detalhamento sobre o regime de proteção aos registros de conexão e aos 
registros de acesso a aplicações de internet, bem como sobre práticas de 
gerenciamento da rede que possam afetar sua qualidade; 
 
 Não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão 
e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e 
informado ou nas hipóteses previstas em lei; 
 
 Informações claras e completas sobre coleta, uso, armazenamento, tratamento e 
proteção de seus dados pessoais, que somente poderão ser utilizados para 
finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) 
estejam especificadas nos contratos de prestação de serviços ou em termos de uso 
de aplicações de internet. Esse direito se vincula mais aos provedores. 
 
 Consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados 
pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais. 
 
Antes da LGPD, o Brasil viva a utopia de que o consentimento era a única base legal que 
justificasse o tratamento de dados pessoais dos usuários. A LGPD passou a admitir diversas 
bases legais para além do consentimento. A LGPD, mais especificamente através dos seus 
arts. 7 e 11, revogou, tacitamente, esse inciso do Marco Civil da Internet. 
 
 Exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação 
da internet, a seu requerimento, ao término da relação entre as partes, ressalvadas 
as hipóteses de guarda obrigatória de registros previstos nesta Lei e na que dispõe 
sobre a proteção de dados pessoais; 
O direito de exclusão de dados é trazido pela LGPD, mas não consiste em um direito 
absoluto, uma vez que o pedido de exclusão só pode ser feito em determinadas hipóteses. O 
controlador precisa armazenar dados para, por exemplo, se proteger contra futuras ações 
judiciais. Esse inciso do Marco Civil da Internet faz parecer que a exclusão de dados 
corresponde a um direito absoluto. Torna-se, desse modo, nítido um choque entre o Marco 
Civil da Internet e a LGPD, podendo se interpretar a partir da supremacia da LGPD, ou em 
conjunto com a LGPD ou, ainda, compreender uma revogação tácita desse inciso do MCI 
pela LGPD. 
 
 Publicidade e clareza de eventuais políticas de uso dos provedores de conexão à 
Internet e de aplicações de internet; 
 
 Acessibilidade, consideradas as características físico-motoras, perceptivas, sensoriais, 
intelectuais e mentais do usuário, nos termos da lei; 
 
O direito de acessibilidade, lamentavelmente, não tem eficácia social. Poucos sites (inclusive 
governamentais) têm investido para pessoas com deficiência visual, auditiva, física... Como 
cada vez mais, serviços saem do meio físico para o âmbito digital, é necessário se pensar na 
acessibilidade via internet com o fito de evitar a exclusão de determinados grupos no 
exercício da cidadania. Esse debate é negligenciado atualmente, necessitando, 
urgentemente, de mudanças. 
 Aplicação das normas de proteção e defesa do consumidor nas relações de consumo 
realizadas na internet. 
 
2. Neutralidade da rede (art. 9º): 
“A regra geral, que sempre foi clara e valeu nos correios e na telefonia, vale também para a 
internet: além de não se esperar interferência de intermediários, (...) encaminhar pacotes de 
dados na direção do destinatário, até a entrega final.” 
 
Argumentos: 
FAVORÁVEIS CONTRÁRIOS 
Liberdade individual: Preserva a liberdade 
de expressão e de aceso à informação 
porque proíbe a discriminação de 
conteúdos; 
 
Isonomia de oferta: Impede que os 
provedores de conexão modifiquem a 
velocidade de acesso ou cobrem taxas mais 
altas para acessar certos conteúdos; 
 
Concorrência: Assegura que startups e 
grandes corporações concorram em 
condições de igualdade na oferta de 
aplicações de internet (tendo em vista a 
disparidade existente entre empresas de 
grande, médio e pequeno porte); 
Ações necessárias: Torna difícil tomar ações 
necessárias, como filtrar informações para 
prevenir ataques de denial of service 
(“negação de serviço”) evitar a disseminação 
de vírus e filtrar spam. 
Denial of service (exemplo): Um grupo de 
más pessoas, insatisfeito com o Enem, 
deseja derrubar o site do Inep e, para isso, 
infecta diversos computadores com um vírus 
que entrarão simultaneamente no site do 
Inep em um espaço curto de tempo. Isso vai 
sobrecarregar o servidor e tornar 
indisponível aquele serviço público; 
 
Expansão da rede: Desestimula a expansão 
da disponibilidade da rede, que aumenta 
exponencialmente o custo de operação dos 
provedores (para, justamente, manter essa 
neutralidade); 
 
Neutralidade enviesada: Grandes empresas 
prevalecem sobre startups por meio de 
servidores de alta qualidade e serviços de 
alta largura de banda 
 
Esse debate de ser favorável ou contrário, de acordo com Marcus Seixas, se encontra 
relacionado à visão de mundo de cada um no que tange