Apostila Módulo I

Prévia do material em texto

Curso para Coordenador de 
Proteção de Dados Pessoais - DPO 
 
São Paulo 2020 
Fenabrave – Federação Nacional da Distribuição de Veículos Automotores 
Professor Alexandre Rodrigues Atheniense 
Curso 1 – Introdução à Lei Geral de Proteção 
de Dados Pessoais 
 
Alexandre Rodrigues Atheniense é advogado formado pela 
Universidade Federal de Minas Gerais (UFMG), especialista em Internet 
Law pelo Berkman Center – Harvard Law School – e sócio fundador do 
escritório de advocacia Alexandre Atheniense Advogados. Com 
experiência profissional de 32 anos, é um dos precursores do Direito 
Digital no Brasil. Possui vasta experiência acadêmica e institucional, 
tendo exercido por oito anos (2002-2010) a presidência da Comissão 
de Tecnologia da Informação da OAB Federal, representando a 
entidade na discussão de projetos de lei no Congresso Nacional sobre 
temas relacionados à tecnologia da informação. É coordenador da 
Comissão de Direito Digital do Centro de Estudos das Sociedade de 
Advogados (CESA); árbitro em questões relacionadas à propriedade 
intelectual e tecnologia da informação na Competição Brasileira de 
Arbitragem (CAMARB), Câmara Mineira de Arbitragem (CAMINAS) e 
Associação Brasileira da Propriedade Intelectual (ABPI). É autor de 
diversas obras sobre Direito Digital no Brasil e no exterior. 
Colaboradores: Lorenzzo Antonini Itabaiana e Adriana Bessone Sadi 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Sumário 
 
 
1. Introdução 
 
1.1. Dinâmica do curso 
 
1.2. Importância do tema 
 
2. Panorama da proteção de dados pessoais 
 
 2.1. Panorama histórico 
 
 2.2. Panorama legal no Brasil 
 
 2.2.1. General Data Protection Regulation 
 
 2.2.2. Regulamentação e marco legal Brasileiro 
 
3. Fundamentos e impactos da LGPD 
 
 3.1. Fundamentos 
 
 3.2. Impactos 
 
4. Principais conceitos e institutos da LGPD 
 
 4.1. Dado pessoal e dado pessoal sensível 
 
 4.2. Anonimização e pseudonimização 
 
 4.3. Agentes de tratamento: controlador e operador 
 
 4.4. Encarregado pelo tratamento de dados pessoais 
 
 4.5. Transferência internacional de dados 
 
 4.6. Uso compartilhado de dados 
 
4.7. Relatório de Impacto à Proteção de Dados 
Pessoais 
 
 4.8. Autoridade Nacional de Proteção de Dados 
 
 
 
 
 
5. Tratamento, bloqueio e eliminação de dados pessoais. 
Princípios das atividades de tratamento 
 
 5.1. Tratamento, bloqueio e eliminação 
 
5.1.1. Tratamento 
 
5.1.2. Bloqueio e eliminação 
 
5.1.3. Término do tratamento 
 
5.1.4. Tratamento de dados pessoais de 
crianças e adolescentes 
 
 
5.2. Princípios das atividades de tratamento 
 
5.2.1. Finalidade 
 
5.2.2. Adequação 
 
5.2.3. Necessidade 
 
5.2.4. Livre acesso 
 
5.2.5. Qualidade 
 
5.2.6. Transparência 
 
5.2.7. Segurança 
 
5.2.8. Prevenção 
 
5.2.9. Não discriminação 
 
5.2.10. Responsabilização e prestação de 
contas 
 
6. Bases legais do tratamento de dados pessoais 
 
6.1. Bases legais do tratamento de dados pessoais 
comuns 
 
 6.1.1. Consentimento 
 
 6.1.2. Obrigação legal ou regulatória 
 
 6.1.3. Cumprimento de políticas públicas 
 
 6.1.4. Estudos por órgãos de pesquisa 
 
 6.1.5. Execução de contrato 
 
 6.1.6. Exercício regular de direitos 
 
 6.1.7. Proteção da vida 
 
 6.1.8. Tutela da Saúde 
 
 6.1.9. Legítimo interesse 
 
 6.1.10. Proteção do crédito 
 
6.2. Bases legais do tratamento de dados pessoais 
sensíveis 
 
 
7. Direitos dos titulares de dados pessoais 
 
7.1. Confirmação da existência de tratamento 
 
7.2. Acesso aos dados 
 
7.3. Correção de dados incompletos, inexatos ou 
desatualizados 
 
7.4. Anonimização, bloqueio ou eliminação de dados 
 
7.5. Portabilidade 
 
7.6. Eliminação de dados tratados com 
consentimento 
 
7.7. Informações de entidades públicas e privadas 
 
7.8. Informação sobre não consentimento e 
consequências da negativa 
 
7.9. Revogação do consentimento (opt-out) 
 
 
Bibliografia 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Introdução 
 
 
 
 
 
 
1. Introdução 
 
1.1. Dinâmica do curso 
 
O curso Introdução à Lei Geral de Proteção de Dados Pessoais 
compõe o módulo 1 do curso Formação de Encarregados de Proteção 
de Dados Pessoais (DPO), oferecido pela Fenabrave em cinco partes 
distintas e independentes. O objetivo geral é capacitar os envolvidos 
no processo de tratamento desses dados, por meio de conteúdo teórico 
e prático, preparando-os para o desafio da jornada de governança 
corporativa. 
Neste curso, promove-se um nivelamento de conhecimento quanto aos 
principais institutos, conceitos, princípios, bases legais, entre outros 
aspectos relacionados à proteção de dados pessoais. 
Os participantes devem assistir às aulas gravadas em vídeo, ler o 
conteúdo explicitado na apostila e ouvir o podcast disponível. 
Sugerimos, ainda, que consultem fontes indicadas na bibliografia 
constante no final deste material. Na sequência, devem responder ao 
questionário de avaliação, que permite a revisão dos principais pontos 
abordados. 
1.2. Importância do tema 
 
Com a sanção da Lei Geral de Proteção de Dados (LGPD) nº 13.709, 
de 14 de agosto de 2018, em 18 de setembro de 2020, a informalidade 
no tratamento de dados pessoais tornou-se, definitivamente, conduta 
inaceitável. A Lei requer a adequação de instituições públicas e 
privadas, assegurando aos titulares a proteção sobre seus direitos 
fundamentais de liberdade e privacidade com a imposição de sanções 
diversas, tais como multas administrativas, medida judiciais, 
 
penalidades contratuais, danos reputacionais e, em casos mais graves, 
completa paralisação operacional das bases que contêm os dados. 
Uma de suas principais exigências é a indicação de um encarregado 
pelo tratamento de dados pessoais (DPO – Data Protection Officer) com 
capacitação jurídica e regulatória, dotado de autonomia e 
independência. A International Association of Privacy Professionals 
(IAPP) – associação especializada em profissionais de privacidade – 
estima que em 2021 sejam nomeados, no mínimo, 50 mil DPOs no 
País, considerando-se o tamanho da economia brasileira. 
A LGPD não traz orientação legal específica sobre as atribuições e 
atividades do DPO. As orientações existentes passam, assim como a 
maior parte do texto da Lei, pela General Data Protection 
Regulation/Regulamento Geral de Dados (GDPR) da União Europeia, 
buscando, para o controlador de dados pessoais, a garantia de que as 
informações sejam centralizadas e o cumprimento das normas seja 
efetivado. 
No Brasil, as sanções administrativas previstas na LGPD só poderão ser 
aplicadas a partir de 1 de agosto de 2021. Contudo, esse adiamento 
não desobriga as instituições às adequações necessárias, razão pela 
qual devem iniciar imediatamente o processo de conformidade com a 
indicação e capacitação do DPO que, em princípio, não é uma tarefa 
simples. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Panorama da proteção de 
dados pessoais 
 
 
 
 
 
 
2. Panorama da proteção de dados pessoais 
 
2.1. Panorama histórico 
 
Apesar de a proteção de dados pessoais ter se difundido há pouco 
tempo na legislação pátria, tal disciplina vem sendo construída há 
algumas décadas. O primeiro diploma normativo a tratar 
especificamente do tema foi a Lei de Proteção de Dados do estado 
alemão de Hesse, promulgada em 30 de dezembro de 1970 (The Hesse 
Data Protection Act). 
 
No que diz respeito ao direito à privacidade, a fronteira inicial é bem 
anterior e refere-se ao importante artigo The right to privacy, de 
Samuel Warren e Louis Brandei, datado de 1890, o qual pretendia 
consolidar a jurisprudência norte-americana relativa à matéria na 
época. Na ocasião, constatou-se a relação da tutela da privacidade e 
do direito de ser deixado em paz/sozinho (right to be let alone) com o 
progresso tecnológico. 
 
No final do século XX, o mundoviveu uma revolução tecnológica sem 
precedentes. O surgimento de tecnologias como computador, celular, 
tablet, conexões de banda larga, entre outros, e a ascensão da 
inteligência artificial aumentaram a conectividade entre as pessoas e a 
automação de processos, mas também possibilitaram o 
compartilhamento de dados pessoais e informações, antes restritos à 
esfera privada do cidadão. 
 
Esse desenvolvimento criou relações a serem reguladas pelo Direito, 
que até então não era capaz de dar respostas adequadas às novas 
tecnologias e às respectivas terminologias (DONEDA, 2020, p. 53), 
criando brechas para violação de direitos fundamentais como a 
privacidade, a honra e a imagem. 
 
2.2. Panorama legal no Brasil 
 
2.2.1. General Data Protection Regulation 
 
Em 1995, a União Europeia definiu regras para o uso de dados pessoais 
por meio da Diretiva nº 46, prevendo que o fenômeno da internet 
abriria espaço para violações de direitos e garantias dos cidadãos, 
como a proteção da vida íntima e da privacidade. 
 
Em 2016, a Diretiva foi substituída pela General Data Protection 
Regulation/Regulamento Geral de Proteção de Dados (GDPR) da União 
Europeia, aplicável imediatamente a todos os seus países membros. O 
documento, que possui 173 considerandos e 99 artigos, tornou-se 
texto basilar de estudo e modelo para muitos dos 140 países ao redor 
do mundo. 
 
Em 25 de maio de 2018, a GDPR entrou em vigor na Europa e 
favoreceu no Brasil a tramitação da Lei nº 13.709/18 que, 
assumidamente, foi baseada no Regulamento Europeu, sendo ambas 
legislações funcionais voltadas para segurança e proteção dos dados 
pessoais. 
 
Ressaltamos a preocupação do Regulamento Europeu (Considerando 
2) de evitar disposições que pudessem impactar de forma negativa “o 
progresso econômico e social, a consolidação e a convergência das 
economias ao nível do mercado interno”, em consonância com a nossa 
legislação. 
 
A LGPD é dividida em 10 capítulos e possui 65 artigos. Conforme 
mencionado, apesar de ter sido publicada em 14 de agosto de 2018, 
só foi sancionada em 18 de setembro de 2020, após tumultuados 
retrocessos para sua vigência. A aplicação das sanções pela Autoridade 
 
Nacional de Proteção de Dados (ANPD) continua suspensa e estará em 
vigor a partir de agosto de 2021. 
 
2.2.2. Regulamentação e marco legal brasileiro 
 
A LGPD está parcialmente em vigor, mas há muito a ser 
regulamentado. Embora tenha replicado quase integralmente as 
disposições da legislação europeia, muitos pormenores, em vez de 
constarem explicitamente no texto legal, dependem ainda de 
regulamentação da Autoridade Nacional de Proteção de Dados (ANPD), 
por opção do legislador brasileiro. 
 
Como exemplo, temos o Artigo 41, que dispõe que o controlador deve 
indicar um encarregado pelo tratamento de dados pessoais. 
Entretanto, seu parágrafo 3 enfatiza que a ANPD pode estabelecer 
normas complementares sobre a definição e as atribuições desse 
profissional. 
 
Outro exemplo trata da estruturação da metodologia que orienta o 
cálculo do valor-base de sanções e multas, a qual não possui 
orientação específica. Isso ocorre porque a ANPD, como todo órgão 
público, é pautada no princípio da legalidade e só pode agir dentro dos 
limites estipulados na Lei, sendo vedadas a penalização abstrata das 
instituições e a penalização sem parâmetros mínimos definidos. Não 
obstante, a própria estrutura do órgão ainda é incipiente e está sem 
organização definida, o que dificulta sobremaneira a solução das 
diversas lacunas existentes. 
 
Tal cenário requer atenção constante do DPO, pois o cargo exige 
atualização legislativa pontual para antecipar incidentes e também 
para lidar com as novas exigências legais. 
 
Quanto ao framework legal brasileiro, observamos os seguintes marcos 
cronológicos, a partir da Constituição Federal de 1988: 
 
● 1990: Lei nº 8.078 – Código de Defesa do Consumidor; 
 
● 2013: Decretos Federais nº 7.962 e 7.963 – Lei do E-
Commerce e Plano Nacional de Consumo e Cidadania; 
 
● 2014: Lei nº 12.965 – Marco Civil da Internet; 
 
● 2018: Lei nº 13.709 (LGPD) e Medida Provisória nº 869 – Lei 
Geral de Proteção de Dados e Autoridade Nacional de Proteção 
de Dados; 
 
● 2019: Lei Complementar nº 166/ Lei nº 13.853/VET 24/2019 
– Cadastro Positivo/Regulamenta a LGPD/Atualizações na LGPD; 
 
● 2020: Entrada em vigor da Lei nº 13.709, em setembro de 
2020, e sanções prorrogadas para agosto de 2021 (Lei nº 
14.010/2020). 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Fundamentos e impactos 
da LGPD 
 
3. Fundamentos e impactos da LGPD 
 
3.1. Fundamentos 
 
Ao entrar em vigor, a LGPD inovou, estabelecendo novos conceitos, 
criando novas figuras como os agentes de tratamento, introduzindo 
órgãos regulamentadores, criando penalidades e até mesmo 
apresentando uma nova função: o encarregado de proteção de dados, 
objeto principal do nosso estudo. 
O Artigo 2 da Lei estabelece os fundamentos que devem reger a 
disciplina da proteção de dados, com os quais o DPO deve estar 
familiarizado: 
I. Respeito à privacidade. 
II. Autodeterminação informativa. 
III. Liberdade de expressão, de informação, de comunicação e 
de opinião. 
IV. Inviolabilidade da intimidade, da honra e da imagem. 
V. Desenvolvimento econômico e tecnológico e inovação. 
VI. Livre iniciativa, livre concorrência e defesa do consumidor. 
VII. Direitos humanos, livre desenvolvimento da personalidade, 
dignidade e exercício da cidadania. 
Tais fundamentos asseguram ao titular o direito de escolher como se 
revelará ao mundo, determinando as informações a serem 
compartilhadas e o modo como deve ser feito esse compartilhamento. 
 
Nesses termos, os conceitos de privacidade e liberdade relacionam-se 
de forma intrínseca e, ao mesmo tempo, são faces opostas de uma 
mesma moeda. 
O fundamento da autodeterminação informativa assume especial 
relevância no contexto em que se apresenta na Lei, já que se 
estabelece como cláusula geral de proteção dos direitos do titular. O 
conceito não é novo e origina-se do Direito alemão, sendo que os 
direitos derivados do fundamento foram estudados em leis esparsas 
anteriores à LGPD. Trata-se do “direito que cabe a cada indivíduo de 
controlar e de proteger os próprios dados pessoais, tendo em vista a 
moderna tecnologia e o processamento de informação” (MARTINS, 
2005, p. 233-235). 
3.2. Impactos 
 
As disposições preliminares enunciam que a disciplina da proteção de 
dados pessoais tem como objetivo proteger os direitos fundamentais, 
conciliando-os com princípios da ordem econômica e da livre iniciativa, 
igualmente protegidos pela Constituição Federal (BIONI, 2020). 
 
 
 
Fonte: IDEC – https://idec.org.br/dadospessoais 
 
 
 
 
Principais conceitos e 
institutos da LGPD 
 
4. Principais conceitos e institutos da LGPD 
 
4.1. Dado pessoal e dado pessoal sensível 
 
Dado pessoal é “toda informação relacionada a pessoa natural 
identificada ou identificável” (Artigo 5, I, LGPD), não havendo um limite 
para o tipo de informação, ou seja, qualquer referência que identifique 
um indivíduo pode ser considerada dado pessoal: o modelo do carro, a 
placa do veículo, a cor do cabelo, a foto da casa etc. 
 
Dado pessoal sensível, por sua vez, consiste em “dado pessoal sobre 
origem racial ou étnica, convicção religiosa, opinião política, filiação a 
sindicato ou a organização de caráter religioso, filosófico ou político; 
dado referente à saúde ou à vida sexual; dado genético ou biométrico, 
quando vinculado a uma pessoa natural” (Artigo 5, II, LGPD). Se 
revelado, pode ser objeto de utilização discriminatória e, desse modo, 
requer um tratamento diferenciado, com critérios mais rigorosos. 
 
4.2. Anonimização e pseudonimização 
 
O dado anonimizado é o “dado relativo a titular que não possa ser 
identificado, considerando a utilização de meios técnicos razoáveise 
disponíveis na ocasião de seu tratamento” (Artigo 5, III, LGPD). A 
anonimização, portanto, é a técnica que remove ou modifica 
informações, impossibilitando a identificação de alguém. O processo 
não é reversível: uma vez dissociadas as informações, não há 
possibilidade de agrupá-las novamente e identificar a quem 
pertencem. Anônimo é aquele que não tem nome nem rosto, sendo a 
antítese do termo dado pessoal (BIONI, 2019, p. 22). 
 
Já o dado pseudonimizado é aquele que não pode ser associado a 
outro. A pseudonimização é o “tratamento por meio do qual um dado 
 
perde a possibilidade de associação, direta ou indireta, a um indivíduo, 
senão pelo uso e informação adicional mantida separadamente pelo 
controlador em ambiente controlado e seguro” (Artigo 13, parágrafo 4, 
LGPD). Trata-se de dado pessoal, pois, mediante determinado 
tratamento de reversão, há possibilidade de identificação de uma 
pessoa. 
 
4.3. Agentes de tratamento: controlador e operador 
 
A Lei Geral de Proteção de Dados traz as figuras de dois agentes de 
tratamento de dados com suas responsabilidades: o controlador e o 
operador. 
 
O controlador é a pessoa natural ou jurídica, de direito público ou 
privado, que é o titular da base de dados pessoais, a quem competem 
as decisões referentes ao tratamento dessas informações (Artigo 5, VI, 
LGPD). O operador é pessoa natural ou jurídica, de direito público ou 
privado, que trata os dados em nome do controlador (Artigo 5, VII, 
LGPD). 
 
Em outras palavras, o controlador é quem decide como deve ser feito 
o tratamento, enquanto o operador é quem executa as operações 
determinadas pelo controlador. Assim, se uma concessionária de 
veículos enviar dados pessoais dos clientes para o fabricante, ela será 
a controladora e o fabricante será o operador, ainda que toda operação 
de envio ou recebimento seja efetuada pelo fabricante. 
 
Podem ocorrer, porém, situações híbridas, nas quais um contratante 
pode atuar em determinado momento como controlador e em outro 
como operador, em um único contrato, quando houver mais de uma 
atividade de tratamento. 
 
 
4.4. Encarregado pelo tratamento de dados pessoais 
 
O encarregado é “a pessoa indicada pelo controlador e operador para 
atuar como canal de comunicação entre o controlador, os titulares dos 
dados e a Autoridade Nacional de Proteção de Dados (ANPD)” (Artigo 
5, VIII, LGPD). 
 
4.5. Transferência internacional de dados 
 
A transferência internacional de dados refere-se à transferência de 
informações pessoais para país estrangeiro ou para organismo 
internacional do qual o país originário é membro. A LGPD elenca, no 
Artigo 33, nove hipóteses que autorizam essa operação, sendo a mais 
comum relativa ao envio de dados para países ou organismos que 
proporcionem grau de proteção adequado à referida Lei. 
 
Outra hipótese ocorre quando o controlador oferece e comprova 
garantias de cumprimento dos princípios, dos direitos do titular e do 
regime de proteção de dados previstos na LGPD. Dessa forma, se o 
país ou organismo internacional de destino não proporciona uma 
legislação adequada, o controlador deve oferecer garantias de que os 
direitos dos titulares estão assegurados. Tais garantias podem vir na 
forma de cláusulas contratuais específicas para determinada 
transferência, cláusulas-padrão contratuais ou normas corporativas 
globais. 
 
4.6. Uso compartilhado de dados 
 
O uso compartilhado de dados pessoais consiste na “comunicação, 
difusão, transferência internacional, interconexão de dados pessoais 
ou tratamento compartilhado de bancos de dados pessoais por órgãos 
e entidades públicas no cumprimento de suas competências legais, ou 
 
entre estes e entes privados, reciprocamente, com autorização 
específica, para uma ou mais modalidades de tratamento permitidas 
por esses entes públicos, ou entre entes privados” (Artigo 5, XVI, 
LGPD). 
 
4.7. Relatório de Impacto à Proteção de Dados Pessoais 
 
A Autoridade Nacional de Proteção de Dados (ANPD) requer do 
controlador a elaboração de um documento para assegurar o princípio 
da transparência no tratamento de dados pessoais. Trata-se do 
Relatório de Impacto à Proteção dos Dados Pessoais (RIPD), que “deve 
conter, no mínimo, a descrição dos tipos de dados coletados, a 
metodologia utilizada para a coleta e para a garantia da segurança das 
informações e a análise do controlador com relação a medidas, 
salvaguardas e mecanismos de mitigação de riscos adotados” (Artigo 
33, parágrafo único, LGPD). 
 
4.8. Autoridade Nacional de Proteção de Dados 
 
Como bem anota Leonardo Parentoni (2019, p. 209), em todo sistema 
de proteção de dados pessoais deve haver uma instituição reguladora, 
que desempenhe papel de relevo. No Brasil, a ANPD é um órgão da 
administração pública federal, integrante da Presidência da República, 
apto a fiscalizar o cumprimento da LGPD e aplicar as sanções 
respectivas. Sua composição configura-se desta maneira: 
 
I. Conselho Diretor, que é o órgão máximo de direção; 
 
II. Conselho Nacional de Proteção de Dados Pessoais e da 
Privacidade; 
 
III. Corregedoria; 
 
IV. Ouvidoria; 
 
V. Órgão de assessoramento jurídico próprio; 
 
VI. Unidades administrativas e unidades especializadas 
necessárias à aplicação do disposto na Lei. 
 
O mandato dos membros da diretoria tem duração de quatro anos, mas 
na primeira composição os diretores têm mandatos variáveis, de dois 
a seis anos. Até o momento, já foram confirmadas as indicações dos 
primeiros membros do Conselho Diretor, mas o órgão ainda não entrou 
em operação. 
 
O DPO é responsável pela instituição perante a ANPD, por essa razão 
deve ter interlocução com a área do Direito, para exercer não somente 
o gerenciamento dos dados pessoais dentro da instituição, do ponto de 
vista técnico, mas também reportar-se à Autoridade caso haja 
fiscalização, por meio dos canais e dos procedimentos respectivos, os 
quais ainda não estão regulamentados. 
 
A estrutura regimental do órgão está descrita no Decreto nº 
10.474/2020, importante fonte de consulta para o DPO quanto às 
competências da entidade, entre as quais se destacam: 
 
I. zelar pela proteção dos dados pessoais, nos termos da 
legislação; 
 
II. zelar pela observância dos segredos comercial e industrial, 
observada a proteção de dados pessoais e do sigilo das 
informações, quando protegido por lei ou quando a quebra do 
sigilo violar os fundamentos do art. 2º da Lei nº 13.709, de 2018; 
 
 
III. elaborar diretrizes para a Política Nacional de Proteção de 
Dados Pessoais e da Privacidade; 
 
IV. fiscalizar e aplicar sanções na hipótese de tratamento de 
dados realizado em descumprimento à legislação, mediante 
processo administrativo que assegure o contraditório, a ampla 
defesa e o direito de recurso; 
 
V. apreciar petições de titular contra controlador após a 
comprovação pelo titular da apresentação de reclamação ao 
controlador não solucionada no prazo estabelecido em 
regulamentação; 
 
VI. promover na população o conhecimento das normas e das 
políticas públicas sobre proteção de dados pessoais e das 
medidas de segurança. 
 
Sempre que novas orientações forem editadas, é dever do encarregado 
manter-se atualizado, inclusive quanto aos procedimentos de 
comunicação e às atribuições da ANPD. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Tratamento, bloqueio e 
eliminação de dados 
pessoais. 
Princípios das atividades de 
tratamento 
 
5. Tratamento, bloqueio e eliminação de dados 
pessoais. Princípios das atividades de tratamento 
 
5.1. Tratamento, bloqueio e eliminação 
 
5.1.1. Tratamento 
 
O legislador apresenta o importante conceito de tratamento de dados 
pessoais da maneira mais ampla possível, ao utilizar 20 diferentes 
verbos para compreensão do sentido da expressão no âmbito da Lei. 
De acordo com o Artigo5, inciso X, da LGPD, tratamento de dados é 
“toda operação realizada com dados pessoais, como as que se referem 
a coleta, produção, recepção, classificação, utilização, acesso, 
reprodução, transmissão, distribuição, processamento, arquivamento, 
armazenamento, eliminação, avaliação ou controle da informação, 
modificação, comunicação, transferência, difusão ou extração”. 
 
Há certa divergência no emprego dessa terminologia, inclusive por 
algumas leis. O Marco Civil da Internet, por exemplo, que estabelece 
princípios, garantias, direitos e deveres para o uso da internet no 
Brasil, dispõe que é direito do titular obter informações claras e 
completas sobre coleta, uso, armazenamento, tratamento e proteção 
de seus dados pessoais. Nesse caso, o termo é utilizado como espécie, 
quando na LGPD é utilizado como gênero. Andou bem, portanto, a 
LGPD ao adotar termo mais coerente com técnica mais acertada, 
contrariamente ao equívoco cometido pelo Marco Civil da Internet. 
 
5.1.2. Bloqueio e eliminação 
 
Conforme explicitado na LGPD, o bloqueio significa “suspensão 
temporária de qualquer operação de tratamento, mediante guarda do 
dado pessoal ou do banco de dados”. Nesse caso, o dado continua a 
 
existir na base, sendo somente armazenado para ser tratado 
posteriormente. 
 
A eliminação é a “exclusão de dado ou de conjunto de dados 
armazenados em banco de dados, independentemente do 
procedimento empregado”. Difere-se, assim, do bloqueio, já que o 
dado é completamente removido da base em que estava 
anteriormente. 
 
5.1.3. Término do tratamento 
 
O término do tratamento de dados pessoais é tema do Artigo 15 da 
LGPD e pode ocorrer em quatro hipóteses: quando é alcançada a 
finalidade almejada; quando os dados tratados deixam de ser 
necessários ou pertinentes a essa finalidade; quando se finda o período 
eventualmente estipulado ou o titular revoga o consentimento; quando 
há violação ao disposto na LGPD. 
 
Mas nem todos os dados pessoais são excluídos após o tratamento. 
Em algumas situações, o controlador deve conservá-los para 
cumprimento de obrigação legal ou regulatória; para estudo por órgão 
de pesquisa, garantida, sempre que possível, a anonimização; para 
transferência a terceiro, desde que respeitados os requisitos de 
tratamento; para uso exclusivo do controlador, vedado seu acesso por 
terceiro, desde que anonimizadas as informações. 
 
Ao se estabelecerem as hipóteses do término do tratamento de dados, 
fica evidente o prestígio dos princípios mais importantes da LGPD: a 
finalidade, a adequação, a necessidade e a segurança. Busca-se, 
então, a eliminação dos dados pessoais após o tratamento. Se o 
controlador ainda desejar tratá-los, deve utilizar métodos eficazes de 
anonimização, uma vez que, conforme mencionado, dados 
 
anonimizados não são considerados pessoais, por isso não se sujeitam 
às obrigações da Lei. 
 
5.1.4. Tratamento de dados pessoais de crianças e 
adolescentes 
 
A LGPD assegura os direitos de dados pessoais de crianças e 
adolescentes. O tratamento de informações de indivíduos de até 12 
anos deve ser realizado com consentimento específico de um dos pais 
ou de um responsável legal (Artigo 14, parágrafo 1). 
 
O conceito de criança e adolescente é definido pelo Estatuto da Criança 
e Adolescente (ECA - Lei 8.069/90), Artigo 2, que considera criança a 
pessoa de até doze anos de idade incompletos e adolescente aquela 
entre doze e dezoito anos. 
 
5.2. Princípios das atividades de tratamento 
 
A LGPD preceitua que as atividades de tratamento de dados pessoais 
devem observar a boa-fé, norteando-se por 10 princípios, explicitados 
a seguir. 
 
5.2.1. Finalidade 
 
O tratamento de dados pessoais deve ter propósitos legítimos, 
específicos e explícitos, informados ao titular, sem a possibilidade de 
tratamento posterior incompatível com essas finalidades. Desse modo, 
uma concessionária não pode exigir um dado pessoal de um cliente 
sem indicar o motivo de tal coleta. 
 
 
 
 
5.2.2. Adequação 
 
O tratamento deve ser compatível com as finalidades informadas ao 
titular, de acordo com o contexto. Não é adequado, por exemplo, exigir 
do consumidor que irá comprar um caminhão a árvore genealógica da 
família. 
 
5.2.3. Necessidade 
 
O tratamento deve ser limitado ao mínimo necessário para a realização 
das finalidades, com a coleta de dados pertinentes aos objetivos 
definidos. Assim, não é adequado coletar o nome dos filhos menores 
daquele que deseja adquirir um veículo. 
 
5.2.4. Livre acesso 
 
O livre acesso garante aos titulares consulta facilitada e gratuita sobre 
a forma e a duração do tratamento de seus dados pessoais, bem como 
sobre a integralidade dessas informações. Nessa ótica, o comprador de 
um automóvel tem o direito de perguntar ao vendedor por quanto 
tempo pretende manter seus dados na base após a aquisição do 
veículo. 
 
5.2.5. Qualidade 
 
A qualidade das informações é essencial para o tratamento dos dados. 
Por isso, eles devem ser exatos, claros, relevantes e atualizados, 
sempre de acordo com a necessidade e o cumprimento da respectiva 
finalidade. Se um cliente já teve seu nome negativado e 
posteriormente quitou a dívida resolvendo o problema, o 
estabelecimento que tratar esses dados também é responsável pela 
 
sua atualização, podendo até ser autuado se recusar a venda com base 
em informações cadastrais equivocadas. 
 
5.2.6. Transparência 
 
A transparência garante aos titulares informações claras, precisas e 
acessíveis sobre a realização do tratamento dos dados pessoais. Esse 
princípio relaciona-se com o princípio da qualidade dos dados e não 
apenas com seu conteúdo. Por exemplo: um cliente pode pedir ao 
vendedor a identificação do controlador ou do operador. Os limites da 
transparência são os segredos comerciais e industriais dos detentores 
dos dados. 
 
5.2.7. Segurança 
 
A segurança refere-se à utilização de medidas técnicas e 
administrativas aptas a proteger dados pessoais. A ideia principal é 
mantê-los em ambiente seguro, com métodos e técnicas modernas, 
que previnam incidentes. Nessa ótica, o escritório da concessionária 
deve possuir modernos sistemas de gestão que se comprometam com 
integração e segurança. 
 
5.2.8. Prevenção 
 
A prevenção consiste na adoção de medidas de segurança para evitar 
a ocorrência de danos em virtude do tratamento de dados pessoais, 
tais como: utilização de firewall, softwares de monitoramento, 
sistemas de controle de acesso, protocolos de segurança, criptografia 
etc. 
 
 
 
 
5.2.9. Não discriminação 
 
O princípio de não discriminação impossibilita o tratamento de dados 
pessoais para fins discriminatórios, ilícitos ou abusivos. Não é 
adequado, então, que o vendedor da concessionária solicite o sexo do 
comprador para preenchimento de ficha de cadastro e, com base nessa 
informação, impeça a compra de um produto. 
 
5.2.10. Responsabilização e prestação de contas 
 
Esse princípio consiste na demonstração, pelo agente, da adoção de 
medidas capazes de comprovar a observância e o cumprimento das 
normas de proteção de dados pessoais, bem como a eficiência dessas 
medidas. 
 
Em síntese, os princípios representam orientação para interpretação 
da LGPD. Ao contrário de regras, que devem ser estritamente 
aplicadas, eles são mais amplos e permitem uma aplicação mais 
coerente da Lei. Ao DPO é fortemente recomendável que os conheça e 
saiba identificá-los, uma vez que embasarão a maioria de suas 
atividades profissionais. Nas palavras de Pestana (2014), “conhecer 
princípios equivale a conhecer a essência da matéria sob atenção, 
facilitando, sobremaneira, a dissecação do objeto sob estudo”. 
 
 
 
 
 
 
 
 
 
 
 
Bases legais do tratamento 
de dados pessoais 
 
6. Bases legais do tratamento de dados pessoais 
 
6.1. Bases legais do tratamento de dados pessoais comunsO Artigo 7 da LGPD estabelece 10 bases distintas para o tratamento 
de dados pessoais e destaca que não há hierarquia entre elas. O 
controlador deve definir qual é a mais apropriada para cada caso, com 
base na finalidade definida. Antes da aprovação da Lei, a única forma 
legal admitida para tratar esses dados era o fornecimento de 
consentimento do titular, como observado no Artigo 7, VII, do Marco 
Civil da Internet. 
 
De toda forma, existem outras situações em que o consentimento é 
dispensável, como, por exemplo, na execução de um contrato de 
transporte aéreo celebrado entre uma companhia e o titular das 
informações. Como não é possível emitir um bilhete de passagem sem 
obter nome, CPF, RG e demais dados pessoais do passageiro, é 
dispensável a obtenção de consentimento nesse caso. Em razão disso, 
a LGPD ampliou as bases legais de tratamento, admitindo nove outras 
hipóteses, além do consentimento. 
 
Apresentamos, a seguir, as hipóteses previstas na Lei. 
 
6.1.1. Consentimento 
 
O consentimento é a “manifestação livre, informada e inequívoca pela 
qual o titular concorda com o tratamento de seus dados pessoais para 
uma finalidade determinada” (Artigo 5, XII; Artigo 7, I, LGPD). 
 
 
 
 
 
6.1.2. Obrigação legal ou regulatória 
 
Como aponta o Artigo 7, II, da LGPD, o tratamento de dados pessoais 
deverá ser realizado pelo controlador para o cumprimento de obrigação 
legal ou regulatória. 
 
6.1.3. Cumprimento de políticas públicas 
 
A administração pública pode realizar “o tratamento e o uso 
compartilhado de dados necessários à execução de políticas públicas 
previstas em leis e regulamentos ou respaldadas e contratos, 
convênios ou instrumentos congêneres”. (Artigo 7, III, LGPD). 
 
6.1.4. Estudos por órgão de pesquisa 
 
Os dados pessoais podem ser tratados para realização de estudos por 
órgão de pesquisa, desde que seja garantida, sempre que possível, a 
anonimização das informações (Artigo 7, IV, LGPD). 
 
6.1.5. Execução de contrato 
 
O tratamento de dados pessoais também pode ser realizado na 
execução de contratos ou “de procedimentos preliminares relacionados 
a contrato do qual seja parte o titular”, a pedido dele, o que significa 
que as informações podem ser tratadas no contexto da cadeia de 
fornecimento de produtos e serviços (Artigo 7, V, LGPD). 
 
6.1.6. Exercício regular de direitos 
 
Os dados podem ser tratados “para o exercício regular de direitos em 
processo judicial, administrativo ou arbitral” (Artigo 7º, VI, LGPD). 
 
 
6.1.7. Proteção da vida 
 
O tratamento de dados pessoais pode ser realizado “para proteção da 
vida ou da incolumidade física do titular ou de terceiro” (Artigo 7, VII, 
LGPD). 
 
6.1.8. Tutela da Saúde 
 
Os dados podem ser tratados “em procedimento realizado por 
profissionais de saúde, serviços da saúde ou autoridade sanitária” 
(Artigo 7º, VIII, LGPD). 
 
6.1.9. Legítimo interesse 
 
O tratamento de dados pode ser realizado “quando necessário para 
atender aos interesses legítimos do controlador ou de terceiro, exceto 
no caso de prevalecerem direitos e liberdades fundamentais do titular 
que exijam a proteção de dados pessoais” (Artigo 7, IX, LGPD). 
 
Essa é a base legal mais flexível entre as 10 existentes, uma vez que 
não está atrelada a finalidade específica. No entanto, nem sempre é a 
mais apropriada para todas as situações, principalmente porque, 
sempre que o interesse legítimo for utilizado como base legal, o 
controlador deve documentar o ocorrido no Relatório de Impacto de 
Proteção de Dados Pessoais. 
 
6.1.10. Proteção do crédito 
 
Por fim, os dados podem ser tratados para a proteção do crédito 
(Artigo 7, X, LGPD). Surge aqui uma inovação, que autoriza o 
tratamento de informações pessoais para atividades inerentes a 
concessão de crédito e atividades de apoio. 
 
6.2. Bases legais do tratamento de dados pessoais sensíveis 
 
Os dados pessoais sensíveis requerem critérios mais rigorosos. Ao 
contrário dos dados pessoais comuns, exigem como regra o 
consentimento do titular para seu tratamento (Artigo 11, I, LGPD). 
Para serem tratados sem esse consentimento, o controlador deve 
considerar uma das hipóteses excepcionais, explicitadas a seguir 
(Artigo 11, II, LGPD): 
 
a) cumprimento de obrigação legal ou regulatória pelo 
controlador; 
 
b) tratamento compartilhado de dados necessários à execução, 
pela administração pública, de políticas públicas previstas em leis 
ou regulamentos; 
 
c) realização de estudos por órgão de pesquisa, garantida, 
sempre que possível, a anonimização dos dados pessoais 
sensíveis; 
 
d) exercício regular de direitos, inclusive em contrato e em 
processo judicial, administrativo e arbitral; 
 
e) proteção da vida ou da incolumidade física do titular ou de 
terceiro; 
 
f) tutela da saúde, exclusivamente, em procedimento realizado 
por profissionais de saúde, serviços de saúde ou autoridade 
sanitária. 
 
 
 
 
 
 
Direitos dos titulares de 
dados pessoais 
 
7. Direitos dos titulares de dados pessoais 
 
Os direitos dos titulares são tratados no Capítulo III da LGPD, desde o 
Artigo 17 até o Artigo 22. O Artigo 18, especificamente, enumera tais 
direitos, que podem ser obtidos do controlador a qualquer momento, 
mediante requisição. Vejamos, a seguir, quais são eles. 
 
7.1. Confirmação da existência de tratamento 
 
Direito de confirmar a existência ou inexistência do tratamento de 
dados. 
 
7.2. Acesso aos dados 
 
Direito de acessar os dados pessoais por meio de informações claras 
sobre sua origem, inexistência de registro, critérios utilizados e 
finalidade do tratamento. 
 
7.3. Correção de dados incompletos, inexatos ou 
desatualizados 
 
Direito de requerer a correção de dados eventualmente incompletos, 
inexatos ou desatualizados. 
 
7.4. Anonimização, bloqueio ou eliminação de dados 
 
Direito de garantir a desvinculação dos dados, de requerer a suspensão 
temporária de qualquer operação realizada com eles ou de solicitar sua 
exclusão quando tratados em desconformidade com a LGPD. 
 
 
 
 
7.5. Portabilidade 
 
Direito de solicitar a transferência dos dados a outro fornecedor de 
serviço ou produto. 
 
7.6. Eliminação de dados tratados com consentimento 
 
Direito de pedir a eliminação dos dados tratados com consentimento 
anterior. 
 
7.7. Informações de entidades públicas e privadas 
 
Direito de receber informações das entidades públicas ou privadas que 
trataram os dados. 
 
7.8. Informações sobre não consentimento e consequências da 
negativa 
 
Direito de obter informação sobre o não consentimento e sobre as 
consequências de tal atitude. 
 
7.9. Revogação do consentimento (opt-out) 
 
Direito de manifestar, por procedimento gratuito e facilitado, a 
revogação do consentimento. 
 
Enfatizamos que os direitos não excluem outros que possam existir em 
lei específica. Por exemplo, o Código de Defesa do Consumidor observa 
que o titular tem direito à comunicação da abertura de cadastro, ficha, 
registro de dados pessoais e de consumo, quando não solicitados por 
ele. Além disso, nos termos da Lei Geral de Telecomunicações, ele tem 
direito ao respeito à privacidade nos documentos de cobrança e na 
 
utilização de informações pessoais pela prestadora do serviço de 
telecomunicações. 
 
 
Bibliografia 
 
ÁVILA, Ana Paula. LGPD: direitos do titular de dados pessoais. Jota, 
2019. 
Disponível em: https://www.jota.info/opiniao-e-analise/artigos/lgpd-
direitos-do-titular-de-dados-pessoais-26022020. 
Acesso em: 30.07.20. 
 
BIONI, Bruno Ricardo. Compreendendo o conceito de anonimização e 
dado anonimizado. Revista do Advogado. Lei Geral de Proteção de 
Dados Pessoais, n. 144, nov/2019. 
 
BIONI, Bruno Ricardo. Proteção de dados pessoais. As funções e os 
limites do consentimento. 2ª edição. Rio de Janeiro: Forense, 2020. 
 
DONEDA, Danilo. Da privacidadeà proteção de dados pessoais. 
Fundamentos da Lei Geral de Proteção de Dados. São Paulo: Thomson 
Reuters Brasil, 2020. 
 
LINS, Leonardo Melo; MATÍNEZ, Ana Laura. Agenda digital do Mercosul 
2018-2020. 2020. 
Disponível em: https://www.cgi.br/publicacao/agenda-digital-do-
mercosul-2018-2020-panorama-dos-indicadores-disponiveis 
Acesso em: 20.12.20. 
 
MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato. LGPD: Lei Geral 
de Proteção de Dados comentada. 2ª edição. São Paulo: Thomson 
Reuters Brasil, 2019. 
 
MARTINS, Leonardo (org.). Cinquenta anos de jurisprudência do 
Tribunal Constitucional Federal Alemão. Montevideu/Urugay: Fundação 
Kontad Adenauer, 2005. 
 
MENDES, Laura Schertel; DONEDA, Danilo; SARLET, Ingl Wolfgang; 
RODRIGUES JR, Otavio Luiz. (coords.). Tratado de proteção de dados 
pessoais. Rio de Janeiro: Forense, 2020. 
 
PARENTONI, Leonardo. Autoridade Nacional de Proteção de Dados 
brasileira: uma visão otimista. Revista do Advogado. Lei Geral de 
Proteção de Dados Pessoais, n. 144, nov/2019. 
 
PESTANA, Márcio. Direito administrativo brasileiro. 4ª edição. São 
Paulo: Atlas, 2014. 
 
RIPPY, Sarah. Study: LGPD likely to require at least 50K DPO’s in Brazil 
alone International Association of Privacy Professionals (IAPP). 
Disponível em https://iapp.org/news/a/study-lgpd-likely-to-require-
at-least-50000-dpos-in-brazil-alone/ 
Acesso em: 27.11.20. 
 
SIERRA, Marcos. Protección de Datos multa con 75.000 euros a dos 
pymes por no tener jefe de datos. Voz Populi, 2020. 
Disponível em https://www.vozpopuli.com/economia-y-
finanzas/proteccion-datos-delegado-multas_0_1409559396.html 
Aceso em: 27.11.20. 
 
TEFFÉ, Chiara Spadaccini. Proteção de dados de crianças e 
adolescentes. Revista do Advogado. Lei Geral de Proteção de Dados 
Pessoais, n. 144, nov/2019. 
 
 
 
Conteúdo complementar 
 
ATHENIENSE, Alexandre. Entrevista a Rádio Justiça – Lei Geral de 
Proteção de Dados Pessoais. Áudio de 34m19s. 
Disponível em: https://www.youtube.com/watch?v=N2an-Zl33gg 
Acesso em 20.12.20. 
 
BIONI, B. Ricardo. Data privacy: o que é dado pessoal? Vídeo de 
1m52s. 
Disponível em: https://www.youtube.com/watch?v=dcMe3HJuU68 
Acesso em: 20.12.20. 
 
PRIVACIDADE hackeada. Documentário dirigido por Jehane Noujaim e 
Karim Amer – 114m. EUA: Netflix, 2019. 
 
SNOWDEN. Filme dirigido por Oliver Stone – 134m. EUA/Alemanha: 
Endgame Entertainment, Vendian Entertainment, KrautPack 
Entertainment, 2016.