E-book - Os Direitos dos Titulares de Dados

Prévia do material em texto

Unidade III
Os Direitos dos Titulares de Dados 
Lei Geral de 
Proteção de 
Dados Pessoais
Diretor Executivo 
DAVID LIRA STEPHEN BARROS
Gerente Editorial 
CRISTIANE SILVEIRA CESAR DE OLIVEIRA
Projeto Gráfico 
TIAGO DA ROCHA
Autoria 
RAIANNY LIMA BARROS INTERAMINENSE
SILVIA CRISTINA DA SILVA
 
AUTORIA
Raianny Lima Barros Interaminense
Silvia Cristina da Silva 
Olá. Somos Raianny Lima Barros Interaminense e Silvia Cristina da Silva. 
Eu, Raianny, sou formada em Direito pela Universidade de Ciências 
Sociais Aplicadas (Unifacisa) e especialista em Direito Tributário pelo Ins-
tituto Brasileiro de Estudos Tributários (IBET). Atualmente sou professora 
conteudista e advogada. Como jurista, atuo na área de Direito Tributário. 
Antes de me dedicar integralmente à advocacia privada, tive experiência 
na área de direito público, em virtude do período de estágio na Procura-
doria da Fazenda Nacional e no Ministério Público Estadual. Sou apaixo-
nada e entusiasta pelo direito e adoro transmitir minha experiência de vida 
àqueles que estão iniciando em suas profissões. 
Eu, Silvia, sou mestre interdisciplinar em Educação, Ambiente e 
Sociedade – UNIFAE e tenho participação docente e discente no mestrado 
em Análise do Discurso - Universidade Federal de Buenos Aires. Sou 
especialista em Investigação de Antecedentes em instituições públicas e 
privadas; especialista em Docência do Ensino Superior e Direito e Educação 
pela Faculdade Campos Elíseos; pós-graduanda em EAD pela Faculdade 
Campos Elíseos e graduada em Ciências Jurídicas e Sociais – UNIFEOB. 
Atuo como vice-diretora acadêmica na Agência Nacional de Estudos em 
Direito ao Desenvolvimento (ANEDD); docente e conteudista em diversas 
instituições educacionais para cursos de graduação e pós-graduação; 
elaboradora de questões para concursos públicos em várias organizadoras; 
degravadora, redatora, tradutora e intérprete da língua espanhola.
Por isso, fomos convidadas pela Editora Telesapiens a integrar seu 
elenco de autores independentes. Estamos muito felizes em poder ajudar 
você nesta fase de muito estudo e trabalho. Conte conosco!
ICONOGRÁFICOS
Olá. Esses ícones irão aparecer em sua trilha de aprendizagem toda vez 
que:
INTRODUÇÃO:
para o início do 
desenvolvimento de 
uma nova compe-
tência;
DEFINIÇÃO:
houver necessidade 
de se apresentar um 
novo conceito;
NOTA:
quando forem 
necessários obser-
vações ou comple-
mentações para o 
seu conhecimento;
IMPORTANTE:
as observações 
escritas tiveram que 
ser priorizadas para 
você;
EXPLICANDO 
MELHOR: 
algo precisa ser 
melhor explicado ou 
detalhado;
VOCÊ SABIA?
curiosidades e 
indagações lúdicas 
sobre o tema em 
estudo, se forem 
necessárias;
SAIBA MAIS: 
textos, referências 
bibliográficas e links 
para aprofundamen-
to do seu conheci-
mento;
REFLITA:
se houver a neces-
sidade de chamar a 
atenção sobre algo 
a ser refletido ou dis-
cutido sobre;
ACESSE: 
se for preciso aces-
sar um ou mais sites 
para fazer download, 
assistir vídeos, ler 
textos, ouvir podcast;
RESUMINDO:
quando for preciso 
se fazer um resumo 
acumulativo das últi-
mas abordagens;
ATIVIDADES: 
quando alguma 
atividade de au-
toaprendizagem for 
aplicada;
TESTANDO:
quando o desen-
volvimento de uma 
competência for 
concluído e questões 
forem explicadas;
SUMÁRIO
Obrigatoriedade do consentimento ...................................................10
Natureza e forma ........................................................................................................................... 10
Validade.................................................................................................................................................. 12
Vício e nulidade ................................................................................................................................ 14
Revogação e renovação ............................................................................................................. 15
Direito de acesso .........................................................................................19
Requisição de informações pelo titular .......................................................................... 21
Direitos correlatos do titular de dados pessoais ......................................................23
Direito à revisão de decisões automatizadas ..........................................24
Direito à retificação dos dados ..............................................................................................26
Direito da portabilidade ..........................................................................................27
Direito de informação das entidades públicas e privadas ...........28
Disposições acerca dos direitos do titular ....................................................................28
Anonimização, bloqueio e eliminação de dados ..........................31
Anonimização ..................................................................................................................................... 31
Bloqueio dos dados ......................................................................................................................35
Eliminação de dados .................................................................................................................. 36
Disposições aplicáveis à anonimização, bloqueio e eliminação de 
dados ....................................................................................................................................................... 38
Segurança e sigilo ..................................................................................... 40
Segurança da informação ........................................................................................................ 40
Incidentes de segurança .........................................................................................................44
7
UNIDADE
03
Lei Geral de Proteção de Dados Pessoais
8
INTRODUÇÃO
Com o avanço tecnológico e o aumento significativo do uso dos 
dados pessoais, viu-se a necessidade de proteger os direitos individuais 
dos titulares dessas informações. Frente a essa problemática, a Lei Geral 
de Proteção de Dados Pessoais trouxe o titular como protagonista, uma 
vez que este é o verdadeiro dono dos dados e, portanto, deve ter o efetivo 
controle sobre eles. 
Nesses termos, a LGPD estabeleceu direitos para o titular de dados 
pessoais, com o fito de assegurar a autodeterminação informativa. Mas 
quais são esses direitos? Qual foi o motivo de serem efetivados na referida 
Lei? Nesta unidade, iremos identificar todos esses direitos do titular, além 
de analisar a obrigatoriedade do consentimento, o direito de acesso, a 
anonimização, o bloqueio e a eliminação dos dados pessoais, segurança 
e sigilo. Vamos juntos embarcar nesse conhecimento!
Lei Geral de Proteção de Dados Pessoais
9
OBJETIVOS
Olá. Seja muito bem-vinda (o). Nosso propósito é auxiliar você no 
desenvolvimento das seguintes objetivos de aprendizagem até o término 
desta etapa de estudos:
1. Definir e aplicar o conceito de consentimento;
2. Entender o direito do titular ao acesso dos seus dados armazenados 
em sistemas de terceiros;
3. Discernir sobre os conceitos de anonimização, bloqueio, eliminação 
de dados e suas ocorrências;
4. Identificar as medidas de segurança, técnica e administrativa para 
o tratamento dos dados.
Então? Preparado para uma viagem sem volta rumo ao conhecimento? 
Ao trabalho! 
Lei Geral de Proteção de Dados Pessoais
10
Obrigatoriedade do consentimento 
INTRODUÇÃO:
Ao término deste capítulo você será capaz de compreender 
o conceito de consentimento e sua forma de aplicação no 
âmbito da proteção de dados pessoais. E então? Motivado 
para desenvolver essa competência? Vamos lá!
Cada vez mais os dados pessoais são necessários para o bom 
exercício dos negócios e políticas públicas, o que afetaos indivíduos 
que, enquanto donos das informações, se tornam vulneráveis diante das 
operações de tratamento dos dados (BIONI, 2019).
À vista disso, a Lei Geral de Proteção de Dados Pessoais buscou 
trazer o titular dos dados como protagonista, utilizando-se a regra 
da exigência de consentimento nas operações que envolvam essas 
informações pessoais. 
Desse modo, “o consentimento permaneceu sendo o elemento 
nuclear da estratégia regulatória da privacidade informacional”, sendo de 
extrema importância conhecer suas particularidades (BIONI, 2019, p. 188).
Natureza e forma 
O consentimento é um termo que já vem sendo utilizado pelo 
Direito Civil, mais precisamente pelo Direito do Consumidor, eis que com o 
advento das vendas on-line, viu-se a necessidade de haver uma proteção 
maior dos consumidores quanto aos contratos de adesão (FEGEILSON; 
SIQUEIRA, 2019).
Assim, por se tratar de uma exigência legal, o consentimento é um 
critério para verificar a legitimidade de determinado tratamento de dados 
pessoais. Noutros termos, deve-se observar se houve autorização do 
titular para a realização da operação com seus dados. 
Lei Geral de Proteção de Dados Pessoais
11
Figura 1 - Aspectos do consentimento
Verificação da 
legitimidade de 
determinado 
tratamento de 
dados pessoais
Consentimento
Fonte: Elaborado pelas autoras com base em Fegeilson e Siqueira, 2019, p. 123.
Ocorre que há discussão sobre a natureza do consentimento para 
fins de tratamento de dados pessoais. Especificadamente, são três as 
correntes acerca do tema, as quais são perfeitamente explicadas por 
Fegeilson e Siqueira (2019):
(i) uma que estabelece a natureza do consentimento como 
declaração de vontade negocial; (ii) outra que entende que 
se trata de um ato jurídico unilateral sem natureza negocial; 
e (iii) a última que vislumbra o consentimento como um ato 
que se assemelha ao negócio jurídico sem o ser. (FEGEILSON; 
SIQUEIRA, 2019, p. 102)
Como se vê, aqueles que defendem a natureza de ato jurídico 
unilateral sem natureza negocial, entendem que o consentimento não 
deve ser incluído no âmbito contratual, em razão de seus elementos de 
personalidade (FEGEILSON; SIQUEIRA, 2019).
Por outro lado, Fegeilson e Siqueira (2019) pontuam que há quem 
defenda a natureza do consentimento como o ato que se assemelha com 
o negócio jurídico. Isso porque acreditam que se trata de uma figura atípica, 
visto que possui tanto características negociais quanto personalíssimas.
Nesse último caso, poderia haver aplicação das normas contratuais, 
por se defender que o consentimento teria a mesma função da declaração 
de vontade, prevista no artigo 107 do Código Civil (BRASIL, 2002).
Ato jurídico consiste em “um fato jurídico com elemento volitivo e 
conteúdo lícito”, ao passo que negócio jurídico é o “ato jurídico em que há 
uma composição de interesses das partes com uma finalidade específica” 
(TARTUCE, 2020, p. 346-347).
Lei Geral de Proteção de Dados Pessoais
12
De mais a mais, nos termos do artigo 8º da Lei Geral de Dados 
Pessoais, o consentimento deve ser “fornecido por escrito ou por outro 
meio que demonstre a manifestação de vontade do titular” e, caso seja por 
escrito, deve constar em uma cláusula contratual destacada, conforme o 
§1º desse dispositivo (BRASIL, 2018b).
Logo, é notório que o consentimento deve ser fornecido de forma 
expressa e clara, a fim de que seja demonstrada com transparência a 
vontade do titular dos dados pessoais.
Assim, compreendida a natureza e forma do consentimento, passa-
se a analisar a validade deste.
Validade
Primeiramente, deve-se atentar para a definição do termo consen-
timento trazida pela Lei Geral de Proteção de Dados Pessoais, em seu 
artigo 5º, inciso XII.
O consentimento é a “manifestação livre, informada e inequívoca 
pela qual o titular concorda com o tratamento de seus dados pessoais 
para uma finalidade determinada”, nos termos do art. 5º, XII, LGPD (BRASIL, 
2018b).
Partindo desse conceito, conclui-se que o consentimento deve ser 
livre, informado, inequívoco e ter uma finalidade determinada para que 
possa ser considerado válido. Mas o que significa cada termo?
Quando se fala em manifestação informada, quer dizer que o titular 
dos dados deve ser comunicado sobre “as consequências e riscos da sua 
anuência, assim como os detalhes acerca de quais dados pessoais estão 
sendo coletados, de quais as finalidades do tratamento e das obrigações 
e direitos decorrentes de seu aceite” (FEGEILSON; SIQUEIRA, 2019, p. 104). 
Por sua vez, o consentimento livre consiste naquele “fornecido 
mediante escolha autônoma e consciente”, ou seja, sem nenhum tipo de 
coação, é o titular que, por sua própria vontade, autoriza o uso de seus 
dados pessoais (FEGEILSON; SIQUEIRA, 2019, p. 104).
Lei Geral de Proteção de Dados Pessoais
13
No caso de uma relação entre empregado e empregador, em que 
há subordinação, é possível que o funcionário se sinta coagido a dar seu 
consentimento, com receio de sofrer alguma advertência ou demissão. 
Por isso que a LGPD se preocupou em estabelecer que o consentimento 
deve ser livre.
Ademais, todas as informações acerca do tratamento dos dados 
devem ser claras e precisas, isto é, de forma inequívoca, de modo que 
o titular compreenda todos os aspectos da operação que pretende ser 
realizada com seus dados, em conformidade com o que dispõe o art. 9º 
da LGPD, observe:
Art. 9º O titular tem direito ao acesso facilitado às informações 
sobre o tratamento de seus dados, que deverão ser disponi-
bilizadas de forma clara, adequada e ostensiva acerca de, en-
tre outras características previstas em regulamentação para o 
atendimento do princípio do livre acesso. (BRASIL, 2018b)
Figura 2 - Informações sobre tratamento dos dados
Clareza
Precisão
Tratamento de 
dados
Inequívoca
Fonte: Elaborado pelas autoras com base em Brasil, 2018b.
Por fim, cabe registrar que todo tratamento de dado pessoal deve 
apresentar uma finalidade determinada, eis que “qualquer declaração de 
vontade deve ter um direcionamento, já que não se consente no vazio e 
de forma genérica” (BIONI, 2019, p. 248).
Além do mais, os dados pessoais não podem ser utilizados sem 
limites, uma vez que se deve proteger os direitos individuais dos seus 
titulares. Partindo dessa premissa, iremos estudar os vícios e as nulidades 
do consentimento.
Lei Geral de Proteção de Dados Pessoais
14
Vício e nulidade
Tomando como base os critérios de validade do consentimento, a 
Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) estabeleceu 
as hipóteses em que este será considerado viciado ou nulo.
Nos casos em que houver dolo, coação ou erro, estará configurado 
o vício do consentimento, o que acarreta a proibição do tratamento de 
dados pessoais, nos termos do §3º do artigo 8º da referida Lei (BRASIL, 
2018b).
Por sua vez, tem-se o caso de nulidade previsto no §1º do art. 9º. 
Observe a redação do referido dispositivo:
§ 1º Na hipótese em que o consentimento é requerido, esse 
será considerado nulo caso as informações fornecidas ao 
titular tenham conteúdo enganoso ou abusivo ou não tenham 
sido apresentadas previamente com transparência, de forma 
clara e inequívoca. (BRASIL, 2018b)
Infere-se, portanto, que no caso de a informação acerca do 
tratamento do dado pessoal ser falsa ou ocultar algum aspecto da 
operação, será o consentimento declarado nulo e, desse modo, o dado 
pessoal não poderá ser utilizado.
IMPORTANTE:
Cabe frisar que todas as informações transmitidas para o 
titular dos dados devem ser claras, a fim de que ele possa 
compreender como se dará a operação, a finalidade desta 
e os riscos existentes.
Nesse contexto, em consonância com o princípio geral da finalidade, 
“o consentimento deverá referir-se a finalidades determinadas, e as 
autorizações genéricas para o tratamento de dados pessoais serão nulas”, 
nos termos do §4º do artigo 8º da Lei nº 13.709/2018 (BRASIL,2018b).
O princípio geral da finalidade consiste na “realização do tratamento 
para propósitos legítimos, específicos, explícitos e informados ao titular, 
Lei Geral de Proteção de Dados Pessoais
15
sem possibilidade de tratamento posterior de forma incompatível com 
essas finalidades”, conforme art. 6º, I da LGPD (BRASIL, 2018b).
Logo, no momento do consentimento, o titular deve ter 
conhecimento sobre as finalidades da coleta, uso e demais operações 
com seus dados pessoais, haja vista não ser possível o tratamento de 
dados sem uma finalidade pré-estabelecida.
Agora que já se sabe as causas de nulidade e de vício do 
consentimento, deve-se saber de quem é o ônus da prova, isto é, a quem 
cabe demonstrar que o consentimento é válido.
Nos termos do §2º do artigo 8º da Lei nº 13.709/2018, o ônus da 
prova cabe ao controlador, que é o agente responsável pela tomada 
de decisões do tratamento de dados pessoais. Desse modo, este deve 
provar que o consentimento ocorreu em conformidade com as regras da 
Lei Geral de Proteção de Dados Pessoais.
Figura 3 - Ônus da prova
ControladorÔnus da prova
Fonte: Elaborado pelas autoras com base em Brasil, 2018b.
Agora que já entendemos os casos de vício e nulidade do 
consentimento, bem como do ônus da prova, passa-se a estudar as 
hipóteses de revogação e renovação do consentimento.
Revogação e renovação
Reforçando a ideia de que a Lei Geral de Proteção de Dados Pessoais 
conferiu protagonismo ao titular, buscando alcançar a autodeterminação 
informativa, cujo objetivo é dar controle dos dados pessoais ao dono 
destes, a Lei trouxe as possibilidades de revogação e renovação do 
consentimento.
Nos termos do §5º do art. 8º da LGPD, o titular poderá revogar seu 
consentimento a qualquer momento. Veja:
Lei Geral de Proteção de Dados Pessoais
16
§ 5º O consentimento pode ser revogado a qualquer momento 
mediante manifestação expressa do titular, por procedimento 
gratuito e facilitado, ratificados os tratamentos realizados 
sob amparo do consentimento anteriormente manifestado 
enquanto não houver requerimento de eliminação, nos termos 
do inciso VI do caput do art. 18 desta Lei. (BRASIL, 2018b)
Ao que se depreende, o requerimento de revogação deve ser feito 
de forma expressa. Ressalte-se que houve o cuidado de fixar na Lei a 
necessidade de que esse pedido seja gratuito e facilitado, a fim de se 
evitar que o controlador apresente dificuldades para tentar impedir a 
revogação.
Outrossim, a norma estabelece que todos os tratamentos anteriores 
à revogação serão mantidos, haja vista que à época estavam assegurados 
pelo consentimento do titular. Nesse ponto, cumpre registrar que a 
revogação não precisa ser motivada (FEGEILSON; SIQUEIRA, 2019).
VOCÊ SABIA?
“No ordenamento alemão, o consentimento sempre pode ser 
revogado sem a necessidade de justificativa, sendo tratado 
como uma forma de controle não apenas preventivo, mas, 
também, posterior” (FEGEILSON; SIQUEIRA, 2019, p. 109).
Quanto à renovação do consentimento, é necessário recordar 
que o tratamento de dados pessoais não pode ser genérico, ou seja, 
precisa haver finalidades específicas. Nesse cenário, o titular dará o seu 
consentimento de acordo com tais fins determinados pelo controlador.
Ocorre que é possível que haja mudança na finalidade pretendida 
com a operação de dados pessoais e nesse caso o controlador será 
obrigado a informar ao titular sobre essas alterações, para que ele renove 
seu consentimento e, caso não concorde com as novas finalidades, peça 
a sua revogação.
Nesse sentido, tem-se o §6º do artigo 8º da LGPD. Observe a dicção 
do dispositivo:
Lei Geral de Proteção de Dados Pessoais
17
§ 6º Em caso de alteração de informação referida nos 
incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá 
informar ao titular, com destaque de forma específica do 
teor das alterações, podendo o titular, nos casos em que o 
seu consentimento é exigido, revogá-lo caso discorde da 
alteração. (BRASIL, 2018b)
Fica claro, portanto, que se insiste no princípio da transparência, 
constante no art. 6º, VI da LGPD (BRASIL, 2018b), em toda comunicação 
realizada com o titular, para que ele consiga compreender todos os 
aspectos da atividade de tratamento de dados pessoais e assim possa 
efetivamente tomar suas próprias decisões.
Note que o dispositivo faz menção aos casos em que o 
consentimento é exigido, uma vez que, como já visto, existem hipóteses 
em que a exigência da autorização prévia do titular é dispensada. 
SAIBA MAIS:
Relembre as hipóteses em que o consentimento não é 
exigido para o tratamento dos dados pessoais, lendo os 
incisos II a X do art. 7º e as alíneas constantes no inciso II do 
art. 11 da LGPD. Clique aqui para acessar. 
Quanto a esse ponto, cabe ressaltar que, mesmo nos casos em que 
o consentimento do titular é exigido, ele tem o direito de ser informado 
“sobre a possibilidade de não fornecer consentimento e sobre as 
consequências da negativa”, conforme preceitua o art. 18, VIII da Lei Geral 
de Proteção de Dados Pessoais (BRASIL, 2018b).
Por seu turno, o §2º do artigo 9º da Lei nº 13.709/2018 prevê que na 
hipótese de mudança de finalidade, o titular deve ser informado, dando a 
possibilidade deste revogar ou renovar o consentimento.
§ 2º Na hipótese em que o consentimento é requerido, se 
houver mudanças da finalidade para o tratamento de dados 
pessoais não compatíveis com o consentimento original, o 
controlador deverá informar previamente o titular sobre as 
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
18
mudanças de finalidade, podendo o titular revogar o consenti-
mento, caso discorde das alterações. (BRASIL, 2018b)
Como se vê, conferiu-se ao titular o pleno exercício de sua vontade 
quanto ao tratamento de seus dados pessoais, podendo este revogar ou 
renovar seu consentimento.
RESUMINDO:
E então? Gostou do que lhe mostramos? Aprendeu tudo? 
Agora, só para termos certeza de que você realmente 
entendeu o tema de estudo deste capítulo, vamos resumir o 
que vimos. Você deve ter aprendido que, em prol do controle 
do titular em relação aos seus dados pessoais, é exigido, 
em regra, consentimento deste para que seja autorizada 
a operação de tratamento de dados. Quanto à natureza 
desse consentimento, há discussão, especificamente se 
consiste em uma declaração de vontade negocial, em um 
ato jurídico unilateral sem natural negocial ou um negócio 
jurídico sem o ser. Você viu também que o consentimento 
deve ser expresso e claro. No que se refere à validade, 
estudou que deve ser o consentimento livre, inequívoco, 
informado e com finalidades determinadas. Nos casos de 
dolo, coação ou erro, haverá vício de consentimento, ao 
passo que na hipótese de serem oferecidas informações 
enganosas ou abusivas o consentimento será declarado 
nulo. Viu ainda que o ônus da prova da validade do 
consentimento é do controlador. Por fim, estudou que a 
qualquer tempo e sem necessidade de motivação, o titular 
dos dados pode revogar seu consentimento e, em caso de 
alteração das finalidades, deverá renová-lo.
Lei Geral de Proteção de Dados Pessoais
19
Direito de acesso
INTRODUÇÃO:
O direito de acesso é um dos mais relevantes direitos 
trazidos pela Lei Geral de Proteção de Dados Pessoais para 
a garantia da autodeterminação informativa. Neste capítulo 
iremos compreender todos os aspectos desse direito, bem 
como aqueles correlatos a este. Vamos lá!
O titular dos dados pessoais, como detentor do controle de suas 
informações, tem o direito ao acesso, o qual consiste na garantia de que 
ele terá ao seu alcance a obtenção de informações sobre seus dados e o 
referido tratamento conferido a estes.
Nesse sentido, a Lei nº 13.709/2018, em seu artigo 9º, determina 
os parâmetros necessários para o exercício do direito ao acesso. Confira 
a dicção legal:
Art. 9º O titular tem direito ao acesso facilitadoàs informações 
sobre o tratamento de seus dados, que deverão ser dispo-
nibilizadas de forma clara, adequada e ostensiva acerca de, 
entre outras características previstas em regulamentação para 
o atendimento do princípio do livre acesso:
I - finalidade específica do tratamento;
II - forma e duração do tratamento, observados os segredos 
comercial e industrial;
III - identificação do controlador;
IV - informações de contato do controlador;
V - informações acerca do uso compartilhado de dados pelo 
controlador e a finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento; 
e
VII - direitos do titular, com menção explícita aos direitos 
contidos no art. 18 desta Lei. (BRASIL, 2018b)
Lei Geral de Proteção de Dados Pessoais
20
Como se vê, o direito ao acesso se trata da efetivação ao princípio 
geral do livre acesso, cuja intenção é assegurar o conhecimento gratuito 
e facilitado sobre os dados ao seu titular, previsto no inciso IV do artigo 6º 
da Lei Geral de Proteção de Dados Pessoais.
Noutros termos, confere-se ao titular dos dados pessoais “o acesso 
às informações dos procedimentos pelo quais os seus dados estão 
submetidos e de quem está por traz desse tratamento” (FEGEILSON; 
SIQUEIRA, 2019, p. 110).
Mas não é só. O titular dos dados pessoais, em virtude do disposto 
no inciso VII do art. 9º, também deve ter pleno acesso ao conhecimento 
de seus direitos, constantes no art. 18 da LGPD, os quais estudaremos em 
momento oportuno.
Figura 4 - Direitos do titular dos dados pessoais
Pleno acesso ao 
conhecimento
Acesso gratuito 
aos dados
Direito de 
reivindcação 
Fonte: Elaborado pelas autoras com base em Brasil, 2018b.
Logo, é notória a preocupação da lei em não apenas estabelecer 
direitos ao titular, mas assegurar que eles tenham plena consciência 
sobre eles e, dessa forma, possam reivindicá-los.
SAIBA MAIS:
Para conhecer todos os direitos do titular elencados pela 
Lei Geral de Proteção de Dados Pessoais, leia o artigo 18. 
Clique aqui para acessar. 
Ademais, o referido dispositivo exige que o fornecimento das 
informações ocorra de forma simples e rápida, a fim de assegurar a 
compreensão do titular, em evidente conformidade com o princípio geral 
da transparência, consagrado pelo art. 6º, VI da LGPD (BRASIL, 2018b).
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
21
Cumpre consignar que a LGPD, em seu §3º do artigo 9º, estabeleceu 
a obrigação de comunicação ao titular nas hipóteses em que o tratamento 
de dados é necessário para fornecimento de produto ou serviço, veja:
§ 3º Quando o tratamento de dados pessoais for condição para 
o fornecimento de produto ou de serviço ou para o exercício 
de direito, o titular será informado com destaque sobre esse 
fato e sobre os meios pelos quais poderá exercer os direitos 
do titular elencados no art. 18 desta Lei. (BRASIL, 2018b)
Ao que se depreende, a Lei buscou enfatizar essas informações, 
em virtude da finalidade específica do tratamento dos dados pessoais, 
que está relacionada aos fins econômicos/comerciais.
IMPORTANTE:
Ressalta-se que o direito ao acesso dos dados foi reforçado 
pelo inciso II do art. 18, ao passo que o inciso I do mesmo 
artigo dispôs sobre o direito do titular de saber se seus 
dados estão sendo tratados (BRASIL, 2018b).
Dito isso e conhecendo o que se trata o direito ao acesso, assim 
como tendo em mente a motivação deste, passa-se a analisar a forma de 
efetivação do direito, por meio da requisição do titular dos dados.
Requisição de informações pelo titular
Você pode se perguntar como se dá a efetivação do direito ao 
acesso, ou seja, como o titular pode solicitar essas informações e se 
existem regras específicas sobre o tema, certo? 
Nesse ponto, a Lei Geral de Proteção de Dados Pessoais foi precisa 
ao estabelecer, em seu artigo 19, os meios pelos quais o titular poderá 
requisitar as informações e as regras atinentes a essa requisição.
Observe a redação do referido artigo:
Art. 19. A confirmação de existência ou o acesso a dados 
pessoais serão providenciados, mediante requisição do titular:
Lei Geral de Proteção de Dados Pessoais
22
I - em formato simplificado, imediatamente; ou
II - por meio de declaração clara e completa, que indique 
a origem dos dados, a inexistência de registro, os critérios 
utilizados e a finalidade do tratamento, observados os 
segredos comercial e industrial, fornecida no prazo de até 
15 (quinze) dias, contado da data do requerimento do titular. 
(BRASIL, 2018b)
Infere-se, portanto, que o titular deve requisitar as informações de 
seus dados de forma mais simplificada ou por declaração mais completa, 
na qual conste todos os aspectos dos dados e do tratamento, sendo 
importante mencionar que no último caso, o prazo para a disponibilização 
será de 15 (quinze) dias e o termo a quo é a data do requerimento.
Quanto ao prazo, a autoridade nacional pode regulamentá-lo de 
forma diversa para setores específicos, conforme dispõe o §4º do art. 19 
da LGPD (BRASIL, 2018b).
VOCÊ SABIA?
A legislação europeia sobre o tema, o GDPR, não fixou prazos 
para o fornecimento das informações, estabelecendo 
apenas o prazo de 1 (um) mês para o prosseguimento da 
requisição (FEGEILSON; SIQUEIRA, 2019).
Acerca do armazenamento e fornecimento dos dados, veja o que 
estabelece os parágrafos do art. 19 da LGPD:
§ 1º Os dados pessoais serão armazenados em formato que 
favoreça o exercício do direito de acesso.
§ 2º As informações e os dados poderão ser fornecidos, a 
critério do titular:
I - por meio eletrônico, seguro e idôneo para esse fim; ou
II - sob forma impressa.
Lei Geral de Proteção de Dados Pessoais
23
§ 3º Quando o tratamento tiver origem no consentimento do 
titular ou em contrato, o titular poderá solicitar cópia eletrô-
nica integral de seus dados pessoais, observados os segre-
dos comercial e industrial, nos termos de regulamentação da 
autoridade nacional, em formato que permita a sua utilização 
subsequente, inclusive em outras operações de tratamento. 
(BRASIL, 2018b)
Desse modo, torna-se clara a intenção da lei em estipular meios que 
facilitem o acesso do titular às informações sobre seus dados pessoais, as 
quais poderão ser disponibilizadas tanto por meio eletrônico quanto físico.
Vale salientar, ainda, que a LGPD buscou possibilitar a utilização dos 
dados do titular para outras operações, através da adoção de formato que 
permita isso.
O princípio do livre acesso, disposto no art. 6º, IV da LGPD, prevê que 
a consulta dos dados será gratuita. No entanto, “a legislação não é clara 
quanto ao ônus do fornecimento das informações no formato impresso, 
o que pode gerar uma dúvida sobre quem (agente ou titular) recairá este 
custo administrativo” (FEGEILSON; SIQUEIRA, 2019, p. 159).
Agora que já foi demonstrado o que é e como é efetivado o direito 
do titular de acesso aos dados, vamos estudar os demais direitos do 
titular, correlatos ao princípio do livre acesso.
Direitos correlatos do titular de dados 
pessoais
A Lei nº 13.709/2018 conferiu direitos importantes aos titulares dos 
dados pessoais, todos eles em prol da garantia da autodeterminação 
informativa, que consiste em dar o controle das informações aos donos 
dessas.
Em vista disso, o artigo 17 da LGPD estabelece que “toda pessoa 
natural tem assegurada a titularidade de seus dados pessoais e garantidos 
os direitos fundamentais de liberdade, de intimidade e de privacidade” 
(BRASIL, 2018b).
Lei Geral de Proteção de Dados Pessoais
24
Antes de adentrar no tema dos direitos elencados pelo capítulo III 
da LGPD, cumpre mencionar que a referida Lei, por toda a sua extensão 
fixou direitos aos titulares, como através dos fundamentos e princípios da 
proteção de dados pessoais.
SAIBA MAIS:
Para relembrar alguns direitos do titular, leia com atenção 
o art. 1º; o art. 2º, que elenca os fundamentos da Lei; e o 
art. 6º,que fixa os princípios gerais da proteção de dados 
pessoais, eis que todos os dispositivos referidos trazem 
direitos específicos dos titulares. Clique aqui para acessar.
Direito à revisão de decisões automatizadas
De início, cabe recordar que o tratamento dos dados pessoais, 
muitas vezes, ocorre através de processos automatizados, ou seja, sem 
intervenção humana. Em vista disso, é possível que haja defeitos ou 
decisões equivocadas sobre o titular.
Assim, por meio da formação de perfis pelo uso dos dados pessoais, 
pode-se enxergar os riscos das decisões automatizadas. Nesse ponto, 
elucidativa é a lição de Bioni (2019):
Muitas vezes, processos de decisões automatizados valem-
se desses perfis que não necessariamente identificam uma 
pessoa em específico, mas um grupo – grouping. É pelo fato 
de ela estar catalogada, inserida, referenciada ou estratificada 
nesse grupo que uma série de decisões serão tomadas a seu 
respeito, ainda que sem individualizá-la diretamente. (BIONI, 
2019, p. 114)
Frente a essa problemática, a Lei Geral de Proteção de Dados 
Pessoais concedeu ao titular o direito de revisão dessas decisões 
automatizadas, observe:
Art. 20. O titular dos dados tem direito a solicitar a revisão 
de decisões tomadas unicamente com base em tratamento 
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
25
automatizado de dados pessoais que afetem seus interesses, 
incluídas as decisões destinadas a definir o seu perfil pessoal, 
profissional, de consumo e de crédito ou os aspectos de sua 
personalidade. (BRASIL, 2018b)
Ao que se depreende, foi dada uma enorme proteção ao titular, 
eis que todo tratamento de dado pessoal que afete seu interesse próprio 
pode ser objeto de revisão.
Em outras palavras, “não se condiciona o exercício desse direito 
com base apenas em ‘perfil’ referente a uma ‘pessoa identificada’, mas 
todos aqueles que se valem de aspectos de sua personalidade e que 
afetem seus interesses” (BIONI, 2019, p. 115).
IMPORTANTE:
A Lei do Cadastro Positivo prevê, em seu artigo 5º, VI, no 
âmbito das formações de perfil, “que aquele que optasse 
por inserir suas informações em bancos de dados poderia 
obter revisão de decisões automatizadas sobre sua pessoa 
por um funcionário da instituição financeira” (FEGEILSON; 
SIQUEIRA, 2019, p. 160).
Por outro lado, a LGPD, em seus §§1º e 2º do art. 20, determinou 
a obrigação de serem dadas justificativas ao titular acerca das decisões 
automatizadas:
§ 1º O controlador deverá fornecer, sempre que solicitadas, 
informações claras e adequadas a respeito dos critérios e 
dos procedimentos utilizados para a decisão automatizada, 
observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que 
trata o § 1º deste artigo baseado na observância de segredo 
comercial e industrial, a autoridade nacional poderá realizar 
auditoria para verificação de aspectos discriminatórios em 
tratamento automatizado de dados pessoais. (BRASIL, 2018b)
Lei Geral de Proteção de Dados Pessoais
26
Como se vê, a Lei Geral de Proteção de Dados Pessoais (Lei nº 
13.709/2018) procurou tornar mais transparente o processo das decisões 
automatizadas, a fim de minimizar suas falhas e consequências sociais 
(FEGEILSON; SIQUEIRA, 2019).
VOCÊ SABIA?
No Brasil, o direito à explicação está presente na Lei do 
Cadastro Positivo, que dispõe sobre a possibilidade de 
o usuário requerer informações sobre o adimplemento 
e revisão de decisões automatizadas (FEGEILSON; 
SIQUEIRA, 2019).
Ademais, as informações dos titulares não podem ser utilizadas em 
seu prejuízo (art. 21), e a defesa de seus direitos pode ser feita judicialmente, 
através de ações individuais ou coletivas, conforme estabelece o art. 22 
da LGPD (BRASIL, 2018b).
Direito à retificação dos dados
Os titulares terão direito a retificar seus dados pessoais, ou 
seja, poderão solicitar a “correção de dados incompletos, inexatos ou 
desatualizados”, conforme preceitua o art. 18, III, da Lei Geral de Proteção 
de Dados Pessoais (BRASIL, 2018b).
Nos dizeres de Bioni (2019), “os direitos de acesso e retificação 
transitam na esfera pública e não na privada, na medida em que se busca 
apenas tutelar que o dado pessoal projete fidedignamente o seu titular” 
(BIONI, 2019, p. 127).
Em outras palavras, o direito à retificação dos dados pessoais tem 
o intuito de assegurar que as informações armazenadas e utilizadas pelo 
terceiro sejam a representação fiel da realidade, a fim de que todas as 
conclusões adquiridas com o tratamento desses dados estejam corretas.
Cumpre ressaltar que o referido direito é um reforço do princípio 
da qualidade dos dados pessoais, previsto no artigo 6º, V da Lei nº 
13.709/2018.
Lei Geral de Proteção de Dados Pessoais
27
Nessa linha, precisos são os ensinamentos de Bioni (2019):
Ao lado do princípio da qualidade dos dados, o direito de 
correção é uma construção que deriva da perspectiva da 
identidade do sujeito e não do direito à privacidade. É o primeiro 
direito de personalidade que determina a necessidade de 
haver uma correspondência fidedigna entre a pessoa e seus 
dados pessoais. A esfera do que é público ou privado revela-se 
incompleta para dar vazão a esse tipo de dinâmica normativa. 
(BIONI, 2019, p. 100)
O princípio geral da qualidade dos dados se refere à “garantia, aos 
titulares, de exatidão, clareza, relevância e atualização dos dados, de 
acordo com a necessidade e para o cumprimento da finalidade de seu 
tratamento”, de acordo com art. 6º, V da LGPD (BRASIL, 2018b).
Ora, se os dados estiverem incompletos, incorretos ou desatualiza-
dos, os agentes de tratamento iriam ter resultados equivocados sobre o 
titular, não é mesmo?
Fica clara, portanto, a importância desse direito do titular para a 
própria atividade de tratamento dos dados pessoais, uma vez que, na 
hipótese de os dados estarem incorretos, poderia haver incongruência do 
resultado da análise das informações.
Direito da portabilidade 
Outro direito do titular é o da portabilidade, que consiste na 
possibilidade de “portabilidade dos dados a outro fornecedor de serviço ou 
produto, mediante requisição expressa, de acordo com a regulamentação 
da autoridade nacional, observados os segredos comercial e industrial”, 
nos termos do art. 18, V da LGPD (BRASIL, 2018b).
Note que o dono dos dados pessoais deve requerer expressamente 
a portabilidade, sendo de grande valia ressaltar que quanto a esse tema, 
ainda haverá regulamentação por parte da ANPD.
Lei Geral de Proteção de Dados Pessoais
28
IMPORTANTE:
Por outro lado, esse direito não será aplicado aos “dados que 
já tenham sido anonimizados pelo controlador”, conforme 
previsão contida no §7º do art. 18 da Lei nº 13.709/2018 
(BRASIL, 2018b).
Direito de informação das entidades públicas e 
privadas 
Por fim, tem-se o direito do titular ser informado acerca “das 
entidades públicas e privadas com as quais o controlador realizou uso 
compartilhado de dados”, nos moldes do art. 18, VII da Lei Geral de 
Proteção de Dados Pessoais (BRASIL, 2018b).
Cabe frisar que se trata de “decorrência direta do princípio da 
transparência”, por isso garante aos titulares o conhecimento sobre 
todos os aspectos do tratamento de seus dados pessoais (FEGEILSON; 
SIQUEIRA, 2019, p. 157).
Disposições acerca dos direitos do titular
Nos moldes dos §§1º e 8º do art. 18 da LGPD, o titular terá 
resguardado o direito de petição contra o controlador perante a ANPD ou 
os órgãos do consumidor (BRASIL, 2018b).
Por outro lado, nos casos de descumprimento das normas 
estabelecidas pela Lei Geral de Proteção de Dados Pessoais, o titular 
poderá discordar de tratamento de seus dados, mesmo que não seja 
necessário o consentimento, conforme §2º do art. 18 da Lei.
A fim de obter a efetivação dos direitos estabelecidos pelo art. 18 da 
LGPD, o titular ou seu representante legal deveráapresentar requerimento 
ao agente de tratamento, sem custos ao titular, conforme dispõe os §§3º 
e 5º do referido artigo.
Lei Geral de Proteção de Dados Pessoais
29
Para os casos em que não seja possível atender ao requerimento do 
titular, a Lei nº 13.709/2018 trouxe a seguinte previsão:
§ 4º Em caso de impossibilidade de adoção imediata da 
providência de que trata o § 3º deste artigo, o controlador 
enviará ao titular resposta em que poderá:
I - comunicar que não é agente de tratamento dos dados e 
indicar, sempre que possível, o agente; ou
II - indicar as razões de fato ou de direito que impedem a 
adoção imediata da providência. (BRASIL, 2018b)
Logo, o controlador deve justificar o não atendimento do 
requerimento ao titular dos dados, expondo os motivos, a fim de manter 
a transparência exigida.
Lei Geral de Proteção de Dados Pessoais
30
RESUMINDO:
Neste capítulo você aprendeu que o direito ao acesso 
concedido aos titulares se refere à garantia de obtenção 
de informações sobre os dados e o tratamento desses. 
Viu que se trata da efetivação do princípio de livre acesso 
e também está relacionado ao fato de que o titular 
deve conhecer seus direitos, além de existir a obrigação 
de essas informações serem transmitidas de forma 
transparente. Estudou que o titular deve requisitar o acesso 
de forma simples ou completa e, nesse último caso, 
haverá um prazo de 15 (quinze) dias para o fornecimento 
das informações, salvo se a ANPD regulamentar de forma 
diversa. Ainda, viu que devem ser adotadas medidas para 
facilitar a consulta dos titulares. Outrossim, identificou os 
demais direitos do titular, que estão presentes por toda 
a LGPD, como nos fundamentos e nos princípios, mas 
também no art. 18. Analisou o direito de retificação dos 
dados; de portabilidade para outro fornecedor de serviço; 
de revisão e justificativa das decisões automatizadas e de 
informação sobre o uso compartilhado dos dados para 
entidades públicas e privadas. Você também aprendeu 
que os dados não podem ser utilizados em prejuízo do 
titular e que ele tem direito de petição para a ANPD ou 
órgãos do consumidor, além de ações coletivas ou 
individuais para buscar a efetivação de seus direitos. 
Também viu que o titular pode se opor ao tratamento de 
seus dados quando houver descumprimento das normas 
da LGPD, mesmo que não se trate de hipótese em que é 
exigido o consentimento. Por fim, viu que o titular pode 
requerer todos esses direitos ao agente de tratamento, 
sem custos, e deve receber justificativa caso não seja 
possível atender a seu requerimento.
Lei Geral de Proteção de Dados Pessoais
31
Anonimização, bloqueio e eliminação de 
dados 
INTRODUÇÃO:
Neste capítulo você irá discernir sobre os conceitos da 
anonimização, do bloqueio e da eliminação de dados 
pessoais, os quais são direitos do titular. Esse conhecimento 
é de grande valia para a aplicação da Lei Geral de Proteção 
de Dados Pessoais. Então? Está pronto para desenvolver 
essa competência? Vamos lá! 
Anonimização
A anonimização consiste no procedimento pelo qual os dados 
se desvinculam da pessoa natural a quem correspondem, isto é, as 
informações deixam de ser pessoais pelo fato de não mais poderem 
identificar indivíduos.
Na mesma perspectiva, Bioni explana:
Essa inaptidão pode ser fruto de um processo pelo qual é 
quebrado o vínculo entre o(s) dado(s) e seu(s) respectivo(s) 
titular(es), o que é chamado de anonimização. Esse processo 
pode se valer de diferentes técnicas que buscam eliminar tais 
elementos identificadores de uma base de dados, variando 
entre: a) supressão; b) generalização; c) randomização; e d) 
pseudoanonimização. (BIONI, 2019, p. 104)
É dizer, através da anonimização, que o dado que antes era pessoal 
se torna anônimo, ou seja, não se refere a uma pessoa natural. Veja 
que o referido autor expõe algumas técnicas que podem ser utilizadas 
para esse processo, como a supressão, generalização, randomização e 
pseudoanonimização.
A supressão ou generalização são consideradas por Bioni (2019) 
como a retirada de algumas informações a fim de afastar a identificação 
Lei Geral de Proteção de Dados Pessoais
32
das pessoas. Para o autor, a intenção é “gerenciar circunstancialmente a 
identificabilidade de uma base de dados” (BIONI, 2019, p. 105).
A fim de compreender melhor o processo de anonimização, observe 
os exemplos trazidos por Bioni (2019) sobre as técnicas de supressão e 
generalização.
a) supressão do CPF: por ser um identificador capaz de dife-
renciar até mesmo pessoas homônimas, sendo um identifica-
dor único; logo, a sua disponibilização, ainda que parcial – e.g., 
cinco primeiros dígitos –, não seria prudente; 
b) generalização do nome completo: constaria apenas o 
prenome, desde que fosse observado que os nomes da base 
de dados não são comuns. O objetivo é evitar que um nome 
possa ser atribuído a um indivíduo em específico; 
c) generalização da localização geográfica: em vez de 
disponibilizar o número completo do CEP, seriam divulgados 
apenas os seus primeiros dígitos. Assim, haveria uma 
localização menos detalhada, a fim de quebrar o vínculo de 
identificação desta informação com um sujeito; 
d) generalização da idade: em vez de divulgar a idade exata, 
seria divulgada a faixa etária para viabilizar a categorização 
dos indivíduos como jovens, adultos ou idosos (coluna “E”) 
e, por outro lado, inviabilizar a sua individualização, dado o 
universo de pessoas que se enquadram naquela mesma faixa 
etária. (BIONI, 2019, p. 105)
Infere-se, portanto, que independente do mecanismo utilizado no 
processo de anonimização, sempre deverá haver a análise de cada caso 
concreto, a fim de realizar o processo da melhor forma, de modo que o 
dado se torne anônimo e com poucas chances de reversão.
Cabe destacar que os dados anonimizados não são objeto de 
aplicação da LGPD, desde que não haja possibilidade de reversão e não 
sejam utilizados para formação de perfis, de acordo com o caput e §2º do 
art. 12 da LGPD (FEGEILSON; SIQUEIRA, 2019).
Lei Geral de Proteção de Dados Pessoais
33
Figura 5 - Processo de anonimização
Não são objeto da 
LGPD
Não pode haver 
reversão 
Não pode ser 
usado para a 
formação de perfis
Fonte: Elaborado pelas autoras com base em Bioni, 2019, p. 105.
Frise-se que no próprio art. 12, §1º a Lei Geral de Proteção de Dados 
Pessoais determina que devem ser considerados fatores como custo e 
tempo para reversão do processo de anonimização (BRASIL, 2018b).
Logo, a referida norma demonstra que os processos de anonimização 
podem ser revertidos e por esse motivo que a própria LGPD se preveniu 
acerca dessa reversibilidade (BIONI, 2019).
Nas palavras de Bioni:
Por essa lógica, qualquer dado pessoal anonimizado detém 
o risco inerente de se transmudar em um dado pessoal. A 
agregação de diversos “pedaços” de informação (dados) pode 
revelar (identificar) a imagem (sujeito) do quebra-cabeça, a 
qual era até então desfigurada (anônimo) – o chamado efeito 
mosaico. (BIONI, 2019, p. 109)
Seguindo a mesma linha, dispõem Fegeilson e Siqueira:
Nesse sentido, a grande questão cinge em torno do grau de 
segurança e confiança na irreversibilidade da anonimização. 
Isto porque inúmeros estudos vêm demonstrando como é 
fácil identificar pessoas a partir de alguns tributos, mesmo 
que os dados sejam públicos. O processamento de dados por 
algoritmos, por exemplo, permite a reidentificação de dados 
anonimizados como preferências de consumo, transações 
comerciais, etc. (FEGEILSON; SIQUEIRA, 2019, p. 155)
Nesse cenário, percebe-se a importância da adoção de medidas 
capazes de analisar o grau de reversão desses processos de anonimização, 
a fim de salvaguardar a proteção de dados pessoais e todos os direitos do 
titular conferidos pela LGPD, uma vez que, como visto, a norma não se 
aplica aos dados anonimizados.
Lei Geral de Proteção de Dados Pessoais
34
Compreendido todos os aspectos inerentes à anonimização,passa-se a analisar o art. 18, IV da LGPD, o qual traz um direito do titular, 
especificadamente o de requisitar ao controlador a anonimização 
quando “os dados forem desnecessários, excessivos ou tratados em 
desconformidade com o disposto nesta Lei” (BRASIL, 2018b).
IMPORTANTE:
Note que há um vínculo do referido direito ao princípio da 
necessidade, o qual determina que só devem ser utilizados 
os dados pessoais imprescindíveis para o alcance da 
finalidade do tratamento de dados, conforme preceitua o 
art. 6º, III da LGPD (BRASIL, 2018b).
Em outras palavras, foi conferido ao titular o direito de exigir 
a anonimização, de forma a desvincular os seus dados, que estão em 
posse de terceiro, de sua pessoa, nas hipóteses em que se verifique que 
há excesso, uso de dados que não são necessários para a finalidade do 
tratamento ou até mesmo quando a operação não obedeçe a LGPD.
Note que é concedido ao titular uma forma de proteção dos seus 
direitos individuais, como honra, imagem, privacidade. Além disso, a 
anonimização pode significar o impedimento de futuros vazamentos de 
dados pessoais do sistema do terceiro, entre outros casos de insegurança.
Ora, se existe desconformidade do tratamento com a LGPD, a 
probabilidade do mau uso dos dados, somada à ausência de medidas 
capazes de proteger essas informações, inclusive de crimes digitais, é 
alta. Logo, ao requisitar a anonimização, o titular se vê resguardado.
Vale ressaltar que em vários artigos da Lei Geral Proteção de Dados 
Pessoais, principalmente no que refere ao uso dos dados por órgãos 
de pesquisa e para estudos de saúde pública, existe o incentivo da 
anonimização, com o fito de proteger os dados dos titulares.
Lei Geral de Proteção de Dados Pessoais
35
SAIBA MAIS:
Para relembrar as disposições que incentivam o processo 
de anonimização, leia o art. 7º, IV; art. 11, II, c; art. 13 e art. 16, 
II da LGPD. Clique aqui para acessar. 
Dessa forma, a anonimização serve para proteger as informações 
pessoais, ao passo que possibilita o uso de dados pelas pessoas jurídicas, 
sem, contudo, haver associação desses com as pessoas naturais. Dito 
isso, passa-se a estudar o direito de bloqueio dos dados.
Bloqueio dos dados
A Lei Geral de Proteção de Dados Pessoais elencou em seu art. 18, 
IV, o direito de o titular requerer o bloqueio dos dados, veja:
Art. 18. O titular dos dados pessoais tem direito a obter do 
controlador, em relação aos dados do titular por ele tratados, 
a qualquer momento e mediante requisição:
IV - Anonimização, bloqueio ou eliminação de dados desne-
cessários, excessivos ou tratados em desconformidade com o 
disposto nesta Lei. (BRASIL, 2018b)
De início, o que se pode entender por bloqueio de dados pessoais? 
Nos termos do art. 5º, XIII da LGPD, bloqueio é a “suspensão 
temporária de qualquer operação de tratamento, mediante guarda do 
dado pessoal ou do banco de dados” (BRASIL, 2018b).
Assim, o titular poderá solicitar a suspensão de uso de seus dados 
pessoais, no caso destes serem excessivos, desnecessários ou quando 
o tratamento não observar as normas da Lei Geral de Proteção de Dados 
Pessoais.
Cabe destacar que se trata de uma medida temporária, que pode 
ser revertida com a anuência do titular dos dados, sendo de grande valia 
ressaltar que o bloqueio é um reforço do princípio da necessidade, cujo 
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
36
objetivo é assegurar o uso apenas dados necessários ao atingimento da 
finalidade da operação, constante no art. 6º, III da LGPD (BRASIL, 2018b).
Agora que já compreendemos o direito do titular de bloqueio dos 
dados, iremos estudar a possibilidade de eliminação dos dados pessoais.
Eliminação de dados 
Inicialmente, cabe informar que o artigo 18 da Lei Geral de Proteção 
de Dados Pessoais trouxe duas hipóteses de eliminação dos dados 
pessoais, constantes em seus incisos IV e VI.
A primeira delas (art. 18, IV) tem como fundamento a existência de 
dados “desnecessários, excessivos ou tratados em desconformidade com 
o disposto nesta Lei” (BRASIL, 2018b).
Como se vê, autoriza-se a eliminação dos dados quando forem 
utilizados dados desnecessários, ou seja, informações que não são 
necessárias para a finalidade do tratamento.
Em vista disso, é evidente que a referida norma é mais um reforço 
do princípio geral da necessidade, previsto no art. 6º, III da LGPD, que 
preceitua que só devem ser coletados e utilizados dados imprescindíveis 
para o alcance da finalidade da operação.
Mas não é só. O disposto no art. 18, IV, da Lei nº 13.709/2018 também 
é aplicado para os casos de término do tratamento, conforme previsão 
expressa contida no art. 16 da Lei. Observe:
Art. 16. Os dados pessoais serão eliminados após o término de 
seu tratamento, no âmbito e nos limites técnicos das atividades, 
autorizada a conservação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo 
controlador;
II - estudo por órgão de pesquisa, garantida, sempre que 
possível, a anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os 
requisitos de tratamento de dados dispostos nesta Lei; ou
Lei Geral de Proteção de Dados Pessoais
37
IV - uso exclusivo do controlador, vedado seu acesso por 
terceiro, e desde que anonimizados os dados. (BRASIL, 2018b)
Logo, “não só quando o tratamento for ilícito, mas também quando 
houver seu término, sempre em conformidade com o preceituado no art. 
16 que apenas autoriza a conservação dos dados para as finalidades nele 
descritas” (FEGEILSON; SIQUEIRA, 2019, p. 155).
Compreendidas essas questões, o que se entende por eliminação 
de dados?
A eliminação de dados consiste na “exclusão de dado ou de conjunto 
de dados armazenados em banco de dados, independentemente do 
procedimento empregado”, de acordo com o art. 5º, XIV da LGPD (BRASIL, 
2018b).
Ao que se vê, a eliminação dos dados se trata de uma medida 
definitiva, ou seja, não há como reverter a exclusão das informações de 
um banco de dados.
Por sua vez, o art. 18, VI da Lei nº 13.709/1990 traz a segunda 
hipótese de eliminação dos dados pessoais. Atente-se para a sua redação:
Art. 18. O titular dos dados pessoais tem direito a obter do 
controlador, em relação aos dados do titular por ele tratados, 
a qualquer momento e mediante requisição:
VI - eliminação dos dados pessoais tratados com o consenti-
mento do titular, exceto nas hipóteses previstas no art. 16 des-
ta Lei;
Note que o dispositivo é claro ao determinar que esse caso de 
eliminação dos dados pessoais não se confunde com o art. 16 da LGPD, o 
qual se refere ao término do tratamento dos dados pessoais. 
Desse modo, nos casos em que é exigido o consentimento do titular 
para o tratamento dos dados, ele poderá revogá-lo e solicitar a eliminação 
de seus dados pessoais.
Agora que estudamos as hipóteses de eliminação dos dados, 
iremos analisar os dispositivos aplicáveis à anonimização, bloqueio e 
eliminação de dados.
Lei Geral de Proteção de Dados Pessoais
38
Disposições aplicáveis à anonimização, 
bloqueio e eliminação de dados
Como visto, a anonimização, o bloqueio e a eliminação de dados 
consistem em direitos do titular, podendo ser efetivados através de 
requerimento desse agente de tratamento, de acordo com o §3º do art. 
18 da LGPD.
Em caso de negativa do requerimento, cabe ao controlador justificar 
o motivo pelo qual não irá atender ao solicitado, seja para (i) informar que 
não é o agente responsável ou (ii) indicar todos os fundamentos que 
impedem a resposta imediata, nos moldes do que determina o §4º do art. 
18 da LGPD (BRASIL, 2018b).
IMPORTANTE:
O requerimento não terá custos para o titular (§5º), podendo este 
se opor ao tratamento, quando não é exigido consentimento, 
caso esteja em desconformidade com a LGPD (§2º).
Cabe mencionarque, reforçando uma garantia constitucional, 
prevista no art. 5º, XXXIV, a, da CF, a Lei Geral de Proteção de Dados 
Pessoais estabeleceu o direito de petição ao titular, que será dirigida à 
ANPD ou aos órgãos do consumidor, conforme §§1º e 8º do art. 18.
Especificadamente acerca dos direitos de anonimização, bloqueio e 
eliminação dos dados, a LGPD, em seu §6º do art. 18, determinou o seguinte: 
§ 6º  O responsável deverá informar, de maneira imediata, 
aos agentes de tratamento com os quais tenha realizado 
uso compartilhado de dados a correção, a eliminação, a 
anonimização ou o bloqueio dos dados, para que repitam 
idêntico procedimento, exceto nos casos em que esta 
comunicação seja comprovadamente impossível ou implique 
esforço desproporcional. (BRASIL, 2018b)  
Como se vê, se o titular requerer a anonimização, a eliminação ou 
o bloqueio dos dados, deve o agente de tratamento informar as demais 
pessoas jurídicas com os quais compartilhou os dados do titular, para que 
Lei Geral de Proteção de Dados Pessoais
39
estes realizem a anonimização, o bloqueio ou a eliminação dos dados, 
conforme requerimento do titular.
RESUMINDO:
Ao final deste capítulo você deve ter aprendido que a 
anonimização se refere ao processo de desvinculação do 
dado da pessoa natural, tornando-o anônimo. Para tanto, 
são utilizadas as mais diversas técnicas, como supressão, 
generalização, randomização e pseudoanonimização. Viu 
que os dados anonimizados não são objeto de aplicação 
da LGPD, salvo se houver reversão destes para dados 
pessoais ou nos casos em que são utilizados para formação 
de perfis comportamentais. Além disso, você aprendeu 
que a LGPD, prevendo a possibilidade de reversibilidade 
da anonimização, determinou que o processo deve ser 
analisado de acordo com os critérios de custo e tempo 
para a reversão. Analisou também o direito do titular em 
requerer a anonimização nos casos em que os dados 
sejam excessivos, desnecessários ou quando o próprio 
tratamento esteja em desconformidade com as normas 
previstas na Lei nº 13.709/2018. Outrossim, você estudou 
que a anonimização também é incentivada nos tratamentos 
de dados para fins de pesquisa e estudos de saúde pública. 
Você também aprendeu que o bloqueio de dados é um 
direito do titular para os casos de dados desnecessários, 
excessivos ou na hipótese de o tratamento não obedecer 
às regras da LGPD, sendo esta uma medida temporária. 
Além do mais, você viu que existem duas hipóteses de 
eliminação dos dados, a primeira nos casos de dados 
excessivos, desnecessários ou quando o tratamento estiver 
em desacordo com a LGPD, aplicada também ao término 
do tratamento; e a segunda nos casos de operação por 
consentimento do titular. Viu, ainda, que em caso de uso 
compartilhado de dados, o controlador deve informar as 
demais entidades do pedido de anonimização, bloqueio 
ou eliminação dos dados, para que estas atendam ao 
solicitado. Por fim, cabe ao titular requerer esses direitos 
sem custos, e em caso de negativa, o controlador deve 
apresentar justificativas do não atendimento ao solicitado 
pelo titular.
Lei Geral de Proteção de Dados Pessoais
40
Segurança e sigilo 
INTRODUÇÃO:
Neste capítulo você irá identificar as medidas de segurança, 
técnica e administrativa para o tratamento de dados 
pessoais. Esse conhecimento é de suma importância para 
a compreensão dos riscos das operações de dados. Pronto 
para desenvolver essa importante competência? Avante!
Segurança da informação
A Lei Geral de Proteção de Dados Pessoais traçou critérios a serem 
exigidos no âmbito das medidas de segurança aplicadas às operações de 
tratamento de dados pessoais, com o afã de diminuir os riscos decorrentes 
de crimes digitais, como o vazamento de dados.
A segurança da informação é “a proteção da informação de vários 
tipos de ameaças para garantir a continuidade do negócio, minimizar 
o risco ao negócio, maximizar o retorno sobre os investimentos e as 
oportunidades de negócio” (ABNT, p. x, 2005).
Vale salientar que, segundo Fegeilson e Siqueira (2019), são três as 
finalidades da segurança da informação, conforme observa-se na figura 6. 
Figura 6 - As finalidades da segurança da informação
Disponibilidade Confidencialidade
Integridade
Fonte: Elaborado pelas autoras com base em Fegeilson e Siqueira, 2019, p. 123.
Mas o que podemos entender sobre cada uma delas?
Lei Geral de Proteção de Dados Pessoais
41
A confidencialidade se refere ao impedimento de acesso dos dados 
pessoais por terceiros desautorizados, ou seja, pretende-se evitar um 
vazamento de dados. Já a integridade diz respeito ao fato de os dados se 
manterem completos, até que o titular decida pela exclusão destes. Por 
fim, a disponibilidade está ligada ao fato de os dados estarem à disposição 
das pessoas autorizadas para tanto (FEGEILSON; SIQUEIRA, 2019).
Partindo dessa premissa, a Lei Geral de Proteção de Dados 
Pessoais fixou regras acerca das medidas de segurança que devem ser 
adotadas nas atividades de tratamento de dados pessoais, com o fito de 
salvaguardar as informações dos titulares.
Nessa linha, observe a redação do art. 46 da LGPD:
Art. 46. Os agentes de tratamento devem adotar medidas de 
segurança, técnicas e administrativas aptas a proteger os da-
dos pessoais de acessos não autorizados e de situações aci-
dentais ou ilícitas de destruição, perda, alteração, comunica-
ção ou qualquer forma de tratamento inadequado ou ilícito. 
(BRASIL, 2018b)
Ao que se depreende, o controlador e o operador, enquanto 
agentes de tratamento (art. 5º, IX, LGPD), terão o dever de utilizar meios 
para conferir segurança às operações de tratamento dos dados pessoais.
Ora, “quem se propõe a tratar os dados deve possuir, efetivamente, 
a capacidade de protegê-los, evitando ataques e acessos desautorizados, 
como forma de garantia de segurança das informações coletadas” 
(FEGEILSON; SIQUEIRA, 2019, p. 222).
Vale salientar que essas previsões reforçam os princípios da 
segurança e da prevenção, os quais estabelecem a necessidade de 
aplicação de medidas capazes de proteger os dados de eventos ilícitos 
ou prejudiciais, além de incentivar a antecipação dos riscos, com a adoção 
de medidas preventivas (FEGEILSON; SIQUEIRA, 2019).
Lei Geral de Proteção de Dados Pessoais
42
SAIBA MAIS:
Para relembrar os princípios da segurança e da prevenção, 
leia os incisos VII e VIII do art. 6º da LGPD. 
Clique aqui para acessar.
Mas como podemos saber se as medidas de segurança adotadas 
são suficientes? Nesse ponto, o §1º do art. 46 determina que a autoridade 
nacional será responsável por estabelecer os parâmetros mínimos 
exigidos para o reconhecimento das providências aplicadas.
Para que não haja dúvida, observe o que dispõe o parágrafo:
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos 
mínimos para tornar aplicável o disposto no  caput  deste 
artigo, considerados a natureza das informações tratadas, 
as características específicas do tratamento e o estado atual 
da tecnologia, especialmente no caso de dados pessoais 
sensíveis, assim como os princípios previstos no caput do art. 
6º desta Lei. (BRASIL, 2018b)
Infere-se, portanto, que a ANPD irá estabelecer esses critérios de 
acordo com a necessidade de cada tipo de tratamento e dado pessoal, 
eis que as medidas exigidas para um podem não ser suficientes para 
outro e vice-versa.
Frise-se que, por disposição expressa do §2º do art. 46 da LGPD, as 
medidas de segurança deverão ser aplicadas “desde a fase de concepção 
do produto ou do serviço até a sua execução” (BRASIL, 2018b).
Além disso, é obrigação dos agentes de tratamento, controlador 
e operador, ou de outro que tenha participado da operação de dados 
assegurar a segurança desses, inclusive após o término do tratamento, 
conforme preceitua o art. 47 da LGPD (BRASIL, 2018b).
Por fim, a Lei nº 13.709/2018 dispõe acerca dos sistemas de 
segurança, veja:
Lei Geral de Proteção de Dados Pessoaishttp://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
43
Art. 49. Os sistemas utilizados para o tratamento de dados 
pessoais devem ser estruturados de forma a atender aos 
requisitos de segurança, aos padrões de boas práticas e de 
governança e aos princípios gerais previstos nesta Lei e às 
demais normas regulamentares. (BRASIL, 2018b)
Como se vê, a Lei Geral de Proteção de Dados Pessoais trouxe 
regulamentação até para os sistemas utilizados pelos agentes, com o 
objetivo de facilitar e fomentar a promoção de segurança e a obediência 
das normas desta Lei.
VOCÊ SABIA?
Já existem normas infralegais acerca da segurança da 
informação no Brasil. Como exemplo, podemos citar a 
Resolução nº 4.658/2018 do BACEN, que regulamenta as 
medidas de segurança que devem ser tomadas no âmbito 
das instituições financeiras (FEGEILSON; SIQUEIRA, 2019).
Cumpre registrar que a GDPR aborda o tema da segurança da 
informação de forma mais específica que a LGPD, uma vez que prevê a 
possibilidade de aplicação de:
(i) técnicas de pseudonimização e criptografia dos dados pes-
soais; (ii) garantias de confidencialidade, integridade, disponi-
bilidade e resiliência permanentes dos sistemas e serviços de 
tratamento; (iii) capacidade de restabelecer a disponibilidade 
e o acesso aos dados pessoais, de forma célere, em casos de 
incidentes; e (iv) processos de verificação periódica da eficá-
cia das próprias medidas técnicas e organizacionais adotadas. 
(FEGEILSON; SIQUEIRA, 2019, p. 223-224)
Percebe-se, portanto, que a Lei Geral de Proteção de Dados, em 
suma, se espelhou na GDPR, mesmo que não tenha discriminado todos 
os aspectos que poderiam ser exigidos.
Lei Geral de Proteção de Dados Pessoais
44
O Decreto nº 9.637/2018, em seu art. 1º dispõe que 
Fica instituída a Política Nacional de Segurança da Informação 
- PNSI, no âmbito da administração pública federal, com 
a finalidade de assegurar a disponibilidade, a integridade, 
a confidencialidade e a autenticidade da informação a nível 
nacional. (BRASIL, 2018a)
Após aprender sobre a segurança de informação e sua importância 
para as atividades que envolvem dados pessoais e direitos individuais 
das pessoas, passa-se a analisar as regras atinentes aos incidentes de 
segurança.
Incidentes de segurança 
Como visto, tornou-se obrigatória a doação de medidas de 
segurança nas operações de tratamento de dados pessoais, a fim de 
tentar evitar a ocorrência de fraudes, crimes digitais e outras ocorrências 
danosas às informações pessoais e, por via de consequência, aos direitos 
dos titulares.
Ocorre que a aplicação de técnicas de segurança, por vezes, não 
é suficiente para impedir os incidentes de segurança, o que gerou a 
necessidade de regulamentação sobre o tema pela Lei Geral de Proteção 
de Dados Pessoais.
Ressalte-se que estar diante de atividades intimamente ligadas 
à tecnologia, que vêm em patente evolução, pode justificar os ataques 
cibernéticos. Do mesmo modo, torna-se clara a necessidade de evolução 
também das medidas de segurança e prevenção.
Sobre a diversidade dos incidentes de segurança, Araújo e 
Figueiredo (2020) pontuam:
Incidentes de segurança são muito diversificados, podendo ser 
scans, notificações de varreduras em redes de computadores, 
com o intuito de identificar quais computadores estão ativos e 
quais serviços estão sendo disponibilizados por eles; worms 
notificações de atividades maliciosas relacionadas com o 
Lei Geral de Proteção de Dados Pessoais
45
processo automatizado de propagação de códigos maliciosos 
na rede; ataques web, que visam o comprometimento de 
servidores ou desfigurações de páginas na Internet; invasões, 
ou acesso não autorizado a computadores e redes; denial of 
service (DoS); e fraudes, tendo sido reportados quase 2 milhões 
de incidentes ao Núcleo de Informação e Coordenação do 
Ponto BR nos últimos dois anos. Assim, além da violação da 
privacidade e acesso não autorizado a dados pessoais de 
pessoas naturais, fatos como esses são capazes de resultar 
em danos patrimoniais, morais e até mesmo colocar em risco 
a vida de pessoas. (ARAÚJO; FIGUEIREDO, 2020, p. 337-338)
Fica claro, portanto, que diante da variedade de hipóteses dos 
incidentes, é de suma importância padronizar o modo de agir nesses 
casos.
Nos termos do art. 4º, item 12 da GDPR, violação de dados pessoais 
consiste em “uma violação da segurança que provoque, de modo 
acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o 
acesso, não autorizados, a dados pessoais transmitidos, conservados ou 
sujeitos a qualquer outro tipo de tratamento” (EUROPA, 2016).
E foi exatamente isso que a Lei Geral de Proteção de Dados Pessoais 
fez em seu artigo 48. Observe a redação do dispositivo:
Art. 48. O controlador deverá comunicar à autoridade nacional 
e ao titular a ocorrência de incidente de segurança que possa 
acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme 
definido pela autoridade nacional, e deverá mencionar, no 
mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas 
para a proteção dos dados, observados os segredos comercial 
e industrial;
Lei Geral de Proteção de Dados Pessoais
46
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter 
sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter 
ou mitigar os efeitos do prejuízo. (BRASIL, 2018b)
Como se vê, a primeira medida a ser tomada no caso de ser 
detectado algum incidente de segurança é comunicá-lo à ANPD e ao 
titular do dado lesado. Isso porque quanto antes se tome providências 
acerca da violação, maiores as chances de reparo.
Ademais, é a autoridade nacional que irá estipular o prazo para a 
comunicação, devendo esta ser a mais completa possível acerca do fato, 
apresentando as características dos dados envolvidos, dos titulares, dos 
riscos e as possíveis medidas de mitigação desses riscos.
ACESSE:
O Ministério Público do Distrito Federal já havia recomendado 
a providência da comunicação em caso de vazamento 
de dados após ocorrido esse tipo de incidente em uma 
empresa renomada. Veja detalhes do caso clicando aqui.
Sobre a razoabilidade do prazo de comunicação previsto no §1º do 
art. 48 da LGPD, Fegeilson e Siqueira (2019) sabidamente expõem:
Sob observância do princípio da razoabilidade, entende-se 
que a informação deverá ser apresentada tão logo detectada 
a falha ou, ao menos, com a brevidade necessária para plena 
ciência dos titulares e possibilidade efetiva de providências 
sobre o ocorrido, não havendo justificativa razoável para a 
retenção prolongada dos fatos pelo controlador. (FEGEILSON; 
SIQUEIRA, 2019, p. 225)
Note que a brevidade exigida da comunicação se dá exatamente 
para garantir uma maior chance de mitigação ou eliminação do risco do 
Lei Geral de Proteção de Dados Pessoais
https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/noticias/noticias-2018/9775-mpdft-recomenda-providencias-a-netshoes-apos-vazamento-de-quase-2-milhoes-de-dados-de-clientes
47
incidente de segurança, eis que quando mais tempo se passa, mais difícil 
se torna a análise da violação ocorrida.
Cumpre registrar que o vazamento dos dados pessoais é 
considerado um dos incidentes mais graves, em razão da possibilidade 
de mau uso dessas informações. Sobre o tema, elucidativos são os 
ensinamentos de Araújo e Figueiredo (2020):
O data breach poderá ocorrer de forma ativa/intencional ou 
passiva/negligente. A primeira, quando um cracker, com o 
intuito de obter proveito econômico em conduta ilícita, obtém 
acesso não autorizado a uma base de dados, podendo exigir 
o resgate mediante pagamento em dinheiro ou até mesmo 
criptomoedas; ou, de forma negligente por parte do agentede tratamento de dados, quando um hacker, com o objetivo 
de detectar vulnerabilidades em sistemas e aplicações de 
empresas identifica uma falha de segurança com exposição de 
informações, sujeito ao acesso de agente mal-intencionados. 
Nesse segundo caso, o hacker que identifica a falha de 
segurança não pratica crime, somente informa a empresa 
acerca dos dados expostos que deverá, então, identificar a 
ocorrência de coleta por outros agentes, por meio de parecer 
técnico emitido por profissional de segurança da informação. 
(ARAÚJO; FIGUEIREDO, 2020, p. 340-341)
Ao que se depreende, o vazamento de dados pode ocorrer como 
modo de coação daquele que coleta determinados dados sem a devida 
autorização, em troca de vantagem econômica, podendo, nesses casos, 
ocorrer a “venda” dessas informações de forma totalmente ilícita. Por 
outro lado, também é possível que o vazamento seja apenas detectado e 
informado de boa-fé para a empresa.
Lei Geral de Proteção de Dados Pessoais
48
VOCÊ SABIA?
A resolução nº 4.658/2018 do BACEN também prevê a 
necessidade de comunicação ao Banco Central em casos 
de incidente de segurança, bem como especifica os 
parâmetros das medidas de compartilhamento no âmbito 
das instituições financeiras (FEGEILSON; SIQUEIRA, 2019).
Frise-se que a autoridade nacional será responsável pela análise da 
gravidade das violações, de acordo com o §2º do Art. 48 da LGDP.
Para que não haja dúvida, leia com a atenção o parágrafo:
§ 2º A autoridade nacional verificará a gravidade do incidente 
e poderá, caso necessário para a salvaguarda dos direitos dos 
titulares, determinar ao controlador a adoção de providências, 
tais como:
I - ampla divulgação do fato em meios de comunicação; e
II - medidas para reverter ou mitigar os efeitos do incidente. 
(BRASIL, 2018b)
Infere do referido dispositivo que a partir da verificação da magnitude 
do ocorrido, a ANPD decidirá as medidas que deverão ser tomadas para 
minimizar as consequências do dano.
Por fim, observe o que dispõe o §3º do art. 48 da LGPD:
§ 3º No juízo de gravidade do incidente, será avaliada 
eventual comprovação de que foram adotadas medidas 
técnicas adequadas que tornem os dados pessoais afetados 
ininteligíveis, no âmbito e nos limites técnicos de seus serviços, 
para terceiros não autorizados a acessá-los. (BRASIL, 2018b)
Logo, a ANPD também será responsável por observar se 
efetivamente foram adotadas as medidas de segurança necessárias para 
a proteção dos dados pessoais.
Lei Geral de Proteção de Dados Pessoais
49
RESUMINDO:
Vamos revisar o que estudamos nesse capítulo? Você 
viu que a Lei Geral de Proteção de Dados Pessoais 
determinou que cabe aos agentes de tratamento adotarem 
medidas técnicas e administrativas de segurança, com 
o fito de proteger os dados, em patente reforço aos 
princípios da segurança e da prevenção. Você aprendeu 
que as finalidades da segurança da informação são a 
confidencialidade, integridade e disponibilidade dos dados. 
Viu também que a autoridade nacional será responsável 
por fixar os parâmetros mínimos para o reconhecimento das 
medidas, que deverão ser aplicadas desde a concepção 
até a execução dos produtos ou serviços, bem como após o 
término do tratamento. Ademais, a LGPD exige a adoção de 
sistemas estruturados no formato que permita assegurar os 
princípios da Lei e as demais medidas de segurança e boas 
práticas. Você também aprendeu que nos casos em que 
houve incidente de segurança, o controlador deve informar 
de imediato à autoridade nacional e ao titular, com todas as 
descrições do dado, do titular, das medidas de segurança 
adotadas, dos riscos e da forma de mitigação destes, em 
prazo razoável, a ser estipulado pela ANPD. Viu ainda que 
a autoridade nacional irá analisar a gravidade do incidente, 
a fim de verificar a necessidade de divulgação deste nos 
meios de comunicação e adoção de outras medidas para 
minimizar os riscos, além de observar a comprovação da 
aplicação das técnicas.
Lei Geral de Proteção de Dados Pessoais
50
REFERÊNCIAS
ARAÚJO, V. E. L. de.; FIGUEIREDO, D. D. V. de. Análise jurídica dos 
incidentes de segurança e a responsabilidade civil no Brasil. In: GROSSI, 
B. M. (org.). Lei Geral de Proteção de Dados: uma análise preliminar da Lei 
13.709/2018 e da experiência de sua implantação no contexto empresarial. 
Porto Alegre: Editora Fi, 2020.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO/IEC 27002. 2005.
BIONI, B. R. Proteção de dados pessoais: a função e os limites do 
consentimento. 2. ed. rev. atual. e reform. Rio de Janeiro: Forense, 2020.
BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Código Civil. 
Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/
l10406compilada.htm. Acesso em: 09 jan. 2021.
BRASIL. Decreto nº 9.637/2018, 2018a. Disponível em: http://www.
planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/D9637.htm. 
Acesso em: 09 jan. 2021.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção 
de Dados Pessoais, 2018b. Disponível em: http://www.planalto.gov.br/
ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 13 dez. 2020.
EUROPA. General Data Protection Regulation. Regulamento (UE) 
2016/679 do parlamento europeu e do conselho de 27 de abril de 
2016 relativo à proteção das pessoas singulares no que diz respeito ao 
tratamento de dados pessoais e à livre circulação desses dados e que 
revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de 
Dados). Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/
HTML/?uri=CELEX:32016R0679. Acesso em: 27 dez. 2020.
FEIGELSON, B. SIQUEIRA, A. H. A. Comentários à lei geral de 
proteção de dados pessoais: Lei 13.709/2018. 1. ed. São Paulo: Thomson 
Reuters, 2019.
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm
http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/D9637.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/D9637.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679
51
MPDPF. MPDFT recomenda providências à Netshoes após 
vazamento de quase 2 milhões de dados de clientes. 2020. Disponível 
em: https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/
noticias/noticias-2018/9775-mpdft-recomenda-providencias. Acesso em: 
9 jan. 2020.
TARTUCE, F. Manual de direito civil: volume único. 10. ed. Rio de 
Janeiro: Forense; São Paulo: Método, 2020.
Lei Geral de Proteção de Dados Pessoais
https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/noticias/noticias-2018/9775-mpdft-recomenda-providencias
https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/noticias/noticias-2018/9775-mpdft-recomenda-providencias
	Obrigatoriedade do consentimento 
	Natureza e forma 
	Validade
	Vício e nulidade
	Revogação e renovação
	Direito de acesso
	Requisição de informações pelo titular
	Direitos correlatos do titular de dados pessoais
	Direito à revisão de decisões automatizadas
	Direito à retificação dos dados
	Direito da portabilidade 
	Direito de informação das entidades públicas e privadas 
	Disposições acerca dos direitos do titular
	Anonimização, bloqueio e eliminação de dados 
	Anonimização
	Bloqueio dos dados
	Eliminação de dados 
	Disposições aplicáveis à anonimização, bloqueio e eliminação de dados
	Segurança e sigilo 
	Segurança da informação
	Incidentes de segurança