c702a459-bced-46fe-aec4-9675a743b268

Prévia do material em texto

W
BA
04
93
_V
2.
0
LEI GERAL DE PROTEÇÃO DE 
DADOS
2
Milena Guarda
São Paulo
Platos Soluções Educacionais S.A 
2021
 LEI GERAL DE PROTEÇÃO DE DADOS
1ª edição
3
2021
Platos Soluções Educacionais S.A
Alameda Santos, n° 960 – Cerqueira César
CEP: 01418-002— São Paulo — SP
Homepage: https://www.platosedu.com.br/
Diretor Presidente Platos Soluções Educacionais S.A
Paulo de Tarso Pires de Moraes
Conselho Acadêmico
Carlos Roberto Pagani Junior
Camila Turchetti Bacan Gabiatti
Camila Braga de Oliveira Higa
Giani Vendramel de Oliveira
Gislaine Denisale Ferreira
Henrique Salustiano Silva
Mariana Gerardi Mello
Nirse Ruscheinsky Breternitz
Priscila Pereira Silva
Tayra Carolina Nascimento Aleixo
Coordenador
Gislaine Denisale Ferreira
Revisor
Paulo Eduardo Diniz Ricaldoni Lopes
Editorial
Alessandra Cristina Fahl
Beatriz Meloni Montefusco
Carolina Yaly
Mariana de Campos Barroso
Paola Andressa Machado Leal
Dados Internacionais de Catalogação na Publicação (CIP)________________________________________________________________________________________ 
Guarda, Milena
G914l Lei Geral de Proteção de Dados / Milena Guarda, – São 
 Paulo: Platos Soluções Educacionais S.A., 2021.
 
 51 p.
 ISBN 978-65-89965-71-8
 1. Proteção. 2. Dados. 3. Segurança. I. Título.
 
CDD 343.07 
____________________________________________________________________________________________
Evelyn Moraes – CRB-8 SP-010289/O
© 2021 por Platos Soluções Educacionais S.A.
Todos os direitos reservados. Nenhuma parte desta publicação poderá ser 
reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, 
eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de 
sistema de armazenamento e transmissão de informação, sem prévia autorização, 
por escrito, da Platos Soluções Educacionais S.A.
4
SUMÁRIO
Liberdade de expressão e direito à informação versus ofensa 
aos direitos da personalidade ________________________________ 05
Legislação Brasileira de segurança da informação e privacidade 
de dados e RGPD ____________________________________________ 21
Lei Geral de Proteção de Dados (LGPD) – Parte I _____________ 38
Lei Geral de Proteção de Dados (LGPD) – Parte II _____________ 53
LEI GERAL DE PROTEÇÃO DE DADOS
5
Liberdade de expressão e direito 
à informação versus ofensa aos 
direitos da personalidade.
Autoria: Milena Guarda
Leitura crítica: Paulo Ricaldoni
Objetivos
• Verificar a importância normativa dos direitos 
fundamentais, dentre os quais se inserem o direito à 
liberdade de expressão, o direito à informação e os 
direitos da personalidade.
• Analisar as definições de fake news e suas 
consequências jurídicas.
• Examinar o direito de retificação ou resposta pela 
pessoa atingida pela fake news.
6
1. Introdução
Na era da comunicação digital, com apenas um celular, os dados e 
informações são acessados quase que instantaneamente, por milhares 
de pessoas, em qualquer ugar do mundo. Por meio dessa facilidade 
comunicativa, as fake news se espalham disseminando informações 
inverídicas com o intuito de prejudicar outrem. Em situações assim, 
direitos fundamentais como liberdade de expressão e dignidade da 
pessoa humana se colidem e os operadores do Direito precisam analisar 
pontualmente qual deverá sobressair momentaneamente. 
Assim como a sociedade que precisa unir o analógico com o digital, 
novos desafios surgem para os operadores do Direito que precisam 
adequar o tradicional ao novo.
2. Direitos Humanos e Direitos Fundamentais
Os direitos humanos são direitos subjetivos e inerentes a toda pessoa 
humana em razão desta condição. Trata-se de direitos do homem 
em nível supranacional; são fruto de reivindicações morais e políticas 
perante a sociedade e o governo; referem-se a regras essenciais 
mínimas para que o homem viva em sociedade.
Os direitos fundamentais são os direitos humanos positivados no 
ordenamento jurídico interno do Estado, geralmente, na Constituição 
Federal. São denominados fundamentais porque estão inseridos na 
norma fundamental do Estado, que é a Constituição. E, ainda, face a 
sua relevância, são direitos indisponíveis, ou seja, o homem não pode 
renunciá-los.
Os direitos fundamentais têm como núcleo central o princípio da 
dignidade da pessoa humana (direito fundamental geral e valor 
7
supremo para toda a ordem jurídica, bem como base da constituição 
do Estado Democrático de Direito–art. 1º, III, da Constituição Federal de 
1988 – CF/88).
A maioria dos direitos fundamentais estão inseridos no artigo 5º da 
CF/88, que correspondem ao direito à vida, a integridade física, a 
liberdade, a vida privada, a intimidade, de não ser discriminado pelo 
Estado e/ou por seus pares, dentre outros.
Os direitos humanos são válidos para todos os povos e todos os tempos, 
enquanto os direitos fundamentais são limitados no tempo e espaço 
(território do Estado).
2.1 Direitos da personalidade e à privacidade
Os direitos da personalidade são direitos subjetivos, fundamentais, 
intransmissíveis, irrenunciáveis e absolutos (oponível contra todos); 
encontram-se previstos no artigo 5º, inciso X, da CF/88 e referem-se: a) a 
intimidade; b) a vida privada, c) a honra; d) a imagem das pessoas.
Também correspondem ao direito à privacidade, o direito à 
inviolabilidade da casa e ao sigilo da correspondência e das 
comunicações telegráficas, de dados e das comunicações telefônicas 
(art. 5º, incisos XI e XII, da CF/88).
O direito à defesa da honra se refere ao direito de não ser ofendido ou 
lesado em sua honradez, dignidade ou consideração social. Em sentido 
amplo, esse decorre do princípio da dignidade da pessoa humana, ao 
bom nome, a consideração (prestígio social), o decoro (que se reporta 
às características comportamentais de natureza social da pessoa), o 
crédito (prestígio da pessoa associado às suas qualidades e capacidades 
econômicas-financeiras).1
1 MACHADO, Jónatas E. M.; BRITO, Iolanda Rodrigues de. Curso de Direito da Comunica-
ção Social. Lisboa: Wolters Kluwer Portugal, 2013, p. 110.
8
O Código Penal possui um capítulo específico sobre os crimes contra 
a honra (parte especial, capítulo V, título I), sendo que no artigo 141, 
inciso I, prevê o crime a ofensa à honra do Presidente da República, com 
aumento da pena em um terço.
O direito à imagem compreende o direito de autodeterminar a 
exposição, reprodução e lançamento da própria imagem, ou seja, que 
sejam capturadas ou divulgadas fotografias ou vídeos de uma pessoa 
sem seu consentimento. Contudo, o consentimento é dispensado e 
se restringe o âmbito de proteção ao direito à imagem se justificar a 
notoriedade da pessoa, o cargo que exerce, ou quando a reprodução da 
imagem originar de locais públicos ou fatos de interesse público.2
2.3 Direito à proteção de dados pessoais
A CF/88 não regula especificamente o direito à proteção de dados 
pessoais, mas apenas o direito à privacidade, razão pela qual originou 
a Proposta de Emenda à Constituição (PEC) n. 17/2019, objetivando 
o acréscimo do “inciso XII-A, ao art. 5º, e o inciso XXX, ao art. 22, da 
Constituição Federal” para incluir a proteção de dados pessoais, inclusive 
nos meios digitais, entre os direitos fundamentais do cidadão.3
2.3 Normas internacionais de privacidade e proteção de 
dados pessoais
No âmbito internacional, os principais instrumentos legislativos em 
matéria de privacidade e proteção de dados pessoais são:
• Declaração Universal dos Direitos Humanos (DUDH – 1948) 
que, em seu artigo 12, dispõe que “ninguém será sujeito às 
2 MACHADO, BRITO, op. cit., p. 118.
3 Proposta de Emenda à Constituição n. 17, de 2019. Disponível na página do Senado Fede-
ral.
9
interferências em sua vida privada, em sua família, em seu lar ou 
em sua correspondência, nem a ataques à sua honra e reputação”.
• Convenção Europeia dos Direitos do Homem (CEDH, 1953), artigo 
8º, “direito ao respeito pela vida privada e familiar”.
• Convenção 108 doConselho da Europa (1981) foi o primeiro 
instrumento internacional juridicamente vinculativo adotado no 
domínio da proteção de dados, com objetivo de “garantir (...) a 
todas as pessoas singulares (...) o respeito pelos seus direitos 
e liberdades fundamentais, e especialmente pelo seu direito à 
vida privada, face ao tratamento automatizado dos dados de 
caráter pessoal que lhes digam respeito (“proteção dos dados”). 
A Convenção foi ratificada por 45 Estados europeus e um sul-
americano (Uruguai). Pela primeira vez foi estabelecida: a) “a 
necessidade de recolha e tratamento de dados pessoais de 
forma leal e lícita”; b) o armazenamento “para determinados fins 
legítimos”; c) “a utilização com fins compatíveis com a recolha e 
no direito a serem conservados por determinados períodos”; d) 
que devem ser exatos e passível de retificação , proporcionais, 
adequados e pertinentes.4
• Carta dos Direitos Fundamentais da União Europeia (CDFUE, 2000), 
em seus artigos 7º e 8º reconhecem o respeito pela vida privada 
e a proteção dos dados pessoais como direitos fundamentais 
estreitamente relacionados, mas distintos.
• Tratado sobre o Funcionamento da União Europeia (TFUE, 2009), 
artigo 16, n. 1, “todas as pessoas têm direito à proteção dos dados 
de caráter pessoal que lhes digam respeito”.
4 SALDANHA, Nuno. Novo Regulamento Geral de Proteção de Dados. O que é? A quem 
se aplica? Como implementar? Lisboa: FCA, 2018, p. 4.
10
3. Direitos comunicativos
O direito comunicativo tem respaldo legal no direito internacional 
e nacional. Na concepção contemporânea, integra o rol de direitos 
humanos e fundamentais.
O direito comunicativo corresponde a qualquer forma de expressão 
ou de recebimento de informações, se refere a liberdade de expressar 
ideias e opiniões, em qualquer meio de comunicação.5
São espécies de direitos comunicativos, a liberdade de: a) expressão; 
b) opinião; c) informação; d) religião; e) jornalismo; f) imprensa; g) 
radiodifusão; h) programação; i) telecomunicações; j) navegação em 
meios digitais, dentre outras.6
3.1 Direito à liberdade de expressão
A Convenção Americana de Direitos Humanos (CADH, também 
conhecida como Pacto de San José da Costa Rica, 1969), artigo 13, n. 
1, expressamente conceitua o direito à liberdade de pensamento e 
de expressão, como sendo “a liberdade de buscar, receber e difundir 
informações e ideias de toda natureza, sem consideração de fronteiras, 
verbalmente ou por escrito, ou em forma impressa ou artística, ou por 
qualquer outro processo de sua escolha”.
A liberdade de expressão integra a categoria de direitos fundamentais, 
com previsão artigo 5º, incisos IV, V, IX e artigo 220, ambos da CF/88; 
no artigo 10º da Convenção Europeia de Direitos Humanos (CEDH)7; no 
5 MAZZUOLI, Valério de Oliveira. Direitos Comunicativos como direitos humanos: abran-
gência, limites, acesso à Internet e direito ao esquecimento. São Paulo: Revista dos Tribu-
nais, 2015, v. 960/2015, p. 249/267.
6 MAZZUOLI, op. cit., p. 249/267.
7 Artigo 10°–“Liberdade de expressão. 1. Qualquer pessoa tem direito à liberdade de ex-
pressão. Este direito compreende a liberdade de opinião e a liberdade de receber ou de 
transmitir informações ou ideias sem que possa haver ingerência de quaisquer autori-
11
artigo 19º da Declaração Universal dos Direitos Humanos (DUDH)8 . Está 
fundamentada no valor da dignidade da pessoa humana e é princípio 
estruturante do Estado democrático de direito.
A liberdade de expressão engloba o direito de informar, de se informar e 
de ser informado (direito à informação).
3.2 Direito à informação
O direito à informação também é um direito fundamental consagrado 
no artigo 5º, inciso XIV e no artigo 220, § 1º, ambos da CF/889 e está 
ligado às demais liberdades da comunicação.
O direito de informar, tradicionalmente ligado à figura do jornalista e 
da comunicação social, vem se transformando, passando os próprios 
indivíduos a exercer tal direito, por meio das postagens em redes sociais, 
ou por meio da propagação de notícias de terceiros. Com o advento das 
plataformas de tecnologia, o cidadão comum que antes era o receptor 
da informação, passa a ser o emissor, partilhando-a de forma imediata.10
dades públicas e sem considerações de fronteiras. O presente artigo não impede que os 
Estados submetam as empresas de radiodifusão, de cinematografia ou de televisão a um 
regime de autorização prévia. 2. O exercício desta liberdades, porquanto implica deveres 
e responsabilidades, pode ser submetido a certas formalidades, condições, restrições ou 
sanções, previstas pela lei, que constituam providências necessárias, numa sociedade de-
mocrática, para a segurança nacional, a integridade territorial ou a segurança pública, a 
defesa da ordem e a prevenção do crime, a protecção da saúde ou da moral, a proteção da 
honra ou dos direitos de outrem, para impedir a divulgação de informações confidenciais, 
ou para garantir a autoridade e a imparcialidade do poder judicial.”
8 Artigo 19°–“Todo o indivíduo tem direito à liberdade de opinião e de expressão, o que 
implica o direito de não ser inquietado pelas suas opiniões e o de procurar, receber e di-
fundir, sem consideração de fronteiras, informações e idéias por qualquer meio de expres-
são.”
9 Art. 5º, XIV, CF/88: “é assegurado a todos o acesso à informação e resguardado o sigilo da 
fonte, quando necessário ao exercício profissional”.
Art. 220, § 1º, CF/88: “Nenhuma lei conterá dispositivo que possa constituir embaraço à ple-
na liberdade de informação jornalística em qualquer veículo de comunicação social, obser-
vado o disposto no art. 5º, IV, V, X, XIII e XIV”. 
10 MARANHÃO, CAMPOS, op. cit., p. 81 e 82.
12
O direito de ser informado é condição essencial de uma sociedade 
democrática e, ainda, é imprescindível para a formação da própria 
opinião pública. As novas plataformas de comunicação apresentam 
a informação por palavra escrita, mas também por imagem e som, 
reconhecendo-se o direito à informação multimídia.11
Entretanto, não existe um direito de ser informado quanto às 
informações que se pretende obter e que impliquem em violação de 
outros direitos, como o direito à privacidade, ao bom nome, a reputação, 
ao sigilo de correspondência e de telecomunicações, documentos 
confidenciais. Logo, não existe um direito de acesso ilimitado às fontes 
de informação.12
3.3 Censura
O princípio da proibição da censura aplica-se à liberdade de expressão 
e de informação e demais liberdades da comunicação. O artigo 220, 
parágrafo segundo, da CF/88, veda toda e qualquer censura de natureza 
política, ideológica e artística.
No ambiente virtual, medidas para coibir determinados conteúdos 
podem caracterizar censura ao exercício da liberdade de expressão e 
acesso à informação. Também há a violação ao direito comunicativo pela 
restrição ou impedimento ao acesso aos meios de comunicação (CADH, 
artigo 13, nº 3).
Como norteia a CADH (art. 13, nº 2), é proibida a censura, mas a 
responsabilidades posteriores devem ser expressamente fixadas pela lei 
e necessárias para assegurar o respeito aos direitos ou à reputação das 
demais pessoas.
11 MARANHÃO, CAMPOS, op. cit., p. 82 e 83.
12 MARANHÃO, CAMPOS, op. cit., p. 83 e 84.
13
3.4 Anonimato
O anonimato é uma das características mais marcantes da comunicação 
social on-line, porém, ele não é absoluto, já que ao navegar na internet 
ficam registrados dados como o IP que podem ser utilizados para 
identificar usuários.
A doutrina apresenta duas hipóteses de anonimato: a) pela livre 
manifestação do pensamento; b) de trânsito (decorrente da navegação 
na Internet).13
O anonimato pela livre manifestação do pensamento é vedado 
pela CF/88 (art. 5º, inciso IV), resguardado o sigilo da fonte, quando 
necessário ao exercício profissional (art. 5º, XIV, CF/88).14 Portanto, não é 
admitido o anonimato para violação de direitos fundamentais.
O anonimato de trânsito é autorizado, já que não há impedimento legal 
neste sentido (art. 5º, II, CF/88).Paredes (2002), entende que “qualquer tentativa de limitar o anonimato, 
obrigando o usuário a fornecer seus dados pessoais ao gestor da rede, 
violaria um dos pontos cardeais da Internet: o de ser o espaço da 
liberdade total”.15
13 PAREDES, Marcus. Violação da privacidade na internet. São Paulo: Revista de Direito Priva-
do, Jan–Mar / 2002, vol. 9/2002, p. 183 – 203.
14 PAREDES, op. cit., p. 183 – 203.
15 PAREDES, op. cit., p. 183 – 203.
14
4. Fake news
4.1. Definições
O termo fake news é entendido como notícias fraudulentas; notícias 
falsas; conteúdo falsificado; conteúdos enganosos, manipulados e 
fabricados; desinformação; hacking cognitivo; propaganda cibernética; 
campanhas de desinformação.
A fake news, geralmente, é utilizada com a finalidade de ofensa a um 
direito da personalidade (privacidade, a honra, à palavra e à imagem 
das pessoas), com propósito político, de lucro, dentre outros. Todavia, a 
mentira pode relacionar-se a fraude, o que motivou a conceituação de 
fake news como notícias fraudulentas.
O termo fake news também está ligado a desinformação, já que as 
pessoas de boa-fé acreditam estar em contato com uma notícia 
verdadeira e, muitas vezes, a repassam, colaborando com a 
disseminação da fake news. De tal modo, a informação é a melhor 
maneira de combater a desinformação. Temos como exemplo, site do 
Ministério da Saúde – Governo Federal, que combate as fake news em 
temas relacionados à saúde dos cidadãos16. É possível ainda encontrar o 
termo pós-verdade, que é designado para o momento em que a verdade 
já não é mais importante como já foi.
Na esfera jurídica, a mentira não é o objeto principal da tutela do Estado. 
O direito não se preocupa com a informação inverídica, mas com o dano 
efetivo ou possível de acontecer, com a culpa ou dolo da prática do ato.
16 BRASIL. Ministério da Saúde. Governo Federal. Texto informativo sobre Saúde sem Fake 
News disponibilizado no site do órgão na Internet. 
15
4.2. Democracia (fake news nas eleições)
A liberdade de expressão é um valor indispensável da democracia.
O Código Eleitoral brasileiro (art. 222) prevê a anulação da votação, 
quando fruto de fake news difundida de forma massiva e influente no 
resultado (manipulação do voto).
A fake news também é regulada pela Resolução n. 23.551/17, que dispõe 
sobre a propaganda eleitoral, utilização e geração do horário gratuito e 
condutas ilícitas em campanha eleitoral durante as eleições, prevendo 
o cabimento de indenização no caso de violação de direitos autorais, 
perante a justiça comum.
A Lei n. 13.834/19 inseriu, no Código Eleitoral brasileiro, a tipificação do 
crime de denunciação caluniosa com finalidade eleitoral, com aumento 
da pena em caso de anonimato.17
Como exemplo, podemos citar o caso Cambridge Analytica e a eleição de 
Donald Trump, nos Estados Unidos da América18.
4.3. Direito de retificação ou resposta
A CADH (art. 14) assegura o direito de retificação ou resposta pela 
pessoa atingida.19
17 BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Decreto 
Lei n. 2848, de 7 de dezembro de 1940.
18 MARTINS, M. G. TATEOKI, V. A. Proteção de dados pessoais e democracia: fake news, 
manipulação do eleitor e o caso da Cambridge Analytica. Revista Eletrônica Direito e So-
ciedade. v. 7. n. 03. Editora Unilasalle, 2019.
19 Convenção Americana de Direitos Humanos
Art. 14. “1. Toda pessoa atingida por informações inexatas ou ofensivas emitidas em seu 
prejuízo por meios de difusão legalmente regulamentados e que se dirijam ao público em 
geral, tem direito a fazer, pelo mesmo órgão de difusão, sua retificação ou resposta, nas 
condições que estabeleça a Lei. 2. Em nenhum caso, a retificação ou a resposta eximirão 
das outras responsabilidades legais em que se houver incorrido. 3. Para a efetiva proteção 
da honra e da reputação, toda publicação ou empresa jornalística, cinematográfica, de rá-
16
A CF/88 (art. 5º, V) autoriza o direito de resposta, proporcional ao agravo, 
além da indenização por dano material, moral ou à imagem.
A Lei de Imprensa (Lei n. 5.250/67–revogada em 30/04/2009 por 
incompatibilidade com a CF/88, por meio da ADPF 130/09) regulava a 
liberdade de manifestação do pensamento e de informação, bem como 
a garantia ao direito de resposta e de retificação.
Atualmente, o direito de resposta ou retificação do ofendido em matéria 
divulgada, publicada ou transmitida por veículo de comunicação social 
tem permissão na Lei n. 13.188/15.
Dessa forma, a vítima de fake news tem o direito: a) à remoção do 
conteúdo; b) de resposta das referências inverídicas ou errôneas que lhe 
digam respeito; c) à indenização por dano material, moral e à imagem.
3.4. Direito ao esquecimento e desindexação de 
conteúdos
O direito ao esquecimento corresponde à retirada do conteúdo (fatos 
verdadeiros e pretérito), prejudiciais a determinada pessoa, objetivando 
o direito à privacidade.
Contudo, o STF julgou o Recurso Extraordinário 1010606 no ano de 2021 
e concluiu que, o Direito ao esquecimento que não permita a divulgação 
de fatos ou dados verdadeiros pelo decurso do tempo é incompatível 
com a Constituição Federal. No entanto, isso não impede que, diante da 
análise do caso concreto, seja analisado se ocorreu excesso ou abuso do 
direito de liberdade de expressão ou informação20
dio ou televisão, deve ter uma pessoa responsável que não seja protegida por imunidades 
nem goze de foro especial.
Disponível em: https://www.cidh.oas.org/basicos/portugues/c.convencao_americana.htm. 
Acesso em: 11 jun. 2021.
20 BRASIL. Supremo Tribunal Federal. STF conclui que direito ao esquecimento é incompa-
tível com a Constituição Federal. 2021. Disponível em: https://portal.stf.jus.br/noticias/ver-
https://www.cidh.oas.org/basicos/portugues/c.convencao_americana.htm
https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=460414&ori=1
17
Por outro lado, a desindexação de conteúdos é a remoção dos 
resultados de busca com informações sobre alguém que não é de 
interesse público, e que é ou estão desatualizadas, imprecisas ou 
irrelevantes.
Os fatos inverídicos não possuem qualquer exigência, sendo passíveis de 
exclusão, sem prejuízo do direito à reparação do dano. Nessa hipótese, 
se enquadra a fake news.
4. Colisão de direitos fundamentais
De um lado, há o direito à liberdade de expressão e o direito à 
informação. Do outro lado, pode ocorrer ofensa a um direito da 
personalidade. Todos os direitos envolvidos são fundamentais, 
inexistindo hierarquia entre eles.
Diante de tal situação, a doutrina indica o emprego do processo de 
ponderação como critério de resolução, norteado pelos princípios da 
unidade da Constituição, da concordância prática e da proporcionalidade 
lato sensu (que engloba os subprincípios da adequação, da necessidade 
e proporcionalidade em stricto sensu).
No processo de ponderação, preserva-se ambos os direitos 
fundamentais, flexibilizando os efeitos da vinculatividade, mas sem 
vulnerar o núcleo essencial dos direitos contrapostos, ou seja, analisa-se 
qual princípio possui maior aplicabilidade no caso concreto.
O princípio da unidade da Constituição objetiva o equilíbrio e 
harmonização das normas constitucionais.
NoticiaDetalhe.asp?idConteudo=460414&ori=1. Acesso em 11 jun. 2021.
https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=460414&ori=1
18
Pelo princípio da concordância prática, a aplicação de uma norma 
constitucional deve se realizar em conexão com a totalidade das normas 
constitucionais.
O subprincípio da adequação exige que o meio utilizado seja 
adequado para atingir o fim. O subprincípio da necessidade impõe 
que o meio escolhido seja necessário para o fim. O subprincípio da 
proporcionalidade considera que o meio utilizado seja proporcional ao 
fim perseguido.
5. Conclusão 
O Brasil não tem legislação específica que veda a produção e o 
compartilhamento das fake news. O Estado não tem como legislar de 
modo abstrato, sob pena de ofensa à liberdadede expressão, podendo 
caracterizar censura. Assim, cabe ao Judiciário analisar o caso concreto e 
determinar as medidas cabíveis, dentre as quais a indenização pelo dano 
causado e retirada do conteúdo lesivo.
O Código Civil tem um capítulo específico que trata dos direitos da 
personalidade (arts. 11 ao 21), estabelecendo: a) a possibilidade de 
se exigir que cesse a ameaça ou lesão; b) a proibição do emprego do 
nome por outrem, que exponha o desprezo público; c) a vedação do 
uso da imagem sem autorização; d) a inviolabilidade da vida privada; 
e) a possibilidade de reclamar perdas e danos; f) a aplicação de outras 
sanções previstas em lei.21
21 “Art. 12. Pode-se exigir que cesse a ameaça, ou a lesão, a direito da personalidade, e re-
clamar perdas e danos, sem prejuízo de outras sanções previstas em lei”.
“Art. 17. O nome da pessoa não pode ser empregado por outrem em publicações ou repre-
sentações que a exponham ao desprezo público, ainda quando não haja intenção difama-
tória”.
“Art. 20. Salvo se autorizadas, ou se necessárias à administração da justiça ou à manuten-
ção da ordem pública, a divulgação de escritos, a transmissão da palavra, ou a publicação, 
a exposição ou a utilização da imagem de uma pessoa poderão ser proibidas, a seu reque-
19
Portanto, o direito à liberdade de expressão e o direito à informação são 
direitos fundamentais, qualquer limitação pode caracterizar censura.
O direito à personalidade também é um direito fundamental. Assim, 
em caso de colisão, não é possível desconsiderar um direito em face de 
outro, devendo preservar ambos os direitos fundamentais, flexibilizando 
os efeitos da vinculatividade, mas sem vulnerar o núcleo essencial dos 
direitos contrapostos.
Nas hipóteses de fake news, com ofensa ao direito da personalidade, 
o ofendido tem o direito a indenização pelo dano moral, material e à 
imagem, bem como, o direito de retirada do conteúdo dos meios de 
comunicação social.
Referências Bibliográficas
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. 
Decreto Lei n. 2.848, de 7 de dezembro de 1940. Disponível em: http://www.
planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm. Acesso em: 11 jun. 
2021.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. 
Constituição da República Federativa do Brasil de 1988. Disponível em: http://
www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm. Acesso em: 
11 jun. 2021.
BRASIL. Presidência da República. Secretaria-Geral. Subchefia para Assuntos 
Jurídicos. Lei n. 13.188, de 11 de novembro de 2015. Disponível em: http://www.
planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Lei/L13188.htm. Acesso em: 11 jun. 
2021.
BRASIL. Ministério da Saúde. Governo Federal. Saúde sem fake news. Disponível 
em: https://www.saude.gov.br/fakenews?start=30. Acesso em: 11 jun. 2021.
rimento e sem prejuízo da indenização que couber, se lhe atingirem a honra, a boa fama 
ou a respeitabilidade, ou se se destinarem a fins comerciais”.
“Art. 21. A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessa-
do, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta 
norma”.
http://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm
http://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm
http://www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm
http://www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Lei/L13188.htm
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Lei/L13188.htm
https://www.saude.gov.br/fakenews?start=30
20
BRASIL. Supremo Tribunal Federal. STF conclui que direito ao esquecimento é 
incompatível com a Constituição Federal. 2021. Disponível em: https://portal.stf.jus.
br/noticias/verNoticiaDetalhe.asp?idConteudo=460414&ori=1. Acesso em: 11 jun. 
2021.
ECHR. Convenção Europeia dos Direitos do Homem. França, 1950. Disponível em: 
https://www.echr.coe.int/documents/convention_por.pdf. Acesso em: 11 jun. 2021.
MACHADO, J. E. M.; BRITO, I. R. de. Curso de Direito da Comunicação 
Social. Lisboa: Wolters Kluwer, Portugal, 2013.
MARANHÃO, J.; CAMPOS, R. Fake New e autorregulação regulada das redes sociais 
no Brasil: fundamentos constitucionais. In: ABBOUD, G.; NERY JUNIOR, N.; CAMPOS, 
R. (Coord.). Fake News e Regulação. São Paulo: Thonson Reuters Brasil, 2018.
MAZZUOLI, V. de O. Direitos Comunicativos como direitos humanos: abrangência, 
limites, acesso à Internet e direito ao esquecimento. São Paulo: Revista dos 
Tribunais, 2015, v. 960, p. 249-267.
MARTINS, M. G. TATEOKI, V. A. Proteção de dados pessoais e democracia: fake news, 
manipulação do eleitor e o caso da Cambridge Analytica. Revista Eletrônica Direito 
e Sociedade. v. 7. n. 3. 2019. Editora Unilasalle.
OHCHR. Declaração Universal dos Direitos Humanos. 1948.
Disponível em: https://www.ohchr.org/en/udhr/documents/udhr_translations/por.
pdf. Acesso em: 11 jun. 2021.
PAREDES, M. Violação da privacidade na Internet. São Paulo: Revista de Direito 
Privado, v. 9, p. 183-203, 2002.
CÂMARA DOS DEPUTADOS. Proposta de Emenda à Constituição n. 17, de 2019. 
Brasília, DF: Câmara dos Deputados, [2019]. Disponível em: https://www.camara.leg.
br/proposicoesWeb/fichadetramitacao?idProposicao=2210757. Acesso em: 11 jun. 
2021.
SALDANHA, N. Novo Regulamento Geral de Proteção de Dados. O que é? A 
quem se aplica? Como implementar? Lisboa: FCA, 2018.
SIQUEIRA JÚNIOR, P. H. Direitos Humanos. São Paulo: Revista dos Tribunais, v. 824, 
p. 723-747, 2014.
https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=460414&ori=1
https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=460414&ori=1
https://www.echr.coe.int/documents/convention_por.pdf
https://www.ohchr.org/en/udhr/documents/udhr_translations/por.pdf
https://www.ohchr.org/en/udhr/documents/udhr_translations/por.pdf
21
Legislação Brasileira de segurança 
da informação e privacidade de 
dados e RGPD
Autoria: Milena Guarda
Leitura crítica: Paulo Ricaldoni
Objetivos
• Conhecer as principais normas brasileiras de 
segurança da informação e privacidade de dados 
pessoais.
• Analisar as razões da criação de um Regulamento de 
Proteção de Dados Pessoais na UE.
• Estudar as expressões privacy by design (privacidade 
desde a concepção) e privacy by default (privacidade 
por padrão), diante de sua relevância na sociedade 
da informação.
22
1. Introdução
Indiscutível que, na atualidade, todos os cidadãos, independentemente 
do país, estão sujeitos: a) à inexistência de fronteiras digitais; b) a um 
mundo interconectado, com grande volume de informações e em alta 
velocidade; c) à excessiva exposição de dados pessoais; d) às redes 
sociais, que se tornam grandes provedoras de conteúdo.
Hoje, os dados possuem valor econômico1 e o conhecimento privilegiado 
de informações sobre algo ou alguém representa poder, como, por 
exemplo, a Cambridge Analytica, empresa privada, no Reino Unido, que 
utilizou dados pessoais para comunicação estratégica e influência das 
eleições de diversos países, como Estados Unidos, em 2016.
Diante das situações acima relatadas, houve a preocupação pelo Estado 
com a proteção dos direitos fundamentais, em especial, o direito à 
privacidade de dados pessoais.
O Brasil possui leis recentes que tratam da segurança da informação 
e privacidade de dados. Já a União Europeia tem legislação há muitos 
anos, mas o principal instrumento jurídico da UE sobre proteção de 
dados é a Diretiva 95/46/CE (revogada pelo Regulamento Geral de 
Proteção de Dados – RGPD).
1 RUIZ, M. Os dados são o novo petróleo. Isto é Dinheiro, nove de março de dois mil e 
oito. ed. 1060. Disponível em: https://www.istoedinheiro.com.br/os-dados-sao-o-novo-pe-
troleo/. Acesso em: 11 jun. 2021. 
23
2. Legislação brasileira de segurança da 
informação e privacidade de dados pessoais
A segurança da informação (SI) é um conjunto de medidas necessáriaspara salvaguardar a confidencialidade, integridade e disponibilidade da 
informação (tríade denominada CID). Tem como finalidade proteger a 
informação de ataques cibernéticos e violações.
A confidencialidade tem como escopo assegurar a privacidade das 
informações, com o acesso apenas das pessoas autorizadas.
A integralidade corresponde a confirmação de que a informação 
permanece íntegra, ou seja, que não houve modificação durante sua 
transmissão ou armazenamento.
A disponibilidade é a garantia de que a informação, quando solicitada, 
sempre estará disponível e acessível para as pessoas autorizadas.
A privacidade de dados pessoais2 se refere a coleta dos dados, sua 
finalidade e possibilidade legal de compartilhamento.
2.1 Marco Civil da Internet
A Lei n. 12.965/14,3 conhecida como Marco Civil da Internet (MCI), 
estabelece princípios (art. 3º), direitos e garantias (arts. 7º e 8º) e deveres 
(arts. 9º, 13, 14 e 15) para o uso da Internet no Brasil e determina as 
diretrizes para atuação do Estado (arts. 24 ao 28).
2 Dados pessoais correspondem a toda informação relacionada a uma pessoa natural 
viva identificada (nome, sobrenome, apelido, idade, endereço residencial ou eletrônico) ou 
identificável (por meio de dados de localização, perfis de compra, número de Internet Pro-
tocol–IP).
3 O Decreto n. 8.771/16 regulamenta a Lei n. 12.965/14 e indica procedimentos para guar-
da e proteção de dados por provedores de conexão e de aplicações, aponta medidas de 
transparência na requisição de dados cadastrais pela administração pública e estabelece 
parâmetros para fiscalização e apuração de infrações.
24
É possível caracterizar a violação dos direitos comunicativos pelo Estado 
quando:
a. Censura a expressão de ideias e opiniões.
b. Impede o acesso dos cidadãos aos meios de comunicação 
(televisão, rádio, internet etc.).
c. Por omissão, pela falta de regulamentação do uso dos meios de 
comunicação.4
Por consequência, o MCI atende à obrigação do Estado em disciplinar 
o direito comunicativo na era digital, em especial na rede mundial de 
computadores.
1. Mazzuoli (2015), observa que os direitos humanos e o exercício 
da cidadania são alguns dos fundamentos da Lei (art. 2º) e conclui 
que “o direito comunicativo à internet livre faz parte do núcleo dos 
direitos humanos e fundamentais que a ordem jurídica brasileira 
deve consagrar a todos os cidadãos”.
O uso da Internet é disciplinado por princípios, dentre os quais é 
relevante destacar (art. 3º):
a. Garantia da liberdade de expressão, comunicação e manifestação 
de pensamento, nos termos da Constituição Federal, e como 
condição para o pleno exercício do direito de acesso à Internet 
(art. 8º).
b. Proteção da privacidade.
c. Proteção dos dados pessoais, na forma do MCI e da Lei n. 
13.709/18 (Lei Geral de Proteção de Dados Pessoais – LGPD).
d. Responsabilização dos agentes de acordo com suas atividades.
4 MAZZUOLI, Valério de Oliveira. Direitos Comunicativos como direitos humanos: abran-
gência, limites, acesso à Internet e direito ao esquecimento. São Paulo: Revista dos Tribu-
nais, v. 960, p. 24-/267, 2015.
25
Esses princípios não excluem outros previstos no ordenamento jurídico 
pátrio relacionados à matéria ou nos tratados internacionais em que o 
Brasil é parte (art. 3º, parágrafo único).
O MCI também assegura o direito (art. 7º):
I. inviolabilidade da intimidade e da vida privada, sua proteção e indenização 
pelo dano material ou moral decorrente de sua violação;
II. inviolabilidade e sigilo do fluxo de suas comunicações pela Internet;
III. inviolabilidade e sigilo de suas comunicações privadas armazenadas;
IV. não suspensão da conexão à Internet, salvo por débito diretamente 
decorrente de sua utilização;
V. manutenção da qualidade contratada da conexão à Internet;
VI. não fornecimento a terceiros de seus dados pessoais, inclusive registros 
de conexão, e de acesso a aplicações de Internet, salvo mediante 
consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
VII. informações claras e completas sobre coleta, uso, armazenamento, 
tratamento e proteção de seus dados pessoais, que somente poderão 
ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam 
vedadas pela legislação; e c) estejam especificadas nos contratos de 
prestação de serviços ou em termos de uso de aplicações de Internet,
VIII. consentimento expresso sobre coleta, uso, armazenamento e tratamento 
de dados pessoais, que deverá ocorrer de forma destacada das demais 
cláusulas contratuais;
IX. exclusão definitiva dos dados pessoais que tiver fornecido a determinada 
aplicação de internet, a seu requerimento, ao término da relação entre as 
partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas 
na Lei.
X. publicidade e clareza de eventuais políticas de uso dos provedores de 
conexão à internet e de aplicações de internet;
XI. acessibilidade, consideradas as características físico-motoras, perceptivas, 
sensoriais, intelectuais e mentais do usuário, nos termos da lei; e
XII. aplicação das normas de proteção e defesa do consumidor nas relações de 
consumo realizadas na internet.
26
2.2 Lei do Cadastro Positivo
A Lei n. 12.414/11, denominada Lei do Cadastro Positivo, “disciplina 
a formação e consulta a bancos de dados com informações de 
adimplemento, de pessoas naturais ou de pessoas jurídicas, para 
formação de histórico de crédito”.
De acordo com a redação inicial da Lei, a inclusão do nome do 
consumidor no referido banco de dados dependia de aprovação prévia.
Todavia, a LGPD (artigo 7º, inciso X) determina que os dados referentes 
a proteção do crédito sofrerão tratamento independentemente de 
autorização do titular, ou seja, trata-se de situação que não exige 
consentimento.
A Lei Complementar n. 166/19 alterou a Lei do Cadastro Positivo para 
se adequar a LGPD, autorizando o tratamento de dados pessoais 
sem concordância do titular, desde que observadas as finalidades 
estabelecidas no artigo 7º, da Lei do Cadastro Positivo:
a. realização de análise de risco de crédito do cadastrado;
b. subsidiar a concessão ou extensão de crédito e a realização de 
venda a prazo ou outras transações comerciais e empresariais 
que impliquem risco financeiro ao consulente (pessoa natural 
ou jurídica que acesse informações em bancos de dados para 
qualquer finalidade permitida por esta Lei).
Sem o consentimento do titular dos dados, o responsável pela 
administração de banco de dados poderá (art. 4º):
a. abrir cadastro em banco de dados com informações de 
adimplemento de pessoas naturais e jurídicas;
b. fazer anotações no cadastro;
c. compartilhar as informações cadastrais e de adimplemento 
armazenadas com outros bancos de dados;
27
d. disponibilizar o score (a nota ou pontuação de crédito elaborada 
com base nas informações de adimplemento armazenadas) para o 
consulente.
A autorização prévia e específica do cadastrado (titular dos dados) 
somente é necessária em caso de histórico de crédito (art. 4º, inciso IV, 
alínea “b”).
O cadastrado tem direito (art. 5º):
I. obter o cancelamento ou a reabertura do cadastro, quando solicitado;
II. acessar gratuitamente, independentemente de justificativa, as informações 
sobre ele existentes no banco de dados, inclusive seu histórico e sua nota 
ou pontuação de crédito, cabendo ao gestor manter sistemas seguros, 
por telefone ou por meio eletrônico, de consulta às informações pelo 
cadastrado;
III. solicitar a impugnação de qualquer informação sobre ele erroneamente 
anotada em banco de dados e ter, em até 10 (dez) dias, sua correção ou 
seu cancelamento em todos os bancos de dados que compartilharam a 
informação;
IV. conhecer os principais elementos e critérios considerados para a análise de 
risco, resguardado o segredo empresarial;
V. ser informado previamente sobre a identidade do gestor e sobre o 
armazenamento e o objetivo do tratamento dos dados pessoais.
VI. solicitar ao consulente a revisão de decisão realizadaexclusivamente por 
meios automatizados; e
VII. ter os seus dados pessoais utilizados somente de acordo com a finalidade 
para a qual eles foram coletados.
2.3 Lei de Acesso à Informação
A Lei n. 12.527/11, Lei de Acesso à Informação (LAI), assegura a qualquer 
pessoa o direito fundamental de acesso às informações produzidas 
28
ou armazenadas pelos órgãos e entidades públicas, e proíbe exigir do 
solicitante os motivos de sua solicitação (art. 10, § 3º).
Essa lei determina que “o tratamento das informações pessoais deve ser 
feito de forma transparente e com respeito à intimidade, vida privada, 
honra e imagem das pessoas, bem como às liberdades e garantias 
individuais”. E, ainda, estabelece (art. 31):
a. a restrição de acesso, independentemente de classificação de 
sigilo e pelo prazo máximo de 100 anos a contar da sua data de 
produção;
b. a possibilidade de autorização de sua divulgação ou acesso por 
terceiros diante de previsão legal ou consentimento expresso da 
pessoa a que elas se referirem;
c. a responsabilização, pelo uso indevido, por quem obtiver acesso 
das informações pessoais (§ 2º).
2.4 Lei Carolina Dieckmann
A Lei n. 12.737/12, Lei Carolina Dieckmann ou Lei dos Crimes 
Informáticos, tipifica os delitos informáticos por condutas realizadas na 
Internet, com a inclusão dos artigos 154-A e 154-B ao Código Penal.
Os crimes instituídos por essa lei são: invasão de dispositivo informático; 
interrupção ou perturbação de serviço telegráfico, telefônico, 
informático, telemático ou de informação de utilidade pública; 
falsificação de documento particular; falsificação de cartão de crédito ou 
débito.
2.5 Código de Defesa do Consumidor
A Lei n. 8.078/90 (Código de Defesa do Consumidor–CDC) concede 
ao consumidor o direito de ter “acesso às informações existentes em 
29
cadastros, fichas, registros e dados pessoais e de consumo arquivados 
sobre ele, bem como sobre as suas respectivas fontes” (art. 43).
Essa lei também determina que (art. 43):
a. as informações negativas devem ser limitadas ao período máximo 
de cinco anos (§ 1°);
b. a abertura de cadastro, ficha, registro e dados pessoais e de 
consumo deverá ser comunicada por escrito ao consumidor, 
quando não solicitada por ele (§ 2°);
c. o direito do consumidor de corrigir seus dados e cadastros 
inexatos, devendo o arquivista comunicar a alteração no prazo de 
cinco dias úteis (§ 3°).
A lei, embora não tenha previsto a autorização do consumidor para 
a coleta de dados, determina que, caso seja feita, a empresa deve 
comunicar por escrito o que será feito com os mesmos.
Complementando o CDC, o Decreto n. 7.962/13 (Decreto do Comércio 
Eletrônico) determina que o fornecedor adote mecanismos de segurança 
eficazes para pagamento e para tratamento de dados do consumidor 
(art. 4º, inciso VII).
2.6 Estatuto da Criança e do Adolescente
A Lei n. 8.069/90 (Estatuto da Criança e do Adolescente–ECA) estabelece 
medidas específicas de proteção à criança e ao adolescente, devendo 
tais medidas serem orientadas, dentre outros princípios, pelo da 
privacidade.
Com base no princípio da privacidade, a promoção dos direitos e 
proteção da criança e do adolescente é garantida por meio do respeito 
pela intimidade, direito à imagem e reserva de sua vida privada (art. 100, 
parágrafo único, inciso V).
30
Constituiu crime o registro, troca, oferecimento, armazenamento, 
transmissão, comercialização, distribuição e divulgação, por qualquer 
meio, inclusive por meio de sistema de informática ou telemático, de 
material pornográfico com criança e adolescente (arts. 240 ao 241-D).
2.7 Direitos autorais e a proteção da propriedade 
intelectual das obras de seus titulares
A Lei n. 9.610/98  (Lei de Direitos Autorais–LDA) enumera as obras 
intelectuais protegidas pela norma (art. 7º), garante ao autor o direito 
exclusivo de utilizar, fruir e dispor da obra literária, artística ou científica 
(art. 28) e assegura os direitos morais e patrimoniais sobre a obra que 
criou (art. 22).
O artigo 5º, inciso XXVII, da Constituição Federal de 1988 (CF/88), 
assegura “aos autores o direito exclusivo de utilização, publicação ou 
reprodução de suas obras”. E, ainda, os incisos XXVIII e XXIX, da referida 
norma, garantem o direito autoral e a propriedade intelectual.
O plágio (falsa atribuição de autoria de conteúdo e ideias) tem previsão 
na LDA e as penalidades estão previstas no artigo 184 do Código Penal.
A Lei n. 10.695/03 (Nova Lei dos Direitos Autorais ou Lei Antipirataria) 
aumenta a punição máxima para quatro anos para quem cometer 
crimes com violação aos direitos autorais, ou que lhe são conexos, 
quando tiverem o intuito de auferir lucro, deixando de ser considerado 
crime de menor potencial ofensivo.
Os direitos autorais também são aplicados no meio digital, 
permanecendo inalterado seu âmbito jurídico. Contudo, não se 
pode negar que a tecnologia e a Internet favoreceram a violação dos 
direitos autorais, como, por exemplo, os aplicativos de digitalização de 
documentos e a fácil e rápida disseminação da obra pela Internet.
31
3. Instrumentos jurídicos da União Europeia de 
proteção de dados
A Europa possui vários instrumentos jurídicos relevantes, referentes a 
proteção de dados.5 A Diretiva 95/46/CE, do Parlamento Europeu e do 
Conselho (Diretiva de Proteção de Dados, revogada pelo Regulamento 
n. 2016/679), dispunha sobre “a proteção das pessoas singulares no que 
diz respeito ao tratamento de dados pessoais e à livre circulação desses 
dados”.
Entretanto, a diretiva não tinha aplicação automática, exigia que 
cada país fizesse sua transposição para o Direito nacional, por meio 
de processos legislativos,6 possibilitando a transcrição com alguma 
liberdade em seu conteúdo. Isso gerou diferenças significativas na 
legislação dos diversos países, com diferentes formas de atuação das 
autoridades de proteção de dados, o que justificou os diferentes níveis 
de conformidade.7
Diante da necessidade de harmonização da legislação referente a 
proteção de dados, surgiu a proposta de criação de um regulamento.
Para a aprovação do texto final do Regulamento (UE) 2016/679, 
do Parlamento Europeu e do Conselho (Regulamento Geral sobre 
a Proteção de Dados – RGPD ou em inglês General data Protection 
5 Manual da Legislação Europeia sobre Proteção de Dados. Versão digital disponível no 
site da Internet da European Union Agency. Disponível em: https://fra.europa.eu/en. Aces-
so em: 11 jun. 2021.
6 Em Portugal, a Diretiva 95/46/CE foi transposta pela Lei n. 67/98. 
7 “As diretivas exigem que os países da UE atinjam um determinado resultado, deixando-
-os escolher a forma de o fazer. Os países da UE têm de adotar medidas para incorporar as 
diretivas no direito nacional (transposição), a fim de atingir os objetivos fixados nas mes-
mas. As autoridades nacionais devem comunicar essas medidas à Comissão Europeia. A 
transposição para o direito nacional deve ser feita no prazo fixado quando da adoção da 
diretiva (geralmente, no prazo de dois anos). Quando um país não transpõe uma diretiva, a 
Comissão pode dar início a um processo por infração”. Tipos de direito europeu. Disponível 
em: https://ec.europa.eu/info/law/law-making-process/types-eu-law_pt. Acesso em: 11 jun. 
2021.
https://fra.europa.eu/en
https://ec.europa.eu/info/law/law-making-process/types-eu-law_pt
32
Regulation–GDPR) foram quatro anos de deliberações (desde 2012), com 
aprovação em 27/04/2016, com prazo de dois anos para adequação 
pelas empresas, sendo que sua eficácia plena ocorreu simultaneamente 
em todos os países em 25/05/2018.
O RGPD tem como objetivo “à proteção das pessoas singulares no que 
diz respeito ao tratamento de dados pessoais e à livre circulação desses 
dados e revoga a Diretiva 95/46/CE”.
O RGPD tem âmbito de aplicação territorial nos vinte e oito Estados-
Membros da UE e os Estados que não são membros, mas que fazem 
parte do Espaço Econômico Europeu–EEE (Islândia, Listenstaine, 
Noruega e Suíça). Esses países devem assegurara execução do RGPD 
na ordem jurídica interna, bem como devem criar normas, das quais o 
RGPD requer ou permite a intervenção do legislador nacional.
O RGPD é considerado mundialmente como norma mais avançada e 
rigorosa de proteção de dados.
3.1 A proteção de dados desde a concepção (privacy by 
design) e por padrão (privacy by default)
As expressões privacy by design (privacidade desde a concepção) e 
privacy by default (privacidade por padrão), diante da relevância na 
sociedade da informação, foram expressamente inseridas no RGPD, no 
Considerando 78 e no artigo 25.
Na legislação brasileira, embora não estejam expressamente previstas, 
encontram-se na ratio do MCI e implicitamente na LGPD.
Privacy by design corresponde a uma trilogia de medidas de prevenção 
da segurança da informação e da privacidade dos dados em todo seu 
ciclo de vida:
33
1. Sistemas de TI.
2. Práticas comerciais responsáveis.
3. Projeto físico e infraestrutura de rede.8
Os objetivos do privacy by design são alcançados por meio dos setes 
princípios fundamentais:9
1º–Proativo, não reativo; preventivo, não corretivo: antecipa e evita eventos 
invasivos de privacidade antes que eles aconteçam, não espera que os 
riscos de privacidade se materializem, nem oferece remédios para resolver 
infrações de privacidade depois que elas ocorrerem.
2º–Privacidade como configuração padrão: busca oferecer o máximo 
grau de privacidade, garantindo que os dados pessoais sejam protegidos 
automaticamente em qualquer sistema de TI ou prática comercial. Se 
um indivíduo não faz nada, sua privacidade ainda permanece intacta. 
Nenhuma ação é necessária por parte do indivíduo para proteger sua 
privacidade–ela é incorporada ao sistema, por padrão.
3º–Privacidade incorporada ao design: privacidade como parte integrante 
do sistema.
4º–Funcionalidade total: considera todos os interesses e objetivos legítimos 
de maneira positiva, sem a realização de compensações desnecessárias, 
evitando as falsas dicotomias, como privacidade versus segurança, 
demonstrando que é possível ter as duas.
5º–Segurança de ponta a ponta, proteção total do ciclo de vida: fortes 
medidas de segurança são essenciais para a privacidade, do início ao fim.
6º–Privacidade e transparência: procura garantir a todos os interessados 
que, independentemente da prática ou tecnologia comercial envolvida, 
ela esteja de fato operando de acordo com as promessas e objetivos 
declarados, sujeitos a verificação independente. Suas partes e operações 
8 Privacy by Design. The 7 Foundational Principles. Disponível em: ipc.on.ca. Acesso em: 11 
jun. 2021.
9 Idem. Tradução nossa.
34
permanecem visíveis e transparentes, tanto para usuários quanto para 
fornecedores.
7º–Respeito pela privacidade do usuário: exige que todos devem respeitar 
os interesses dos titulares de dados em primeiro plano, oferecendo 
medidas como padrões de privacidade fortes, aviso apropriado e 
oferecendo opções para o usuário.
Privacy by design esclarece que:
Os princípios de Privacy by Design podem ser aplicados a todos os tipos 
de informações pessoais, mas devem ser aplicados com especial vigor 
aos dados sensíveis, como informações médicas e dados financeiros. 
A força das medidas de privacidade tende a ser proporcional à 
sensibilidade dos dados.10
No privacy by default, as configurações de privacidade estão asseguradas 
em um modo mais restritivo possível por padrão, sem a necessidade de 
ação do usuário, sendo coletadas apenas as informações necessárias, 
assim, cabendo ao titular liberar o acesso de outros dados.
3.2 Do Regulamento Geral de Proteção de Dados
O RGPD11 criou um conjunto de novos direitos dos cidadãos, novos 
procedimentos e novas obrigações para todas as pessoas jurídicas 
públicas e privadas do EEE (refere-se a uma questão legal, processual e 
tecnológica). Teve efeito triplo (no passado, presente e futuro), ou seja, 
10 Privacy by Design. The 7 Foundational Principles; 2013; p.1. Disponível em: https://www.
ipc.on.ca/wp-content/uploads/2013/09/pbd-primer.pdf. Acesso em: 11 jun. 2021.
11 UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, 
de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao 
tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 
95/46/CE (Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia. 
Disponível em: https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A32016R0679. 
Acesso em: 11 jun. 2021.
https://www.ipc.on.ca/wp-content/uploads/2013/09/pbd-primer.pdf
https://www.ipc.on.ca/wp-content/uploads/2013/09/pbd-primer.pdf
35
os dados colhidos e armazenados antes da vigência da lei, tiveram que 
se adequar à nova legislação.12
O RGPD classificou 12 diferentes direitos, independentes entre si:13
(...) direito à proteção de dados pessoais (artigo 1º), direto à informação 
(artigo 13º), de acesso (artigo 15º), de retificação (artigo 16º), ao 
apagamento dos dados (artigo 17º), à limitação do tratamento (artigo 
18º), à notificação (artigo 19º), de portabilidade dos dados (artigo 20º), de 
oposição (artigo 21º), a não ficar sujeito a decisões automatizadas (artigo 
22º), a ser avisado em caso de uma violação de dados pessoais (artigo 
34º) e, claro, os direitos relacionados com os princípios do tratamento 
dos dados pessoais (e constantes do artigo 5º), nomeadamente que os 
dados sejam objetos de tratamento licito, leal e transparente, recolhidos 
com finalidades determinadas, adequados, pertinentes, limitados, exatos, 
atualizados, etc.
Para tornar eficaz o RGPD, as entidades Europeias estabeleceram um 
valor sancionatório mais alto, com coimas que podem chegar a 20 
milhões de euros ou 4% do valor do faturamento anula das empresas ou 
do grupo de empresas (art. 83ª).14
4. Conclusão
A União Europeia possui legislação sobre proteção de dados pessoais 
desde 1995 (Diretiva 95/46/CE do Parlamento Europeu e do Conselho), 
além de outras Direitas, Regulamentos e legislação internas dos países. 
Em 25 de maio de 2018 iniciou a vigência do RGPD, reconhecido 
mundialmente como norma mais avançada e rigorosa de proteção de 
dados, a qual influenciou a criação da LGPD.
12 SALDANHA, Nuno. Novo Regulamento Geral de Proteção de Dados: o que é? A quem se 
aplica? Como implementar? Lisboa: FCA, 2018, p. 8.
13 Idem nota anteior, p. 15.
14 Idem nota anterior, 16.
36
Igualmente, buscando uma maior adequação e segurança jurídica para 
os cidadãos, o Brasil possui normas de segurança da informação e 
privacidade de dados pessoais, como o MCI, LGPD (com vigência a partir 
de agosto de 2020), Lei do Cadastro Positivo, LAI, Lei Carolina Dieckman, 
CDC, ECA, LDA e propriedade intelectual.
Referências Bibliográficas
BRASIL. Presidência da República. Secretaria-Geral. Subchefia para Assuntos 
Jurídicos. Decreto 8.771, de 11 de maio de 2016. Brasília, DF: Presidência da 
República, [2016]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2016/decreto/d8771.htm. Acesso em: 11 jun. 2021.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei 
n. 8069, de 13 de julho de 1990. Brasília, DF: Presidência da República, [1990a]. 
Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8069.htm. Acesso em: 11 
jun. 2021.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. 
Lei n. 8078, de 11 de setembro de 1990. Brasília, DF: Presidência da República, 
[1990b]. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8078.htm. Acesso 
em: 11 jun. 2021.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei 
n. 9610, de 19 de fevereiro de 1998. Brasília, DF: Presidência da República, [1998a]. 
Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l9610.htm. Acesso em: 11 
jun. 2021.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei 
n. 10.695, de 20 de agosto de 1998. Brasília, DF: Presidência da República,[1998b]. 
Disponível em: http://www.planalto.gov.br/ccivil_03/leis/L9695.htm. Acesso em: 11 
jun. 2021.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei 
n. 12.965, de 23 de abril de 2014. Brasília, DF: Presidência da República, [2014]. 
Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.
htm. Acesso em: 11 jun. 2021.
BRASIL. Presidência da República. Secretaria-Geral. Subchefia para Assuntos 
Jurídicos. Lei n. 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da 
República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/L13709.htm. Acesso em: 11 jun. 2021.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. 
Lei n. 12.527, de 18 de novembro de 2011. Brasília, DF: Presidência da República, 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/d8771.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/d8771.htm
http://www.planalto.gov.br/ccivil_03/leis/l8069.htm
http://www.planalto.gov.br/ccivil_03/leis/l8078.htm
http://www.planalto.gov.br/ccivil_03/leis/l9610.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
37
[2011]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/
l12527.htm. Acesso em: 11 jun. 2021.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. 
Lei n. 12.737, de 30 de novembro de 2012. Brasília, DF: Presidência da República, 
[2012]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/
l12737.htm. Acesso em: 11 jun. 2021.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. 
Lei Complementar n. 166, de 8 de abril de 2019. Brasília, DF: Presidência da 
República, [2019]. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/lcp/
Lcp166.htm. Acesso em: 11 jun. 2021.
EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS (FRA). Manual 
Da Legislação Europeia sobre Proteção de Dados. Agência dos Direitos 
Fundamentais da União Europeia, Conselho da Europa, 2014. Disponível em: 
https://fra.europa.eu/sites/default/files/fra-2014-handbook-data-protection-pt.pdf. 
Acesso em: 11 jun. 2021.
INFORMATION AND PRIVACY COMMISSIONER OF ONTARIO (IPC). Privacy by 
Design. The 7 foundational principles. Disponível em: https://www.ipc.on.ca/wp-
content/uploads/2013/09/pbd-primer.pdf. Acesso em: 11 jun. 2021.
MAZZUOLI, V. de O. Direitos comunicativos como direitos humanos: abrangência, 
limites, acesso à Internet e direito ao esquecimento. São Paulo: Revista dos 
Tribunais, v. 960, p. 249-267, 2015.
RUIZ, M. Os dados são o novo petróleo. Isto é Dinheiro, nove de março de dois mil 
e oito. ed. 1060. Disponível em: https://www.istoedinheiro.com.br/os-dados-sao-o-
novo-petroleo/. Acesso em: 11 jun. 2021.
SALDANHA, N. Novo regulamento geral de proteção de dados: o que é? A quem 
se aplica? Como implementar? Lisboa: FCA, 2018.
UNIÃO EUROPEIA. Regulamento Geral sobre a Proteção de Dados. Jornal Oficial 
da União Europeia. Disponível em: https://eur-lex.europa.eu/legal-content/PT/
ALL/?uri=celex%3A32016R0679. Acesso em: 11 jun. 2021.
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm
http://www.planalto.gov.br/ccivil_03/leis/lcp/Lcp166.htm
http://www.planalto.gov.br/ccivil_03/leis/lcp/Lcp166.htm
https://fra.europa.eu/sites/default/files/fra-2014-handbook-data-protection-pt.pdf
https://www.ipc.on.ca/wp-content/uploads/2013/09/pbd-primer.pdf
https://www.ipc.on.ca/wp-content/uploads/2013/09/pbd-primer.pdf
https://www.istoedinheiro.com.br/os-dados-sao-o-novo-petroleo/
https://www.istoedinheiro.com.br/os-dados-sao-o-novo-petroleo/
https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A32016R0679
https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A32016R0679
38
Lei Geral de Proteção de Dados 
(LGPD) – Parte I
Autoria: Milena Guarda
Leitura crítica: Paulo Ricaldoni
Objetivos
• Conhecer a contextualização da legislação de 
proteção de dados.
• Analisar os conceitos e terminologias da Lei Geral de 
Proteção de Dados (LGPD).
• Estudar os princípios gerais e as bases legais 
específicas da LGPD.
39
1. Introdução
A Lei Geral de Proteção de Dados Pessoais (LGPD) foi introduzida no 
ordenamento jurídico brasileiro, por meio da Lei n. 13.709, de 14 de 
agosto de 2018. Tem como objetivo proteger os direitos fundamentais 
de liberdade e de privacidade e o livre desenvolvimento da 
personalidade da pessoa natural, além de alterar a Lei n. 12.965, de abril 
de 2014 (Marco Civil da Internet).
2. Lei Geral de Proteção de Dados
2.1 Contextualização
Certamente, dois escândalos mundiais contribuíram para agilizar a 
tramitação do projeto legislativo1 e a sanção da LGPD. O primeiro foi 
em 2013, com a revelação dada por Edward Snowden (ex-analista da 
Agência Nacional de Segurança – NSA, órgão vinculado ao Governo 
dos Estados Unidos), sobre os detalhes dos programas utilizados para 
monitoramento e vigilância das informações trafegadas pela web, pois 
além de informações coletadas para o combate ao terrorismo, a NSA 
vigiava todo e qualquer cidadão de diferentes países, bem como seus 
chefes de Estados. Isso demonstrou a vulnerabilidade da privacidade de 
dados no ambiente digital.2
O segundo escândalo foi o uso de dados dos usuários do Facebook, pela 
Cambridge Analytica, para fins políticos. A investigação contra o Facebook 
sugere a possibilidade do uso das informações para influenciar o Brexit, 
1 Projetos de Leis principais: n. 4.060/2012, n. 330/2013 e n. 5.276/2016, que foram essen-
ciais para a base do Projeto de Lei n. 53/2018.
2 MACIEL, Rafael. Manual prático sobre a Lei Geral de Proteção de Dados Pessoais: 
atualizado com a Medida Provisória n. 869/18.RM Digital Education.
40
as eleições presidenciais dos Estados Unidos de 2016 e as eleições do 
Brasil de 2018.3
Em 2018, o Brasil foi incluído ao rol dos países que apresentam uma 
legislação específica sobre proteção de dados pessoais. Antes da 
promulgação da LGPD (Lei n. 13.709/18), havia apenas leis setoriais:
• Direitos fundamentais: Constituição Federal de 1988, artigo 5º, 
inciso X, que garante à inviolabilidade a intimidade, a vida privada, 
a honra e a imagem das pessoas, bem como assegura o direito 
a indenização pelo dano material ou moral decorrente de sua 
violação. 
• Código de Defesa do Consumidor (CDC): primeira lei brasileira a 
prever dispositivos que protegem os dados pessoais. O CDC foi 
complementado pela Lei do Cadastro Positivo.
• Direito Penal: Lei Carolina Dieckman tipificou os delitos 
informáticos por condutas realizadas na Internet, com a inclusão 
dos artigos 154-A e 154-B ao Código Penal; Lei n. 9.296/96 supriu 
a lacuna constitucional quanto às interceptações telefônicas, 
telemática e de informática.
• Setor público: Lei de Acesso à Informação regula o direito 
constitucional de acesso às informações públicas.
• Uso da Internet no Brasil: Marco Civil da Internet é a lei que regula 
o uso da Internet no país por meio da precisão de princípios, 
garantias, direitos e deveres para quem utiliza da rede.
A elaboração de uma legislação para proteção de dados pessoais foi 
impulsionada pelo Regulamento Geral de Proteção de Dados (RGPD), 
que determina que os países que pretendem comercializar com a União 
3 MACIEL, Rafael. Manual prático sobre a Lei Geral de Proteção de Dados Pessoais: 
atualizado com a Medida Provisória n. 869/18.RM Digital Education.
41
Europeia disponham de uma legislação de proteção de dados no mesmo 
nível.
A LGPD, que possui sessenta e cinco artigos esem orientações 
interpretativas, foi influenciada pelo RGPD, que possui cento e setenta 
e três considerandos e noventa e nove artigos. Contudo, a legislação 
nacional, além de ser menor, deixou margens para uma interpretação 
ampla e subjetiva, podendo gerar insegurança jurídica.
2.2 Conceitos e terminologias
Os conceitos e terminologias apresentados na LGPD são fundamentais 
para o entendimento da legislação e devem ser utilizados em 
documentos, contratos, termos de consentimentos. Os principais 
conceitos legais estão previstos no artigo 5º da Lei.
Pessoa natural: ser humano vivo.
• Titular: é a pessoa natural detentor dos dados pessoais que são 
objeto de tratamento.
• Dado pessoal: é a informação relacionada a pessoa natural 
identificada ou identificável. O conceito abrange as informações 
pessoais diretas, como nome, documento de identificação, 
endereço, e as indiretas, como dados de geolocalização, cookies, 
endereços de IP, que em conjunto com outras informações 
suplementares são capazes de identificar o indivíduo.
• Dado pessoal sensível: é um dado acerca de origem racial ou 
étnica, convicção religiosa, opinião política, filiação a sindicato ou 
a organização de caráter religioso, filosófico ou político. Também 
abrange dados referentes à saúde ou à vida sexual, dado genético 
ou biométrico, quando vinculado a uma pessoa natural.
42
• Dado anonimizado: são os que não permitem identificar, de 
forma direita ou indireta, o titular. Portanto, o dado anonimizado 
não necessita de proteção legal (art. 12), mas se o processo de 
anonimização puder ser revertido, aplica-se a LGPD.
• Anonimização: é a utilização de meios técnicos pelos quais um 
dado perde a possibilidade de associação, direta ou indireta, a um 
indivíduo.
• Pseudonimização: é o tratamento por meio do qual um dado perde 
a possibilidade de associação, direta ou indireta, a um indivíduo, 
senão pelo uso de informação adicional mantida separadamente 
pelo controlador em ambiente controlado e seguro (art. 13, § 4º).
• Banco de dados: é o conjunto estruturado de dados pessoais, 
arquivados em um ou em vários locais, em suporte eletrônico ou 
físico.
• Controlador: é a pessoa natural ou jurídica, de direito público ou 
privado, a quem competem as decisões referentes ao tratamento 
de dados pessoais.
• Operador: é a pessoa natural ou jurídica, de direito público ou 
privado, que realiza o tratamento de dados pessoais em nome do 
controlador.
• Encarregado: também conhecido como Data Protection Officer 
(DPO), é a pessoa indicada pelo controlador e operador para 
atuar como canal de comunicação entre os titulares dos dados e a 
Autoridade Nacional de Proteção de Dados (ANPD).    
• Agentes de tratamento: são os controladores e os operadores.
• Bloqueio: trata-se da suspensão temporária de qualquer operação 
de tratamento, mediante guarda do dado pessoal ou do banco de 
dados.
43
• Eliminação: é a exclusão de dado ou de conjunto de dados 
armazenados em banco de dados, independentemente do 
procedimento empregado.
• Uso compartilhado de dados: é a comunicação, difusão, 
transferência internacional, interconexão de dados pessoais 
ou tratamento compartilhado de bancos de dados pessoais 
por órgãos e entidades públicas, no cumprimento de suas 
competências legais, ou entre esses e entes privados, 
reciprocamente, com autorização específica, para uma ou mais 
modalidades de tratamento permitidas por esses entes públicos, 
ou entre entes privados.
• Autoridade nacional: é o órgão da administração pública 
responsável por zelar, implementar e fiscalizar o cumprimento 
desta lei em todo o território nacional.     
E, ainda, é possível obter um Glossário de Segurança da Informação, 
aprovado pelo Gabinete de Segurança Institucional da Presidência da 
República, por meio da Portaria n. 93, de 26 de setembro de 20194.
2.3 Aplicação material e territorial
A LGPD aplica-se a todo o tratamento de dados pessoais, por meios 
físicos ou digitais, por pessoa natural ou por pessoa jurídica de direito 
público ou privado, desde que ocorra uma das seguintes hipóteses:
Seja realizada no território nacional.
O objetivo seja a oferta ou o fornecimento de bens ou serviços, ou o 
tratamento de dados de indivíduos localizados no território nacional.
4 BRASIL. Portaria nº 93, de 26 de setembro de 2019. Aprova o Glossário de Segurança 
da Informação. Brasília, DF: Presidência da República, [2019]. Disponível em: https://www.
in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663. Acesso em: 
20 jun. 2021.
44
Que os dados tenham sido coletados no território nacional.
Inclusive, os provedores de serviços em nuvens devem se adequar a 
LGPD, caso os dados tenham sidos coletados no Brasil e tratados fora do 
país.5
Importante ressaltar que a lei não se aplica ao tratamento de dados 
pessoais, que foi realizado por pessoa natural para fins exclusivamente 
particulares e não econômicos, bem como exclusivamente jornalístico, 
artísticos ou acadêmicos e, ainda, para segurança pública e do Estado, 
defesa nacional ou atividades de investigação e repressão de infrações 
penais.
2.4 Princípios
A LGPD é uma legislação principiológica, assim como o RGPD. Todo o 
tratamento de dados, para ser lícito, deve ser pautado pelos princípios 
previstos na lei, além do dever de boa-fé do controlador. Os princípios 
são:
• Finalidade: entende-se pela realização do tratamento de dados 
para propósitos legítimos, específicos, explícitos e informados ao 
titular. Adequação: o tratamento deve se compatibilizar com a 
finalidade informada, por exemplo, se os dados colhidos forem 
inadequados, o tratamento é ilícito.
• Necessidade: esse princípio impede que os dados sejam tratados 
mais do que o necessário para atingir a finalidade informada. Os 
dados devem ser pertinentes, proporcionais e não excessivos em 
relação às finalidades do tratamento.
• Livre acesso: confere garantia aos seus titulares de consulta 
facilitada e gratuita sobre a forma e a duração do tratamento.
5 PINHEIRO, P. P. Proteção de Dados Pessoais. Comentários à Lei n. 13.709/2018 (LGPD). 
São Paulo: Saraiva Educação, 2018, p. 30.
45
• Qualidade dos dados: trata-se de garantia, aos titulares, da 
exatidão, clareza, relevância e atualização dos seus dados, de 
acordo com a necessidade e para o cumprimento da finalidade de 
seu tratamento.
• Transparência: confere aos titulares a garantia de informações 
claras, precisas e facilmente acessíveis sobre a realização do 
tratamento de dados, observados os segredos comercial e 
industrial.
• Segurança: é a utilização de medidas técnicas e administrativas 
aptas a proteger os dados pessoais de acessos não autorizados e 
de situações acidentais ou ilícitas de destruição, perda, alteração, 
comunicação ou difusão.
• Prevenção: é o princípio que adota medidas para prevenir a 
ocorrência de danos em virtude do tratamento de dados pessoais.
• Não discriminação: não admite a realização do tratamento para 
fins discriminatórios ilícitos ou abusivos.
• Responsabilização e prestação de contas: a adoção de medidas 
eficazes e capazes de comprovar a observância e o cumprimento 
das normas de proteção de dados pessoais e, inclusive, da eficácia 
dessas medidas.
2.5. Base legal
O tratamento dos dados pessoais legítimo e lícito ocorre quando 
observado os princípios gerais, previstos no art. 6º e uma das bases 
legais específicas contidos no art. 7º:
• Mediante o fornecimento de consentimento pelo titular, que deve 
ser dado por escrito ou de outro modo que demonstre a sua 
vontade, conforme o artigo 8º.
46
• Cumprimento de obrigação legal ou regulatória pelo controlador.
• Execução de políticas públicas.
• Realização de estudos por órgão de pesquisa e que seja garantida 
a anonimização dos dados pessoais sensíveis, sempre que 
possível.
• Execução de contratos.
• Assegurar o exercício regular de direitos nos processos judicial, 
administrativo ou arbitral.
• Na proteção da vida, saúde e crédito.
• Atendimentoaos interesses legítimos do controlador ou de 
terceiro, exceto em caso de direitos e liberdades fundamentais que 
exijam a proteção dos dados pessoais.
O interesse legítimo só pode ser exercido para finalidades legítimas, 
consideradas a partir de situações concretas, conforme previsto no 
artigo 10.
2.6. Consentimento
O consentimento é uma base legal (fundamento) que autoriza o 
tratamento de dados.
Sob pena de não ser considerado válido, o consentimento deve ser 
livre, informado e inequívoco, fornecido por escrito ou outro meio que 
demonstre a manifestação da vontade do titular, em cláusula destacada, 
sem vício de consentimento (erro, dolo, coação ou simulação) e deve se 
referir a finalidades determinadas (art. 8º), sendo que as autorizações 
genéricas são nulas (§ 4º).
47
É dever do controlador comprovar que o consentimento foi obtido nos 
termos da Lei (art. 8º, § 2º).
A lei dispensa o consentimento do titular de dados pessoais para os 
dados tornados manifestamente públicos pelo titular (art. 7º, § 4º).
Contudo, qualquer dispensa do consentimento não afasta a obrigação 
aos agentes de tratamento em observar as demais obrigações 
previstas na Lei, conforme artigo 7º, § 6º, especialmente no que refere a 
observância dos princípios gerais constantes do art. 6º e da garantia dos 
direitos do titular previsto no art. 9º.
Em caso de comunicação ou compartilhamento de dados pessoais 
com outros controladores, necessário que o consentimento seja obtido 
pelo titular para esse fim, ou seja, consentimento específico. Todavia, 
há hipóteses de dispensa do consentimento previstas nesta Lei, mais 
especificamente no art. 7º, § 5º, como, por exemplo, no caso de dados 
tornados manifestamente públicos pelo titular.
Importante ressaltar que o consentimento poderá ser revogado a 
qualquer momento, desde que com manifestação expressa do titular, 
conforme art. 8º, § 5º.
Caso haja alteração da finalidade, na forma ou duração do tratamento 
de dados, o controlador deverá informar ao titular do teor das 
alterações. É possível, todavia, que o titular revogue seu consentimento, 
caso discorde da alteração. Essa possibilidade encontra-se prevista no 
art. 8º, § 6º.
2.7. Tratamento de dados pessoais
O tratamento de dados corresponde a toda operação realizada com 
dados pessoais, como as que se referem a:6
6 POHLMANN, S. A. LGPD Ninja. Entendendo e implementando a Lei Geral de Proteção de 
48
• Coleta: obtenção de dados por meio de um procedimento manual 
ou automatizado.
• Produção: produção/ geração de dado adicional.
• Recepção: recebimento, por parte do tratamento, de um dado já 
existente na base de outro agente.
• Classificação: organizar de acordo com as necessidades dos 
agentes de tratamento.
• Utilização: uso de dados já existentes.
• Acesso: acessar um dado de um titular. O acesso, 
preferencialmente, deve ter níveis de permissão.
• Reprodução: obtenção de uma cópia.
• Transmissão: enviar informações de alguma forma.
• Distribuição: entrega de dados para um ou mais destinatários.
• Processamento: tratar dado por qualquer forma.
• Encriptação: codificar uma informação em outro formato, por meio 
de um algoritmo, com a possibilidade de sua leitura somente a 
partir de senha ou chave.
• Armazenamento: guardar os dados.
• Arquivamento: armazenar por longo período.
O tratamento de dados pessoais, cujo acesso é público, deverá 
considerar a finalidade, a boa-fé e o interesse público que podem sua 
disponibilização (art. 7º, § 3º).
Dados na Empresa. Nova Friburgo: e-book, 2019.
49
2.7.1. Sensíveis
Os dados sensíveis são objeto de uma proteção mais rigorosa. A lei 
exige o consentimento do titular, de forma específica e destacada, para 
finalidades exclusivas.
Há hipóteses em que o tratamento dos dados sensíveis pode ocorrer 
sem o consentimento, são elas (art. 11): para cumprir obrigação legal ou 
regulatória; executar políticas públicas; estudos por órgão de pesquisa 
exercício regular de direito; exercício regular de direito, proteção a vida 
e da saúde, prevenção à fraude e garantia à segurança do titular em 
procedimentos eletrônicos de identificação ou autenticação de cadastro.
2.7.2. De crianças e adolescentes
Os dados pessoais dos menores de dezoito anos são classificados como 
dados especiais, razão pela qual exige um tratamento diferenciado.
A lei determina que haja consentimento específico por um dos pais e/
ou responsáveis para esse acesso. Não é possível o compartilhamento 
desses dados sem consentimento. Importante ressaltar que o acesso ou 
coleta aos dados da criança sem consentimento, só poderá ser realizado 
para contatar o pai ou responsável.
No que se refere ao acesso a jogos, aplicações de Internet ou outras 
atividades, não poderá se exigir o fornecimento de informações 
pessoais, salvas necessárias as práticas das atividades.
2.7.3. Pelo poder público
O poder público está autorizado a realizar o tratamento de dados 
pessoais para realizar atendimento público, na persecução de interesse 
público ou para cumprir atribuições do serviço público. É necessário, 
50
porém, que as orientações sejam comunicadas de forma clara de fácil 
acesso, nos moldes do
artigo 23 da lei.
2.8. Término do tratamento de dados
O artigo 15 da lei trata das hipóteses do término do tratamento de 
dados. Abaixo, listamos alguns deles:
• Atingir ou perder a finalidade inicial.
• No fim do período de tratamento.
• Quando o consentimento for revogado.
• Por determinação da agência nacional de proteção de dados.
• Por violação da lei ou cumprimento de obrigação leal, dentre 
outras.
Após o término de tratamento, os dados pessoais deverão ser 
eliminados, salvo se necessários para cumprir obrigação legal ou 
regulatória; por órgãos de pesquisa; para transferir a terceiros; e uso 
exclusivo do controlador, desde que anonimizados (art. 16).
2.9. Direitos do titular dos dados
A LGPD assegura a toda pessoa natural a titularidade de seus dados 
pessoais, garantindo os direitos fundamentais de liberdade, de 
intimidade e de privacidade (art. 17) e relacionado no artigo 18 os 
direitos do titular dos dados pessoais. O controlador tem a obrigação 
de ceder as informações solicitadas pelo titular que pode solicitá-las 
a qualquer tempo mediante pedido expresso. O titular tem direito 
51
de obter a confirmação da existência do tratamento de seus dados, 
bem como acesso facilitado às informações referentes aos seus dados 
pessoais. Esse acesso deve ser claro e adequado, contendo a forma 
de obtenção, duração e finalidade do tratamento dos dados. Ainda há 
necessidade do controlador se identificar e indicar contato. Caso haja 
algum dado incompleto, inexato ou desatualizado, o titular tem o direito 
de pedir a correção.
É direito do titular revogar o consentimento dado para acesso e 
tratamento dos seus dados pessoais, bem como de peticionar em 
relação aos seus dados contra o controlador perante a autoridade 
nacional. Ocorrendo a eliminação, a anonimização ou o bloqueio dos 
dados, o responsável deverá, imediatamente, informar à correção aos 
agentes de tratamento com os quais tenha realizado uso compartilhado 
de dados.
Por fim, é direito do titular ser informado sobre entidades públicas e 
privadas com as quais os seus dados foram compartilhados e sobre 
a possibilidade de não fornecer o seu consentimento e o que isso 
acarretará.
3. Conclusão
Influenciado diretamente pelo RGPD, o Brasil, em 2018, promulgou a 
LGPD que busca proteger, na era da globalização, os dados pessoais 
(físicos ou eletrônicos) de pessoas físicas. Em seu texto, ela enumera 
os direitos que todo cidadão possui, garantindo maior proteção aos 
dados sensíveis e de crianças e adolescentes, bem como pontua regras 
e deveres que os agentes de tratamento precisam cumprir para que 
possam estar em conformidade com as boas práticas e governança.
52
Referências Bibliográficas
BRASIL. Portaria nº 93, de 26 de setembro de 2019. Aprova o Glossário de 
Segurança da Informação. Brasília, DF: Presidência