MONOGRAFIA ANÁLISE SOBRE O CONSENTIMENTO E A AUTODETERMINAÇÃO INFORMATIVA NA LEI GERAL DE PROTEÇÃO DE DADOS

Prévia do material em texto

ORGANIZAÇÃO APARECIDO PIMENTEL DE EDUCAÇÃO E CULTURA – OAPEC 
FACULDADE DE ADMINISTRAÇÃO DE SANTA CRUZ DO RIO PARDO – FASC 
 
 
 
 
 
 
 
 
 
 
 
DIEGO MARTINS CARVALHO 
 
 
 
 
 
 
 
 
 
 
ANÁLISE SOBRE O CONSENTIMENTO E A AUTODETERMINAÇÃO 
INFORMATIVA NA LEI GERAL DE PROTEÇÃO DE DADOS 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
SANTA CRUZ DO RIO PARDO 
2021 
 
 
ORGANIZAÇÃO APARECIDO PIMENTEL DE EDUCAÇÃO E CULTURA – OAPEC 
FACULDADE DE ADMINISTRAÇÃO DE SANTA CRUZ DO RIO PARDO – FASC 
 
 
 
 
 
 
 
 
 
 
 
DIEGO MARTINS CARVALHO 
 
 
 
 
 
 
 
 
 
 
ANÁLISE SOBRE O CONSENTIMENTO E A AUTODETERMINAÇÃO 
INFORMATIVA NA LEI GERAL DE PROTEÇÃO DE DADOS 
 
 
 
 
 
Trabalho de Conclusão de Curso 
apresentado à Banca Examinadora do 
curso de Direito da Faculdade de 
Administração de Santa Cruz do Rio 
Pardo para a obtenção do grau de 
bacharel em Direito sob orientação da 
Professor Alexandre Pimentel. 
 
 
 
 
 
 
 
 
SANTA CRUZ DO RIO PARDO 
2021 
 
 
ORGANIZAÇÃO APARECIDO PIMENTEL DE EDUCAÇÃO E CULTURA – OAPEC 
FACULDADE DE ADMINISTRAÇÃO DE SANTA CRUZ DO RIO PARDO – FASC 
 
 
 
 
 
 
 
DIEGO MARTINS CARVALHO 
 
 
 
 
 
 
ANÁLISE SOBRE O CONSENTIMENTO E A AUTODETERMINAÇÃO 
INFORMATIVA NA LEI GERAL DE PROTEÇÃO DE DADOS 
 
 
 
 
 
Trabalho de Conclusão de Curso 
apresentado à Banca Examinadora do 
curso de Direito da Faculdade de 
Administração de Santa Cruz do Rio 
Pardo para a obtenção do grau de 
bacharel em Direito sob orientação da 
Professor Alexandre Pimentel. 
 
Data da defesa: ____/____/______ 
 
 
Banca Examinadora 
 
 
 
Prof. __________________________ 
 
 
 
Prof. __________________________ 
 
 
 
Prof. __________________________ 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Primeiramente dedico este trabalho a 
Deus por me conceder o dom da vida e 
me servir de combustível para transpor as 
barreiras encontradas nessa longa 
caminhada. Dedico também à toda minha 
família, em especial aos meus pais Raul e 
Elizabeth que sempre acreditaram e me 
incentivaram, servindo de fonte para 
minhas inspirações. 
 
 
 
 
 
 
 
AGRADECIMENTOS 
 
 
Agradeço ao professor Alexandre Pimentel por ter aceitado ser o orientador 
deste trabalho e dar todo apoio necessário para que fosse possível sua realização. 
Aos professores que lecionaram durante os meus 5 anos de curso, 
transmitindo seus conhecimentos e experiências, que fizeram toda diferença para 
meus novos horizontes. 
 A todos que me apoiaram de certa forma para a concretização deste trabalho. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
RESUMO 
 
 
A presente pesquisa tem por finalidade analisar a Lei nº 13.709, de 14 de 
agosto de 2018, que trata da proteção de dados pessoais, bem como quanto à 
intimidade e a privacidade, à luz do direito da autodeterminação informacional e do 
consentimento, princípios basilares da Lei Geral de Proteção de Dados. Para 
elucidar tais questões, o presente trabalho tem por objetivo esclarecer aspectos 
jurídicos importantes relacionados à proteção de dados, analisando os conceitos da 
autodeterminação informativa e consentimento, verificando se a lei é capaz de 
fornecer a segurança necessária para os usuários e se com as medidas adotadas 
realmente é possível ter o controle sobre seus dados. A pesquisa em seu decorrer 
trás aspectos importantes sobre o poder de autodeterminação e consentimento 
proposto pela lei, demonstrando os artigos que devem ser respeitados para que o 
poder da autodeterminação seja realmente possível e os requisitos no que diz 
respeito ao consentimento para que ele seja aceito de forma a trazer segurança 
tanto ao titular dos dados quanto ao controlador no momento do tratamento de 
dados. Quanto à metodologia, utilizou-se uma análise indutiva, partindo de 
pesquisas bibliográficas e documental de livros e artigos. Conclui-se ao final que, 
embora importante avanço a legislação brasileira no que diz respeito ao tratamento 
de dados e a sua proteção, existe ainda um pseudoconsentimento, frente a limitação 
intelectual e racional do ser humano em conseguir controlar todo esse poder de 
consentimento lhe dado. Por isso, a importância da implementação de novas 
tecnologias para que facilite o consentimento, lhe tornando possível. Ao se falar em 
autodeterminação informacional, não se trata de um único direito e sim de um 
conjunto de direitos reservados aos titulares que quando respeitados e atendidos 
torna possível seu exercício. 
 
 
 
Palavras-chave: Lei Geral de Proteção de Dados; Privacidade; Intimidade; 
autodeterminação informacional; Consentimento; 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
ABSTRACT 
 
 
This research aims to analyze Law No. 13.709, of August 14, 2018, which deals with 
the protection of personal data, as well as intimacy and privacy, in light of the right of 
informational self-determination and consent, basic principles of General Data 
Protection Law. To elucidate such issues, this work aims to clarify important legal 
aspects related to data protection, analyzing the concepts of informative self-
determination and consent, verifying whether the law is able to provide the necessary 
security for users and whether with the measures adopted it really is possible to have 
control over your data. The research in progress brings important aspects about the 
power of self-determination and consent proposed by the law, demonstrating the 
articles that must be respected so that the power of self-determination is really 
possible and the requirements regarding consent for it to be accepted from in order 
to bring security to both the data subject and the controller at the time of data 
processing. As for the methodology, an inductive analysis was used, based on 
bibliographic and documentary research of books and articles. It is concluded at the 
end that, although Brazilian legislation is important in terms of data processing and 
data protection, there is still a pseudo-consent, given the intellectual and rational 
limitation of human beings in being able to control all this power of consent given to 
them. Therefore, the importance of implementing new technologies to facilitate 
consent, making it possible. When talking about informational self-determination, it is 
not a single right, but a set of rights reserved to the holders which, when respected 
and attended to, makes its exercise possible. 
 
 
 
Keywords: General Data Protection Law; Privacy; Intimacy; Informational self-
determination; Consent; 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
SUMÁRIO 
 
 
1 INTRODUÇÃO ......................................................................................................... 8 
 
2 SOCIEDADE DA INFORMAÇÃO .......................................................................... 11 
 
3 PROTEÇÃO JURÍDICA AOS DADOS PESSOAIS NO BRASIL ........................... 13 
3.1 Direito à privacidade e à intimidade ................................................................ 13 
3.2 Direito à proteção aos dados pessoais ........................................................... 17 
 
4 GENERAL DATA PROTECTION REGULATION - GDPR .................................... 22 
 
5 LEI GERAL DE PROTEÇÃO DE DADOS: 13.709/2018 ....................................... 25 
 
6 O CONSENTIMENTO NA LGPD ........................................................................... 39 
6.1 Consentimento livre .......................................................................................... 44 
6.2 Consentimento informado ................................................................................ 46 
6.3 Consentimento inequívoco .............................................................................. 49 
6.4 Consentimento com finalidade específica e determinada ............................. 50 
 
7 AUTODETERMINAÇÃO INFORMATIVA .............................................................. 52 
7.1 Princípios da autodeterminação informativa ..................................................54 
 
8 ANÁLISE ACERCA DO CONSENTIMENTO E AUTODETERMINAÇÃO 
INFORMATIVA ......................................................................................................... 56 
 
9 CONSIDERAÇÕES FINAIS ................................................................................... 62 
 
10 CONCLUSÃO ...................................................................................................... 66 
 
REFERÊNCIAS ......................................................................................................... 67 
8 
 
1 INTRODUÇÃO 
 
 
É notório que os avanços tecnológicos trouxeram grandes benefícios à 
sociedade, em especial a internet possibilitou o encurtamento de distâncias, facilitou 
a comunicação, ampliou a interação entre as pessoas, revolucionou a forma de fazer 
negócios, permitindo por exemplo que se faça uma compra sem sair de casa, no 
entanto, para que se consuma toda essa tecnologia a sociedade em geral é forçada 
a se expor, fornecendo dados pessoais e muitas vezes sensíveis. 
 As interações sociais são cada vez mais mediadas pela tecnologia, o que 
torna tudo “datificado”, surge aí a chamada “sociedade da informação”. Toda essa 
grande massa de informação (Big Data) passa a ser trabalhada como um produto, 
vendida e compartilhada entre empresas, que irão utilizá-las para definir suas regras 
de negócios, quais as melhores formas de produção, quais os interesses em seus 
produtos, suas estratégias de marketing e influenciar os usuários nas tomadas de 
decisões, inclusive políticas. 
A Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018), 
que entrou em vigor no ano de 2020, depois de 24 meses da sua sanção. A LGPD 
surge sob influência do regulamento Europeu - General Data Protection Regulation 
(GRPD) - com o desígnio de tratar sobre a proteção de dados pessoais no Brasil, 
implementando mudanças no panorama da coleta, armazenamento, acesso, 
gerenciamento, compartilhamento e uso das informações pessoais. Importante 
ressaltar que, a aplicabilidade da Lei também diz respeito aos dados em estado 
físico ou off-line, migrando ou não, posteriormente, para o meio digital ou on-line. 
Dessa forma, a LGPD tem como objetivo proteger os direitos fundamentais de 
liberdade e de privacidade, e a livre formação da personalidade de cada indivíduo, 
além de fomentar o desenvolvimento econômico e tecnológico, protegendo os dados 
pessoais dos titulares, especialmente os dados pessoais sensíveis. 
A partir dessas considerações, há a necessidade de se fazer algumas 
análises quanto à intimidade e a privacidade, à luz do direito da autodeterminação 
informacional e do consentimento, princípios basilares da LGPD. 
Para elucidar tais questões, o presente trabalho tem por objetivo esclarecer 
aspectos jurídicos importantes relacionados à proteção de dados pessoais presentes 
na Lei Geral de Proteção de Dados, analisando os conceitos da autodeterminação 
9 
 
informativa e consentimento, verificando se a lei é capaz de fornecer a segurança 
necessária para os usuários e se com as medidas adotadas realmente é possível ter 
o controle sobre seus dados. 
 Com isso, o estudo será dividido em 10 capítulos, no primeiro e segundo 
capítulo será feita uma análise sobre a evolução da informação perante a sociedade, 
sendo o terceiro capítulo reservado a estudar o direito à privacidade e intimidade no 
nosso ordenamento jurídico e ainda explicitar o surgimento, a evolução jurídica da 
proteção de dados pessoais, os princípios que norteiam o direito tutelado e as 
legislações que serviram de amparo jurisdicional. 
No quarto capítulo será comentado de maneira breve sobre a GDPR, 
regulamento que serviu de inspiração para a formulação da Lei de Proteção de 
Dados no Brasil. 
No quinto capítulo adentra-se no ponto principal da pesquisa, no que tange à 
Lei Geral de Proteção de Dados, onde será estudado artigos específicos para se 
compreender a importância dada à autodeterminação e ao consentimento, artigos 
esses que definem a finalidade da Lei, seus fundamentos, quais operações ela se 
aplica ou não, definição de conceitos, princípios e medidas exigidas para o 
tratamento de dados. 
No sexto capítulo, será analisado o conceito do consentimento na LGPD e 
suas variantes, assim como a sua exigência para que possa haver a coleta e 
tratamentos de dados. 
No sétimo capítulo, será estudado a autodeterminação informacional, sua 
conceituação e características, para que se possa analisar sua aplicação como 
direito absoluto. 
No oitavo capítulo, será analisado a aplicabilidade do direito de 
consentimento e da autodeterminação informativa, e verificado se mesmo com as 
medidas impostas pelo LGPD, é possível que o titular dos dados possa ter o real 
controle sobre eles. 
No nono capítulo, será apresentado as considerações finais, apresentando 
quais eram os objetivos e objetos da pesquisa, demonstrando se os mesmos foram 
alcançados. E por fim, no décimo capítulo uma breve conclusão. 
Ademais, a pesquisa não visa esgotar todo o assunto e o procedimento 
metodológico utilizado será, principalmente, de pesquisas bibliográficas, com analise 
de conteúdos documentais, tais como livros, teses, monografias, artigos científicos, 
10 
 
sites governamentais e via internet, desta forma recorrer-se-á ao método indutivo. 
Feito isso, houve uma ordenação das informações obtidas e a posterior análise dos 
dados. Assim, a pesquisa é de natureza bibliográfica, exploratória, descritiva e 
interpretativa, de cunho qualitativo, mediante análise doutrinária e documental. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
11 
 
2 SOCIEDADE DA INFORMAÇÃO 
 
 
O homem como ser pensante, adaptável e evolutivo, ao longo de sua vida 
em sociedade, passou por diversas transformações. Em cada momento dessa longa 
jornada, existiu um elemento essencial, que foi determinante para que essa 
evolução ocorresse, de forma a propiciar uma melhor qualidade de vida ou 
satisfação do seu eu. 
No início, vivíamos em um mundo em que os negócios eram realizados no 
“boca a boca”, as fontes de riqueza provinham da terra, por meio da produção 
agrícola e a prática comercial era o escambo. Até a sociedade pré-industrial, a 
documentação acerca das relações pessoais era restrita a uma pequena parte da 
vida das pessoas, poucos fatos da rotina de vida eram documentados de forma 
escrita, por conta da facilidade de coleta de informações e proximidade das 
relações. Após esse período, com a criação das máquinas a vapor e da eletricidade, 
passamos à era da sociedade industrial, onde se verifica um abandono das relações 
pessoais pela perda de confiança, e a adoção de relações mais racionais, onde 
presencia-se uma maior importância da informação documentada, para que se 
possa aproveitá-las no desenvolvimento econômico da sociedade: 
 
O modelo de produção industrial fez necessário que se 
enrobustecesse o registro dos fatos e acontecimentos diários, como 
forma de auxílio à memória, como forma de fazer evidências e como 
ferramentas para o próprio planejamento da vida. A divisão de 
tarefas, bem como as máquinas e produtos tinham que ser 
planejados, controlados e dirigidos. Sem documentação e 
contabilidade nada disso seria possível. Ao contrário, antes desta 
era, tinha-se uma produção e estruturação “de boca em boca”. Para 
o método adotado na produção industrial, que se impôs na Europa 
desde o fim do século XVIII, já não era mais suficiente este modo de 
armazenamento tradicional de informações. (SCHAAR, 2011, p. 4) 
 
A partir daí, e com a evolução tecnológica rápida e constante, a importância 
dada ao armazenamento, documentação e uso das informações pessoais, vem 
crescendo a cada dia, o que culminou na sociedade informacional que conhecemos 
hoje. 
Atualmente, a sociedade vive em outro momento revolucionário, em uma 
nova forma de organização, os computadores antesgigantescos, de difícil manuseio 
e caros, deram espaço à equipamentos compactos e relativamente baratos em 
12 
 
relação ao seu poder de processamento cada dia maior. Criou-se mecanismos 
capazes de processar e transmitir informações em quantidade e velocidade jamais 
imaginável, esse novo momento alterou até mesmo nosso modo de se relacionar. 
Nas palavras de Bioni: 
 
Os relacionamentos sociais foram energizados por um fluxo 
informacional que não encontram mais obstáculos físicos distanciais. 
Há uma nova compreensão (mais abreviada) da relação entre tempo-
espaço, o que outrora acarretava maior cadência às interações 
sociais. (BIONI, 2020, p. 4) 
 
Por isso, a denominação de sociedade informacional. A informação é o 
elemento determinante, central e estruturante, que reorganiza a sociedade atual, 
assim como fizeram os elementos anteriores a está Era. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
13 
 
3 PROTEÇÃO JURÍDICA AOS DADOS PESSOAIS NO BRASIL 
 
 
3.1 Direito à privacidade e à intimidade 
 
 Nesse contexto, demonstra-se inevitável discorrer, mesmo que brevemente, 
acerca da evolução dos meios de proteção e dos direitos constitucionais, que no 
primeiro momento não dizem respeito propriamente à proteção de dados pessoais, 
mas que, no conceito concreto de “direito fundamental” servem de base para a tão 
almejada proteção de dados pessoais. Conforme leciona João Trindade Cavalcante 
Filho (2010), tais direitos vem com o surgimento do movimento constitucional como 
instrumento de limitação do poder estatal, mas que no transcorrer da história passa 
a ser fundamental contra qualquer tipo de violação, tanto estatal, quanto por 
particulares. Esses direitos são a privacidade e a intimidade, diretamente ligados à 
dignidade da pessoa humana, que serão estudados adiante. 
Há uma discussão constantemente em curso sobre a natureza do conceito 
de privacidade, se seria um valor natural ao homem, como o direito à vida, ou se 
seria uma construção social e civilizatória, dependente do manejo de outros valores 
complexos, como a segurança, o bem-estar e a própria dignidade da pessoa. 
Embora de difícil manejo solidificar o conceito de privacidade, torna-se 
relativamente aprazível chancelar que ela sempre esteve diretamente dependente 
do estado da tecnologia de determinada sociedade. 
As primeiras organizações tribais tinham como propriedade a sobrevivência, 
em ambientes hostis ao ser humano. Daí a escolha, consciente ou inconsciente, 
desejar um certo grau de isolamento de assuntos pessoais diante da exposição ou 
intromissão social ou pública. 
Desde as primeiras discussões jurídicas mais profundas sobre o tema, 
passou-se a compreender a privacidade sob a ótica de um direito do indivíduo. 
Assim, a preocupação com a proteção de dados pessoais está associada à própria 
noção de proteção da privacidade, um bem jurídico cuja inviolabilidade foi elevada 
ao status de direito fundamental pelas principais constituições democráticas do 
mundo. 
Sociedades civilizadas perceberam que a proteção da privacidade é um 
elemento indissociável da dignidade da pessoa, razão pela qual qualquer ato capaz 
14 
 
de afetar a intimidade do cidadão seria também um ato atentatório à experiencia 
humana de uma vida digna. 
O direito à privacidade está previsto como direito da pessoa na Declaração 
Universal de Direitos Humanos (ONU, 1984), e em nosso ordenamento jurídico, a 
privacidade se apresenta como Direito e Garantia Fundamental, conforme disposto 
na Constituição Federal, ao cravar que são invioláveis a intimidade e a vida privada, 
assegurado o direito a indenização pelo dano material ou moral decorrente de sua 
violação. Por sua vez, o Código Civil dispõe que a vida privada da pessoa natural é 
inviolável, e o juiz, a requerimento do interessado, adotará as providencias 
necessárias para impedir ou fazer cessar ato contrário a essa norma. 
A inviolabilidade de dados, independentemente do sigilo da correspondência, 
comunicações telegráficas e telefônicas, também está presente em nossa 
Constituição Federal, em seu art. 5º, inc. XII, e foi consolidada por força de 
julgamento no Supremo Tribunal Federal (STF). 
Para Danilo Doneda (2020), a tutela da privacidade envolvendo dados 
pessoais não nos permite determinar parâmetros para julgar o que ela representa 
em um mundo no qual o fluxo de informações aumenta incessantemente, assim 
como aumenta o número de oportunidades de realizarmos escolhas que podem 
influir na definição da nossa esfera privada. 
O direito à privacidade liga-se diretamente ao direito da personalidade da 
pessoa humana, que são inerentes ao próprio homem que, Carlos Roberto 
Gonçalves, definiu como: 
 
A concepção dos direitos da personalidade apoia-se na ideia de que, 
a par dos direitos economicamente apreciáveis, destacáveis da 
pessoa de seu titular, como a propriedade ou o crédito contra um 
devedor, outros há, não menos valiosos e merecedores da proteção 
da ordem jurídica, inerentes à pessoa humana e a ela ligados de 
maneira perpétua e permanente. São os direitos da personalidade, 
cuja existência tem sido proclamada pelo direito natural, destacando-
se, dentre outros, o direito à vida, à liberdade, ao nome, ao próprio 
corpo, à imagem e à honra. (GONÇALVES, 2014, p. 157) 
 
Ainda de acordo com Gonçalves (2014), no Brasil, têm sido tutelados em leis 
especiais e principalmente na jurisprudência, a quem coube a tarefa de desenvolver 
a proteção à intimidade do ser humano, sua imagem, seu nome, seu corpo e sua 
dignidade. 
15 
 
Francisco Amaral (2008) define os direitos da personalidade como “direitos 
subjetivos que têm por objeto os bens e valores essenciais da pessoa, no seu 
aspecto físico, moral e intelectual”. Por sua vez, Maria Helena Diniz (2012), com 
apoio na lição de Limongi França, os conceitua como “direitos subjetivos da pessoa 
de defender o que lhe é próprio, ou seja, a sua integridade física (vida, alimentos, 
próprio corpo vivo ou morto, corpo alheio vivo ou morto, partes separadas do corpo 
vivo ou morto); a sua integridade intelectual (liberdade de pensamento, autoria 
científica, artística e literária); e a sua integridade moral (honra, recato, segredo 
profissional e doméstico, identidade pessoal, familiar e social). 
Importante salientar que a interpretação de privacidade vem se alterando 
substancialmente, devido às mudanças trazidas pelos avanços tecnológicos e a 
maior vulnerabilidade a que o titular dos dados pessoais está exposto. O direito à 
privacidade vem ganhando novos contornos no âmbito internacional e clama por 
maior autonomia. O direito à proteção de dados pessoais visa garantir que o titular 
não tenha sua esfera intima invadida por terceiros e está conquistando maior 
espaço. 
Como dito anteriormente, no contexto brasileiro, a Constituição Federal de 
1988 é omissa quanto à proteção específica de dados pessoais, e, em relação ao 
direito à privacidade, confere ao indivíduo direito de não ingerência de outrem na 
vida sua privada familiar, correspondência e comunicações, conforme art. 5º, inciso 
XII: 
 
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer 
natureza, garantindo-se aos brasileiros e aos estrangeiros residentes 
no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à 
segurança e à propriedade, nos termos seguintes: 
[...] 
XII - é inviolável o sigilo da correspondência e das comunicações 
telegráficas, de dados e das comunicações telefônicas, salvo, no 
último caso, por ordem judicial, nas hipóteses e na forma que a lei 
estabelecer para fins de investigação criminal ou instrução 
processual penal. (BRASIL, 1988, on-line) 
 
Podemos afirmar também que, de forma ampla, o direito à intimidade e à vida 
privada está protegido e previsto no ordenamento jurídico brasileiro como direito 
fundamental, basta olharmos para o inciso X, do Art. 5º, da Constituição Federal de 
1988:16 
 
X - são invioláveis a intimidade, a vida privada, a honra e a imagem 
das pessoas, assegurado o direito a indenização pelo dano material 
ou moral decorrente de sua violação. (BRASIL, 1988, on-line) 
 
 Assim como tal proteção reflete nas relações entre privados, conforme Art. 21 
do Código Civil, garantindo os efetivos direitos de personalidade: 
 
Art. 21. A vida privada da pessoa natural é inviolável, e o juiz, a 
requerimento do interessado, adotará as providências necessárias 
para impedir ou fazer cessar ato contrário a esta norma. (BRASIL, 
2002, on-line) 
 
O Art. 21 nos permite reconhecer uma estrutura suficiente sobre a proteção 
da esfera privada, com um efetivo direito subjetivo à proteção da intimidade e da 
vida privada. Se torna não somente uma proteção ao direito, mas também uma 
diretiva que deve ser seguida pelo juiz e aplicada ao caso concreto. 
Maria Cláudia Cachapuz (2021), afirma ser importante analisar o Art. 187 do 
CC em conjunto ao Art. 21 do mesmo dispositivo, visto que, embora entenda-se o 
Art. 187 como um instituto regulador do abuso do direito, uma interpretação diversa 
permite a ideia da boa-fé entre as relações particulares, o que regularia a intimidade 
ou a vida privada de alguém: 
 
E nisso assume papel essencial a leitura conjunta do art. 21 ao art. 
187 do Código Civil brasileiro. Mesmo que uma primeira doutrina 
(Theodoro Jr., 2003) tenha descrito, na apreciação do art. 187, a 
manifestação jurídica do instituto do abuso do direito, quer-se, aqui, 
defender premissa diversa, no sentido de que o direito subjetivo à 
intimidade e à vida privada é, em sua essência, ilimitado quanto à 
liberdade que tutela – o que não quer dizer que não possa sofrer 
restrições. Estas, porém, partem não de uma configuração abstrata 
(no conceito), mas das condições fáticas e jurídicas que são 
impostas pelo caso concreto. 
Nessa medida, a ideia de boa-fé, como um dos elementos da 
conduta lícita do indivíduo pelo art. 187, aproxima-se da concepção 
de confiança, visando assegurar a relação do particular com o 
universal, não dispensando relevância ao princípio da igualdade na 
esfera pública. [...] Pela ideia de boa-fé, pode-se analisar a extensão 
da autoexposição promovida pelo indivíduo e medir como quer a 
pessoa aparecer no espaço público, tornar-se vista. Tal condição é 
relevante para a própria compreensão da necessidade ou não de se 
restringir uma liberdade subjetiva, a fim de tutelar a intimidade ou a 
vida privada de alguém. (CACHAPUZ, 2021, p. 101) 
 
 
 
17 
 
3.2 Direito à proteção aos dados pessoais 
 
A proteção aos dados pessoais no ordenamento jurídico brasileiro era dada 
de maneira esparsa, com o passar dos tempos, em conjunto às evoluções da 
sociedade e sua cultura, diversas leis foram sendo criadas para tratar do tema, a 
seguir exemplificaremos as principais que tratam sobre o assunto. 
Além do direito à privacidade e intimidade, que de maneira ampla se relaciona 
com o direito a proteção aos dados pessoais, ligado ao art. 5º, XII, como já foi 
explanado anteriormente, a Constituição Federal de 1988, também instituiu no seu 
art. 5º, inciso LXXII, o importante instituto do habeas data: 
 
LXXII - conceder-se-á "habeas-data": 
 
a) para assegurar o conhecimento de informações relativas à pessoa 
do impetrante, constantes de registros ou bancos de dados de 
entidades governamentais ou de caráter público; 
b) para a retificação de dados, quando não se prefira fazê-lo por 
processo sigiloso, judicial ou administrativo; (BRASIL, 1988, on-line) 
 
 O Habeas Data é um remédio constitucional, utilizado para resguardar 
direitos fundamentais, tanto de caráter público quanto privado, assim o doutrinador 
Gilmar Mendes (2009) classificou sua finalidade: 
 
Tal como decorre da própria formulação constitucional, o habeas 
data destina-se a assegurar o conhecimento de informações 
pessoais constantes de registro de bancos de dados governamentais 
ou de caráter público, podendo ensejar a retificação de dados 
errôneos deles constantes. 
O texto constitucional não deixa dúvida de que o habeas data 
protege a pessoa não só em relação aos bancos de dados das 
entidades governamentais, como também em relação aos bancos de 
dados de caráter público geridos por pessoas privadas. (MENDES, 
2009, p. 588) 
 
 Com o objetivo de regulamentar o dispositivo constitucional, a Lei 9.507/97 
trouxe as hipóteses que autorizam o Habeas Data: 
 
Art. 7° Conceder-se-á habeas data: 
 
I - para assegurar o conhecimento de informações relativas à pessoa 
do impetrante, constantes de registro ou banco de dados de 
entidades governamentais ou de caráter público; 
II - para a retificação de dados, quando não se prefira fazê-lo por 
processo sigiloso, judicial ou administrativo; 
18 
 
III - para a anotação nos assentamentos do interessado, de 
contestação ou explicação sobre dado verdadeiro, mas justificável e 
que esteja sob pendência judicial ou amigável; (BRASIL, 1997, on-
line) 
 
Outro instituto que trata sobre o tema é a Lei do Cadastro Positivo (Lei 
12.414/11), pela proposta, a Lei instituiu a criação de um banco de dados que 
contenha informações do histórico de crédito do consumidor, como valores, 
parcelamentos e pagamentos de financiamentos, cartões de crédito, empréstimos 
em bancos, dentre outras informações de operações financeiras realizadas durante 
um período de tempo específico. Esse banco de dados serve como uma espécie de 
“referência” do consumidor, por meio do qual as empresas concessoras de créditos 
irão consultá-lo e verificar a probabilidade de risco para ofertar créditos com 
menores ou maiores taxas de juros. Dessa forma, ainda que de maneira não clara, a 
Lei trata sobre o procedimento necessário para a exclusão e cancelamento desse 
cadastro, o modo como o consumidor pode ter acesso às informações de tratamento 
de seus dados e o conceito de gestor dos dados: 
 
Art. 2º Para efeitos desta Lei, considera-se: 
 
II - gestor: pessoa jurídica que atenda aos requisitos mínimos de 
funcionamento previstos nesta Lei e em regulamentação 
complementar, responsável pela administração de banco de dados, 
bem como pela coleta, pelo armazenamento, pela análise e pelo 
acesso de terceiros aos dados armazenados; 
 
Art. 4º O gestor está autorizado, nas condições estabelecidas nesta 
Lei, a: 
 
I - abrir cadastro em banco de dados com informações de 
adimplemento de pessoas naturais e jurídicas; 
II - fazer anotações no cadastro de que trata o inciso I do caput deste 
artigo; 
III - compartilhar as informações cadastrais e de adimplemento 
armazenadas com outros bancos de dados; e 
 
Art. 5º São direitos do cadastrado: 
 
I - obter o cancelamento ou a reabertura do cadastro, quando 
solicitado; 
II - acessar gratuitamente, independentemente de justificativa, as 
informações sobre ele existentes no banco de dados, inclusive seu 
histórico e sua nota ou pontuação de crédito, cabendo ao gestor 
manter sistemas seguros, por telefone ou por meio eletrônico, de 
consulta às informações pelo cadastrado; (BRASIL, 2011, on-line) 
 
19 
 
A Lei 12.527 de 2011, conhecida como Lei de Acesso à Informação Pública, 
visa regulamentar o direito constitucional de acesso às informações públicas, 
previsto no inciso XXXIII, do art. 5º da CF. Ela trata de questões relacionadas à 
informação, porém, somente sobre o direito de acesso às informações públicas no 
âmbito da União, Estados, Distrito Federal e Municípios, não se pronunciando sobre 
o direito de proteção de possíveis dados particulares e sensíveis contidos nessas 
informações disponibilizadas pelos órgãos públicos. Sendo assim, uma Lei mais 
voltada para a transparência pública e um instrumento anticorrupção, do que uma 
ferramenta realmente de proteçãode dados. 
Ainda falando em matéria infraconstitucional de proteção, podemos citar 
também o Código de Defesa do Consumidor (CDC), Lei nº. 8.078 de 1990, que trata 
do direito ao acesso, retificação e complementação de cadastros de consumidores, 
nos seus artigos 43 e 44: 
 
Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá 
acesso às informações existentes em cadastros, fichas, registros e 
dados pessoais e de consumo arquivados sobre ele, bem como 
sobre as suas respectivas fontes. 
 
§ 1° Os cadastros e dados de consumidores devem ser objetivos, 
claros, verdadeiros e em linguagem de fácil compreensão, não 
podendo conter informações negativas referentes a período superior 
a cinco anos. 
§ 2° A abertura de cadastro, ficha, registro e dados pessoais e de 
consumo deverá ser comunicada por escrito ao consumidor, quando 
não solicitada por ele. 
§ 3° O consumidor, sempre que encontrar inexatidão nos seus dados 
e cadastros, poderá exigir sua imediata correção, devendo o 
arquivista, no prazo de cinco dias úteis, comunicar a alteração aos 
eventuais destinatários das informações incorretas. 
§ 4° Os bancos de dados e cadastros relativos a consumidores, os 
serviços de proteção ao crédito e congêneres são considerados 
entidades de caráter público. 
§ 5° Consumada a prescrição relativa à cobrança de débitos do 
consumidor, não serão fornecidas, pelos respectivos Sistemas de 
Proteção ao Crédito, quaisquer informações que possam impedir ou 
dificultar novo acesso ao crédito junto aos fornecedores. 
§ 6o Todas as informações de que trata o caput deste artigo devem 
ser disponibilizadas em formatos acessíveis, inclusive para a pessoa 
com deficiência, mediante solicitação do consumidor. (Incluído pela 
Lei nº 13.146, de 2015) (Vigência) 
 
Art. 44. Os órgãos públicos de defesa do consumidor manterão 
cadastros atualizados de reclamações fundamentadas contra 
fornecedores de produtos e serviços, devendo divulgá-lo pública e 
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Lei/L13146.htm#art100
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Lei/L13146.htm#art100
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Lei/L13146.htm#art127
20 
 
anualmente. A divulgação indicará se a reclamação foi atendida ou 
não pelo fornecedor. 
 § 1° É facultado o acesso às informações lá constantes para 
orientação e consulta por qualquer interessado. 
 § 2° Aplicam-se a este artigo, no que couber, as mesmas regras 
enunciadas no artigo anterior e as do parágrafo único do art. 22 
deste código. (BRASIL, 1990, on-line) 
 
Muito embora existam todas essas legislações esparsas, criadas com o intuito 
de proteger, não se foi capaz de acompanhar a evolução tecnológica e 
consequentemente o aumento do número de dados disponíveis, coletados e 
utilizados pela sociedade, o fato de ser diversas normas, com finalidades diferentes, 
dificulta a sua aplicação, e gera ainda uma insegurança jurídica. Com isso, o 
mercado acabava criando suas próprias rotinas de tratamento de dados, cada qual a 
sua maneira, abrindo brechas para o vazamento de dados, tratamentos indevidos, 
ferindo os direitos dos proprietários. Assim aponta Gediel: 
 
Assim, é de ressaltar que os princípios que norteiam o Direito 
europeu podem, embora de forma implícita, ser identificados no 
nosso ordenamento jurídico. Entretanto, a opção pela ausência de 
disciplina legislativa, no Brasil, acaba, na pratica, por transferir para o 
mercado a tarefa de autor regulamentar a matéria, interpolada por 
intervenções estatais; em geral, marcadas pelo recurso às razões do 
Estado. (GEDIEL, 2008, p. 147) 
 
Frente a isso, em 2014 foi aprovada a Lei nº 12.965 ou “O Marco Civil da 
Internet” como também é conhecida, visando regulamentar como os direitos 
constitucionais ou contidos em leis esparsas seriam protegidos também no ambiente 
virtual. Conforme contido no art. 1º, ela prevê princípios, garantias, direitos e deveres 
para uso da internet no Brasil, como exemplo, o livre desenvolvimento da 
personalidade, a defesa do consumidor, a finalidade social da rede, além disso, a Lei 
também vem tratar da exigência do livre consentimento e expresso por parte do 
usuário, e reforça o direito à inviolabilidade da intimidade e da vida privada: 
 
Art. 7º O acesso à internet é essencial ao exercício da cidadania, e 
ao usuário são assegurados os seguintes direitos: 
 
I - inviolabilidade da intimidade e da vida privada, sua proteção e 
indenização pelo dano material ou moral decorrente de sua violação; 
II - inviolabilidade e sigilo do fluxo de suas comunicações pela 
internet, salvo por ordem judicial, na forma da lei; 
III - inviolabilidade e sigilo de suas comunicações privadas 
armazenadas, salvo por ordem judicial; 
21 
 
IV - não suspensão da conexão à internet, salvo por débito 
diretamente decorrente de sua utilização; 
V - manutenção da qualidade contratada da conexão à internet; 
VI - informações claras e completas constantes dos contratos de 
prestação de serviços, com detalhamento sobre o regime de 
proteção aos registros de conexão e aos registros de acesso a 
aplicações de internet, bem como sobre práticas de gerenciamento 
da rede que possam afetar sua qualidade; 
VII - não fornecimento a terceiros de seus dados pessoais, inclusive 
registros de conexão, e de acesso a aplicações de internet, salvo 
mediante consentimento livre, expresso e informado ou nas 
hipóteses previstas em lei; 
VIII - informações claras e completas sobre coleta, uso, 
armazenamento, tratamento e proteção de seus dados pessoais, que 
somente poderão ser utilizados para finalidades que: 
a) justifiquem sua coleta; 
b) não sejam vedadas pela legislação; e 
c) estejam especificadas nos contratos de prestação de serviços ou 
em termos de uso de aplicações de internet; 
IX - consentimento expresso sobre coleta, uso, armazenamento e 
tratamento de dados pessoais, que deverá ocorrer de forma 
destacada das demais cláusulas contratuais; 
X - exclusão definitiva dos dados pessoais que tiver fornecido a 
determinada aplicação de internet, a seu requerimento, ao término da 
relação entre as partes, ressalvadas as hipóteses de guarda 
obrigatória de registros previstas nesta Lei. [...] (BRASIL, 2014, on-
line) 
 
 Porém, ao analisar, podemos concluir que, o Marco Civil da Internet embora 
muito importante para o momento em que vivíamos, foi criado mais precisamente 
com a finalidade de expandir os direitos já garantidos na vida cotidiana, para as 
atividades realizadas nos meios digitais. No entanto, no que se refere ao tratamento 
de dados pessoais por entidades públicas ou privadas, e como esses dados serão 
utilizados e seus destinos, a legislação ainda se encontrava omissa, continuando a 
permitir que os personagens dessa cadeia se autorregulassem. 
 
 
 
 
 
 
 
 
 
22 
 
4 GENERAL DATA PROTECTION REGULATION - GDPR 
 
 
Antes de adentramos na Lei Geral de Proteção de Dados – LGPD do Brasil, 
importante comentarmos, mesmo que brevemente, a respeito do Regulamento Geral 
da Proteção de Dados (General Data Protection Regulation - GDPR) - Regulamento 
2016/679, que entrou em vigor em 25 de maio de 2018, e trouxe a inovação 
necessária para área de proteção de dados pessoais. O regulamento foi um dos 
grandes responsáveis pela criação da LGPD no Brasil e no mundo, todos as 
legislações criadas sofreram grande influência de conteúdo e tiveram por base o 
regulamento europeu, esse movimento legislativo foi como um efeito dominó. A 
Europa se antecipou no reconhecimento e na importância do aumento de fluxo de 
dados entre particulares, empresas e entes públicos, frente a mudança cultural que 
houve na sociedade. Assim criou um regulamento que adequou todas as leis de 
proteção de dados de todos, estabelecendo regras para o processamento, 
armazenamento e gerenciamento de dados de pessoas que estão atualmente na 
União Europeia. 
O Regulamento reconheceu que o aumento inevitável dofluxo de dados 
pessoais associado ao desenvolvimento de novas tecnologias e plataformas gerou a 
necessidade de adaptação e criação de novos princípios capazes de enfrentar a 
realidade virtual e também real. 
Além de regulamentar o fluxo de informações dentro da Europa, também 
trouxe exigências quanto aos sites e empresas, estabelecidas fora do território 
europeu, as quais deveriam seguir suas regras quando utilizadas ou contratadas por 
cidadãos europeus. A filosofia básica do GDPR é que, quando organizações não 
sediadas na UE processam conscientemente dados pessoais de pessoas da UE, o 
GDPR será aplicado, não importando a nacionalidade da pessoa em causa, o 
critério relevante é se as pessoas estão na UE. O artigo 3º do Regulamento 
determina as regras no âmbito de aplicação territorial: 
 
1. O presente regulamento aplica-se ao tratamento de dados 
pessoais no contexto das atividades de um estabelecimento de um 
responsável pelo tratamento ou de um transformador na União, 
independentemente de o tratamento ter lugar na União ou não. 
2. O presente regulamento aplica-se ao tratamento de dados 
pessoais de titulares de dados que se encontram na União por um 
23 
 
responsável pelo tratamento ou processador não estabelecido na 
União, quando as atividades de tratamento estão relacionadas com: 
a) a oferta de bens ou serviços, independentemente de ser 
exigido um pagamento ao titular dos dados, a esses titulares na 
União; ou 
b) o controlo do seu comportamento, desde que o seu 
comportamento tenha lugar na União. 
3. O presente regulamento aplica-se ao tratamento de dados 
pessoais por um responsável pelo tratamento não estabelecido na 
União, mas num local onde a legislação do Estado-Membro é 
aplicável por força do direito internacional público. (UE, 2016, on-line) 
 
Outro ponto importante imposto pelo GDPR, que implicou na pressão junto 
aos outros países para criarem suas leis de proteção de dados, é que, as empresas 
europeias foram vetadas expressamente de continuar negócios com empresas de 
países que não possuíssem legislação específica para tratamento de dados 
pessoais. Nesse sentido, as palavras do Min. Luis Felipe Salomão no julgamento de 
uma ação, explicam o princípio da territorialidade das leis relativas à proteção de 
dados pessoais e suas possibilidades de aplicações: 
 
A comunicação global via computadores pulverizou as fronteiras 
territoriais e criou um novo mecanismo de comunicação humana, 
porém não subverteu a possibilidade e a credibilidade da aplicação 
da lei baseada nas fronteiras geográficas, motivo pelo qual a 
inexistência de legislação internacional que regulamente a jurisdição 
no ciberespaço abre a possibilidade de admissão da jurisdição do 
domicílio dos usuários da internet para a análise e processamento de 
demandas envolvendo eventuais condutas indevidas realizadas no 
espaço virtual. (BRASIL, 2011, on-line) 
 
Isso demonstra que o Regulamento Europeu impôs e implementou diversas 
diretrizes e regras no que tange ao tratamento e proteção de dados, indo além 
inclusive do seu próprio território, expandindo sua legislação aos países que não 
tenham lei específica e que tratam de informações pertencentes às pessoas da UE, 
mas isso não retirou a liberdade de outros países membros ou não da União 
Europeia de legislarem sobre o tema. 
É nesse sentido que a GDPR influenciou os demais países, atingindo em 
especial o Brasil, que culminou na criação da LGPD, vindo a tratar do assunto mais 
especificamente que as leis esparsas já existentes na legislação vigente, como 
demonstrada anteriormente. 
A LGPD cuidou de trabalhar de maneira mais detalhada e específica os 
conceitos, regras e sanções de modo mais alinhado aos padrões internacionais. 
24 
 
No próximo capítulo veremos com mais detalhes a LGPD em vigor no Brasil, 
analisando seus pontos mais importantes, seus princípios, conceitos, regras e 
sansões, porém, não ao ponto de esgotar o assunto. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
25 
 
5 LEI GERAL DE PROTEÇÃO DE DADOS: 13.709/2018 
 
 
Depois de quase uma década de debates, o Brasil finalmente aprovou a Lei 
Geral de Proteção de Dados Pessoais. Dessa forma, a proteção de dados pessoais 
no Brasil veio a ser tratada de maneira específica a partir da edição da Lei nº 
13.709/2018. Importante ressaltar que a lei atinge tão somente dados pessoais de 
pessoas físicas, e não diretamente dados de pessoa jurídica, conforme ensina 
Maldonado et al. (2019): 
 
A Lei Geral de Proteção de Dados brasileira (LGPD) se preocupa e 
versa apenas e tão somente sobre o tratamento de dados pessoais. 
Ou seja, não atinge diretamente dados de pessoa jurídica, 
documentos sigilosos ou confidenciais, segredos de negócio, planos 
estratégicos, algoritmos, fórmulas, softwares, patentes, entre outros 
documentos ou informações que não sejam relacionadas a pessoa 
natural identificada ou identificável. Toda essa miríade de outros 
tipos de informações ou documentos encontram tutela em distintos 
diplomas legais, como a Lei de Propriedade Industrial (Lei 
9.279/1996), a Lei de Direitos Autorais (Lei 9.610/1998) e a Lei de 
Software (Lei. 9.609/1998), apenas para citar alguns exemplos. 
(MALDONADO et al., 2019, p. 19) 
 
Em suma, a lei trata sobre como as informações pessoais podem ser 
coletadas e tratadas, levando-se em conta as mais diversas formas possíveis de 
coletas dessas informações, seja a partir de cadastros, na realização de compras, 
fornecimento de serviços e outras hipóteses em que dados pessoais possam ser 
coletados. Nesse sentido, é possível encontrar na lei requisitos necessários para 
que estas informações pessoais possam ser tratadas, repassadas ou publicadas, 
esses requisitos vão desde o cadastro do tipo de informação, a idade do seu titular, 
até as formas obrigatórias de consentimento. 
Com a aprovação da lei é necessário que todos os responsáveis pela coleta, 
armazenagem e tratamento de dados, abrangendo desde empresas privadas até 
entidades governamentais ou organizações, devam se adequar às normas impostas 
pela LGPD. De acordo com as palavras de Maldonado et al. (2019): 
 
A LGPD busca a proteção de direitos e garantias fundamentais da 
pessoa natural, equilibradamente, mediante a harmonização e 
atualização de conceitos de modo a mitigar riscos e estabelecer 
regras bem definidas sobre o tratamento de dados pessoais. As 
empresas públicas e privadas que enxergarem tais proteções como 
26 
 
direitos dos cidadãos estarão um passo à frente dessa nova fase do 
Compliance, que agora, além do combate a corrupção, visa o uso 
seguro e ético dos dados pessoais. (MALDONADO et al., 2019, p. 
23) 
 
Assim, podemos dizer que o cumprimento à legislação e a adequação às 
normas da lei é quem trará na prática a garantia e sua eficácia, de modo que 
beneficie a sociedade em um todo. Outra questão que chama a atenção no art. 1º da 
legislação é a aplicabilidade também ao tratamento de dados em estado físico ou 
off-line, migrando ou não, posteriormente, para o meio digital ou on-line, vejamos: 
 
Art. 1º Esta lei dispõe sobre o tratamento de dados pessoais, 
inclusive nos meios digitais, por pessoa natural ou por pessoa 
jurídica de direito público ou privado, com o objetivo de proteger os 
direitos fundamentais de liberdade e de privacidade e o livre 
desenvolvimento da personalidade da pessoa natural. (BRASIL, 
2018, on-line) 
 
 A utilização do verbo “proteger”, no art. 1º, também demonstra essa 
necessidade coerente que o legislador enxergou no titular dos dados como 
vulnerável em comparação com os agentes de tratamento de dados. A LGPD alterou 
a Lei nº 12.965, de 23 de abril de 2014, Marco Civil da Internet (Brasil, 2014), ao 
dispor também sobre princípios, garantias, direitos e deveres para o uso da internet 
no Brasil, porém, LGPD veio para unificá-los, visando regulamentar a concessão e o 
uso de dados noambiente virtual, proporcionando ao cidadão proteção dos direitos 
fundamentais de liberdade, de privacidade e do livre desenvolvimento da 
personalidade da pessoa natural, o que é uma tendência mundial de 
regulamentação das relações jurídico-virtuais, conforme Laura Schertel Mendes e 
Danilo Doneda (2018) apontam: 
 
A lei aprovada proporciona ao cidadão garantias em relação ao uso 
dos seus dados, a partir de princípios, de direitos do titular de dados 
e de mecanismos de tutela idealizados tanto para a proteção do 
cidadão quanto para que o mercado e setor público possam utilizar 
esses dados pessoais, dentro dos parâmetros e limites de sua 
utilização. Esta é uma experiência que vem se mostrando exitosa em 
diversos outros países, introduzindo o paradigma do controle – pelo 
qual se garante ao cidadão o controle sobre seus dados, inclusive 
para que os divulgue e use, em oposição ao paradigma do segredo e 
do sigilo. A ideia é a de que, com o empoderamento do cidadão e 
com a institucionalização de mecanismos de controle e supervisão 
sobre o uso de seus dados, o cidadão passe a ser protagonista das 
decisões sobre o uso de seus dados, em linha com o conceito de 
27 
 
autodeterminação informativa, consagrada em decisão histórica da 
Corte Constitucional alemã, e agora também positivado como 
princípio na LGPD. (MENDES, Laura Schertel; DONEDA, Danilo, 
2018, p. 22) 
 
O art. 2º traz os fundamentos que serviram de base para a LGPD, conforme a 
redação legal: 
 
Art. 2º A disciplina da proteção de dados pessoais tem como 
fundamentos: 
 
I – o respeito à privacidade; 
II – a autodeterminação informativa; 
III – a liberdade de expressão, de informação, de comunicação e de 
opinião; 
IV – a inviolabilidade da intimidade, da honra e da imagem; 
V – o desenvolvimento econômico e tecnológico e a inovação; 
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; 
e 
VII – os direitos humanos, o livre desenvolvimento da personalidade, 
a dignidade e o exercício da cidadania pelas pessoas naturais. 
(BRASIL, 2018, on-line) 
 
O respeito à privacidade aparece em destaque nos fundamentos, se antes 
pelas legislações existentes não tínhamos a certeza da sua abrangência e 
expansividade para a comunicação de dados, agora diante da LGPD passou-se a 
ser objeto de proteção, podendo o titular ter o direito de determinar quais 
informações dele mesmo poderão ser utilizados. 
Em segundo temos a autodeterminação informativa, que inclusive é um dos 
objetos de estudo da pesquisa, onde se entende pelo poder do cidadão em ter 
controle sobre seus próprios dados, num momento em que a coleta de dados é 
realizada de maneira massiva, a LGPD busca devolver ao titular dos dados a 
possibilidade de determinar quem terá o direito de fazer uso de seus dados, é 
portanto, uma extensão de liberdade do indivíduo. Veremos mais a frente que essa 
autodeterminação será exercida pelos direitos pertinentes ao titular em obter dos 
controladores informações sobre seus dados, bloqueio ou eliminação, revogação de 
consentimento e etc. 
Visando garantir o equilíbrio de preceitos legais, a lei garante a liberdade de 
expressão, a fim de não causar censura prévia, para fins jornalísticos, artísticos ou 
acadêmicos, respeitando também à Lei de Acesso à informação. Da mesma forma 
que a LGPD enfatiza a privacidade, também o faz com a inviolabilidade da 
28 
 
intimidade, honra e da imagem, direitos igualmente fundamentais previstos no art. 5º 
da Constituição Federal, resguardando da intromissão de estranhos, na esfera 
inviolável do ser humano. 
Embora resguardado todos os direitos dos titulares, não se poderia deixar de 
notar a possiblidade do desenvolvimento econômico e a livre iniciativa da sociedade, 
a nova forma de economia é pautada em dados pessoais, não poderia a lei 
prejudicar o desenvolvimento social, por isso a lei dialoga com o progresso da 
sociedade. 
E por fim, como valor máximo do ordenamento jurídico, o respeito aos direitos 
humanos e o livre desenvolvimento da personalidade, é necessário permitir que o 
ser humano não sofra repreensão dos meios externos no seu desenvolvimento, 
atualmente a utilização dos dados visam influenciar as tomadas de decisões, 
chegando a projetar a vida dos usuários como desejam. 
O caput do art. 3º da LGPD trata sobre onde a lei será aplicável, ou sua 
aplicação material, deixando claro que não importa o tipo de tecnologia empregada 
para a realização do tratamento, se por meio digital ou analógico, com uso de 
inteligência artificial, de forma automatizada ou manualmente. Nesse sentido, aplica-
se a LGPD para dados existentes no papel, no prontuário médico, nos dados 
armazenados em computadores dos bancos ou até mesmo em imagens de câmeras 
de segurança por exemplo. Vejamos o art. 3º: 
 
Art. 3º Esta lei aplica-se a qualquer operação de tratamento realizada 
por pessoa natural ou por pessoa jurídica de direito público ou 
privado, independentemente do meio, do país de sua sede ou do 
país onde estejam localizados os dados, desde que: 
 
I – a operação de tratamento seja realizada no território nacional; 
II – a atividade de tratamento tenha por objetivo a oferta ou o 
fornecimento de bens ou serviços ou o tratamento de dados de 
indivíduos localizados no território nacional; 
III – os dados pessoais objeto do tratamento tenha sido coletados no 
território nacional. 
 
§ 1º. Consideram-se coletados no território nacional os dados 
pessoais cujo titular nele se encontre no momento da coleta. 
(BRASIL, 2018, online) 
 
Importante ressaltar que a aplicação da lei não se dá somente para o 
tratamento realizado por pessoas jurídicas, aplica-se também a pessoa natural, 
29 
 
desde que o tratamento seja com a finalidade de alguma atividade profissional ou 
comercial com fins econômicos. 
A LGPD também se aplica a pessoa de direito público, prevendo, entre outras 
questões, que o tratamento deverá ser realizado para o atendimento de sua 
finalidade pública, em razão do interesse público, com o objetivo de executar as 
competências legais. 
Por fim, o artigo também dispõe sobre a aplicabilidade territorial da lei, 
explicitando que independe do país da sede ou do país da localização dos dados 
tratados. As hipóteses de aplicabilidade dispostas na lei são independentes entre si, 
de modo que, preenchendo uma delas a LGPD terá seu efeito. De maneira simples, 
a LGPD sempre será aplicada quando a operação de tratamento for realizada em 
território nacional, sem levar em conta a origem dos dados, ou desde que o 
tratamento for para oferta de serviço para titulares presentes no território brasileiro. 
A última hipótese se assemelha muito com o regramento da GDPR, onde 
independentemente do local de tratamento ou nacionalidade do titular, se os dados 
foram coletados em território nacional, estarão sobre jurisprudência da LGPD. 
Conforme o § 1º do art. 3º da LGPD, são considerados coletados no território 
nacional os dados pessoais cujo titular nele se encontre no momento da coleta. 
Analisando a lei, percebe-se que não se delimitou a sua aplicação em determinado 
tipo de tratamento de dados ou de um tipo de estabelecimento do agente de 
tratamento situado no Brasil, mas sim prever o cumprimento da Lei em qualquer tipo 
de operação realizada em território nacional, culminando numa abrangência para 
qualquer tipo de atividade. Nesse sentido, Laura Schertel Mendes e Danilo Doneda 
informam as três principais características que amparam a Lei Geral de Proteção de 
Dados: 
 
Esse modelo está amparado em três características centrais: 
 
i) amplo conceito de dado pessoal; 
ii) necessidade de que qualquer tratamento de dados tenha uma 
base legal; 
iii) legítimo interesse como hipótese autorizativa e necessidade de 
realização de um teste de balanceamento de interesses. Por se 
basear em um amplo conceito de dado pessoal, todo tratamento de 
dados pessoais a princípio está submetido à LGPD, seja elerealizado pelo setor público ou privado. (MENDES, Laura Schertel; 
DONEDA, Danilo, 2018, p. 22) 
 
30 
 
A LGPD tratou de cuidar também de algumas hipóteses em que a sua 
aplicação não será realizada, são as situações previstas no art. 4º, conforme 
apontado a seguir: 
 
Art. 4º Esta lei não se aplica ao tratamento de dados pessoais: 
 
I – realizado por pessoa natural para fins exclusivamente particulares 
e não econômicos; 
II – realizado para fins exclusivamente: 
 
a) jornalístico e artísticos; ou 
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta 
lei; 
 
II – realizado para fins exclusivos de: 
 
a) segurança pública; 
b) defesa nacional; 
c) segurança do Estado; ou 
d) atividades de investigação e repressão de infrações penais; ou 
 
IV – provenientes de fora do território nacional e que não sejam 
objeto de comunicação, uso compartilhado de dados com agentes de 
tratamento brasileiros ou objeto de transferência internacional de 
dados com outro país que não o de proveniência, desde que o país 
de proveniência proporcione grau de proteção de dados pessoais 
adequado ao previsto nesta lei. (BRASIL, 2018, on-line) 
 
A tecnologia está presente na vida de todos atualmente, se trata de uma 
ferramenta crucial para o dia a dia da sociedade em geral, e que, felizmente, nos 
trouxe muitos benefícios, viabilizando uma série de atividades que envolvem o 
tratamento de dados pessoais sem fins econômicos, e que muitas vezes não são 
percebidos pelos seus titulares. Por exemplo, quando se armazena informações 
pessoais e imagens nas nuvens, quando se troca e-mails com pessoas com 
interesses em comum. Como a adequação à LGPD é complexa, as atividades 
pessoais foram excluídas da mira de fiscalização, para que a lei seja aplicada para 
questões relevantes. 
Também se limitou a possibilidade da Lei interferir na liberdade de 
pensamento, criação, expressão e acesso a informação. Inclusive tais excessos 
exercidos nessas matérias já encontram respaldo em legislações existentes, no 
entanto, o tratamento dos dados deve levar em consideração a finalidade, a boa-fé e 
o interesse público que justifiquem sua disponibilização, sendo dispensado a 
exigência do consentimento. Assim como também foram excluídos o tratamento 
31 
 
para fins de segurança, investigações criminais e medidas de repreensão, e por fim, 
quando os dados não forem brasileiros, não se comunicarem com agentes 
brasileiros e o país de origem tenha a proteção desses dados. 
Outro ponto de grande relevância em relação à LGPD foi a adequação e a 
padronização dos conceitos relacionados ao objeto da legislação para o seu melhor 
entendimento, o art. 5º é quem traz esses conceitos: 
 
Art. 5º Para os fins desta lei, considera-se: 
 
I – dado pessoal: informação relacionada a pessoa natural 
identificada ou identificável; 
II – dado pessoal sensível: dado pessoal sobre origem racial ou 
étnica, convicção religiosa, opinião política, filiação a sindicato ou a 
organização de caráter religioso, filosófico ou político, dado referente 
à saúde ou à vida sexual, dado genético ou biométrico, quando 
vinculado a uma pessoa natural; 
III – dado anonimizado: dado relativo a titular que não possa ser 
identificado, considerando a utilização de meios técnicos razoáveis e 
disponíveis na ocasião de seu tratamento; 
IV – banco de dados: conjunto estruturado de dados pessoais, 
estabelecido em um ou em vários locais, em suporte eletrônico ou 
físico; 
V – titular: pessoa natural a quem se referem os dados pessoais que 
são objeto de tratamento; 
VI – controlador: pessoa natural ou jurídica, de direito público ou 
privado, a quem competem as decisões referentes ao tratamento de 
dados pessoais; 
VII – operador: pessoa natural ou jurídica, de direito público ou 
privado, que realiza o tratamento de dados pessoais em nome do 
controlador; 
VIII – encarregado: pessoa natural, indicada pelo controlador, que 
atua como canal de comunicação entre o controlador e os titulares e 
a autoridade nacional; 
IX – agentes de tratamento: o controlador e o operador; 
X – tratamento: toda operação realizada com dados pessoais, como 
as que se referem a coleta, produção, recepção, classificação, 
utilização, acesso, reprodução, transmissão, distribuição, 
processamento, arquivamento, armazenamento, eliminação, 
avaliação ou controle da informação, modificação, comunicação, 
transferência, difusão ou extração; 
XI – anonimização: utilização de meios técnicos razoáveis e 
disponíveis no momento do tratamento, por meio dos quais um dado 
perde a possibilidade de associação, direta ou indireta, a um 
indivíduo; 
XII – consentimento: manifestação livre, informada e inequívoca pela 
qual o titular concorda com o tratamento de seus dados pessoais 
para uma finalidade determinada; 
XIII – bloqueio: suspensão temporária de qualquer operação de 
tratamento, mediante guarda do dado pessoal ou do banco de dados; 
32 
 
XIV – eliminação: exclusão de dado ou de conjunto de dados 
armazenados em banco de dados, independentemente do 
procedimento empregado; 
XV – transferência internacional de dados: transferência de dados 
pessoais para país estrangeiro ou organismo internacional do qual o 
país seja membro; 
XVI – uso compartilhado de dados: comunicação, difusão, 
transferência internacional, interconexão de dados pessoais ou 
tratamento compartilhado de bancos de dados pessoais por órgãos e 
entidades públicos no cumprimento de suas competências legais, ou 
entre esses e entes privados, reciprocamente, com autorização 
específica, para uma ou mais modalidades de tratamento permitidas 
por esses entes públicos, ou entre entes privados; 
XVII – relatório de impacto à proteção de dados pessoais: 
documentação do controlador que contém a descrição dos processos 
de tratamento de dados pessoais que podem gerar riscos às 
liberdades civis e aos direitos fundamentais, bem como medidas, 
salvaguardas e mecanismos de mitigação de risco; 
XVIII – órgão de pesquisa: órgão ou entidade da administração 
pública direta ou indireta ou pessoa jurídica de direito privado sem 
fins lucrativos legalmente constituída sob as leis brasileiras, com 
sede e foro no País, que inclua em sua missão institucional ou em 
seu objetivo social ou estatutário a pesquisa básica ou aplicada de 
caráter histórico, científico, tecnológico ou estatístico; 
XIX – autoridade nacional: órgão da administração pública indireta 
responsável por zelar, implementar e fiscalizar o cumprimento desta 
lei. (BRASIL, 2018, on-line) 
 
Um dos principais conceitos para a pesquisa é o do dado pessoal e do que 
ele se trata, conforme inciso I. Uma particularidade importante é que de acordo com 
Maldonado et al. (2019), o Brasil adotou o conceito expansionista de dado pessoal, 
pelo qual não somente a informação relativa a pessoa diretamente identificada 
estará protegida pela Lei, mas também qualquer informação que tenha o potencial 
de tornar a pessoa identificável, por exemplo, e-mail, hábitos, gostos e interesses, 
não são dados diretos da pessoa, mas que relacionados a torna identificável. 
Importante lembrar que somente os dados de pessoas naturais são abrangidos pela 
LGPD, não levando em consideração as pessoas jurídicas. 
 Nos incisos II e III, temos dois outros conceitos importantes, “dados pessoais 
sensíveis” e “dados anonimizados”. Dados pessoais sensíveis são aqueles que 
tratam de etnia, raça, crenças religiosas, opiniões políticas, dados 
genéticos/biométricos, além de informações sobre filiação da pessoa natural a 
quaisquer organizações. São dados que podem trazer algum tipo de discriminação 
quando tratados, implicando riscos e vulnerabilidades mais gravosas aos direitos 
fundamentais dos titulares. Aos dados sensíveis, devido à vulnerabilidade oferecida 
33 
 
ao titular mediante a coleta e tratamento de dados que exponham preferências 
vinculadas a seu espectro íntimo, a LGPD confere um escopo de proteção ampliado, 
além de dedicar obrigações diferenciadase limitadas ao tratamento de dados 
sensíveis, dispostas no art. 11 da LGPD que será abordado brevemente logo mais. 
Para compreender o conceito de dado anonimizado, é necessário entender o 
instituto da anonimização, que é um processo pelo qual é quebrado o vínculo entre 
os dados e seus respectivos titulares. De acordo com Bioni (2020), esse processo 
pode se valer de diferentes técnicas que buscam eliminar elementos identificadores 
de uma base de dados, variando entre: a) supressão; b) generalização; c) 
randomização e; d) pseudoanonimização. Deve-se identificar quais elementos dos 
dados poderiam ser modificados por algumas dessas técnicas, e então torná-los 
anonimizados. Sabe-se que a LGPD não é aplicável ao dado considerado 
anonimizado, com a ressalva de que não sejam aplicados meios técnicos e 
disponíveis além dos utilizados no momento da anonimização para tornar esses 
dados identificáveis. Estudos já demonstraram a possibilidade de realizar 
cruzamentos de bancos de anonimizados, que acabaram por identificar seus 
titulares, por isso, o processo não é considerado uma técnica infalível. 
O art. 6º da LGPD traz em seu escopo a espinha dorsal pela qual a LGPD foi 
constituída, na realidade os princípios nela estabelecidos formam a base de 
inúmeras normas já, quais sejam, a boa-fé, o princípio da finalidade, da adequação, 
da necessidade, o princípio do livre acesso, da qualidade dos dados, o princípio da 
transparência, o princípio da segurança, da prevenção, da não discriminação, o 
princípio da responsabilização e da prestação de contas. Conforme o texto legal: 
 
Art. 6º As atividades de tratamento de dados pessoais deverão 
observar a boa-fé e os seguintes princípios: 
 
I – finalidade: realização do tratamento para propósitos legítimos, 
específicos, explícitos e informados ao titular, sem possibilidade de 
tratamento posterior de forma incompatível com essas finalidades; 
II – adequação: compatibilidade do tratamento com as finalidades 
informadas ao titular, de acordo com o contexto do tratamento; 
III – necessidade: limitação do tratamento ao mínimo necessário para 
a realização de suas finalidades, com abrangência dos dados 
pertinentes, proporcionais e não excessivos em relação às 
finalidades do tratamento de dados; 
IV – livre acesso: garantia, aos titulares, de consulta facilitada e 
gratuita sobre a forma e a duração do tratamento, bem como sobre a 
integralidade de seus dados pessoais; 
34 
 
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, 
relevância e atualização dos dados, de acordo com a necessidade e 
para o cumprimento da finalidade de seu tratamento; 
VI – transparência: garantia, aos titulares, de informações claras, 
precisas e facilmente acessíveis sobre a realização do tratamento e 
os respectivos agentes de tratamento, observados os segredos 
comercial e industrial; 
VII – segurança: utilização de medidas técnicas e administrativas 
aptas a proteger os dados pessoais de acessos não autorizados e de 
situações acidentais ou ilícitas de destruição, perda, alteração, 
comunicação ou difusão; 
VIII – prevenção: adoção de medidas para prevenir a ocorrência de 
danos em virtude do tratamento de dados pessoais; 
IX – não discriminação: impossibilidade de realização do tratamento 
para fins discriminatórios ilícitos ou abusivos; 
X – responsabilização e prestação de contas: demonstração, pelo 
agente, da adoção de medidas eficazes e capazes de comprovar a 
observância e o cumprimento das normas de proteção de dados 
pessoais e, inclusive, da eficácia dessas medidas. (BRASIL, 2018, 
on-line) 
 
O importante é que, como ensina Maldonado et al. (2019), o controlador além 
avaliar o atendimento de ao menos uma das bases legais para o tratamento de 
dados pessoais, como obrigação legal, consentimento e exercício regular de direito 
por exemplo, também deverá se atentar ao cumprimento de todos os princípios 
dispostos na lei. 
O art. 7º da lei apresenta as 10 bases legais que legitimam o tratamento dos 
dados pessoais, lembrando que as quais são taxativas, não existindo nenhuma outra 
além das expressamente descritas no artigo. Entre elas, as principais são o 
consentimento, a execução de um contrato, o dever legal do controlador, o legítimo 
interesse e o tratamento pela Administração Pública (MENDES, Laura Schertel; 
DONEDA, Danilo, 2018, p. 23). Basta o atendimento de uma das dez bases para o 
tratamento ser considerado legítimo, vejamos: 
 
Art. 7º O tratamento de dados pessoais somente poderá ser 
realizado nas seguintes hipóteses: 
 
I – mediante o fornecimento de consentimento pelo titular; 
II – para o cumprimento de obrigação legal ou regulatória pelo 
controlador; 
III – pela administração pública, para o tratamento e uso 
compartilhado de dados necessários à execução de políticas 
públicas previstas em leis e regulamentos ou respaldadas em 
contratos, convênios ou instrumentos congêneres, observadas as 
disposições do Capítulo IV desta lei; 
35 
 
IV – para a realização de estudos por órgão de pesquisa, garantida, 
sempre que possível, a anonimização dos dados pessoais; 
V – quando necessário para a execução de contrato ou de 
procedimentos preliminares relacionados a contrato do qual seja 
parte o titular, a pedido do titular dos dados; 
VI – para o exercício regular de direitos em processo judicial, 
administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 
23 de setembro de 1996 (LGL\1996\72) (Lei de Arbitragem); 
VII – para a proteção da vida ou da incolumidade física do titular ou 
de terceiro; 
VIII – para a tutela da saúde, em procedimento realizado por 
profissionais da área da saúde ou por entidades sanitárias; 
IX – quando necessário para atender aos interesses legítimos do 
controlador ou de terceiro, exceto no caso de prevalecerem direitos e 
liberdades fundamentais do titular que exijam a proteção dos dados 
pessoais; ou 
X – para a proteção do crédito, inclusive quanto ao disposto na 
legislação pertinente. (BRASIL, 2018, on-line) 
 
Na compreensão de Maldonado et al. (2019), apesar de ainda ser 
considerado a principal base, o consentimento passa a ser apenas uma das dez 
hipóteses legais trazidas na legislação, sendo que todas as outras nove hipóteses 
existentes independem do consentimento para que sejam tidas como válidas. O 
consentimento será objeto de estudo no próximo capítulo, no momento é relevante 
saber da existência de outras hipóteses em que não é necessário o consentimento 
do titular para que se permita o tratamento de seus dados. 
No art. 9º são descritos alguns dos direitos dos titulares dos dados pessoais, 
cabendo destacar a previsão geral de acesso facilitado às informações sobre o 
tratamento dos seus dados pessoais, o que pode ser incluído em contrato, políticas 
de privacidade, entre outros. 
 
Art. 9º O titular tem direito ao acesso facilitado às informações sobre 
o tratamento de seus dados, que deverão ser disponibilizadas de 
forma clara, adequada e ostensiva acerca de, entre outras 
características previstas em regulamentação para o atendimento do 
princípio do livre acesso: 
I – finalidade específica do tratamento; 
II – forma e duração do tratamento, observados os segredos 
comercial e industrial; 
III – identificação do controlador; 
IV – informações de contato do controlador; 
V – informações acerca do uso compartilhado de dados pelo 
controlador e a finalidade; 
VI – responsabilidades dos agentes que realizarão o tratamento; e 
VII – direitos do titular, com menção explícita aos direitos contidos no 
art. 18 desta lei. (BRASIL, 2018, online) 
 
36 
 
O art. 11º trata sobre o tratamento de dados pessoais sensíveis. O tratamento 
de dados pessoais sensíveis recebem um tratamento diferenciado por parte da 
legislação e poderão ser realizados em oito hipóteses, indo também além do 
consentimento: 
 
Art. 11. O tratamento de dados pessoais sensíveis somente poderá 
ocorrer nas seguintes hipóteses: 
 
I – quando otitular ou seu responsável legal consentir, de forma 
específica e destacada, para finalidades específicas; 
II – sem fornecimento de consentimento do titular, nas hipóteses em 
que for indispensável para: 
 
a) cumprimento de obrigação legal ou regulatória pelo controlador; 
b) tratamento compartilhado de dados necessários à execução, pela 
administração pública, de políticas públicas previstas em leis ou 
regulamentos; 
c) realização de estudos por órgão de pesquisa, garantida, sempre 
que possível, a anonimização dos dados pessoais sensíveis; 
d) exercício regular de direitos, inclusive em contrato e em processo 
judicial, administrativo e arbitral, este último nos termos da Lei nº 
9.307, de 23 de setembro de 1996 (LGL\1996\72) (Lei de 
Arbitragem); 
e) proteção da vida ou da incolumidade física do titular ou de terceiro; 
f) tutela da saúde, em procedimento realizado por profissionais da 
área da saúde ou por entidades sanitárias; ou 
g) garantia da prevenção à fraude e à segurança do titular, nos 
processos de identificação e autenticação de cadastro em sistemas 
eletrônicos, resguardados os direitos mencionados no art. 9º desta lei 
e exceto no caso de prevalecerem direitos e liberdades fundamentais 
do titular que exijam a proteção dos dados pessoais. 
§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de 
dados pessoais que revele dados pessoais sensíveis e que possa 
causar dano ao titular, ressalvado o disposto em legislação 
específica. 
§ 2º Nos casos de aplicação do disposto nas alíneas a e b do inciso 
II do caput deste artigo pelos órgãos e pelas entidades públicas, será 
dada publicidade à referida dispensa de consentimento, nos termos 
do inciso I do caput do art. 23 desta lei. 
§ 3º A comunicação ou o uso compartilhado de dados pessoais 
sensíveis entre controladores com objetivo de obter vantagem 
econômica poderá ser objeto de vedação ou de regulamentação por 
parte da autoridade nacional, ouvidos os órgãos setoriais do Poder 
Público, no âmbito de suas competências. 
§ 4º É vedada a comunicação ou o uso compartilhado entre 
controladores de dados pessoais sensíveis referentes à saúde com 
objetivo de obter vantagem econômica, exceto nos casos de 
portabilidade de dados quando consentido pelo titular. (BRASIL, 
2018, on-line) 
 
37 
 
Naturalmente o tratamento de dados sensíveis deve ser protegido com 
medidas ainda maiores, já que um eventual uso indevido pode trazer consequências 
mais gravosas aos direitos e liberdades dos titulares. Nas situações em que o 
consentimento for a causa de autorizar o tratamento dos dados, ele deverá ser 
realizado observando as mesmas regras descritas no artigo 7º, I, livre, informada e 
inequívoca. Ademais, será possível o tratamento com fundamento em outras bases 
legais, além do consentimento, desde que o tratamento seja indispensável para 
atingir a finalidade desejada, lembrando que ainda assim devem ser respeitados os 
princípios e direitos resguardados aos seus titulares. 
Conforme o art. 12, os “dados anonimizados” não são considerados dados 
pessoais a serem regidos pela Lei Geral de Proteção de Dados: 
 
Art. 12. Os dados anonimizados não serão considerados dados 
pessoais para os fins desta lei, salvo quando o processo de 
anonimização ao qual foram submetidos for revertido, utilizando 
exclusivamente meios próprios, ou quando, com esforços razoáveis, 
puder ser revertido. 
§ 1º A determinação do que seja razoável deve levar em 
consideração fatores objetivos, tais como custo e tempo necessários 
para reverter o processo de anonimização, de acordo com as 
tecnologias disponíveis, e a utilização exclusiva de meios próprios. 
(BRASIL, 2018, on-line) 
 
Trata-se de conceito relevante trazido na legislação, uma vez que, se 
estivermos diante de dados que não identifiquem nem tornem identificáveis uma 
pessoa, não serão objeto das previsões trazidas na Lei. 
Exceção ocorrerá se o “processo de anonimização” a que os dados forem 
submetidos for revertido ou, ainda, se ele possa ser revertido, a partir de “esforços 
razoáveis”. O parágrafo tenta tornar objetivo o conceito de “esforço razoável”, 
mencionando que, para sua determinação, serão considerados o custo e tempo 
necessários para a reversão do processo, considerando o estado atual da tecnologia 
e o uso exclusivo de meios próprios. 
No art. 15 são relatadas as hipóteses reconhecidas por lei em que deverá 
acontecer o término do tratamento dos dados pessoais: 
 
Art. 15. O término do tratamento de dados pessoais ocorrerá nas 
seguintes hipóteses: 
 
38 
 
I – verificação de que a finalidade foi alcançada ou de que os dados 
deixaram de ser necessários ou pertinentes ao alcance da finalidade 
específica almejada; 
II – fim do período de tratamento; 
III – comunicação do titular, inclusive no exercício de seu direito de 
revogação do consentimento conforme disposto no § 5º do art. 8º 
desta lei, resguardado o interesse público; ou 
IV – determinação da autoridade nacional, quando houver violação 
ao disposto nesta lei. (BRASIL, 2018, on-line) 
 
 Quando ocorrer alguma das situações elencadas no artigo ensejará a 
eliminação dos dados utilizados, cabendo destacar que tal deverá se operar de 
forma automática, não se fazendo necessário qualquer pedido expresso do titular 
dos dados. Deve-se observar, contudo, que não se trata de algo absoluto, sendo 
fundamental observar as exceções previstas no artigo 16: 
 
Art. 16. Os dados pessoais serão eliminados após o término de seu 
tratamento, no âmbito e nos limites técnicos das atividades, 
autorizada a conservação para as seguintes finalidades: 
I – cumprimento de obrigação legal ou regulatória pelo controlador; 
II – estudo por órgão de pesquisa, garantida, sempre que possível, a 
anonimização dos dados pessoais; 
III – transferência a terceiro, desde que respeitados os requisitos de 
tratamento de dados dispostos nesta lei; ou 
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e 
desde que anonimizados os dados. (BRASIL, 2018, on-line) 
 
 Vimos até aqui os pontos importantes da Lei que são relevantes para 
compreendermos o objeto de proteção da legislação, e quais os momentos de sua 
aplicabilidade ou não. Pontos relevantes para estudarmos no próximo Capítulo o 
instituto do consentimento. 
 
 
 
 
 
 
 
 
39 
 
6 O CONSENTIMENTO NA LGPD 
 
 
 Além das outras nove bases legais, como o art. 7º e seus incisos e art. 11 da 
LGPD, o consentimento do titular dos dados pessoais é um dos pontos mais 
importantes da Lei Geral de Proteção de Dados, pelo fato que se for respeitado e 
aplicado de maneira correta, trará segurança jurídica para o tratamento de dados em 
relação ao controlador, como adverte Maldonado et al. (2019): 
 
O consentimento é apenas uma das dez bases legais previstas para 
o tratamento de dados pessoais. Porém, em razão do alto grau de 
transparência perante o titular, é a hipótese que pode trazer mais 
segurança jurídica para o controlador, a quem incumbe o ônus da 
prova de que foi obtido em conformidade com a Lei. 
(MALDONADO et al., 2019, p. 109) 
 
Consentimento, segundo o Dicionário Houaiss (2001, p. 807), “é o ato ou 
efeito de consentir; manifestação favorável a que alguém faça algo; licença; 
manifestação de que se aprova; anuência”. Para Guimarães (2013, p. 203), é “ato de 
consentir; acordo, por manifestação livre da vontade, com outras pessoas, para que 
se forme ato jurídico; assentimento prévio, aquiescência, consenso, autorização”. O 
consentimento é concordância de vontades em uma relação jurídica. É o mútuo 
consenso, mediante a uniformidade de opinião, de forma que duas ou mais 
expressões volitivas destinam-se à produção de efeitos legalmente permitidos e 
desejados pelas partes. Sobre o consentimento, o autor Carlos Roberto Gonçalves, 
abrange três aspectos: (i) acordo sobre a existência e natureza do acordo (se um 
dos contratantes não aceitar, acordo não há); (ii) acordo sobre o objeto em questão;