CHCS_LGPD_2021_VF

Prévia do material em texto

LEI GERAL de
PROTEÇÃO de
 DADOS PESSOAIS
Ficha catalográfica elaborada pela Biblioteca da Escola de Negócios e Seguros
É proibida a duplicação ou reprodução deste volume, ou de partes dele, 
sob quaisquer formas ou meios, sem permissão expressa da Escola.
REALIZAÇÃO
ESCOLA DE NEGÓCIOS E SEGUROS
SUPERVISÃO E COORDENAÇÃO METODOLÓGICA
DIRETORIA DE ENSINO TÉCNICO
ASSESSORIA TÉCNICA
ANGÉLICA CARLINI - 2019/ 2021
ALUIZIO JOSÉ BASTOS BARBOSA JUNIOR - 2021
PROJETO GRÁFICO E DIAGRAMAÇÃO
ESCOLA DE NEGÓCIOS E SEGUROS – GERÊNCIA DE 
PLANEJAMENTO E ESCOLA VIRTUAL
PICTORAMA DESIGN
RIO DE JANEIRO
2021
E73l Escola Nacional de Seguros. Diretoria de Ensino Técnico.
 LGPD – Leis Gerais de Proteção de Dados Pessoais para corretores / 
 Supervisão e coordenação metodológica da Diretoria de Ensino Técnico; 
 assessoria técnica de Angélica Carlini e Aluízio José Bastos Barbosa Junior. 
 Rio de Janeiro : ENS, 2021.
 60 p. ; 28 cm
 1. LGPD – Leis Gerais de Proteção de Dados Pessoais. 2. Proteção de dados pessoais – 
 Segurança. 3. Proteção de dados pessoais – Sigilo de Dados. I. Carlini, Angélica. II. Barbosa 
 Junior, Aluízio José Bastos. III. Título.
 
 0021-2556 CDU 347
A 
Escola de Negócios e Seguros promove, desde 1971, diver­
sas iniciativas no âmbito educacional, que contribuem para 
um mercado de seguros, previdência complementar, capitali­
zação e resseguro cada vez mais qualificado.
Principal provedora de serviços voltados à educação continuada para 
 profissionais que atuam nessa área, a Escola de Negócios e Seguros ofe­
rece a você a oportunidade de compartilhar conhecimento e experiências 
com uma equipe formada por especialistas que possuem sólida trajetória 
acadêmica.
A qualidade do nosso ensino, aliada à sua dedicação, é o caminho para 
o sucesso nesse mercado, no qual as mudanças são constantes e a 
competitivi dade é cada vez maior.
Seja bem­vindo à Escola de Negócios e Seguros.
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
 APRESENTAÇÃO 7 
 1. LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) 
 A QUEM SE APLICA, ONDE SE APLICA, 
 QUAIS OS OBJETIVOS E PRINCÍPIOS 9 
INTRODUÇÃO 10
A QUEM SE APLICA 12
ONDE DEVE SER APLICADA A LEI 12
OBJETIVOS DA LEI 13
PRINCÍPIOS DA LGPD 16
 2. LGPD – TERMINOLOGIA UTILIZADA 19 
 3. DADOS PESSOAIS – 
 REQUISITOS PARA TRATAMENTO E 
 COMPARTILHAMENTO DE DADOS 25 
REQUISITOS PARA TRATAMENTO DE DADOS PESSOAIS 26
COMPARTILHAMENTO DE DADOS PESSOAIS 30
SUMÁRIO
INTERATIVO
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
 4. DIREITOS DO TITULAR DE 
 DADOS PESSOAIS E TÉRMINO DO 
 TRATAMENTO DE DADOS PESSOAIS 31 
DIREITOS DO TITULAR DE DADOS PESSOAIS 32
TÉRMINO DO TRATAMENTO DE DADOS PESSOAIS 35
 5. AGENTES DE TRATAMENTO DE 
 DADOS PESSOAIS E RESPONSABILIDADES 37 
AGENTES DE TRATAMENTO 38
RESPONSABILIDADE DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS 39
SEGURANÇA NO TRATAMENTO DE DADOS 40
COMUNICAÇÃO IMEDIATA DE RISCOS OU DANOS 41
BOAS PRÁTICAS E GOVERNANÇA 42
 6. SANÇÕES APLICÁVEIS AOS AGENTES DE 
 TRATAMENTO DE PROTEÇÃO DE DADOS 43 
 7. AUTORIDADE NACIONAL 
 DE PROTEÇÃO DE DADOS 46 
SUMÁRIO
INTERATIVO
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
 8. TRATAMENTO DE DADOS SENSÍVEIS 
 E DE DADOS DE CRIANÇAS E ADOLESCENTES 49 
DADOS PESSOAIS SENSÍVEIS 50
PROTEÇÃO DE DADOS DE CRIANÇAS E ADOLESCENTES 52
 9. LGPD E O DIA A DIA DO 
 CORRETOR DE SEGUROS 53 
PROSPECÇÃO DE CLIENTES 54
OBTENÇÃO DE DADOS PESSOAIS PARA 
ELABORAÇÃO DO PERFIL DO PROPONENTE 55
RECEBIMENTO DO PAGAMENTO DAS COMISSÕES 56
ENVIO DE APÓLICES AO SEGURADO 56
ACOMPANHAMENTO DE SINISTRO E DO PAGAMENTO DA INDENIZAÇÃO 56
REQUERIMENTO DE DADOS PELA SUSEP OU POR ORDEM JUDICIAL 57
RENOVAÇÃO DA APÓLICE 57
 CONCLUSÃO 58 
 REFERÊNCIAS BIBLIOGRAFICAS 60 
SUMÁRIO
INTERATIVO
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 7
 APRESENTAÇÃO 
A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS, Lei 13.709, de 14 
de agosto de 2018, entrou em vigor em todo território nacional no dia 20 
de agosto de 2020 e trouxe substancial modificação na forma como as 
empresas que atuam com dados pessoais fazem seu trabalho no cotidiano.
Essa lei, que tem sido chamada pelas iniciais LGPD, tem forte impacto para 
o setor de seguros que, por excelência, necessita de dados pessoais para 
reali zar a avaliação e subscrição de riscos, tanto quanto precisa deles para os 
trabalhos próprios de regulação de sinistros e pagamento de indenizações.
A LGPD modifica a forma como todas as empresas precisam administrar 
a coleta, arquivamento, tratamento e utilização de dados em seu dia a dia 
e, por isso, é preciso que haja preparação cuidadosa de vários setores da 
administração empresarial, em especial das áreas que armazenam e com­
partilham dados pessoais.
Tratamento de dados é toda operação realizada com dados pessoais, 
como as que se referem a coleta, produção, recepção, classificação, 
 utilização, acesso, reprodução, transmissão, distribuição, processamento, 
arquivamento, armazenamento, eliminação, avaliação ou controle da infor­
mação, modificação, comunicação, transferência, difusão ou extração. Essa 
definição foi adotada pela LGPD e é de fundamental importância para a 
compreensão da aplicabilidade da lei.
Notem que o corretor de seguros, em sua relação junto aos clientes, acaba 
sempre por coletar, receber, classificar e distribuir para as seguradoras os 
dados pessoais que recebe. Portanto, é inegável a aplicação da LGPD para 
a sua atividade.
Assim, todas as vezes que uma pessoa natural¹ ou jurídica, pública ou 
 privada, solicitar os dados pessoais de alguém – nome, endereço, número 
de documentos, estado civil, identificação de gênero (masculino, femi­
1. Pessoa natural é o mesmo que 
pessoa física.
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 8
nino ou outros) –, estará sujeita a aplicação da lei. E o objetivo da lei é 
proteger o titular dos dados pessoais, para que não haja utilização sem 
 consentimento, excessiva, desnecessária ou, prejudicial ao titular.
Na atividade de seguros, todos os ramos utilizam, em maior ou menor 
 escala, dados pessoais do próprio segurado, do beneficiário indicado 
ou de representantes legais de empresas que contratam seguros. Nas 
diferentes etapas, da proposta ao pós­contrato, os dados pessoais são 
importantes na relação entre segurados e seguradores e, exatamente por 
isso, a LGPD terá influência significativa nesse setor.
Corretores de seguro, reguladores de sinistro, profissionais de vistoria 
 prévia, sindicantes, funcionários de seguradoras, corretoras e administra­
doras de seguro, todos devem estar bem preparados para se adequar à 
nova legislação e agir em estrita consonância com ela.
Bons estudos!
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 9
UNIDADE 1
 ■ Conhecer a quem se aplica 
a LGPD.
 ■ Definir onde se aplica a 
LGPD.
Após ler esta unidade, você deverá ser capaz de:
 ■ Identificar os objetivos e 
princípios da LGPD.
TÓPICOS 
DESTA UNIDADE
⊲ INTRODUÇÃO
⊲ A QUEM SE APLICA
⊲ ONDE DEVE SER 
APLICADA A LEI
⊲ OBJETIVOS DA LEI
⊲ PRINCÍPIOS DA LGPD
LEI GERAL de 
PROTEÇÃO de 
DADOS (LGPD)
a QUEM se APLICA, ONDE se APLICA, 
QUAIS os OBJETIVOS e PRINCÍPIOS
01
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 10
UNIDADE 1
 INTRODUÇÃO 
A Lei nº 13.709, de 14 de agosto de 2018, é chamada de Lei Geral de 
 Proteção de Dados Pessoais e conhecida pela sigla LGPD. Está dividida em 
dez capítulos e contém princípios e definições que facilitam a compreensão 
dos principais objetivos que ela pretende atingir.
A lei foi aprovada pelo poder legislativo brasileiro apenas quatro meses após 
a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD) 
da União Europeia, que ocorreu em maio de 2018. O regulamento europeu 
criou a necessidade de adaptação para muitas empresasque trabalham glo­
balmente, inclusive seguradoras, resseguradoras e corretoras de seguro.
O RGPD europeu é aplicável a situações em que o tratamento de dados 
acontece nas atividades de uma empresa que está estabelecida em um dos 
países que compõem a União Europeia² e, em consequência, se aplica às 
empresas que não estão instaladas na União Europeia, mas que ofereçam 
produtos e serviços para qualquer um dos países que pertençam a ela.
A necessidade de algumas empresas adequarem suas atividades ao Regu­
lamento de Proteção de Dados Pessoais da União Europeia contribuiu 
para que o legislativo brasileiro agilizasse o debate sobre a lei geral de 
proteção de dados brasileira, que já tinha projetos de lei em andamento 
há alguns anos.
A proteção de dados pessoais é uma necessidade indiscutível em nossos 
tempos. Todas as pessoas são portadoras de dados e os fornecem dia­
riamente em inúmeras situações diferentes. Nossos dados pessoais são 
fornecidos no supermercado, na escola, na clínica de atendimento médico, 
no posto de gasolina, nos serviços de transporte privado (táxi e aplicati­
vos), nas redes sociais, nas transações bancárias, nas compras pela rede 
mundial de computadores, nas viagens por transporte aéreo, marítimo e 
terrestre (ônibus e fretamento), entre outras tantas situações que vivemos 
todos os dias.
2. Alemanha, Áustria, Bélgica, 
Bulgária, Chipre, Croácia, 
Dinamarca, Eslováquia, 
Eslovênia, Espanha, Estônia, 
Finlândia, França, Grécia, 
Hungria, Irlanda, Itália, Letônia, 
Lituânia, Luxemburgo, Malta, 
Países Baixos, Polônia, Portugal, 
República Checa, Romena e 
Suécia.
11
UNIDADE 1
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Nossos dados pessoais são indispensáveis para a formalização de transa­
ções de alto valor, como a obtenção de empréstimo para compra da casa 
própria, mas também para transações de pequeno valor, como quando for­
necemos o número do CPF na farmácia para obter desconto na compra 
de um medicamento de baixo custo ou de um produto de higiene pessoal.
Da mesma forma quando, ao desejarmos a cotação de um seguro fornece­
mos ao Corretor de Seguros nossos dados pessoais tais como: endereço 
residencial, modelo do veículo, renda mensal, eventuais doenças pré exis­
tentes entre tantos outros dados pessoais.
Dados pessoais se tornaram bens e tudo parece indicar que no futuro 
poderão ser transacionados com empresas de diversos segmentos eco­
nômicos em troca de vantagens financeiras para seus portadores. 
No momento presente, o que causa maior preocupação são os transtornos 
que a má utilização de dados pessoais pode causar para seus portadores. 
Basta que imaginemos o que pode acontecer com nossa vida pessoal ou 
profissional se uma loja ou farmácia deixar vazar o número de nosso CPF 
e o do cartão de débito ou de crédito utilizado na última compra. Ou, ain­
da, que a escola de nosso filho deixe vazar nossos dados bancários ou o 
endereço de nossa residência. Todas essas possiblidades, infelizmente, 
são concretas e têm ocorrido inúmeras vezes nos últimos tempos.
A lista de entidades e pessoas que já tiveram seus dados apropria­
dos indevidamente é extensa. Uma rápida busca na rede mundial de 
computadores vai nos mostrar que do Departamento dos Veteranos de 
Guerra Norte­Americanos, entidade que cuida do pagamento de pensões 
e aposenta dorias dessa categoria até o Facebook, site de rede social 
 muito utilizado no Brasil, passando pela Card System Solution, empresa 
que processa pagamento de cartões de crédito, e pela PlayStation Online, 
rede de videogames online da Sony, todos já sofreram ataques que permi­
tiram o vazamento de dados pessoais de seus usuários.³
Todas as empresas estão suscetíveis a vazamento de dados pessoais de 
seus consumidores e usuários e, por essa razão, é preciso que a legisla­
ção estabeleça regras para a coleta e tratamento de dados, bem como 
 sanções para os casos em que a lei não seja cumprida rigorosamente. 
Novos tempos, novas exigências! 
Se os dados pessoais são hoje uma fonte valiosa para as empresas que a 
partir deles podem propor muitos negócios diferentes – inclusive com uso 
de inteligência artificial para coletar somente os dados que tenham mais 
relevância para a modalidade de negócio que elas realizam – a contrapartida 
é a necessidade de proteger esses dados para que não sejam utilizados de 
forma indevida.
3. Disponível em https://exame.
com/tecnologia/os-15-maiores-
vazamentos-de-dados-da-ultima-
decada/. Acesso em 13 de 
janeiro de 2021.
https://exame.com/tecnologia/os-15-maiores-vazamentos-de-dados-da-ultima-decada/
https://exame.com/tecnologia/os-15-maiores-vazamentos-de-dados-da-ultima-decada/
https://exame.com/tecnologia/os-15-maiores-vazamentos-de-dados-da-ultima-decada/
https://exame.com/tecnologia/os-15-maiores-vazamentos-de-dados-da-ultima-decada/
12
UNIDADE 1
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Na atualidade, já existe sequestro de banco de dados com pedido de 
resgate em criptomoedas como os bitcoins, por exemplo, e, às vezes, até 
mesmo o travamento de sistemas de dados até que haja o pagamento de 
resgate. Essas práticas comprovam que é preciso cada vez maior cuidado 
no trabalho de coleta e tratamento de dados pessoais para que as empre­
sas atuem em pleno potencial de desenvolvimento econômico, mas com 
toda segurança possível para a sociedade.
A Lei Geral de Proteção de Dados Pessoais brasileira é um avanço para as 
relações econômicas e sua entrada em vigor em agosto de 2020 marca 
um novo e promissor momento para o país.
 A QUEM SE APLICA 
A Lei Geral de Proteção de Dados se aplica às pessoas naturais (físicas) ou 
jurídicas, da área pública ou privada, que atuem com dados pessoais em 
qualquer meio, inclusive digital.
Assim, se alguma pessoa natural ou jurídica de direito privado ainda atuar 
com dados pessoais arquivados em papel, meio físico, também terá de 
cumprir a lei da mesma maneira, porque ela também será aplicada a essas 
situações. Aqueles que atuam com uso de meio digital, mais comum em 
nossos dias, estão igualmente obrigados a cumprir a lei.
Portanto, trazendo esse conceito para a realidade do corretor de seguros, 
temos que a LGPD se aplica igualmente a todo o tipo de corretor ou 
corretora de seguros. Seja o corretor pessoa física, que atua de forma autô­
noma, seja a grande corretora pessoa jurídica, afinal, todos os corretores 
de seguro, independentemente de tamanho, estrutura, porte, lidam com 
dados pessoais de seus clientes e, portanto, estão sujeitos à LGPD.
 ONDE DEVE SER APLICADA A LEI 
A LGPD será aplicada a todas as operações de tratamento de dados reali­
zadas em território nacional; ou, quando os dados tenham sido coletados 
para a oferta ou o fornecimento de bens ou serviços ou, o tratamento de 
dados de indivíduos localizados no território nacional; e, nas situações em 
que os dados pessoais objeto do tratamento tenham sido coletados no 
território nacional.
13
UNIDADE 1
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Não importa que a pessoa natural ou jurídica, de direito público ou privado, 
tenha sua sede em outro país. Basta que a operação de tratamento de 
dados se realize no Brasil para que a legislação nacional seja aplicada. 
Também não importa que os dados sejam coletados de pessoas físicas 
estrangeiras. Se elas estiverem no Brasil no momento da coleta dos dados, 
a lei brasileira será aplicada para sua proteção.
A pessoa natural cujos dados foram coletados em território nacional pode 
nem estar mais residindo no Brasil e, mesmo assim, será aplicada a lei se 
os dados tiverem sido tratados aqui. Por exemplo: um brasileiro fornece 
dados pessoais ao corretor e à seguradora com o qual contratou um segu­
ro viagem e, em seguida, viaja para a Itália, local em que vai passar 2 anos 
a trabalho. Se ocorrer algum problema com os dados fornecidos, como o 
vazamento ou a má utilização por parte do banco, a lei que será aplicada 
seráa legislação brasileira, ainda que ele esteja em outro território. 
 OBJETIVOS DA LEI 
Os objetivos da lei são seus fundamentos, ou seja, a razão de sua existên­
cia, o que ela pretende prevenir e proteger. 
Os objetivos da LGPD são:
Respeito à Privacidade
Todo titular de dados pessoais tem direito de ser respeitado em 
sua privacidade, ou seja, partilhar dados apenas para pessoas 
autorizadas por ele e com objetivos específicos. Exemplo: fornecer 
o endereço para uma empresa de comércio eletrônico entregar 
um computador na minha casa não significa que desejo que qual­
quer pessoa tenha acesso a esse endereço.
Autodeterminação Informativa
Autodeterminação é a capacidade que cada pessoa tem de decidir 
por si só, ou seja, decidir de forma livre e autônoma o que consi­
dera melhor para ela. Autodeterminação informativa é o poder de 
cada um de nós para decidir sobre quais informações e para quem 
deseja fornecê­las. Não será admitido o compartilhamento de infor­
mações sem consentimento do titular dos dados, exatamente 
em razão da autodeterminação informativa. O consentimento 
do titular de dados pessoais, inclusive para que seja possível o 
compartilha mento de dados entre empresas que realizam o 
tratamento de dados, é essencial para que a operação seja 
regular, legalizada e não crie responsabilidades ou sanções. 
14
UNIDADE 1
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Consentimento do titular de dados pessoais é essencial em 
qualquer atividade pública ou privada de tratamento de dados.
Liberdade de Expressão, Informação,
de Comunicação e de Opinião
Esses fundamentos estão previstos na Constituição Federal, que 
é a lei hierarquicamente mais importante do país. Assim, para 
resguardar esses direitos que todas as pessoas possuem de se 
expressar livremente, de se informar, de se comunicar e receber 
comunicações e de manifestar suas opiniões, é que a lei de prote­
ção de dados, tanto quanto a Constituição Federal, protege esses 
direitos no tocante a coleta e compartilhamento de dados.
Inviolabilidade da Intimidade, da Honra e da Imagem
Todas as pessoas nascidas no Brasil ou estrangeiros aqui residen­
tes têm direito constitucional a proteção de sua intimidade, honra e 
imagem, por isso a lei de proteção de dados pessoais igualmente 
garante esses direitos que, aliás, são de grande importância para 
todos nós. Ninguém pode ser invadido ou incomodado em sua 
intimidade, honra ou imagem pela divulgação de dados que não 
tenham sido expressamente autorizados. A nenhuma empresa 
será possível disseminar dados pessoais de alguém sem que isso 
tenha sido claramente autorizado. 
O Desenvolvimento 
Econômico e Tecnológico e a Inovação
A necessidade de proteção de dados pessoais não pode colidir 
com a necessidade de que o país tenha desenvolvimento econô­
mico, tecnológico e de inovação. Esses elementos são essenciais 
para a construção de produtividade e economia forte e, em um 
país que adota o regime econômico capitalista como o Brasil, o 
desenvolvimento econômico é a base para uma sociedade mais 
justa e equilibrada, porque dele dependem os empregos e os 
recursos financeiros para o empreendedorismo, que pode via­
bilizar renda para as famílias viverem com dignidade. Em outras 
palavras, não se pode criar leis que protejam a ponto de dificultar o 
desenvolvimento econômico, porque isso afeta o bem­estar social 
do país. É preciso que tenhamos leis que com equilíbrio protejam 
os dados pessoais e, ao mesmo tempo, permitam o desenvolvi­
mento econômico, tecnológico e todas as inovações que possam 
contribuir para a melhor qualidade de vida social e econômica para 
a população brasileira.
15
UNIDADE 1
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
A Livre Iniciativa, a Livre Concorrência 
e a Defesa Do Consumidor
São princípios constitucionais que igualmente deverão ser respei­
tados na lei de proteção de dados pessoais. Cumprem o papel de 
equilibrar a necessidade de desenvolvimento econômico pela livre 
iniciativa (empresas privadas) com o respeito às pessoas naturais 
(pessoas físicas), que não podem ter seus dados pessoais utiliza­
dos indevidamente e sem seu consentimento.
Direitos Humanos, Livre Desenvolvimento da 
Personalidade, a Dignidade a o Exercício da 
Cidadania pelas Pessoas Naturais
Todos esses elementos são fundamentos constitucionais para a pro­
teção das pessoas naturais nos múltiplos aspectos que compõem 
seu direito a uma vida digna. Entre esses aspectos está o direito 
à proteção de seus dados pessoais para que não sejam utilizados 
de forma negativa, contrários aos interesses da própria pessoa. Em 
relação ao livre desenvolvimento da personalidade, por exemplo, 
imagine que um adolescente tem sua imagem divulgada indevi­
damente em redes sociais, nacionais e internacionais, em uma 
foto em que ele aparece estuprando uma criança. Suponha que 
essa foto é uma montagem feita por alguém que utilizou indevida­
mente uma foto verdadeira para atingir esse jovem em sua honra 
e dignidade, como vingança. Como se recuperar do trauma de ter 
sua imagem associada a um episódio tão violento? Como obter 
vaga em escola, em emprego, relacionamento social e pessoal se 
você foi atingido por um episódio como esse? É para proteger as 
pessoas contra ameaças graves como essa e tantas outras que a 
lei de proteção de dados tem esses fundamentos.
Os objetivos da Lei Geral de Proteção de Dados Pessoais podem ser 
compre endidos a partir da análise de seus fundamentos. A disseminação 
de nossos dados pessoais tem sido intensa na sociedade contemporânea, 
principalmente em razão da internet e dos meios eletrônicos para 
contrata ção e consumo. Os dados pessoais são utilizados por milhares de 
empresas em todo o mundo para viabilizar o acesso a produtos e serviços, 
em especial para consumo, educação, lazer, entretenimento entre outras 
possibilidades. Além disso, os setores públicos também coletam e utilizam 
nossos dados pessoais: a Receita Federal; a Polícia Federal, para expedi­
ção de passaportes; o Sistema Único de Saúde; a educação pública (do 
fundamental ao superior); entre outras muitas possibilidades.
Se os dados pessoais são utilizados para tantas atividades diferentes e, na 
grande maioria delas, por empresas que têm finalidade econômica com a 
utilização desses dados, é muito natural que tenhamos uma estrutura legal 
de proteção da coleta e do tratamento dos dados pessoais para que se 
garanta a todas as pessoas que a utilização será sempre em conformidade 
16
UNIDADE 1
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
com a lei e para que não sejam gerados prejuízos materiais e imateriais 
(como dano moral, por exemplo).
Quando ocorrerem prejuízos comprovados em decorrência da utilização 
indevida de dados, caberá aos responsáveis – empresas privadas ou 
poder público ­ indenizarem os danos materiais e imateriais e, além disso, 
serão aplicadas sanções, das quais trataremos mais a frente nesta apostila.
 PRINCÍPIOS DA LGPD 
Além dos objetivos a LGPD brasileira também adotou princípios que terão de 
ser rigorosamente seguidos por todas as pessoas físicas ou jurídicas, públi­
cas ou privadas, que atuarem com coleta e tratamento de dados pessoais.
Os princípios estão listados no artigo 6° da lei e são:
Boa-Fé
É um princípio que determina que as partes deverão agir sempre 
com honestidade e veracidade.
Finalidade
A utilização dos dados pessoais terá que ser feita sempre com 
 propósitos legítimos, específicos, explícitos e informados ao titular 
dos dados. Coletados os dados para uma finalidade específica, não 
poderão ser utilizados para outra. Assim, o banco quando coleta seus 
dados pessoais para fornecimento de cartão de crédito não pode 
utilizá­los, posteriormente, para contratar um seguro de vida em seu 
nome, salvo se houver consulta prévia e concordância expressa.
Da mesma forma, se o cliente entrega seus dados pessoais para o 
corretor de seguros visando unicamenteà cotação de seguro de 
automóvel, não pode o corretor de seguros se aproveitar da situa­
ção e, de posse de tais dados pessoais, fazer cotações de seguro 
residencial e de vida, por exemplo. Para que isso seja possível é 
necessário que o cliente, titular dos dados pessoais dê o seu con­
sentimento para essa utilização diversa da finalidade original.
Adequação
Representa que os dados coletados deverão ser tratados em confor­
midade com a finalidade para a qual foram obtidos. Novamente, aqui 
fica vedada a obtenção para uma finalidade e o uso inadequado.
17
UNIDADE 1
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Necessidade
Os dados pessoais coletados deverão ser tratados de forma 
limitada ao mínimo necessário para que as finalidades sejam 
adequadamente atingidas. Isso significa que os dados pessoais 
solicitados deverão ser sempre o mínimo necessário e nunca 
excessivos. Por exemplo: é preciso perguntar quantos filhos uma 
pessoa tem e qual o gênero deles na contratação de um cartão 
de crédito? E para um seguro de vida? Cada situação exige uma 
quantidade de dados pessoais e eles devem ser solicitados sem­
pre tendo o mínimo e não o máximo como parâmetro.
Livre Acesso
Os titulares dos dados pessoais terão direito a consulta facilitada 
e gratuita de seus dados durante todo o período de duração da 
utilização deles. A consulta poderá ser à integralidade dos dados, 
ou seja, a todos os dados que foram coletados pela pessoa natural 
ou jurídica, pública ou privada, que solicitou esses dados para utili­
zação em suas atividades. 
Qualidade Dos Dados
A lei obriga àqueles que coletam e tratam dados pessoais que 
garantam a exatidão, clareza, relevância e atualização dos dados, 
em conformidade com as necessidades e finalidades do tratamen­
to. As pessoas físicas e jurídicas, públicas ou privadas, que utilizam 
dados pessoais, devem coletá­los de forma objetiva, exata, clara 
e mantê­los atualizados para que nenhum resultado adverso atin­
ja o titular dos dados apenas por falta de atualização ou clareza. 
 Suponha que haja uma linha de crédito mais favorável para aqui­
sição da casa própria para pessoas casadas e o agente financeiro 
não tenha esse dado atualizado a seu respeito e, por isso, você 
perde a oportunidade de conseguir o financiamento que desejava. 
Transparência
Significa que os titulares dos dados pessoais deverão ter a garantia 
de que as informações disponíveis a seu respeito são claras, pre­
cisas, facilmente acessíveis para qualquer verificação necessária, 
respeitados os segredos industriais e comerciais utilizados pelos 
organizadores da coleta e do tratamento de dados, ou seja, pelas 
pessoas físicas ou jurídicas, pública ou privada, que utilizam aque­
les dados em suas atividades.
Segurança
O titular de dados pessoais tem que ter a garantia por parte 
 daquele que coleta e utiliza os dados de que serão utilizadas todas 
as medidas técnicas e de gestão que permitam a efetividade da 
proteção dos dados pessoais e, principalmente, que não permitam 
os acessos não autorizados ou, ainda, situações acidentais ou ilíci­
18
UNIDADE 1
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
tas que resultem na destruição, perda, alteração, comunicação ou 
difusão de dados de maneira indevida.
Prevenção
Consiste na obrigatoriedade na adoção de medidas para pre­
venir qualquer fato ou ato que propicie danos aos titulares de 
dados pessoais.
Não Discriminação
A coleta de dados pessoais não pode ser realizada com finalidade 
discriminatória.
Responsabilização e Prestação de Contas
O agente, pessoa natural ou jurídica, pública ou privada, que 
coleta e trata dados pessoais, tem que adotar todas as medidas 
legais e técnicas necessárias para a proteção desses dados e será 
 responsabilizado caso ocorram danos. Além disso, tem a obriga­
ção legal de prestar contas de seus atos na coleta e tratamento de 
dados pessoais.
Os princípios são objetivos e ao mesmo tempo, organizam a atividade de 
coleta e tratamento de dados pessoais com a finalidade de proteger os 
titulares desses dados e isso, com certeza, é um benefício significativo 
para toda a sociedade brasileira. Ao mesmo tempo, os princípios não impe­
dem a atividade econômica e empresarial, o que igualmente é positivo 
para toda a sociedade.
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 19
UNIDADE 2
 ■ Definir alguns termos técnicos utilizados nas 
redes digitais de acordo com a LGPD.
Após ler esta unidade, você deverá ser capaz de:
LGPD – 
TERMINOLOGIA UTILIZADA
02
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 20
UNIDADE 2
O uso de dados pessoais para realização de negócios ou para a 
 viabilização de atendimento pelo setor público é antigo na história da 
humanidade. Desde há muito tempo, as pessoas fornecem seu endereço, 
número de telefone, número de documentos pessoais, dados bancários, 
dados pessoais como gênero, estado civil, entre tantos outros para que 
os setores público e privado possam atuar.
Nas últimas décadas, no entanto, o fornecimento de dados se avolumou 
exponencialmente porque passamos a utilizar a rede mundial de 
 computadores – internet – para muitas atividades que antes só fazíamos 
presencialmente, como comprar uma televisão, um sofá ou um livro; 
 assinar um jornal ou revista e fazer a leitura por meio eletrônico; contratar 
uma viagem de férias, a reserva de um hotel, comprar uma passagem 
aérea; contratar um seguro, plano de saúde, plano de previdência 
 complementar, seguro viagem ou seguro de vida; ficar sócio de um clube 
ou associação não­governamental; contratar acesso a canais de entrete­
nimento para assistir filmes, séries, ouvir música; enfim, praticamente não 
há limite para o que pode ser feito pela internet.
Para todas essas contratações disponibilizamos dados pessoais que são cole­
tados e armazenados pelo fornecedor de produtos e serviços. Muitas vezes 
na nossa atividade profissional também atuamos coletando e armazenando 
dados pessoais que são necessários para o trabalho que desenvolvemos.
Na atualidade, existe uma grande quantidade de pessoas que se dedica 
a atividades profissionais pela internet e que, para desempenhá­las cor­
retamente e com sucesso, precisa coletar e armazenar dados pessoais.
Para todas essas situações, existem termos técnicos próprios que 
 precisam ser utilizados para garantir a uniformidade da linguagem, com 
objetivo de facilitar a comunicação não apenas entre fornecedores e 
consumidores, como entre contratantes ou, ainda, entre o poder público 
regulador e aqueles que atuam por redes digitais.
21
UNIDADE 2
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Para uniformizar as expressões utilizadas nesse novo universo do mundo 
digital, a Lei Geral de Proteção de Dados dedicou o artigo 5° exclusivamente 
para definições que deverão ser adotadas por todas as pessoas físicas, jurí­
dicas, públicas e privadas que utilizam dados pessoais em suas atividades.
Vamos conhecer essa nova terminologia?
Dado Pessoal
Informação relacionada a pessoa natural identificada ou identificável. 
Pessoa natural e pessoa física têm o mesmo sentido, ou seja, o ser 
humano que se torna sujeito de direitos e deveres em conformidade 
com a lei. Pessoa jurídica é aquela composta por uma ou mais 
pessoas físicas que se organizam para exercer atividades econô­
micas (empresas) ou, sociais (associações, sindicatos, organizações 
 não­governamentais, clubes desportivos, entre outras).
Dado Pessoal Sensível
Dado pessoal sobre origem racial ou étnica, convicção religiosa, 
opinião política, filiação a sindicato ou a organização de caráter 
religioso, filosófico ou político, dado referente à saúde ou à vida 
sexual, dado genético ou biométrico, quando vinculado a uma 
pessoa natural. São dados que uma pessoa nem sempre deseja 
compartilhar ou mesmo que se torne conhecido para outras pes­
soas, seja para fins empresariais ou para pessoas de seu convívio 
social e familiar. A denominação sensível indicaque são dados 
que para serem tratados por pessoa natural ou jurídica, pública ou 
privada, vão demandar muito maior cuidado e especificidade.
Dado Anonimizado
Dado relativo a titular que não possa ser identificado, conside­
rando a utilização de meios técnicos razoáveis e disponíveis na 
ocasião de seu tratamento.
Anonimização de Dados
Utilização de meios técnicos razoáveis e disponíveis no momento 
do tratamento, por meio dos quais um dado perde a possibilidade 
de associação, direta ou indireta, a um indivíduo. Exemplo: o dado 
pessoal passa a ser tratado de forma que não se possa identificar 
seu titular. Em lugar de constar o nome e o endereço do titular, a 
Anonimização fará constar: gênero feminino, 35 anos, operadora 
de telemarketing, faixa de renda R$ 1.800,00 mensais, resi-
dente na Zona Oeste de São Paulo em casa alugada. Muitos 
dados pessoais estão elencados na frase, porém não se pode 
identificar a titular desses dados.
22
UNIDADE 2
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Banco de Dados
Conjunto estruturado de dados pessoais estabelecido em um ou 
em vários locais, em suporte eletrônico ou físico. Exemplo: os dados 
que uma corretora de seguros ou seguradora possui sobre seus 
clientes é um banco de dados; os escritórios de advocacia sobre 
seus clientes ou causas nas quais esteja atuando, é outro banco 
de dados. O mesmo acontece com hospitais, clínicas, academias, 
escolas, universidades, lojas, médicos, dentistas e muitas outras 
atividades. Todos possuem dados de seus clientes e usuários que 
são tratados em bancos de dados que precisam ser legalmente 
organizados. A estrutura do banco de dados pode se dar em meio 
físico ou eletrônico e, em ambas as hipóteses, estará sujeita ao 
cumprimento da LGPD.
Titular
Pessoa natural a quem se referem os dados pessoais que são 
objeto de tratamento. Todas as pessoas físicas (naturais) possuem 
dados pessoais das quais são titulares (proprietárias) e que só 
devem ser compartilhados mediante seu consentimento expresso 
e específico. 
Tratamento de Dados
Toda operação realizada com dados pessoais, como as que se 
referem a coleta, produção, recepção, classificação, utilização, 
acesso, reprodução, transmissão, distribuição, processamento, 
arquivamento, armazenamento, eliminação, avaliação ou controle 
da informação, modificação, comunicação, transferência, difusão 
ou extração.
Uso Compartilhado de Dados
Comunicação, difusão, transferência internacional, interconexão 
de dados pessoais ou tratamento compartilhado de bancos de 
dados pessoais por órgãos e entidades públicos no cumprimen­
to de suas competências legais, ou entre esses e entes privados, 
reciprocamente, com autorização específica, para uma ou mais 
modalidades de tratamento permitidas por esses entes públicos 
ou entre entes privados;
Consentimento
Manifestação livre, informada e inequívoca pela qual o titular 
concorda com o tratamento de seus dados pessoais para uma 
finalidade determinada. É importante reparar que a lei adjetivou o 
consentimento de forma a tornar claro que não é qualquer forma 
de consentimento que pode ser interpretada como adequada 
à lei. Somente aquele consentimento prestado de forma livre, 
informada e inequívoca, que não deixe dúvida de que se trata de 
consentimento para tratamento de dados pessoais , sendo veda-
do o consentimento genérico.
23
UNIDADE 2
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Bloqueio
Suspensão temporária de qualquer operação de tratamento, 
mediante guarda do dado pessoal ou do banco de dados. 
 Ocorrerá o bloqueio quando a pessoa natural ou jurídica, públi­
ca ou privada, for instada a suspender, em caráter temporário, o 
tratamento de dados organizados em seu banco. Quase sempre 
a ordem de bloqueio virá de decisão judicial ou de acordo entre 
partes, sempre para atingir finalidade específica. 
Eliminação
Exclusão de dado ou de conjunto de dados armazenados em banco 
de dados, independentemente do procedimento empre gado. 
A eliminação ocorrerá a pedido do titular com concordância dos 
agentes de tratamento ou, ainda, por ordem judicial que determine 
a eliminação. Poderão ser eliminados bancos de dados eletrônicos 
ou físicos.
Transferência Internacional de Dados
Transferência de dados pessoais para país estrangeiro ou, para 
algum organismo internacional do qual o país seja membro, 
como, por exemplo, a Organização das Nações Unidas – ONU, 
ou a Organização Internacional do Trabalho – OIT, entre outros. 
A necessidade de transferência de dados pessoais para país 
estrangeiro poderá ocorrer, por exemplo, em casos de aciden­
tes naturais (terremotos, furacões), ou eventos trágicos (queda 
de aeronaves, incêndios, ataques terroristas), para colaborar na 
identificação de vítimas.
Agentes de Tratamento
O controlador e o operador.
Controlador
Pessoa natural ou jurídica, de direito público ou privado, a quem 
competem as decisões referentes ao tratamento de dados pessoais. 
Operador
Pessoa natural ou jurídica, de direito público ou privado, que reali­
za o tratamento de dados pessoais em nome do controlador. 
DPO Sigla para Data Protection Officer – 
pronuncia-se dipiou:
Expressão em inglês que significa a pessoa designada na 
empresa para ser o responsável (diretor ou gerente) pela 
proteção de dados.
Observação
A LGPD permitiu expressamente 
que o controlador e o 
operador sejam pessoas 
jurídicas – ou seja, empresas 
contratadas para exercerem 
essa atividade – e não vedou 
expressamente que sejam a 
mesma pessoa (natural ou 
jurídica) para exercer as duas 
tarefas ao mesmo tempo.
24
UNIDADE 2
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Encarregado
Pessoa indicada pelo controlador e operador para atuar como 
canal de comunicação entre o controlador, os titulares dos 
dados e a Autoridade Nacional de Proteção de Dados (ANPD). O 
 encarregado poderá ser pessoa natural ou jurídica e não é preciso 
que seja uma pessoa com poderes específicos apenas para isso; 
pode ser alguém que exerça outras atividades na empresa e que 
passe a exercer também essa. Pode ser uma empresa contratada 
para atuar como encarregado perante a Autoridade Nacional de 
Proteção de Dados (ANPD), que será uma espécie de agência 
reguladora da proteção de dados pessoais no Brasil.
Relatório De Impacto À Proteção De Dados Pessoais
Documentação do controlador que contém a descrição dos 
 processos de tratamento de dados pessoais que podem gerar 
riscos às liberdades civis e aos direitos fundamentais, bem como 
medidas, salvaguardas e mecanismos de mitigação de risco. Sendo 
o controlador o agente de tratamento de dados responsável pelas 
decisões, também será dele a responsabilidade pela construção do 
relatório de impacto à proteção de dados com o objetivo de des­
crever os processos utilizados para tratamento de dados pessoais, 
bem como todos as medidas adotadas para prevenir a ocorrência 
dos riscos a que os bancos de dados estão sujeitos. 
Órgão De Pesquisa
Órgão ou entidade da administração pública direta ou indireta ou 
pessoa jurídica de direito privado sem fins lucrativos legalmente 
constituída sob as leis brasileiras, com sede e foro no País, que 
inclua em sua missão institucional ou em seu objetivo social ou 
estatutário a pesquisa básica ou aplicada de caráter histórico, 
cientí fico, tecnológico ou estatístico.
Autoridade Nacional
Órgão da administração pública responsável por zelar, imple­
mentar e fiscalizar o cumprimento desta Lei em todo o território 
nacional. É o órgão federal que terá a incumbência de regular e 
fiscalizar o tratamento de dados no Brasil, inclusive para aplicar 
as sanções previstas na LGPD. Sua composição, organização 
e funcionamento será bastante semelhante ao das agências ou 
superintendências que já atuam no país, como a Agência Nacional 
de Saúde Suplementar ­ ANS ou, a Superintendência de Seguros 
Privados – SUSEP.
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 25UNIDADE 3
 ■ Conhecer os requisitos 
para tratamento de dados 
pessoais.
Após ler esta unidade, você deverá ser capaz de: TÓPICOS 
DESTA UNIDADE
⊲ REQUISITOS PARA TRATAMENTO 
DE DADOS PESSOAIS
⊲ COMPARTILHAMENTO DE 
DADOS PESSOAIS
03
 ■ Entender como 
deverá ocorrer o 
compartilhamento de 
dados pessoais.
DADOS 
PESSOAIS –
REQUISITOS para TRATAMENTO e 
COMPARTILHAMENTO de DADOS
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 26
UNIDADE 3
Dois importantes aspectos são regulados pela LGPD: os requisitos para 
tratamento de dados pessoais e a possibilidade de compartilhamento 
de dados.
 REQUISITOS PARA 
 TRATAMENTO DE 
 DADOS PESSOAIS 
A LGPD estabeleceu que os dados pessoais só poderão ser tratados 
por uma pessoa natural ou jurídica, pública ou privada, em situações 
 específicas, que são:
 ■ Mediante o fornecimento de consentimento pelo titular dos 
dados; 
 ■ Para cumprimento de obrigação legal ou regulatória pelo 
controlador; 
 ■ Pela administração pública, para o tratamento e uso compar-
tilhado de dados necessários à execução de políticas públicas 
previstas em leis e regulamentos ou respaldadas em contratos, 
convênios ou instrumentos congêneres;
 ■ Para a realização de estudos por órgãos de pesquisa, garanti-
da, sempre que possível, a anonimização dos dados pessoais;
 ■ Quando necessário para a execução de contrato ou de procedi-
mentos preliminares relacionados a contrato do qual seja parte 
o titular dos dados pessoais, a pedido deste;
27
UNIDADE 3
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
 ■ Para o exercício regular de direitos em processo judicial, 
administrativo ou arbitral, esse último nos termos da Lei de 
Arbitragem;
 ■ Para a proteção da vida ou da incolumidade física do titular ou 
de terceiro;
 ■ Para a tutela da saúde, exclusivamente, em procedimento 
realizado por profissionais de saúde, serviços de saúde ou de 
autoridade sanitária;
 ■ Quando necessário para atender aos interesses legítimos do 
controlador ou de terceiro, exceto no caso de prevalecerem 
direitos e liberdades fundamentais do titular que exijam a pro-
teção dos dados pessoais;
 ■ Para a proteção do crédito, em consonância com a legislação 
existente sobre o assunto.
A utilização de dados pessoais fora dessas hipóteses estará em confronto 
com a legislação e, certamente, ensejará sanções e indenizações por 
responsabilidade.
Algumas dessas hipóteses são especialmente importantes para as ativida­
des de seguros privados, como, por exemplo:
Mediante o fornecimento de 
consentimento pelo titular dos dados
Todos os segurados deverão consentir expressamente com a 
 utilização de seus dados pessoais pelo corretor de seguros e pelo 
segurador. Esse consentimento deverá estar expresso desde o 
primeiro contato que, quase sempre, é o preenchimento físico ou 
digital da proposta de seguros, momento em que já são fornecidos 
dados como nome, endereço, estado civil, número de documentos 
de identidade, gênero, existência de filhos, profissão, entre outros.
Para cumprimento de obrigação 
legal ou regulatória pelo controlador
O setor de seguros é regulado e se obriga a cumprir as determi­
nações emanadas de seus órgãos regulatórios (SUSEP, BANCO 
CENTRAL, CVM, ANS, ANVISA). Sempre que um desses órgãos 
reguladores obrigar o tratamento e guarda de dados pessoais de 
segurados em geral, pessoas politicamente expostas, corretores 
de seguro ou prestadores de serviços em geral, isso poderá ser 
feito porque estará em conformidade com a LGPD.
28
UNIDADE 3
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Quando necessário para a execução de contrato 
ou de procedimentos preliminares relacionados 
a contrato do qual seja parte o titular dos 
dados pessoais, a pedido deste
Na contratação de seguros desde o momento preliminar, 
 apresentação da proposta, é necessário obter dados pessoais 
e analisa­los, na medida em que eles são a base para cálculo de 
prêmios que deverão ser pagos pelo segurado. Assim, tanto nos 
procedi mentos preliminares como na execução dos contratos, 
os dados de pessoas naturais são essenciais para a operação de 
 seguros e a LGPD autoriza que sejam tratados por corretores de segu­
ro, seguradoras e resseguradoras, sempre que isso seja necessário.
Para o exercício regular de direitos em processo 
judicial, administrativo ou arbitral, esse último 
nos termos da Lei de Arbitragem
Estabelecido um conflito entre segurados, corretores de seguro, 
seguradores ou resseguradores, o caminho para a solução pode 
ser o processo judicial, administrativo (na esfera dos PROCONS, 
por exemplo), ou, arbitral (quando regido pela Lei de Arbitragem). 
Nessas situações, os dados pessoais poderão ser utilizados, 
 principalmente se forem essenciais para a prova da conduta 
 regular do corretor, segurador ou ressegurador. Por exemplo – 
uma pessoa no momento do preenchimento da proposta para 
contratação do seguro de automóvel informa que não tem filhos. 
Meses depois, o veículo tem perda total em decorrência de um 
acidente quando era guiado pelo filho do segurado, de 22 anos 
de idade. O segurador nega o pagamento da indenização e se 
estabelece um conflito entre as partes. O segurado ingressa em 
juízo para decidir o conflito e o segurador, ao se defender, exibe a 
proposta na qual constam dados pessoais do proponente, inclusi­
ve a resposta negativa quando perguntado sobre a existência de 
filhos. O mesmo pode acontecer com habitualidade em conflitos 
envolvendo seguros de pessoas (vida e acidentes pessoais), de 
saúde e em contratos de previdência complementar.
Para a tutela da saúde, exclusivamente, em 
procedimento realizado por profissionais de 
saúde, serviços de saúde ou de autoridade sanitária
As operadoras de saúde são detentoras de dados pessoais de 
seus usuários e beneficiários e poderão ser chamadas a apre­
sentar esses dados quando isso for imprescindível para a tutela 
da saúde deles. Por exemplo: o segurado possuía um plano de 
saúde com uma seguradora e residia no Mato Grosso do Sul. Foi 
trabalhar em outra empresa, ingressou em novo plano de saúde e 
mudou de cidade. Em razão de uma doença da qual foi acometido, 
29
UNIDADE 3
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
o plano de saúde atual, através de seu diretor médico responsável, 
solicita que o plano de saúde anterior informe um tipo específico 
de tratamento a que o usuário teria se submetido (realização de 
um procedimento para doença coronariana) para que seja possível 
dar continuidade a um tratamento ao qual ele está sendo sub­
metido, provavelmente decorrente do problema cardíaco que o 
usuário teve no passado. Nessas circunstâncias, a lei permite que 
a informação de dados pessoais seja compartilhada com objetivo 
exclusivo de proteger a saúde do usuário.
Quando necessário para atender aos interesses 
legítimos do controlador ou de terceiro, exceto 
no caso de prevalecerem direitos e liberdades 
fundamentais do titular que exijam a proteção 
dos dados pessoais
O controlador é a pessoa a quem competem as decisões 
 referentes ao tratamento de dados pessoais. Em algumas 
 ocasiões, poderá ser imputada responsabilidade civil decorrente 
de sua conduta, da qual ele terá que se defender, principalmen­
te, com objetivo de provar que agiu em conformidade com a 
lei. Nessas situações, ele poderá utilizar os dados pessoais no 
 interesse legitimo de se defender e comprovar que não pra-
ticou o ato que lhe é imputado. O mesmo poderá ocorrer em 
relação a terceiro que tiver objetivo de provar um interesse 
legítimo e para isso dependa de dados pessoais. Por exemplo: 
um médico de rede credenciada de seguradora de saúde que 
deseja provar que não agiu com erro médico ao ministrar um 
determinado medicamento para o paciente/usuário da segu­
radora alega que no prontuário do paciente não constava que 
ele era alérgico àquela substância. O paciente, por sua vez, 
alega que teria dito que era alérgico e por isso o medicamentoministrado pelo médico lhe trouxe complicações. A exibição do 
prontuário com todos os dados pessoais e mesmo com alguns 
dados sensíveis do paciente é a única forma de solucionar o 
problema adequadamente.
Para a proteção do crédito, em consonância com 
a legislação existente sobre o assunto
A proteção de crédito no Brasil está consolidada na Lei nº 8078, 
de 1990, que é o Código de Proteção e Defesa do Consumidor. Ele 
autoriza a existência de bancos de dados de crédito e regulamenta 
a forma como poderão atuar, sempre resguardada a dignidade dos 
consumidores, mesmo daqueles que possuem seu nome negati­
vado e que nem por isso poderão ser expostos de forma ilegal. 
Atualmente, existem bancos de dados negativos e positivos e tam­
bém é lícito operar com dados para formação do score ( pontuação) 
de crédito de cada pessoa física. No entanto, o tratamento de 
30
UNIDADE 3
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
dados de crédito deve ser feito em rigorosa consonância com o 
que dispõe a legislação, inclusive a LGPD, para que os bancos de 
dados não sejam responsabilizados por sua conduta.
 COMPARTILHAMENTO DE 
 DADOS PESSOAIS 
Em muitas situações cotidianas da vida empresarial, será necessário ou 
conveniente compartilhar dados pessoais. Para esses casos, a LGPD 
determina que o controlador que precisar comunicar ou compartilhar 
dados pessoais com outros controladores precisará obter o consenti-
mento específico do titular para essa finalidade, ressalvadas hipóteses 
em que a lei dispensa expressamente a necessidade de consentimento.
A LGPD estabelece também que o titular dos dados tem direito de saber 
sobre o compartilhamento e sua finalidade.
No setor de seguros privados, o compartilhamento de dados pessoais é 
feito de forma usual em muitas situações diferentes. Dados pessoais são 
compartilhados entre o corretor de seguros e o segurador; entre o segura­
dor e os prestadores de serviços (oficinas referenciadas, rede credenciada 
de prestadores de serviços de saúde, reguladores de sinistro terceirizados, 
advogados, entre outros); entre os prestadores de serviços (reguladores 
de sinistro e oficinas referenciadas; médicos e hospitais); e, também, entre 
empresas do mesmo grupo econômico para fins negociais.
Em todas essas hipóteses o compartilhamento deverá ser autorizado 
expressamente e informado ao titular de dados pessoais. 
Há um consentimento informado do titular de dados para utilização de 
seus dados para finalidades previstas na lei. No entanto, deve haver um 
consentimento informado específico para o compartilhamento de 
dados pessoais.
Isso não é um problema! Basta que existam campos para que o titular de 
dados assinale que autoriza o compartilhamento de dados pessoais para 
as finalidades negociais e para o compartilhamento. Isso pode ser feito 
com a colocação de um X em um campo próprio no preenchimento da 
proposta de seguro ou, ainda, na página digital de contratação de seguros 
para as empresas que atuam com distribuição direta.
Se esse sinal não for colocado, o programa não permitirá a continuidade 
da negociação, ou seja, ficará travado até que o titular de dados pessoais 
forneça seu consentimento expresso para tratamento e compartilhamento.
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 31
UNIDADE 
 ■ Compreender quais são 
os direitos dos titulares de 
dados pessoais.
Após ler esta unidade, você deverá ser capaz de: TÓPICOS 
DESTA UNIDADE
⊲ DIREITOS DO TITULAR 
 DE DADOS PESSOAIS
⊲ TÉRMINO DO TRATAMENTO 
 DE DADOS PESSOAIS
04
 ■ Identificar as hipóteses 
em que ocorre o término 
do tratamento de dados 
pessoais de acordo com a 
determinação da LGPD.
DIREITOS do TITULAR 
de DADOS PESSOAIS
e TÉRMINO do TRATAMENTO 
de DADOS PESSOAIS
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 32
UNIDADE 4
 DIREITOS DO TITULAR 
 DE DADOS PESSOAIS 
Sendo a lei para proteção de dados pessoais, existem direitos que o titular 
de dados pessoais possui e que deverão ser respeitados por todos os que 
atuam com tratamento de dados em todas as situações em que isso ocor­
ra. O princípio que rege esse direito é o do livre acesso, o que significa 
que o titular de dados poderá solicitar informações quantas vezes quiser, 
sem precisar justificar por qual razão está solicitando.
O direito mais importante que o titular de dados pessoais possui é o de ter 
acesso facilitado às informações sobre o tratamento de seus dados. 
E, ao solicitar informações, essas deverão ser prestadas de forma clara, 
adequada e ostensiva sobre:
Finalidade específica do tratamento
Objetivo que motivou o tratamento dos dados.
Forma e duração do tratamento, observados os 
segredos comercial e industrial
De que maneira esses dados serão tratados e durante quanto 
 tempo. O responsável pelo tratamento poderá preservar os segre­
dos comercial e industrial de sua atividade. Porém, precisa informar 
que instrumentos vai utilizar para tratamento de dados.
Identificação do controlador
Quem é o responsável pelas decisões.
Informações de contato do controlador
Que forma de contato o titular de dados pessoais poderá ter com 
o controlador (acesso por telefone, por endereço eletrônico, por 
aplicativo de mensagens, entre outros). 
33
UNIDADE 4
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Informações acerca do uso compartilhado de dados 
pelo controlador e a finalidade
É preciso deixar claro se há compartilhamento de dados, com 
quem e com qual finalidade. 
Responsabilidades dos agentes que realizarão o 
tratamento 
Quem serão os responsáveis pelo tratamento dos dados pessoais. 
Direitos do titular
A LGPD tem um artigo específico, o 18, para tratar de direitos dos 
titulares de dados pessoais. Sempre que o titular de dados pessoais 
fizer contato com o controlador da empresa que trata seus dados 
pessoais, terá direito a receber informações sobre o conjunto de 
direitos elencados no artigo 18 da LGPD. O objetivo é que os agen­
tes de dados da empresa (controlador e operador) e todos aqueles 
que trabalham na equipe estejam aptos a fornecer informações 
 corretas e a esclarecer sobre direitos do titular de dados pessoais.
A resposta à consulta feita pelo titular de dados pessoais deverá ser no sen­
tido de confirmar ou negar a existência de dados pessoais e deverá ser feita 
em formato simples, de forma imediata, por meio de declaração clara e com­
pleta que indique a origem dos dados e sua finalidade ou sua inexistência.
Além desses requisitos da maior importância, a LGPD determinou o prazo 
máximo de 15 (quinze) dias contados da data do requerimento do titular 
para que seja fornecida a resposta ou viabilizado o acesso aos dados. 
A falta de cumprimento desse prazo poderá ser nociva para as empresas 
que trabalham com tratamento de dados, razão pela qual é de fundamental 
importância que os fluxos administrativos sejam organizados para o seu 
correto cumprimento. 
A informação solicitada pelo titular de dados pessoais poderá ser fornecida 
por meio eletrônico, seguro e idôneo para essa finalidade; ou, ainda, na 
forma impressa. O responsável pelo tratamento de dados poderá decidir 
a melhor forma para prestar informações, sempre respeitados os limites de 
acessibilidade do titular de dados pessoais. Assim, se um titular de dados 
pessoais não possuir acesso a computador ou celular com acesso à rede 
mundial de computadores, o responsável pelo tratamento de dados não 
poderá fornecer informações por meio eletrônico, porque o titular não terá 
acesso à resposta. 
Nos casos em que o tratamento de dados pessoais teve origem no con-
sentimento do titular ou em um contrato, como ocorre nos contratos de 
seguros privados, o titular terá direito de solicitar cópia integral de seus 
dados pessoais respeitados os segredos comercial e industrial que 
fundamentam a operação da empresa que faz o tratamento dos dados. 
34
UNIDADE 4
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
De posse das informações sobre seus dados pessoais, o titularpoderá soli­
citar revisão de decisões tomadas com base em tratamento automatizado 
de dados pessoais que afetem seus interesses, inclusive aquelas que 
criaram seu perfil pessoal, profissional, de consumo, de crédito ou de 
aspectos de sua personalidade, conforme determina o artigo 20 da LGPD.
Na atualidade, muitas empresas têm utilizado legalmente a inteligência 
artificial, ou seja, programas de computadores que a partir da análise dos 
dados disponíveis podem definir algumas características de grupos ou de 
pessoas. Esses programas analisam dados de consumo, de opção por 
entretenimento (viagens ou lazer), dados de crédito e bancários e, com 
isso, criam perfis que serão utilizados para novos negócios a serem ofere­
cidos aos titulares dos dados pessoais ou para que não sejam oferecidas 
certas opções negociais em razão do resultado do perfil.
Se o titular de dados pessoais tiver elementos que permitam solicitar a 
mudança do perfil automatizado construído pela empresa de tratamento 
de dados, ele poderá solicitar que isso seja feito. Entretanto, essa mudan­
ça só poderá ser feita nos casos em que os perfis foram construídos de 
forma automatizada.
No artigo 18 da LGPD existe uma relação de direitos dos titulares de dados 
pessoais. São eles:
 ■ Confirmação da existência de tratamento de dados pessoais;
 ■ Acesso aos dados pessoais que estão sendo tratados;
 ■ Correção de dados incompletos, inexatos ou desatualizados;
 ■ Anonimização, bloqueio ou eliminação de dados desneces-
sários, excessivos ou tratados em desconformidade com o 
disposto na LGPD;
 ■ Portabilidade dos dados a outro fornecedor de serviço ou 
produto, mediante requisição expressa, de acordo com a regu-
lamentação que será criada pela Autoridade Nacional;
 ■ Eliminação dos dados pessoais tratados com o consentimento 
do titular, exceto nas hipóteses em que a LGPD prevê a conser-
vação dos dados (artigo 16);
 ■ Informação das entidades públicas e privadas com as quais o 
controlador realizou uso compartilhado de dados;
 ■ Informação sobre a possibilidade de não fornecer consenti-
mento e sobre as consequências da negativa;
 ■ Revogação do consentimento.
É importante lembrar que o titular de dados pessoais tem direito a 
 revogar seu consentimento e, nesse caso, o contrato de seguro 
 poderá ser rescindido, na medida em que as seguradoras depen-
35
UNIDADE 4
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
dem de dados pessoais para exercer corretamente sua atividade de 
 oferecer cobertura para riscos predeterminados. Se o titular não quiser 
informar dados pessoais relevantes para a operação de seguros privados 
ou, tendo informado, quiser revogar o consentimento, o contrato poderá 
ser rescindido de pleno direito porque esses dados pessoais são essen­
ciais para a configuração da extensão dos riscos e, consequentemente 
para a realização de cálculos atuariais.
Por essa razão é importante que os agentes de tratamento de dados 
 informem o titular dos dados pessoais sobre as consequências de não 
fornecer o consentimento para o tratamento de dados. Nos contratos 
de seguro privado, a consequência da não autorização para o tratamento 
de dados é a não realização do contrato ou sua rescisão, nos casos em 
que houver consentimento e posterior revogação do consentimento. 
Outro aspecto importante é que o titular dos dados pessoais não pode 
 abusar de seu direito de pedir informações sobre os dados pessoais 
que estão sendo tratados. É uma hipótese típica do artigo 187 do Código 
Civil brasileiro que determina que comete ato ilícito o titular de um direito 
que, ao exercê-lo, excede manifestamente os limites impostos pelo seu 
fim econômico ou social, pela boa-fé ou pelos bons costumes.
Se o titular de dados pessoais fizer consultas em número excessivo 
e desprovido de finalidade, poderá ser responsabilizado por seus atos 
com fundamento no disposto no Código Civil, ou seja, conduta abusiva no 
exercício de direitos.
O pedido para acesso aos dados pessoais poderá ser feito pelo próprio 
 titular ou por um representante legal e, será feita aos agentes de tratamento 
de dados. O requerimento feito pelo titular de dados pessoais ou seu 
representante legal não poderá ser cobrado, razão pela qual não poder 
ser solicitado de forma excessiva ou, sem finalidade.
Caso não haja atendimento imediato pelos agentes de tratamento de 
dados, o titular de dados pessoais ou seu representante poderá comunicar 
o fato a Autoridade Nacional de Proteção de Dados – ANPD – ou aos 
órgãos de proteção e defesa do consumidor pertencentes ao Sistema 
Nacional de Direito do Consumidor – SNDC, do Ministério da Justiça.
 TÉRMINO DO TRATAMENTO 
 DE DADOS PESSOAIS 
Determina a LGPD que o término do tratamento de dados pessoais ocorrerá 
nas seguintes hipóteses:
36
UNIDADE 4
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
a) Verificação de que a finalidade foi alcançada ou de que os 
dados deixaram de ser necessários ou pertinentes ao alcan-
ce da finalidade específica almejada – É o que acontece, por 
exemplo, quando os dados são obtidos para a finalidade de avaliar 
proposta de risco apresentada para a seguradora. Se a proposta 
não for aceita e se tornar contrato, os dados já terão cumprido sua 
finalidade e deverão ser descartados com a segurança devida.
b) Fim do período de tratamento – é o que acontece no encerra­
mento do contrato com período de vigência e sem prorrogação 
por vontade das partes.
c) Comunicação do titular sobre a revogação do consentimento 
para tratamento de dados pessoais. 
d) Determinação da autoridade nacional em razão de violação 
à LGPD.
Os dados pessoais poderão ser conservados nos casos em que seja 
necessário cumprir obrigação legal ou regulatória, o que será usual no 
setor de seguros privados que precisa atender normas de arquivamento 
da SUSEP e da ANS.
Em algumas situações específicas o controlador poderá manter os 
dados pessoais para uso exclusivo, sem acesso a terceiros, sem 
 compartilhamento e com os dados devidamente anonimizados. É o 
que pode acontecer, por exemplo, se as seguradoras ou corretores de 
seguro quiserem estudar dados pessoais para finalidades empresariais. 
Nesse caso, os dados podem ser estudados, mas sem identificação, 
 apenas de forma anonimizada.
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 37
UNIDADE 5
 ■ Conhecer as principais 
atividades previstas na 
LGPD para o encarregado 
pelo tratamento de dados 
pessoais.
 ■ Compreender as 
responsabilidades dos 
agentes de tratamento de 
dados pessoais.
Após ler esta unidade, você deverá ser capaz de: TÓPICOS 
DESTA UNIDADE
⊲ AGENTES DE TRATAMENTO
⊲ RESPONSABILIDADE DOS 
AGENTES DE TRATAMENTO 
DE DADOS PESSOAIS
⊲ SEGURANÇA NO 
TRATAMENTO DE DADOS
⊲ COMUNICAÇÃO IMEDIATA 
DE RISCOS OU DANOS
⊲ BOAS PRÁTICAS 
E GOVERNANÇA
05
 ■ Identificar o que a LGPD 
determina nos casos de 
risco ou dano ao titular dos 
dados pessoais.
 ■ Conhecer a importância de 
boas práticas e governança 
para os controladores 
e operadores de dados 
pessoais.
AGENTES de 
TRATAMENTO
de DADOS PESSOAIS e 
RESPONSABILIDADES
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 38
UNIDADE 5
 AGENTES DE 
 TRATAMENTO 
A LGPD determina que o controlador e o operador deverão manter registro 
das operações de tratamento de dados pessoais que realizarem, principal­
mente quando esse tratamento for fundamentado em legítimo interesse, 
como ocorre com o setor de seguros quando precisa manter dados pessoais 
arquivados para cumprimento de disposições do órgão regulador. 
As atividades de controlador e operador poderão ser objeto de relatório 
solicitado pela Autoridade Nacional de Proteção de Dados, inclusive em 
relação a dados sensíveis. O relatório deverá conter, entre outras informa­
ções, a descrição dos tipos de dados coletados, a metodologia utilizada 
para a coleta e para a garantia da segurança das informações e a análise 
do controlador com relação a medidas, salvaguardase mecanismos de 
mitigação de risco adotados.
O operador de tratamento de dados pessoais é a pessoa encarregada de 
realizar o tratamento em conformidade com as instruções do controlador, 
cabendo ao próprio controlador verificar se suas instruções estão sendo 
cumpridas e se elas estão adequadas à legislação.
Cabe ao controlador, ainda, indicar quem será o encarregado pelo trata­
mento de dados pessoais, disponibilizar sua identidade e informações de 
contato de forma pública preferencialmente no site do controlador. 
As principais atividades previstas na LGPD para o encarregado são:
a) Aceitar reclamações e comunicações dos titulares, prestar esclare­
cimentos e adotar providências;
b) Receber comunicações da autoridade nacional e adotar 
providências;
c) Orientar os funcionários e os contratados da entidade a respeito 
das práticas a serem tomadas em relação à proteção de dados 
pessoais; e
39
UNIDADE 5
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
d) Executar outras atribuições determinadas pelo controlador ou 
estabelecidas em normas complementares que venham a ser 
criadas principalmente pela Autoridade Nacional de Proteção de 
Dados – ANPD.
 RESPONSABILIDADE DOS 
 AGENTES DE TRATAMENTO 
 DE DADOS PESSOAIS 
Da atividade de controlador e encarregado decorrem responsabilidades e 
obrigação de reparar danos materiais e imateriais quando esses atingirem 
o titular de dados pessoais.
Danos materiais são aqueles que atingem o patrimônio e danos imateriais 
são os danos morais. Em ambas as hipóteses, eles poderão ser individuais 
ou coletivos.
As duas principais causas de danos para tratamento de dados pessoais 
são: deixar de observar as determinações da Lei Geral de Proteção de 
Dados e tratar dados sem segurança técnica adequada para a finalidade 
a que se destina.
Os agentes de tratamento de dados pessoais ou qualquer outra pessoa 
que trate dados pessoais autorizada por eles terá obrigação de garantir a 
segurança da informação em todas as fases, o que inclui responsabilidade 
mesmo após o término da finalidade que dava sustentação ao tratamento. 
No caso dos contratos de seguro, após o encerramento do período de 
vigência, persiste a responsabilidade pela segurança técnica dos dados 
pessoais dos segurados.
O operador de dados pessoais responderá solidariamente pelos danos 
que causar aos titulares nos casos em que comprovadamente não cumprir 
as determinações da lei ou as instruções do controlador. Este, por sua vez, 
quando estiver diretamente envolvido no tratamento de dados do qual 
resultaram danos para o titular, responderá solidariamente com o operador.
Responsabilidade solidária é um instituto de direito civil que determina que 
todos os responsáveis por uma obrigação respondem juntos por ela, sem 
divisão em relação ao credor; quando um deles quitar integralmente, terá 
direito de se ressarcir dos demais devedores solidários em relação às suas 
cota­partes. Assim, se o prejuízo for no valor de cem mil reais, controlador 
e agente serão responsáveis perante o titular de dados prejudicado por 
esse valor integral. Se o controlador efetuar o pagamento, terá direito de 
se ressarcir de cinquenta mil reais em relação ao agente.
40
UNIDADE 5
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
O titular de dados terá em seu benefício o instituto da inversão do ônus 
da prova nos termos do que já acontece na atualidade em decorrência 
da aplicação do Código de Defesa do Consumidor, Lei 8.078, de 1990. 
A inversão do ônus da prova não ocorrerá de forma automática, mas por 
determinação judicial quando o magistrado concluir que as alegações do 
titular de dados são verossímeis, houver comprovada hipossuficiência do 
titular, ou quando a produção da prova se mostrar excessivamente onerosa 
para o titular.
Não haverá responsabilidade em todas as situações comprovadas em que 
os agentes:
a) Não realizaram o tratamento de dados pessoais que lhes foi atribuído;
b) Embora tenham realizado o tratamento de dados pessoais, não 
ficou demonstrada a violação da LGPD; e
c) O dano alegado pelo titular de dados pessoais decorreu de sua 
ação exclusiva ou de terceiro que não tem nenhum relacionamento 
com os agentes de tratamento de dados pessoais, como por exem­
plo, um amigo, parente ou relacionamento comercial do titular de 
dados pessoais.
A segurança no tratamento de dados pessoais é ponto fundamental para 
que não ocorram hipóteses de responsabilidade a ser reparada por danos 
causados ao titular dos dados. Todos os dispositivos de segurança técnica 
deverão ser utilizados com a finalidade de proteger o tratamento de dados 
contra vazamento e outras possibilidades que causem prejuízos aos titulares.
 SEGURANÇA NO 
 TRATAMENTO DE DADOS 
A Lei Geral de Proteção de Dados – LGPD, determina que os agentes de 
tratamento – controlador e agente – deverão adotar as medidas de segu­
rança, técnicas e administrativas aptas para proteger os dados pessoais de 
acessos não autorizados e de situações acidentais ou ilícitas que possam 
causar destruição, perda, alteração, comunicação ou qualquer outra forma 
de tratamento inadequado ou ilícito.
Com objetivo de tornar o tratamento de dados pessoais sempre seguro 
para os titulares e agentes de tratamento, a Autoridade Nacional de 
 Proteção de Dados – ANPD, poderá determinar padrões técnicos mínimos 
aplicáveis à natureza das informações tratadas, em especial com relação 
aos dados pessoais sensíveis.
41
UNIDADE 5
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
 COMUNICAÇÃO IMEDIATA 
 DE RISCOS OU DANOS 
O controlador de tratamento de dados pessoais está obrigado por lei a 
comunicar a Autoridade Nacional de Proteção de Dados e o titular dos 
dados pessoais todos o incidente de insegurança que potencialmente 
possa causar riscos ou danos relevantes aos titulares.
Essa hipótese será aplicada apenas e tão somente às situações em que os 
riscos ou danos sejam relevantes, ou seja, de importância comprovada, 
como acontece com os vazamentos de dados ou, o acesso indevido, 
 aquele realizado por pessoas não autorizadas.
A LGPD estabelece que a comunicação deverá ser feita em um prazo 
razoável e embora não haja estipulação do prazo em dias ou horas, é 
possível interpretar que ele deva ser definido para cada situação concreta 
e aplicado sempre com critério de maior brevidade possível para trans­
missão da informação. Não tão rápido que a informação não seja segura e 
nem tão lento que não seja mais possível tomar providências próprias do 
gerenciamento de crise.
Ao prestar a informação a Autoridade Nacional de Proteção de Dados e ao 
titular dos dados pessoais sobre situações de risco ou de danos, deverão 
constar obrigatoriamente os seguintes dados:
 ■ A descrição da natureza dos dados pessoais afetados;
 ■ As informações sobre os titulares envolvidos;
 ■ A indicação das medidas técnicas e de segurança utilizadas 
para a proteção dos dados, observados os segredos comercial e 
industrial;
 ■ Os riscos relacionados ao incidente;
 ■ Os motivos da demora, no caso de a comunicação não ter sido 
imediata; e
 ■ As medidas que foram ou que serão adotadas para reverter ou 
mitigar os efeitos do prejuízo.
Ao ter conhecimento da informação sobre riscos, a Autoridade Nacional de 
Proteção de Dados – ANPD avaliará a gravidade do fato ocorrido. Essa ava­
liação levará em conta as medidas técnicas que tenham sido adotadas para 
tornar os dados ininteligíveis para terceiros não autorizados ao tratamento. 
Após a avaliação, a ANPD poderá determinar as seguintes providências:
a) Ampla divulgação do fato em meios de comunicação; e
b) Medidas para reverter ou mitigar os efeitos do incidente.
42
UNIDADE 5
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
 BOAS PRÁTICAS 
 E GOVERNANÇA 
A divulgação, em meios de comunicação de grande circulação, de riscos 
de vazamento de dados pessoais ou de acesso indevido ou as notícias 
publicadas a esse respeito constituem significativoabalo à reputação da 
empresa obrigada a adotar essas medidas. Na área de seguros, esse abalo 
reputacional fere o vínculo de confiança que é imprescindível para que o 
contratante escolha uma seguradora para proteger sua vida, sua saúde ou 
seu patrimônio.
Evitar os riscos aos dados pessoais é uma estratégia que todas as empresas 
que operam na área de seguros – seguradores, corretores de seguro, presta­
dores de serviços e outros – deverão adotar com especial atenção e cuidado. 
Para isso, a LGPD inseriu as boas práticas e a governança como impres­
cindíveis para os controladores e operadores de dados pessoais no âmbito 
de suas competências. As boas práticas e a governança terão regras cons­
truídas a partir da consideração sobre a natureza, o escopo, a finalidade 
e a probabilidade e a gravidade dos riscos e dos benefícios decorren-
tes de tratamento de dados do titular.
Determina a lei que as regras de boas práticas e de governança deverão 
estabelecer as condições de organização, o regime de funcionamento, 
os procedimentos, incluindo reclamações e petições de titulares, as 
normas de segurança, os padrões técnicos, as obrigações específicas 
para os diversos envolvidos no tratamento, as ações educativas, os 
mecanismos internos de supervisão e de mitigação de riscos e outros 
aspectos relacionados ao tratamento de dados pessoais.
O controlador de dados pessoais avaliará a estrutura, escala e volume 
de suas operações, bem como a sensibilidade dos dados tratados e a 
probabilidade e a gravidade dos riscos que poderão ser causados aos 
titulares de dados pessoais, para:
a) Implementar programa de governança em privacidade;
b) Demonstrar a efetividade de seu programa de governança em 
privacidade a pedido da ANPD ou de outra entidade responsável 
por promover o cumprimento de boas práticas ou códigos de con­
duta, os quais, de forma independente, promovam o cumprimento 
da LGPD.
As regras adotadas pela empresa para boas práticas e governança na 
área de proteção de dados pessoais deverão ser publicadas e atualizadas 
periodicamente e a Autoridade Nacional de Proteção de Dados poderá 
reconhecê­las e divulgá­las quando necessário.
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 43
UNIDADE 6
 ■ Conhecer as sanções aplicáveis em razão 
das infrações cometidas por falta de 
cumprimento da LGPD.
Após ler esta unidade, você deverá ser capaz de:
06
SANÇÕES 
APLICÁVEIS aos
AGENTES de TRATAMENTO 
de PROTEÇÃO de DADOS
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 44
UNIDADE 6
Determina a LGPD que em razão das infrações cometidas por falta de 
cumprimento da lei, os agentes de tratamento de dados pessoais ficarão 
sujeitos a sanções, que poderão ser:
Advertência
Com indicação de prazo para adoção de medidas corretivas.
Multa Simples
De até 2% (dois por cento) do faturamento da pessoa jurídi­
ca de direito privado, grupo ou conglomerado no Brasil no seu 
último exercício, excluídos os tributos, limitada, no total, a R$ 
50.000.000,00 (cinquenta milhões de reais) por infração.
Multa Diária
Observado o limite total acima.
Publicização da Infração
Após devidamente apurada e confirmada a sua ocorrência.
Bloqueio dos Dados Pessoais
A que se refere a infração até a sua regularização.
Eliminação dos Dados Pessoais
A que se refere a infração.
A ANPD promoverá processo administrativo que viabilize a ampla defesa 
dos agentes de tratamento de dados pessoais e só após o resultado dele é 
que serão aplicadas as sanções, de forma gradativa, isolada ou cumulativa 
e de acordo com as particularidades de cada caso concreto. 
Para fixação da sanção serão levados em conta, obrigatoriamente, os 
seguintes critérios:
45
UNIDADE 6
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
 ■ Gravidade e a natureza das infrações e dos direitos pessoais 
afetados;
 ■ Boa-fé do infrator;
 ■ Vantagem auferida ou pretendida pelo infrator;
 ■ Condição econômica do infrator;
 ■ A reincidência;
 ■ O grau do dano;
 ■ A cooperação do infrator;
 ■ A adoção de mecanismos de prevenção e minimização dos 
danos;
 ■ A política de boas práticas e governança;
 ■ A pronta adoção de medidas corretivas; e
 ■ A proporcionalidade entre a gravidade da falta e a intensidade 
da sanção.
É importante ressaltar que a LGPD não exclui a aplicação de sanções admi­
nistrativas, civis ou penais definidas no Código de Defesa do Consumidor 
e em outras leis específicas sobre o tema da proteção de dados pessoais. 
Essas sanções poderão ser cumuladas com aquelas aplicadas pela LGPD.
O valor arrecadado com as multas não se destina às vítimas de danos, mas 
sim ao Fundo de Defesa dos Direitos Difusos, que utiliza, para a efetivação 
de projetos de educação e proteção nas áreas de meio ambiente, direitos do 
consumidor, proteção do patrimônio cultural, artístico e histórico, entre outros.
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 46
UNIDADE 7
 ■ Conhecer a Autoridade Nacional de 
Proteção de Dados – ANPD e suas 
competência.
Após ler esta unidade, você deverá ser capaz de:
07
AUTORIDADE 
NACIONAL de
PROTEÇÃO de DADOS
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 47
UNIDADE 7
A AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD, 
é órgão da administração pública federal, vinculada à Presidência da 
 República, e terá várias competências. Entre elas destacamos:
 ■ Zelar pela proteção dos dados pessoais, nos termos da legislação;
 ■ Zelar pela observância dos segredos comerciais e industriais, 
observada a proteção de dados pessoais e do sigilo das informa­
ções quando protegido por lei ou quando a quebra do sigilo violar 
os fundamentos da LGPD;
 ■ Elaborar diretrizes para a Política Nacional de Proteção de Dados 
Pessoais e da Privacidade;
 ■ Fiscalizar e aplicar sanções em caso de tratamento de dados 
realizado em descumprimento à legislação, mediante processo 
administrativo que assegure o contraditório, a ampla defesa e o 
direito de recurso;
 ■ Promover na população o conhecimento das normas e das polí­
ticas públicas sobre proteção de dados pessoais e das medidas 
de segurança;
 ■ Promover e elaborar estudos sobre as práticas nacionais e interna­
cionais de proteção de dados pessoais e privacidade;
 ■ Estimular a adoção de padrões para serviços e produtos que facili­
tem o exercício de controle dos titulares sobre seus dados pessoais, 
os quais deverão levar em consideração as especificidades das 
atividades e o porte dos responsáveis;
 ■ Promover ações de cooperação com autoridades de proteção de 
dados pessoais de outros países, de natureza internacional ou 
transnacional;
48
UNIDADE 7
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
 ■ Dispor sobre as formas de publicidade das operações de tratamento 
de dados pessoais, respeitados os segredos comerciais e industriais;
 ■ Editar regulamentos e procedimentos sobre proteção de dados 
pessoais e privacidade, bem como sobre relatórios de impacto à 
proteção de dados pessoais para os casos em que o tratamento 
representar alto risco à garantia dos princípios gerais de proteção 
de dados pessoais previstos nesta Lei;
 ■ Editar normas, orientações e procedimentos simplificados e diferen­
ciados, inclusive quanto aos prazos, para que microempresas e 
empresas de pequeno porte, bem como iniciativas empresariais 
de caráter incremental ou disruptivo que se autodeclarem startups 
ou empresas de inovação possam adequar­se a esta Lei;
 ■ Garantir que o tratamento de dados de idosos seja efetuado de 
maneira simples, clara, acessível e adequada ao seu entendimento;
 ■ Deliberar, na esfera administrativa, em caráter terminativo, sobre a 
interpretação da LGPD, as suas competências e os casos omissos;
 ■ Comunicar às autoridades competentes as infrações penais das 
quais tiver conhecimento;
 ■ Implementar mecanismos simplificados, inclusive por meio ele­
trônico, para o registro de reclamações sobre o tratamento de 
dados pessoais em desconformidade com esta Lei.
A ANPD não está definida em lei como autarquia, mas poderá