LGPD comentada - Viviane Nóbrega e Renato Blum - 2020

Prévia do material em texto

2020 - 08 - 14 PÁGINA 1 
LGPD Lei Geral de Proteção de Dados Comentada - Ed. 2020
Primeiras páginas
LGPD
LEI GERAL DE PROTEÇÃO DE DADOS COMENTADA
Coordenadores
Viviane Nóbrega Maldonado
Renato Opice Blum
 
© desta edição [2020]
Thomson Reuters Brasil
Juliana Mayumi Ono
Diretora responsável
Rua do Bosque, 820 – Barra Funda
Tel.: 11 3613-8400 - Fax: 11 3613-8450
CEP 01136-000 - São Paulo
TODOS OS DIREITOS RESERVADOS. Proibida a reprodução total ou parcial, por qualquer meio ou
processo, especialmente por sistemas gráficos, microfílmicos, fotográficos, reprográficos,
fonográficos, videográficos.Vedada a memorização e/ou a recuperação total ou parcial, bem como a
inclusão de qualquerparte desta obra em qualquer sistema de processamento de dados. Essas
proibições aplicam-se tambémàs características gráficas da obra e à sua editoração. A violação dos
direitos autorais é punível comocrime (art. 184 e parágrafos, do Código Penal), com pena de prisão e
multa, conjuntamente com busca eapreensão e indenizações diversas (arts. 101 a 110 da Lei 9.610, de
19.02.1998, Lei dos Direitos Autorais).
Os autores gozam da mais ampla liberdade de opinião e de crítica, cabendo-lhes a
responsabilidade das ideias e dos conceitos emitidos em seu trabalho.
© desta edição [2020]
Central de Relacionamento Thomson Reuters Selo Revista dos Tribunais (atendimento, em dias
úteis, das 09h às 18h)
Tel. 0800-702-2433
e-mail de atendimento ao consumidor: sacrt@thomsonreuters.com
e-mail para submissão dos originais: aval.livro@thomsonreuters.com
Conheça mais sobre Thomson Reuters: www.thomsonreuters.com.br
Acesse o nosso eComm
www.livrariart.com.br
Impresso no Brasil [11-2019]
Profissional
Fechamento desta edição [26.09.2019]
ISBN 978-85-5321-911-7
file:///appserver/tmp/0ab8f146639c4728888228249883d502/www.livrariart.com.br
file:///appserver/tmp/0ab8f146639c4728888228249883d502/www.thomsonreuters.com.br
mailto:aval.livro@thomsonreuters.com
mailto:sacrt@thomsonreuters.com
2020 - 08 - 14 PÁGINA II 
LGPD Lei Geral de Proteção de Dados Comentada - Ed. 2020
Expediente
Expediente
Diretora de Conteúdo e Operações Editoriais
Juliana Mayumi Ono
Gerente de Conteúdo
Milisa Cristine Romera
Editorial: Aline Marchesi da Silva, Diego Garcia Mendonça, Karolina de Albuquerque Araújo
eMarcella Pâmela da Costa Silva
Gerente de Conteúdo Tax: Vanessa Miranda de M. Pereira
Direitos Autorais: Viviane M. C. Carmezim
Analista de Conteúdo Editorial: Quenia Becker
Assistente de Conteúdo Editorial: Juliana Menezes Drumond
Analista de Projetos: Camilla Dantara Ventura
Estagiárias: Bárbara Baraldi Sabino e Stefanie Lopes Pereira
Produção Editorial
Coordenação
Andréia R. Schneider Nunes Carvalhaes
Especialistas Editoriais: Gabriele Lais Sant’Anna dos Santos e Maria Angélica Leite
Analista de Projetos: Larissa Gonçalves de Moura
Analistas de Operações Editoriais: Caroline Vieira, Damares Regina Felício, Danielle Castro de
Morais, Mariana Plastino Andrade, Mayara Macioni Pinto e Patrícia Melhado Navarra
Analistas de Qualidade Editorial: Ana Paula Cavalcanti, Fernanda Lessa, Rafael Ribeiro e Thaís
Pereira
Estagiárias: Beatriz Fialho, Tainá Luz Carvalho e Victória Menezes Pereira
Capa: Linotec
Adaptação da Capa: Linotec
Controle de Qualidade da Diagramação: Carla Lemos
Equipe de Conteúdo Digital
© desta edição [2020]
Coordenação
Marcello Antonio Mastrorosa Pedro
Analistas: Jonatan Souza, Luciano Guimarães, Maria Cristina Lopes Araujo e Rodrigo Araujo
Administrativo e Produção Gráfica
Coordenação
Mauricio Alves Monte
Analista de Produção Gráfica: Aline Ferrarezi Regis e Jéssica Maria Ferreira Bueno
Estagiária de Produção Gráfica: Ana Paula Evangelista
2020 - 08 - 14 PÁGINA III
© desta edição [2020]
 
LGPD Lei Geral de Proteção de Dados Comentada - Ed. 2020
Ficha Catalográfica
Ficha Catalográfica
Dados Internacionais de Catalogação na Publicação (CIP)
(Câmara Brasileira do Livro, SP, Brasil)
LGPD : Lei Geral de Proteção de Dados comentada [livro eletrônico]/coordenadores Viviane
Nóbrega Maldonado e Renato Opice Blum. --2. ed. -- São Paulo : Thomson Reuters Brasil, 2019.
6 Mb ; ePUB
2. ed. em e-book baseada na 2. ed. impressa.
Vários autores.
Bibliografia
ISBN 978-85-5321-911-7
1. Direito à privacidade 2. Proteção de dados - Leis e legislação I. Maldonado, Viviane Nóbrega.
II. Blum, Renato Opice.
19-30617 CDU-342.721(094.56).
Índices para catálogo sistemático:
1. Lei geral de proteção de dados : Comentários : Direito à privacidade 342.721(094.56)
Maria Alice Ferreira - Bibliotecária - CRB-8/7964
SUMÁRIO
SOBRE OS COORDENADORES ............................................................................. 5
SOBRE OS AUTORES ............................................................................................. 7
INTRODUÇÃO ....................................................................................................... 11
LEI 13.709, 
DE 14 DE AGOSTO DE 2018
CAPÍTULO I – Disposições Preliminares ................................................................ 19
RONY VAINZOF
Art. 1º ...................................................................................................................... 19
Art. 2º ...................................................................................................................... 24
Art. 3º ...................................................................................................................... 52
Art. 4º ...................................................................................................................... 66
Art. 5º ...................................................................................................................... 89
Art. 6º ...................................................................................................................... 135
CAPÍTULO II – Do Tratamento de Dados Pessoais .............................................. 179
CAIO CÉSAR CARVALHO LIMA
SEÇÃO I – DOS REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS............................. 179
Art. 7º ...................................................................................................................... 179
Art. 8º ...................................................................................................................... 188
Art. 9º ...................................................................................................................... 191
Art. 10 ..................................................................................................................... 194
14 | LEI GERAL DE PROTEÇÃO DE DADOS COMENTADA
SEÇÃO II – DO TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS ...................................... 197
Art. 11 ..................................................................................................................... 197
Art. 12 ..................................................................................................................... 202
Art. 13 ..................................................................................................................... 206
SEÇÃO III – DO TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E DE ADOLESCENTES ...... 208
Art. 14 ..................................................................................................................... 208
SEÇÃO IV – DO TÉRMINO DO TRATAMENTO DE DADOS .................................................. 212
Art. 15 ..................................................................................................................... 212
Art. 16 ..................................................................................................................... 213
CAPÍTULO III – Dos Direitos do Titular ............................................................... 215
VIVIANE NÓBREGA MALDONADO 
Art. 17 ..................................................................................................................... 220
Art. 18 .....................................................................................................................221
Art. 19 ..................................................................................................................... 239
Art. 20 ..................................................................................................................... 241
Art. 21 ..................................................................................................................... 242
Art. 22 ..................................................................................................................... 242
CAPÍTULO IV – Do Tratamento de Dados Pessoais pelo Poder Público .......... 245
FERNANDO ANTONIO TASSO
SEÇÃO I – DAS REGRAS............................................................................................... 245
Art. 23 ..................................................................................................................... 245
Art. 24 ..................................................................................................................... 265
Art. 25 ..................................................................................................................... 268
Art. 26 ..................................................................................................................... 276
Art. 27 ..................................................................................................................... 284
Art. 28 ..................................................................................................................... 286
Art. 29 ..................................................................................................................... 286
Art. 30 ..................................................................................................................... 287
SEÇÃO II – DA RESPONSABILIDADE .............................................................................. 287
Art. 31 ..................................................................................................................... 287
Art. 32 ..................................................................................................................... 288
SUMÁRIO | 15
CAPÍTULO V – Da Transferência Internacional de Dados .................................. 291
LUIS FERNANDO PRADO CHAVES
Art. 33 ..................................................................................................................... 294
Art. 34 ..................................................................................................................... 306
Art. 35 ..................................................................................................................... 307
Art. 36 ..................................................................................................................... 308
CAPÍTULO VI – Dos Agentes de Tratamento de Dados Pessoais ...................... 309
MARCOS GOMES DA SILVA BRUNO 
SEÇÃO I – DO CONTROLADOR E DO OPERADOR ............................................................. 309
Art. 37 ..................................................................................................................... 309
Art. 38 ..................................................................................................................... 311
Art. 39 ..................................................................................................................... 314
Art. 40 ..................................................................................................................... 315
SEÇÃO II – DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS .......................... 317
Art. 41 ..................................................................................................................... 317
SEÇÃO III – DA RESPONSABILIDADE E DO RESSARCIMENTO DE DANOS ............................. 322
Art. 42 ..................................................................................................................... 322
Art. 43 ..................................................................................................................... 328
Art. 44 ..................................................................................................................... 330
Art. 45 ..................................................................................................................... 331
CAPÍTULO VII – Da Segurança e das Boas Práticas ............................................ 333
CAMILLA DO VALE JIMENE 
SEÇÃO I – DA SEGURANÇA E DO SIGILO DE DADOS ........................................................ 333
Art. 46 ..................................................................................................................... 333
Art. 47 ..................................................................................................................... 342
Art. 48 ..................................................................................................................... 347
Art. 49 ..................................................................................................................... 353
SEÇÃO II – DAS BOAS PRÁTICAS E DA GOVERNANÇA ...................................................... 354
Art. 50 ..................................................................................................................... 354
Art. 51 ..................................................................................................................... 357
16 | LEI GERAL DE PROTEÇÃO DE DADOS COMENTADA
CAPÍTULO VIII – Da Fiscalização .......................................................................... 361
FABRICIO DA MOTA ALVES
SEÇÃO I – DAS SANÇÕES ADMINISTRATIVAS .................................................................. 361
Art. 52 ..................................................................................................................... 367
Art. 53 ..................................................................................................................... 394
Art. 54 ..................................................................................................................... 395
CAPÍTULO IX – Da Autoridade Nacional de Proteção de Dados (ANPD) e do 
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade .............. 399
ANDRIEI GUTIERREZ
SEÇÃO I – DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) ................. 401
Art. 55 ..................................................................................................................... 401
Art. 55-A .................................................................................................................. 401
Art. 55-B .................................................................................................................. 402
Art. 55-C ................................................................................................................. 403
Art. 55-D ................................................................................................................. 403
Art. 55-E .................................................................................................................. 405
Art. 55-F .................................................................................................................. 406
Art. 55-G ................................................................................................................. 406
Art. 55-H ................................................................................................................. 406
Art. 55-I ................................................................................................................... 406
Art. 55-J ................................................................................................................... 406
Art. 55-K .................................................................................................................. 414
Art. 55-L ..................................................................................................................415
SEÇÃO II – DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA 
PRIVACIDADE ............................................................................................................. 415
Art. 58 ..................................................................................................................... 415
Art. 58-A .................................................................................................................. 415
Art. 58-B .................................................................................................................. 417
Art. 59 ..................................................................................................................... 417
SUMÁRIO | 17
CAPÍTULO X – Disposições Finais e Transitórias .................................................. 419
ALESSANDRA BORELLI E NURIA LÓPEZ
Art. 60 ..................................................................................................................... 419
Art. 61 ..................................................................................................................... 422
Art. 62 ..................................................................................................................... 423
Art. 63 ..................................................................................................................... 425
Art. 64 ..................................................................................................................... 426
Art. 65 ..................................................................................................................... 427
2020 - 08 - 14 PÁGINA IV
© desta edição [2020]
 
LGPD Lei Geral de Proteção de Dados Comentada - Ed. 2020
Sobre os Coordenadores
SOBRE OS COORDENADORES
VIVIANE NÓBREGA MALDONADO
Juíza de Direito do Tribunal de Justiça do Estado de São Paulo (1993/2018). Data Protection
Expert (CIPP/E – IAPP – e Data Protection Officer Professional – Universidade de Maastricht).
Membro do Núcleo de Direito Digital da Escola Paulista da Magistratura. Docente em Proteção de
Dados em nível de Educação Executiva, bem como ministrados in company. Membro do Training
Advisory Board da International Association of Privacy Professionals e da ITechLaw. Pós-
graduação em Direito Civil à luz da Constituição Federal (EPM), MBA em Relações Internacionais
(FGV-SP) e Mestre em Direito Comparado pela Universidade de Samford (USA). Coordenadora e
instrutora do primeiro curso sobre o GDPR no Brasil. Idealizadora e coordenadora do primeiro
evento sobre o GRPR no País e do 1º Privacy Summit Brazil. Autora do livro Direito ao
esquecimento (Ed. Novo Século, 2017), do livro LGPD Comentada e Advocacia 4.0 (Ed. Thomson
Reuters, 2019), bem como de diversos artigos acadêmicos publicados no Brasil e no exterior.
Partner do Instituto de Inovação Legal (Portugal) e fundadora da Nextlaw Academy.
RENATO OPICE BLUM
Advogado e Economista. Mestre pela Florida Christian University. Professor coordenador do
curso de Direito Digital e Proteção de Dados do INSPER e do MBA em Direito Eletrônico da Escola
Paulista de Direito. Presidente da Associação Brasileira de Proteção de Dados (ABPDados); Juiz do
Inclusive Innovation Challenge do MIT. Membro da diretoria da Technology Law Association.
Membro Convidado do Grupo de Cybercrimes do Conselho da Europa. Membro da Associação
Europeia de Privacidade – European Privacy Association – Think Tank. Membro Convidado da
EuroPrivacy (Senior Expert em Proteção de Dados). Autor dos livros Direito eletrônico: a internet e
os tribunais (. 1. ed. São Paulo: Edipro, 2001. v. 1. 688p); Coordenador e coautor do livro Manual de
direito eletrônico e internet (São Paulo: Aduaneiras, 2006. v. 1.) e O Bug do Ano 2000 – Aspectos
Jurídicos e Econômicos (São Paulo: LTR, 1999. v. 1).
2020 - 08 - 14 PÁGINA V 
LGPD Lei Geral de Proteção de Dados Comentada - Ed. 2020
Sobre os Autores
SOBRE OS AUTORES
ALESSANDRA BORELLI
Advogada especialista em Direito Digital, pós-graduada em Direito Bancário e Mercado de
Valores Mobiliários pela FGV/SP, com extensão em Direito Digital pela Escola Paulista de
Magistratura, diretora executiva da Nethics Educação Digital e da Opice Blum Academy, professora
convidada dos cursos Proteção de Dados e Direito Digital do Insper, membro efetivo da Comissão
Permanente de Estudos de Tecnologia e Informação do IASP, colaboradora do Manual de
Orientação da Sociedade Brasileira de Pediatria –Saúde de Crianças e Adolescentes na Era Digital,
co-autora do livro Educação Digital, Ed. RT, 2015, Coordenadora e autora do Manual de Boas
Práticas para Uso Seguro das Redes Sociais da OAB/SP, autora da primeira Coleção de Educação
para Cidadania Digital do Brasil, Ed. FTD, 2016, co-autora do livro Comentários ao GDPR –
Regulamento Geral de Proteção de Dados da UE, Ed. RT, 2018, co-autora do livro Lei Geral de
Proteção de Dados Comentada, Ed. RT, 2019 e de diversos artigos e cartilhas relacionados ao tema.
Palestrante no Brasil e exterior, tendo participado da Bett Show, do LearnIT – London/2019 e do
International Society for Technology in Education (ISTE) – Philadelphia/2019.
ANDRIEI GUTIERREZ
Ph.D em Ciência Política pela Unicamp e em Sociologia pela Université de Provence. Foi
Pesquisador da Unicamp por cerca de dez anos na área de Ciência Política. Atua há mais de 15
anos no setor privado e na academia nas áreas de Ciências Sociais, Tecnologia, Mineração e Bens
de Capital. Trabalhou na VALE S/A e na Associação Brasileira de Máquinas e Equipamentos
(ABIMAQ) em funções ligadas a assuntos corporativos e relações institucionais. Diretor de Relações
Governamentais e Assuntos Regulatórios na IBM, sendo um dos seus principais interlocutores para
temas de Privacidade e Proteção de Dados Pessoais no Brasil. Líder do Comitê Regulatório da
Associação Brasileira das Empresas de Software (ABES) e do Grupo de Trabalho de Política Digital
e Inovação na Associação Brasileira das Empresas de Tecnologia da Informação e da Comunicação
(BRASSCOM). É um dos idealizadores e coordenador do Movimento Brasil, País Digital, iniciativa
multissetorial liderada pela ABES com o foco de estimular a transformação digital do País.
CAIO CÉSAR CARVALHO LIMA
Mestre em Direito Processual Civil pela Pontifícia Universidade Católica de São Paulo (PUC-SP).
Professor convidado de universidades, ministrando disciplinas de Proteção de Dados e Direito
Digital. Autor de artigos e capítulos de livro en-volvendo esses temas. Certificado em Privacy and
Data Protection Essentials (LGPD), Foundation (GDPR) e Practitioner (GDPR) pela EXIN. Advogado
especialista em Proteção de Dados e Direito Digital.
CAMILLA DO VALE JIMENE
Advogada e Professora. Sócia do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados.
Pós-Graduada em Direito Processual Civil pela PUC-SP. Conselheira da Associação Brasileira de
Proteção de Dados – ABPDados.Coordenadora do Comitê de Estudos em Compliance Digital da LEC
– Legal, Ethics & Compliance.
FABRICIO DA MOTA ALVES
Advogado e Professor em Direito Digital. Sócio do escritório Antônio Fernando de Souza e
Garcia de Souza Advogados Associados e Coordenador da área de Proteção de Dados, Tecnologia e
Inovação. Membro da Comissão Nacional de Proteção de Dados do Conselho Federal da Ordem dos
Advogados do Brasil. Non Key Expert da Comissão Europeia. Alumnus do International Visitors
Leadership Program em Regulação e Legislação na Era Digital e do European Union Visitors
Program. Coordenador jurídico da Frente Parlamentar de Proteção de Dados Pessoais. Professor
em Privacidade e Proteção de Dados do Instituto Brasiliense de Direito Público – IDP, do Instituto
de Ensino e Pesquisa – Insper e da Legal, Ethics & Compliance – LEC, Pontifícia Universidade
Católica do Paraná, Campus de Toledo, Escola Paulista de Direito, Fundação Getúlio Vargas (Rio de
Janeiro). Membro benemérito da Associação Brasileira de Proteção de Dados – ABPDados e
membro associado da International Association of Privacy Professionals.
FERNANDOANTONIO TASSO
Juiz de Direito em São Paulo. Graduado em Direito pela PUC-SP. Especialista em Gestão e
Governança de Tecnologia da Informação pela FIAP. Juiz formador de magistrados habilitado pela
Escola Nacional de Formação e Aperfeiçoamento de Magistrados – ENFAM. Coordenador de
Tecnologia da Informação e Direito Digital da Escola Paulista da Magistratura – EPM, onde também
é Coordenador do Núcleo de Estudos em Direito Digital.
LUIS FERNANDO PRADO CHAVES
Advogado especialista em Direito Digital e Proteção de Dados, com certificação internacional
CIPP-E (Certified Information Privacy Professional) pela IAPP (Inter-national Association of Privacy
Professionals). Professor convidado do curso DPO – Proteção de Dados e Privacidade da FGV
Direito Rio. Mestre em Direito Digital e Sociedade da Informação pela Universidade de Barcelona.
Especialista em Propriedade Intelectual e Novos Negócios pela Escola de Direito de São Paulo (FGV-
SP). Coautor do livro Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União
Europeia (Ed. RT, 2018). Foi pesquisador externo do Grupo de Ensino e Pesquisa em Inovação
(GEPI) da FGV Direito SP, onde participou das contribuições ao Anteprojeto de Lei sobre Proteção
de Dados (Ministério da Justiça), que resultou na LGPD.
MARCOS GOMES DA SILVA BRUNO
Advogado. Membro da Comissão Especial de Direito Digital e Compliance da Ordem dos
Advogados do Brasil – Seção de São Paulo (OAB/SP). Diretor da Associação Brasileira de Comércio
Eletrônico – ABCOMM. Professor do Instituto de Ensino e Pesquisa – INSPER e da Lex Editora.
Professor convidado do Programa de Educação Continuada da Escola Politécnica da USP.
Palestrante convidado em várias instituições e congressos. Autor de diversos artigos relacionados
ao Direito Digital, Privacidade e Proteção de Dados. Colaborador em diversos veículos de
informação. Autor da monografia Os aspectos jurídicos do comércio eletrônico e do livro Resumo
jurídico de direito civil: obrigações e contratos no novo Código Civil” (Quartier Latin). Coautor de
Novo Código Civil: questões controvertidas – Série Grande Temas de Direito Privado – v. I (Método)
e de Internet legal: o direito na tecnologia da informação (Juruá). Coorganizador do Manual de
direito eletrônico e internet (Lex).
NURIA LÓPEZ
Doutora em Teoria e Filosofia do Direito pela PUC-SP. Mestre em Teoria e Filosofia do Direito
pela PUC-SP. Advogada especializada em Direito Digital e Proteção de Dados. Curadora de conteúdo
da Opice Blum Academy. Professora convidada em cursos de pós-graduação e extensão.
Palestrante. Autora de publicações nacionais e internacionais (Alemanha, Espanha) sobre
Neurofilosofia, Inteligência Artificial, Sociedade da Informação e Proteção de Dados.
RONY VAINZOF
Mestre em Soluções Alternativas de Controvérsias Empresariais pela Escola Paulista de Direito.
Pós-Graduado em Direito e Processo Penal pela Universidade Presbiteriana Mackenzie.
Coordenador e Professor do MBA em Direito Eletrônico da Escola Paulista de Direito (EPD). Diretor
© desta edição [2020]
do Departamento de Defesa e Segurança e Coordenador do Grupo de Trabalho de Segurança
Cibernética da FIESP. Fundador e Vice-Presidente da Associação Brasileira de Proteção de Dados
(ABPDados). Integrante da Câmara de Segurança e Direitos na Internet do Comitê Gestor da
Internet no Brasil. Alumni do International Visitor Leadership Program em 2018 – Legislation and
Regulation for the Digital Age. Certificado pela Exin em Privacy and Data Protection Foundation e
Privacy and Data Protection Practitioner. Coautor dos livros Marco Civil da Internet, Educação
digital, A Implementação dos meios extrajudiciais de solução de controvérsias e Comentários ao
GDPR: Regulamento Geral de Proteção de Dados da União Europeia.
VIVIANE NÓBREGA MALDONADO
Juíza de Direito do Tribunal de Justiça do Estado de São Paulo (1993/2018). Data Protection
Expert (CIPP/E – IAPP – e Data Protection Officer Professional – Universidade de Maastricht).
Membro do Núcleo de Direito Digital da Escola Paulista da Magistratura. Docente em Proteção de
Dados em nível de Educa-ção Executiva, bem como ministrados in company. Membro do Training
Advisory Board da International Association of Privacy Professionals e da ITechLaw. Pós-
graduação em Direito Civil à luz da Constituição Federal (EPM), MBA em Relações Internacionais
(FGV-SP) e Mestre em Direito Comparado pela Universidade de Samford (USA). Coordenadora e
instrutora do primeiro curso sobre o GDPR no Brasil. Idealizadora e coordenadora do primeiro
evento sobre o GRPR no País e do 1º Privacy Summit Brazil. Autora de Direito ao Esquecimento (Ed.
Novo Século, 2017), bem como dos livros Comentários ao GDPR, LGPD Comentada, Advocacia 4.0 e
LGPD – Manual de Implementação (Ed. Thomson Reuters, 2019), bem como de diversos artigos
acadêmicos publicados no Brasil e no exterior. Partner do Instituto de Inovação Legal (Portugal) e
fundadora da Nextlaw Academy.
2020 - 08 - 14 PÁGINA VI 
LGPD Lei Geral de Proteção de Dados Comentada - Ed. 2020
Introdução
Introdução
Em 2018, lançamos nossa obra coletiva Comentários ao GDPR: Regulamento Geral de Proteção
de Dados da União Europeia, pela Editora Revista dos Tribunais/Thomson Reuters, livro que, desde
o início, foi muito bem recebido e chegou a figurar como o mais vendido da categoria na
plataforma Amazon.
O livro, de fato, é bastante completo e consistente, o que por certo contribuiu para atrair o
interesse de tantos leitores. Entretanto, creditamos tal fenômeno a um fator externo à própria
qualidade da obra: o tema da proteção de dados está, efetivamente, no centro da agenda mundial.
Quando decidimos realizar o primeiro evento sobre o GDPR no Brasil, que aconteceu na sede da
Câmara Portuguesa, em São Paulo, pouquíssimas pessoas já haviam ouvido falar sobre a então
iminente nova lei europeia, tampouco sobre os novos paradigmas que viriam a se estabelecer em
termos universais.
Hoje, menos de dois anos depois, o tema de proteção de dados tornou-se recorrente e
primordial, proliferando-se eventos, congressos, cursos, workshops e artigos acadêmicos no Brasil
e em boa parte do mundo ocidental.
Essa circunstância nos deixa felizes, pois hoje constatamos que estávamos certos. Por outro
lado, sempre soubemos da nossa responsabilidade de tratar tal tema de forma continuada e
contextual, trazendo aos leitores a totalidade das informações disponíveis para que todos possam,
em verdadeiro movimento de revolução de mindset, contribuir para a disseminação da cultura da
proteção de dados, seja dentro das corporações, seja fora delas, sob a perspectiva da necessidade
da educação digital a todas as pessoas.
Esse livro é a continuação da nossa missão. Em bases permanentes, nós e todos os autores
estudamos, aprendemos, debatemos e ensinamos tudo aquilo que sabemos em matéria de
proteção de dados. E nossa satisfação maior nesse momento é saber que, com a aprovação da Lei
13.709/2018, o Brasil alinha-se ao standard mundial da proteção de dados e eleva-se em termos
reputacionais.
Ademais, é evidente que essas novas exigências significam grandes oportunidades para uma
enorme gama de profissionais de variadas áreas de atuação, a quem se abrem novas
possibilidades.
O mundo está cada vez mais conectado e isso não é novidade. Mas o que vemos agora, porém, é
um pouco diferente. Profissionais que antes mantinham suas atuações adstritas a uma
determinada área precisarão interagir com outros experts para que, juntos, consigam dar sentido e
empreender conformidade no que se refere ao conjunto de regras de proteção de dados.
O advogado, por exemplo, não poderá seguir por esse caminho sem trilhar de forma muito
próxima do profissional da segurança da informação. E um profissional de marketing não mais
poderá prosseguir em suas atividades cotidianas se não estiver perfeitamente ciente do
regramento legal que se impõe em matéria de proteção de dados.
A partir de agora, portanto, todos, indistintamente, deverão ampliar sua expertise e desenvolver
© desta edição [2020]competências complementares ao originário segmento de atuação.
Mais do que uma lei, vemos a proteção de dados como um shift no modo de pensar e de agir no
mundo atual. Os próprios gigantes tecnológicos já entenderam essa proposição.
Nossa lei brasileira, ainda antes de entrar em vigor, já sofreu alterações, pelo que reputamos
relevante a atualização da obra. E seguiremos fazendo isso cada vez que houver modificações
legislativas.
Somos testemunhas presenciais da alteração dos paradigmas da privacidade e não perderemos
a oportunidade de fazer a nossa parte da melhor forma que pudermos. E será sempre muito bom
que possamos continuar todos juntos.
Convidamos você, leitor, a caminhar conosco nessa jornada. Ainda é só o começo. Há um
mundo inteiro de conhecimentos e de oportunidades logo mais à frente. Aproveite!
VIVIANE NÓBREGA MALDONADO
RENATO OPICE BLUM
2020 - 08 - 14 PÁGINA RL-1.2 
LGPD Lei Geral de Proteção de Dados Comentada - Ed. 2020
Lei 13.709, de 14 de Agosto de 2018
CAPÍTULO I. DISPOSIÇÕES PRELIMINARES
Art. 1º.
Art. 1º. Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por
pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os
direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade
da pessoa natural.
A Lei Geral de Proteção de Dados Pessoais brasileira (LGPD1) se preocupa e versa apenas e tão
somente sobre o tratamento2de dados pessoais.3 Ou seja, não atinge diretamente dados de pessoa
jurídica, documentos sigilosos ou confidenciais, segredos de negócio, planos estratégicos,
algoritmos, fórmulas, softwares, patentes, entre outros documentos ou informações que não sejam
relacionadas a pessoa natural identificada ou identificável. Toda essa miríade de outros tipos de
informações ou documentos encontram tutela em distintos diplomas legais, como a Lei de
Propriedade Industrial (Lei 9.279/1996), a Lei de Direitos Autorais (Lei 9.610/1998) e a Lei de
Software (Lei 9.609/1998), apenas para citar alguns exemplos. Não obstante, sempre quando tais
documentos e informações não tocados diretamente pela Lei em estudo contiverem dados
pessoais, estes, e tão somente estes, estarão protegidos por ela, motivo pelo qual a análise da
aplicabilidade da LGPD, sob esse enfoque, deverá se aprofundar no mapeamento e inventário de
dados pessoais estruturados4 e não estruturados.5
Outra questão que merece destaque no art. 1º, por mais que vivenciemos a era digital, em que
dados pessoais usualmente já nascem, são coletados, utilizados e descartados diretamente por
meios digitais, de forma dinâmica, é a aplicabilidade da Lei também ao tratamento de dados em
estado físico ou off-line, migrando ou não, posteriormente, para o meio digital ou on-line.
Ademais, a LGPD se aplica a pessoas física6 e jurídicas que tratem dados pessoais, de direito
público7 ou privado.
Outrossim, independentemente dos fundamentos da LGPD, que veremos na sequência,
buscarem um equilíbrio na manutenção do desenvolvimento econômico e tecnológico de modelos
de negócio inovadores, públicos ou privados, com a inviolabilidade de direitos constitucionais dos
cidadãos, a parte final do art. 1º não deixa qualquer dúvida que o seu objetivo está
intrinsicamente vinculado à proteção dos direitos fundamentais de liberdade e de privacidade e o
livre desenvolvimento da personalidade da pessoa natural. E a utilização do verbo “proteger”, no
art. 1º, também demonstra essa necessidade coerente que o legislador enxergou no titular dos
dados como vulnerável em comparação com os agentes de tratamento.8
De fato, essa preocupação de tutelar de forma mais específica referidos direitos fundamentais
tornou-se ainda mais necessária com a evolução da informática e das telecomunicações, pois
desde o início dos anos 1970, com o advento dos computadores, quando houve um incremento no
uso de processamento de dados, inclusive pessoais. Esse período coincidiu com a formação de
blocos econômicos regionais, o que estimulou o compartilhamento de dados pessoais em grandes
quantidades e em escala internacional.
Esse cenário revelou um aumento de produtividade e eficiência de empresas e governos e, por
outro lado, também fez crescer a preocupação com a proteção da privacidade de indivíduos,
sobretudo diante do fluxo transfronteiriço de dados. Por isso, surgiram leis de proteção da
privacidade do indivíduo, relativamente ao tratamento de seus dados pessoais, alinhadas com o
sentimento de equilíbrio entre a proteção das liberdades individuais e a preservação de um fluxo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
aberto de dados pessoais capaz de sustentar o livre comércio internacional.
A evolução regulatória histórica em torno da questão revela muito do próprio desenvolvimento
humano em torno do conceito de privacidade,9 estimulando e permitindo um juízo de ponderação,
baseado em parâmetros como necessidade e proporcionalidade, para modelar e contrabalançar o
interesse privado e o interesse público, estabelecendo a possibilidade de ingerência do Estado
sobre direitos fundamentais e liberdades civis, limitando-os.
A premissa é única: não existem direitos absolutos, mas qualquer limitação a direitos
fundamentais deve ocorrer de forma moderada, necessária e proporcional.
Por isso, também, é que se compreende a necessidade de regular o direito à privacidade sob
uma perspectiva econômica, focada no já mencionado fluxo internacional de dados – um elemento
fundamental para a economia globalizada dos séculos XX e XXI.
Portanto, referidos direitos fundamentais, como o da privacidade, ganharam maior
necessidade de proteção legal, como por meio da LGPD, assim como da General Data Protection
Regulation (GDPR),10 norma da União Europeia que inspirou a legislação brasileira, diante da
quantidade avassaladora de dados coletados na era digital e do elevado grau de organização e
inteligência empregado sobre eles (progresso quantitativo e qualitativo), viabilizando análises
valorativas, não apenas pelo Estado sobre os cidadãos, mas também por empresas privadas.
Tudo em razão da atual capacidade computacional de processamento, que não só viabiliza, mas
também acelera a possibilidade de coleta, armazenamento, tratamento e compartilhamento de
dados, em um período contemporâneo marcado pelo trinômio Big Data, Internet das Coisas e
Inteligência Artificial, no qual máquinas trocam informações e comandos entre si, permitindo a
execução de ações automáticas e atingindo diversos setores da economia11.
Manuel Castells, chancela essa nova economia de dados, como aquela que passa a ser
“interconectada por um sistema nervoso eletrônico”.12 Pierre Lévy, acerca da capacidade de
processamento automático de todos esses dados, do alto grau de precisão, da celeridade e da escala
quantitativa possível, é taxativo ao dispor que “nenhum outro processo a não ser o processamento
digital reúne, ao mesmo tempo, essas quatro qualidades. A digitalização permite o controle das
informações e das mensagens ‘bit a bit’, número binário a número binário, e isso na velocidade de
cálculo de computadores”.13
A leitura das Considerandas 6 e 7, do GDPR, são bastante úteis ao tema, pois creditam a
exigência de um quadro de proteção de dados mais sólido e coerente, diante da rápida evolução
tecnológica e da globalização, que permitem às empresas privadas e às entidades públicas a
utilização de dados pessoais numa escala sem precedentes no exercício das suas atividades,
transformando a economia e a vida social.14
Assim, a LGPD busca a proteção de direitos e garantias fundamentais da pessoa natural,
equilibradamente, mediante a harmonização e atualização de conceitos de modo a mitigar riscos e
estabelecer regras bem definidas sobre o tratamento de dados pessoais.
Entidades públicas e privadas que enxergarem tais proteções como direitos dos cidadãos e não
somente como obrigações a serem cumpridas estarão um passo à frente dessa nova fase do
Compliance, que agora, além do combatea corrupção, visa o uso seguro e ético dos dados pessoais.
E a LGPD, logo em seu art. 1º, enfatiza essa questão, trazendo como objetivo da Lei a proteção dos
direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade
da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem
ser observadas pela União, Estados, Distrito Federal e Municípios. (Incluído pela Lei nº 13.853,
de 2019)
O parágrafo único em questão visa constranger a proliferação de regulamentações estaduais
que certamente podem gerar potenciais controvérsias com a LGPD, mas não impede a capacidade
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
legislativa dos entes federativos, o que seria resolvido apenas por meio de emenda constitucional,
que inclusive já tramita no Congresso conforme PEC 17/2019, que além incluir a proteção de dados
pessoais entre os direitos e garantias fundamentais, visa fixar a competência privativa da União
para legislar sobre proteção e tratamento de dados pessoais.
NOTAS DE RODAPÉ
1. A redação dada pela Lei 13.853/2019 alterou a parte dispositiva da Lei para denominá-la,
definitivamente, Lei Geral de Proteção de Dados Pessoais, com a sigla “LGPD”.
2. Conceito definido no art. 5º, inc. X, da LGPD.
3. Conceito definido no art. 5º, inc. I, da LGPD.
4. Usualmente existentes em banco de dados relacionais, que podem ser recuperados e processados de
forma eficiente, pois organizados, como os contidos em planilhas.
5. São os dados pessoais de difícil indexação, acesso, recuperação e processamento, pois não organizados.
Eles podem estar dentro de vídeos, e-mails, imagens e áudios, por exemplo.
6. Posteriormente avaliaremos as hipóteses de exceção, especialmente sobre o tratamento de dados por
pessoa física.
7. Acerca do tratamento de dados pessoais pelo poder público, há na Lei capítulo inteiro dedicado ao tema
(Capítulo IV), que também será abordado neste Livro.
8. COTS, Márcio; OIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais comentada. São Paulo: Ed. RT,
2018. p. 59.
9. Esquemática e resumidamente, podemos destacar os seguintes fatos: – 1948: Declaração Universal de
Direitos Humanos: adotada pela Assembleia Geral da ONU, estabelece as fundações de liberdade, justiça e
paz mundiais, elencando os direitos inalienáveis de todos os membros da raça humana. Reconhece
valores de proteção da privacidade individual e familiar (Artigo 12) e a liberdade de informação, opinião
e de expressão (Artigo 19). É a matriz de inspiração de todas as leis protetivas de dados pessoais. Suas
previsões sempre deixaram claro que nenhum direito é absoluto e mesmo a privacidade ou a liberdade
de expressão podem ser limitadas, diante do que for estabelecido em lei, objetivando a preservação de
direitos e liberdades de terceiros, bem como a moralidade, ordem pública e o bem-estar de uma
sociedade democrática (Artigo 29). – 1950: Convenção Europeia de Direitos Humanos: fundada nos
valores da Declaração Universal dos Direitos Humanos, da ONU, suas disposições ecoaram as proteções à
vida privada e familiar e à informação, bem como permitiu à autoridade pública ingerência nesses
direitos, estabelecendo como limites a “segurança nacional”, “segurança pública”, “bem-estar econômico
Douglas Geraldo
do país”, “defesa da ordem”, “prevenção das infrações penais”, “proteção da saúde ou da moral” e
preservação do direito e das liberdades de terceiros. – 1973 e 1974: o Conselho de Europa editou as
Resoluções 22 (1973) e 29 (1974), para estabelecer princípios para a proteção de informações pessoais em
bancos de dados automatizados, tanto no setor público, como privado. – 1979: Sete membros da
Comunidade Europeia passaram a implementar leis nacionais de privacidade, entre eles Dinamarca,
França, Alemanha, Luxemburgo e Noruega. Áustria, Espanha e Suécia incorporaram a proteção de dados
ao texto constitucional ou editaram leis com status constitucional. – 1980: Diretrizes da OCDE sobre a
Proteção da Privacidade e Fluxos Transfronteiriços de Dados Pessoais: tais diretrizes, apesar de serem
recomendações, constituem um passo importante na direção da harmonização das legislações nacionais
(dos membros e dos países interessados em ingressar na Organização) sobre privacidade e fluxo
internacional de dados. – 1981: Convenção 108: na tentativa de consolidar as Resoluções 73/22 e 74/29, foi
proposta pelo Conselho da Europa a Convenção para a Proteção de Indivíduos com Relação ao
Processamento Automático de Dados Pessoais, o primeiro instrumento internacional disciplinando
especificamente essa temática com força legal, aberto a membros e não membros da Comunidade
Europeia. – 1995: Diretiva 95/46/CE: observou-se que a Convenção 108 não compreendia todos os aspectos
necessários para uma ampla e densa disciplina de proteção da privacidade, o que levou a Comissão
Europeia, provocada por seu Parlamento Europeu, a editar um novo documento. Essa Diretiva foi, por
mais de 20 anos, o principal documento internacional sobre o assunto. – 2016: General Data Protection
Regulation (GDPR): a Regulação 2016/679 (UE) entrou em vigor no dia 25/5/2018, substituindo a Diretiva
95/46/CE, bem como leis e regulações nacionais nela baseadas. Diferentemente da Diretiva, a Regulação é
autoaplicável e não requer a aprovação de leis nacionais compatíveis com suas determinações. Seu
objetivo é eliminar inconsistências em leis nacionais, ampliar o escopo de proteção à privacidade e
modernizar a legislação para desafios tecnológicos, econômicos e políticos atuais, como aqueles
decorrentes do advento da internet.
10. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the
protection of natural persons with regard to the processing of personal data and on the free movement of
such data, and repealing Directive 95/46/EC (General Data Protection Regulation).
11. Entre eles, comércio e comércio eletrônico, produtos (Product-as-a-Service), automóveis, cidades
(inteligentes), saúde, segurança e agropecuária.
12. CASTELLS, Manuel. A galáxia da internet: reflexões sobre a internet, os negócios e a sociedade. Trad.
Maria Luiza X. de A. Gorges. Rio de Janeiro: Zahar, 2013. p. 11.
13. LÉVY, Pierre. Cibercultura. Trad. Carlos Irineu da Costa. São Paulo: Editora 34, 1999. p. 54. No mesmo
sentido, a Comissão Europeia afirma, categoricamente, que “Data is the currency of today’s digital
economy”. Cf. Questions and Answers – Data protection reform, de 21.12.2015. Disponível em:
[http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm]. Acesso em: 17.12.2018.
14. Considerandas, do GDPR: (6) A rápida evolução tecnológica e a globalização criaram desafios em
matéria de proteção de dados pessoais. A recolha e a partilha de dados pessoais registaram um aumento
significativo. As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização de
dados pessoais numa escala sem precedentes no exercício das suas atividades. As pessoas singulares
disponibilizam cada vez mais as suas informações pessoais de uma forma pública e global. As novas
© desta edição [2020]
tecnologias transformaram a economia e a vida social e deverão contribuir para facilitar a livre
circulação de dados pessoais na União e a sua transferência para países terceiros e organizações
internacionais, assegurando simultaneamente um elevado nível de proteção dos dados pessoais. (7) Essa
evolução exige um quadro de proteção de dados sólido e mais coerente na União, apoiado por uma
aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da
economia digital no conjunto do mercado interno. As pessoas singulares deverão poder controlar a
utilização que é feita dos seus dados pessoais. Deverá ser reforçada a segurança jurídica e a segurança
prática para as pessoas singulares, os operadores económicos e as autoridades públicas.2020 - 08 - 14 PÁGINA RL-1.2 
LGPD Lei Geral de Proteção de Dados Comentada - Ed. 2020
Lei 13.709, de 14 de Agosto de 2018
CAPÍTULO I. DISPOSIÇÕES PRELIMINARES
Art. 2º.
Art. 2º. A disciplina da proteção de dados pessoais tem como fundamentos:
Inicialmente, acerca da diferença entre objetivos e fundamentos, Celso Ribeiro Bastos explica que “a ideia de objetivos não pode ser confundida com a de
fundamentos, muito embora, algumas vezes, isto possa ocorrer. Os fundamentos são inerentes ao Estado, fazem parte de sua estrutura. Quanto aos objetivos,
estes consistem em algo exterior que deve ser perseguido”.15
Newton de Lucca, exercitando o que pode ser extraído dos próprios léxicos, já contemplando também o conceito de princípio, entende como pertinente a
última acepção do Dicionário Eletrônico Houaiss: “princípio é uma proposição filosófica que serve de fundamento a uma dedução”, assim como fundamento
“um conjunto de princípios a partir dos quais se pode fundar ou deduzir um sistema, um agrupamento de conhecimentos”.16
Para Fábio Konder Comparato, o termo fundamento “designa o que serve de base ao ser, ao conhecer, ou ao decidir. Fundamento é, pois, a causa ou razão
de algo (ratio essenci, ratio cognoscendi, ratio decidendi)”.17
Assim, passaremos ao estudo dos fundamentos da Lei Geral de Proteção de Dados Pessoais.
I - o respeito à privacidade;
Há uma discussão constantemente em curso sobre a natureza do conceito de privacidade, se seria um valor natural ao homem, como o direito à vida, ou se
seria uma construção social e civilizatória, dependente do manejo de outros valores complexos, como a segurança, o bem-estar e a própria dignidade da
pessoa. Embora de difícil manejo solidificar o conceito de privacidade, torna-se relativamente aprazível chancelar que ela sempre esteve diretamente
dependente do estado da tecnologia de determinada sociedade.
As primeiras organizações tribais tinham como prioridade a sobrevivência em ambientes hostis ao ser humano. Daí a escolha, consciente ou inconsciente,
por relegar a privacidade a um segundo plano. Com o passar do tempo, porém, as civilizações humanas passaram a, consciente ou inconscientemente, desejar
um certo grau de isolamento de assuntos pessoais diante da exposição ou intromissão social ou pública.
Desde as primeiras discussões jurídicas mais profundas sobre o tema, especialmente a partir do ensaio de Samuel Warren e Louis Brandeis – The right to
privacy (1890)18 –, passou-se a compreender a privacidade sob a ótica de um direito do indivíduo. No mencionado artigo, os autores apontavam como novas
tecnologias, como máquinas fotográficas, poderiam extrapolar limites e adentrar domínios invioláveis da vida privada e doméstica. Desde então, o conceito
expandiu-se, a ponto de ser tutelado como um direito que importa à coletividade também, na medida em que a evolução tecnológica passou a reinventar
modelos de negócios cada vez mais baseados em dados dos indivíduos.
Assim, a preocupação com a proteção de dados pessoais está associada à própria noção de proteção da privacidade, um bem jurídico cuja inviolabilidade foi
elevada ao status de direito fundamental pelas principais constituições democráticas do mundo.
Sociedades civilizadas perceberam que a proteção da privacidade é elemento indissociável da dignidade da pessoa, razão pela qual qualquer ato capaz de
afetar a intimidade do cidadão seria também um ato atentatório à experiência humana de uma vida digna.
Tanto é assim que, em nosso ordenamento jurídico, a privacidade se apresenta como Direito e Garantia Fundamental, conforme disposto na Constituição
Federal, ao cravar que é inviolável a intimidade e a vida privada, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.19
Por sua vez, o Código Civil dispõe que a vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências
necessárias para impedir ou fazer cessar ato contrário a essa norma.20
A inviolabilidade de dados, independentemente do sigilo da correspondência, comunicações telegráficas e telefônicas, também está presente em nossa
Constituição Federal, em seu art. 5º, inc. XII, e foi consolidada por força de julgamento no Supremo Tribunal Federal (STF),21 em que pese a mesma Suprema
Corte, em julgado posterior,22 ter chancelado que a proteção existente na Constituição é na comunicação de dados, e não da informação pessoal propriamente
dita. Conforme entendimento de Tércio Sampaio Ferraz Júnior,
a vida privada compõe, porém, um conjunto de situações que, usualmente, são informadas sem constrangimento. São dados que, embora
privativos – como nome, endereço, profissão, idade, estado civil, filiação, número de registro público oficial, etc., condicionam o intercâmbio
humano em sociedade, pois constituem elementos de identificação que tornam a comunicação possível, corrente e segura. Por isso, a proteção
desses dados em si, pelo sigilo, não faz sentido.23
Porém, independentemente da discussão supra, a necessidade da proteção de dados pessoais como forma de proteção da privacidade se mostra cada vez
mais presente, pois praticamente tudo o que um indivíduo faz pode ser registrado em um dado, ativa ou passivamente. E esses dados podem se tornar
compreensíveis, organizados, ordenados e associados a valores, de maneira a se tornarem informação útil, capaz de ser igualmente armazenada e processada.
Ou seja, anotações sobre pessoas, organizadas por critérios e parâmetros.
O cruzamento de dados pessoais cadastrais, análises de comportamento em redes sociais, compras com cartão de credito, tempo de permanência em
páginas de internet, meros registros de acesso a aplicações, informações de geolocalização ou de consumo de energia podem estabelecer parâmetros fidedignos
para identificar e traçar perfis consistentes de indivíduos, seus gostos e interesses, seja para direcionar um produto ou serviço, para validar uma contratação
profissional, seja para identificar um potencial criminoso.
Para Danilo Doneda, a tutela da privacidade envolvendo dados pessoais “não nos permite determinar parâmetros para julgar o que ela representa em um
mundo no qual o fluxo de informações aumenta incessantemente, assim como aumenta o número de oportunidades de realizarmos escolhas que podem influir
na definição da nossa esfera privada”.24
Marcel Leonardi, citando a definição de Alan Westin, entende que “o atributo básico do direito à privacidade seria, portanto, a capacidade de o indivíduo
controlar a circulação de informações a seu respeito”.25
Carlos Bruno Ferreira da Silva esclarece sobre as duas diferentes concepções existentes quanto à abrangência de proteção de dados pessoais: a primeira
como liberdade negativa, em que bastaria garantir o direito de recusa ou proibição do titular como exclusão do conhecimento de terceiros. Seria uma forma de
adaptação da intimidade clássica para fazer frente aos desafios das novas tecnologias; já a segunda, sem prejuízo da primeira, a proteção de dados se
estenderia e se multiplicaria para assegurar o controle de dados dos próprios titulares, mesmo quando já em domínio de terceiros.26
Por isso, o que alguém faz ou pode fazer com dados pessoais de terceiros, no sentido de o próprio titular ter o direito de determinar quais predicados dele
mesmo poderão ser utilizados por outros, passou a ser objeto de proteção em novos regimes jurídicos, deflagrando, certeiramente, a privacidade como
fundamento da LGPD.
II - a autodeterminação informativa;
Conforme ponderado até o momento, a quantidade de dados disponíveis e a qualidade de seu tratamento por meio de sistemas informatizados altamente
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
capazes transformaram dados pessoais em verdadeiras commodities. Modelos de negócios são invariavelmente pautados e rentabilizados, cada vez mais, no
tratamento de dados pessoais.
De tal sorte, pensar que o cidadãopossa ter o controle sobre seus próprios dados parece, atualmente, utopia. Porém, a autodeterminação informativa se
apresenta como fundamento da LGPD, justamente nesse momento em que ainda predomina uma coleta e tratamento massivo e desenfreado de dados, como
forma de devolver para o titular o poder sobre o fluxo e o uso dos seus próprios dados, mediante o estabelecimento de determinações objetivas aos agentes de
tratamento27.
A autodeterminação informativa, que é o controle pessoal sobre o trânsito de dados relativo ao próprio titular – e, portanto, uma extensão de liberdades do
indivíduo – conjuga as duas já mencionadas concepções de privacidade de dados: a primeira de caráter negativo e estático; e a moderna, em que a intervenção
(proteção) é dinâmica, durante todo o ciclo de vida dos dados nos mais variados meios em que possa circular. Nas palavras de Stefano Rodotà é um “poder
permanente de controle sobre seus próprios dados”.28
Ou seja, o fundamento ora em tela vai muito além do nível de esfera íntima do cidadão, pois atinge também emanações notoriamente de natureza pública
dos titulares, como opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político,29 incluindo o tratamento de dados pessoais
cujo acesso é público, que deverá considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.30
Na Alemanha, um dos países que apresenta alto grau de respeito jurídico à proteção de dados,31 alcançou notória evidência e confirmação de tutela para
referido direito quando o seu Tribunal Constitucional Federal julgou como parcialmente constitucional uma lei federal para a realização de censo demográfico
no país, diante da coleta excessiva de dados que seria realizada,32 em um contexto de perigo de um “Estado espião”, oriundo das previsões do livro 1984, de
George Orwell.
Referida decisão foi paradigmática, inclusive internacionalmente, pois estabeleceu um marco mundial da proteção de dados pessoais, consagrando o
conceito, ora fundamento da LGPD, da autodeterminação informativa, conforme trecho extraído do julgado germânico: “aquele que, com segurança suficiente,
não pode vislumbrar quais informações pessoais a si relacionadas existem em áreas determinadas de seu meio social, e aquele que não pode estimar em certa
medida qual o conhecimento que um possível interlocutor tenha da sua pessoa, pode ter sua liberdade consideravelmente tolhida”.33
E, para buscar dar efetividade ao fundamento da autodeterminação informativa, a LGPD, em seu Capítulo III, dispõe sobre os direitos dos titulares, entre
eles: de obter do controlador a confirmação da existência de tratamento; de ter acesso aos seus dados; da correção de dados incompletos, inexatos ou
desatualizados; da anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei; da portabilidade dos
dados a outro fornecedor de serviço ou produto; da revogação do consentimento; da eliminação dos dados pessoais tratados com o consentimento do titular; da
informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; da informação sobre a possibilidade de não
fornecer consentimento e sobre as consequências dessa negativa, entre outros.
O distanciamento do controle e da autoridade sobre os seus próprios dados, a partir do momento em que o indivíduo não consegue mais identificar quais
informações suas são utilizadas, para quais propósitos, e como isso interfere e influencia em sua vida, é um sinal preocupante de tolhimento da
autodeterminação informativa, que muitas vezes ocorrerá de forma imperceptível ao titular. Daí o motivo pelo qual referido conceito também se apresenta de
forma certeira, como fundamento, da LGPD.
III - a liberdade de expressão, de informação, de comunicação e de opinião;
A nossa Constituição Federal prevê que é livre a manifestação do pensamento, sendo vedado o anonimato,34 assim como que é livre a expressão da atividade
intelectual, artística, científica e de comunicação, independentemente de censura ou licença.35
Ronald Dworkin leciona que a liberdade de expressão do pensamento é vital e integra o próprio desenvolvimento humano,36de tal forma que a manutenção
desse fundamental direito garante a autodeterminação dos indivíduos.
Por isso, o Estado deve se manter neutro quanto a liberdade de pensamento dos indivíduos para que ela possa ocorrer de forma livre, o que é definido por
Celso Ribeiro Bastos como “valor da indiferença”.37
Sem comunicação livre, não se pode falar em sociedade livre, muito menos em soberania popular. É um aspecto social, que torna possível um espaço
público de ideias, com ampla liberdade de posições, contribuindo para a formação de uma opinião pública independente, consciente e pluralista.38
Liberdade de expressão, de informação, de comunicação e de opinião usualmente estão consignados, juntamente com privacidade, nos ordenamentos
jurídicos internacionais, entrelaçados com direitos humanos, como forma de garantir que o tratamento de dados pessoais seja considerado ilícito caso possa
violar referidos direitos, como coleta de dados por órgãos públicos ou entidades privadas que depois os utilizem de base para a criação de dossiês para
pressionar jornalistas, defensores de direitos humanos, entre outros.
A Declaração de Princípios sobre a Liberdade de Expressão da Comissão Interamericana de Direitos Humanos dispõe que
a censura prévia, interferência ou pressão direta ou indireta sobre qualquer expressão, opinião ou informação divulgada por qualquer meio de
comunicação oral, escrito, artístico, visual ou eletrônico deve ser proibida por lei. As restrições na circulação livre de ideias e opiniões, bem como
a imposição arbitrária de informações e a criação de obstáculos ao livre fluxo informativo, violam o direito à liberdade de expressão.
Bem como que
leis de privacidade não devem inibir nem restringir a pesquisa e divulgação de informações de interesse público. A proteção à reputação deve
estar garantida por meio de apenas punições civis nos casos em que a pessoa ofendida seja um funcionário público ou pessoa pública ou particular
que tenha se envolvido voluntariamente em assuntos de interesse público. Nesses casos, deve provar-se que o comunicador, na divulgação das
notícias, teve a intenção de infligir dano ou o pleno conhecimento de que estava divulgando notícias falsas, ou se conduziu com manifesta
negligência na busca de sua verdade ou falsidade.39
Assim, proteção de dados pessoais, liberdade de expressão, de informação, de comunicação e de opinião devem ser objeto de equilíbrio legal, conforme
decisão da Corte Interamericana de Direitos Humanos:
A justiça deve encontrar um balanço entre a vida privada e a liberdade de expressão que, não sendo absolutos, são dois direitos fundamentais
garantidos pela Convenção Americana e são de grande importância em uma sociedade democrática. A Corte recorda que todo direito fundamental
deve ser exercido em relação a outros direitos fundamentais. Esse é um processo de harmonização no qual o Estado tem papel chave na tentativa
de determinar as responsabilidades e a imposição de sanções que possam ser necessárias para atingir tal propósito.40
A nossa própria Constituição Federal cria restrições à liberdade de expressão, como a já mencionada vedação ao anonimato, para aqueles que a extrapolem
possam ser identificados e responsabilizados, bem como para a proteção à imagem, à honra, à intimidade e à privacidade, garantido o direito de resposta e
indenização no caso de abuso.
Por sua vez, como já comentado anteriormente, a sociedade da informação alterou completamente comportamentos ao fundir espaços públicos e privados,
gerando uma “sociedade confessional” e criando “danos colaterais da modernidade líquida”, conforme Zygmunt Bauman,41 o que torna mais complexo legislar
sobre o assunto, pois não só as manifestações puras de pensamento precisam estar protegidas como também a externalização de gostos, interessese
características do ser humano realizadas por algoritmos, mediante potentes processadores de dados.
Historicamente, a mídia tradicional (televisão, rádio e impressa) disponibiliza espaços para debates públicos, ocasionalmente. Hoje, as empresas de
tecnologia são as curadoras dominantes da informação e do pensamento dos seus usuários. Pressões culturais, econômicas, políticas e morais, interesses
públicos e privados, e até mesmo erros sistêmicos, podem gerar manipulações, por meio de censura e de desinformação.
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Yuval Harari comenta de forma sarcástica que o algoritmo de busca do Google tem um gosto muito sofisticado no que concerne a classificar as páginas de
vendedores de sorvete na internet, e os vendedores de sorvete mais bem-sucedidos do mundo são aqueles que o algoritmo do Google coloca no topo da lista –
não os que produzem o sorvete mais gostoso42.
O instituto de pesquisa Data & Society, focado em questões sociais e culturais decorrentes de tecnologias centradas em dados e automatizadas, em estudo de
2016, concluiu que todos os sistemas de poder podem ser manipuláveis, assim como as esferas públicas estabelecidas através de tecnologias de rede e
algoritmos, tanto pelos desenvolvedores dos sistemas quanto por aqueles que encontrem técnicas para moldar fluxos de informação. Assim, questões
relevantes sobre quem controla – e deve controlar – o público em uma era de algoritmos e buscar soluções para as preocupações existentes requer
desembrulhar quais valores, povos e vozes devem ter poder.43
Não é por acaso que a LGPD dispõe, em seu art. 20, que o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em
tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo
e de crédito ou os aspectos de sua personalidade, bem como que o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a
respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.44
Um dos debates mais relevantes sobre o tema, entre tantos outros, versa sobre a sujeição de buscadores da internet aos ditames de leis proteção de dados,
em razão da responsabilidade pelo tratamento de dados pessoais e atuação como intermediário. 45 Sobre o assunto, no leading case europeu,46 de 2014, o
Tribunal de Justiça da União Europeia decidiu pela possibilidade de desindexação quando o tratamento de dados leva a um resultado que atente contra a
dignidade da pessoa lato sensu, sopesando liberdade de expressão e direito à informação versus honra e imagem de uma pessoa (Sr. González, no caso), cujo
débito saudado há tempo ainda constava nos resultados de busca. O Tribunal também considerou que a desindexação das buscas figura como ação muito
menos restritiva do que a remoção de determinada informação da página da internet de origem.
A organização não governamental de direitos humanos, artigo 19, esclarece, sob seu ponto de vista, aspectos relacionados à liberdade de expressão e à
garantia de outros direitos fundamentais que devem estar presentes em normativos legais sobre proteção de dados pessoais, como: menção expressa à
proteção de liberdade de expressão; exceção à atividade jornalística e outros formas de expressão; menção expressa à Lei de Acesso à Informação; cautela com
interpretações que possibilitem reinvindicações do direito ao esquecimento; criação de um órgão regulador; mecanismo de controle social; proteção aos dados
sensíveis, com regime diferenciado, diante da possibilidade de discriminação e possibilidade de censura, por exemplo, em razão de sua religião ou orientação
sexual; graus de consentimento, incluindo para compartilhamento a terceiros; proteção de dados em acesso público, entre outros.47
Assim, a LGPD, ao citar expressamente como fundamento a liberdade de expressão, já demonstra, prima facie, sua intenção de garantir a conciliação do
almejado equilíbrio de preceitos legais. A Lei, também: (i) exclui a sua aplicação ao tratamento realizado para fins exclusivamente jornalístico e artístico ou
acadêmico;48 (ii) conta com capítulo dedicado ao Poder Público, com referência à Lei de Acesso à Informação;49 (iii) veda o tratamento de dados para fins
discriminatórios; (iv) exige qualidade, finalidade, adequação, necessidade e transparência no tratamento entre os seus princípios;50 (v) determina que o
tratamento de dados pessoais, cujo acesso é público, considere a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização;51 e (vi) não
dispõe expressamente sobre “direito ao esquecimento”, somente disciplinando hipóteses de revogação do consentimento e eliminação dos dados,52 sendo
coerente citar, acerca desta última questão, que a Consideranda 65, do GDPR, explica que “o prolongamento da conservação dos dados pessoais deverá ser
efetuado de forma lícita quando tal se revele necessário para o exercício do direito de liberdade de expressão e informação”.53
IV - a inviolabilidade da intimidade, da honra e da imagem;
Da mesma forma que a LGPD enfatiza como fundamento a privacidade, também o faz com a inviolabilidade da intimidade, da honra e da imagem, direitos
igualmente fundamentais previstos no mesmo art. 5º, inc. X, da Constituição Federal.
Conforme entendimento de Danilo Doneda, há uma proliferação de termos distintos doutrinariamente para se referir à privacidade, como “vida privada,
intimidade, segredo, sigilo, recato, reserva, intimidade da vida privada […]”,54 o que pode gerar insegurança jurídica, em que pese o próprio Tribunal Europeu
de Direitos Humanos “não considerar possível, nem necessário, procurar uma definição exaustiva para a noção de vida privada”.55
Marcel Leonardi traz um compilado de doutrinas acerca do tema,56 sendo válido citar algumas delas: “direito de o indivíduo ser deixado em paz para viver
sua própria vida com um grau mínimo de interferência”;57 “o direito de subtrair-se à publicidade para recolher-se na própria reserva”;58 o direito à intimidade é
o direito de o indivíduo não ser arrastado para a ribalta contra a sua vontade, de subtrair-se à publicidade e de permanecer recolhido na sua intimidade, o
direito de manter olhos e ouvidos indiscretos afastados dessa esfera de reserva, bem como o direito de impedir a divulgação de palavras, escritos e atos
realizados nessa esfera de intimidade;59e “espaço íntimo intransponível por intromissões ilícitas externas”.60
Porém, merecem destaque, para o tema proteção de dados, os seguintes entendimentos sobre intimidade, ainda da compilação anteriormente referida:
Milton Fernandes, ao afirmar que seria o
o direito de excluir razoavelmente da informação alheia, fatos e dados pertinentes ao sujeito. Este poder jurídico atribuído à pessoa consiste,
em síntese, em opor-se à divulgação de sua vida privada e a uma investigação nesta. A este poder corresponde o dever de todas as outras pessoas
de não divulgar a intimidade alheia e de não se imiscuir nela. E é neste poder que está o conteúdo do que seja intimidade.61
Para Ricardo Luis Lorenzetti, “aquela parte da existência do sujeito não comunicável” para proteger um estilo de vida confortável, resguardado da
intromissão de estranhos.62 Por fim, Edson Ferreira da Silva entende como “poder jurídico de subtrair ao conhecimento alheio e de impedir qualquer forma de
divulgação de aspectos da nossa vida privada, que segundo um sentimento comum, detectável em cada época e lugar, interessa manter sob reserva”.63
Robert Alexy, ao comentar a teoria das esferas desenvolvida pelo Tribunal Constitucional alemão, esclarece que
é possível distinguir três esferas, com intensidades de proteção decrescente: a) a esfera mais interior (“último e inviolável âmbito de liberdade
humana”, “âmbito mais interno(íntimo)”, “esfera íntima inviolável”, “esfera nuclear da configuração da vida privada, protegida de forma
absoluta”); b) a esfera privada ampliada, que inclui o âmbito privado que não pertence à esfera mais interior, e c) a esfera social, que inclui tudo
aquilo que não for atribuído nem ao menos à esfera privada ampliada.64
E daí justamente começam a deflagrar novamente a necessidade da defesa desses direitos fundamentais em termos de proteção de dados pessoais, pois
cada um dos dados, considerados em si, pode ser pouco ou nada significativo: ou melhor, pouco ou nada diz além da questão específica a que
diretamente se refere. No momento em que se torna possível conhecer e relacionar toda a massa de informações relativas a uma determinada
pessoa, do cruzamento dessas relações surge o perfil completo do sujeito considerado, que permite sua avaliação e seu controle por parte de quem
dispõe do meio idôneo para efetuar tais operações.65
Para Yuval Harari,
quando a revolução na biotecnologia se fundir com a revolução na tecnologia da informação, ela produzirá algoritmos de Big Data capazes de
monitorar e compreender meus sentimentos muito melhor do que eu, e então a autoridade provavelmente passará dos humanos para os
computadores. Minha ilusão de livre-arbítrio provavelmente vai se desintegrar à medida que eu me deparar, diariamente, com instituições,
corporações e agências do governo que compreendem e manipulam o que era, até então, meu inacessível reino interior.66
Notoriamente, condutas dolosas ou negligentes, imprudentes ou imperitas no tratamento de dados pessoais podem expor a intimidade dos titulares, assim
como afetar diretamente a sua honra e imagem, como no caso da exposição de dados financeiros, doenças ou opção sexual, acesso indevido ao conteúdo de
mensagens, entre outras situações correlatas. Dados biométricos, logins e senhas, sob a tutela dos agentes de tratamento, quando vazados, podem franquear o
acesso de terceiros não autorizados às mais diversas informações íntimas e privadas dos titulares, como fotos, vídeos, textos, áudios, prontuários médicos, para
citar apenas alguns exemplos.
Para mitigar tais riscos e dar efetividade aos fundamentos ora em estudo, a LGPD dispõe que o tratamento de dados pessoais será irregular quando deixar
de observar qualquer hipótese nela prevista, ou quando não fornecer a segurança que o titular dele pode esperar67.
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Ainda, além da Constituição Federal e da LGPD, importante lembrar que o Código Civil prevê, em seu art. 20, que, salvo se autorizadas, ou se necessárias à
administração da justiça ou à manutenção da ordem pública, a divulgação de escritos, a transmissão da palavra, ou a publicação, a exposição ou a utilização da
imagem de uma pessoa poderão ser proibidas, a seu requerimento e sem prejuízo da indenização que couber, se lhe atingirem a honra, a boa fama ou a
respeitabilidade ou se se destinarem a fins comerciais.
Porém, quando tecnologias existentes podem ler mentes68 ou detectar células cancerosas, como proteger a intimidade e esses demais direitos fundamentais?
Uma coisa é continuar fumando apesar das estatísticas que ligam o fumo ao câncer de pulmão. Outra é continuar fumando apesar da advertência concreta de
um sensor biométrico que acabou de detectar 17 células cancerosas na parte superior de seu pulmão esquerdo. E, se você quiser desafiar o sensor, o que vai
fazer quando o sensor repassar a advertência a sua seguradora, seu chefe e sua esposa?69
Uma das respostas certamente é prever a inviolabilidade da intimidade, da honra e da imagem como fundamento e dissecar as mais variadas obrigações de
proteção de dados pessoais em lei, como a LGPD o faz, buscando, também, uma modificação cultural no tratamento dos dados pessoais.
V - o desenvolvimento econômico e tecnológico e a inovação;
Uma sociedade percorre os caminhos de acordo com as possibilidades técnicas de sua época, e é inegável, por exemplo, o fato de que o desenvolvimento do
capitalismo moderno é tributário de uma tecnologia em constante evolução que lhe fornece um ambiente propício.70
Se a Revolução Industrial foi um marco em que a tecnologia passou a ocupar destaque na dinâmica social, a sua rápida evolução nas mais diversas áreas,
como informática, eletrônica e telecomunicações, passou a condicionar diretamente a sociedade como instrumento de produção, distribuição do tempo e de
espaço. A tecnologia deixou de ser vista apenas como situação de fato, isolada de uma conjuntura, para ser um vetor condicionante da sociedade e, em
consequência, do próprio direito.71
A capacidade de processamento de dados se transformou em preceito nuclear para a evolução econômica,72 não apenas quando lidamos com novos serviços
puramente digitais, mas também em razão da possibilidade de as informações existentes, quando extraídas dos dados, poderem ser absorvidas e tratadas,
gerando conhecimento para qualquer pessoa ou entidade aplicarem no que considerarem pertinente, de forma eficaz.
A nova forma da economia é pautada em dados pessoais, que, outrora intangíveis, tornaram-se visíveis e cristalinos diante da possibilidade do mapeamento
do passivo já existente e do desenvolvimento de ferramentas que encontravam guarida em sonhos, mas agora ganham espaço no comércio acessível ao público
em geral.
A sociedade que consegue ter a abertura necessária para manipular dados, inovando e gerando novos modelos de negócios, produtos e serviços,
automaticamente provoca o desenvolvimento e, consequentemente, alavanca a economia.
O Sistema Nacional para a Transformação Digital (SNTD),73 nesse sentido, prevê que o desenvolvimento da economia digital requer confiança no ambiente
digital. Assim, a ação governamental deve estar focada em proteção de direitos e privacidade e defesa e segurança no ambiente digital, mediante o
aprimoramento de mecanismos de proteção de direitos no meio digital, inclusive nos aspectos relativos à privacidade e à proteção de dados pessoais, assim
como fortalecer a segurança cibernética no País, estabelecendo mecanismos de cooperação entre entes governamentais, entes federados e setor privado, com
vistas à adoção de melhores práticas, coordenação de resposta a incidentes e proteção da infraestrutura crítica.
Ainda, ao dissertar sobre a moderna economia baseada em dados, o SNTD deixa claro ser elemento estratégico para o crescimento do País aproveitar as
oportunidades advindas da crescente disponibilidade e do grande volume de dados, provendo: a criação de forte ecossistema para desenvolvimento da
economia de dados, com incentivos ao desenvolvimento de infraestrutura de telecomunicações e à atração de data centers ao País; capacidades técnicas e
humanas relativas ao uso e tratamento de grandes volumes de dados; e um ambiente jurídico-regulatório que estimule investimentos e inovação, a fim de
conferir segurança aos dados tratados e adequada proteção aos dados pessoais.
Por sua vez, para promover o desenvolvimento sustentável e competitivo da economia brasileira, o Banco Nacional de Desenvolvimento Econômico e Social
(BNDES), em parceria com o Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC), apoiou a realização de um estudo para o diagnóstico e a
proposição de plano de ação estratégico de Internet das Coisas (Internet-of-Things – IoT),74 o qual, em seu relatório final, de janeiro de 2018,75 concluiu: sob o
ponto de vista do relatório, em termos de privacidade e proteção de dados, da necessidade de implantação de segurança jurídica para a proteção de dados
pessoais e pela definição de autoridade central independente, potencialmente em modelo de corregulação;76 diante da proliferação de novos dispositivos
conectados à internet capazes de armazenar, coletar e tratar uma significativa quantidade de dados, tem sido recorrente a discussão sobre os usos legítimos
dos dados e sobre as vulnerabilidades das bases dedados; a formulação de políticas públicas, a gestão eficiente e transparente dos órgãos governamentais e a
criação de novos modelos de negócios são influenciadas pelo crescimento exponencial de análises baseadas em grandes volumes de dados; o desenvolvimento
de soluções de IoT perpassa pela edição de norma sobre proteção de dados pessoais que lide com a complexidade e as nuances do contexto tecnológico, e que
seja capaz de trazer segurança jurídica a essa nova sociedade; mais do que a edição de norma específica sobre proteção de dados pessoais, também se faz
necessária uma instância regulatória para lidar com os desafios da atual sociedade da informação, com uma autoridade capaz de apresentar opiniões técnicas
para esse novo ambiente e realizar controle unificado e homogêneo da proteção de dados pessoais.77
A LGPD, portanto, também é uma resposta aos anseios ora elencados ao trazer mais segurança jurídica para o ambiente digital brasileiro, bem como ao
criar, por meio da Medida Provisória 869/18, a Autoridade Nacional de Proteção de Dados (ANPD).78
E uma legislação que segue em grande parte a norma mais robusta e atual em termos de proteção de dados, que é o GDPR, ao assegurar um nível de
proteção geral e horizontal, coerente, elevado e homogêneo, tende a eliminar obstáculos à circulação de dados pessoais com outros países, por conseguinte,
gerando maior probabilidade de investimentos e atividades econômicas no Brasil.
Conforme Andriei Gutierrez, a imposição de restrições legais ou regulatórias para o fluxo de dados são elementos limitadores para uma estratégia
desenvolvimentista na era digital. Essa é uma questão crucial para países que estejam pensando em estratégias de desenvolvimento econômico e social.
Significa impossibilitar o acesso às mais atuais tecnologias, prejudicando a competitividade de empresas nacionais e dos investimentos internacionais.79
Portanto, o desenvolvimento econômico e tecnológico, com o seu perfil dinâmico inerente ao próprio termo, dialoga umbilicalmente com o progresso de
uma sociedade, motivo pelo qual é bastante salutar consigná-los, também, como fundamentos na LGPD, assim como a inovação.
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
Conforme comentando anteriormente, dados pessoais deixaram de ser insumo básico para a criação e o desenvolvimento de qualquer negócio, para
servirem como commodities ao possuírem grande valor comercial e estratégico de acordo com a quantidade, qualidade e capacidade de tratamento.80
Referido poder viabiliza facilidades enormes como em pesquisas na internet, recebimento de produtos em horas, melhores trajetos para chegar à
determinado destino, informações precisas sobre a saúde de um paciente, entre outras inúmeras hipóteses. Quanto mais usuários, mais dados e maior a
possibilidade de melhoria de produtos e serviços das próprias plataformas, assim como melhor o valor agregado aos usuários.
Conforme Bruno Bioni, com a “inteligência gerada pela ciência mercadológica, especialmente quanto à segmentação dos bens de consumo (marketing) e a
sua promoção (publicidade), os dados pessoais dos cidadãos converterem-se em um fator vital para a engrenagem da economia da informação”.81
O mercado de tratamento de dados pessoais, assim, deve estar aberto a todos que busquem empreender, nos termos do art. 170 da Constituição Federal, que
prevê que a ordem econômica, fundada na valorização do trabalho humano e na livre-iniciativa, tem por fim assegurar a todos existência digna, conforme os
ditames da justiça social, observados princípios, entre os quais o da livre concorrência e o da defesa do consumidor. André Ramos Tavares, lembra que a livre-
iniciativa exige, inicialmente, a igualdade de condições (perante o Estado) para que os agentes privados do mercado iniciem suas atividades. Se o Estado
conceder situações de vantagens ou privilégios, como oferecer maquinários ou verbas para apenas uma empresa, que vai se refletir em uma situação de
superioridade indevida na competição de mercado quando do funcionamento da empresa, haverá, aí, livre-iniciativa viciada.82 Para José Inácio Gonzaga
Franceschini e Vicente Bagnoli, abarca-se no referido princípio “o fundamento da economia de mercado, onde os agentes econômicos devem travar suas
disputas, da qual o melhor, o mais apto, conseguirá a vitória, sobrepondo-se aos seus rivais”. O “ambiente de livre concorrência” propiciará “resultados mais
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
eficientes, com inovações tecnológicas, aumento da qualidade de produtos e serviços, reduções de custos – e consequentemente de preços”, de forma a
cooperar “efetivamente para o desenvolvimento e trazendo ganhos ao bem-estar econômico do consumidor”83.
Sem a garantia da livre-iniciativa no tratamento de dados pessoais, poderia haver compressão do uso de tecnologias e, consequentemente, prejuízos aos
usuários, motivo pelo qual o tratamento jurídico equilibrado para as atividades desenvolvidas no mercado é condição para se evitar a retração da economia
pautada em dados. Marcel Leonardi lista alguns dos fatores econômicos, sociais e jurídicos que evidenciam referida importância, como a importância da
função social das ferramentas digitais; a promoção da liberdade de expressão, o acesso à informação, à educação e à cultura; variedade de papéis econômicos,
gerando empregos e tributos por meio de novos modelos de negócio e constante inovação; e a segurança jurídica no ambiente on-line fomentar a inovação
nacional.84
Por sua vez, o fundamento da livre concorrência decorre do regime de livre mercado, sendo vedadas agressões traduzidas pelo abuso de poder econômico,
no qual há um interesse público envolvido e o que se tutela são as estruturas competitivas de mercado, e na deslealdade concorrencial, quando há um interesse
privado tutelado de forma ilícita.85
Nesse sentido, o European Data Protection Board (EDPB)86 emitiu uma declaração sobre os impactos da proteção de dados em casos de concentração
econômica,87 registrando a intenção de analisar os efeitos da aquisição e da concentração de dados comercialmente críticos sobre os clientes de eventuais
concorrentes, no contexto da investigação aberta sobre a proposta de aquisição da Shazam pela Apple.88 A EDPB considera essencial avaliar as implicações a
longo prazo para a proteção econômica e garantia de direitos do consumidor sempre que uma fusão significativa for proposta, pois o aumento da concentração
de mercado no ambiente digital tem o potencial de ameaçar o nível de proteção de dados e a liberdade que beneficiam os consumidores de serviços digitais.
Assim, a proteção de dados e os interesses de privacidade e dos direitos da personalidade dos indivíduos são relevantes para qualquer avaliação de
potencial abuso de poder, bem como em eventuais fusões de empresas, que podem acumular poder informativo.
Na mesma linha, José Antonio Remedio e Marcelo Rodrigues da Silva comentam que, sem a adoção de políticas públicas de longo prazo, a racionalidade
empresarial continuará utilizando-se de estratégias anticoncorrenciais sensíveis envolvendo big data, criando monopólios em determinados setores em que o
interesse não é o consumidor e questões relacionadas à mobilidade urbana, por exemplo, mas sim a obtenção de dados e a possibilidade de impedir que
concorrentes ganhem força no setor. Concluem que a economia criativa, que tem por centralidade os ativos intangíveis, torna-se a principal estratégia de
desenvolvimento dos municípios, territórios, estados e países, pois são os únicos recursos que não se esgotam, mas se multiplicam com o uso, gerando não
apenas resultados financeiros, mas também resultados sociais, ambientais e culturais, sendo necessária revisão de políticas públicas concorrenciais no setor
tecnológico, de forma a criar novos concorrentes.89
Em procedimento no Conselho Administrativo de Defesa Econômica (CADE), o Google foi acusadode privilegiar seu comparador de preços e discriminar os
concorrentes, infringindo a neutralidade do algoritmo de busca para favorecer o seu serviço em detrimento de outros. O CADE concluiu que os dados relativos
à queda de tráfego para os comparadores de preços não foram conclusivos. Já os dados referentes aos gastos dos comparadores de preços com anúncios
patrocinados não indicam que houve aumento em decorrência das práticas acusadas. Desse modo, a Superintendência-Geral do Órgão entendeu não ser
possível concluir que a conduta analisada impactou negativamente o ambiente concorrencial, bem como que, em mercados com inovação intensa, como o do
caso investigado, a intervenção da autoridade antitruste deve se dar com bastante cautela, sob pena de inibição do esforço inovador, que é característico desses
mercados. Por essas razões, foi recomendado o arquivamento do processo.90
Porém, a Comissão Europeia multou a referida empresa em 2,42 bilhões de euros por abusar de sua posição dominante no mercado, com o seu mecanismo
de busca, por conferir vantagem ilegal a outro produto seu, de comparação de compras. A Comissária Margrethe Vestager, considerou que o buscador
criou muitos produtos e serviços inovadores que fizeram a diferença em nossas vidas. Isso é uma coisa boa. Mas a estratégia para o serviço de
comparação não foi apenas para atrair clientes tornando seu produto melhor do que o de seus concorrentes. Em vez disso, abusou de seu domínio
de mercado como mecanismo de busca ao promover seu próprio serviço de comparação em seus resultados de pesquisa e rebaixar os
concorrentes. Negava a outras empresas a chance de competir no mérito e inovar. E, mais importante, negou aos consumidores europeus a
escolha verdadeira de serviços e todos os benefícios da inovação.91
Em outro caso relevante no Brasil, o Departamento de Proteção e Defesa do Consumidor (DPDC) condenou uma empresa de comércio eletrônico ao
pagamento de R$ 7.500.000,00, por diferenciação de preço de acomodações e negativa de oferta de vagas em hotéis, quando existentes, de acordo com a
localização geográfica do consumidor (geopricing e geoblocking). No relatório que acompanha a condenação, a área jurídica do DPDC entendeu que ao
precificar – ou permitir que se precifique – o serviço de acomodação de acordo com a localização geográfica do usuário, a empresa se conduz de forma a
extrapolar o direito de precificar (ou permitir que serviço por ele anunciado seja precificado) de acordo com as práticas do mercado, não se se justificando o
estabelecimento de preços diferentes de serviços que são prestados no mesmo local e nas mesmas condições a qualquer consumidor que esteja disposto a
pagar por esses serviços. Quanto à não exibição da disponibilidade total de acomodações, entendeu que a infração à ordem jurídica é ainda mais evidente por
extrapolar de seu direito de praticar o comércio e de ofertar o produto, prejudicando o consumidor brasileiro, ao não mostrar serviço que não queira vender a
determinado consumidor (no caso, o consumidor brasileiro). Isso porque, segundo o DPDC, o favorecimento (ou desfavorecimento), bem como a discriminação
por conta de etnia, localização geográfica ou qualquer outra característica extrínseca ao ato comercial causa desequilíbrio no mercado e nas relações de
consumo.92
Já em razão da aquisição do WhatsApp pelo Facebook, a Comissão Europeia multou o Facebook em 10 milhões de euros por fornecer informações incorretas
ou enganosas durante a investigação de 2014 realizada pela Comissão, pois, quando o Facebook notificou a aquisição do WhatsApp, em 2014, informou que não
seria capaz de estabelecer uma correspondência automatizada confiável entre as contas dos usuários do Facebook e as contas dos usuários do WhatsApp. No
entanto, em agosto de 2016, o WhatsApp anunciou atualizações de seus termos de serviço e política de privacidade, incluindo a possibilidade de vincular os
números de telefone dos usuários do WhatsApp com as identidades dos usuários do Facebook, concluindo que a possibilidade técnica de correspondência
automática das identidades dos usuários do Facebook e do WhatsApp já existia em 2014 e que a equipe do Facebook estava ciente de tal possibilidade.93
Sobre o mesmo episódio, o Instituto de Defesa do Consumidor (IDEC) elaborou relatório encaminhado à Secretaria Nacional de Defesa do Consumidor
(SENACON), alegando não estar lançando um ataque a modelos de negócio e atividades empresariais, que são legítimos e devem ser estimulados em um
ambiente de livre-iniciativa e fomento à inovação, tal como garantido pelo Marco Civil da Internet (MCI – Lei 12.965/14), mas ressaltando a problemática de
facilitação do processo de coleta de dados de 100 milhões de usuários do WhatsApp em desrespeito aos princípios do direito consumerista (boa-fé,
transparência e direito à informação), o que seria um precedente perigosíssimo para outras empresas de tecnologia de atuação nacional. Recomendou, na
época com base no MCI, ao WhatsApp/Facebook Inc. e às empresas de tecnologia que operam no Brasil: (i) a programação de códigos, softwares e apps para que
o não compartilhamento de informações relacionadas à pessoa identificável esteja previamente selecionado (privacy by default); (ii) a programação de códigos,
softwares e apps para que exista escolha informada sobre os diferentes tipos de dados que podem ser coletados e processados (com a opção de informar
consentimento para os diferentes tipos de dados, em vez do consentimento forçado do tipo “tudo ou nada”); (iii) a explicação, nos termos de uso, da finalidade
legítima de cada tipo de coleta e quais os grupos econômicos que estarão envolvidos em relações comerciais que envolvem a troca desses dados; (iv) a garantia
da continuidade do uso da aplicação de Internet sem compartilhamento de dados nos casos de consumidores que já formaram expectativa legítima de
privacidade com base em termos de uso anteriores, mesmo que o serviço tenha funcionalidades reduzidas94.
Em razão de outra investigação,95 o Escritório Federal de Concorrência alemão (Bundeskartellamt), por sua vez, proibiu o Facebook de combinar dados de
usuários de diferentes fontes, pois: serviços de propriedade do Facebook, como WhatsApp e Instagram, podem continuar a coletar dados. No entanto, atribuir
os dados às contas de usuário do Facebook só será possível quando houver consentimento livre dos usuários nesse sentido. Quando o consentimento não for
realizado, os dados devem permanecer dentro do respectivo serviço e não podem ser processados em combinação com os dados do Facebook; coletar dados de
sites de terceiros e atribuí-los a uma conta de usuário do Facebook também só será possível se os usuários derem seu consentimento livre para tal finalidade.
Vejamos mais alguns pontos da decisão e comentários de Andreas Mundt, Presidente do Bundeskartellamt:96 é um procedimento que pode ser visto como
um desinvestimento interno dos dados do Facebook; a combinação de fontes de dados contribuiu substancialmente para o fato de o Facebook ser capaz de
criar um banco de dados exclusivo para cada usuário individual e, assim, ganhar poder de mercado; como empresa dominante, o Facebook está sujeito a
obrigações especiais da lei de concorrência; na operação de seu modelo de negócios, a empresa deve levar em conta que os usuários do Facebook não podem
mudar para outras redes sociais; tendo em vista o poder de mercado do Facebook, um único clique obrigatório no box para concordar com os termos de uso da
empresa não é uma base adequada para esse processamento intensivo de dados; a única escolha que o usuário tem é aceitar a combinação abrangente de
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
dados ou não usar a rede social; a extensão em que o Facebook coleta, mescla e usa dados em contas de usuários constitui um abuso de posição dominante, pois
é capaz de coletar uma quantidade quase ilimitada de qualquer tipo de dadosde usuários, de fontes de terceiros, e vinculá-los aos usuários; ao combinar dados
de seu próprio site, serviços de propriedade da empresa e a análise de sites de terceiros, o Facebook obtém perfis muito detalhados de seus usuários e sabe o
que eles estão fazendo on-line; isso se aplica, acima de tudo, se a prática de exploração também impedir concorrentes que não são capazes de acumular tal
tesouro de dados.
Assim, livre concorrência e livre-iniciativa são previsões legais que precisam ser analisadas de forma harmônica com as demais normas que possam traçar
limites e estabelecer parâmetros para as decisões empresariais, mormente quando tais decisões possam trazer impactos demasiadamente prejudiciais à
sociedade, como nos casos de vazamento ou tratamento ilícito de dados, motivo pelo qual a proteção ao consumidor se apresenta como forma de impor
referido equilíbrio. Conforme Felipe Augusto dos Santos e Ana Paula Bagaiolo Moraes, “uma empresa que se utilize de práticas abusivas no relacionamento
com o consumidor, aproveitando-se de sua situação de vulnerabilidade, possivelmente corresponderá, também, em desiquilíbrio no âmbito concorrencial”.97
Nesse sentido, uma das legislações setoriais que já versava sobre Proteção de Dados é justamente o Código de Defesa do Consumidor (CDC), ao dispor sobre
a abertura de cadastro, ficha, registro e dados pessoais de consumo,98 além do Decreto 7.962/13, que regulamentou o CDC para o comércio eletrônico, ao dispor
sobre a necessidade de mecanismos de segurança eficazes para tratamento de dados do consumidor.99
Outra Lei setorial é a do Cadastro Positivo (Lei 12.414/2011), sobre a qual o STJ já decidiu que a prática de credit scoring é lícito, desde que na avaliação do
risco de crédito sejam respeitados os limites estabelecidos pelo sistema de proteção do consumidor no sentido da tutela da privacidade e da máxima
transparência nas relações negociais, devendo ser a ele fornecidos esclarecimentos, caso solicitados, acerca das fontes dos dados considerados (histórico de
crédito), bem como as informações pessoais valoradas.100
Além de trazer como fundamento, a LGPD também prevê que as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem
sujeitas às regras de responsabilidade previstas na legislação pertinente,101 bem como que a ANPD articulará sua atuação com o SENACON e com outros órgãos
e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais.102
Tal ênfase na defesa do consumidor quanto ao tema proteção de dados deriva da era em que produtos e serviços são definidos e customizados de acordo
com as opiniões e interesses de cada pessoa, mediante a publicidade direcionada, seja ela contextual, seja103 segmentada.104 Algoritmos, com a abundância de
dados disponibilizada e a tecnologia existente, conseguem entender quando um cliente está pronto para adquirir um produto ou serviço, um motor de um
carro precisa de manutenção, ou um paciente cardíaco está enfartando, por exemplo.
Diante de tal contexto, há, por um lado, ganho para as empresas em termos de custos e diminuição da concorrência, mas, por outro, o incremento da
ameaça à personalidade do consumidor, bem como ao equilíbrio do mercado de consumo, caso grandes bases de dados pessoais sejam tratadas e utilizadas
para limitar ilicitamente o acesso a bens e serviços ou para selecioná-los e classificá-los de forma discriminatória.105
A necessidade da defesa dos interesses do consumidor diante da sua vulnerabilidade, fragilidade e exposição na era digital ganhou a expressão
“consumidor de vidro”,106 pois praticamente toda atividade humana atual deixa rastro. Assim, na ausência do cumprimento de todas as novas disposições legais
que buscam equilibrar a relação de consumo, os consumidores estarão suscetíveis a decisões imperceptíveis pautadas em seus próprios comportamentos, mas
não necessariamente de acordo com os seus interesses.
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A proteção da pessoa humana deve ser entendida como valor máximo do ordenamento jurídico, conforme fundamento estampado no art. 1º, inc. III, da
nossa Constituição Federal. Não levar em consideração novos problemas oriundos da evolução tecnológica, que influencia na experiência cientifica, política e
cultural de uma sociedade, significaria abater o direito ao seu próprio tempo, tornando-o automaticamente obsoleto, insuficiente e incapaz de garantir os
preceitos da pessoa com a velocidade característica da revolução tecnológica, o que é fundamental.
A Declaração Universal de Direitos Humanos, da Organização das Nações Unidas (ONU), em seu art. 12, prevê que ninguém sofrerá intromissões arbitrárias
na sua vida privada, bem como que, contra tais intromissões ou ataques, toda a pessoa tem direito à proteção da lei. Inclusive, o seu Conselho de Direitos
Humanos, em julho de 2016, considerou relevante e publicou disposições para a promoção, proteção e fruição dos direitos humanos na internet, dispondo,
entre outras questões, que a privacidade on-line é importante para a realização do direito de liberdade de expressão e de ter opiniões sem interferência.107
Por sua vez, a Convenção 108 do Conselho da Europa, de 1981, foi emendada, em 2018, justamente para incluir a proteção de direitos fundamentais dos
indivíduos no processamento automático de dados pessoais, considerando, entre outras questões, a necessidade de garantir a dignidade humana e a proteção
do ser humano, dada a diversificação, intensificação e globalização do processamento e fluxo de dados pessoais.108 A referida Convenção é o principal marco de
proteção de dados pessoais como matéria pela chave dos direitos fundamentais, deixando claro, em seu preâmbulo, que a proteção de dados pessoais está
diretamente vinculada à proteção dos direitos humanos e das liberdades fundamentais, entendendo-a como pressuposto do estado democrático, evidenciando
sua deferência ao artigo 8º da Convenção Europeia para os Direitos do Homem109.
Já a Coalizão Dinâmica para Direitos e Princípios da Internet,110 situada no Fórum de Governança da Internet das Nações Unidas, lançou os Dez Princípios
Poderosos da Internet,111 bem como a Carta de Direitos Humanos e Princípios para a Internet,112 consignando, entre outros, a privacidade e a proteção de dados
pessoais: “todos os indivíduos têm o direito à privacidade online, incluindo o direito de não ser vigiado, o direito de usar criptografia e o direito ao anonimato
online. Todos os indivíduos têm também o direito à proteção de dados, incluindo o controle sobre coleta, retenção, tratamento, eliminação e divulgação de
dados pessoais”.113
Importante lembrar que direitos fundamentais são, em última instância, instrumentais à dignidade da pessoa humana, assim como há outros direitos
autônomos que também são indiscutivelmente instrumentais.114
Não é por acaso que os direitos da personalidade, regulados de maneira não exaustiva pelo Código Civil brasileiro,115 são expressões da cláusula geral de
tutela da pessoa humana,116 de forma dinâmica, para minimizar o risco de deixar de atingir situações até então inexistentes, oriundas da evolução tecnológica,
sempre com o foco no livre desenvolvimento da pessoa. Lembrando que personalidade é “características ou conjunto de características que distingue uma
pessoa”117 da outra. Assim, os direitos da personalidade, como nome, imagem e honra, conforme Carlos Alberto Bittar, são aqueles reconhecidos à pessoa
humana tomada em si mesma e em suas projeções na sociedade.118
Fato é que as mais variadas rotinas, gostos e interesses que temos, se isoladamente vistos, dificilmente nos afetaria, mas quando colocados em conjunto e
processados por mecanismos altamente capacitados, formam um compilado da nossa personalidade, facilmente manipulável por terceiros.
Por isso, Stefano Rodotà leciona que a proteção é dinâmica, devendo seguir os dados em todos os seus movimentos,119defendendo a doutrina, inclusive, a
proteção de dados pessoais como uma nova espécie de direitos da personalidade, assegurando a pessoa a dignidade, a paridade, a não discriminação e a
liberdade,120 pois
quando os cidadãos passam a ser cada vez mais avaliados e classificados apenas a partir de informações a seu respeito, a proteção e o cuidado
com estas informações deixa de ser um aspecto que somente diga respeito às esferas da do sigilo ou da privacidade, passando a figurar um
componente essencial para determinar o grau de liberdade de autodeterminação individual de cada pessoa.121
Para Carlos Bruno Ferreira Silva, a “combinação de mínimas especificidades sobre os indivíduos tem o potencial de servir para que ele seja manipulado
como poder pelo dono do banco de dados”,122 consistindo esse novo tipo de dominação do ser humano pela tecnologia ainda mais grave, pois não nega direitos,
mas simplesmente emascula a capacidade de reação do cidadão.123 Na mesma linha, Laura Schertel entende que a própria personalidade a que os dados
pessoais se referem, exige que a proteção de dados pessoais seja compreendida não como um direito à propriedade, mas como uma espécie dos direitos de
personalidade, que tem como objetivo equilibrar os direitos de proteção, de defesa e de participação do indivíduo nos processos comunicativos.124
Portanto, dados, quando pessoais, estão contidos dentro das mais variadas possibilidades de representação da personalidade da pessoa. Ainda, quando
tratados, podem passar a representar, perante terceiros, a identidade de determinado indivíduo, de modo que, em última análise, a proteção de dados pessoais
tem um papel de fundamental importância para que o indivíduo se realize e se relacione na sociedade, o que é um traço marcante dos direitos da
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
personalidade125.
Ou seja, a LGPD, ao fundamentar a sua existência também no livre desenvolvimento da personalidade e na dignidade, demonstra uma robusta preocupação
na fidelidade da projeção da personalidade do ser humano, que decorre dos dados tratados do respectivo titular, por exemplo ao prever como direito a
correção de dados incompletos, inexatos ou desatualizados.126 Esses direitos demonstram que a proteção de dados supera o gênero proteção à privacidade,
como nos casos de proteção de informações íntimas do titular. Vai além, atinge também o direito da personalidade.
Estamos, afinal, tratando de informações de cunho íntimo e pessoal, cuja associação à personalidade de um indivíduo específico pode não apenas o
identificar, como revelar muito a seu respeito, a ponto de impactar o seu próprio exercício de cidadania.
Lembrando Philip Agre, controlar informação pessoal é controlar a identidade do seu próprio projeto de mundo. É a liberdade de que a construção da
própria identidade não sofrerá coação de forma injusta.127
NOTAS DE RODAPÉ
15. BASTOS, Celso Ribeiro. Curso de direito constitucional. 20. ed. atual. São Paulo: Saraiva, 1999. p. 159-160.
16. LUCCA, Newton de. Marco civil da internet. Uma visão panorâmica dos principais aspectos relativos às suas disposições preliminares. In: LUCCA, Newton de; SIMÃO
FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & Internet III: Marco civil de internet. Quartier Latin, 2015. t. I. p. 62.
17. COMPARATO, Fábio Konder. Rumo à justiça. São Paulo: Saraiva, 2010. p. 41.
18. WARREN, Samuel; BRENDEIS, Louis. Harvard Law Review, v. 4, n. 5. 15 de dezembro de 1890. p. 193-220.
19. Art. 5º, X, da CF.
20. Art. 21, do CC.
21. STF, AP 307-3 DF, Rel. Min. Ilmar Galvão, j. 13.12.1994.
22. STF, RE 418.416/SC, Pleno do STF, Rel. Min. Sepúlveda Pertence, por maioria, j. 10.05.2006.
23. FERRAZ JÚNIOR, Tércio Sampaio. Sigilo de dados: o direito à privacidade e os limites à função fiscalizadora do Estado. In: PIZOLIO, Reinaldo; GALVADÃO JÚNIOR, Jayr
Viégas (Coord.). Sigilo fiscal e bancário. São Paulo: Quartier Latin, 2005. p. 28.
24. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. p. 1.
25. LEONARDI, Marcel. Tutela e privacidade na Internet. São Paulo: Saraiva, 2012. p. 67.
26. FERREIRA DA SILVA, Carlos Bruno. Proteção de dados e cooperação transnacional. Teoria e prática na Alemanha, Espanha e Brasil. Belo Horizonte: Arraes Editores, 2014.
p. 64.
27. Entre essas obrigações, vide Capítulo III da LGPD (Dos Direitos do Titular).
28. RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Rio de Janeiro: Renovar, 2008. passim.
29. Conforme art. 5º, inc. II, da LGPD.
30. Conforme art. 7º, § 3º, da LGPD.
31. Inclusive merecendo classificação autônoma para tal instituto, conforme Fabiano Menke (A proteção de dados e novo direito fundamental à garantia da
confidencialidade e da integridade dos sistemas técnico-informacionais no direito alemão). (MENDES, Gilmar Ferreira; SARLET, Ingo Wolfgang; COELHO, Alexandre
Zavaglia. Direito, inovação e tecnologia. São Paulo: Saraiva, 2015. v. 1. p. 205). Também editou uma das primeiras leis específicas sobre o tema: Bundesdatenschutzgesetz
(Lei de Proteção de Dados), de 1977.
32. Volkszählungsurteil (Julgamento do Censo), de 15.12.1983.
33. Trad. Fabiano Menke (A proteção de dados e novo direito fundamental à garantia da confidencialidade e da integridade dos sistemas técnico-informacionais no direito
alemão). (MENDES, Gilmar Ferreira; SARLET, Ingo Wolfgang; COELHO, Alexandre Zavaglia. Direito, inovação e tecnologia. São Paulo: Saraiva, 2015. v. 1. p. 211). A decisão
pode ser acessada em: [http://www.servat.unibe.ch/dfr/bv065001.html].
34. Art. 5º, IV, da CF.
35. Art. 5º, IX, da CF.
Douglas Geraldo
Douglas Geraldo
36. DWORKIN, Ronald. Uma questão de princípio. São Paulo: Martins Fontes, 2000. p. 504.
37. BASTOS, Celso Ribeiro. Curso de direito constitucional. Atual. Samantha Ribeiro Meyer-Pflug. São Paulo: Malheiros Editores, 2010. p. 331.
38. MEYER-PFLUG, Samantha Ribeiro; LEITE, Flavia Piva Almeida. A liberdade de expressão e o direito à privacidade no Marco Civil da Internet. In: LUCCA, Newton de;
SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & Internet III: Marco civil de internet. Quartier Latin, 2015. t. I. p. 434-435.
39. Declaração de Princípios sobre a Liberdade de Expressão da Comissão Interamericana de Direitos Humanos, princípios 5 e 10.
40. Corte Interamericana de Direitos Humanos. Caso de Fontevecchia and d’Amico v. Argentina, j. 29.11.2011.
41. BAUMAN, Zygmunt. Danos colaterais: desigualdades sociais numa era global. Trad. Carlos Alberto Medeiros. Rio de Janeiro: Zahar, 2013. p. 108.
42. HARARI, Noah Yuval. 21 lições para o século 21. Israel: Spiegel & Grau, 2018. p. 50.
43. Alguns exemplos são citados no estudo em questão: pode-se argumentar que os ciclos de feedback que ajudam a moldar a organização das informações apresentadas por
buscadores são uma forma de democracia direta viabilizada por algoritmos. No entanto, essa construção é profundamente desconcertante para muitos que sentem como
se não houvesse maneira de empurrar para o interesse público mais desejos individuais que controlam a arquitetura sobre a qual os algoritmos se encaixam; se a
diversidade de perspectivas e ampla inclusão são vistas como ideais, como reconciliamos contradições em valores e compromissos? Quem consegue controlar isso e o que
acontece quando eles entram em contradição? O que acontece quando valores são assumidos por empresas que possuem monopólios que podem amortecer essas
contradições? As decisões de design que as empresas tomam quando criam sistemas e usam algoritmos para o fluxo de informações têm ramificações sérias para a
topologia da esfera pública. Muitas pessoas se sentem impotentes para influenciar ou responsabilizar os desenvolvedores desses sistemas. Ao mesmo tempo, muitas
pessoas também se sentem impotentes em relação aos seus governos e meios de comunicação. Em que medida a reconfiguração do poder é perturbadoraou consequente
daqueles que tradicionalmente tinham poder no controle da esfera pública? (ROBYN CAPLAN AND DANAH BOYD. Who controls the public sphere in an era of algorithms?.
Data& Society, 13.05.2016. Disponível em: [https://datasociety.net/pubs/ap/MediationAutomationPower_2016.pdf]. Acesso em: 24.12.2018.
44. Art. 20, caput, e seu § 1º, da LGPD.
45. Vejamos o acórdão sobre esse ponto: “Therefore, it must be found that, in exploring the internet automatically, constantly and systematically in search of the
information which is published there, the operator of a search engine ‘collects’ such data which it subsequently ‘retrieves’, ‘records’ and ‘organizes’ within the framework
of its indexing programmers, ‘stores’ on its servers and, as the case may be, ‘discloses’ and ‘makes available’ to its users in the form of lists of search results. As those
operations are referred to expressly and unconditionally in Article 2(b) of Directive 95/46/CE, they must be classified as ‘processing’ within the meaning of that provision,
regardless of the fact that the operator of the search engine also carries out the same operations in respect of other types of information and does not distinguish between
the latter and the personal data”. Disponível em: [https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A62012CJ0131]. Acesso em: 22.12.2018.
46. Processo C-1312; Google Spain SL e Google Inc. x Agência Espanhola de Proteção de Dados e Mario Costeja. Tribunal de Justiça da União Europeia. J. 13.05.2014.
Disponível em: [https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A62012CJ0131]. Acesso em: 22.12.2018.
47. Artigo 19. Proteção de dados pessoais no Brasil – Análise dos projetos de lei em tramitação no Congresso Nacional. Coordenação executiva e editorial: Laura Tresca. São
Paulo, nov. 2016. p. 17-23.
48. Art. 4º, inc. II, a e b, da LGPD.
49. Capítulo IV, da LGPD.
50. Art. 6º, da LGPD.
51. Art. 7º, § 3º, da LGPD.
52. Art. 18, incisos IX e VI, da LGPD.
53. Consideranda 65, do GDPR: “[…] Em especial, os titulares de dados deverão ter direito a que os seus dados pessoais sejam apagados e deixem de ser objeto de tratamento
se deixarem de ser necessários para a finalidade para a qual foram recolhidos ou tratados, se os titulares dos dados retirarem o seu consentimento ou se opuserem ao
tratamento de dados pessoais que lhes digam respeito ou se o tratamento dos seus dados pessoais não respeitar o disposto no presente regulamento. Esse direito assume
particular importância quando o titular dos dados tiver dado o seu consentimento quando era criança e não estava totalmente ciente dos riscos inerentes ao tratamento, e
mais tarde deseje suprimir esses dados pessoais, especialmente na Internet. O titular dos dados deverá ter a possibilidade de exercer esse direito independentemente do
facto de já ser adulto. No entanto, o prolongamento da conservação dos dados pessoais deverá ser efetuado de forma lícita quando tal se revele necessário para o exercício
do direito de liberdade de expressão e informação, para o cumprimento de uma obrigação jurídica, para o exercício de funções de interesse público ou o exercício da
autoridade pública de que está investido o responsável pelo tratamento, por razões de interesse público no domínio da saúde pública, para fins de arquivo de interesse
público, para fins de investigação científica ou histórica ou para fins estatísticos, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial”.
54. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. p. 101.
55. Tribunal Europeu de Direitos Humanos da União Europeia, Niemietz v. Alemanha, 72/1991/324/396, seção 29, j. 16.12.1992.
56. LEONARDI, Marcel. Tutela e privacidade na internet. São Paulo: Saraiva, 2012. p. 56-61.
57. Definição proposta pelos participantes da Conferência Nórdica sobre Privacidade, ocorrida em maio de 1967, reproduzida em Justice, Privacy and the law. London:
Stevens and Sons, 1970, Appendix B.
58. CUPIS, Adriano de. Os direitos da personalidade. Trad. Adriano Vera Jardim e Antonio Miguel Caeiro. Lisboa: Morais, 1961. p. 15.
59. COSTA Júnior, Paulo José da. O direito de estar só: tutela penal da intimidade. 4. ed. São Paulo: Revista dos Tribunais, 2007. p. 49.
60. MORAES, Alexandre de. Direitos humanos fundamentais: teoria geral, comentários aos arts. 1º a 5º da Constituição da República Federativa do Brasil. 8. ed. São Paulo:
Atlas, 2007. p. 128.
61. FERNANDES, Milton. Proteção civil da intimidade. São Paulo: Saraiva, 1977. p. 99.
62. LORENZETTI, Ricardo L. Comércio eletrônico. Trad. Fabiano Menke, com notas de Cláudia Lima Marques. São Paulo: Revista dos Tribunais, 2004. p. 88.
63. FERREIRA DA SILVA, Edson. Direito à intimidade. São Paulo: Oliveira Mendes, 1998. p. 39.
64. ALEXY, Robert. Teoria dos direitos fundamentais. Trad. Virgilio Afonso da Silva. São Paulo: Malheiros Editores, 2008. p. 360-361.
65. RODOTÀ, Stefano. Elaboratori elettronici e controllo sociale. Bologna: Il Mulino, 1973. p. 14-15.
66. HARARI, Noah Yuval. 21 lições para o século 21. Israel: Spiegel & Grau, 2018, parte I.3.
67. Art. 44, caput, da LGPD.
68. Sobre o assunto, Nita A. Farahany palestrou no TED em novembro de 2018: “Tech that can decode your brain activity and reveal what you’re thinking and feeling is on
the horizon, says legal scholar and ethicist Nita Farahany. What will it mean for our already violated sense of privacy? In a cautionary talk, Farahany warns of a society
where people are arrested for merely thinking about committing a crime (like in ‘Minority Report’) and private interests sell our brain data – and makes the case for a
right to cognitive liberty that protects our freedom of thought and self-determination” (TED Salon: Zebra Technologies | November 2018. Disponível em:
[https://www.ted.com/talks/nita_farahany_when_technology_can_read_minds_how_will_we_protect_our_privacy#t-364376]. Acesso em: 22.12.2018.
69. Exemplo extraído do livro 21 lições para o século 21 (HARARI, Noah Yuval. 21 lições para o século 21. Israel: Spiegel & Grau, 2018, parte I.3.)
70. Conforme Danilo Doneda, ao citar WEBER, Max. A ética protestante e o espírito do capitalismo. Trad. Mário Moraes. São Paulo: Martin Claret, 2013. p. 50. In: DONEDA,
Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. p. 25.
71. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. p. 20 e 24.
72. CASTELLS, Manuel. A sociedade em rede – A era da informação: economia, sociedade e cultura. V.1. 3. ed., São Paulo: Paz e Terra, 2000. p. 35.
73. Decreto 9.319/18.
74. Estudo “Internet das Coisas: um plano de ação para o Brasil”. Disponível em:
[https://www.bndes.gov.br/wps/portal/site/home/conhecimento/pesquisaedados/estudos/estudo-internet-das-coisas-iot/estudo-internet-das-coisas-um-plano-de-acao-para-o-
brasil]. Acesso em: 07.01.2019.
75. Estudo “Internet das Coisas: um plano de ação para o Brasil”. Relatório Final do Estudo. Janeiro de 2018. Disponível em:
[https://www.bndes.gov.br/wps/wcm/connect/site/d22e7598-55f5-4ed5-b9e5-543d1e5c6dec/produto-9A-relatorio-final-estudo-de-iot.pdf?MOD=AJPERES&CVID=m5WVIld].
Acesso em: 07.01.2019.
76. Ibidem, p. 82.
77. Ibidem, p. 79.
78. Conforme Capítulo IX da LGPD, em que pese a discussão sobre a sua independência, por ser órgão da administração pública federal, integrante da Presidência da
República.
79. GUTIERREZ, Andriei. Transferência internacional de dados & estratégias de desenvolvimento social. In: MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato (Coord.).
Comentários ao GDPR. São Paulo: Revista dos Tribunais, 2018. p. 218.
80. Não é por acaso que “dados”, em maio de 2017, foi taxado como o novo recurso mais valioso do mundo, em detrimento do petróleo, ponderando a matéria em questão
que as cinco empresas mais valiosas do mundo, à época, lidam com dados e que o controle sob tamanha quantidade de dados das empresas de Internet lhes dá enorme
poder.Conforme The Economist, The world’s most valuable resource is no longer oil, but data, 06.05.2017. Disponível em:
[https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data]. Acesso em: 07.01.2017. Conforme a mesma matéria citada,
Alphabet, Amazon, Apple, Facebook e Microsoft formavam as cinco empresas listadas mais valiosas do mundo. Coletivamente acumularam mais de US $ 25 bilhões em
lucro líquido no primeiro trimestre de 2017. Ainda, a Amazon capturava metade de todos os dólares gastos on-line nos Estados Unidos. O Google e o Facebook respondiam
por quase todo o crescimento de receita em publicidade digital nos Estados Unidos no ano de 2016.
81. BIONI, Bruno Ricardo. Proteção de dados pessoais – A função e os limites do consentimento. São Paulo: Renovar, 2018. p. 12.
82. TAVARES, André Ramos. Direito constitucional da empresa. São Paulo: Método, 2013. p. 31-32.
83. BAGNOLI, Vicente; FRANCESCHINI, José Inácio Gonzaga. Direito concorrencial. In: CARVALHOSA, Modesto (Coord.). Coleção tratado de direito empresarial. 2016. v. 7. p.
188-189.
84. LEONARDI, Marcel. Marco Civil da Internet e Proteção de Dados Pessoais. In: LUCCA, Newton de; SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito
& Internet III: Marco civil de internet. Quartier Latin, 2015. t. I. p. 536-537.
85. Conforme DEL MASSO, Fabiano. Livre-iniciativa, livre concorrência e direitos do consumidor como fundamentos do uso da internet no Brasil. In: DEL MASSO, Fabiano;
ABRUSIO, Juliana; FLORÊNCIO FILHO, Marco Aurélio. Marco Civil da Internet. Lei 12.965/2014. São Paulo: Revista dos Tribunais, 2014. p. 45.
86. Órgão responsável por assegurar a aplicação coerente do GDPR, responsável, entre outras atividades, também por elaborar diretrizes, recomendações e melhoras
práticas para o devido cumprimento da legislação em referência, conforme artigos 69/76, do GDPR.
87. Statement of the EDPB on the data protection impacts of economic concentration. 27.08.2018. Disponível em: [https://edpb.europa.eu/our-work-tools/our-
documents/other/edpb-statement-economic-concentration-27082018_en]. Acesso em: 08.01.2018.
88. A Comissão Europeia abriu uma investigação para avaliar a proposta de aquisição da Shazam pela Apple sob o fundamento do Regulamento de Concentração
Econômica da EU, diante da preocupação de a concentração poder reduzir a escolha dos usuários de serviços de transmissão de música, bem como, após a aquisição do
Shazam, a Apple obter acesso a dados comercialmente sensíveis sobre os clientes dos seus concorrentes para o fornecimento de serviços de transmissão de música.
Mergers: Commission opens in-depth investigation into Apple’s proposed acquisition of Shazam. Bruxelas, 23.04.2018. Disponível em: [http://europa.eu/rapid/press-
release_IP-18-3505_en.htm]. Acesso em: 08.01.2019. A Comissão concluiu que a aquisição não suscita preocupações do direito da concorrência. Mais precisamente, que a
entidade resultante da fusão não seria capaz de prejudicar ou retirar do mercado fornecedores concorrentes de serviços de transmissão de música, acessando dados
comercialmente sensíveis sobre os seus clientes ou restringindo o acesso à aplicação Shazam. Ao chegar a essa decisão, a Comissão concluiu que o aplicativo Shazam tinha
apenas uma relevância limitada como ponto de entrada para os concorrentes de streaming de música da Apple Music, e que a integração dos conjuntos de usuários do
Shazam não conferiria uma vantagem única à entidade resultante da fusão, especialmente porque os serviços de streaming concorrentes continuariam a poder acessar e
usar bancos de dados semelhantes. Apple / Shazam: Determining the value of data in merger cases. Por Melissa Van Schoorisse e Miranda Cole. 11.09.2018. Disponível em:
[https://www.covcompetition.com/2018/09/apple-shazam-determining-the-value-of-data-in-merger-cases/]. Acesso em: 08.01.2018.
89. No artigo em referência, os autores comentam a aquisição do Waze pelo Google (REMEDIO, José Antonio; SILVA, Marcelo Rodrigues da. O uso monopolista do Big Data
por empresas de aplicativos: políticas públicas para um desenvolvimento sustentável em cidades inteligentes em um cenário de economia criativa e de livre concorrência.
Revista Brasileira de Políticas Públicas. Direito e Mundo Digital, UniCeub, v. 7, n. 3, dez. 2017. p 690. Disponível em:
[https://www.publicacoesacademicas.uniceub.br/RBPP/article/viewFile/4966/3651]. Acesso em: 08.01.2019).
90. O caso segue agora para o Tribunal Administrativo do CADE, responsável pela decisão final. Conselho Administrativo de Defesa Econômica (CADE). Processo
Administrativo 08012.010483/2011-94. Superintendência-Geral recomenda arquivamento de investigação contra o Google. 20.11.2018. Disponível em:
[http://www.cade.gov.br/noticias/superintendencia-geral-recomenda-arquivamento-de-investigacao-contra-o-google]. Acesso em: 08.01.2019.
91. Antitrust: Commission fines Google €2.42 billion for abusing dominance as search engine by giving illegal advantage to own comparison shopping service. 27.06.2017.
Disponível em: [http://europa.eu/rapid/press-release_IP-17-1784_en.htm]. Acesso em: 15.01.2019. (Case AT.39740 – Google Search (Shopping). (Only the English text is
authentic). Decisão completa Disponível em: [https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1516198535804&uri=CELEX:52018XC0112(01))].
92. MINISTÉRIO DA JUSTIÇA. Decolar.com é multada por prática de geopricing e geoblocking. 28.06.2018. Disponível em: [http://www.justica.gov.br/news/collective-nitf-
content-51]. Acesso em: 08.01.2019.
93. Mergers: Commission fines Facebook €110 million for providing misleading information about WhatsApp takeover. 18.05.2017. Disponível em:
[http://europa.eu/rapid/press-release_IP-17-1369_en.htm. IP / 17/1369]. Acesso em: 15.01.2019.
94. ZANATTA, Rafael A.F. Consentimento forçado? Uma avaliação sobre os novos termos de uso do WhatsApp e as colisões com o Marco Civil da Internet. IDEC. 22.09.2016.
Disponível em: [https://www.idec.org.br/pdf/relatorio-whatsapp-termos-de-uso.pdf]. Acesso em: 15.01.2019.
95. Bundeskartellamt (Germany’s competition regulator). Decisão de 07.02.2019. Disponível em:
[https://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2019/07_02_2019_Facebook.html;jsessionid=0C45D2BA4E717B876B0A935C4FCB283A.2_cid371?
nn=3591568]. Acesso em: 07.02.2019.
96. Idem.
97. SANTOS, Felipe Augusto dos; MORAES, Ana Paula Bagaiolo. O direito concorrencial e a proteção ao consumidor na era do big data. In: BAGNOLI, Vicente (Coord.).
Concorrência e inovação: anais do congresso internacional para a promoção de debates acerca do direito da concorrência e inovação tecnológica diante da realidade e
desafios da economia digital. São Paulo: Scortecci, 2018. p. 122.
98. Art. 43 e seguintes do CDC.
99. Art. 4º, VII, do CDC.
100. STJ, Recurso Especial 1419697 RS, 2ª Seção, Rel. Min. Paulo de Tarso Sanseverino, j. 12.11.2014, v.u.
101. Art. 45, da LGPD.
102. Art. 55-K, parágrafo único, da LGPD.
103. Quando há a contextualização da abordagem de acordo com o destinatário final, visando o aumento da possibilidade de êxito no pretendido.
104. Quando há a publicização de determinado conteúdo publicitário em um meio já segmentado, de acordo com o perfil que se pretende alcançar, como: mulheres,
advogadas, entre 20 e 30 anos, residentes em Belo Horizonte.
105. MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014. p. 92.
106. LACE, Susane. The glass consumer: life in a surveillance society. Bristol: Policy, 2005.
107. ORGANIZAÇÃO DAS NAÇÕES UNIDAS (ONU). Human Rights Council. Thirty-second session. Disponível em: [http://www.un.org/ga/search/view_doc.asp?
symbol=A/HRC/32/L.20]. Acesso em: 17.01.2019.
108. Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data as it will be amended by its Protocol CETS No. 223. Disponível em:
[https://rm.coe.int/16808ade9d].Acesso em: 17.12.2018.
109. DONEDA, Danilo. Princípios de Proteção de Dados Pessoais. In: LUCCA, Newton de; SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & Internet III:
Marco civil de internet. Quartier Latin, 2015. t. I. p. 378.
110. Internet Rights and Principles Dynamic Coalition – IRPC.
111. “Ten Punchy Principles”.
112. Abarcando todo o âmbito de direitos humanos contidos na Declaração Universal de Direitos Humanos e outros documentos que compõem a Carta Internacional de
Direitos Humanos da ONU.
113. Internet Rights and Principles Dynamic Coalition (IRPC), mar. 2011. Disponível em: [http://internetrightsandprinciples.org/site/wp-
content/uploads/2011/09/pdf/portuguese.pdf]. Acesso em: 17.01.2019.
114. FERREIRA DA SILVA, Carlos Bruno. Proteção de dados e cooperação transnacional. Teoria e prática na Alemanha, Espanha e Brasil. Belo Horizonte: Arraes Editores,
2014. p. 76.
115. Art. 11 e seguintes do CC.
116. Conforme Enunciado 274 da IV Jornada de Direito Civil.
117. HOUAISS, Antônio; VILLAR, Mauro de Salles. Dicionário Houaiss de língua portuguesa. Rio de Janeiro: Objetiva. p. 1480.
118. BITTAR, Calos Alberto. Os direitos da personalidade. Rio de Janeiro: Forense Universitária, 2004. p. 1.
119. RODOTÀ, Stefano. Avida na sociedade da vigilância – A privacidade hoje. Rio de Janeiro: Renovar, 2008. p. 17.
120. ZANON, João Carlos. Direito à proteção dos dados pessoais. São Paulo: Revista dos Tribunais, 2013. p. 156.
121. DONEDA, Danilo. Princípios e proteção de dados pessoais. In: LUCCA, Newton de; SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & Internet III:
Marco civil de internet. Quartier Latin, 2015. t. I. p. 370.
122. FERREIRA DA SILVA, Carlos Bruno. Proteção de dados e cooperação transnacional. Teoria e prática na Alemanha, Espanha e Brasil. Belo Horizonte: Arraes Editores,
2014. p. 74.
© desta edição [2020]
123. RODOTÁ, Stefano. Avida na sociedade da vigilância – A privacidade hoje. Rio de Janeiro: Renovar, 2008. p. 58.
124. MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014. p. 124.
125. BIONI, Bruno Ricardo. Proteção de dados pessoais – A função e os limites do consentimento. São Paulo: Renovar, 2018. p 86.
126. Conforme art. 18, III, da LGPD.
127. In: AGRE, Philip E.; ROTENBERG, Marc. Technology and privacy: the new landscape. Cambridge/London: MIT. p. 7.
2020 - 08 - 14 PÁGINA RL-1.2 
LGPD Lei Geral de Proteção de Dados Comentada - Ed. 2020
Lei 13.709, de 14 de Agosto de 2018
CAPÍTULO I. DISPOSIÇÕES PRELIMINARES
Art. 3º.
Art. 3º. Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou
por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede
ou do país onde estejam localizados os dados, desde que:
O caput do art. 3º da LGPD dispõe sobre a sua aplicação material, deixando claro que não se
importa com o tipo de tecnologia empregada para a realização do tratamento, se por meio digital
ou analógico, com o uso de inteligência artificial, de forma automatizada ou manualmente. Assim,
aplica-se a LGPD para dados existentes em papel, no histórico de uma clínica hospitalar; na
memória do computador de uma instituição financeira que armazena os dados bancários de seu
cliente; em uma fita guardada pelo departamento de atendimento ao cliente de um agente de
viagens; ou em imagens gravadas em circuito fechado de TV, por exemplo.128
Aplica-se também a pessoal natural,129 desde que o tratamento guarde relação com alguma
atividade profissional ou comercial.130 Ou seja, para fins econômicos. Ainda, todas as aplicações e
serviços providos por controladores ou operadores de dados, que são utilizados por pessoas
naturais para fins de tratamento exclusivamente particular e não econômico, estarão sujeitos à
LGPD.
Quanto às pessoas jurídicas de direito privado, estão estabelecidas no Código Civil, conforme
seu art. 44. São elas as I – as associações; II – as sociedades; III – as fundações; IV – as organizações
religiosas; V – os partidos políticos; VI – as empresas individuais de responsabilidade limitada.
Não importa para a LGPD o objetivo pelo qual tais entidades foram constituídas, se com foco
principal e finalidade o tratamento de dados ou se o tratamento é só uma forma de apoio para a
atividade principal, com fins lucrativos ou filantrópicos. A partir do momento que a pessoa
jurídica adquire personalidade jurídica, estará apta a responder por seus atos, incluindo o
cumprimento da LGPD, quando tratar dados pessoais e não se enquadrar em alguma exceção.
Antes disso, todas as pessoas naturais que estiverem comprovadamente empregando esforços
para o devido estabelecimento do negócio pretendido, de acordo com a avaliação da
responsabilidade de cada um no tratamento eventualmente ilícito de dados pessoais, poderá ser
fiscalizado, sancionado e responsabilizado, o que torna cogente que sejam estabelecidas cláusulas
específicas sobre proteção de dados pessoais, com definição de responsabilidades de cada parte,
especialmente por meio de Memorandum of Understanding (MoU).131 Lembrando que diversos
empreendedores, em suas startups, baseiam suas iniciativas com imensa dependência do
tratamento de dados pessoais.
A LGPD também se aplica a pessoa de direito público, prevendo, entre outras questões, que o
tratamento deverá ser realizado para o atendimento de sua finalidade pública, na persecução do
interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições
legais do serviço público, com informações claras e atualizadas sobre a previsão legal, a finalidade,
os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil
acesso.132
Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder
Público, terão o mesmo tratamento dispensado às pessoas jurídicas de direito público.133 Já as
empresas públicas e as sociedades de economia mista que atuam em regime de concorrência,
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
sujeitas ao disposto no art. 173 da Constituição Federal, terão o mesmo tratamento dispensado às
pessoas jurídicas de direito privado.134
Porém, as empresas públicas e as sociedades de economia mista, quando estiverem
operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento
dispensado aos órgãos e às entidades do Poder Público.135
Por fim, a aplicação da LGPD também independe do país da sede ou do país da localização dos
dados tratados, ampliando, assim, de forma considerável, a sua jurisdição,136 instituto formulado
tradicionalmente com base em sociedades com fronteiras territoriais geográficas e físicas bem
delimitadas.
De fato, a pulverização das fronteiras territoriais em razão, principalmente, da internet, que
viabiliza o fluxo internacional de dados de forma tão natural que é praticamente imperceptível ao
ser humano comum, apesar de não subverter a possibilidade da aplicação da lei baseada em
marcos geográficos,
desafia, por sua escala mundial, as leis locais, fragmentadas, diversas, e por isso
parcialmente impotentes dos múltiplos Estados-nação surgidos da civilização da
imprensa. Esse desafio cria o caminho para a cidade universal da civilização do
ciberespaço que, longe de se opor, chama por uma lei planetária, uma
ciberdemocracia altamente participativa ligada ao novo espaço público da web.137
Cada Estado é livre para regular os atos praticados em seu território, sem a interferência de
terceiros, bem como sem afetar outras nações, não obstante se apresentar como frutífera a criação
de legislações semelhantes, com níveis proporcionais e equivalentes de proteção de dados
pessoais, visando desburocratizar o fluxo internacional de dados.138
Nesse contexto, é demasiadamente positivo a LGPD basear-se no GDPR, pois agora o Brasil pode
ser reconhecido mundialmentepor ter uma legislação robusta, equivalente à norma da UE,
facilitando explicações de segurança jurídica para empresas internacionais que buscam investir
no País, bem como pela possibilidade da análise, pela Comissão Europeia, do livre fluxo de dados
com o Brasil, com base em uma decisão de adequação,139 assim como Argentina e Uruguai, na
América Latina, já estão chancelados.
Por fim, acerca das hipóteses de aplicabilidade territorial e extraterritorial, que serão
analisadas adiante, registra-se que são independentes entre si, de modo que bastará a presença de
somente uma delas para que a LGPD tenha efeito sobre o responsável pelo tratamento, seja ele o
controlador, pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões
referentes ao tratamento de dados pessoais,140 seja o operador, pessoa natural ou jurídica, de
direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.141
Porém, há imprecisão técnica na redação dos incisos referentes a aplicação territorial e
extraterritorial142. Vejamos:
No inciso I, que deveria prestar apenas para estabelecimentos que tratem dados pessoais no
território nacional, ou seja, dispor sobre a aplicação territorial da LGPD, ao prever a aplicação
quando há “operação de tratamento”, em razão da amplitude do conceito em tela (“operação de
tratamento”), acaba gerando também o dever de cumprimento da Lei aos agentes estrangeiros,
mesmo sem sede no Brasil e que de qualquer forma “operem” dados pessoais no Brasil, o que
inclui, por exemplo, a mera coleta, produção ou recepção de dados pessoais.
O inciso II, que estaria correto ao trazer o targeting criterion,143 prevendo a aplicação
extraterritorial da LGPD se a atividade de tratamento tenha por objetivo a oferta ou o
fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território
nacional, independentemente da localização geográfica do agente, acaba tornando-se sem
efetividade, tanto em razão do inciso I, como em razão do III, a seguir explicado.
No inciso III é prevista a aplicação da LGPD também quando “os dados pessoais objeto do
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
tratamento tenham sido coletados no território nacional”. Ou seja, não importa se o controlador ou
o operador tenha como objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de
dados de indivíduos localizados no Brasil, bastando a mera coleta de quaisquer dados em
território nacional para se aplicar a Lei.
Sobre essa perspectiva, o GDPR conta com maior precisão jurídica, pois, basicamente, em seu
art. 3º, prevê a sua aplicação: (i) no contexto de atividades de um estabelecimento do agente do
tratamento situado no território da UE, independentemente do tratamento ser realizado dentro ou
fora da UE;144 (ii) quando o agente de tratamento não está situado dentro da UE, mas as atividades
de tratamento estejam relacionadas com a oferta de bens ou serviços a esses titulares,145 ou ao
controle do comportamento desses titulares, desde que esse comportamento tenha lugar na EU.146
Portanto, em razão da apontada falha no texto legal, a ANPD, com a sua alçada de também
deliberar sobre a interpretação da Lei e da sua competência147, terá um papel crucial de mitigar
referida imprecisão, estabelecendo o targeting criterion para aplicação extraterritorial, visando
não afastar/bloquear produtos ou serviços que não tenham foco no Brasil, mas, por um mero
acesso de um brasileiro, em razão de esse mero ato já coletar dados pessoais, impor um risco de
aplicabilidade da LGPD.
Ademais, uma vez aplicável a LGPD, absolutamente todas as suas obrigações deverão ser
cumpridas, não havendo quaisquer diferenciações de acordo com o porte das entidades ou
criticidade dos dados tratados, o que difere do GDPR, o qual isenta entidades com menos de 250
trabalhadores da obrigatoriedade de registros de atividades de tratamento,148 a menos que o
tratamento possa implicar risco para os direitos e liberdades do titular dos dados, não seja
ocasional ou abranja as categorias especiais de dados (dados sensíveis), ou envolva o tratamento
de dados pessoais relativos a condenações penais e infrações.
I - a operação de tratamento seja realizada no território nacional;
Para aplicação da jurisdição, o espaço físico em que a operação de tratamento ocorre é o
primeiro ponto fulcral,149 pois as fronteiras físicas correspondem aos limites de soberania150 das
nações.
Porém, note-se que o inciso ora em estudo, como já comentando anteriormente, não está
vinculado somente a uma entidade devidamente estabelecida no Brasil, mas sim para qualquer
operação de tratamento que seja realizado no território nacional, incluindo-se, nesse contexto, a
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração, ocorrida dentro da fronteira física
do nosso país, o que pode se sobrepor aos incisos II e III, desse mesmo artigo da LGPD, os quais
também contemplam a aplicabilidade da Lei para dados pessoais “coletados no território
nacional”.
Apesar da referida possibilidade de sobreposição, deveria trata-se do estudo de aplicação
territorial da LGPD, pelo qual se entende que a Lei não se importa se os dados foram coletados fora
do Brasil, se são dados de brasileiros ou estrangeiros, residentes ou não no Brasil, mas sim se a
operação de tratamento de todos esses dados é realizada no território nacional.
Portanto, se uma empresa com sede no Brasil desenvolveu um aplicativo de compartilhamento
de bicicletas somente para usuários nos EUA e Europa, disponibilizando o serviço somente para
essas duas localidades, coletando dados pessoais apenas internacionalmente, sem quaisquer dados
de brasileiros, como as atividades de processamento de dados pessoais são realizadas pelo
controlador, no Brasil, portanto, em território nacional, aplicar-se-á a LGPD.
Este inciso da LGPD difere do GDPR, pelo fato de a norma da UE contemplar o critério de
aplicação ao tratamento de dados pessoais efetuado no contexto das atividades de um
estabelecimento de um controlador ou operador situado no território da União Europeia,
independentemente de o tratamento ocorrer dentro ou fora da União,151 o que apresenta maior
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
coerência, justamente mitigando o risco de sobreposições, como a citada anteriormente.
Por exemplo, um fabricante de automóveis com sede nos EUA possui uma filial em Bruxelas,
supervisionando todas as suas operações na Europa, incluindo propaganda e marketing. A filial
belga pode ser considerada um estabelecimento estável, que exerce um desempenho real e efetivo
de atividades, por conseguinte, ser considerado como um estabelecimento na UE, nos termos do
GDPR.152
Claramente, uma empresa devidamente estabelecida no Brasil, desde que opere o tratamento
de dados pessoais também em território nacional, seja a matriz, seja filial, controladora ou
operadora de dados, deverá cumprir a Lei brasileira. Enquanto no GDPR o tratamento precisa ser
“efetuado no contexto das atividades”, ou seja, a existência de qualquer estabelecimento na UE,
com vínculos remotos às atividades de processamento de dados de uma entidade não pertencente
à UE, não atrairá necessariamente a aplicabilidade do GDPR.153 Para avaliar aplicabilidade do
GDPR nos termos do “critério de um estabelecimento na UE”, o EDPB recomenda que as
organizações não pertencentes à UE procedam a uma avaliação do seu processamento,
primeiramente para identificar se há tratamento de dados pessoais, bem como, posteriormente,
identificando potenciais elos entre a atividade para a qual os dados estão sendo processados e as
atividades existentes emqualquer estabelecimento da organização na UE. Se tal ligação for
identificada, a sua natureza será a chave para determinar se o GDPR se aplica ao processamento
em questão.154
Nesse sentido, a LGPD é mais abrangente, pois não limita qualquer situação para a sua
aplicabilidade, bastando a existência da operação de tratamento em território nacional, o que
carece de regulação e direcionamento por parte da ANPD visando delimitar os casos, além dos já
previstos na Lei,155 em que a operação do tratamento seja tão reduzida, do ponto de vista
quantitativo e qualitativo (criticidade dos dados operados), que não se faz necessário a aplicação
da Lei.
Por fim, é importante que se avalie, na relação controlador-operador, mormente pela
possibilidade de empresas estrangeiras contratarem operações de tratamento de dados no Brasil,
as responsabilidades de cada parte no cumprimento da LGPD, como manutenção no registro das
operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no
legítimo interesse, segurança e sigilo dos dados, boas práticas e governança corporativa.
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou
serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
Trata-se de inciso que versa sobre a aplicação extraterritorial da LGPD, pois normas que regem
a legislação aplicável a determinadas condutas também primam pelo local dos efeitos da potencial
lesão ao ordenamento jurídico existente, não se importando com a Nação da empresa que busca
explorar determinado mercado internacional. Nesse sentido, Marcelo Leonardi expõe que o fator
preponderante para estabelecer a competência jurisdicional do caso concreto são os efeitos locais
das informações disponibilizadas on-line, e não o local do armazenamento de seus dados.156
Quando agentes de tratamento estrangeiros visam prover serviços e explorar outro mercado, a
partir do momento em que determinado mercado ganha corpo econômico, é cogente que se avalie
as regras locais a que estarão sujeitos. É o conceito de direcionamento (targeting criterion) de bens
ou serviços ou do foco no tratamento de dados para indivíduos, no caso, localizados no território
nacional, mesmo sem a existência de um integrante do grupo econômico no Brasil, conforme
inclusive já era previsto no MCI, ao dispor sobre a aplicação da legislação brasileira para dados
coletados em território nacional, mesmo que as atividades sejam realizadas por pessoa jurídica
sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante
do mesmo grupo econômico possua estabelecimento no Brasil.157
Portanto, independentemente da sede física do responsável pela atividade de tratamento de
dados, considerando que eventuais lesões aos titulares terão reflexo no Brasil, diante do foco do
produto ou serviço ser o mercado brasileiro ou o tratamento de dados de indivíduos no Brasil, a
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
LGPD deverá ser cumprida.
Decisão pertinente envolveu o bloqueio da aplicação “Tudo sobre Todos”, empresa que tratava,
disponibilizava e comercializava na internet dados pessoais de brasileiros, como data de
nascimento, CPF, endereço, perfil de possíveis parentes e vizinhos, entre outros. Como a empresa
Top Documentos LLC, que se apresentava como proprietária da aplicação, informava que se
localização na França; o site era sediado nas Ilhas Seychelles; o nome de domínio registrado era na
Suécia (.se); e a identidade do responsável pelo registro de domínio foi ocultada pelo serviço
utilizado, houve determinação para que os servidores backbones impusessem obstáculos
tecnológicos que inviabilizem o acesso ao sitio eletrônico no Brasil.158 Inclusive, o Tribunal de
Justiça do Distrito Federal e dos Territórios (TJ-DF) bloqueou R$ 2 milhões da conta do proprietário
da empresa, em sede de liminar, para indenização por danos morais coletivos.159
Marcos Dantas, comentando os casos envolvendo o bloqueio da aplicação WhatsApp, no Brasil,
entende que
nenhuma empresa pode desrespeitar ou não fazer caso da soberania de qualquer
Estado, muito menos a do nosso Estado brasileiro. Qualquer empresa, esteja onde
estiver, se atuar em território brasileiro, tem que cumprir as nossas leis e obedecer
aos nossos poderes instituídos. Isto, inclusive, está claro no Marco Civil da Internet: as
leis que valem são as nossas. Só por isso, atitudes como as do Facebook e do
WhatsApp já deveriam causar revolta a qualquer brasileiro, não lhes merecendo
nenhuma solidariedade.160
Em outro importante julgado, dessa vez do TJ/SP, a conclusão foi na mesma linha:
Uma ordem emanada de um Juiz de Direito integra a soberania nacional, não
possuindo superiores na ordem externa e nem iguais na ordem interna. Se o
Facebook opera no Brasil, está sujeito às leis brasileiras. Nesse cenário, é irrecusável
que o fato das informações solicitadas estarem armazenados em outro país
obstaculize o cumprimento de determinação emanada da d. autoridade impetrada.161
Ademais, ressalta-se que sobre esse ponto da aplicação extraterritorial, o GDPR é bastante
semelhante à LGPD, ao dispor, em uma das hipóteses, que o Regulamento se aplica ao tratamento
de dados pessoais de titulares residentes no território da União, efetuado por um controlador ou
um operador não estabelecido na União, quando as atividades de tratamento estejam relacionadas
com a oferta de bens ou serviços a esses titulares;162 ou com o controle do seu comportamento,
desde que esse comportamento tenha lugar na União.163
Assim, a oferta ou o fornecimento de bens e serviços precisam ser realizadas para titulares que
e encontrem fisicamente dentro do território brasileiro, mesmo que não haja cobrança pecuniária
para tanto, sendo irrelevante, também aqui, a cidadania do titular ou o país de sua residência. O
teste necessário é o da identificação da medida que há intenção de efetivamente se oferecer bens
ou serviços a pessoas que se encontrem fisicamente no território brasileiro ou do foco em tratar
dados de titulares em território nacional.164
O mero fato de estar disponível um website do controlador, operador ou intermediário, na
internet, e, portanto, acessível aos brasileiros, mesmo em língua portuguesa, não é, por si só,
suficiente para determinar a intenção prevista na Lei para o critério em estudo. Só imaginar, em
caso contrário, como tal entendimento impactaria absolutamente todas as empresas, com site na
internet, de Portugal, Moçambique, Guiné-Bissau, ou outros países onde o português é a língua
oficial.
Sobre a questão, oportuno trazer a Consideranda 23, do GDPR, a qual dispõe sobre alguns
fatores mais objetivos que podem ensejar a sua aplicabilidade de acordo com a discussão do inciso
em questão: (i) uso de uma moeda de uso corrente do país-alvo; (ii) possibilidade de encomendar
bens ou serviços naquela localidade; (iii) referência a clientes ou usuários que se encontrem
naquela região, que possam ser reveladores da intenção de oferecer bens ou serviços a titulares de
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
dados na região.
Uma demanda julgada na União Europeia165 proveu as seguintes indicações que podem ser
levadas em conta em análises de casos concretos para avaliação do targeting criterion, mas não de
forma individualizada (já alterado, para fins de analogia, para o Brasil): o Brasil é designado como
referência ao bem ou serviço oferecido; o controlador ou operador paga um mecanismo de
pesquisa para facilitar o acesso ao seu site na internet pelos consumidores no Brasil; campanhas
de marketing e publicidade são dirigidas a um público-alvo do Brasil; há menção de endereços
dedicados ou números de telefone no Brasil; há menção de uma clientela internacional composta
de clientes domiciliados também no Brasil; há utilização de português e possibilidade de
pagamento em Reais; há entrega de bens noBrasil.
Outros exemplos práticos, extraídos da EDPB, também são bastante elucidativos:166 (i) um
website, baseado e gerenciado na Turquia, oferece serviços para criação, edição, impressão e envio
de álbuns de fotos de família personalizados. O site está disponível em inglês, francês, holandês e
alemão e os pagamentos podem ser feitos em Euros ou Sterling. O site indica que os álbuns de fotos
só podem ser entregues por correio, no Reino Unido, França, países do Benelux e Alemanha. Nesse
caso, é claro que a criação, edição e impressão de álbuns de fotos de família personalizados
constituem um serviço dentro do escopo do GDPR. O fato de o site estar disponível em quatro
línguas da UE e que os álbuns de fotografias podem ser entregues por correio em seis Estados-
Membros da UE demonstra que existe uma intenção por parte da empresa turca em oferecer os
seus serviços a indivíduos na UE. Como consequência, é claro que o processamento realizado pelo
site turco, como controlador de dados, refere à oferta de um serviço aos titulares de dados na
União e está, por conseguinte, sujeita às obrigações e disposições do GDPR; (ii) uma empresa
privada com sede em Mônaco processa dados pessoais de seus funcionários para pagamento de
salário. Inúmeros funcionários são franceses e outros residentes na Itália. Nesse caso, em que pese
o processamento pela empresa se relacionar a titulares de dados na França e na Itália, não ocorre
no contexto de uma oferta de bens ou serviços. Dados tratados para a gestão de recursos humanos,
incluindo o pagamento de salários por uma empresa de um país terceiro não pode ser considerado
serviço na acepção do n. 2, alínea a), do artigo 3º do GDPR. Essa avaliação não prejudica a
legislação aplicável do país terceiro em causa; (iii) uma universidade suíça em Zurique está
lançando seu processo de seleção de mestrado, disponibilizando uma plataforma on-line em que os
candidatos podem fazer upload de seu currículo e ficha de cadastro para contato. O processo de
seleção é aberto a qualquer aluno com nível suficiente de alemão e inglês. A Universidade não
anuncia especificamente “para estudantes na UE” e só recebe pagamento em moeda suíça. Como
não há distinção ou especificação para os alunos da União na aplicação e seleção, não pode ser
estabelecido que a Universidade Suíça tenha como alvo alunos de um determinado Estado-
Membro da UE. O nível suficiente de alemão e inglês é um requisito geral que se aplica a qualquer
requerente, seja um residente suíço, uma pessoa na União ou um estudante de um terceiro país.
Sem outros fatores para indicar a segmentação específica de alunos em Estados-Membros da UE,
não se pode, por conseguinte, estabelecer-se que o tratamento em causa esteja relacionado à oferta
de um serviço educativo aos titulares de dados na União, e esse tratamento não será, portanto,
sujeito às disposições do GDPR. Caso, no entanto, a Universidade Suíça também ofereça cursos de
verão em relações internacionais e, especificamente, anunciar essa oferta em universidades
alemãs e austríacas, a fim de maximizar a participação dos cursos, aplicar-se-ia.
Assim, referidos testes clarificam o estudo do caso concreto para a avalição da aplicabilidade da
LGPD com base no inciso em questão, em que pese a irrelevância do targeting criterion, ao menos
até o posicionamento formal da ANPD sobre o assunto, em razão da amplitude dos demais incisos
do mesmo art. 3º.
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
§ 1º. Consideram-se coletados no território nacional os dados pessoais cujo titular nele se
encontre no momento da coleta.
Conforme analisado anteriormente, primeiramente houve atecnia do inciso primeiro ao não
delimitar a aplicação da Lei ao tratamento de dados pessoais efetuado no contexto das atividades
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
de um estabelecimento do agente do tratamento situado no Brasil, mas sim prever o cumprimento
da Lei em qualquer “operação de tratamento realizada em território nacional”, culminando na
abrangência, também, quando dados pessoais são somente coletados no Brasil.
Portanto, seria coerente corrigir o inciso I, nos moldes anteriormente exposto, deixando clara a
aplicação territorial com base no “critério do estabelecimento” e suprimir, por completo, o inciso
III, pois, assim, a aplicação extraterritorial se daria não meramente quando da coleta de qualquer
dado pessoal em território nacional, mas, sim, quando, comprovadamente, de acordo com os testes
elencados antes, o agente de tratamento estrangeiro tenha como objetivo a oferta ou o
fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território
nacional.
Referida questão é de suma importância, pois, se não mitigada, pode trazer impacto relevante
na possibilidade de novos produtos e serviços serem acessíveis no Brasil. Melhor explicando: um
dos melhores benefícios que a internet viabiliza é a possibilidade de inovações, mesmo que não
concebidas para determinadas regiões, serem acessíveis no mundo interno, tornando a economia
digital pujante.
Invariavelmente, tanto as aplicações mais básicas quanto às mais modernas e avançadas,
tratam (ou seja, coletam) algum tipo de dado pessoal. Sites institucionais, revistas digitais,
pesquisas de hotéis, passagens áreas, locação de carros, aplicativos fitness e de acompanhamento
da saúde, jogos e brincadeiras on-line, todos eles tratam dados pessoais. Redes sociais e globais de
cooperação e produção de valor são construídas a partir de serviços movidos por dados, assim
como a grande parte das startups.
Caso todas essas novas empresas tomem conhecimento que um mero acesso oriundo do Brasil
pode implicar o dever de cumprimento e respectivas sanções da LGPD, certamente bloqueariam o
acesso visando mitigar esse risco. Por exemplo, uma startup de compartilhamento de patinetes na
Tailândia, que só presta serviços naquela região, não permitiria que brasileiros pudessem realizar
um pré-cadastro do Brasil, antes de uma viagem, para facilitar e agilizar a utilização do veículo de
locomoção. Claro que, quando titulares no Brasil passassem a utilizar o serviço com frequência,
entraríamos no teste do inciso II, como ocorre, traçando um paralelo, com compras de ingressos
antecipadas, no Brasil, para atrações no exterior, como shows e eventos esportivos em NYC.
A eficácia plena do GDPR, por exemplo, mesmo com a sua aplicabilidade extraterritorial mais
restrita que a LGPD, motivou diversas empresas de tecnologia a optarem por impedir que
residentes da UE utilizassem seus serviços.167 A rede de mídia americana A + E, por exemplo,
bloqueou visitantes da UE de todos os seus sites, incluindo o History.com, e alguns jogos on-line
multiplayer.168
Portanto, para evitarmos um grave impacto negativo, tanto econômico como na prestação de
serviços, ainda maior no Brasil, torna-se necessário que a regulamentação traga mais clareza
sobre os limites de aplicabilidade da LGPD, diminuindo a amplitude ora existente.
Superada a importante discussão supra, uma vez considerada aplicável a Lei, em se tratando de
empresas estrangeiras, a complexidade maior é a de enforcement para o exercício da fiscalização,
execução de sanções ou decisões nacionais, diante da inexistência de acordos internacionais
eficazes.
O GDPR, por exemplo, tenta resolver essa questão impondo, em seu art. 27, quando da
aplicabilidade do seu art. 3º (2), que o controlador ou o operador designará, por escrito, um
representante seu dentro da UE, com procuração para, em complemento ou em substituição, ser o
contato das autoridades de proteção de dados e dos titulares, relativamente a todas as questões de
tratamento de dados, sem prejuízo das ações judiciais que possam vir a ser intentadas contra o
próprio controlador ou operador.
Referido representante deve estar estabelecido em um dos Estados-Membros onde se
encontram os titulares cujos dados pessoais são objeto do tratamento no contexto da oferta que
Douglas Geraldo
Douglas GeraldoDouglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
lhes é feita de bens ou serviços. As exceções ocorrem em operações de tratamento que sejam
ocasionais, não contemplem o tratamento, em grande escala, de categorias especiais de dados
(dados sensíveis), ou o tratamento de dados pessoais relativos a condenações penais, e não seja
suscetível de implicar riscos para os direitos e liberdades dos titulares; ou b) às autoridades ou
órgão públicos.
A LGPD não contempla aludida obrigação, o que certamente dificultará o enforcement da Lei
para empresas que não contem com qualquer estabelecimento no Brasil, em que pese, o seu art.
61, prever que a empresa estrangeira será notificada e intimada de todos os atos processuais nela
previstos, independentemente de procuração ou de disposição contratual ou estatutária, na pessoa
do agente ou representante ou pessoa responsável por sua filial, agência, sucursal,
estabelecimento ou escritório instalado no Brasil.
Ainda, mesmo quando a empresa de origem do ilícito não esteja subordinada à jurisdição local,
o Estado pode regular desestimulando ilícitos praticados internacionalmente com efeitos no Brasil,
por meio de sanções aos intermediários e aos destinatários, o que diminuirá o interesse do infrator
estrangeiro no país por receio das sanções aplicadas.169
Lembrando que, além de sanção pecuniária, há previsão de advertência, com indicação de
prazo para adoção de medidas corretivas; publicização da infração após devidamente apurada e
confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua
regularização; e eliminação dos dados pessoais a que se refere a infração.170
§ 2º. Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no
inciso IV do caput do art. 4º desta Lei.
O parágrafo em questão será avaliado em conjunto com o art. 4º, inciso IV.
NOTAS DE RODAPÉ
128. Exemplo extraído de comentário de artigo de lei do GDPR: MACMILLAN, Mac. Data Protection Concept.
In: USTARAN, Eduardo (Coord.). European Data Protection. USA: IAPP, 2018. p. 182.
129. Conforme o Código Civil: a personalidade civil da pessoa começa do nascimento com vida (art. 2º);
porém, são absolutamente incapazes de exercer pessoalmente os atos da vida civil os menores de 16
(dezesseis) anos (art. 3º); a menoridade cessa aos dezoito anos completos, quando a pessoa fica habilitada
à prática de todos os atos da vida civil (art. 5º); cessará, para os menores, a incapacidade: I – pela
concessão dos pais, ou de um deles na falta do outro, mediante instrumento público, independentemente
de homologação judicial, ou por sentença do juiz, ouvido o tutor, se o menor tiver dezesseis anos
completos; II – pelo casamento; III – pelo exercício de emprego público efetivo; IV – pela colação de grau
em curso de ensino superior; V – pelo estabelecimento civil ou comercial, ou pela existência de relação de
emprego, desde que, em função deles, o menor com dezesseis anos completos tenha economia própria
(art. 5º, parágrafo único).
130. Aprofundaremos o assunto quando do estudo do art. 4º, inc. I.
131. Contrato preliminar que expressa uma convergência de vontade entre as partes, indicando quais são
Douglas Geraldo
Douglas Geraldo
as linhas de ações comuns pretendidas.
132. Art. 23, I, da LGPD.
133. Art. 23, § 4º, da LGPD.
134. Art. 24, caput, da LGPD.
135. Art. 24, parágrafo único, da LGPD.
136. Jurisdição é a função do Estado destinada à solução imperativa de conflitos e exercida mediante a
atuação da vontade do direito em casos concretos, que é revestida de inevitabilidade e definitividade e
que encontra seus limites na territorialidade de cada nação. Cf. DINAMARCO, Cândido Rangel;
GRINOVER, Ada Pellegrini; CINTRA, Antonio Carlos Araújo. Teoria geral do processo. 10 ed. São Paulo:
Malheiros Editores, 1994. p. 125.
137. LEMOS, André; LÉVY, Pierre. O futuro da Internet: em direção a uma ciberdemocracia. São Paulo:
Paulus, 2010. p. 165.
138. Entre outras disposições, a LGPD permite a livre transferência internacional de dados, conforme seu
art. 33, I, para países ou organismos internacionais que proporcionem grau de proteção de dados
pessoais adequado ao previsto nesta Lei.
139. O art. 45 do GDPR prevê que pode ser realizada uma transferência de dados pessoais para um país
terceiro se a Comissão tiver decidido que este país assegura um nível de proteção adequado. Ao avaliar a
adequação do nível de proteção, a Comissão levará em conta: a) o respeito pelos direitos humanos e
liberdades fundamentais, a legislação pertinente em vigor, tanto a geral como a setorial, nomeadamente
em matéria de segurança pública, defesa, segurança nacional e direito penal, e respeitante ao acesso das
autoridades públicas a dados pessoais, bem como a aplicação dessa legislação e das regras de proteção de
dados, das regras profissionais e das medidas de segurança, incluindo as regras para a transferência
ulterior de dados pessoais para outro país terceiro ou organização internacional, que são cumpridas
nesse país ou por essa organização internacional, e a jurisprudência, bem como os direitos dos titulares
dos dados efetivos e oponíveis, e vias de recurso administrativo e judicial para os titulares de dados cujos
dados pessoais sejam objeto de transferência; b) a existência e o efetivo funcionamento de uma ou mais
autoridades de controle independentes no país terceiro ou às quais esteja sujeita uma organização
internacional, responsáveis por assegurar e impor o cumprimento das regras de proteção de dados, e
dotadas de poderes coercitivos adequados para assistir e aconselhar os titulares dos dados no exercício
dos seus direitos, e cooperar com as autoridades de controlo dos Estados-Membros; e c) os compromissos
internacionais assumidos pelo país terceiro ou pela organização internacional em causa, ou outras
obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos, bem como da sua
participação em sistemas multilaterais ou regionais, em especial em relação à proteção de dados
pessoais.
140. Art. 5º, inc. VI, da LGPD.
141. Art. 5º, inc. VII, da LGPD.
142. Art. 3º, incisos I, II e III, da LGPD.
143. GEIST, Michael. The shift toward “targeting” for internet jurisdiction. In: TIERER, Adam D. (Ed.). Who
rules the net? Internet governance and jurisdiction. Washington: Cato Institute, 2003. p. 91-118.
144. Art. 3º, 1, do GDPR.
145. Art. 3º, 2, a, do GDPR.
146. Art. 3º, 2, b, do GDPR.
147. Art. 55-J, III, da LGPD.
148. Conforme art. 30, do GDPR, acerca dos registos das atividades de tratamento: 1. Cada responsável pelo
tratamento e, sendo caso disso, o seu representante conserva um registo de todas as atividades de
tratamento sob a sua responsabilidade. Desse registo constam todas seguintes informações: a) O nome e
os contatos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo
tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados; b)
As finalidades do tratamento dos dados; c) A descrição das categorias de titulares de dados e das
categorias de dados pessoais; d) As categorias de destinatários a quem os dados pessoais foram ou serão
divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
e) Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações
internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso
das transferências referidas no artigo 49, n. 1, segundo parágrafo, a documentação que comprove a
existência das garantias adequadas; f) Se possível, os prazos previstos para o apagamento das diferentes
categorias de dados; g) Se possível, uma descrição geral das medidas técnicas e organizativas no domínio
da segurança referidas no artigo 32, n. 1. 2. Cada subcontratante e, sendo caso disso, o representante
deste, conserva um registo de todas as categorias de atividades de tratamento realizadasem nome de um
responsável pelo tratamento, do qual constará: a) O nome e contatos do subcontratante ou
subcontratantes e de cada responsável pelo tratamento em nome do qual o subcontratante atua, bem
como, sendo caso disso do representante do responsável pelo tratamento ou do subcontratante e do
encarregado da proteção de dados; b) As categorias de tratamentos de dados pessoais efetuados em nome
de cada responsável pelo tratamento; c) Se for aplicável, as transferências de dados pessoais para países
terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou
organizações internacionais e, no caso das transferências referidas no artigo 49, n. 1, segundo parágrafo,
a documentação que comprove a existência das garantias adequadas; d) Se possível, uma descrição geral
das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32., n. 1.
149. “No Brasil, o tema envolve não só leis, mas a infraestrutura de comunicações, como centros
armazenadores de dados e condições de gerenciar o tráfego de informações. […] A subordinação de sites
estrangeiros às leis brasileiras é controversa” (MARREIRO, Flávia; FLECK, Isabel. Falta de legislação para
a web gera dúvida. Folha de S.Paulo, Caderno Mundo, A13, 14.07.2013.
150. “Uma vez que se considera o território como elemento ou pressuposto do Estado, de tal maneira que a
distinção entre dois Estados se traduza em distinção entre dois territórios, com respeito aos quais cada
Estado exerça com exclusividade sua soberania; considerando que, por isso, no território de cada Estado
atuam exclusivamente os órgãos judiciais do próprio Estado, o princípio enunciado mais acima [o
processo se rege pelas normas do Estado a que pertença o órgão judicial que o conduz] pode revestir-se
desta outra fórmula: o processo se rege pelas normas vigentes no lugar em que atua o órgão judicial, ou
seja, pelas normas vigentes no lugar em que se desenvolve o processo próprio, ou seja, o juízo ou a sua
execução” (CARNELUTTI, Francesco. Sistema de direito processual civil. 2. ed. São Paulo: Lemos e Cruz,
2004. v. 1. p. 173).
151. Conforme art. 3.1 do GDPR.
152. European Data Protection Board. Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) –
Version for public consultation. Adopted on 16 November 2018. Disponível em:
[http://www.portaldaprivacidade.com.br/wp-
content/uploads/2018/11/edpb_guidelines_3_2018_territorial_scope_en.pdf]. Acesso em: 19.01.2019. p. 6.
153. European Data Protection Board. Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) –
Version for public consultation. Adopted on 16 November 2018. Disponível em:
[http://www.portaldaprivacidade.com.br/wp-
content/uploads/2018/11/edpb_guidelines_3_2018_territorial_scope_en.pdf]. Acesso em: 19.01.2019. p. 6.
154. Ibidem, p. 7.
155. Art. 4º, inc. IV, da LGPD, que será abordado posteriormente.
156. LEONARDI, Marcel. Tutela e privacidade na internet. São Paulo: Saraiva, 2012. p. 247.
157. Art. 11, § 2º, do MCI.
158. BRASIL, 1ª Vara Federal de Natal/RN, Cautelar Inominada 0805175-58.2015.4.05.8400, Requerente:
Ministério Público Federal, Requerido: Top Documents LLC, Juiz Federal Magnus Delgado, Natal,
30.07.2015.
159. TJ/DF, 3ª Vara Cível de Brasília, Ação Civil Pública 0735645-46.2018.8.07.0001, decisão de 05.12.2018.
160. Continua o autor: “Qualquer Estado, nos termos da sua legislação e dos poderes de suas instituições,
pode suspender o funcionamento de alguma indústria ou serviço, caso estejam infringindo as leis.
Restaurantes podem ser fechados, bancos podem sofrer intervenção federal, universidades podem ser
descredenciadas e fechadas… Por que o WhatsApp não pode?” e conclui “A base de um Estado
Democrático de Direito é uma justiça eficaz, isto é, que possa ter suas decisões cumpridas. Facebook e
WhatsApp talvez tenham aprendido, graças ao desembargador Souza, que, no Brasil, decisões da Justiça
não precisam ser cumpridas. Aliás, sabe-se que o Facebook já deve, ao Estado brasileiro, mais de R$ 12
milhões, em multas. Certamente uma bagatela diante da fortuna de Mark Zuckerberg. Talvez por isso, ele
tenha se esquecido de pagar […]” (DANTAS, Marcos. WhatsApp não está acima da lei. O Globo. 03.01.2016.
Disponível em: [http://oglobo.globo.com/opiniao/whatsapp-nao-esta-acima-da-lei-18385944]. Acesso em:
19.01.2019).
161. BRASIL. Tribunal de Justiça de São Paulo. 4ª Câmara de Direito Criminal Mandado de Segurança
2073993-57.2014.8.26.0000, Re. Des. Edison Brandão, j. 16.12.2014.
162. Art. 3º (2) a, do GDPR.
163. Art. 3º (2) b, do GDPR.
164. Conforme LIMA, Caio César. Objeto, aplicação material e aplicação territorial. In: MALDONADO,
Viviane Nóbrega; OPICE BLUM, Renato (Coord.). Comentários ao GDPR. São Paulo: Revista dos Tribunais,
2018. p. 31.
165. Pammer v Reederei Karl Schlüter GmbH & Co and Hotel Alpenhof v Heller (Joined cases C-585/08 and
C-144/09).
166. European Data Protection Board. Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) –
Version for public consultation. Adopted on 16 November 2018. Disponível em:
[http://www.portaldaprivacidade.com.br/wp-
content/uploads/2018/11/edpb_guidelines_3_2018_territorial_scope_en.pdf]. Acesso em: 19.01.2019. p. 16
e 17.
167. BBC. GDPR: Tech firms struggle with EU’s new privacy rules. 24.05.2018. Disponível em:
[https://www.bbc.com/news/technology-44239126]. Acesso em: 25.01.2019.
168. THE GUARDIAN. Sites block users, shut down activities and flood inboxes as GDPR rules loom.
Disponível em: [https://www.theguardian.com/technology/2018/may/24/sites-block-eu-users-before-gdpr-
takes-effect]. Acesso em: 25.01.2019.
169. Marcel Leonardi exemplifica o assunto com uma empresa localizada no exterior que fabrica produtos
contrafeitos e exporta essas mercadorias para o Brasil, onde elas são ilegalmente importadas por
empresas nacionais e posteriormente comercializadas por vendedores ambulantes aos consumidores
finais. Apenas do ordenamento jurídico não ser aplicável à fonte (fabricante estrangeiro), poderá
sancionar os intermediários (importadores e vendedores ambulantes) e os destinatários (consumidores)
(LEONARDI, Marcel. Tutela e privacidade na internet. São Paulo: Saraiva, 2012. p. 261).
© desta edição [2020]
170. Conforme art. 52 da LGPD.
2020 - 08 - 14 PÁGINA RL-1.2 
LGPD Lei Geral de Proteção de Dados Comentada - Ed. 2020
Lei 13.709, de 14 de Agosto de 2018
CAPÍTULO I. DISPOSIÇÕES PRELIMINARES
Art. 4º.
Art. 4º. Esta Lei não se aplica ao tratamento de dados pessoais:
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
A tecnologia da informação e da comunicação, felizmente, atinge, cada vez mais, grande parte
da população brasileira,171 viabilizando uma série de atividades que envolvem o tratamento de
dados pessoais sem fins econômicos, por pessoal natural, muitas vezes imperceptíveis ao agente.
Hoje um indivíduo pode, por exemplo, gerenciar seu próprio site hospedando vídeos instrutivos de
seus hobbies, como esportes radicais; usar uma conta de rede social para fazer contato com pessoas
em todo o mundo que também tem uma paixão por esportes radicais; manter um blog
descrevendo seus mais recentes desafios envolvendo esportes radicais, contendo comentários da
experiência do dia a dia de trabalhar com o assunto; participar de uma petição on-line contra a
proibição de um esporte radical; usar um telefone celular para compartilhar dados de localização
geográfica com amigos durante a prática do esporte; usar sites de comércio eletrônico e sistemas
de pagamento para comprar roupas para a prática de esportes radicais, apenas para
exemplificar.172
Como a adequação à LGPD é complexa e custosa, tanto do ponto de vista jurídico como de
implementação tecnológica e procedimental, a exceção prevista no inciso I é fundamental para
que a mira da fiscalização esteja direcionada para questões relevantes que realmente possam pôr
em risco a privacidade e os direitos da personalidade dos titulares.
Nesse contexto, atividades pessoais,especialmente as domésticas, como a troca de
correspondências, o armazenamento de listas de endereços e de atividades em redes sociais,
encontram respaldo na exceção em estudo, que deve ser avaliada, no entanto, de forma
absolutamente restritiva. Vejamos alguns outros exemplos que poderiam se enquadrar na exceção:
lista de endereços de amigos e conhecidos em agendas físicas ou eletrônicas; lista de nome de
pessoas, com CPF, para permitir a entrada em condomínio residencial para uma festa; lista de
nome de pessoas, com endereço, para envio de convite de casamento; manutenção de registros de
dados sensíveis da saúde de familiares para ajudar em caso de urgência; contatos de terceiros na
agenda de dispositivos pessoais móveis; diário pessoal contendo referências de gostos e interesses
de amigos e colegas de trabalho; rede de wi-fi doméstica configurada para também permitir o
acesso de visitantes, coletando dados pessoais para que a internet seja liberada. Nesse caso, o dono
da residência não estará obrigado a cumprir a LGPD, mas a aplicação utilizada e que serve para
esse fim, sim.
Já nas gravações decorrentes de câmeras de monitoramento internas (dentro da residência da
pessoa física) e externas (espaço público), por também contemplarem as imagens (como rostos) de
terceiros, que são armazenadas em nuvem e em dispositivos pessoais dos donos da residência, por
exemplo, aplicar-se-ia a LGPD, tanto para a empresa de armazenamento em nuvem como ao dono
da residência, principalmente em razão da possibilidade de captação de uma quantidade massiva
de imagens de terceiros.173
Assim, como visto, a exceção em referência deve ser analisada de forma limitativa, sopesando o
risco aos direitos dos titulares dos dados.
Ademais, a LGPD se aplicará aos agentes de tratamento (controlador e operador) que forneçam
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
os meios para o tratamento dos dados pessoais dessas atividades pessoais.
Por fim, uma das questões mais relevantes que uma legislação gera é o seu efeito cultural, o que
revela a necessidade dos indivíduos, em geral, independentemente da aplicabilidade da LGPD e da
finalidade do tratamento, também se atentarem para determinadas medidas no processamento de
dados pessoais, como: avaliar possíveis requisitos básicos de segurança da informação; respeitar
os direitos dos titulares, como quando um amigo solicita que as informações sobre ele sejam
retiradas de uma página de rede social; certificar-se de que os dados tratados sejam os mínimos
necessários para atingir aquela finalidade; ter uma base legal para processar os dados pessoais;
lembrar de deletar os dados ao término do tratamento.
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
A Constituição Federal prevê que a manifestação do pensamento, a criação, a expressão e a
informação, sob qualquer forma, processo ou veículo não sofrerão qualquer restrição174, bem
como que nenhuma lei conterá dispositivo que possa constituir embaraço à plena liberdade de
informação jornalística em qualquer veículo de comunicação social,175 sendo vedada toda e
qualquer censura de natureza política, ideológica e artística.176
Inclusive, em 2009, o Plenário do STF decidiu que é inconstitucional a exigência do diploma de
jornalismo e registro profissional no Ministério do Trabalho como condição para o exercício da
profissão de jornalista, considerando que: (i) o jornalismo é uma profissão diferenciada por sua
estreita vinculação ao pleno exercício das liberdades de expressão e de informação; (ii) o
jornalismo é a própria manifestação e difusão do pensamento e da informação de forma contínua,
profissional e remunerada; (iii) os jornalistas se dedicam profissionalmente ao exercício pleno da
liberdade de expressão; (iv) o jornalismo e a liberdade de expressão, portanto, são atividades que
estão imbricadas por sua própria natureza e não podem ser pensadas e tratadas de forma
separada; (v) as liberdades de expressão e de informação e, especificamente, a liberdade de
imprensa, somente podem ser restringidas pela lei em hipóteses excepcionais; (vi) qualquer tipo
de controle desse tipo, que interfira na liberdade profissional no momento do próprio acesso à
atividade jornalística, configura, ao fim e ao cabo, controle prévio que, em verdade, caracteriza
censura prévia das liberdades de expressão e de informação; (vii) o exercício do poder de polícia
do Estado é vedado nesse campo em que imperam as liberdades de expressão e de informação.177
Já a “arte” é a “produção consciente de obras, formas ou objetos voltada para a concretização
de um ideal de beleza e harmonia ou para a expressão da subjetividade humana”,178da qual
podemos extrair também, para a finalidade em tela, algumas das disposições da Lei de Direitos
Autorais, que protege as criações do espírito, expressas por qualquer meio ou fixadas em qualquer
suporte, tangível ou intangível, conhecido ou que se invente no futuro, tais como os textos de obras
literárias, artísticas ou científicas; as obras coreográficas e pantomímicas; as composições
musicais; as obras audiovisuais; as obras fotográficas; desenho, pintura, gravura, escultura,
litografia e arte cinética.179
É justamente no contexto do perigo de que uma legislação de tamanha envergadura possa
interferir e impactar em atividades de importância louvável é que a LGPD criou a exceção também
quando o tratamento de dados seja realizado exclusivamente para fins jornalísticos e artísticos.
A isenção visa a proteção do jornalismo, mas não concede uma isenção automática e geral da
LGPD para mídias e entidades que processem dados pessoais. Qualquer informação relacionada a
pessoa natural identificada ou identificável é considerada dado pessoal, mesmo que o acesso seja
público, devendo o tratamento desses dados levar em consideração a finalidade, a boa-fé e o
interesse público que justificaram sua disponibilização,180 sendo dispensado a exigência do
consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os
direitos do titular e os princípios na Lei.181
Diversas legislações no mundo também abarcam exceção semelhante. Uma delas é o Data
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Protection Act, do Reino Unido,182 sobre a qual o Information Commissioner’s Office (ICO) redigiu
interessantes ponderações acerca da atividade de jornalismo, que também podem ser avaliadas
para a interpretação da legislação brasileira.183 Vejamos: (i) analisar e fundamentar o motivo pelo
qual houve o entendimento de que os dados estão sendo tratados para fins de jornalismo; ser
transparente e honesto, sempre. Os titulares devem saber acerca da coleta, quando possível.
Porém, o ICO aceita o fato de que normalmente não é possível dar ciência prévia sobre o
tratamento aos titulares dos dados; não é necessário cientificar os titulares caso isso possa
prejudicar a atividade jornalística. Esse será um gatilho para a exceção, desde que se encontre um
motivo válido. A justificava deve refletir a possível invasão de privacidade; no caso de ausência de
ciência prévia ao titular sobre o tratamento, deve-se sempre considerar se a notificação é possível
e em diferentes fases da reportagem ou da investigação; somente utilizar métodos de disfarce caso
tenha certeza da justificativa do interesse público; somente coletar informações sobre a saúde,
vida sexual ou criminal de alguém no caso de convicção de que é relevante e de que o interesse
público em fazê-lo justifica suficientemente a invasão de sua privacidade; avaliar a relevância da
reportagem, até que ponto a informação pode ser verificada, o nível de intrusão e o impacto
potencial sobre o titular dos dados e terceiros. Todos esses são fatores relevantes; revisar as
informações armazenadas periodicamente para garantir que ainda estão atualizadas e relevantes,
excluindo-as quando não precise mais, em que pese determinados dados serem passíveis de
armazenamento, justificadamente, por prazo indefinido; elaborar política que justifiqueo
tratamento e armazenamento dos dados pessoais para fins de jornalismo; adotar medidas
razoáveis para manter as informações pessoais de forma segura, mitigando desvios ou utilização
indevida; mesmo quando dados pessoais forem obtidos e armazenados de forma justa, avaliar
quais informações são passíveis de publicação, de forma a equilibrar com o nível de intrusão na
vida dos titulares e potenciais danos que tal publicação pode causar.
Finalmente, entidades que busquem tratar os dados de acordo com a exceção em estudo,
devem ter extrema cautela ao separar as mais diversas bases de dados, de acordo com as
respectivas finalidades, pois precisarão demonstrar que determinados dados são utilizados
exclusivamente para fins jornalísticos, hipótese que se aplicará a exceção sobre eles,
fundamentando os motivos pelos quais chegaram a essa conclusão.
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
Como já analisado anteriormente, é fundamento da LGPD o desenvolvimento econômico e
tecnológico e a inovação, assim como a liberdade de expressão, de informação, de comunicação e
de opinião, de forma que a restrição da utilização de dados pessoais para fins acadêmicos poderia
esvaziar, inclusive, a possibilidade de manutenção dos referidos fundamentos.
A pesquisa, para fins acadêmicos, deve observar as mesmas recomendações da exceção da
aplicação da Lei no tratamento dos dados pessoais para fins exclusivamente jornalísticos,
principalmente a cautela na publicização do trabalho científico, sopesando o interesse público e os
direitos do titular. Também deve ser interpretada de forma restritiva.
Ainda, sempre que possível, buscar meios técnicos razoáveis e disponíveis no momento do
tratamento, pelos quais o dado perde a possibilidade de associação, direta ou indireta, a um
indivíduo (anonimização),184 ou realizar o tratamento por meio do qual o dado perde a
possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação
adicional mantida separadamente pelo controlador em ambiente controlado e seguro
(pseudonimização).185
Ademais, a grande questão que se coloca é a complexidade e dificuldade de se interpretar
quando referida exceção será levada a efeito, abrindo uma janela enorme na (des)proteção dos
dados pessoais objeto de eventual investigação científica, já que o tratamento para essa finalidade
encontra guarida em diversas disposições legais da LGPD, mesmo sem o consentimento dos
titulares, como: (i) diante do legítimo interesse do controlador, pois contempla uma finalidade
legítima, considerada a partir de situação concreta, sem a possibilidade de tratamento posterior de
forma incompatível com essa finalidade e utilizando-se somente os dados pessoais estritamente
necessários para a finalidade pretendida.186 Lembrando que também é dispensada a exigência do
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os
direitos do titular e os princípios previstos da Lei,187 bem como que o tratamento de dados pessoais
cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram
sua disponibilização;188 (ii) realização de estudos por órgão de pesquisa,189 inclusive com dados
sensíveis, garantida, sempre que possível, a anonimização dos dados pessoais;190 (iii) realização de
estudos em saúde pública,191 por órgãos de pesquisa.
Exatamente pelo motivo exposto anteriormente, apenas para essa exceção, há a necessidade
expressa de o agente do tratamento avaliar o enquadramento ao menos de uma das bases legais
previstas nos arts. 7º e 11 da Lei.
Assim, se por um lado a isenção da aplicação da Lei ao tratamento de dados pessoais para fins
exclusivamente acadêmicos pode gerar situações críticas diante da insegurança no tratamento dos
dados, por outro, na inexistência desta exceção, além de encontrar uma base legal para o
tratamento, conforme elencado anteriormente, pesquisadores seriam obrigados a cumprir todos
os requisitos da LGPD, o que poderia gerar adicional desestímulo a produção acadêmica.
Com a exceção em tela, seja em investigações cientificas pessoais, seja em nome de
universidades ou outras entidades, pesquisadores poderão coletar, classificar, processar,
armazenar, avaliar ou controlar dados pessoais da forma que lhe convier, desde que consigam
demonstrar a finalidade exclusivamente acadêmica, sendo recomendável, também, observarem os
princípios da LGPD, principalmente os da finalidade, adequação, necessidade e segurança.
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
Em vez de criar um grande marco legal que também pudesse versar sobre as hipóteses legais
em que se autorizariam o tratamento de dados pessoais para fins de segurança pública, defesa
nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, o
legislador preferiu excepcionar a aplicação da LGPD para as finalidades listadas, de forma correta,
na perspectiva deste autor, diante da necessidade de um amadurecimento ainda mais profundo e
gradual na eventual necessidade de alteração das legislações já em vigência que autorizam e
limitam o tratamento de dados pessoais, sopesando segurança e privacidade, que devem sempre
caminhar de mãos dadas.
O GDPR também contempla exceção de sua aplicabilidade para tratamento de dados pessoais
efetuado pelas autoridades competentes para efeitos de prevenção, investigação, detecção e
repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a
prevenção de ameaças à segurança pública.192 Porém, com a diferença da edição na UE, de forma
concomitante ao GDPR, da Diretiva 2016/680.193
No Brasil, a Constituição Federal dedica capítulo exclusivo sobre segurança pública,194 como
dever do Estado, direito e responsabilidade de todos, exercida para a preservação da ordem
pública e da incolumidade das pessoas e do patrimônio, através da polícia federal; polícia
rodoviária federal; polícia ferroviária federal; polícias civis; polícias militares e corpos de
bombeiros militares, visando, entre outros, apurar de infrações penais.
A discussão que se coloca é sobre a necessidade e proporcionalidade de se abandonar ou
limitar determinados direitos constitucionais dura e legitimamente conquistados, como intimidade
e privacidade, para termos uma melhor proteção do Estado e segurança enquanto indivíduo.
No Brasil, há inúmeras normas constitucionais e infraconstitucionais que dispõe sobre os
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
deveres do Estado na segurança pública, o que inclui a proteção de dados pessoais dos
indivíduos.195 Inclusive, o fato social relevante que motivou a inserção do tema Proteção de Dados
no MCI foi o efeito “Edward Snowden”, que justamente demonstrou o perigo quando dados
coletados para uma finalidade legítima, como combater potenciais atividades terroristas, são
utilizados para outros desígnios,196 originando a necessidade de estipular regras específicas para
manutenção de direitos individuais em âmbito mundial, inclusive para a manutenção da
soberania entre países.
Assim, vejamos algumas discussões pertinentes ao tema:
Dados estáticos x dados em trânsito
A nossa legislação trata e protege de forma distinta não só a sensibilidade de cada espécie de
dado ou informação, mas também o momento em que são, de alguma forma, coletados, ou seja, se
já trafegaram e agora permanecem estáticos (passado) ou se ainda transitarão por algum meio de
comunicação (futuro).
A CF dispõe, em seu art. 5º, inc. XII, sobre a inviolabilidade de comunicações de dados, e a Lei
9.296/96, que o regulamenta, prevê que a interceptação do fluxo de comunicações em sistemas de
informática e telemática, ou seja, comunicações que ainda não ocorreram, entre outros requisitos,
somente poderá ser determinadapor ordem judicial, na investigação criminal ou na instrução
processual penal, constituindo crime realizar a interceptação caso não sejam seguidos os
parâmetros definidos na Lei.
Em acórdão paradigmático, relatado pelo Min. Sepúlveda Pertence, diante da alegada ilicitude
da prova oriunda de busca e apreensão de computadores e disquetes em determinada empresa
para análise dos dados ali existentes e apuração de ilícitos tributários, nossa Suprema Corte
entendeu que não houve quebra de sigilo das comunicações de dados (interceptação das
comunicações), mas sim apreensão física na qual se encontravam os dados, mediante prévia e
fundamentada decisão judicial”, asseverando que “a proteção a que se refere o art. 5º, inc. XII, da
Constituição, é da comunicação de dados e não os dados, o que tornaria impossível qualquer
investigação administrativa, fossa qual fosse”.197
Assim, sempre que houver necessidade de se obter informações telemáticas ou informáticas
futuras, de terceiros, por exemplo, conteúdos ainda não trafegados em uma conta de e-mail, em
serviços de mensagens instantâneas, ou, até mesmo, todo o tráfego de conteúdo por meio de
determinado protocolo de internet, deverão ser observados todos os requisitos previstos na Lei
9.276/96.
Para os procedimentos de interceptação previstos na referida Lei, a autoridade policial poderá
requisitar serviços e técnicos especializados às concessionárias de serviço público,198 pois quando
elaborada a legislação em questão, somente elas proviam serviços de comunicação,
diferentemente do que ocorre atualmente, pois inúmeros provedores de aplicação também
viabilizam a comunicação entre os usuários e também são destinatários das determinações
judiciais de interceptação, gerando a enorme e importante discussão acerca da recusa de
cumprimento quando é alegada a impossibilidade técnica por emprego de criptografia.199
Independentemente da discussão técnica acerca da viabilidade ou não de quebra de
criptografia, que é mundial,200 e de outros meios que podem ser empregados para as
investigações,201 algumas soluções se apresentariam de forma equilibrada, como: retirar a
tecnologia criptográfica somente para aquele usuário investigado202 ou adicionar um perfil
imperceptível (man in the middle) em todas as comunicações do usuário investigado,203 em que
pese as vulnerabilidades que por ventura podem acarretar.204 O que não pode haver é um
ambiente inatingível pelo Estado.
Porém, quando o conteúdo outrora em trânsito, repousar estaticamente em seu destino, o art.
5º, inc. XII, da CF, e a Lei 9.276/96, saem de cena, para a entrada do inc. X, do mesmo art. 5º,205 e o
MCI, mais precisamente o disposto no art. 7º, inc. III, e no art. 10, § 2º, os quais preveem a
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
possibilidade de fornecimento do conteúdo de comunicações privadas mediante ordem judicial,
portanto, tanto na esfera cível, quanto na criminal.
Nesse sentido, em decisão do STJ, acerca da Operação Lava Jato, decidiu-se que a obtenção do
conteúdo de conversas e mensagens armazenadas em aparelho de telefone celular ou smartphones
não se subordina aos ditames da Lei 9296/96, pois o sigilo a que se refere o aludido preceito
constitucional é em relação à interceptação telefônica ou telemática propriamente dita, ou seja, é
da comunicação de dados, e não dos dados em si mesmos: “na pressuposição da ordem de
apreensão de aparelho celular ou smartphone está o acesso aos dados que neles estejam
armazenados, sob pena de a busca e apreensão resultar em medida írrita, dado que o aparelho
desprovido de conteúdo simplesmente não ostenta virtualidade de ser utilizado como prova
criminal”.206
O mesmo STJ, em caso envolvendo a apreensão de aparelho celular juntamente com a prisão
em flagrante do investigado por tráfico e associação ao tráfico de entorpecentes, em que a
investigação policial acessou, sem ordem judicial para tal finalidade, conversas na aplicação
WhatsApp existentes no dispositivo, entendeu ser ilícita a prova justamente pelo fato de não haver
ordem judicial, em que pese a validade da apreensão do aparelho, ponderando que
o celular deixou de ser apenas um instrumento de conversação pela voz à longa
distância, permitindo, diante do avanço tecnológico, o acesso de múltiplas funções,
incluindo, no caso, a verificação da correspondência eletrônica, de mensagens e de
outros aplicativos que possibilitam a comunicação por meio de troca de dados de
forma similar à telefonia convencional.207
Guarda e fornecimento de dados para fins de investigações de ilícitos civis ou criminais
Dados cadastrais mantidos pela Justiça Eleitoral, empresas telefônicas, instituições financeiras,
provedores de internet e administradoras de cartão de crédito, conforme disposto no art. 15 da Lei
12.850/13, podem ser acessados pelo Delegado de Polícia e o Ministério Público,
independentemente de autorização judicial, inclusive constituindo crime recusar ou omitir tais
dados, registros, documentos e informações requisitadas (art. 21).
O MCI também não impede o acesso aos dados cadastrais pelas autoridades administrativas
que detenham competência legal para a sua requisição (art. 10, § 3º), desde que indiquem o
fundamento legal de competência expressa para o acesso e a motivação para o pedido de acesso
aos dados (art. 11, caput, do Decreto 8.771/16).
Por sua vez, registros de acesso a aplicações de internet somente podem ser fornecidos
mediante ordem judicial, conforme art. 15, § 3º, do MCI, na esfera cível ou criminal.
Em HC julgado pela Primeira Turma do STF, em 26.06.2012, em que houve acesso aos dados de
computador em Lan House, com autorização do proprietário do estabelecimento para
identificação do autor de ilícitos, decidiu-se, que:
só há intromissão na esfera privada de comunicações, a depender de prévia
autorização judicial, na hipótese de interferência alheia à vontade de todos os
participantes do ato comunicativo. Desnecessidade de prévia ordem judicial e do
assentimento do usuário temporário do computador quando, cumulativamente, o
acesso pela investigação não envolve o próprio conteúdo da comunicação e é
autorizado pelo proprietário do estabelecimento e do aparelho, uma vez que é este
quem possui a disponibilidade dos dados neles contidos.208
Outrossim, em HC preventivo, impetrado por funcionário de empresa de telecomunicações
contra decisão que determinou a quebra do sigilo telefônico e de dados, por meio de senhas à
Polícia Federal para que agentes obtivessem acesso a dados cadastrais de terminais telefônicos
móveis celulares, a 2ª Turma do TRF da 3ª Região, decidiu que
não obstante a à operadora de telefonia zelar pelo sigilo dos dados cadastrais de
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
seus usuários (artigos 3º e 72 da Lei 9.472/97), a tutela de tais dados também não é
absoluta, cedendo, por decisão judicial fundamentada ao interesse público (artigo 93,
IX, da CF), desde que para fins de apurar fato que, em tese, configure ilícito penal, o
que ocorre no presente caso. Assim, não há que se falar em violação ao artigo 5º,
inciso X, da Constituição Federal.
Por se tratar de procedimentos restritos às pessoas dos investigados, proibindo também e
expressamente o fornecimento de senhas que implicassem no acesso indiscriminado dos policiais
federais aos dados telefônicos; por limitar esse acesso apenas às informações relativas ao interesse
da investigação determinada; e não há que se falar em senha genérica, uma vez que restou claro se
tratar de senha pessoal e intransferível, sendo de inteira responsabilidade do seu usuário a
utilização indevida da mesma.209
Ademais, caso sejam descumpridos os prazos de guarda, seja na provisão de conexão à internet,
que é um ano,210 seja na aplicação para os registros de acesso, que é de seis meses,211 com a
possibilidade de extensão, a pedido da autoridade policial ou administrativa,212 há possibilidade de
sanção em razão de tornar inviável ainvestigação do ilícito, considerando a natureza e a
gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as
circunstâncias agravantes, os antecedentes do infrator e a reincidência.213
Importante registrar que, antes do MCI, a 3ª Turma do STJ entendia que o provedor de
aplicação deveria guardar dados para identificação de usuário que utilizou o serviço de discussão
virtual para a prática de ilícitos, pelo prazo de três anos, a partir do cancelamento do serviço.214
A 4ª Turma do STJ, em julgamento de 30.04.2015, avaliando um serviço de aplicação de
internet, decidiu que o provedor deve ter o cuidado de propiciar meios para que se possa
identificar cada um dos usuários,
coibindo o anonimato e atribuindo a cada manifestação uma autoria certa e
determinada. Sob a ótica da diligência média que se espera do provedor, deve este
adotar as providências que, conforme as circunstâncias específicas de cada caso,
estiverem ao seu alcance para a individualização dos usuários do site, sob pena de
responsabilização subjetiva por culpa in omittendo. 2. Ainda que não exija os dados
pessoais dos seus usuários, o provedor de conteúdo que registra o número de
protocolo (IP) na Internet dos computadores utilizados para o cadastramento de cada
conta mantém um meio razoavelmente eficiente de rastreamento dos seus usuários,
medida de segurança que corresponde à diligência média esperada dessa modalidade
de provedor de serviço de internet.215
A 3ª Câmara de Direito Privado do TJ/SP, em caso envolvendo provedor de aplicação de internet
que não guardou os registros de acesso, argumentando que na época o MCI ainda não estava
regulamentado, especialmente quanto às regras de segurança de guarda de dados, decidiu que a
obrigação já decorria da própria Lei:
Obrigação de custódia dos dados de registro de acessos a aplicações, por seis meses
(art. 15, Lei 12.965/2014). Norma que não é de eficácia contida. […] Alegação da ré de
impossibilidade de cumprimento. Conversão em perdas e danos (art. 248, CC, e art.
499, CPC/2015). Fixação em R$ 5.000,00 (cinco mil reais), corrigidos monetariamente
desde essa fixação (Súmula 362, STJ), e com juros de mora de 1% (um por cento) ao
mês da data da citação (art. 240, CPC/2015). Sentença reformada em parte,
convertendo a obrigação de fazer em perdas e danos. Manutenção da sucumbência da
ré. Recurso provido em parte.216
Ademais, além das operadoras de telecomunicações, estabelecimentos que provejam de alguma
forma conexão à internet devem se atentar ao prazo de guarda de um ano para mitigar riscos,
especialmente se interpretado o MCI em conjunto com o disposto nos artigos 186217 e 927218 do
Código Civil. Vejamos alguns posicionamentos dos tribunais sobre o assunto:
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
A 3ª Turma do TRF da 4ª região, condenou a Universidade Federal de Santa Catarina por
possibilitar o envio de mensagem eletrônica oriunda de seu provimento de conexão à internet sem
viabilizar a respectiva identificação do responsável:
1. A causalidade entre o dano e os serviços prestados pela UFSC não se discute,
uma vez que a mensagem indevida partiu comprovadamente de um dos
computadores de sua propriedade. Ao possibilitar a seus alunos a utilização de
computadores conectados à Internet em suas instalações, obrigou-se a Universidade a
velar pelo bom uso dos equipamentos, respondendo objetivamente por eventual falha
na vigilância e pela consequente perpetração de ato ilícito.219
Em sentido semelhante, inobstante diversas leis estaduais acerca do cadastramento de usuários
em Lan Houses,220 a 8ª Câmara de Direito Privado do TJ/SP ampliou a incidência da obrigação de
identificação dos usuários também aos estabelecimentos que oferecem o serviço de acesso à
internet compartilhada via Wi-Fi:
o intuito da norma foi de que qualquer estabelecimento comercial que permitisse
o acesso à Internet, seja por meio de máquinas ou computadores, ou mais
recentemente, com o avanço tecnológico, com o uso de sistema sem fio, devesse
manter obrigatoriamente um cadastro atualizado de seus usuários, a fim de que a
autoria de eventuais ilícitos praticados, aqui tão comum a pedofilia, pudessem ser
identificados. Não se pode exigir que a legislação preveja toda a forma de acesso à
Internet para que possa ser aplicada. O que deve-se ter em mente é o objetivo da
norma e conduta que esta visa coibir. Com o avanço tecnológico quase que constante
no ramo da computação e afins, a cada espaço de tempo teria que ser criada nova
legislação, somente para se adequar aos novos termos e sistemas que a modernidade
faz surgir.221
Novas tecnologias e segurança pública
Conforme o já mencionado no relatório final do Plano Nacional de Internet das Coisas, uma das
principais aplicações da IoT é a segurança pública, seja na gestão de desastres, com a redução de
mortes em acidentes, por meio do uso de sensores distribuídos para detectar ameaças
precocemente e coordenar respostas; no atendimento de emergência com o uso de tecnologias de
supervisão, coordenação e transporte para gerenciá-las e mitigá-las com mais eficiência, o que
resultaria em economia de gastos com atendimento emergencial; seja no monitoramento de crime
por vídeo e sensores, com o uso de circuito fechado de TV e sistema de monitoramento de áudio
para viabilizar resposta e coordenação em tempo real, assim como analytics preditiva por meio de
dados históricos, o que poderia resultar na redução de crimes em 20%.222
Qualquer iniciativa que se tenha nesse sentido – diga-se de passagem, irreversível –, por
usualmente envolver coleta massiva de dados e, por vezes, com a possibilidade do tratamento de
dados sensíveis, como o reconhecimento facial biométrico,223 deve ser beneficiada pelo estudo da
própria LGPD, notadamente seus princípios, para mitigar riscos e avaliar a proporcionalidade do
projeto, principalmente: (i) adequação, que é compatibilidade do tratamento com as finalidades
informadas ao titular, de acordo com o contexto do tratamento; (ii) necessidade: limitação do
tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos
dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de
dados; (iii) qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e
atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu
tratamento; (iv) segurança: utilização de medidas técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou difusão; (v) prevenção: adoção de medidas para prevenir a
ocorrência de danos em virtude do tratamento de dados pessoais; e (vi) não discriminação:
impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
Do ponto de vista da segurança da informação, o relatório final do Plano Nacional de IoT sugere
a estimulação, cooperação e a interação entre o poder público, sociedade civil, iniciativa privada e
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
academia, para promover medidas de conscientização e fomento da segurança da informação;
incentivar a criação de sistema de certificação de segurança da informação em dispositivos de IoT,
baseado em modelo de autorregulação pela iniciativa privada;224 estruturar modelo de
corregulação ou regulação híbrida para a certificação de dispositivos de IoT, mediante a
consolidação do modelo de certificação voluntária, com a participação de conselho multissetorial
ou agência pública focada em segurança da informação; fortalecer a estrutura institucional
dedicada à segurança de infraestruturas críticas no âmbito da Administração Pública Federal e
incentivar os setores regulados a respeitar aspectos mínimos de segurança da informação, em
particular nos setores de infraestrutura crítica.225
Quanto ao mérito dos limites do uso de dados pessoais pelos novos sistemas para garantira
segurança pública, além da avaliação dos princípios da LGPD, sem dúvida, como já mencionado, a
criação de fóruns com participação de governo, academia, setor privado, terceiro setor e sociedade
torna-se crucial para a manutenção de um ecossistema que viabilize o desenvolvimento de
soluções técnicas sustentáveis juridicamente.
Ainda, outra boa prática pelo Estado seria a realização do relatório de impacto à proteção de
dados pessoais, pelo qual, mediante a descrição dos processos de tratamento de dados pessoais que
podem gerar riscos às liberdades civis e aos direitos fundamentais, adotar-se-ia medidas,
salvaguardas e mecanismos de mitigação de risco, além, é claro, da avaliação da necessidade e da
proporcionalidade da coleta e processamento dos dados pessoais para atingir a finalidade
pretendida.
Por fim, importante lembrar que a LGPD permite a transferência internacional de dados
pessoais quando necessária para a cooperação jurídica entre órgãos públicos de inteligência, de
investigação e de persecução, de acordo com os instrumentos de direito internacional.226
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso
compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência
internacional de dados com outro país que não o de proveniência, desde que o país de
proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Conforme o já analisado art. 3º, I, aplica-se a LGPD quando a operação de tratamento for
realizada no território nacional, porém, o § 2º do referido artigo excetua a previsão ora em estudo,
que visa estimular a economia brasileira, tornando o Brasil um território receptivo e sem entraves
burocráticos, do ponto de vista da proteção de dados pessoais, para empresas estrangeiras que
queiram armazenar dados no País, seja mediante o estabelecimento de uma filial em território
nacional, seja mediante a contratação de uma empresa brasileira para tal finalidade.
Para atingir essa exceção, a Lei dispõe dos seguintes requisitos, os quais devem ser cumulados:
(i) Dados oriundos de país estrangeiro. Portanto, não podem ser coletados em território
nacional;227
(ii) Não pode haver comunicação ou uso compartilhado de dados228 com agentes
brasileiros. Portanto, a operação pode incluir a recepção, classificação,
processamento, arquivamento, armazenamento e eliminação de dados pessoais, do
que se extraí que esse tratamento específico somente poderia ser realizado por
operador,229 pois, como controlador,230o agente tomaria decisões sobre o tratamento
que poderiam fulminar a exceção. No entanto, uma empresa pode ser controladora
para determinados tipos de processamento e operadora para ofertar esse tipo de
serviço, desde que consiga, do ponto de vista tecnológico, demonstrar a segregação
das bases que confirmem o atendimento dos requisitos ora analisados. De igual
forma, o contrato precisa clarificar o serviço prestado como operador e delimitar as
hipóteses de tratamento;
(iii) Também não pode haver transferência internacional de dados com outro país
que não o de proveniência. Portanto, caso uma empresa multinacional queira se
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
beneficiar do Brasil por meio dessa exceção, os dados somente poderão transitar entre
o país de origem e o Brasil, cessando a exceção caso outra filial, sediada em outra
nação, receba os dados localizados em território nacional;
(iv) Por fim, o país de proveniência deve ter grau de proteção de dados pessoais
adequado ao previsto na LGPD, motivo pelo qual a exceção em questão é de eficácia
contida, vez que o nível de proteção de dados do país estrangeiro será avaliado e
chancelado pela ANPD.231
Tais requisitos pretendem, de forma equilibrada, aumentar a competitividade internacional
brasileira, estimulando a contratação de empresas nacionais para serviços de Tecnologia da
Informação, como hosting tradicional232 ou em nuvem,233 IT Outsourcing,234 analytics, 235 entre
outros, sem que o Brasil se transforme em um “paraíso de dados”.
§ 1º. O tratamento de dados pessoais previsto no inciso III será regido por legislação
específica, que deverá prever medidas proporcionais e estritamente necessárias ao
atendimento do interesse público, observados o devido processo legal, os princípios gerais de
proteção e os direitos do titular previstos nesta Lei.
Já comentado no próprio inciso III, do art. 4º.
§ 2º. É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por
pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito
público, que serão objeto de informe específico à autoridade nacional e que deverão observar
a limitação imposta no § 4º deste artigo.
Para iniciar o estudo do delicado assunto, importante relembrar que o inciso III do art. 4º
dispõe sobre o tratamento de dados pessoais para segurança pública; defesa nacional; segurança
do Estado; ou atividades de investigação e repressão de infrações penais.
Assim, para não gerar mais dúvidas do que trazer insegurança jurídica, nesse ponto, seria mais
razoável a LGPD prever que a exceção de sua aplicabilidade, prevista no inc. III do art. 4º, não se
apõe ao tratamento de dados pessoais por pessoa jurídica de direito privado.
Diante de tantas imposições e obrigações existentes na LGPD e demais normas aplicáveis, que
visam garantir, de forma contundente, que dados pessoais sejam tratados de forma ética e segura,
pode ser temerário o entendimento pela vedação do tratamento de dados pessoais por pessoa
jurídica de direito privado, sem a tutela de pessoa jurídica de direito público, sob o entendimento
do tratamento para fins de segurança pública ou de investigação e repressão de infrações penais, o
que certamente seria passível de inconstitucionalidade sob a perspectiva de ferir os princípios
gerais da atividade econômica, notadamente a livre-iniciativa.
Há inúmeras entidades privadas, sérias e responsáveis, que fornecem serviços investigativos,
que podem estar relacionados ou não à posterior repressão de infrações penais ou à segurança
pública, que coletam dados e informações pessoais, dentro de seus clientes ou disponíveis
publicamente, tratando-os de forma a mitigar potenciais ilícitos, resolver conflitos ou instruir as
autoridades competentes para os devidos fins de direito.
Da mesma forma, inúmeras empresas executam investigações próprias, mediante a coleta de
dados internos, por vezes cruzando-os e processando-os com informações externas e públicas,
para adotar medidas administrativas, cíveis ou criminais.
Inclusive, referidas investigações, por vezes, são decorrentes e mandatórias de outras previsões
legais, como a Lei Anticorrupção (Lei 12.846/13), que prevê, entre outras questões, a existência de
mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de
irregularidades,236 assim como a Lei contra Lavagem de Dinheiro (Lei 9.613/98), que dispõe sobre
obrigações para identificação de clientes, a qual, somada a Circular do Banco Central do Brasil –
BACEN 3.858/17, prevê multas na falha de identificação de clientes, atualização de cadastro e
manutenção de registro de transações.
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Portanto, a alteração no texto da LGPD, ora sugerida237, traria mais segurança jurídica para tais
situações, ao mesmo tempo que os indivíduos permaneceriam com adequadas proteções oriundas
da LGPD e demais ordenamentos jurídicos já expostos, pois os agentes de tratamento precisariam
comprovar importantes preceitos legais no tratamento, como:
• Avaliar ao menos uma das bases legais para tratar os dados, como o legítimo
interesse;238 para o cumprimento de obrigação legal ou regulatória pelo controlador;
ou para o exercício regular de direitos em processo judicial, administrativo;
• No tratamento de dados pessoais cujo acesso é público, considerar e avaliar a
finalidade, a boa-fé e o interessepúblico que justificaram sua disponibilização;
• No tratamento de dados tornados manifestamente públicos pelo titular, observar
os princípios e direitos da LGPD;
• Limitar o tratamento ao mínimo necessário para a realização de determinada
investigação, com abrangência dos dados pertinentes, proporcionais e não excessivos;
• Não realizar o tratamento para fins discriminatórios ilícitos ou abusivos;
• Garantir a qualidade dos dados, com exatidão e atualização, para que pessoas não
sejam objeto de investigação por engano;
• Ser transparente previamente, principalmente no tratamento de dados de
colaboradores, garantindo aos titulares informações claras, precisas e facilmente
acessíveis sobre dados e dispositivo corporativos que possam ser objeto de
investigação;
• Utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou difusão;
• Não vender ou transmitir a terceiros os dados pessoais objeto da investigação,
exceto se houver expressão previsão legal;
• Avaliar a legalidade da coleta das evidências, o que poderá tornar a prova ilícita.
Inclusive, por não haver, coerentemente, esse tipo de vedação no GDPR, o art. 29 WP, em sua
Opinion 2/2017, acerca de data processing at work,239 tece importantes comentários acerca de
investigações privadas no ambiente de trabalho. Vejamos algumas delas:
• O interesse legítimo dos empregadores pode ser invocado como fundamento
legal, mas apenas se o processamento for estritamente necessário para um propósito
legítimo e em conformidade com os princípios da proporcionalidade e da
subsidiariedade, mediante o teste de proporcionalidade antes da implantação de
qualquer ferramenta de monitoramento;
• Uma comunicação eficaz deve ser fornecida aos funcionários em relação a
qualquer monitoramento, contendo os propósitos desse monitoramento e as
circunstâncias;
• Políticas e regras relativas ao monitoramento legítimo devem ser claras e
facilmente acessíveis;
• Recomenda-se a participação de representantes dos colaboradores na criação e
avaliação de tais regras e políticas, já que a maioria dos monitoramentos tem o
potencial de infringir a vida privada dos funcionários;
• O processamento de dados no trabalho deve ser proporcional aos riscos
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
enfrentados por um empregador. Por exemplo, o uso indevido da Internet pode ser
detectado sem a necessidade de analisar o conteúdo do site;
• Deve ser colocado muito mais peso na prevenção do que na detecção. Os
interesses do empregador são mais bem atendidos inibindo o uso da internet por
meios técnicos, do que gasto em recursos de monitoramento;
• As informações registradas e armazenadas a partir do monitoramento contínuo
devem ser minimizadas tanto quanto possível.
§ 3º. A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às
exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis
relatórios de impacto à proteção de dados pessoais.
Como o tratamento de dados pessoais também é necessário para as mais diversas atividades de
segurança pública, defesa nacional, segurança do Estado ou investigações e repressão de infrações
penais pela administração pública, há uma coerente preocupação da LGPD com a exceção criada.
De fato, é enorme o volume e a criticidade da natureza dos dados utilizados para tais
finalidades pela administração pública, seja para a emissão de um passaporte, seja para a
identificação de uma organização criminosa, por exemplo. São impressões digitais, cor de pele,
fotografia, câmeras de vigilância, com possibilidade de reconhecimento facial, gravações
telefônicas e telemáticas, quebra de sigilo bancário, dados e informações existentes em notebooks
e celulares apreendidos, entre tantas outras hipóteses.
Portanto, diante dos riscos decorrentes do tratamento massivo de tais dados pela administração
pública, torna-se coerente que a Autoridade Nacional de Proteção de Dados (ANPD) regulamente o
assunto por meio de opiniões técnicas ou recomendações às exceções previstas, bem como solicite
aos responsáveis relatório de impacto à proteção de dados pessoais. Assim, os agentes, também
diante dos princípios da prevenção e da segurança, poderão descrever previamente os processos
de tratamento dos dados que possam gerar riscos às liberdades civis e aos direitos fundamentais
dos titulares, sopesando as medidas, salvaguardas e mecanismos para mitigação dos riscos.
§ 4º. Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o
inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por
aquela que possua capital integralmente constituído pelo poder público.
A interpretação que se faz para esse ponto da Lei é de que “em sua totalidade” significa que
nenhum dado pessoal constante de bancos de dados para as finalidades descritas no inciso III do
art. 4º possa ser tratado por pessoa jurídica de direito privado, pois, caso a intepretação do termo
dependesse de uma avaliação valorativa quantitativa/qualitativa, pelo Poder Público, dos dados
que poderiam ser tratados ou não por pessoa jurídica de direito privado, de acordo com o caso,
traria grave insegurança jurídica.
No entanto, não há vedação do licenciamento de ferramentas (softwares, por exemplo), pelo
Poder Público, junto à iniciativa privada, para tratamento de dados pessoais, desde que o contrato
seja claro no sentido de que o banco de dados objeto da análise da ferramenta permanecerá em
posse do respectivo órgão público.
Ademais, a LGPD também prevê, em seu art. 26, que o uso compartilhado de dados pessoais
pelo próprio Poder Público deve atender a finalidades específicas de execução de políticas públicas
e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de
dados pessoais elencados no art. 6º da Lei, vedando a transferência a entidades privadas dados
pessoais constantes de bases de dados a que tenha acesso, com algumas exceções.240
Ainda, conforme seu art. 24, empresas públicas e as sociedades de economia mista que atuam
em regime de concorrência terão o mesmo tratamento dispensado às pessoas jurídicas de direito
privado particulares. Porém, o parágrafo único do mesmo artigo dispõe que as empresas públicas
e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do
Poder Público.
Porém, é exceção para o disposto no artigo em questão quando o tratamento é realizado por
empresas que possuam capital integralmente constituído pelo poder público, conforme redação
dada pela Lei 13.853/19, em razão da realidade de bancos de dados e sistemas de segurança
poderem ser operados por empresas públicas.
Nota ao inciso II, b:
* Redação anterior da alínea b determinada pela MP 869/2018 (DOU 28.12.2018),
posteriormente convertida na Lei 13.853/2019 (DOU 09.07.2019), que não trouxe essa alteração:
"b) acadêmicos;"
Nota aos §§ 2º e 3º:
* Redação anterior dos §§ 2º e 3º determinada pela MP 869/2018 (DOU 28.12.2018),
posteriormente convertida na Lei 13.853/2019 (DOU 09.07.2019), que não trouxe essa alteração:
"§ 2º. O tratamento dos dados a que se refere o inciso III do caput por pessoa jurídica de direito
privado só será admitido em procedimentos sob a tutela de pessoa jurídica de direito público,
hipótese na qual será observada a limitação de que trata o § 3º."
"§ 3º. Os dados pessoais constantes de bancos de dados constituídos para os fins de que trata o
inciso III do caput não poderão ser tratados em sua totalidade por pessoas jurídicas de direito
privado, não incluídas as controladas pelo Poder Público."
Nota ao § 4º:
* Redação anterior do § 4º revogada pela MP 869/2018(DOU 28.12.2018), posteriormente
convertida na Lei 13.853/2019 (DOU 09.07.2019), que não trouxe essa alteração.
NOTAS DE RODAPÉ
171. Em 2017, já eram 42,1 milhões de domicílios com acesso à internet (CGI.br/NIC.br, Centro Regional de
Estudos para o Desenvolvimento da Sociedade da Informação (Cetic. br), Pesquisa sobre o Uso das
Tecnologias de Informação e Comunicação nos Domicílios Brasileiros – TIC Domicílios 2017. Disponível
em: [https://cetic.br/media/analises/tic_domicilios_2017_coletiva_de_imprensa.pdf]. Acesso em:
25.01.2019).
172. Exemplo extraído e adaptado do Art. 29 WP. Proposals for Amendments regarding exemption for
personal or household activities. Disponível em: [https://ec.europa.eu/justice/article-
29/documentation/other-document/files/2013/20130227_statement_dp_annex2_en.pdf]. Acesso em:
25.01.2019.
173. Há um caso julgado pelo TJ/UE, com base na então Diretiva 95/46, que exceção semelhante (art. 3º, n. 2)
deveria ser interpretada de forma restritiva. O caso envolveu a utilização de uma câmera de segurança
em residência privada que captava imagens de uma via pública. Nesse caso, o tratamento de dados
Douglas Geraldo
pessoais mesmo que para fins de circuito fechado domésticp (CCTV) não era “uma atividade puramente
pessoal ou familiar em contraste com a correspondência e a manutenção de um livro de endereços”
(František Ryneš v. Úřad pro ochranu osobních údajů [2014] Case C-212/13, 11 December 2014, Paragraph
33. International Association of Privacy Professionals. European Data Protection. Law and Practice.
Executive Editor Eduardo Ustaran, CIPP/E. Partner, Hogan Lovells. 2018, Chapter 5.3.2).
174. Art. 220, caput, da CF.
175. Art. 220, § 1º, da CF.
176. Art. 220, § 2º, da CF.
177. STF. Recurso Extraordinário 511.961/SP. Rel. Min. Gilmar Mendes. J. 17.06.2009.
178. Conforme dicionário Houaiss. In: ALENCAR, Valéria Peixoto. Arte – O que é? Disponível em:
[https://educacao.uol.com.br/disciplinas/artes/arte-o-que-e.htm]. Acesso em: 26.01.2019.
179. Conforme art. 7º e alguns dos seus incisos da LDA.
180. Art. 7º, § 3º, da LGPD.
181. Art. 7º, § 4º, da LGPD.
182. Data Protection Act 2018. Disponível em:
[http://www.legislation.gov.uk/ukpga/2018/12/pdfs/ukpga_20180012_en.pdf]. Acesso em: 25.01.2018.
183. ICO. Data protection and journalism:a guide for the media. Disponível em:
[https://ico.org.uk/media/for-organisations/documents/1552/data-protection-and-journalism-media-
guidance.pdf]. Acesso em: 25.01.2019.
184. Art. 5º, XI, da LGPD.
185. Art. 13, § 4º, da LGPD.
186. Art. 7º, IX, combinado com o art. 10, caput, e o seu § 1º, e art. 6º, I, todos da LGPD.
187. Art. 7º, § 4º, da LGPD.
188. Art. 7º, § 3º, da LGPD.
189. O art. 5º, XVII, da LGPD define órgão de pesquisa como órgão ou entidade da administração pública
direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as
leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social
ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
190. Art. 7º, IV, e art. 11, II, a, respectivamente, todos da LGPD.
191. Art. 13 da LGPD.
192. Art. 2º (2) d, do GDPR.
193. Relativa à proteção das pessoas naturais quanto ao tratamento de dados pessoais pelas autoridades
competentes para efeitos de prevenção, investigação, detecção ou repressão de infrações penais ou
execução de sanções penais, e à livre circulação desses dados.
194. Art. 144 da CF.
195. A nossa Carta Magna, ao versar sobre a inviolabilidade da intimidade, da vida privada, da honra, da
imagem das pessoas, do sigilo de dados e das comunicações telefônicas, bem como ao tratar do habeas
data; o Código Civil (CC), ao dispor sobre os direitos da personalidade, prevê que o nome da pessoa não
pode ser empregado por outrem em publicações ou representações que a exponham ao desprezo público,
ainda quando não haja intenção difamatória, bem como que, salvo se autorizadas, ou se necessárias à
administração da justiça ou à manutenção da ordem pública, a publicação, a exposição ou a utilização da
imagem de uma pessoa poderão ser proibidas, a seu requerimento e sem prejuízo da indenização que
couber, se lhe atingirem a honra, a boa fama ou a respeitabilidade, ou se se destinarem a fins comerciais;
o Código de Defesa do Consumidor (CDC), ao versar sobre a abertura de cadastro, ficha, registro e dados
pessoais de consumo; o decreto que regulamentou o CDC para o comércio eletrônico, ao dispor sobre a
necessidade de mecanismos de segurança eficazes para tratamento de dados do consumidor; a Lei do
Cadastro Positivo, ao definir diversos conceitos e vedar diversas práticas; a Lei de Acesso à Informação,
também definindo diversos conceitos; a Lei de Direitos Autorais, ao considerar bases de dados como obra
intelectualmente protegida; a Lei Complementar que versa sobre o sigilo das operações de instituição
financeiras; a Lei Geral de Telecomunicações, ao restringir o acesso aos dados dos usuários; a Lei de
Cadastro de usuários de telefones pré-pagos, ao dispor sobre os dados que devem ser coletados e quando
podem ser fornecidos; a regulamentação do serviço de comunicação multimídia, definindo conceitos e
dispondo sobre o prazo para guarda de registros; a Lei que regulamenta a interceptação de comunicações
telefônicas e do fluxo de comunicações em sistemas de informática e telemática; a Lei de Organizações
Criminosas e a Lei da Repressão ao Tráfico Interno e Internacional, ao definirem regras para a coleta de
evidências de ilícitos; na esfera penal, a inserção de dados falsos em sistemas de informações da
administração pública, bem como a Lei Carolina Dieckmann, ao proteger dados ou informações em
dispositivos informáticos.
196. Em 09 de julho de 2013, Edward Snowden, ex-colaborador da CIA e da Agência Nacional de Segurança
Americana, revelou ao mundo questões sensíveis sobre espionagem cibernética, assunto de extrema
relevância por envolver a quebra de soberania de países, cada vez mais ameaçada em razão da ausência
de fronteiras quando tratamos do ciberespaço. Na seguinte entrevista, Snowden explica o motivo das
suas revelações: “Sonia Bridi – Em que altura decidiu reunir os documentos e divulgá-los? Edward
Snowden – A gota d’água, para mim, foi quando vi James Clapper, diante do Congresso americano – o
diretor da Inteligência Nacional, uma espécie de comandante geral dos espiões dos Estados Unidos, o
meu chefe, por assim dizer –, levantar a mão e jurar dizer a verdade ao Congresso, na TV, diante do povo
americano, e perguntaram a ele: “Os Estados Unidos reuniram qualquer tipo de registros de centenas de
milhões de americanos?” E ele disse que não. Mas eu sabia que era mentira, porque eu tinha acesso aos
sistemas que faziam exatamente isso. O mais incrível foi que o congressista que fez a pergunta também
sabia que era mentira, e todos os membros da comissão que o estava interrogando também sabiam que
era mentira. Mas não corrigiram o registro nem pediram que ele retificasse sua declaração. Só deixaram
passar. E esse é o ponto central. Se as autoridades mais graduadas não têm que se justificar, se podem
mentir e abusar de seu poder sem enfrentar consequências, isso incentiva esse tipo de comportamento e
temos um governo cada vez mais perigoso, não só para os indivíduos e para a privacidade, mas para o
conceito de liberdade. Quando pensamos nas revelações do ano passado, não é uma questão de
privacidade, é uma questão de liberdade. Até que ponto os indivíduos devem ter liberdade? Até que
ponto podemos ligar para amigos, conversar com nossa namorada ou namorado, andar de ônibus,
comprar um livro, ir à biblioteca, assistir a um filme, sem que isso seja gravado? Eu acho que – e
tradicionalmente era o que fazíamos –, se o governo vai se intrometer na vida privada de alguém, ele tem
de ter algum motivo. Tem de provar no tribunal que tal pessoa pode estar envolvida em atividades
criminosas. Se vigiarmos todo mundo o tempo todo, todo homem,mulher e criança do nascimento à
morte, e criarmos registros de suas atividades, eles são livres? Isso afeta o comportamento humano, pois
quando sabemos que somos vigiados mudamos nosso comportamento” (Fonte: Conjur. “Ainda há
revelações a serem feitas sobre o Brasil”, de 13.06.2014. Disponível em: [http://www.conjur.com.br/2014-
jun-13/edward-snowden-ainda-revelacoes-serem-feitas-brasil]. Acesso em: 13.01.2017).
197. STF – HC: 83168 SC, Relator: Min. Sepúlveda Pertence, j. 10.05.2006, Tribunal Pleno, DJ 02.02.2007.
198. Cf. Art. 7º da Lei 9.296/96.
199. Como a empregada pelo WhatsApp: “As suas mensagens estão seguras com um cadeado e somente
você e a pessoa que as recebe possuem a chave especial necessária para destrancá-lo e ler a mensagem. E
para uma proteção ainda maior, cada mensagem que você envia tem um cadeado e uma chave. Tudo isso
acontece automaticamente: não é necessário ativar configurações ou estabelecer conversas secretas
especiais para garantir a segurança de suas mensagens” (Disponível em:
[https://www.whatsapp.com/faq/pt_br/general/28030015]. Acesso em: 31.03.17.
200. França e Alemanha: buscam leis para limitar a criptografia, conforme ministros do Interior dos
referidos países, visando que o conteúdo das mensagens privadas possa ser revelado em casos como
investigações criminais (CAZENEUVE, Bernard. França: “What we are saying, however, is that exchanges
more systematic operated via some applications, such as Telegram, must be able, as part of court
proceedings – and I stress this – to be identified and used as evidence by the investigation and
magistrates services,” e “If such legislation were passed, it would allow us, at European level, to impose
obligations on operators that uncooperative disclose such to remove illegal content or decrypt messages,
exclusively in the context of criminal investigations”, 24.08.2016. Disponível em:
[https://techcrunch.com/2016/08/24/encryption-under-fire-in-europe-as-france-and-germany-call-for-
decrypt-law/]. Acesso em: 31.03.2017.
201. Como: agentes infiltrados, conforme previsão da Lei de Organizações Criminosas (Lei 12.850/13, Seção
III); Análise de Big Data; Bloqueio somente das aplicações de comunicação dos investigados, para que
passem usar serviços interceptáveis; Interceptação de outras aplicações dos investigados; e apreensão e
perícia nos aparelhos.
202. Cf. Domingo Montanaro: “O WhatsApp é quem fabrica o aplicativo que roda no dispositivo do usuário,
então ele poderia, em tese, construir uma funcionalidade de captura de conteúdo de comunicação entre
dois números de telefone de interesse da justiça. As formas técnicas de implementar essas
funcionalidades são inúmeras e relativamente simples, porém adicionam custos e riscos óbvios ao
WhatsApp, que ele aparentemente não deseja arcar, nem que isso represente a clara demonstração de
não colaboração com as autoridades das nações onde seu aplicativo é amplamente utilizado” (Estudo de
caso: Whatsapp versus Justiça Brasileira. 01.11.2016. Disponível em:
[https://venturaerm.com/whitepaper.html]. Acesso em: 31.03.2017).
203. Escrevi sobre o assunto em “WhatsApp pode conciliar criptografia e interceptação de dados?”.
Disponível em: [http://idgnow.com.br/internet/2017/06/01/artigo-whatsapp-pode-conciliar-criptografia-e-
interceptacao-de-dados/]. Acesso em: 16.06.2017.
204. Um resumo da discussão acerca da audiência pública sobre o assunto pode ser lido no seguinte artigo:
LIGUORI FILHO Carlos Augusto. O zap e a toga. Mapeamento do debate sobre bloqueio de aplicativos e
criptografia no STF. 15.06.2017. Disponível em: [https://jota. info/colunas/agenda-da-privacidade-e-da-
protecao-de-dados/o-zap-e-a-toga-15062017]. Acesso em: 16.06.2017.
205. CF, art. 5º, inc. X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas,
assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.
206. Superior Tribunal de Justiça, Recurso em habeas corpus, Número do Processo (Original/CNJ): 5027497-
90.2016.4.04.0000, Rel. Min. Félix Fischer, 5ª Turma, j. 15.09.2016.
207. Superior Tribunal de Justiça, Recurso em Habeas Corpus, Número do Processo (Original/CNJ): 0007083-
93.2014.8.22.0000, Rel. Min. Nefi Cordeiro, 6ª Turma, j. 19.04.2016.
208. STF. 1ª Turma. HC 103.425. Rel. Min. Rosa Weber. J. 26.06.2012. DJe 14.08.2012. V.U.
209. TRF 3ª Região. 2ª Turma. HC 42416 – 0026909-11.2010.4.03.0000, Rel. Des. Cotrim Guimarães, j.
09.12.2010.
210. Art. 13, caput, do MCI: na provisão de conexão à internet, cabe ao administrador de sistema autônomo
respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança,
pelo prazo de 1 (um) ano, nos termos do regulamento.
211. Art. 15, caput, do MCI: o provedor de aplicações de internet constituído na forma de pessoa jurídica e
que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter
os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de
segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
212. Conforme art. 13, § 2º, e art. 15, § 2º, do MCI.
213. Conforme art. 13, § 6º, e art. 15, § 4º, do MCI.
214. STJ. 3ª Turma. Recurso Especial 1.398.985. Rel. Min. Nancy Andrighi. J. 19.11.2013.
215. STJ. 4ª Turma. Rel. Min. Antonio Carlos Ferreira. 676.527-DF. J. 30.04.2015. Publicação: 07.05.2015.
216. TJ/SP. 3ª Câmara de Direito Privado. Apelação cível 035079-58.2016.8.26.0100. J. 06.12.2016. Data da
Publicação: 13.12.2016.
217. Código Civil: “Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar
direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito”.
218. Código Civil: “Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado
a repará-lo”.
219. TRF 4ª Região. 3ª Turma. Apel. 2003.72.00.012340-3/SC, Rel. Desa. Federal Maria Lúcia Luz Leiria,
Unânime, j. 10.02.2009, D.O. 04.03.2009.
220. Por exemplo, a Lei 12.228/2006, do Estado de São Paulo.
221. TJ/SP. 8ª Câmara de Direito Privado do TJ/SP. Apelação 604.346.4/7-00, Rel. Des. Salles Rossi. J.
10.12.2008.
222. Estudo “Internet das Coisas: um plano de ação para o Brasil”. Relatório Final do Estudo. Janeiro de
2018. Disponível em: [https://www.bndes.gov.br/wps/wcm/connect/site/d22e7598-55f5-4ed5-b9e5-
543d1e5c6dec/produto-9A-relatorio-final-estudo-de-iot.pdf?MOD=AJPERES&CVID=m5WVIld]. Acesso em:
07.01.2019. p. 46.
223. A visita de uma comitiva de deputados do PSL à China, em janeiro de 2019, para conhecer um sistema
de reconhecimento facial desenvolvido naquele país foi alvo de críticas do filósofo da direita Olavo de
Carvalho, conforme matéria da UOL: “Olavo de Carvalho critica visita de parlamentares do PSL à China”.
17.01.2019. Disponível em: [https://noticias.uol.com.br/ultimas-noticias/agencia-estado/2019/01/17/olavo-
de-carvalho-critica-visita-de-parlamentares-do-psl-a-china.htm?cmpid=copiaecola]. Acesso em:
26.01.2019.
224. Relativa à proteção das pessoas naturais quanto ao tratamento de dados pessoais pelas autoridades
competentes para efeitos de prevenção, investigação, detecção ou repressão de infrações penais ou
execução de sanções penais, e à livre circulação desses dados.
225. Estudo “Internet das Coisas: um plano de ação para o Brasil”. Relatório Final do Estudo. jan. 2018.
Disponível em: [https://www.bndes.gov.br/wps/wcm/connect/site/d22e7598-55f5-4ed5-b9e5-
543d1e5c6dec/produto-9A-relatorio-final-estudo-de-iot.pdf?MOD=AJPERES&CVID=m5WVIld]. Acesso em:
07.01.2019. p. 82.
226. Art. 33, inc. III, da LGPD.
227. Cujo o titular nele se encontre no momento da coleta, independentemente da nacionalidade do titular.
228. Há definição expressa de “uso compartilhado de dados” no art. 5º, XVI, da LGPD: XVI – uso
compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados
pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no
cumprimentode suas competências legais, ou entre esses e entes privados, reciprocamente, com
autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes
públicos, ou entre entes privados.
229. Art. 5º, VII, da LGPD: pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador.
230. Art. 5º, VI, da LGPD: pessoa natural ou jurídica, de direito público ou privado, a quem competem as
decisões referentes ao tratamento de dados pessoais.
231. Art. 34, da LGPD: O nível de proteção de dados do país estrangeiro ou do organismo internacional
mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará
em consideração: I – as normas gerais e setoriais da legislação em vigor no país de destino ou no
organismo internacional; II – a natureza dos dados; III – a observância dos princípios gerais de proteção
de dados pessoais e direitos dos titulares previstos nesta Lei; IV – a adoção de medidas de segurança
previstas em regulamento; V – a existência de garantias judiciais e institucionais para o respeito aos
direitos de proteção de dados pessoais; e VI – outras circunstâncias específicas relativas à transferência.
232. Hospedagem tradicional dedica ou compartilhada, provendo recursos em servidores que hospedam
dados, aplicações, soluções de TI ou outros ativos, sob a responsabilidade no gerenciamento,
manutenção, integridade e continuidade do ambiente do operador.
233. Hospedagem em nuvem baseada no compartilhamento de recursos que não exige servidores locais
para tratar os dados. O espaço de armazenamento virtual é sob demanda.
234. Terceirização do TI de uma entidade, como aplicações, infraestrutura tecnológica e serviços, incluindo
© desta edição [2020]
provisão de plataforma (hardware) ou serviços de data center, consultoria, implementação de aplicações,
suporte e manutenção de todos os sistemas.
235. Após receber os dados do exterior, o operador filtrará, classificará e estruturará os dados, permitindo
que estejam habilitados conforme a vontade do controlador para realizar previsões úteis ao negócio.
236. Art. 7º, VIII, da Lei Anticorrupção.
237. A exceção de sua aplicabilidade, prevista no inc. III do art. 4º, não se apõe ao tratamento de dados
pessoais por pessoa jurídica de direito privado.
238. É se destacar que o GDPR, em sua Consideranda 47, dispõe expressamente que “o tratamento de dados
pessoais estritamente necessários aos objetivos de prevenção e controle da fraude constitui igualmente
um interesse legítimo do responsável pelo seu tratamento”.
239. Article 29 Working Party. Opinion 2/2017 on data processing at work. 8.06.2017. Disponível em:
[http://ec.europa.eu/newsroom/document.cfm?doc_id=45631]. Acesso em: 26.01.2019.
240. Art. 26, § 1º, da LGPD: em casos de execução descentralizada de atividade pública que exija a
transferência, exclusivamente para esse fim específico e determinado; se for indicado um encarregado
para as operações de tratamento de dados pessoais; quando houver previsão legal ou a transferência for
respaldada em contratos, convênios ou instrumentos congêneres na hipótese de a transferência dos
dados objetivar a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a
integridade do titular dos dados; nos casos em que os dados forem acessíveis publicamente, observadas
as disposições desta Lei.
2020 - 08 - 14 PÁGINA RL-1.2 
LGPD Lei Geral de Proteção de Dados Comentada - Ed. 2020
Lei 13.709, de 14 de Agosto de 2018
CAPÍTULO I. DISPOSIÇÕES PRELIMINARES
Art. 5º.
Art. 5º. Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
O Brasil adotou o conceito expansionista241 de dado pessoal, pelo qual não somente a
informação relativa a pessoa diretamente identificada estará protegida pela Lei, mas também
aquela informação que possa – tem o potencial de – tornar a pessoa identificável.
Assim, nome, prenome, RG, CPF, título de eleitor, número de passaporte, endereço, estado civil,
gênero, profissão, origem social e étnica; informações relativas à saúde, à genética, à orientação
sexual, às convicções políticas, religiosas e filosóficas; números de telefone, registros de ligações,
protocolos de internet, registros de conexão, registros de acesso a aplicações de internet, contas de
e-mail, cookies, hábitos, gostos e interesses, são apenas alguns exemplos de dados pessoais que
pautam a atual vida em sociedade.
Portanto, a LGPD, assim como o GDPR, não trata de qualquer tipo de dado, mas tão somente de
“dados pessoais”, o que implica que o dado esteja intrinsecamente vinculado a uma pessoa natural
identificada ou identificável. Conforme Danilo Doneda, é importante distinguir dados gerais de
dados pessoais, pois estes últimos possuem um vínculo objetivo com a pessoa, justamente por
relevar aspectos que lhe dizem respeito.242
É imprescindível, assim, seja diretamente, seja indiretamente, mesmo que em um segundo
momento, ter o componente da identidade de uma pessoa natural como característica
fundamental do dado pessoal. Lembrando, na lição de Lawrence Lessig, que a identidade vai além
do que a pessoa realmente é, envolvendo também atributos, fatos, comportamentos e padrões, os
quais são usados como formas de comunicação automática.243
Proteger dados, quando estão conectados à esfera de uma pessoa,244 adquirindo a característica
de serem pessoais, significa resguardar a própria personalidade do ser humano, pois esta constitui
“as características ou conjunto de características que distinguem uma pessoa”245 e o Direito visa
proteger violações de todos os atributos, corpóreos e incorpóreos, que formam a projeção da
pessoa humana.246
Tanto é assim que o GDPR considera todos os meios suscetíveis de serem razoavelmente
utilizados, tais como a seleção, quer pelo responsável pelo tratamento, quer por outra pessoa, para
identificar direta ou indiretamente a pessoa para determinar se ela é identificável. Também, que é
necessária a avaliação de todos os fatores objetivos, como os custos e o tempo necessário para a
identificação, tendo em conta a tecnologia disponível à data do tratamento e a evolução
tecnológica, para determinar se há uma probabilidade razoável de os meios serem utilizados para
identificar a pessoa.247
Portanto, assim como ocorre no GPDR, a LGPD não se preocupa com quaisquer dados ou
informações corporativas em sua essência, sigilosas ou confidenciais, públicas ou privadas, como
planejamentos estratégicos, balanços financeiros, sistemas em desenvolvimento, protótipos,
fórmulas, outras inovações ou qualquer outro tipo de documento corporativo, os quais, se
contiverem dados pessoais, somente estes estarão protegidos pela Lei em estudo.
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
A LGPD também não considera dano anonimizado, que será analisado na sequência, como
dado pessoal. É uma contradição utilizar o termo “dado anomizado pessoal”, pois, se anomizado,
ele perde a característica de ser pessoal.
Porém, dados pseudonimizados, que ocorre quando o tratamento é realizado por meio do qual
um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de
informação adicional mantida separadamente pelo controlador em ambiente controlado e
seguro,248 continuam sendo dados pessoais, pois sobre uma pessoa natural identificável.
Há algumas técnicas para a pseudonimização dispostas pelo Art. 29 WP, na Opinion 05/2014,
quais sejam: (i) criptografia com chave secreta, em que o detentor da chave pode reidentificar
cada titular de dados através da descriptografia do conjunto de dados, pois os dados pessoais ainda
estão contidos no conjunto de dados, embora de forma criptografada. Assumindo que o estado da
arte de criptografia foi aplicado, a descriptografia só é possível com o conhecimento da chave; (ii)
função hash, que corresponde a uma função que retorna uma saídade tamanho fixo de uma
entrada de qualquer tamanho e não pode ser revertida. Ou seja, o risco de reversão existente com
a criptografia não existe mais. Porém, se o espectro de valores de entrada da função hash for
conhecido, eles podem ser repetidos, a fim de derivar o valor correto para um determinado
registro, como para a geração de cadastro nacional de pessoas. Também são sujeitos a ataques de
força bruta; (iii) função hash codificada com chave armazenada, que é a função hash específica
com o uso de uma chave secreta como uma entrada adicional; (iv) criptografia determinista ou
função hash com a exclusão da chave: essa técnica pode ser equiparada a seleção de um número
aleatório de dados com a pseudonimização para cada atributo em um banco de dados e, na
sequência, exclui-se a tabela correspondente, o que diminui o risco de vinculação entre os dados
pessoais na base de dados e aqueles relacionados ao mesmo titular em outra base em que um
pseudônimo diferente é utilizado; (v) tokenização, técnica tipicamente aplicada no setor financeiro
para substituir números de identificação de cartões por valores.249
Portando, podemos classificar os dados, de acordo com a LGPD, da seguinte forma:
• Dados pessoais diretos: identifica diretamente uma pessoa natural, sem a
necessidade de outras informações, como CPF, CPF, titula eleitoral, nome (se não
houver homônimos);
• Dados pessoais indiretos: torna a pessoa natural identificável, pois necessitam de
informações adicionais para identificá-la, como gostos, interesses, hábitos de
consumo, profissão, sexo, idade e geolocalização;
• Dados pessoais, diretos ou indiretos, sensíveis: conforme será analisado na
sequência;
• Dados pessoais pseudonimizados: dado que perde a possibilidade de associação,
direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida
separadamente pelo controlador em ambiente controlado e seguro;
• Dado anonimizado, que não são dados pessoais: dado relativo a titular que não
possa ser identificado, considerando a utilização de meios técnicos razoáveis e
disponíveis na ocasião de seu tratamento.
Por fim, importante lembrar que há requisitos legais próprios, em razão da diferença de
periculosidade, para o tratamento de dados pessoais em geral, previstos no art. 7º da Lei, e para
dados pessoais sensíveis, previstos em seu art. 11.
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político,
dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a
uma pessoa natural;
Os dados pessoais sensíveis, em linhas gerais, são dados pessoais que possam trazer algum tipo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
de discriminação quando do seu tratamento (origem racial, convicção religiosa, opinião política,
dado referente à saúde, para citar alguns exemplos) bem como, diante da sua criticidade, dados
genéticos e biométricos. Ou seja, são dados pessoais que poderão implicar riscos e
vulnerabilidades potencialmente mais gravosas aos direitos e liberdades fundamentais dos
titulares.
A motivação da conceituação dessa categoria especial de dados pessoais é fruto de uma
observação pragmática da diferença que apresenta o efeito do tratamento desses dados em relação
aos demais.250 Assim, a Lei consegue dedicar obrigações diferenciadas ao tratamento de dados
sensíveis, conforme elencado a seguir:
• As bases legais para o tratamento de dados pessoais sensíveis são diferenciadas e
limitadas, dispostas no art. 11, da LGPD;
• Quando a base legal para o tratamento for o consentimento, além de ser livre,
inequívoco e informado, também deverá ser específico e destacado;251
• Não há base legal para o tratamento de dados sensíveis por interesse legítimo;
• Não há base legal para o tratamento de dados sensíveis para a proteção do
crédito. Inclusive, a Lei do Cadastro Positivo veda, expressamente, anotações de
“informações sensíveis, assim consideradas aquelas pertinentes à origem social e
étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas,
religiosas e filosóficas”;252
• Da mesma forma, não há base legal para tratamento de dado sensível para a
execução de contrato ou procedimentos preliminares relacionados a contrato, mas
sim para o exercício regular de direitos, inclusive em contrato;253
• Há base legal específica quando o tratamento de dado sensível servir para
garantia da prevenção à fraude e à segurança do titular, nos processos de
identificação e autenticação de cadastro em sistemas eletrônicos;254
• A comunicação ou o uso compartilhado de dados pessoais sensíveis entre
controladores, com o objetivo de obter vantagem econômica, poderá ser objeto de
vedação ou de regulamentação por parte da ANPD, ouvidos os órgãos setoriais do
Poder Público, no âmbito de suas competências;255
• É vedada a comunicação ou o uso compartilhado entre controladores de dados
pessoais sensíveis referentes à saúde com o objetivo de obter vantagem econômica,
exceto nas hipóteses de portabilidade de dados quando consentido pelo titular ou
necessidade de comunicação para a adequada prestação de serviços de saúde
suplementar.256
Tais situações devem ser avaliadas pelos controladores com muita precisão, pois, muitas vezes,
dados pessoais tratados em larga escala, principalmente de forma automatizada,257 podem resultar
no processamento de dados sensíveis.
Por exemplo, em 2012, por meio do hábito de consumo de uma cliente,258 cruzando padrões de
comportamento de compra, como cremes e loções sem perfume, suplementos de cálcio, magnésio
e zinco, uma loja de departamentos norte-americana chegou à conclusão de que ela estaria
grávida, até mesmo antes que seu pai.259
Observa-se que a coleta dos referidos hábitos de consumo, de forma isolada, não
necessariamente implicam o tratamento de dados pessoais sensíveis, mas sim quando houver
inferência acerca da origem racial ou étnica, convicção religiosa, opinião política, filiação a
sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à
vida sexual, mesmo que tal inferência esteja equivocada, motivo pelo qual a relevância do
princípio da qualidade dos dados.260
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Também será considerado dado sensível, citando outro exemplo, quando a análise de
geolocalização em uma aplicação no smartphone ou por meio de um chip instalado no automóvel
(dados pessoais indiretos), consiga traçar o comportamento do titular a tal ponto que possa inferir
se ele é judeu em razão da quantidade de vezes e do tempo que ele permanece em uma sinagoga,
das sextas-feiras que deixa o trabalho antes do pôr do sol em razão do shabat e da quantidade de
vezes que compra produtos kosher em lojas especializadas.
Nesse sentido, a ONG Artigo 19. no trabalho Privacy and freedom of expression in the age of
artificial intelligence, conclui que os métodos de Inteligência Artificial estão sendo utilizados para
identificar pessoas que desejam permanecer anônimas; inferir e gerar informações sensíveis sobre
pessoas a partir de seus dados não sensíveis; criar perfis de pessoas com base em dados em escala
populacional; e tomar decisões subjacentes utilizando esses dados, alguns dos quais podem afetar
profundamente a vida das pessoas.261
O conceito de dado pessoal sensível no GDPR é ainda mais claro que a LGPD no sentido da
conclusão anterior, pois utiliza o verbo revelar, ao dispor que é proibido o tratamento de dados
pessoais que “revelem a origem racial ou étnica […]”,262 enquanto que a LGPD prevê, diretamente,
“dado pessoal sobre origem racial ou étnica, convicção religiosa […]”.
Inclusive, uma pesquisa da Universidade de Cambridge demonstrou que “curtidas” em redes
sociais podem gerar um retrato fidedigno dos gostos e preferências dos seus usuários por meio do
qual poderiamser extraídas inferências, com exatidão, da porcentagem dos homossexuais e
heterossexuais, brancos e negros e eventuais ligações partidárias, republicana ou democrata.263
A própria LGPD foi impulsionada, também, pelo incidente de proporção mundial envolvendo a
empresa Cambridge Analytica, de análise de dados políticos, que obteve acesso a informações de
cerca de 50 milhões de usuários do Facebook como forma de identificar a personalidade de
eleitores e influenciar seu comportamento.264 Quando a empresa inferia a convicção religiosa ou a
opinião política de determinado usuário, por exemplo, para realizar uma determinada abordagem
eleitoral, estava tratando dado sensível.
Por fim, para melhor compreensão da abrangência de alguns dos dados sensíveis previstos na
LGPD, o GDPR serve, mais uma vez, como ótimo parâmetro:
• Dados referente à saúde: relacionados com a saúde física ou mental de uma
pessoa, incluindo aqueles relativos à prestação de serviços médicos, que revelem
informações sobre o seu estado de saúde.265 Por exemplo, a quantidade de passos
diários coletados de um indivíduo, por si só, não necessariamente será um dado
sensível, mas, dependendo da tecnologia empregada, pode ser um indicativo de
sedentarismo, transformando-se em dado sensível;
• Dados genéticos: relativos às características genéticas, hereditárias ou adquiridas
de uma pessoa que tragam informações únicas sobre a sua fisiologia ou saúde e que
resulte de uma análise de uma amostra biológica proveniente da respectiva pessoa;266
• Dados biométricos: resultantes de um tratamento técnico específico relativo às
características físicas, fisiológicas ou comportamentais de uma pessoa que permitam
ou confirmem a identificação única dessa pessoa, notadamente imagens faciais ou
dados dactiloscópicos.267 Porém, fotografias não deverão ser consideradas
automaticamente dados sensíveis, pois necessitam da avaliação se o processamento se
deu por meios técnicos específicos que permitam a identificação inequívoca ou a
autenticação da pessoa.268
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando
a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Será tratado aqui tanto o conceito de “dado anonimizado”, como de “anonimização”,269 para
maior precisão e compreensão dos institutos.
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Referidos conceitos são de extrema relevância na proteção de dados pessoais, para a defesa da
livre-iniciativa e a manutenção de inovadores modelos de negócio, pois, conforme já apontado
anteriormente, a LGPD não considera dano anonimizado, ou seja, dado relativo a titular que não
possa ser identificado, dado pessoal, o que resulta na inaplicabilidade da legislação em estudo para
tal tipo de dado.
Da mesma forma, os dados outrora pessoais, que passaram por procedimento de
“anonimização”, que é a utilização de meios técnicos razoáveis e disponíveis no momento do
tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a
um indivíduo, também perdem o “poder” da aplicação da LGPD.
E tais premissas são plenamente pertinentes, pois, se o objetivo da lei é tutelar os direitos
fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa
natural, quando o dado não tem condições de identificar ou tornar identificável determinada
pessoa, não há por que ser protegido sob o enfoque de uma Lei Geral de Proteção de Dados
Pessoais.
Mencionados conceitos não se confundem com pseudonimização de dados, que ocorre, como já
visto, quando um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo,
senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente
controlado e seguro.270Nesse caso, o dado permanecesse pessoal.
Assim, a Lei elenca alguns critérios para a avaliação de que o dado esteja271 anonimizado, seja
no momento do seu tratamento, ou após o processo de anonimização. Vejamos:
• Impossibilidade de o titular ser identificado ou perda da possibilidade da
associação, direta ou indireta, do indivíduo;
• Mediante a utilização de meio técnico razoável e disponível na ocasião do seu
tratamento;
• O processo de anonimização não pode ser revertido, com a utilização exclusiva de
meios próprios ou por esforços razoáveis;272
• O esforço razoável será determinado com base em fatores objetivos, tais como
custo e tempo necessários para reverter o processo de anonimização, de acordo com
as tecnologias disponíveis, e a utilização exclusiva de meios próprios.273
Assim, o controlador, seja avaliando diretamente o caso concreto, seja mediante a contratação
de um operador especializado em anonimização de dados, como competente para a tomada de
decisões referentes ao tratamento de dados pessoais, será o responsável por analisar os fatores
elencados anteriormente e comprovar o motivo pelo qual entendeu, naquela situação e naquele
momento da análise, que determinados dados são anonimizados ou passaram por um processo de
anonimização.
Dois testes exemplificativos são interessantes para avaliação do dado anonimizado:
• Caso o Chief Executive Officer (CEO) do controlador desrespeite as regras de
governança em proteção de dados pessoais da própria empresa que comanda e
determine a identificação de determinada pessoa mediante o cruzamento dos dados
que foram coletados de forma anonimizada diretamente ou que passaram pelo
processo de anonimização. Mesmo que os funcionários dessa empresa, responsáveis
pela coleta ou pelo processo de anonimização, adotem todos os seus esforços para
trazer o resultado esperado pelo CEO, eles não conseguirão identificá-la;
• Ou, então, um criminoso, mediante ataque cibernético, obtém todo o banco de
dados de uma determinada empresa e, de forma especializada, emprega as
tecnologias existentes para identificar as pessoas dentro do banco de dados obtido.
Mesmo assim, suas tentativas são infrutíferas e ele não consegue tornar identificáveis
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
quaisquer das pessoas.
Portanto, nas duas hipóteses apresentadas, os dados serão considerados anonimizados.
No trabalho acadêmico Facial recognition systems and their data protection risks under the
General Data Protection Regulation são expostas algumas situações de dados anonimizados:
padrões da imagem ou as características extraídas dos indivíduos, em particular,
utilizadas somente para categorização (ex. referente a gênero, idade, etnia, vestuário)
não serão considerados dados pessoais. Para exemplificar, quando uma única imagem
de vídeo é capturada e a única informação armazenada se refere a estas estatísticas, é
improvável de que os dados sejam capazes de identificar qualquer pessoa ou
possibilitar resultados precisos ou confiáveis.274
No mesmo sentido, porém dispondo sobre o processo de anonimização, o trabalho “Data
protection and privacy issues concerning facial image processing in public spaces”, da Revista de
Tecnologia e Engenharia de Atenas, corrobora que
quando um quadro do vídeo é capturado ele contém dados pessoais, mas assim
que é processado o quadro é descartado, e a única informação armazenada é o
número de pessoas que estavam observando o anúncio naquele momento, bem como
estatísticas resumidas em relação à idade e gênero daquelas pessoas. Com estas
informações, seria impossível identificar qualquer pessoa.275
Nos EUA, de acordo com o Health Insurance Portability and Accountability Act (HIPAA), há uma
orientação clara sobre anonimização: no caso de eliminação de 18 elementos de dados pessoais,
como dados cadastrais, placas de veículos, contas de e-mail, registros de números médicos, dados
biométricos, fotografia de rosto inteiro, entre outros, os dados são tratados como anônimos,276 o
que não se pode afirmar no contexto da LGPD ou do GDPR, seja para anonimização, seja para
pseudonimização, tornando o assunto, para o Brasil e a União Europeia, de incerteza regulatória,ao menos por enquanto, em que não há posicionamento da ANPD sobre o tema.277
Fato é, inclusive de acordo com a opinião do Art. 29 WP,278 que (i) a verdadeira anonimização
dos dados é uma barreira extremamente difícil de se alcançar; (ii) os controladores
frequentemente ficam aquém dos dados efetivamente anônimos; (iii) técnicas de anonimização
podem fornecer garantias de privacidade, mas apenas se a sua aplicação for de engenharia
adequada, com pré-requisitos (contexto) e o objetivos do processo de anonimização claramente
definidos, a fim de atingir as metas de anonimização, enquanto produz dados úteis; (iv) a solução
ideal deve ser decidida caso a caso, possivelmente usando uma combinação de diferentes técnicas,
sempre levando em consideração que um conjunto de dados anonimizados ainda pode apresentar
riscos para os seus titulares. Por exemplo, dados anônimos, como estatísticas, podem ser utilizados
para enriquecer perfis existentes de titulares, tornando-os, potencialmente, identificáveis; (v)
assim, a anonimização e os seus riscos devem ser reavaliados regularmente pelos controladores.
A avaliação dos conceitos deve seguir o caminho trilhado pela LGPD: quais são os meios
técnicos disponíveis na ocasião do tratamento que possa tornar identificável o titular? Utilizando-
se exclusivamente de meios próprios, é possível tonar identificável o titular? Utilizando-se de
esforços razoáveis (custo, tempo, tecnologias disponíveis e utilização exclusiva de meios próprios
são alguns dos fatores objetivos) é possível tornar identificável o titular?
Na mesma Opinion citada anteriormente, o Art. 29 WP ressalta o risco de reidentificação de
perfis de dados genéticos coletados de forma anônima, pois a combinação de recursos genéticos
publicamente disponíveis (por exemplo, registros genealógicos, obituário, resultados de buscas em
mecanismos de busca) e os metadados sobre doadores de DNA (tempo de doação, idade, local
residência) pode revelar a identidade de certos titulares, mesmo no caso de doação “anônima” de
DNA.279
O Art. 29 WP também cita exemplo de risco ao se considerar dados pseudonimizados como
dados anonimizados, pois, reitera-se, no primeiro caso é possível que um titular seja destacado e
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
vinculável diante de diferentes conjuntos de dados. É susceptível de permitir a identificabilidade,
o que é especialmente relevante no contexto da investigação científica, estatística ou histórica.
Vejamos o exemplo:
em 2006, um banco de dados contendo vinte milhões de palavras-chave de busca
para mais de 650.000 usuários de um serviço, em um período de 3 meses, foi
publicado por uma empresa de busca na internet, contando como única medida de
preservação da privacidade a substituição do ID do usuário junto à empresa por um
atributo numérico. Isso levou à identificação pública e à localização de alguns
titulares.280
Ou seja, palavras-chave em mecanismos de busca dos titulares, com os IDs dos usuários
pseudonimizados, especialmente se associados a outros atributos, como protocolos de internet ou
outros parâmetros de configuração de clientes, possuem um alto poder de identificação.
A Opinion em tela também dispõe sobre diferentes práticas e técnicas de anonimização, com
graus variáveis de robustez, mas que basicamente se dividem em duas abordagens: (i)
randomization, como aplicação de ruído, permutação e privacidade diferenciada, as quais visam
alterar a veracidade dos dados para remover a forte ligação entre eles e o titular; (ii)
generalization, que visa generalizar ou diluir os atributos dos titulares dos dados modificando a
respectiva escala ou a ordem de magnitude (ou seja, uma região em vez de uma cidade, um mês
em vez de uma semana). A generalization não permite anonimização em todos os casos. Requer
condições quantitativas específicas e abordagens sofisticadas para evitar a vinculação ou a
inferência.281
Como conclusão sobre as técnicas de anonimização e pseudonimização, o Art. 29 WP esclarece
que, na maioria dos casos, não há recomendações mínimas para estabelecer os parâmetros a
serem utilizados. As técnicas precisam ser avaliadas cuidadosamente para cada caso concreto. Em
muitos deles, um conjunto de dados anonimizados pode apresentar risco residual para os titulares,
pois, mesmo quando não é mais possível recuperar com precisão o registro de um indivíduo,
outras fontes disponíveis, públicas ou não, podem ser utilizadas.
Por isso, o Art. 29 WP ressalta que a técnica de anonimização pode proporcionar garantias, mas
somente se a sua aplicação é planejada apropriadamente, com elementos contextuais282 e
técnicos283 do processo claramente expostos e trabalhados a fim de alcançar o nível de anonimato
almejado.284
Mas não é por acaso que tal incerteza quantos aos institutos em tela é defensável, ainda mais
em um contexto atual e futuro em que a disposição de dados e possibilidades de cruzamentos, na
era do big data, é cada vez maior. Bruno Bioni afirma que não “faltam atores e um manancial de
dados para desbancar qualquer processo de anonimização. Tem-se um contexto que é
completamente antagônico à promessa semântica de dados anônimos, como aquele que não seria
capaz, em hipótese alguma, de identificar um sujeito”.285
Se qualquer dado anonimizado carrega grande risco de se transformar em dado pessoal, diante
da possibilidade de agregação de outros dados e da teoria expansionista que adotamos no Brasil,286
ao menos a LGPD traz critérios específicos para que os controladores possam utilizar em suas
respectivas avalições. Porém, é cogente que a ANPD estabeleça padrões e técnicas a serem
utilizados em processos de anonimização para garantir maior segurança jurídica.287
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em
vários locais, em suporte eletrônico ou físico;
Primeiramente, importante esclarecer a diferença de base de dados, banco de dados e dados:
enquanto as bases de dados são devidamente protegidas por direitos autorais,288 desde que
observados critérios de seleção e organização, em que a compilação dos dados constituírem
criação intelectual,289 dados em si não guardam proteção autoral,290 mas são tutelados por
diferentes formas, pois, de acordo com a sua sensibilidade e tratamento, podem ferir outros
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
importantes direitos, como o da intimidade, da vida privada, da honra e da imagem das pessoas.
Quando tais dados que identifiquem ou possam identificar uma pessoa estão estruturados
conjuntamente, formam o conceito de banco de dados pessoais.
Já analisamos anteriormente que a LGPD se aplica aos dados pessoais em qualquer formato,
físico ou digital, motivo pelo qual o banco de dados segue igual proteção, também não importando
se foi ou está constituído em gavetas, notebooks, smartphones, servidores do controlador ou do
operador. A proteção segue o conjunto estruturado de dados pessoais em qualquer lugar.
O conceito de banco de dados é previsto para facilitar as medidas práticas de bloqueio291 ou de
eliminação,292 previstas na Lei. Na ocorrência dessas hipóteses, as medidas devem ser restritas aos
dados pessoais contidos no banco de dados, pois o objeto de proteção da LGPD são os direitos de
liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural derivada
da possibilidade de o dado pessoal identificar ou tornar identificável um indivíduo, e não os
critérios de seleção, organização, a fórmula ou o algoritmo, por exemplo, que são utilizados para
processá-los. Tais critérios são, inclusive, protegidos por outras legislações, como a Lei de Direitos
Autorais e a Lei de Propriedade Industrial.
Portanto, se alguma empresa adquire a licença de um software que combine serviços de cloud,
inteligência artificial, e machine learning, por exemplo, para tratar os seus dados, e faz a
customização desse software internamente, com autorização do licenciante, para trazer maior
eficiência para o seu negócio,no caso de os dados lá existentes serem objeto de bloqueio ou
eliminação, essas medidas não terão qualquer efeito contra o software e a sua customização, mas
somente em relação aos dados nele contidos.
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de
tratamento;
O titular dos dados pessoais é o núcleo da existência de uma Lei Geral de Proteção de Dados
Pessoais, afinal, a preocupação sobre eventuais violações aos direitos fundamentais de liberdade e
de privacidade e o livre desenvolvimento da personalidade está umbilicalmente vinculada à
pessoa natural.
A personalidade civil da pessoa natural, conforme art. 2º do Código Civil, começa do
nascimento com vida da pessoa. Portanto, assim que qualquer pessoa nasce e respira (nasce com
vida), automaticamente já conta com os direitos tutelados pela LGPD.
Mas a lei põe a salvo também, desde a concepção, os direitos do nascituro.293 Sobre o tema, o STJ
decidiu que o ordenamento jurídico pátrio aponta sinais de que não há indissolúvel vinculação
entre o nascimento com vida e o conceito de pessoa, de personalidade jurídica e de titularização de
direitos, como pode aparentar a leitura mais simplificada da lei, concluindo que há de se
reconhecer a titularidade de direitos da personalidade ao nascituro, dos quais o direito à vida é o
mais importante,294 o que também se subentende da decisão do STF, ao tratar do aborto.295
Portanto, quando da identificação, no ultrassom do nascituro, da sua imagem, peso, tamanho,
batimento cardíaco, tipo sanguíneo, potenciais doenças, sexo, nome da mãe, entre inúmeros outros
dados pessoais do próprio feto (não são dados pessoais somente da mãe, direitos ou indiretos),
acenamos que esse nascituro teria, no mínimo, expectativa de direito sobre seus dados pessoais,
em razão da sua personalidade jurídica formal, desde a sua concepção, e da sua personalidade
jurídica material, relacionada aos direitos patrimoniais, que se adquire com o nascimento com
vida.296
Nesse sentido, na UE, o Art. 29 WP, em seu parecer 4/2007,297 ao afirmar que apenas pessoas
vivas se inserem no âmbito da definição de “pessoa natural” da então Diretiva 95/46, também
discutiu dados de crianças não nascidas como uma das áreas cinzentas, afirmando que as regras
de proteção de dados se aplicarem ou não antes do nascimento depende das disposições legais dos
Estados-Membros quanto a capacidade de estar sujeito a relações jurídicas (capacidade legal
passiva).
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
A recomendação do Conselho da Europa é de que os dados médicos relativos ao feto devem ser
considerados e gozar de uma proteção equiparável à proteção de uma criança.298
Porém, o GDPR não prevê explicitamente a proteção de dados pessoais do nascituro, nem a
exclui, especificamente, como acontece com dados de pessoas falecidas.299 Assim, a questão está
aberta para futuras interpretações, tanto pelos Estados-Membros como pelo Tribunal de Justiça
das Comunidades Europeias.
Portanto, no Brasil, a tutela dos direitos existentes na LGPD se inicia com o feto, no mínimo
diante da expectativa de direito sobre seus dados pessoais, em razão da sua personalidade jurídica
formal, desde a sua concepção, e da sua personalidade jurídica material, relacionada aos direitos
patrimoniais, adquirida com o nascimento com vida, e terminaria com o falecimento.300
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem
competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador;
Serão tratados os dois conceitos conjuntamente visando facilitar o entendimento das
obrigações e responsabilidades.
É sobre o controlador que a LGPD impõe o seu maior peso jurídico, pois é ele o responsável pela
tomada de decisões sobre o tratamento de dados pessoais.
De igual forma, definir quem é o controlador em cada caso concreto é fundamental para que a
LGPD seja devidamente cumprida na prática, afinal de contas, será ele que:
• Deve avaliar o enquadramento de ao menos uma das bases legais para a
realização de cada tratamento de dados pessoais;301
• Deve acompanhar o ciclo de vida completo dos dados, descartando-os ou
determinado o descarte quando do término do tratamento;
• Deve indicar o encarregado;302
• É competente pela elaboração do relatório de impacto à proteção de dados
pessoais;303
• Cabe o ônus da prova sobre o consentimento do titular304;
• Deve cumprir os direitos dos titulares305;
• Deve manter registro das operações de tratamento de dados pessoais;306
• Deve demonstrar a adoção de medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas de proteção de dados pessoais e, inclusive,
da eficácia dessas medidas;307
• Deve transmitir as instruções para o tratamento de dados quando resolver
envolver um operador;308
• Será responsabilizado civilmente, no caso de violação à LGPD;309
• Será sancionado administrativamente em razão de infrações cometidas às
normas previstas na LGPD;310
• Deve comunicar a ANPD e ao titular sobre a ocorrência de incidente de segurança
que possa acarretar risco ou dano relevante aos titulares;311
Douglas Geraldo
Douglas Geraldo
&
Douglas Geraldo
• Deve formular e empregar regras de boas práticas e governança em proteção de
dados pessoais, levando em consideração, em relação ao tratamento e aos dados, a
natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos
benefícios decorrentes de tratamento de dados do titular;312
• Deve adotar medidas de segurança, técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito;313
• Deve prestar informações quando solicitadas pela ANPD.314
O operador, por sua vez, é quem realiza o tratamento de dados pessoais em nome do
controlador. Portanto, este não poderá tratar dados pessoais senão em virtude das determinações
do controlador315 ou de previsão legal. Há as seguintes previsões da LGPD quanto ao operador:
• O operador também deve manter registro das operações de tratamento de dados
pessoais que realize;316
• Também deve demonstrar a adoção de medidas eficazes e capazes de comprovar
a observância e o cumprimento das normas de proteção de dados pessoais e,
inclusive, da eficácia dessas medidas;317
• Será responsabilizado civilmente, em razão do exercício da sua atividade de
tratamento de dados pessoais, no caso de violação à LGPD;318
• Responde solidariamente pelos danos causados pelo tratamento quando
descumprir as obrigações da legislação de proteção de dados ou quando não tiver
seguido as instruções lícitas do controlador, hipótese em que o operador se equipara
ao controlador;319
• Responde pelos danos decorrentes da violação da segurança dos dados se deixar
de adotar medidas de segurança previstas na LGPD;320
• Será sancionado administrativamente em razão de infrações cometidas às
normas previstas na LGPD;321
• Também deve formular e empregar regras de boas práticas e governança em
proteção de dados pessoais, levando em consideração, em relação ao tratamento e aos
dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e
dos benefícios decorrentes de tratamento de dados do titular;322
• Deve prestar informações quando solicitadas pela ANPD.323
Assim, definir quem é o controlador e o operador em cada caso é imprescindível, mas pode ser
tarefa complexa, pois, devido à evolução da tecnologia da informação e da comunicação e à
tendência de entidades serem e proverem serviços multidisciplinares, por vezes, haverá situações
em que uma mesma pessoa jurídica será controladora e operadora.
Porém, para o titular e para a ANPD não pode haver dúvidas. Por isso, o controlador deverá se
identificar324, com informaçõesde contato325, perante o titular dos dados, de forma facilitada, clara,
adequada e ostensiva326, além de prestar informações sobre o tratamento dos dados, como a
finalidade específica do tratamento327, forma e duração328; e informações acerca do uso
compartilhado de dados e a finalidade329.
O conceito de controlador contempla absolutamente todas as decisões sobre as atividades que
refletem o ciclo de vida dos dados pessoais. Desde o projeto, passando pela coleta ou recepção,
todas as formas de processamento, até o descarte. As seguintes perguntas podem contribuir para a
identificação do controlador: qual o motivo de determinado tratamento de dado estar ocorrendo?
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Quem teve essa ideia? Quem efetivamente deu início a qualquer uma das hipóteses previstas de
tratamento?330
Mesmo em casos nos quais o controlador não se identifica como tal e executa o tratamento de
dados sem cumprir quaisquer dos fundamentos e princípios estabelecidos pela LGPD, identificá-lo
é crucial para a execução do devido processo legal e eventuais sanções, como ocorreu no já
mencionado caso Tudo sobre Todos.331
O Art. 29 WP, em sua Opinion 1/2010 332, traz algumas considerações e divisões relevantes para
identificação do controlador:
• Controlador decorrente de competência legal explicita, seja no caso de qualquer
legislação nomear expressamente um controlador, seja no caso de prever
determinadas tarefas que envolvam tratamento de dados sem o definir. Por exemplo,
o dever de guarda de determinados dados pessoais decorrente de obrigação legal
impõe que determinadas entidades sejam controladoras desses dados, mesmo que
não nomeadas em lei;
• Controlador decorrente de competência legal implícita: decorre normalmente de
disposições legais comuns a diversas áreas, como Direito Civil e Direito do Trabalho,
em que as funções usuais das entidades determinam quem é o controlador, como uma
editora que trata os dados dos seus clientes ou uma empresa que trata os dados dos
seus funcionários. São atividades do controlador naturalmente vinculadas ao seu
papel funcional;
• Controlador oriundo de uma influência concreta: quando há a necessidade de ser
analisada as circunstâncias do caso em concreto, como na avaliação das cláusulas
contratuais entre as diferentes partes envolvidas, visando identificar qual a real
atividade de cada uma delas no tratamento de dados, grau de controle e quem exerce
o papel dominante na tomada de decisões. Os termos do contrato podem ajudar a
identificar o controlador, mas não necessariamente será o fator determinante, pois
podem não corresponder com a realidade.
Por exemplo, se uma XPTO contrata outras diferentes entidades para enviar e-mail marketing
de suas campanhas, dá instruções claras (conteúdo do material de marketing, destinatários, datas
do envio etc.). Mesmo que as contratadas para executar tais tarefas tenham alguma autonomia
para cumprir com o determinado (software que utilizarão, por exemplo), embora também possam
oferecer consultoria (como o horário de maior abertura de e-mail marketing), estarão claramente
vinculadas para agir de acordo com as determinações da empresa XPTO. Além disso, apenas a
empresa XPTO tem o direito de utilizar os dados. As outras entidades não podem tratá-los para
qualquer outro propósito que não o determinado pela empresa XPTO. Nesse caso, somente a
empresa XPTO será a controladora, e as contratadas serão operadoras. No entanto, caso as
empresas contratadas tomem a decisão – ilícita, diga-se de passagem – de utilizar os dados para
outras finalidades, automaticamente elas também passam a ser controladoras, a partir desse
momento.
Portanto, as decisões sobre quais espécies de dados serão tratados, para quais propósitos, com
quem serão compartilhados, por quanto tempo eles serão mantidos, quais são os requisitos de
segurança necessários, por exemplo, são de competência do controlador. Ou seja, são disposições
que envolvem tanto questões organizacionais, como técnicas.
No entanto, é possível que o controlador considere pertinente eleger determinador operador
para que os dados pessoais estejam sob maior segurança ou processados de forma mais eficaz e
organizada, por exemplo. Nesses casos, provavelmente o operador, de acordo com as orientações
do controlador sobre os motivos pelos quais ele está terceirizando o tratamento, adotará meios
técnicos e organizacionais próprios, sempre os informando ao controlador. Esse tipo de decisão
não implica a modificação da qualificação dessa empresa de operadora para controladora, exceto
se utilizar o processamento dos dados para o seu próprio benefício, com a intenção de gerar
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
serviços de valor agregado, por exemplo333.
Portanto, a determinação do propósito do processamento é reservada e de competência do
controlador. A opção dos meios de processamento pode ser delegada pelo controlador ao
operador, no que se refere a questões técnicas ou organizacionais. Questões substanciais, que são
essenciais para o núcleo de legalidade do processamento, são reservadas ao controlador.
Outrossim, por mais que a LGPD preveja a possibilidade de o controlador ou o operador serem
pessoas naturais, essa possibilidade não deve ser confundida com o CEO da empresa, com o
Encarregado, ou com o profissional responsável pela adequação de um projeto de processamento
dos dados, pois estarão agindo em nome da pessoa jurídica, que continuará respondendo como
controladora ou a operadora.334 No entanto, caso a pessoa física, contrariando a governança
corporativa estabelecida, resolva se aproveitar dos dados tratados por sua empresa em benefício
próprio ou toma alguma medida ilícita dolosa, pode passar a ser considerado controlador, ainda
subsistindo a responsabilidade da empresa (controladora ou operadora original) perante terceiros.
Será controlador também, citando outra hipótese, o corretor de imóveis (pessoa física), que é
responsável pelo controle e tratamento de dados de seus clientes, como dados cadastrais e de perfil
(gostos, interesses e renda), de modo a atender às respectivas necessidades dos titulares.
Vejamos mais alguns outros exemplos providos pelo Art. 29 WP:
• Headhunters: a empresa Headhunterz Ltd ajuda a Enterprize Inc a recrutar
novos funcionários. O contrato afirma claramente que “a Headhunterz Ltd agirá em
nome da Enterprize e será operadora quanto ao processamento dos dados. A
Enterprize é a única controladora dos dados”. No entanto, a Headhunterz Ltd está em
um enquadramento duplo: por um lado, desempenha o papel de controladora para os
candidatos a emprego, por outro lado assume-se operadora atuando em nome da
controladora, tais como a Enterprize Inc e outras empresas que a contratam, para
prestar esse serviço. Além disso, a Headhunterz – com o seu famoso serviço de valor
agregado “global matchz” – procura candidatos adequados tanto entre os currículos
recebidos diretamente da Enterprize quanto aqueles que já possui em seu extenso
banco de dados. Isso garante que a Headhunterz, que é paga apenas no caso de êxito
na contratação, melhore a possibilidade de efetiva contratação, aumentando, assim,
suas receitas. Dos elementos citados, pode-se dizer que, apesar da sua qualificação
contratual, a Headhunterz Ltd será considerada também como controladora;
• Agência de viagens: uma agência de viagens compartilha dados pessoais de seus
clientes para companhias aéreas e cadeia de hotéis, com o objetivo de realizar
reservas para um pacote de viagem. A companhia aérea e o hotel confirmam a
disponibilidade dos assentos e quartos solicitados. A agência de viagens emite os
documentos de viagem e vouchers para seus clientes. Nesse caso, a agência, a
companhia aérea e o hotel serão três diferentes controladores de dados, cada um
sujeito às obrigações relativas ao seu próprio processamento;
• Agência de viagens II: a agência de viagens, a cadeia hoteleira e a companhia
aérea decidemcriar uma plataforma comum na internet para melhorar a cooperação
quanto à gestão de reservas de viagens. Eles concordam com elementos importantes
dos meios a serem utilizados, como quais dados serão armazenados, como as reservas
serão alocadas e confirmadas, e quem pode ter acesso às informações armazenadas.
Além disso, decidem compartilhar os dados de seus clientes para ações integradas de
marketing. Nesse caso, a agência de viagens, a companhia aérea e a cadeia hoteleira
terão controle conjunto sobre como os dados pessoais de seus respectivos clientes são
processados. Portanto, serão controladores conjuntos das operações de tratamento
relacionadas com a plataforma comum de reservas. No entanto, cada um deles ainda
manterá o controle exclusivo das outras atividades de processamento próprias de
acordo com suas respectivas obrigações;
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
• Redes sociais e uso doméstico: os provedores de serviços de redes sociais
fornecem plataformas de comunicação on-line que permitem que os indivíduos
publiquem e troquem informações com outros usuários. Esses provedores de serviços
são controladores de dados, pois determinam os propósitos e os meios de
processamento de tais informações. Os usuários dessas redes, realizando o upload de
dados pessoais também de terceiros, podem se qualificar como controladores, desde
que suas atividades não estejam sujeitas à “exceção doméstica”;335
• Publicidade comportamental: uso de informações coletadas sobre
comportamentos de navegação, como páginas visitadas ou as pesquisas realizadas,
para selecionar quais anúncios exibir para cada pessoa. Editores muitas vezes alugam
espaços de publicidade em seus sites para preenchimento com publicidade
direcionada. De uma perspectiva de proteção de dados, os editores devem ser
considerados controladores autônomos na medida em que coletam dados pessoais do
usuário (perfil do usuário, endereço IP, localização, idioma do sistema operacional
etc.) para seus próprios fins. O provedor de serviço de anúncios também será
controlador na medida em que determina as finalidades (monitoramento de usuários
através de sites) ou os meios essenciais para o processamento de dados;
• Provedores de hospedagem: provedores de serviços de hospedagem são, em
princípio, operadores de dados pessoais (hospedagem e manutenção). Se, no entanto,
processarem os dados para além do determinado pelo controlador, então passarão a
ser controladores com relação a esse processamento específico.
Assim, com a diversificação de serviços atualmente existentes, em que mais de um agente pode
ser considerado controlador no tratamento dos mesmos bancos de dados, deve haver uma
avaliação precisa, com uma abordagem substantiva e funcional, definindo a participação e
responsabilidades no tratamento de cada uma das partes. Diferentes graus de tratamento de dados
podem ensejar diferentes graus de responsabilidades.
Na prática, o ponto fundamental para caracterizar o controlador é a sua capacidade de
determinar as finalidades para as quais os dados pessoais estão sendo coletados, armazenados,
utilizados, alterados e compartilhados.
Acerca do operador, é preciso analisar se é uma entidade ou pessoa física terceira ao
controlador e que realize a operação de tratamento em nome dele. Essa operação pode ser restrita
a uma tarefa simples, específica e limitada, ou pode atender a uma demanda mais complexa, em
que importa, até mesmo, certa discricionariedade do operador em razão de sua especialização,
mas sempre cumprindo estritamente as determinações do controlador.
Alguns outros critérios adicionais são úteis para essa análise: nível de determinação e
deliberação prévia pelo controlador; monitoramento, acompanhamento e auditoria pelo
controlador sobre o nível de serviço do operador; visibilidade do tratamento perante os titulares;
especialização das partes envolvidas; poder de decisão e autonomia das partes.336
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de
comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção
de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019)
Na LGPD, a figura do Data Protection Officer (DPO) se apresenta como Encarregado. Seu papel
vai muito além de atuar como canal de comunicação entre controlador ou o operador, os titulares
dos dados e a ANPD, como previsto no conceito em estudo, pois ele será o responsável por aceitar
reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber
comunicações da ANPD e adotar providências; orientar os funcionários e os contratados da
entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas
complementares.337
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Por enquanto, todos os controladores têm obrigação legal, taxativa, de nomear um EPD, ao
menos até a ANPD estabelecer normas complementares sobre a definição e as atribuições,
inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da
entidade ou o volume de operações de tratamento de dados.338
Quanto aos operadores, não há essa expressa exigência, sendo recomendável, no entanto, de
acordo com a análise da criticidade das espécies de serviços providos, quanto ao tratamento de
dados pessoais, nomeá-lo para conseguir atender a todas as suas obrigações, conforme analisado
em tópico anterior. Caso o operador opte por não nomear um Encarregado, sugere-se
fundamentar a decisão.
No GDPR há previsão de nomeação do DPO, tanto para o controlador quanto para o operador,
mas somente nos casos em que: (i) o tratamento for efetuado por um órgão público, excetuando os
tribunais no exercício da sua função jurisdicional; (ii) as atividades principais do agente consistam
em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um
controle regular e sistemático dos titulares dos dados em grande escala; (iii) as atividades
principais do agente consistam em operações de tratamento em grande escala de categorias
especiais de dados (sensíveis) e de dados pessoais relacionados com condenações penais.339
Ainda, também segundo o GDPR, um grupo empresarial pode designar um único DPO para
todas as empresas, desde que seja facilmente acessível e consiga suprir todas as suas funções340. A
noção de acessibilidade refere-se às tarefas do DPO como ponto de contato em relação aos titulares
dos dados e a ANPD, assim como ponto de contato dentro do controlador e do operador,
considerando que uma das suas tarefas, inclusive na LGPD, é a de orientar os funcionários e os
contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados
pessoais341.
Ademais, retornando ao Brasil, depois da alteração oriunda da Medida Provisória 869/2018, não
só pessoa física poderá ser Encarregado, mas qualquer “pessoa” indicada pelo controlador. Ou
seja, não há vedação para pessoa jurídica assumir o cargo.
Ainda, o ideal é que o Encarregado não acumule funções e tenha independência opinativa, pois,
para desempenhar o seu papel de orientar o controlador acerca das práticas de tratamento de
dados pessoais e intermediar as relações entre ele e os titulares dos dados e a Autoridade Nacional,
“há de ser livre no desempenho de suas funções, sem que receba instruções ou seja destituído em
razão do (adequado) exercício de suas incumbências, ainda que suas recomendações, embora
legais, sejam desfavoráveis aos negócios da empresa por ele assistida”342.
Também não há qualquer vedação na LGPD de nomear um Encarregado entre os colaboradores
da empresa controladora ou operadora. Inclusive, muitas vezes um colaborador desponta como
um bom candidato ao cargo por conhecer a fundo as práticas da empresa, bem como sua cultura,
tendo uma vantagem em termosde adaptação a nova posição em relação a um indivíduo que
venha de fora dos quadros da companhia. Nesse caso, importante que o agente do tratamento
garanta todas as condições corporativas para uma atuação independente. Eventuais outras
funções na empresa não podem causar qualquer incompatibilidade ou conflito com sua função
como Encarregado. É por essa razão, também, que a remuneração do encarregado pelo tratamento
de dados pessoais não deve estar atrelada aos ganhos da empresa.
Outro ponto relevante a se considerar na indicação do Encarregado é o nível necessário de
conhecimento especializado em todo o ordenamento jurídico que se aplique à proteção de dados
pessoais. Inclusive, a Consideranda 97, do GDPR, dispõe que “o nível necessário de conhecimentos
especializados deverá ser determinado, em particular, em função do tratamento de dados
realizado e da proteção exigida para os dados pessoais tratados pelo responsável pelo seu
tratamento ou pelo operador”. Isto é, sólido conhecimento na LGPD; na regulamentação setorial de
proteção de dados pessoais aplicável; na realidade das atividades desempenhadas pela companhia;
a natureza, o âmbito, o contexto e as finalidades das operações de tratamento de dados realizadas
pela companhia; e das necessidades específicas e desafios da companhia no que tange à proteção
de dados.
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Também é importante que o Encarregado tenha atenção à sua formação contínua, para estar
sempre atualizado, aprimorando seus conhecimentos de forma a contribuir para uma melhor
proteção no tratamento de dados pessoais da sua empresa, diante da rápida evolução tecnológica e
dos riscos inerentes a cada projeto que envolva dados pessoais.
O Art. 29 WP também aponta as qualidades pessoais que um EPD deve ter, como a integridade e
ética profissional, já que ele “desempenha um papel determinante na promoção de uma cultura de
proteção de dados no seio da organização e contribui para dar cumprimento aos elementos
essenciais”343.
Após eleito o Encarregado, recomenda-se uma comunicação oficial a toda a empresa, incluindo
a importância do cargo e o papel que ele desempenhará, a fim de transmitir a relevância da
temática proteção de dados, bem como esclarecer os mecanismos de governança corporativa
interna existentes.
Nesse sentido de publicidade, a LGPD, conforme o artigo 41, § 1º, já mencionado, estabelece que
a identidade e os contatos do encarregado devem ser divulgados, preferencialmente no site do
controlador. O Art. 29 WP recomenda seja publicado também o endereço postal, número de
telefone, e-mail, e criada uma linha direta específica ou formulário específico de contato no site,
exatamente para facilitar o acesso aos titulares de dados344.
Ademais, o Encarregado deve se envolver com todas as questões de proteção de dados,
participando das reuniões de gestão da empresa, recebendo informações sobre as atividades de
tratamento e interagindo com o mais alto patamar diretivo. Dessa forma, o Encarregado deve estar
presente e opinar nas tomadas de decisão que impactem na proteção de dados pessoais.
Sem dúvida, trata-se de uma função relevante, que demanda tempo e estrutura. O agente de
tratamento deve refletir, no caso de cumulação de uma outra função com a função de
Encarregado, além da ausência de conflito, se é factível o cumprimento de todas as atribuições
legais em tempo parcial.
Ademais, devem ser fornecidos recursos financeiros, jurídicos, humanos, de espaço, e de
equipe, se necessário. Além disso, em casos de empresas de grande dimensão, é possível conceder
ao Encarregado uma equipe de trabalho, com funções e responsabilidades bem delimitadas345.
Como conclusão, poderemos extrair o seguinte:
• É de suma importância que a ANPD se posicione, antes da eficácia plena da LGPD,
acerca das hipóteses de dispensa da necessidade da indicação do Encarregado para o
controlador, conforme a natureza e o porte da entidade ou o volume de operações de
tratamento de dados, bem como sobre eventuais obrigações do operador;
• O Encarregado pode ser terceirizado, pessoa física ou jurídica. Porém, é de
extrema relevância que o agente de tratamento, no caso dessa decisão, avalie se o
Encarregado terceirizado conseguirá exercer todas as suas funções, principalmente a
de orientar os funcionários e os contratados da entidade a respeito das práticas a
serem tomadas em relação à proteção de dados pessoais e dar andamento nas
solicitações dos titulares e nas comunicações da ANPD. Para pequenas corporações, o
Encarregado terceirizado pode conseguir dar vazão às demandas e exercer todas as
suas funções de forma satisfatória, porém, em médias e grandes, em razão da
necessidade de o Encarregado conhecer profundamente a natureza e os
procedimentos de governança corporativa da organização, pode ser arriscado não ser
um profissional interno, funcionário da própria entidade;
• Apesar, como dito, da LGPD não vedar a nomeação do Encarregado pessoa
jurídica, em razão de todas as considerações expostas anteriormente sobre o assunto,
a atuação de empresas especializadas em exercer as atividades do Encarregado,
previstas na Lei, prestam-se, muito mais, como consultoria ao próprio Encarregado;
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
• De outro lado, se a função do Encarregado for exercida por um prestador de
serviço externo, um conjunto de pessoas que trabalham para essa entidade poderá
exercer de modo eficaz as funções enquanto equipe, sempre sob a responsabilidade
de um contato principal designado para o cliente, titulares e ANPD;
• Também não há vedação de que o Encarregado seja um comitê ou grupo de
pessoas nomeadas pela empresa, desde que seja designado, também nesse caso, um
contato principal para questões internas, para atender aos titulares dos dados e à
ANPD;
• É possível a nomeação de um único Encarregado para corporações com diversas
filiais, também não havendo vedação de ele trabalhar fisicamente no exterior, desde
que consiga exercer, plena e satisfatoriamente, todas as suas funções e obrigações
previstas na Lei.
IX - agentes de tratamento: o controlador e o operador;
“Agentes de tratamento” é apenas um conceito para apontar na legislação as obrigações e
responsabilidades que envolvam tanto o controlador como o operador. Tais questões foram
abordadas quando do estudo do “controlador” e do “operador”.
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração;
A definição de tratamento de dados pessoais, na LGPD, é extremamente abrangente, pois parte
da coleta e finda em sua eliminação, englobando todas as possibilidades de manuseio dos dados,
independentemente do meio utilizado. Assim, o mero ato de receber, acessar, arquivar ou
armazenar dados pessoais está contido dentro do conceito de tratamento.
Referida constatação de abrangência do conceito é de fundamental importância, pois o agente
de tratamento, em absolutamente todas essas hipóteses, deverá manter registros das suas
operações,346 bem como, no caso do controlador, avaliar o cumprimento de uma das bases legais
previstas na Lei,347 o que implica dizer que um simples dado pessoal arquivado, mesmo que não
seja processado, precisará ter um fundamento previsto na Lei para estar sob a responsabilidade do
agente. Se o controlador não encontrar um embasamento jurídico para manter o dado pessoal
consigo (ou com o operador), deverá eliminá-lo.
Ademais, a regra no ordenamento jurídico brasileiro é a do princípio da irretroatividade da
lei.348 Ou seja, qualquer obrigação existente em nova legislação não se aplicará às situações
constituídas anteriormente à suaeficácia plena, visando a manutenção da segurança, certeza e
estabilidade das normas.
Assim, a LGPD não terá efeitos sobre o tratamento de dados ocorridos antes de 16 de agosto de
2020. Porém, como o conceito de tratamento abarca absolutamente todas as hipóteses de manuseio
de dados, a partir do dia da eficácia plena da Lei, os dados pessoais anteriormente existentes, se
não descartados, de alguma forma estarão sob a tutela da LGPD, mesmo que permaneçam
armazenados estaticamente.
Portanto, é fundamental que os controladores realizem um mapeamento dos dados pessoais,
previamente à vigência da Lei, para avaliar o enquadramento do tratamento em uma das bases
legais existentes durante todo o ciclo de vida dos dados sob a sua responsabilidade. Caso não
encontre uma das bases legais, deverá suprir essa lacuna ou eliminá-los.
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do
tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou
indireta, a um indivíduo;
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Conceito já abordado no art. 5º, inciso III.
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
O consentimento é apenas uma das dez bases legais349 previstas para o tratamento de dados
pessoais. Porém, em razão do alto grau de transparência perante o titular, é a hipótese que pode
trazer mais segurança jurídica para o controlador, a quem incumbe o ônus da prova de que foi
obtido em conformidade com a Lei.350
É definido na LGPD como manifestação de vontade livre, informada e inequívoca, pela qual o
titular dos dados concorda com o tratamento de seus dados para uma finalidade determinada. No
entanto, quando o consentimento for utilizado para tratamento de dados pessoais sensíveis,351 de
crianças352 ou para transferência internacional,353 além de livre, informado e inequívoco, para uma
finalidade determinada, ele deverá também ser realizado de forma específica e em destaque.
“Livre” é conferir ao titular a oportunidade de dispor ou não de dados que não sejam
fundamentais à prestação de um eventual serviço, em que pese o tratamento de dados pessoais
poder ser condição para o fornecimento de produto ou de serviço.354 Sobre o assunto, como o
conceito de consentimento do GDPR355 é semelhante ao da LGPD, interessante trazer algumas de
suas disposições acerca do tema: “há que se verificar, com a máxima atenção, se a execução de um
contrato está subordinada ao consentimento para o tratamento de dados pessoais que não é
necessário para a execução desse contrato”356. Não deverá se considerar que o consentimento foi
manifestado de forma livre se o titular dos dados não dispuser de uma escolha verdadeira ou não
puder recusar ou retirar o seu consentimento sem ser prejudicado.357 O Art. 29 WP cita o caso de
um banco que solicita aos clientes o consentimento para usar seus dados de controle de
pagamentos para fins de marketing. Esse tratamento não é necessário para a execução do contrato
com o cliente. Se a recusa do cliente em consentir com esse propósito levar à negação dos serviços
bancários, o encerramento da conta bancária ou o aumento da taxa, haverá violação à liberdade
de consentir.358
Nesse sentido, o STJ declarou abusiva e ilegal cláusula prevista em contrato de prestação de
serviços de cartão de crédito, que autoriza o banco contratante a compartilhar dados dos
consumidores com outras entidades financeiras, sem que seja dada opção de discordar daquele
compartilhamento, pois a obrigação que ela anuncia se mostra prescindível à execução do serviço
contratado, qual seja a obtenção de crédito por meio de cartão. E conclui que “a impossibilidade de
contratação do serviço de cartão de crédito, sem a opção de negar o compartilhamento dos dados
do consumidor, revela exposição que o torna indiscutivelmente vulnerável, de maneira impossível
de ser mensurada e projetada”.359
Já o requisito “informado” do consentimento guarda relação direta com o princípio da
“transparência”, o qual pressupõe que o titular adquira conhecimento e capacidade para que
possa tomar uma decisão de forma consciente e serena antes de dispor de seus dados pessoais,
tomando conhecimento real das consequências da sua escolha. Nesse aspecto, se fornecido por
escrito, o consentimento deverá constar de cláusula destacada das demais cláusulas contratuais360.
Já em caso de alteração da finalidade, forma e duração do tratamento, do controlador ou do uso
compartilhado dos dados, o controlador deverá informar ao titular, com destaque de forma
específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é
exigido, revogá-lo caso discorde da alteração361. Também caso as informações fornecidas ao titular
tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com
transparência, de forma clara e inequívoca, o consentimento será considerado nulo362.
Portanto, o consentimento deve ser apresentado ao titular de uma forma que o distinga
visivelmente de outros assuntos, de modo inteligível, de fácil acesso e em uma linguagem clara e
simples.363 Inclusive, o GDPR ressalta que, se o consentimento for concedido por meio eletrônico, o
pedido deve ser claro e conciso, não podendo perturbar desnecessariamente a utilização do
serviço para o qual é fornecido,364 conforme os seguintes exemplos do Art. 29 WP: (i) deslizar o
dedo em uma tela, passar na frente de uma câmera inteligente ou girar um smartphone no sentido
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
horário podem ser opções para indicar concordância, contanto que haja informações claras
informando previamente o titular o modo de manifestar a aquiescência (“se você deslizar esta
barra para a esquerda, você concorda com o uso da informação X para o propósito Y. Repita o
movimento para confirmar”); (ii) barra de rolagem que inclua declarações de consentimento (“o
titular dos dados que continuar rolando o texto constituirá consentindo”) não satisfará a exigência
de uma ação clara e afirmativa, pois informações relevantes podem ser perdidas quando uma
questão que envolva dados pessoais está rapidamente percorrendo grandes quantidades de
texto.365
No momento do consentimento, não é necessário dispor de todos os requisitos constantes no
art. 9º, da LGPD366, que deverão ser consignados em política de privacidade, mas sim garantir que o
titular tome conhecimento previamente do motivo pelo qual seus dados estão sendo coletados, de
forma objetiva, cristalina e de fácil compreensão para qualquer ser humano.
Por sua vez, inequivocamente significa que o titular, mesmo que implicitamente (uma vez que
não precisa ser expresso), precisa concordar com aquilo que está disposto de modo claro para ele.
Deve ser um ato positivo do titular e armazenado pelo controlador, para fins de prova, que
indique essa manifestação. Por exemplo, mediante uma declaração escrita, inclusive em formato
eletrônico ou oral. Assim, o silêncio, a omissão e as opções pré-validadas provavelmente não serão
como formas de consentimento.367
Um usuário que resolve dispor do seu endereço de e-mail em página da internet com a seguinte
mensagem “deixe o seu e-mail aqui para receber nossa newsletter sobre proteção de dados
pessoais” está conferindo um consentimento inequívoco para esta finalidade. Assim como alguém
que deixa ser fotografado como forma de permissão para a entrada em um condomínio, por
motivos de segurança.
O consentimento também deverá ser previsto para finalidade determinada. Autorizações
genéricas para o tratamento de dados pessoais serão nulas368. Portanto, deverá abranger todas as
atividades de tratamento realizadas com a mesma finalidade e nos casos em que o tratamento
sirva para fins múltiplos, de acordo com a avaliação da especificidade, deverá ser conferido
consentimento para cada um desses fins.
Sobre o assunto, o Art. 29 WP alerta que: (i) a obtençãodo consentimento válido é sempre
precedida da avaliação de um propósito específico, explícito e legítimo para a atividade de
processamento pretendida, como salvaguarda contra o alargamento gradual ou a confusão dos
fins para os quais os dados foram processados inicialmente, mediante concordância do titular; (ii)
os mecanismos de consentimento não devem ser apenas granulares para atender à exigência do
“livre”, mas também para satisfazer o elemento “específico”. Ou seja, caso o controlador busque o
consentimento para vários diferentes propósitos, ele deve fornecer um opt-in separado para cada
finalidade, permitindo que os usuários forneçam o consentimento para fins específicos; (iii) as
informações específicas de cada pedido de consentimento separado servem para conscientizar os
titulares dos diferentes impactos de acordo com suas escolhas.369
No Brasil, houve determinação judicial para adequação de todas as licenças de um sistema
operacional, para que, como regra, não mais coletasse informações e dados pessoais de seus
usuários, por meio dos seguintes procedimentos mínimos: instalações e atualizações sem que o
sistema estivesse programado para coletar qualquer dado pessoal do usuário/consumidor;
qualquer coleta de qualquer dado pessoal dos usuários/consumidores somente se desse com
expressa e prévia autorização destes, inclusive com alertas específicos, no momento da opção,
acerca das consequências de tal autorização, que deveriam se dar para cada tipo de dado ou
informação pessoal coletada.370
A necessidade de granularidade no momento do consentimento e de acordo com os dados
tratados e respectivas finalidades é estampada na Consideranda 43, do GDPR, ao dispor que
presume-se que o consentimento não é dado de livre vontade se não for possível
dar consentimento separadamente para diferentes operações de tratamento de dados
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
pessoais, ainda que seja adequado no caso específico, ou se a execução de um
contrato, incluindo a prestação de um serviço, depender do consentimento apesar de
o consentimento não ser necessário para a mesma execução.
Por fim, na emblemática sanção da Autoridade Nacional de Proteção de Dados francesa
(Commission Nationale de l’Informatique et des Libertés – CNIL)371, de €50 milhões contra o
GOOGLE, com base no GDPR, o consentimento foi considerado nulo pelos seguintes motivos372:
• Não ser suficientemente informado;
• Operações de processamento para a personalização de anúncios são diluídas em
diversos documentos e não permitem que o usuário esteja ciente de sua extensão;
• Não é possível ter ciência da pluralidade de serviços, sites e aplicativos
envolvidos nessas operações de processamento (pesquisa do Google, YouTube, Google
home, mapas do Google, Playstore, imagens do Google…) e, portanto, da quantidade
de dados processados e combinados. Assim, o consentimento não é nem “específico”
nem “inequívoco”;
• A exibição da personalização dos anúncios também é pré-marcada. Conforme o
GDPR, o consentimento é “inequívoco” apenas com uma ação afirmativa clara do
usuário (marcando uma caixa não pré-marcada, por exemplo);
• Antes de criar uma conta, o usuário é solicitado a marcar as caixas “Eu concordo
com os Termos de Serviço do Google” e “Eu concordo com o processamento de minhas
informações conforme descrito acima e explicado na Política de Privacidade” para
criar a conta. Portanto, o usuário dá seu consentimento integralmente, para todos os
fins de operações de processamento realizados pelo Google com base nesse
consentimento (personalização de anúncios, reconhecimento de fala, etc.). Porém, o
GDPR prevê que o consentimento é “específico” somente se for dado distintamente
para cada finalidade.
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante
guarda do dado pessoal ou do banco de dados;
Primeiramente, há hipótese de bloqueio dos dados pessoais ou do conjunto estruturado de
dados pessoais (banco de dados), como direito do titular,373 caso desnecessários, excessivos ou
tratados em desconformidade com a Lei.
Nesse caso, quando o controlador avaliar, de ofício ou mediante requisição do titular,374
eventuais dados pessoais ou banco de dados que possam ser excessivos ou tenha dúvida sobre a
conformidade do tratamento perante qualquer ordenamento jurídico de proteção de dados, é
recomendável que, temporariamente, segregue completamente tais dados de toda a operação até
que chegue a uma conclusão efetiva e fundamentada sobre a sua necessidade e licitude. Ou seja, a
única permissão que se tem durante esse lapso temporal é a de guarda dos dados pessoais, sendo
vedado, entre outras possibilidades, a classificação, utilização, reprodução, transmissão,
distribuição, processamento, modificação, comunicação, transferência, difusão ou extração.
Ademais, o bloqueio dos dados pessoais também é previsto como uma das possibilidades de
sanção administrativa na LGPD, mas somente àqueles que se referem a infração, até a sua devida
regularização375.
Trata-se de previsão contundente, mas intermediária, que, assim como as demais sanções
previstas, somente ocorrerá após procedimento administrativo, com ampla defesa, de acordo com
as peculiaridades do evento concreto, especialmente, nesse caso, a real possibilidade de reversão
da ilicitude do tratamento, pois é medida que precede a eliminação e oportuniza ao controlador
buscar correção.
O controlador, na hipótese de compartilhamento de dados pessoais com terceiros, deverá
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
informar imediatamente os demais agentes para que também bloqueiem os dados pessoais ou
banco de dados que sejam objeto da eventual sanção administrativa ou do dever de atendimento
desse direito do titular376.
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de
dados, independentemente do procedimento empregado;
Eliminar dado pessoal ou banco de dados pessoais é excluí-los, definitivamente, do poder de
controle do controlador, não importando o procedimento empregado para atingir tal finalidade,
tampouco a localização dos dados. Ou seja, é tornar inviável que o controlador possa tratar os
dados objeto da eliminação.
Assim como no bloqueio, há hipótese de eliminação dos dados pessoais ou do conjunto
estruturado de dados pessoais (banco de dados) desnecessários, excessivos ou tratados em
desconformidade com a Lei, como direito do titular.377 Também é direito do titular requerer a
eliminação dos seus dados pessoais tratados somente com a base legal do consentimento378.
Mais do que isso, é dever do controlador analisar e possuir ao menos uma das bases legais para
o tratamento de dados pessoais,379 mantendo registro de suas operações380, pois, caso o controlador
não encontre uma delas, deverá eliminar, de imediato, os respectivos dados pessoais.
Da mesma forma, continuamente, o controlador deverá analisar quando a finalidade do
tratamento foi alcançada; quando os dados deixaram de ser necessários ou pertinentes ao alcance
da finalidade específica almejada; quando houve o fim do período de tratamento, pois, nessas
situações, em razão da caracterização do término do tratamento,381 também deverá excluí-los.
Concomitantemente, a eliminação de dados de ofício pelo controlador é um procedimento de
segurança da informação e mitigação de riscos, uma vez que, ao descartar dados desnecessários,
estes não poderão ser mais objeto da vazamentos ou tratamentos ilícitos. Também é medida que
atende ao princípio da necessidade, pois a abrangência do tratamento deve envolver apenas dados
pertinentes, proporcionais e não excessivos em relação às finalidades pelos quais foram
coletados382.
Ademais, a eliminação dos dados pessoais também é prevista como uma das possibilidades de
sanção administrativa na LGPD, mas somente àqueles que se referem a infração383. Dependendo do
tipo de operação econômica baseada nos dados objeto da sanção de eliminação,essa penalização
pode ser a mais extrema e severa entre o rol existente,384 motivo pelo qual deverá ser analisada,
com cautela, pela ANPD, a natureza do ilícito e a proporcionalidade entre a gravidade da falta e a
intensidade da sanção, principalmente se o tratamento dos dados pessoais é passível ou não de
correção (legalização do tratamento dos dados objeto da sanção).
Por fim, o controlador, na hipótese de compartilhamento de dados pessoais com terceiros,
deverá informar imediatamente os demais agentes para que também eliminem os dados pessoais
ou banco de dados que sejam objeto da eventual sanção administrativa ou do dever de
atendimento desse direito do titular385.
XV - transferência internacional de dados: transferência de dados pessoais para país
estrangeiro ou organismo internacional do qual o país seja membro;
Conforme apontado em diversas considerações sobre os fundamentos da LGPD, a evolução da
tecnologia da informação e da comunicação possibilitou uma vibrante economia baseada em
dados, sem fronteiras físicas, que necessitam de trânsito desburocráticos para que não se criem
entraves desnecessários em situações comuns existentes na vida de qualquer indivíduo.
De fato, a transferência internacional de dados ocorre na grande maioria dos serviços de
aplicação de internet que são utilizados diariamente, como em redes sociais e provedores de conta
de e-mail que hospedam o conteúdo do titular fora do território nacional; qualquer serviço de
entrega de comida ou de streaming de música que utiliza um operador estrangeiro para realizar a
operação de faturamento; dados de funcionários de uma filial brasileira que são armazenados na
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
matriz estrangeira; contratação de serviços de hospedagem em geral, que, por questões de
segurança da informação, inclusive compartilham os dados em diversos servidores localizados no
mundo, entre outras incontáveis hipóteses.
A LGPD, também nessa questão, segue o modelo do GDPR, procurando garantir direitos
fundamentais a partir de restrições impostas em lei para o fluxo internacional de dados.386 O seu
art. 33, caput, confirma essa conclusão ao elencar o rol taxativo de situações em que a
transferência internacional de dados pessoais é permita.
Não obstante, algumas das situações elencadas no referido art. 33 conferem certa flexibilização
na transferência internacional, buscando níveis de proteção de direitos, como no caso de o
controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular
e do regime de proteção de dados previstos na Lei; na forma de cláusulas contratuais específicas
para determinada transferência; cláusulas-padrão contratuais; normas corporativas globais; e
selos, certificados e códigos de conduta regularmente emitidos387. Há permissão, também, quando
o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com
informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de
outras finalidades388.
XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional,
interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por
órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e
entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades
de tratamento permitidas por esses entes públicos, ou entre entes privados;
A relevância da definição do uso compartilhado de dados pessoais está umbilicalmente
relacionada com os fundamentos, princípios e bases legais para o tratamento de dados previstos
na LGPD, diante da necessidade de se avaliar previamente a licitude do compartilhamento.
Seja na transferência internacional, na interconexão de dados pessoais por órgãos públicos,
seja compartilhamento entre entidades privadas, o pressuposto é de “cumprimento de suas
competências legais” ou “com autorização específica” para que a confiança do titular não se
quebre, seja em razão de uma possibilidade de desvirtuamento da finalidade do tratamento seja
em razão da ausência de segurança do titular em relação ao novo destinatário dos seus dados.
Inclusive, o titular tem direito ao acesso facilitado às informações acerca do uso compartilhado
de dados pelo controlador e a sua finalidade,389 assim como tem o direito de obter junto ao
controlador a informação das entidades públicas e privadas com as quais realizou uso
compartilhado de dados390.
Ainda, o controlador que utiliza a base legal do consentimento para tratar o dado pessoal e
necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter
consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do
consentimento391.
A definição e obrigações englobam o compartilhamento de dados entre controladores e
operadores e também entre empresas do mesmo grupo econômico, lembrando que, quando o
Facebook adquiriu o WhatsApp, o Instituto de Defesa do Consumidor (IDEC) elaborou relatório
encaminhado à SENACON, ressaltando a problemática de facilitação do processo de coleta de
dados de 100 milhões de usuários do WhatsApp e recomendando, entre outras questões, a
explicação, nos termos de uso, da finalidade legítima de cada tipo de coleta e quais os grupos
econômicos que estarão envolvidos em relações comerciais que envolvem a troca desses dados392.
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que
contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos
de mitigação de risco;
O relatório de impacto à proteção de dados (RIPD) é um instrumento, de responsabilidade do
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
controlador, pelo qual, em qualquer operação que envolva o tratamento de dados pessoais, que
possa gerar riscos às liberdades civis e aos direitos fundamentais, será realizada a descrição dos
processos para mitigação de riscos e, concomitantemente, de responsabilidades.
O RIPD deve ser incorporado dentro dos procedimentos de governança em privacidade
corporativa do controlador,393 servindo como base para o cumprimento de diversos princípios da
LGPD, especialmente: finalidade, mediante a avaliação dos propósitos legítimos do
tratamento;394adequação, mediante a avaliação da compatibilidade das finalidades pretendidas de
acordo com o contexto do tratamento;395 necessidade, limitando o tratamento ao mínimo
necessário para a realização de suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos;396 segurança, com a avaliação das medidas técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;397 e prevenção, com
a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados
pessoais.398
Como o RIPD tem o propósito de mitigar riscos, ele deverá ser realizado antes do início do
tratamento399, mas com uma visão completa de todo o ciclo de vida dos dados400. Assim, o
controlador conseguirá enxergar, claramente, quais serão os principais fatores que poderão
impactar as liberdades civis e os direitos fundamentais para a tomada de decisão, desde a
implementação de medidas e mecanismos que demonstrem o cumprimento da Lei até a
descontinuidade do projeto. Essas medidas e mecanismos podem ser administrativos ou técnicos,
como a abstenção da coleta de uma determinada espécie de dado pessoal, restrição de acessos aos
dados tratados, reforçar a tecnologia de criptografia ou realizar o procedimento de
pseudonimização dos dados, apenas para citar alguns exemplos.
Assim, no mínimo, o RIPD deverá conter a descrição dos tipos de dados coletados, a
metodologiautilizada para a coleta e para a garantia da segurança das informações e a análise do
controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados401.
No GDPR, os elementos mínimos obrigatórios, conforme art. 35 (7), são: descrição sistemática
das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os
interesses legítimos do responsável pelo tratamento; avaliação da necessidade e proporcionalidade
das operações de tratamento em relação aos objetivos; avaliação dos riscos para os direitos e
liberdades dos titulares dos direitos; avaliação das medidas previstas para fazer face aos riscos,
incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção
dos dados pessoais e a demonstrar a conformidade com o Regulamento, tendo em conta os direitos
e os legítimos interesses dos titulares dos dados e de outras pessoas em causa. Vejamos a seguir
figura ilustrativa do Art. 29 WP 402:
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
A responsabilidade da decisão de quais operações de tratamento de dados deverão ser
precedidas do RIPD, mediante a avaliação se poderão gerar riscos às liberdades civis e aos direitos
fundamentais, é do controlador. Uma situação clara ocorrerá quando a base legal para o
tratamento for o interesse legítimo, pois a ANPD poderá solicitar ao controlador o RIPD403. As
demais situações mandatórias serão dispostas por meio de regulamentação, inclusive quando
envolver dados sensíveis.404
No GDPR, a realização de RIPD é obrigatória quando o tratamento, em particular que utilize
novas tecnologias, tendo em vista a sua natureza, âmbito, contexto e finalidades, for suscetível de
implicar elevado risco para os direitos e liberdades dos titulares405, notadamente quando houver (i)
avaliação sistemática e extensiva de aspectos pessoais relacionados às pessoas naturais, baseada
no tratamento automatizado, incluindo a definição de perfis, quando as decisões produzirem
efeitos jurídicos ou afetarem significativamente o titular dos dados; (ii) operações de tratamento
em grande escala de categorias especiais de dados (sensíveis) ou de dados pessoais relacionados à
condenações penais; ou (iii) monitoramento sistemático de ambientes de acesso público em grande
escala406.
Por meio da Consideranda 75 do GDPR é possível extrair o entendimento da natureza dos riscos
aos direitos e às liberdades individuais dos titulares, na UE:
[…] poderá resultar de operações de tratamento de dados pessoais suscetíveis de
causar danos físicos, materiais ou imateriais, em especial quando o tratamento possa
dar origem à discriminação, à usurpação ou roubo da identidade, a perdas
financeiras, prejuízos para a reputação, perdas de confidencialidade de dados
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
pessoais protegidos por sigilo profissional, à inversão não autorizada da
pseudonimização, ou a quaisquer outros prejuízos importantes de natureza
econômica ou social; quando os titulares dos dados possam ficar privados dos seus
direitos e liberdades ou impedidos do exercício do controle sobre os respetivos dados
pessoais; quando forem tratados dados pessoais que revelem a origem racial ou
étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical,
bem como dados genéticos ou dados relativos à saúde ou à vida sexual ou a
condenações penais e infrações ou medidas de segurança conexas; quando forem
avaliados aspetos de natureza pessoal, em particular análises ou previsões de aspetos
que digam respeito ao desempenho no trabalho, à situação económica, à saúde, às
preferências ou interesses pessoais, à fiabilidade ou comportamento e à localização
ou às deslocações das pessoas, a fim de definir ou fazer uso de perfis; quando forem
tratados dados relativos a pessoas vulneráveis, em particular crianças; ou quando o
tratamento incidir sobre uma grande quantidade de dados pessoais e afetar um
grande número de titulares de dados.
Também é previsto no GDPR, o que não ocorre na LGPD, a obrigação de o controlador consultar
previamente a ANPD antes de iniciar a operação de tratamento de dados pessoais caso o RIPD
indique a permanência de elevado risco que o controlador não consiga o atenuar através de
medidas adequadas, atendendo à tecnologia disponível e aos custos da aplicação407.
O responsável pela elaboração do RIPD é o controlador, mas pode ser realizado por terceiros,
dentro ou fora da organização, sendo recomendável, apesar da omissão da LGPD acerca do
assunto, solicitar o acompanhamento e o parecer do Encarregado,408 que terá o conhecimento
técnico para opinar de forma independente e qualificada, bem como buscar, se o caso, também
opiniões de outros especialistas de acordo com cada ocorrência.
Portanto, o RIPD é medida efetiva de análise de viabilidade de novos negócios e projetos, ou
continuidade de antigos, sob o ponto de vista da proteção de dados pessoais, mediante a avaliação
da necessidade e da proporcionalidade das operações de tratamento em relação aos seus objetivos,
além de indicar quais medidas deverão ser adotadas para mitigar potenciais riscos, como forma de
possibilitar que o corpo diretivo do controlador tome decisões sopesando custos, riscos e
benefícios.
É importante que o RIPD seja entendido não só como uma obrigação, nas circunstâncias
apontadas, mas também como um instrumento útil para avaliação de impactos em qualquer
operação de tratamento de dados, de forma a contribuir com a mudança cultural corporativa em
termos de proteção de dados pessoais e não somente jurídica409.
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou
pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis
brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo
social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico
ou estatístico; e
A relevância do entendimento do conceito em questão reside no fato de que: (i) há autorização
expressa na LGPD para o tratamento de dados pessoais e dados pessoais sensíveis,
independentemente do consentimento, para a realização de estudos por órgão de pesquisa;410 (ii)
na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de
dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a
finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro,
conforme práticas de segurança previstas em regulamento específico;411 é permitida a conservação
dos dados pessoais, mesmo após a caracterização do término do seu tratamento, com a finalidade
de estudo por órgão de pesquisa412.
Para abarcar esse conceito da LGPD, além do órgão ou entidade da administração pública
direta ou indireta, a pessoa jurídica de direito privado dever ser legalmente constituída sem fins
lucrativos. Ou seja, de acordo com o Código Civil, as associações formadas pela união de pessoas
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
que se organizam para fins não econômicos,413 ou as fundações,414 incluindo as Organizações da
Sociedade Civil de Interesse Público (OSCIP)415.
Ainda, é fundamental a avaliação se, na missão institucional ou em seu objetivo social ou
estatutário, a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico
está prevista. Inclusive, no caso das fundações, uma das previsões expressas no Código Civil que
permite a sua existência é finalidade de pesquisa científica, desenvolvimento de tecnologias
alternativas, modernização de sistemas de gestão, produção e divulgação de informações e
conhecimentos técnicos e científicos416.
Ademais, quando for utilizada a base legal de tratamento para a realização de estudos por
órgão de pesquisa, deverá ser garantida, sempre que possível, a anonimização de dados pessoais.417
Se o controlador nãose enquadrar no conceito em análise ou entender arriscado contratar um
operador que seja órgão de pesquisa, com receio da base legal estar viciada por um interesse
econômico indireto, uma vez que a contratação de um órgão de pesquisa não legitimará o
procedimento, poderá procurar outras possibilidades legais, como: a anonimização dos dados, pois
não seriam considerados dados pessoais, conforme já explicado anteriormente; o consentimento
dos titulares como base legal; o estudo do legítimo interesse como base legal, quando não envolver
dados sensíveis; uma das as excludentes de aplicabilidade da legislação, como para fins
exclusivamente jornalístico ou acadêmico.
No GDPR, não há definição expressa de órgão de pesquisa, porém abarca diversas
considerações relevantes sobre a possibilidade do tratamento de dados para investigação
científica, histórica ou para fins estatísticos, como: o tratamento posterior para essas finalidades
não será considerado incompatível com a finalidade inicial418; quando a base legal for
consentimento, há uma flexibilização da identificação da totalidade da finalidade perante o
titular;419 o tratamento para essas finalidades estará sujeito a garantias adequadas para a
manutenção dos direitos e liberdades do titular dos dados, especialmente o respeito ao princípio
da minimização dos dados420.
XIX - autoridade nacional: órgão da administração pública responsável por zelar,
implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. (Redação
dada pela Lei nº 13.853, de 2019)
Uma Lei Geral de Proteção de Dados Pessoais sem uma Autoridade Nacional de Proteção de
Dados (ANPD), seria manca, provavelmente sem eficácia. São mais de 40 previsões na LGPD que se
referem a ANPD para as mais diversas finalidades, como: possibilidade de solicitar ao controlador
relatório de impacto à proteção de dados; avaliar países que proporcionem grau de proteção
adequado; estipular padrões de interoperabilidade para fins de portabilidade e livre acesso aos
dados; relacionar as hipóteses de dispensa da necessidade de nomeação do Encarregado; dispor
sobre padrões técnicos mínimos de medidas de segurança, técnicas e administrativas aptas a
proteger os dados pessoais de acessos não autorizados; receber as comunicações de incidentes
envolvendo dados pessoais; fiscalizar o cumprimento da LGPD; sancionar administrativamente os
agentes do tratamento em caso de descumprimento da LGPD.
Estabelecer sanções administrativas sem identificar quem pode aplicá-las, seria um convite
para a imposição de multas injustas, por desconhecimento técnico ou parcialidade de determinado
órgão diante da ausência de uma visão multisetorial, trazendo prejuízos para os agentes do
tratamento e para a sociedade.
A Carta de Direitos Fundamentais da União Europeia, ao dispor sobre a proteção de dados
pessoais, além de prever o direito à proteção dos dados pessoais, que devem ser objeto de um
tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro
fundamento legítimo previsto por lei, dispõe que o cumprimento das regras fica sujeito a
fiscalização por parte de uma autoridade independente421.
O GDPR conta com artigo específico sobre a independência das autoridades, no sentido de que
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
não estarão sujeitas a influências externas, diretas ou indiretas no desempenho das suas funções e
no exercício dos seus poderes, e não solicitam nem recebem instruções de outrem; abstêm-se de
qualquer ato incompatível com as suas funções e, durante o seu mandato, não podem
desempenhar nenhuma atividade, remunerada ou não, que com elas seja incompatível; os
Estados-Membros asseguram que cada autoridade disponha dos recursos humanos, técnicos e
financeiros, instalações e infraestruturas necessários à prossecução eficaz das suas atribuições e
ao exercício dos seus poderes; os Estados-Membros asseguram que cada autoridade selecione e
disponha do seu próprio pessoal, que ficará sob a direção exclusiva dos membros da autoridade de
controlo interessada; os Estados-Membros asseguram que cada autoridade fique sujeita a um
controle financeiro que não afete a sua independência e que disponha de orçamentos anuais
separados e públicos, que poderão estar integrados no orçamento geral do Estado ou nacional422.
No Brasil, após ter sua criação vetada pela Presidência da República quando da promulgação
da LGPD, por receio de vício de iniciativa423, foi sancionada a Lei 13.853/19, que, entre outras
questões, criou a ANPD, “sem aumento de despesa”, como órgão da administração pública federal
integrante da Presidência da República424. Sua organização, competências, governança e
hierarquia são dispostas por novas adições ao artigo 55 da LGPD. O rol de competências, além das
previsões nos demais artigos da LGPD, está em seu art. 55-J, como zelar pela proteção de dados
pessoais, fiscalizar e aplicar sanções no caso de descumprimento da Lei.
A ANPD tem autonomia técnica e decisória425 e é composta de seu Conselho Diretor, órgão
máximo de direção; do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
(CNPDPP); da Corregedoria; da Ouvidoria, pelo órgão de assessoramento jurídico próprio; e de
unidades administrativas e unidades especializadas necessárias à aplicação da Lei426.
O Conselho Diretor da ANPD será composto de cinco diretores, incluído o Diretor-Presidente427.
Já o CNPDPP, de 23 representantes dos mais diversos setores428.
O Presidente da República é o responsável pela nomeação dos membros do Conselho Diretor429,
bem como pela designação dos representantes do CNPDPP.430
O problema que se coloca é fundamentalmente na independência da ANPD, uma vez que, pela
mencionada, MP, está atrelada à Presidência da Réplica, o que pode ocasionar parcialidade em
eventuais fiscalizações e sanções, assim como no eventual não reconhecimento, pela UE, de país
com nível regulatório de proteção de dados adequado, justamente por ausência de uma autoridade
independente. Porém, ao menos, há a previsão expressa, conforme art. 55-A, § 1º, que a natureza
jurídica da ANPD é “transitória e poderá ser transformada pelo Poder Executivo em entidade da
administração pública federal indireta, submetida a regime autárquico especial e vinculada à
Presidência da República”. A avaliação da natureza jurídica da ANPD deverá ocorrer em até 2
(dois) anos da data da entrada em vigor de sua estrutura regimental, conforme o § 2º do mesmo
artigo 55-A.
De fato, o modelo ideal para a ANPD é que seja única, central, com independência financeira e
decisória, e multisetorial, dotada de corpo técnico com conhecimento tecnológico, jurídico,
econômico e de negócios.
A especialização e atualização contínua da ANPD é condição para o desenvolvimento
tecnológico, práticas de negócios, crescimento do mercado digital e ao mesmo tempo proteção dos
dados pessoais dos indivíduos.
Mas, possivelmente, o ponto-chave, em um país que está intensificando agora sua cultura de
proteção de dados, sob pena de ausência de confiança do mercado na ANPD, seja priorizar um
engajamento construtivo, no seguinte sentido:
• Em vez de inquisição e sanção, dar prioridade ao diálogo, apoio, mutua
cooperação, orientação, conscientização e informação;
• Estimular relações abertas e construtivas com negócios que lidem com dados
pessoais, primando pela boa-fé dos agentes do tratamento e nos seus esforços em
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
cumprir a lei;
• Criar ambientes para inovações responsáveis, como Regulatory Sandboxes, nos
quais novos projetos são testados em atmosferas controladas visando avaliar
eventuais e futuras necessidades regulatórias, conforme o caso, mas a posteriori;
• Agentes que se esforcem em agir de forma responsável, sejam encorajados a
demonstrar seus programas de privacidade, segurança da informação, códigos de
conduta e gerenciamento de risco, visando gerar o reconhecimento do mercado por
suas boas práticas, incluindo certificações,entre outros padrões de accountability;
• Avaliar com muita cautela sanções pecuniárias, principalmente sopesando a
comprovação de alguma violação dolosa, ou práticas exponencialmente negligentes,
condutas reiteradas ou extremamente graves.
NOTAS DE RODAPÉ
241. SCHWARTZ, Paul M.; SOLOVE, Daniel J. The Pii problem: privacy and a new concept of personally
identifiable information. Berkeley Law. p. 1814-1894. 01.01.2011. Disponível em:
[https://scholarship.law.berkeley.edu/cgi/viewcontent.cgi?article=2638&context=facpubs]. Acesso em:
30.01.2019.
242. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. p. 157.
243. LESSIG, Lawrence. Code, version 2.0. Nova York: Basic Books, 2006. p. 40.
244. MENDES, Laura Schertel. O direito fundamental à proteção de dados pessoais. Revista de Direito do
Consumidor, ano 20, v. 79. jul.-set. 2011. p. 75.
245. HOUAISS, Antônio; VILLAR, Mauro de Salles. Dicionário Houaiss da língua portuguesa. Rio de janeiro:
Objetiva, 2009. p. 1.480.
246. BITTAR, Calos Alberto. Os direitos da personalidade. Rio de Janeiro: Forense Universitária, 2004. p. 1:
“Consideram-se como da personalidade os direitos reconhecidos à pessoa humana tomada em si mesma e
em suas projeções na sociedade, previstos no ordenamento jurídico exatamente para a defesa de valores
inatos no homem, como a vida, a higidez física, a intimidade, a honra, a intelectualidade e outros tanto”.
247. Consideranda 26 do GDPR.
248. Art. 13, § 4º, da LGPD.
249. Article 29 Working Party. Opinion 05/2014 on Anonymisation Techniques. 10.04.2014. Disponível em:
[https://iapp.org/media/pdf/resource_center/wp216_Anonymisation-Techniques_04-2014.pdf]. p. 20 e 21.
Acesso em: 27.07.2017.
250. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. p. 161.
251. Art. 11, I, da LGPD.
252. Conforme art. 3º, II, da Lei de Cadastro Positivo.
253. Art. 11, II, I, da LGPD.
254. Art. 11, II, I, da LGPD.
255. Art. 11, § 3º, da LGPD.
256. Art. 11, § 4º, da LGPD.
257. Lembrando que o art. 20 da LGPD prevê que o titular dos dados tem direito a solicitar a revisão de
decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus
interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de
crédito ou os aspectos de sua personalidade, bem como que o controlador deverá fornecer, sempre que
solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a
decisão automatizada, observados os segredos comercial e industrial (§ 1º).
258. Identificação de um consumidor por um número, vinculado aos seus cartões de crédito, nome, e-mail e
outros dados pertinentes, pelos quais o controlador armazena um histórico de compras.
259. How target figured out a teen girl was pregnant before her father did. 16 de fevereiro 2012. Disponível
em: [https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-
pregnant-before-her-father-did/#62177e516668]. Acesso em: 29.01.2019.
260. Art. 6º, inc. V, da LGPD.
261. ARTICLE 19 Global Human Rights Organization. Privacy and freedom of expression in the age of
artificial intelligence. abr. 2018. Disponível em: [https://www.article19.org/wp-
content/uploads/2018/04/Privacy-and-Freedom-of-Expression-In-the-Age-of-Artificial-Intelligence-1.pdf].
Acesso em: 30.01.2019. p. 18.
262. Conforme Artigo 9º, 1, do GDPR: é proibido o tratamento de dados pessoais que revelem a origem
racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem
como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma
inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
263. KOSINSKI, Michal; STILLWELL, David; GRAEPEL, Thore. Private traits and attributes are predictable
from digital records of human behavior. p. 1. Disponível em: [https://www.pnas.org/content/110/15/5802].
Acesso em: 29.01.2019. In: BIONI, Bruno Ricardo. Proteção de dados pessoais – A função e os limites do
consentimento. São Paulo: Renovar, 2018. p. 86.
264. THE NEW YORK TIMES. Facebook and cambridge analytica: what you need to know as fallout widens.
19.03.2019. Disponível em: [https://www.nytimes.com/2018/03/19/technology/facebook-cambridge-
analytica-explained.html]. Acesso em: 29.01.2019.
265. Art. 4º (15) do GDPR.
266. Art. 4º (13) do GDPR.
267. Art. 4º (14),do GDPR.
268. Consideranda 51 do GDPR.
269. Art. 5º, XI, da LGPD.
270. Art. 13, § 4º, da LGPD.
271. Foi utilizado o termo “esteja”, pois o dado pode estar anonimizado em determinando momento e
depois, em razão de fatores, como a aparição de uma nova tecnologia de processamento ou uma nova
base de dados que será cruzada com o dado até então anonimizado, ele pode perder essa característica.
272. Art. 12, caput, da LGPD.
273. Art. 12, § 1º, da LGPD.
274. COSERASU, R. Facial recognition systems and their data protection risks under the General Data
Protection Regulation. University of Tilburg, Master’s Thesis. sep. 2017. p. 47-48. Disponível em:
[https://arno.uvt.nl/show.cgi?fid=143731]. Acesso em: 30.01.2019.
275. RODRIGUES, Marcos, KORMANN, Mariza; AL-DULAIMI, Mustafa. Data protection na privacy issues
concerning facial image processing in public spaces. Athens Journal of Technology & Engineering, 2016. p.
40. Disponível em: [http://shura.shu.ac.uk/11080/]. Acesso em: 30.01.2019.
276. Guidance regarding methods for de-identification of protected health information in Accordance with
the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule. 26.11.2012. Disponível em:
[https://www.hhs.gov/sites/default/files/ocr/privacy/hipaa/understanding/coveredentities/De-
identification/hhs_deid_guidance.pdf]. p. 7-9. Acesso em: 27.07.2017.
277. Conforme art. 12, § 3º, da LGPD, a autoridade nacional poderá dispor sobre padrões e técnicas
utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o
Conselho Nacional de Proteção de Dados Pessoais.
278. Article 29 Working Party. Opinion 05/2014 on Anonymisation Techniques. 10.04.2014. Disponível em:
[https://iapp.org/media/pdf/resource_center/wp216_Anonymisation-Techniques_04-2014.pdf]. Acesso em:
27.07.2017.
279. Article 29 Working Party. Opinion 05/2014 on Anonymisation Techniques. 10.04.2014. Disponível em:
[https://iapp.org/media/pdf/resource_center/wp216_Anonymisation-Techniques_04-2014.pdf]. p. 10.
Acesso em: 27.07.2017.
280. Ibidem, p. 11.
281. Ibidem, p. 12-19.
282. Contextual elements: – The purposes to be achieved by way of the anonymised dataset should be
clearly set out as they play a key role in determining the identification risk. – This goes hand in hand with
the consideration of all the relevant contextual elements – e.g., nature of the original data, control
mechanisms in place (including security measures to restrict access to the datasets), sample size
(quantitative features), availability of public information resources (to be relied upon by the recipients),
envisaged release of data to third parties (limited, unlimited e.g. on the Internet, etc.). – Consideration
should be given to possible attackers by taking account of the appeal of the data for targeted attacks
(again, sensitivity of the information and nature of the data will be key factors in this regard) (Ibidem, p.
25).
283. Technical elements: – Data controllers should disclose the anonymisation technique / the mix of
techniques being implemented, especially if they plan to release the anonymised dataset. – Obvious (e.g.
rare) attributes / quasi-identifiers should be removed from the dataset. – If noise addition techniques are
used (in randomization), the noise level added to the records should be determined as a function of the
value of an attribute (that is, no out-ofscale noise should be injected), the impact for data subjects of the
attributes to beprotected, and/or the sparseness of the dataset. – When relying on differential privacy (in
randomization), account should be taken of the need to keep track of queries so as to detect privacy-
intrusive queries as the intrusiveness of queries is cumulative. – If generalization techniques are
implemented, it is fundamental for the data controller not to limit themselves to one generalization
criterion even for the same attribute; that is to say, different location granularities or different time
intervals should be selected. The selection of the criterion to be applied must be driven by the
distribution of the attribute values in the given population. Not all distributions lend themselves to being
generalized – i.e., no one-size-fits-all approach can be followed in generalization. Variability within
equivalence classes should be ensured; for instance, a specific threshold should be selected depending on
the “contextual elements” mentioned above (sample size, etc.) and if that threshold is not reached, then
the specific sample should be discarded (or a different generalization criterion should be set) (Ibidem, p.
25).
284. Ibidem, p. 23.
285. BIONI, Bruno Ricardo. Xeque-mate. O tripé da proteção de dados pessoais no jogo de xadrez das
iniciativas legislativas no Brasil. 05.07.2015. Disponível em: [http://gomaoficina. com/wp-
content/uploads/2016/07/XEQUE_MATE_INTERATIVO.pdf]. p. 23. Acesso em: 27.07.2018.
286. Lembrando que o conceito de dado pessoal também abarca qualquer informação que tenha o
potencial de identificar uma pessoa.
287. Art. 12, § 3º, da LGPD.
288. Conforme Lei 9.610/1998 (LDA), art. 7º, inc. VIII.
289. TJ-MG – AC: 10024030880819005 MG, Relator: Evangelina Castilho Duarte, j. 01.08.2013, Câmaras Cíveis
/ 14ª Câmara Cível, Data de Publicação: 09.08.2013.
290. Art. 7º, § 2º, da LDA.
291. LGPD: o conceito de bloqueio está disposto no art. 5º, XIII; é previsto como direito do titular, conforme
art. 18, inc. IV e art. 18, § 6º; também é uma das hipóteses de sanção administrativa, conforme art. 52, inc.
V.
292. LGPD: o conceito de eliminação está disposto no art. 5º, XIV; é previsto como direito do titular,
conforme art. 18, incisos IV e VI e art. 18, § 6º; também é uma das hipóteses de sanção administrativa,
conforme art. 52, inc. VI.
293. No mesmo art. 2º do CC.
294. STJ – REsp 1415727/SC, Rel. Ministro Luis Felipe Salomão, Quarta Turma, j. 04.09.2014, DJe 29.09.2014.
295. STF – HABEAS CORPUS 124.306 Rio de Janeiro. Relator: Min. Marco Aurélio. Primeira Turma. J.
29.11.2016.
296. Conforme Maria Helena Diniz: “inúmeros são os direitos do nascituro, por ser considerado, pelo
direito, na nossa opinião, um ente dotado de personalidade jurídica formal e material” (DINIZ, Maria
Helena. O estado atual do biodireito. São Paulo: Saraiva, 2001. p. 127).
297. Opinion 4/2007 on the concept of personal data. Adotada em 20.06.2007. Disponível em:
[https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2016/05/19/ek-bijlage-2-
definitie-anonieme-gegevens-algemene-verordening-gegevensbescherming/ek-bijlage-2-definitie-
anonieme-gegevens-algemene-verordening-gegevensbescherming.pdf]. Acesso em: 30.01.2019.
298. Council of Europe, Committee of Ministers, Recommendation No. R (97) 5 on the Protection of Medical
Data (Feb. 13, 1997). Disponível em: [http://hrlibrary.umn.edu/instree/coerecr97-5.html]. Acesso em:
30.01.2019.
299. Consideranda 27 do GDPR: “O presente regulamento não se aplica aos dados pessoais de pessoas
falecidas. Os Estados-Membros poderão estabelecer regras para o tratamento dos dados pessoais de
pessoas falecidas”.
300. Como a LGPD é omissa acerca do falecimento, os direitos do falecido sobre seus dados pessoais teriam
como base os contratos com os agentes do tratamento e demais normas aplicáveis, que podem
regularmente justificar eventual revogação do consentimento ou o desígnio de heranças digitais, por
exemplo, que seriam exercidos pelas pessoas previstas pelo art. 12, do Código Civil (cônjuge e qualquer
parente até o 4º grau).
301. Art. 7º, para dados pessoais, e art. 11, para dados pessoais sensíveis, da LGPD.
302. Art. 5º, VIII, e art. 41, caput, da LGPD.
303. Art. 5º, XVII, da LGPD.
304. Art. 8º, § 2º, da LGPD.
305. Art. 18, caput, da LGPD.
306. Art. 37 da LGPD.
307. Art. 6º, X, da LGPD.
308. Art. 39 da LGPD.
309. Art. 42, caput, da LGPD.
310. Art. 52, caput, da LGPD.
311. Art. 48, caput, da LGPD.
312. Art. 50, caput, da LGPD.
313. Art. 46, caput, da LGPD.
314. Art. 55-J, IV, da LGPD.
315. Art. 39, caput, da LGPD.
316. Art. 37 da LGPD.
317. Art. 6º, X, da LGPD.
318. Art. 42, caput, da LGPD.
319. Art. 42, § 1º, I, da LGPD.
320. Art. 44, parágrafo único, da LGPD.
321. Art. 52, caput, da LGPD.
322. Art. 50, caput, da LGPD.
323. Art. 55-J, IV, da LGPD.
324. Art. 9º, III, da LGPD.
325. Art. 9º, IV, da LGPD.
326. Art. 9º, caput, da LGPD.
327. Art. 9º, I, da LGPD.
328. Art. 9º, II, da LGPD.
329. Art. 9º, V, da LGPD.
330. Lembrando que o conceito de tratamento (Art. 5º, X, da LGPD), abarca toda operação realizada com
dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
331. Empresa que tratava, disponibilizava e comercializava na internet dados pessoais de brasileiros, como
data de nascimento, CPF, endereço, perfil de possíveis parentes e vizinhos, entre outros. Como a empresa
Top Documentos LLC, que se apresentava como proprietária da aplicação, informava que sua localização
era na França; o site era sediado nas Ilhas Seychelles; o nome de domínio registrado era na Suécia (.se); e
a identidade do responsável pelo registro de domínio foi ocultada pelo serviço utilizado, houve a
necessidade de determinação para que os servidores backbones impusessem obstáculos tecnológicos que
inviabilizem o acesso ao sitio eletrônico no Brasil (BRASIL, 1ª Vara Federal de Natal/RN, Cautelar
Inominada 0805175-58.2015.4.05.8400, Requerente: Ministério Público Federal, Requerido: Top
Documents LLC, Juiz Federal Magnus Delgado, Natal, 30.07.2015). Inclusive, o Tribunal de Justiça do
Distrito Federal e dos Territórios (TJ-DF) bloqueou R$ 2 milhões da conta de Charles Douglas da Silva Rosa
Filho, dono do “Tudo sobre Todos”, em sede de liminar, para indenização por danos morais coletivos
(TJ/DF, 3ª Vara Cível de Brasília, Ação Civil Pública 0735645-46.2018.8.07.0001, decisão de 05.12.2018).
332. Article 29 Working Party. Opinion 1/2010 on the concepts of “controller” and “processor” Disponível
em: [https://ec.europa.eu/justice/article-29/documentation/opinion-
recommendation/files/2010/wp169_en.pdf]. Acesso em: 01.02.2019.
333. O Article 29 WP cita o seguinte exemplo: “A empresa MarketinZ presta serviços de propaganda
promocional e marketing direto para várias empresas. A empresa GoodProductZ realizar um contrato
com a MarketinZ, segundo o qual esta última empresa fornece publicidade comercial para clientes
GoodProductZ e é referida como operador de dados. No entanto, a MarketinZ decide usar o banco de
dados de clientes da GoodProducts também com o propósito de promover produtos de outros clientes.
Essa decisão de adicionar uma finalidade àquela para a qual os dados pessoais foram transferidos
converte a MarketinZ em uma controladora de dados para essa operação de processamento. A questão da
legalidade deste processamento também deverá ser avaliada (Opinion 1/2010 on the concepts of
“controller” and “processor” Disponível em: [https://ec.europa.eu/justice/article-
29/documentation/opinion-recommendation/files/2010/wp169_en.pdf]. Acesso em: 01.02.2019).
334. Especialmente para estruturas grandes e complexas é fundamental que se crie um programa de
governança de proteção de dados, prevendo também responsabilidades da pessoa física diante da sua
atividade dentro da estrutura.
335. No caso daLGPD, art. 4º, I.
336. Opinion 1/2010 on the concepts of “controller” and “processor” Disponível em:
[https://ec.europa.eu/justice/article-29/documentation/opinion-
recommendation/files/2010/wp169_en.pdf]. Acesso em: 01.02.2019.
337. Art. 41, § 2º, da LGPD.
338. Art. 41, § 3º, da LGPD.
339. Art. 37 (1), do GDPR.
340. Art. 37 (2), do GDPR.
341. Art. 41, § 2º, III, da LGPD.
342. CHAVES, Luis Fernando Prado. Responsável pelo tratamento, subcontratante e DPO. In: MALDONADO,
Viviane Nóbrega; OPICE BLUM, Renato (Coord.). Comentários ao GDPR – Regulamento Geral de Proteção
de Dados da União Europeia São Paulo: Ed. RT, 2018. p. 134-135.
343. Artigo 29 WP. Orientações sobre os encarregados de proteção de dados. 13.12.2016. Disponível em:
[https://www.cnpd.pt/bin/rgpd/docs/wp243rev01_pt.pdf]. Acesso em: 02.02.2019.
344. Art. 29 WP. Orientações sobre os encarregados de proteção de dados. 13.12.2016. Disponível em:
[https://www.cnpd.pt/bin/rgpd/docs/wp243rev01_pt.pdf.] Acesso em: 02.02.2019.
345. GRUPO DO ARTIGO 29º PARA A PROTEÇÃO DE DADOS. Orientações sobre os encarregados de proteção
de dados. 13.12.2016. Disponível em: [https://www.cnpd.pt/bin/rgpd/docs/wp243rev01_pt.pdf]. Acesso em:
02.02.2019.
346. Art. 37 da LGPD.
347. Art. 7º e seus incisos para dados pessoais e art. 11 e seus incisos para dados pessoais sensíveis, ambos
da LGPD.
348. Art. 5º, inciso XXXVI, da CF: “A lei não prejudicará o direito adquirido, o ato jurídico perfeito e a coisa
julgada.”. E art. 6º, da LINDB: “A lei em vigor terá efeito imediato e geral, respeitando o ato jurídico
perfeito, o direito adquirido e a coisa julgada”.
349. Art. 7º e seus incisos para dados pessoais e art. 11 e seus incisos para dados pessoais sensíveis, ambos
da LGPD.
350. Art. 8º, § 2º, da LGPD.
351. Art. 11, I, da LGPD.
352. Art. 14, § 1º, da LGPD. Nesse caso, manifestado por pelo menos um dos pais ou pelo responsável legal.
353. Art. 33, VIII, da LGPD;
354. Art. 9º, § 3º, da LGPD.
355. Art. 4º (11), do GDPR: “manifestação de vontade, livre, específica, informada e explícita, pela qual o
titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe
dizem respeito sejam objeto de tratamento”.
356. Art. 7º (4), do GDPR.
357. Consideranda (42) do GDPR.
358. Article 29 Working Party. Guidelines on Consent under Regulation 2016/679. Adotada em 28.11.2017.
Disponível em: [https://iapp.org/media/pdf/resource_center/wp29_consent-12-12-17.pdf ]. Acesso em:
10.08.2018. p. 10.
359. STJ – REsp: 1348532 SP 2012/0210805-4, Relator: Ministro Luis Felipe Salomão, j. 10.10.2017, T4 –
Quarta Turma, DJe 30.11.2017.
360. Art. 8º, § 1º, da LGPD.
361. Art. 8º, § 6º, da LGPD.
362. Art. 9º, § 1º, da LGPD.
363. Conclusão extraída do art. 7º (2), do GDPR.
364. Consideranda 32 do GDPR.
365. Article 29 Working Party. Guidelines on Consent under Regulation 2016/679. Adotada em 28.11.2017.
Disponível em: [https://iapp.org/media/pdf/resource_center/wp29_consent-12-12-17.pdf ]. Acesso em:
10.08.2018. p. 16.
366. Art. 9º. O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que
deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características
previstas em regulamentação para o atendimento do princípio do livre acesso: I – finalidade específica do
tratamento; II – forma e duração do tratamento, observados os segredos comercial e industrial; III –
identificação do controlador; IV – informações de contato do controlador; V – informações acerca do uso
compartilhado de dados pelo controlador e a finalidade; VI – responsabilidades dos agentes que
realizarão o tratamento; e VII – direitos do titular, com menção explícita aos direitos contidos no art. 18
desta Lei.
367. Como está claro no GDPR, conforme Consideranda 32.
368. Art. 8º, § 4º, da LGPD.
369. Article 29 Working Party. Guidelines on Consent under Regulation 2016/679. Adotada em 28.11.2017.
Disponível em: [https://iapp.org/media/pdf/resource_center/wp29_consent-12-12-17.pdf ]. Acesso em:
10.08.2018. p. 13.
370. 9ª Vara Cível Federal de São Paulo – Ação Civil Pública (65) 5009507-78.2018.4.03.6100, Juíza Federal
Cristiane Farias Rodrigues Dos Santos. 27.04.2018, TRF da 3ª Região.
371. Délibération nºSAN-2019-001 du 21 janvier 2019 Délibération de la formation restreinte nº SAN – 2019-
001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC.
Disponível em: [https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-
euros-against-google-llc]. Acesso em: 02.01.2019.
372. VAINZOF, Rony. Proteção de dados: o que a sanção de €50 milhões contra o Google nos ensina?
26.01.2019. Disponível em: [https://cio.com.br/protecao-de-dados-o-que-a-sancao-de-e50-mi-contra-o-
google-nos-ensina/]. Acesso em: 02.02.2019.
373. Art. 18, IV, da LGPD.
374. Art. 18, caput, da LGPD.
375. Art. 52, V, da LGPD.
376. Art. 18, § 6º, da LGPD.
377. Art. 18, IV, da LGPD.
378. Art. 18, VI, e art. 15, III, da LGPD.
379. Art. 7º e seus incisos para dados pessoais e art. 11 e seus incisos para dados pessoais sensíveis, ambos
da LGPD.
380. Art. 37 da LGPD.
381. Art. 15, I e II, da LGPD.
382. Art. 6º, III, da LGPD.
383. Art. 52, VI, da LGPD.
384. Art. 52, da LGPD: Os agentes de tratamento de dados, em razão das infrações cometidas às normas
previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade
nacional: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples,
de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado
no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta
milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV –
publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos
dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a
que se refere a infração.
385. Art. 18, § 6º, da LGPD.
386. Conforme Capítulo V da LGPD.
387. Art. 33, II, a, b, c e d, da LGPD. A definição do conteúdo de cláusulas-padrão contratuais, bem como a
verificação de cláusulas contratuais específicas para uma determinada transferência, normas
corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art.
33 desta Lei, será realizada pela autoridade nacional (art. 35 da LGPD).
388. Art. 33, VIII, da LGPD
389. Art. 9º, V, da LGPD.
390. Art. 18, VII, da LGPD.
391. Art. 7, § 5º, da LGPD.
392. ZANATTA, Rafael A.F. Consentimento forçado? Uma avaliação sobre os novos termos de uso do
WhatsApp e as colisões com o Marco Civil da Internet. IDEC. 22.09.2016. Disponível em:
[https://www.idec.org.br/pdf/relatorio-whatsapp-termos-de-uso.pdf. Acesso em: 15.01.2019.
393. O art. 50, § 2º, I, d, da LGPD prevê que, na aplicação dos princípios segurança e prevenção, o
controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade
dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá,
implementar programa de governança em privacidade que, no mínimo, estabeleça políticas e
salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à
privacidade.
394. Art. 6º, I, da LGPD.
395. Art. 6º, II, da LGPD.
396. Art. 6º, III, da LGPD.
397. Art. 6º, VII, da LGPD.
398. Art. 6º, VIII, da LGPD.
399. Lembrando que o art. 46, § 2º, da LGPD dispõe, que: as medidas de segurança, técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais
ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou
ilícito deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
400. Nesse sentidotambém a Opinion do Art. 29 WP, tendo em vista a previsão do RIPD no GDPR: “deve ser
iniciado o mais cedo possível na concepção da operação de tratamento, mesmo que algumas das
operações de tratamento ainda sejam desconhecidas. A atualização da AIPD ao longo do ciclo de vida do
projeto garantirá que a proteção dos dados e a privacidade serão consideradas e incentivará a criação de
soluções que promovem a conformidade. Pode também ser necessário repetir as etapas individuais da
avaliação à medida que o processo de desenvolvimento progride, uma vez que a seleção de determinadas
medidas técnicas ou organizacionais pode afetar a gravidade dos riscos colocados pelo tratamento ou a
probabilidade de estes se concretizarem” )ARTICLE 29 DATA PROTECTION WORKING PARTY. Guidelines
on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a
high risk” for the purposes of Regulation 2016/679. Revisado em 04.10.2017. Disponível em:
[https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236]. Acesso em: 04.02.2019.
401. Art. 38, parágrafo único, da LGPD.
402. Art. 29 WP. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether
processing is “likely to result in a high risk” for the purposes of Regulation 2016/679. Revisado em
04.10.2017. Disponível em: [https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236].
Acesso em: 04.02.2019.
403. Art. 10, § 3º, da LGPD.
404. Art. 38, caput, da LGPD.
405. Art. 35 (1) do GDPR.
406. Art. 35 (3), a, b e c, do GDPR.
407. Art. 36 (1), e Consideranda 84 do GDPR.
408. O art. 41, § 2º, III e IV, prevê como atividade do encarregado em proteção de dados, entre outras,
orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação
à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares. No GDPR, há expressa determinação nesse sentido, conforme
seu art. 35 (2): ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo
tratamento solicita o parecer do encarregado da proteção de dados, nos casos em que este tenha sido
designado.
409. Conforme ALVES, Fabrício da Mota. Avaliação de impacto sobre a proteção de dados. p. 186. In:
MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato (Coord.). Comentários ao GDPR. São Paulo: Revista
dos Tribunais, 2018.
410. Art. 7º, IV, e art. 11, II, c, respectivamente, da LGPD.
411. Conforme art. 13, caput, da LGPD, sendo importante transcrever os seus respectivos parágrafos: “§ 1º A
divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste
artigo em nenhuma hipótese poderá revelar dados pessoais. § 2º O órgão de pesquisa será o responsável
pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a
transferência dos dados a terceiro”.
412. Art. 16, II, da LGPD.
413. Art. 53, caput, do Código Civil.
414. Art. 62 e seguintes do Código Civil.
415. Regidas conforme Lei 9.790/99.
416. Art. 62, parágrafo único, VII, da LGPD. As demais são: I – assistência social; II – cultura, defesa e
conservação do patrimônio histórico e artístico; III – educação; IV – saúde; V – segurança alimentar e
nutricional; VI – defesa, preservação e conservação do meio ambiente e promoção do desenvolvimento
sustentável; VIII – promoção da ética, da cidadania, da democracia e dos direitos humanos; e IX –
atividades religiosas.
417. Conforme parte final dos art. 7º, IV, e art. 11, II, c, respectivamente, da LGPD.
418. Art. 5º, I, b, do GDPR.
419. Consideranda 33: “Muitas vezes não é possível identificar na totalidade a finalidade do tratamento de
dados pessoais para efeitos de investigação científica no momento da recolha dos dados. Por conseguinte,
os titulares dos dados deverão poder dar o seu consentimento para determinadas áreas de investigação
científica, desde que estejam de acordo com padrões éticos reconhecidos para a investigação científica.
Os titulares dos dados deverão ter a possibilidade de dar o seu consentimento unicamente para
determinados domínios de investigação ou partes de projetos de investigação, na medida permitida pela
finalidade pretendida”.
420. Conforme art. 89 (1) do GDPR: “1. O tratamento para fins de arquivo de interesse público, ou para fins
de investigação científica ou histórica ou para fins estatísticos, está sujeito a garantias adequadas, nos
termos do presente regulamento, para os direitos e liberdades do titular dos dados. Essas garantias
asseguram a adoção de medidas técnicas e organizativas a fim de assegurar, nomeadamente, o respeito
do princípio da minimização dos dados. Essas medidas podem incluir a pseudonimização, desde que os
fins visados possam ser atingidos desse modo. Sempre que esses fins possam ser atingidos por novos
tratamentos que não permitam, ou já não permitam, a identificação dos titulares dos dados, os referidos
fins são atingidos desse modo”.
421. Conforme art. 8º (3) da mencionada Carta.
422. Conforme art. 52 do GDPR.
423. Há entendimentos divergentes, como o manifestado pelo ministro aposentado do STF Ilmar
Nascimento Galvão e o professor da Universidade de Brasília (UnB) Jorge Octávio Lavocat Galvão, de que
inexistia qualquer vício de inconstitucionalidade formal no então projeto de lei, pois “uma vez
deflagrada a iniciativa legislativa pelo Presidente da República, há alguma margem para o Legislativo
customizar a forma de atuação estatal” (Ex-ministro diz que não há vício de inconstitucionalidade na
criação da ANPD. ago. 2018. Disponível em: [https://www-jota-
info.cdn.ampproject.org/c/s/www.jota.info/docs/ex-ministro-diz-que-nao-ha-vicio-de-
inconstitucionalidade-na-criacao-da-anpd-31072018/amp]. Acesso em: 04.02.2019.
424. Conforme art. 55-A da LGPD.
425. Art. 55-B da LGPD.
426. Art. 55-C da LGPD.
427. Art. 55-D da LGPD.
428. Art. 58-A, caput, e seus incisos, da LGPD.
429. Art. 55-D, § 1º, da LGPD.
430. Art. 58-A, § 1º, da LGPD.
© desta edição [2020]
2020 - 08 - 14 PÁGINA RL-1.2 
LGPD Lei Geral de Proteção de Dados Comentada - Ed. 2020
Lei 13.709, de 14 de Agosto de 2018
CAPÍTULO I. DISPOSIÇÕES PRELIMINARES
Art. 6º.
Art. 6º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
Newton de Lucca, comentando sobre o grande autor Ronald Dworkin, esclarece que há distinção entre princípios,
regras e políticas. Dos princípios em sentido estrito, emanam orientações gerais, decorrentes das exigências de
equidade, de justiça ou de moralidade. Das regras, decorrem consequências jurídicas que se deduzem
automaticamente das condições previstas na hipótese. As políticas (princípios em sentido lato) são padrões a serem
observados como exigência econômica, política ou social desejável.431Ao comentar o ensinamento de Norberto Bobbio
e Vezio Crisafulli, de Lucca adere irrestritamente à tese de que princípios gerais são normas fundamentais ou
generalíssimas do sistema, as normas mais gerais. Prossegue entendendo que não há dúvida de que princípios gerais
são normas como todas as demais. Os princípios gerais estão para as normas particulares como o mais está para o
menos, como o que é anterior e antecedente está para o posterior e consequente. Princípio, assim, é toda norma
jurídica considerada determinante de outra ou outras que lhe são subordinadas, que a pressupõem, desenvolvendo e
especificando ulteriormente o preceito em direções mais particulares.432
Sobre o histórico dos princípios de proteção de dados pessoais, buscarei, na sequência, resumir os ensinamentos de
Danilo Doneda:433
A partir de 1970, surgiram, em diversos países, normas específicas a respeito da utilização de informações pessoais
e da privacidade, as quais comungavam dos mesmos princípios e técnicas desde a sua gênese e que possuem até hoje
uma certa uniformidade.
A primeira das quatro gerações de leis, que vai até aproximadamente 1977, com a Bundesdatenschutzgesetz(Lei
Federal da República Federativa da Alemanha sobre proteção de dados pessoais), girava em torno da concessão de
autorizações para a criação de bancos de dados pessoais e do seu controle a posteriori por órgãos públicos. Os
princípios nelas existentes eram focados na atividade de processamento de dados, em razão da “ameaça” representada
pela tecnologia e, especificamente, pelos computadores. Não demoraram muito a se tornarem ultrapassadas em razão
do enorme aumento dos centros de processamentos de dados, que inviabilizou o controle baseado em um regime de
autorizações, rígido e detalhado.
A segunda geração surgiu no final da década de 1970, justamente em razão da “diáspora” dos bancos de dados
informatizados, contando como grande exemplo a Loi Informatique et Libertées, de 1978, na França. A modificação
central passou a ser preocupação em torno da privacidade e da proteção dos dados pessoais como uma liberdade
negativa, a ser exercida pelo próprio cidadão, e não mais em torno do fenômeno computacional em si. Foi elaborado
um sistema que fornecia instrumentos para o cidadão identificar o uso indevido de suas informações pessoais e
propor a sua tutela.
Percebeu-se, então, uma mudança de paradigma, pois o fornecimento de dados pessoais pelos indivíduos estava se
tornando um requisito indispensável para a sua efetiva participação na vida social. Ou seja, o que era exceção veio a se
tornar regra. Foi, então, que surgiu a terceira geração de leis, na década de 1980, aprimorando a tutela dos dados
pessoais, ainda centrada no indivíduo, porém abrangendo mais do que a liberdade de fornecer ou não os próprios
dados pessoais, de forma a também garantir a efetiva manutenção dessa liberdade. Nesse momento, é entendida a
complexidade do tema proteção de dados pessoais, que envolve a própria participação do indivíduo na sociedade e
leva em consideração o contexto no qual lhe é solicitada a revelação de seus dados, estabelecendo meios de proteção
para as ocasiões em que sua liberdade de decidir livremente é cerceada por eventuais condicionantes. Buscava-se
incluir o titular dos dados em todas as fases do processo de tratamento e na utilização de sua informação por terceiros
(autodeterminação informativa).
Porém, a autodeterminação informativa, que inclusive é fundamento da LGPD, ainda era privilégio de uma minoria
que tinha condição econômica e social para exercer esse direito. Assim, uma quarta geração de leis, como as que
existem hoje em diversos países, focaram no problema integral da informação, com instrumentos elevando o padrão
coletivo, fortalecendo a posição da pessoa em relação às entidades que coletam e processam seus dados e
estabelecendo autoridades independentes para fiscalização, como a Diretiva da UE 95/46. É possível enxergar alguns
princípios comuns, presentes em diversos ordenamentos, como tendência de consolidação da vinculação mais estreita
com a proteção da pessoa e com direitos fundamentais.
Alguns desses princípios já se encontravam presentes desde a primeira e segunda geração de leis, como na temática
da saúde, em razão da sensibilidade dos dados, em 1973, nos EUA, com o Secretary for health, education and welfare,
que concluiu pela relação direta entre a privacidade e o tratamento de dados pessoais.
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
O conjunto de medidas para a proteção de dados pessoais passou a ser identificado em diversas normativas
correlatas, utilizando-se a terminologia Fair Information Practice Principles (FIPPs), núcleo comum que encontrou
expressão como um conjunto de princípios a serem aplicados, principalmente com a Convença 108,434 do Conselho de
Europa, e nas Guidelines da OCDE435, no início da década de 1980.
Os princípios nelas estabelecidos, como transparência, finalidade, necessidade, proporcionalidade, qualidade, livre
acesso e segurança formam a espinha dorsal de inúmeras normas existentes atualmente, como o GDPR, que sucedeu a
Diretiva 95/46, e a LGPD, sendo importante ressaltar que os princípios deverão ser cumpridos, independentemente das
bases legais para o tratamento de dados pessoais436.
Portanto, além de o controlador avaliar o atendimento de ao menos uma das bases legais para o tratamento de
dados pessoais, como obrigação legal, consentimento, exercício regular de direito ou para execução de contratos, por
exemplo, também deverá se atentar ao cumprimento de todos os princípios, os quais passam a ser analisados na
sequência.
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular,
sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
Os três primeiros princípios dispostos na LGPD (finalidade, adequação e necessidade) são umbilicalmente conexos,
formando, juntamente com a transparência, o cerne dessa norma jurídica, determinantes para o respeito da proteção
dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa
natural, por meio da tutela dos dados pessoais.
Assim, o esforço passa a ser o de tratar de forma segregada referidos princípios, motivo pelo qual, em determinados
momentos, pode haver o retorno de conceitos já tratados para nova reflexão.
O princípio da finalidade conta com grande relevância prática, pois, por meio dele, é garantido ao titular, mediante
informação prévia, as fronteiras de legalidade do tratamento de seus dados, delimitando os propósitos do tratamento,
desde que lícitos, e de terceiros que poderão ou não ter acesso aos dados. Visa mitigar o risco de uso secundário à
revelia do titular.
Danilo Doneda considera o princípio da finalidade, provavelmente, como o que carrega de forma mais incisiva os
traços característicos da matéria de proteção de dados pessoais, pois o motivo da coleta deve ser compatível com o
objetivo final do tratamento dos dados. A sua utilização sempre estará vinculada ao motivo que fundamentou essa
coleta, nascendo uma ligação entre a informação e a sua origem, vinculando-a ao fim de sua coleta, de modo que esta
deva ser levada em consideração em qualquer tratamento posterior. Como o dado pessoal é expressão direta da
personalidade do indivíduo, nunca perde seu elo com este, pois sua utilização pode refletir diretamente para o seu
titular.437
A “finalidade”, de tão importante, também se apresenta expressamente em três outros princípios da LGPD:
adequação, necessidade (por duas vezes) e qualidade dos dados.
No GDPR, de forma semelhante, referido princípio é previsto como “Limitação da Finalidade” (Purpose Limitation),
pelo qual dados pessoais devem ser coletados para finalidades específicas, explícitas e legítimas e não podem ser
tratados posteriormente de uma forma incompatível com essas finalidades.
Na Opinion 03/2013, sobre Purpose Limitation, o Art. 29 WP define assim os conceitos dos propósitos, que abarcam
também o princípio da finalidade na LGPD:438
• Legítimo: requisito amplo, que vai além de uma simples referência cruzada a uma das bases jurídicas
do tratamento. Também se estende a outras áreas do direito e deve ser interpretado no contexto do
processamento.
• Específico: antes ou no momento em que ocorre a coleta de dados pessoais, os objetivos devem ser
precisos e totalmente identificados para determinar se o processamento está dentro do propósito
apresentado, assim como permitir que a conformidade legal possa ser avaliada;
• Explícito: o motivo do tratamento deve ser claramente revelado, explicado ou expresso a fim de
garantir que todos os envolvidos tenham o mesmo entendimento inequívoco da sua finalidade,
independentemente de qualquer diversidade cultural ou linguística.
Ademais, o propósito também deverá ser informado ao titular, como forma de cumprir, adicionalmente, o disposto
no art. 9º, incisos I e V, e seu § 2º, da LGPD, pois o titular tem direito às informações sobre o tratamento de seus dados,
que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outrascaracterísticas, a
finalidade específica do tratamento e o uso compartilhado de dados pelo controlador e a finalidade. Na hipótese em
que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não
compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de
finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
Como não há possibilidade de tratamento posterior de forma incompatível com as finalidades previamente
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
previstas, é de crucial relevância que os controladores avaliem, desde a concepção do projeto que envolva a coleta de
dados, os propósitos específicos que almejam, pois tais propósitos servirão, ao longo do ciclo de transparência perante
o usuário e também dos deveres de lealdade ao tratamento, como fronteira de legalidade para o seu uso.
O art. 25 (2) do GDPR prevê, inclusive, que o controlador deverá aplicar medidas técnicas e organizacionais para
assegurar que, por padrão (privacy by default), só sejam tratados os dados pessoais que forem necessários para cada
finalidade específica do tratamento, de acordo com a quantidade de dados pessoais coletados, à extensão do seu
tratamento, o prazo de armazenamento e à sua acessibilidade. Em especial que, por padrão, dados pessoais não sejam
disponibilizados sem intervenção humana a um número indeterminado de pessoas.
O controlador deverá acompanhar o ciclo de vida do tratamento dos dados sob sua responsabilidade, pois, quando
verificar que a finalidade foi alcançada ou que os dados deixaram de ser necessários ou pertinentes ao alcance da
finalidade específica almejada, seja qual for a base legal utilizada, não haverá mais justificativa jurídica para a sua
manutenção, culminando no dever de descarte439 em razão do término do tratamento440.
Assim, se determinadas leis obrigam a manutenção de dados pessoais da área de saúde ou de registros eletrônicos
de conexão à provedores de aplicação de internet, a finalidade da guarda pelo respectivo período estará justificada por
obrigação legal. Se um controlador utiliza um operador para armazenar os registros de pontos eletrônicos, via
biometria digital, de seus funcionários, por questões trabalhistas, a finalidade estará coberta pelo tempo de prescrição
dos procedimentos trabalhistas, com base no exercício regular de direitos. Quando há a coleta dados cadastrais e e-
mails de clientes para a execução de um contrato de compra e venda por meio da internet, justifica-se a manutenção
de tais dados para que se possa dar prosseguimento à prestação de serviços, bem como, também, para exercício
regular de direitos, no caso de inversão do ônus da prova, por exemplo. Porém, em qualquer um desses casos, se
alguma outra área do controlador ou do operador utilizar referidos dados para outra finalidade, como para marketing,
automaticamente estaremos diante da violação do princípio da finalidade.
Eventual uso secundário somente poderá ser realizado quando for compatível com a finalidade original. Para essa
verificação, o controlador deverá ter atenção, entre outros aspectos, acerca da existência de um elo entre a finalidade
original e aquela a que se pretende posteriormente, especialmente: expectativas razoáveis do titular quanto à sua
posterior utilização, baseadas em sua relação prévia com o responsável pelo tratamento;441 a natureza dos dados
pessoais; as consequências que o posterior tratamento dos dados pode ter para o seu titular; e a existência de garantias
adequadas, tanto no tratamento inicial, como nas outras operações pretendidas.442
Quando todas as condições anteriormente previstas forem devidamente contempladas, não haverá necessidade de
outro fundamento legal além do que possibilitou a coleta e uso original dos dados pessoais. Porém, no caso de
incompatibilidade, o controlador deverá comprovar outro fundamento, como um consentimento adicional antes de
iniciar a coleta de dados para um propósito novo. Seguem alguns exemplos para elucidar o explicado:
• Controladores podem coletar e processar dados pessoais para oferecer serviços vinculados a um
aplicativo de condicionamento físico. O propósito específico será analisar dados pessoais para
recomendar ao usuário uma rotina de exercícios personalizada. O processamento adicional dos dados
pessoais para identificar erros técnicos de tal aplicativo será considerado compatível, porque a melhoria
da eficiência da aplicação está vinculada à finalidade original. Além disso, o fato de que a empresa pode
querer melhorar as capacidades técnicas do aplicativo de fitness pode ser razoavelmente esperada pelos
usuários;443
• Para ajudar pacientes com diabetes, um aplicativo monitora os níveis de concentração de açúcar no
sangue. O aplicativo tem a capacidade de compartilhar informações pessoais com uma empresa que
vende medicamentos para diabetes. A promoção e comercialização de medicamentos para diabetes não
será compatível com o objetivo original, que é monitorar as concentrações de açúcar no sangue para
avaliar quando a medicação deve ser tomada pelos pacientes;444
• Um profissional de área de saúde coleta dados pessoais para poder avaliar e tratar a condição médica
de seus pacientes. Compartilhar a lista de pacientes com uma empresa de seguros para que ofereça seus
serviços (por exemplo, seguro de vida ou de saúde) será considerado incompatível com a finalidade
original para a qual os dados pessoais foram coletados;445
• Lojas on-line coletam informações de visitantes. Embora nem todos os tipos de dados coletados sejam
estritamente necessários para fornecer acesso e realizar compras, são muito úteis para o controlador
analisar o comportamento de seus clientes e potenciais clientes em seu comércio eletrônico. Tais dados
permitem o aprimoramento de serviços aos clientes, seja quanto à performance do site, seja de avaliação
de produtos mais acessados, por exemplo. Assim, poderia ser defensável a legitimidade da finalidade,
apesar de tais dados não serem essenciais para a venda do produto ou serviço, desde que haja
consentimento prévio;
• Uma emissora de televisão a cabo coleta dados pessoais dos clientes, com base no consentimento,
para apresentar sugestões direcionadas de novos filmes de interesse dos titulares, de acordo com seus
hábitos de visualização. Posteriormente, a emissora decide permitir que terceiros enviem ou exibam
publicidade direcionada com base nesses hábitos de visualização dos assinantes. Dado a esse novo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
propósito, será necessário um novo consentimento.446
Portanto, o controlador deverá identificar e avaliar previamente as finalidades específicas para as quais os dados
pessoais pretendem ser tratados. No caso de intenção de processamento posterior, para outro propósito, deverá
verificar se é compatível com a finalidade para a qual os dados pessoais foram coletados originalmente. Se identificar
referida compatibilidade, não será necessária a adoção de qualquer medida para atender outra fundamentação legal
para o tratamento. No entanto, no caso de incompatibilidade, também de acordo com o princípio da transparência,
deverá cientificar adequadamente os titulares, obtendo consentimento adicional em relação ao novo propósito; ou
satisfazendo uma das outras hipóteses taxativas que justifique o tratamento.
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o
contexto do tratamento;
O princípio da adequação está vinculado ao da finalidade, pois prevê que o tratamento de dados pessoais somente
pode ser realizado quando houver compatibilidade com as finalidades informadas ao titular, de acordo com o contexto
do tratamento.
Assim, se os batimentos cardíacos diários de alguém são coletados,por um relógio inteligente, e tratados, por uma
empresa especializada em dar feedbacks ao usuário acerca da manutenção de uma vida saudável, desde que o titular
seja informado previamente, com o consentimento específico e destacado (por serem dados sensíveis, nesse caso), o
tratamento será considerado adequado. Porém, caso tais dados sejam tratados para formação de perfis para que outras
empresas possam ofertar produtos para insuficiência cardíaca ou propostas de serviços para uma vida menos
sedentária, haverá uma descontextualização da finalidade informada ao titular. Nota-se que a inequação do
tratamento não estará na formação de perfis, que podem ser traçados para a finalidade informada de feedback, mas
sim no uso secundário e fora de contexto do tratamento.
Analisar o contexto do tratamento, se de acordo com as finalidades informadas ao titular, com o uso do big data, IoT
e Inteligência Artificial, torna-se ainda mais relevante. Por exemplo, dispositivos que coletam dados de saúde de
cidadãos podem antever epidemias, servindo os dados de grande valor para agências governamentais agirem
preventivamente na proteção da sociedade. Assim, Lokke Moerel e Corien Prins provocam uma discussão interessante:
a avaliação do interesse legítimo, na atual era, seria mais adequada do que uma análise única e segregada da limitação
da finalidade, que continua sendo relevante, mas deve estar vinculada ao interesse legítimo e não mais ao objetivo
original da coleta de dados.447
Referida provocação faz sentido, pois, anteriormente, a coleta de dados pessoais servia como requisito para a
utilização de um serviço, como na abertura de uma conta em um banco, mediante o fornecimento de dados cadastrais.
Os dados eram principalmente um subproduto da finalidade para a qual eles foram coletados. Porém, agora, dados
fazem praticamente parte dos próprios serviços, como nos casos de cidades inteligentes, automação domiciliar ou
automóveis autônomos. A limitação da finalidade deverá ser analisada de forma mais abrangente, dentro da
compatibilidade e do contexto do tratamento, mas não como um cheque em branco, é claro.
Nesse sentido, em sua Opinion 8/2014, sobre IoT, o Art. 29 WP passou a revelar a importância da aplicação inicial do
teste do interesse legítimo como base legal, para então verificar o cumprimento do princípio da limitação da
finalidade.448
Já a Opinion sobre Limitação de Propósito, do mesmo Art. 29 WP, explica que, para a avaliação da existência do
interesse legítimo, também será analisado o “o contexto do processamento”, incluindo “a natureza da relação
subjacente entre o responsável pelo tratamento e os titulares dos dados, quer sejam para fins comerciais ou não”.
Assim, os elementos do princípio finalidade, incluindo a compatibilidade do tratamento posterior com o propósito
inicial, estariam também contemplados quando realizado o teste do cumprimento do princípio da adequação,
avaliando a compatibilidade do tratamento com as finalidades informadas, de acordo com o seu contexto.
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com
abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de
dados;
Conforme adiantado, o princípio da necessidade guarda relação direta com os princípios anteriores, da finalidade e
da adequação, visto que enfatiza a delimitação da licitude do tratamento de dados pessoais de acordo com a sua
finalidade. Porém, a sua característica principal é a de ressaltar a limitação do tratamento ao mínimo necessário para
se atingir a finalidade pretendida (Data Minimisation), mediante avaliação de quais espécies de dados são realmente
imprescindíveis (dados pertinentes e não excessivos).
Outra questão relevante quanto ao princípio em tela é a necessidade de também ser analisada, sempre antes do seu
início, a proporcionalidade do tratamento (incluindo as espécies de dados, toda a operação do tratamento e resultados
almejados) com os riscos aos direitos dos titulares.
O controlador, portanto, deve buscar a seguintes respostas previamente ao tratamento: a finalidade pretendida
pode ser atingida de outro modo, sem a utilização de dados pessoais? Se a resposta for negativa, quais as espécies de
dados449 realmente são essenciais ao tratamento? Qual o volume mínimo de dados para o tratamento? Finalmente,
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
Douglas Geraldo
superadas todas essas questões, mesmo utilizando as espécies de dados essenciais, no menor volume possível, é
proporcional a realização desse tratamento diante dos potenciais riscos aos direitos dos titulares? O já analisado
Relatório de Impacto à Proteção de Dados Pessoais se apresenta justamente para responder todas essas perguntas.
No GDPR, o princípio da necessidade é denominado como minimização dos dados450 e limitação da conservação,451 de
forma que os dados pessoais deverão ser adequados, pertinentes e limitados ao necessário para os propósitos do
tratamento. Para isso, é necessário assegurar que o prazo de conservação seja limitado ao mínimo necessário, devendo
o controlador fixa-los para descartar os dados ou rever periodicamente a sua necessidade e conformidade. A
permissão para o tratamento ocorre quando a finalidade pretendida não puder ser atingida de forma razoável por
outros meios.452
Assim, quaisquer políticas empresariais baseadas em “reter tudo” possivelmente serão consideradas ilícitas. Para
atingir um certo grau de segurança jurídica, o controlador deverá realizar um teste de razoabilidade e adequação. Se a
natureza e a quantidade de dados pessoais forem proporcionais em relação aos objetivos do tratamento, o
procedimento possivelmente será lícito.
Um exemplo de avaliação de adequação é a coleta de dados biométricos, como impressões digitais, para controle de
entrada e de saída de pessoas em determinados ambientes ou corporações, diante da necessidade de autenticação das
mesmas, em vez do uso de meios alternativos e menos invasivos, que alcançariam a finalidade de forma praticamente
equivalente, como mediante a entrega e o uso de cartões de identidade privados com chip.
O já citado caso julgado pelo STJ453 menciona expressamente o princípio da minimização dos dados do GDPR454 para
declarar abusiva e ilegal cláusula prevista em contrato de prestação de serviços de cartão de crédito, que autoriza o
banco contratante a compartilhar dados dos consumidores com outras entidades financeiras, sem que seja dada opção
de discordar daquele compartilhamento.
A Promotoria de Justiça de Defesa do Consumidor de Belo Horizonte/MG455, no procedimento administrativo que
resultou na multa de R$ 7.930.801,72, por condicionar descontos a fornecimento de CPF, ressaltou a ilicitude da
conduta nos seguintes termos:
sob a falsa informação de fidelização ou concessão de vantagens, o fornecedor literalmente captura o
CPF do consumidor ao condicionar a concessão de descontos, os quais obviamente o consumidor deseja,
ao praticamente compeli-lo a digitar o CPF para obter o desconto. Nesse sentido, a informação de que a
inserção do CPF é facultativa ao consumidor, mas que se não o fizer caracteriza prática abusiva, pois a
concessão de descontos não pode estar condicionada ao fornecimento de dados pessoais.
E prossegue, justamente no sentido da importância da avaliação da necessidade e da proporcionalidade da coleta
de dado pessoal para atingir a finalidade pretendida: “Não haveria abusividade se o fornecedor condicionasse o
fornecimento de descontos à participação de um programa de fidelidade, com cadastramento prévio pelo consumidor
após conhecer e aceitar todos os termos de condições do programa […]”.
Leonardo Roscoe Bessa, citado pelo STJ na paradigmática decisão sobre scoring de crédito, já citada anteriormente,
expõe que
se pode ser verdadeiro que, sob a ótica econômica, quanto mais informações, melhor a avaliação de
crédito (more is better), para o