aula5 Proteção e Governança de Dados

Prévia do material em texto

AULA 5 
PROTEÇÃO E GOVERNANÇA 
DE DADOS 
Prof. Daniel Freitas 
 
 
2 
TEMA 1 – ASPECTOS GERAIS – HISTÓRICO E APLICAÇÃO 
O General Data Protection Regulation (GDPR)1 é o Regulamento Geral 
para Proteção de Dados, votado pela União Europeia em 2016, com vigência 
iniciada em 25 de maio de 2018. 
 A importância de estudá-lo está relacionada propriamente à regulação de 
dados na Europa, tal qual a nossa recente Lei Geral de Proteção de Dados 
(LGPD); por se tratar de norma orientativa e sancionadora, traz impactos nas 
relações travadas com toda sorte de entidades e com os cidadãos europeus2. 
A Europa é considerada baliza e modelo em matéria de proteção de dados 
em todo o mundo, portanto merece nosso respeito e consideração neste estudo. 
O texto conta com 173 considerandos e 99 artigos, distribuídos em nove 
capítulos, demonstrando a profundidade e relevância com as quais o Parlamento 
Europeu lidou com o tema. Vale lembrar que a legislação ainda é considerada 
nova, por isso inúmeros pontos aguardam sua aplicação e adequação para a 
devida análise acerca do seu comportamento, eficácia e alcance prático com 
vistas a que se conheçam efetivamente seus efeitos e consequências. Ademais, 
divergências interpretativas e de pontos de vista, não só pela melhor exegese do 
texto fruído da língua estrangeira, mas pela sua incidência, serão ao longo dos 
anos ainda exploradas pelos operadores da norma posta. 
O GDPR revogou a Diretiva n. 46 de 1995, da Comunidade Europeia, que 
desde aquela data regulamentava o tema de forma mais ampla, mas que, 
considerando o avanço da tecnologia e as orientações comunitárias europeias, 
evidentemente merecia um regramento atualizado. 
Historicamente, a Declaração Universal dos Direitos Humanos, de 1948, foi 
o primeiro texto a enunciar no âmbito mundial a proteção à privacidade: “Art. 12. 
Ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no 
seu domicílio ou na sua correspondência, nem ataques à sua honra e reputação. 
Contra tais intromissões ou ataques toda a pessoa tem direito a proteção da lei” 
(ONU, 1948). 
 
1 Ou a GDPR, seja como o regulamento, seja como norma. 
2 Esta aula se baseia na brilhante obra Comentários ao GDPR: Regulamento Geral de Proteção 
de Dados da União Europeia, coordenada por Viviane Nóbrega Maldonado e Renato Opice Blum, 
a quem se prestam as devidas homenagens e agradecimentos. 
 
 
3 
O Conselho da Europa, criado nessa época, promulgou a Convenção 
Europeia dos Direitos do Humanos3, de 1950, que entrou em vigor em 1953. 
O art. 8o dessa norma trouxe noções introdutórias acerca do tema no Velho 
Continente: “Qualquer pessoa tem direito ao respeito da sua vida privada e 
familiar, do seu domicílio e da sua correspondência” (COE, 1950). 
Tais ideais formaram o arcabouço para as futuras normas a respeito do 
tema da proteção da privacidade e, mais recentemente, dos dados virtuais. Assim, 
as primeiras declarações e tratados foram enunciados após a Segunda Guerra 
Mundial, enaltecendo a democracia, a igualdade, a fraternidade, o pleno 
desenvolvimento social e o Estado de Direito. 
Sabidamente, os Estados estão sujeitos a uma obrigação internacional de 
cumprimento da Convenção Europeia de Direitos Humanos. Sendo assim, todos 
os Estados-membros do Conselho da Europa incorporaram ou abarcaram a 
Convenção acima citada no seu direito nacional. 
Em 1959, foi criado na França o Tribunal Europeu dos Direitos do Homem, 
para dar eficácia ao cumprimento da Convenção pelos Estados Contratantes. O 
Tribunal assegura a observância das obrigações, apreciando queixas oriundas de 
cidadãos, coletivos de pessoas, organizações não governamentais e outras 
entidades que aleguem violações da Convenção. 
O avanço tecnológico da informação, na década de 1960, também ostentou 
a necessidade de se estabelecerem regras mais específicas para proteção das 
pessoas e de seus dados. Mas apenas em 1981 foi aberta a assinatura de uma 
convenção para proteção das pessoas relativamente ao tratamento de dados de 
caráter privativo, a Convenção 108 (COE, 1981). Durante um bom período, ela 
significou um importante instrumento internacional juridicamente vinculativo no 
domínio da proteção de dados, abrangendo todo tipo de tratamento de dados 
pessoais realizado, tanto pelo setor privado como pelo setor público, incluindo de 
autoridades policiais e judiciárias. 
A Convenção proíbe, no art. 6º, o tratamento de dados “sensíveis”, tais 
como os que dizem respeito a raça, opinião política, saúde, convicções religiosas, 
vida sexual ou o registro criminal de uma pessoa (COE, 1981). 
A Convenção 108 e a Convenção Europeia de Direitos Humanos são 
instrumentos do Conselho da Europa, composto por 47 Estados-membros (todos 
 
3 O nome oficial é “Convenção para a Proteção dos Direitos do Homem e das Liberdades 
Fundamentais”. 
 
 
4 
os países, menos Cazaquistão, Bielorrússia e Vaticano) e seis Estados 
observadores, externos ao continente (exceto a Santa Sé). A Convenção 108 é 
aberta a países não europeus aderirem, como fez o Uruguai em 2013. 
Já a União Europeia (UE), uma reunião econômica e política, se compõe 
de 28 Estados-membros (todos do Conselho da Europa), e para regulamentar a 
proteção de dados, manteve a Diretiva n. 95/46, até a chegada do GDPR. Para o 
Tribunal de Justiça da UE, essa diretiva visa: 
[…] tornar equivalente em todos os Estados-Membros o nível de 
proteção dos direitos e liberdades das pessoas no que diz respeito ao 
tratamento de dados pessoais […] A aproximação das legislações 
nacionais aplicáveis na matéria não deve fazer diminuir a proteção que 
asseguram, devendo, pelo contrário, ter por objetivo garantir um elevado 
nível de proteção na União. Assim, […] a harmonização das referidas 
legislações nacionais não se limita a uma harmonização mínima, mas 
conduz a uma harmonização que é, em princípio, completa. (COE, 
2014)4 
Consequentemente, os Estados-membros dispõem apenas de uma 
pequena margem na aplicação da Diretiva. 
A Diretiva de Proteção de Dados visava dar corpo aos princípios do direito 
à privacidade já consagrados na Convenção 108 e alargar sua aplicação entre os 
Estados participantes, em especial a transferência de informações entre si. O fato 
de os 15 Estados-membros da UE em 1995 serem também partes contratantes 
de tal convenção exclui a adoção de regras contraditórias nesses dois 
instrumentos jurídicos. No entanto, a Diretiva de Proteção de Dados explorava a 
possibilidade de adotar novos instrumentos de proteção, conforme previsto no art. 
11 da Convenção 108. Aliás, a aplicação das normas da UE acaba se estendendo 
a outros países, por exemplo os membros do Espaço Econômico Europeu (EEE), 
como Islândia e Noruega. 
Fechando o parêntesis do contexto histórico, que demonstra que a Europa 
há tempos vem se preocupando com o tema, veremos um pouco da aplicação 
material do GDPR. 
O art. 2o, item 1, delimita quais atividades estão sujeitas ao Regulamento, 
falando de “tratamento de dados pessoais por meios total ou parcialmente 
automatizados” e também tratamento por meios não automatizados de dados 
contidos em arquivos ou que visem à formação de arquivo (EU, 2016). Em suma, 
toda operação que trate dados pessoais estará sujeita ao Regulamento, 
 
4 Acórdão de 24/11/2011, nos processos C-468/10 e C-469/10. Disponível em: 
<https://fra.europa.eu/sites/default/files/fra-2014-handbook-data-protection-pt.pdf>. 
 
 
5 
contemplando desde relações de consumo, interações por meio da internet, 
questões envolvendo relações de emprego, tratamento de dados de crianças e 
adolescentes etc. 
O GDPR não se aplicará nos seguintes casos (art. 2o, 2): atividades de 
segurança pública e defesa nacional; segurança e política externa; atividades 
efetuadas por pessoa física no exercício de atividades exclusivamente domésticas 
(pessoais); e atividades efetuadas por autoridades competentes para finsde 
prevenção, investigação, detecção e repressão de infrações penais ou execução 
de sanções penais (EU, 2016). Sobre a atividade de pessoa física, importante 
ressaltar que são aquelas particulares, não comerciais, como troca de 
correspondências, criação de listas de contatos, uso de redes sociais etc. 
No tocante à aplicação territorial, albergada no art. 3o, registra-se que se 
dirige a estabelecimentos, sejam processadores de dados, sejam controladores, 
tanto dentro da União Europeia como fora, nos casos de tratamento realizado em 
qualquer parte que seja externa ao território da União. 
Em outras palavras, a incidência dessa norma se dará para a companhia 
que se encontra fisicamente no território da UE, não trazendo imediata incidência 
para todas as demais unidades dela fora da União. Diga-se: se a empresa tem 
filial na UE, esta deve estar em conformidade (compliance) com o GDPR, não 
necessariamente sua matriz em território externo. Tal entendimento pode 
apresentar variações, valendo com maior efetividade a intenção ampla e 
abrangente da norma e de seus legisladores. 
A eficácia extraterritorial é observada no item 2 do art. 3o, ao incluir a 
aplicação da norma para companhias que ofereçam bens ou serviços aos titulares 
que se encontrem fisicamente no território da UE, mesmo que não haja cobrança 
de valores para tanto. São irrelevantes a cidadania do titular dos dados e o país 
de residência. 
Por fim, o Regulamento também será aplicável a situações em que houver 
a coleta de dados de usuários que se encontram fisicamente na União e, pela 
coleta deles, seja possível traçar um perfil desses titulares (profile), monitorando 
e antecipando comportamentos e atitudes. E, ainda, o texto normativo orienta que 
a aplicação do regulamento se dará nos locais regidos pelo direito internacional 
público como embaixadas, consulados e missões diplomáticas em outros países. 
Assim, fica evidente a amplitude da norma, pois, se há dados de cidadãos 
europeus sendo manipulados ou coletados, se há empresa brasileira em solo 
 
 
6 
europeu, e noutras tantas situações que só a casuística vai trazer, há a impactante 
incidência do Regulamento protetivo europeu. 
TEMA 2 – DADOS PESSOAIS, TRATAMENTO E PRINCÍPIOS 
Dado pessoal é a moeda, o insumo da nova economia e de políticas 
públicas modernas pautadas em estratégias de transformação e inovação digital 
para melhoria e sustentabilidade. 
Inúmeros países estão atuando ativamente para desenvolver uma 
economia baseada em dados. Veja, por exemplo, o Decreto n. 9.319/2018, no 
Brasil, que estabelece a estratégia para transformação digital. 
A todo tempo, pessoas, querendo ou não, consciente ou 
inconscientemente, fornecem diversas informações pessoais para as mais 
diferentes atividades, que também são coletadas e tratadas com vistas a 
interesses públicos. São inúmeros serviços providos em plataformas virtuais, rede 
de amigos, espaços de negócios, reuniões, conferências etc. A era digital impõe 
que os negócios sejam baseados em dados, e esse é um caminho sem volta em 
tempos da modernidade e da liquidez das relações. 
O GDPR, no art. 4º, n. 1, conceitua “dados pessoais” como a informação 
relativa a uma pessoa natural identificada ou identificável, sendo esta última 
categoria aquela pessoa natural que possa ser identificada, direta ou 
indiretamente, em especial por referência a um identificador, como nome, número 
de cadastro de identificação, dados de localização, ou qualquer outro elemento 
da identidade física, fisiológica, genética, mental, econômica, cultural ou social da 
pessoa (EU, 2016). 
Destacam-se, ainda, dados genéticos, biométricos e aqueles relativos à 
saúde da pessoa. Apenas a título de esclarecimento, é importante destacar que o 
termo dado diz respeito a qualquer informação em potencial; ele não possui 
significado em si, são atos ou sinais que precisam de interpretação para ter algum 
sentido. Em nosso caso, importam apenas os dados pessoais, ou seja, aqueles 
que se vinculam a uma pessoa identificada ou identificável. Se, isoladamente, não 
for possível a identificação do seu portador, não interessa para fins de proteção 
legal. 
Pelo GDPR (EU, 2016), podemos encontrar a seguinte classificação de 
dados: 
 
 
7 
1) Dados pessoais diretos – quando identificam diretamente a pessoa sem a 
necessidade de outros dados (ex.: fotografia com identificação); 
2) Dados pessoais indiretos – quando necessitam de informações adicionais 
(ex.: placa de um carro, protocolo de internet etc.); 
3) Dados pessoais especiais – revelam origem racial ou étnica, opiniões 
políticas, convicções religiosas ou filosóficas ou filiação sindical, dados 
genéticos, dados biométricos, dados da área de saúde ou sexuais; 
4) Dados pessoais pseudonimizados – quando são colocados como 
pseudônimos, exigindo informações adicionais; 
5) Dados anônimos – quando é impossível a identificação ou reidentificação 
do titular, por qualquer parte ou por quaisquer meios razoavelmente 
possíveis. 
O art. 8º, n. 1, da Carta dos Direitos Fundamentais da UE (2000), já referida, 
dispõe que toda pessoa tem direito à proteção dos dados pessoais – que devem 
ser tratados de forma justa, para fins específicos, e com base no consentimento 
do titular ou em outra base legítima estabelecida por lei –, além de acessar os 
dados coletados e de retificá-los. 
Os princípios relativos ao tratamento de dados pessoais estão relacionados 
com o art. 5o do GDPR e têm por objetivo atribuir limites ao tratamento, dando 
plenos poderes ao titular dos dados, na intenção de aumentar suas chances de 
controle e decisão acerca da transmissão destes (autodeterminação informativa). 
Além disso, pelo princípio da responsabilidade, sempre o controlador 
deverá comprovar o cumprimento dos princípios estampados pela legislação, a 
saber, a licitude, a lealdade, a transparência, a finalidade, a minimização dos 
dados, a limitação da conservação, a exatidão, a integridade, e a 
confidencialidade. 
Finalmente, sobre tratamento de dados, o GDPR é extremamente 
abrangente, pois trabalha desde a ideia da coleta até o descarte dos dados, 
alcançando todas as possibilidades de manuseio de deles, independentemente 
do meio utilizado. 
Conforme dispõe o art. 4o, item 2, do Regulamento, seria 
uma operação ou conjunto de operações efetuadas sobre dados 
pessoais ou sobre conjuntos de dados pessoais, por meios 
automatizados ou não automatizados, tais como a coleta, o registro, a 
organização, a estruturação, a conservação, a adaptação ou alteração, 
a recuperação, a consulta, a utilização, a divulgação por transmissão, 
 
 
8 
difusão ou qualquer outra forma de disponibilização, a comparação ou 
interconexão, a limitação, o apagamento ou a destruição. (EU, 2016) 
O tratamento de dados somente será possível se atender aos princípios 
citados e a alguma das seguintes hipóteses taxativas: 
a) O titular dos dados tiver dado consentimento para uma ou mais 
finalidades específicas; 
b) O tratamento for necessário para execução de um contrato no qual o 
titular dos dados é parte ou para diligências pré-contratuais a pedido do titular dos 
dados; 
c) O tratamento for necessário para o cumprimento de uma obrigação 
jurídica a que o responsável pelo tratamento esteja sujeito; 
d) O tratamento for necessário para a defesa de interesses vitais do titular 
dos dados ou de outra pessoa singular; 
e) O tratamento for necessário ao exercício de funções de interesse público 
ou ao exercício da autoridade pública de que está investido o responsável pelo 
tratamento; 
f) O tratamento for necessário para efeito dos interesses legítimos 
prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se 
prevalecerem os interesses ou direitos e liberdades fundamentais do titular que 
exijam a proteção dos dados pessoais, em especial se o titular for uma criança. 
Ganha relevância a ideia do consentimento,e no GDPR é a principal 
hipótese para o tratamento de dados pessoais. Ele é definido como manifestação 
de vontade, livre, específica, informada e explícita, pela qual o titular dos dados 
aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais 
que lhe dizem respeito sejam tratados, devendo, pelo menos, conhecer a 
identidade do responsável pela manipulação e as finalidades a que se se destina. 
O consentimento deve conter, no mínimo: 
• a identidade do controlador; 
• o objetivo das operações de tratamento; 
• tipos de dados que serão coletados e utilizados; 
• a existência do direito de retirar o consentimento; 
• em caso de transferência internacional, eventuais riscos envolvidos na 
troca. 
 
 
9 
Vale salientar que o titular dos dados pode retirar o consentimento a 
qualquer tempo, o que não compromete a licitude do tratamento realizado 
anteriormente. 
TEMA 3 – DIREITOS DOS TITULARES DE DADOS 
O GDPR traz o terceiro capítulo inteiramente dedicado aos “Direitos do 
Titular dos Dados”, assim sistematizados: 
1) Direito à informação; 
2) Direito de acesso; 
3) Direito de retificação; 
4) Direito a apagar os dados; 
5) Direito à limitação de tratamento; 
6) Direito à portabilidade de dados; 
7) Direito de oposição; 
8) Direito de objeção quanto a decisões individuais automatizadas. 
A primeira seção inicia tratando da transparência, que, como acima 
referido, trata-se de um princípio, não um direito em si. O art. 12 do GDPR (EU, 
2016) trata da obrigatoriedade da transparência sob três distintos enfoques: nas 
informações, nas comunicações e nas regras para o exercício dos direitos dos 
titulares de dados. 
A transparência deve estar presente em cada uma das informações e 
comunicações existentes entre o responsável pelo tratamento (controller) e o 
próprio titular de dados. 
A comunicação deve ser concisa, transparente, inteligível e de fácil acesso, 
utilizando uma linguagem clara e simples, especialmente quando dirigida para 
crianças (art. 12). As informações, quando requeridas, podem ser apresentadas 
por meio escrito, eletrônico ou qualquer outro, na forma como solicitado pelo titular 
e após ocorrida a comprovação inequívoca de sua identidade (EU, 2016). 
O próprio Regulamento prevê que o responsável pelo tratamento não 
poderá se recusar a dar prosseguimento ao processamento do pedido do titular, 
salvo se não estiver em condições de identificá-lo ou confirmar a própria 
titularidade do requerente. A norma orienta que deverá fazê-lo sem demora 
justificada e no prazo de um mês a contar da data de recepção do pedido, tempo 
 
 
10 
que pode ser prorrogado por até dois meses, a depender da complexidade ou da 
quantidade de pedidos (EU, 2016). 
Sobre o item 1, acima, a Seção que diz respeito às informações e ao acesso 
a dados pessoais está dividida em três partes distintas: I) o art. 13 trata das 
informações quando os dados são recolhidos diretamente do titular dos dados; II) 
o art. 14 trata das informações a serem prestadas quando os dados pessoais não 
são recolhidos junto do titular de dados; e III) o art. 15 trata especificamente do 
direito de acesso do titular de dados. 
A Seção 2, que dispõe sobre o direito de acesso, assegura que o titular dos 
dados pode obter do responsável pelo tratamento a confirmação de que seus 
dados são efetivamente objeto de tratamento. O titular de dados poderá ter acesso 
a categorias, destinatários, prazo de conservação, origem dos dados e existência 
de decisões automatizadas, entre outras informações extraídas da coleta feita. 
Assim, quando o responsável tiver em mãos os dados diretamente do titular, ou 
de terceiros, fica obrigado ao fornecimento das informações pertinentes; sempre 
que o titular tiver interesse em confirmar a existência dos dados sob tratamento 
ou compreender seu detalhamento, poderá usar seu direito de acesso (EU, 2016). 
A Seção 3, a seu turno, se denomina “Retificação e Apagamento” e inclui o 
“Direito de Retificação” (art. 16), “Direito a ser esquecido” (art. 17), “Direito à 
limitação de tratamento” (art. 18); nos artigos subsequentes, trata das obrigações 
de notificação, de retificação ou apagamento dos dados pessoais e de 
portabilidade. 
Ganha destaque, pelas intensas discussões doutrinárias no Brasil e no 
mundo afora, o chamado direito ao esquecimento, já alvo de alguns julgamentos 
pela Justiça brasileira. Há até um Recurso Extraordinário (n. 1010606-RJ), 
avaliado em repercussão geral, sob competência da Suprema Corte Brasileira, 
sem data para apreciação5 (Tema 786). 
No GDPR, denominado direito ao apagamento de dados (EU, 2016), tal 
direito vem protegido não exatamente como uma novidade, pois, desde a Diretiva 
95/46, já se conhecia sua previsão e alguns casos julgados em solo europeu já 
conferiam tal benesse, conforme especificamente os casos apresentados. 
Um caso contra o Google, julgado em 2014 pelo Tribunal de Justiça da 
União Europeia, reconheceu em favor de um cidadão o direito ao esquecimento 
 
5 Nesse sentido, veja Enunciado 531, da VI Jornada de Direito Civil, realizada em 2013, pelo 
Conselho da Justiça Federal e o recente julgado. Resp. 1660168-RJ, do Superior Tribunal de 
Justiça. 
 
 
11 
no que se referia a uma informação antiga encontrada no buscador. À época, para 
evitar maiores prejuízos, a empresa implantou uma ferramenta em sua plataforma, 
dentro da aba “Transparency Report”, com vistas a possibilitar solicitações de 
remoção de dados de cidadãos europeus com base em tal decisão judicial. 
As estatísticas do Google demonstram que, desde a implantação de tal 
ferramenta, foram submetidas cerca de três milhões de requisições, das quais 
uma significativa parcela foi atendida (43,9% – julho 2018). Na decisão proferida, 
a Corte Europeia reconheceu, entre outros fundamentos, que os motores de 
busca da empresa realizam atividade de tratamento de dados, submetendo-se à 
obrigação de apagar as informações requeridas (Maldonado; Blum, 2018). 
O art. 17 do Regulamento Europeu, ao tratar do tema, elenca, no item 1, os 
motivos capazes de viabilizar o apagamento dos dados; e no item 3, quando não 
se aplicará o direito postulado (EU, 2016). 
O apagamento precisa ser completo, inclusive de backups – não mera 
ocultação –, e o responsável pelo tratamento de dados deverá sempre adotar 
procedimentos técnicos que permitam, caso necessário, a demonstração de que 
a solicitação foi de fato atendida (o que geralmente se opera via logs – registros 
de dados). 
Por fim, vale destacar o art. 23, que trata da possibilidade de os Estados-
membros apresentarem exceções ao exercício de direitos pelos titulares, quando 
existirem razões relevantes de interesse coletivo. Quando estiverem em jogo 
questões como defesa, segurança nacional, prevenção, de infrações penais, 
violações éticas, direitos e liberdades de terceiros, entre outros motivos previstos, 
a citada exceção poderá ser apresentada pelo Estado-membro, isentando-o das 
obrigações de transparência e dos direitos previstos no Regulamento (EU, 2016). 
TEMA 4 – RESPONSÁVEL PELO TRATAMENTO DE DADOS E DPO 
Além do titular de dados, o GDPR trouxe ênfase para três figuras de 
manipulação e gestão das informações: o responsável pelo tratamento 
(controller), o subcontratante (processor) e o encarregado da proteção de dados 
(data protection officer – DPO). A Diretiva 95/46 já previa essas figuras, dando 
maior ênfase às duas primeiras e mencionando apenas superficialmente, em um 
artigo, o DPO. 
O art. 4o, item 7, define o responsável pelo tratamento como sendo “a 
pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo 
 
 
12 
que, individualmente ou em conjunto com outras, determina as finalidades e os 
meios de tratamento de dados pessoais” (EU, 2016). 
É o caso concreto que vai determinar quem é o responsável pelo 
tratamento de dados, pois os contratos poderão dizer algumacoisa, mas a prática 
trazer outra responsabilização. A doutrina estabelece, basicamente, três 
categorias para identificação do responsável pelo tratamento: 
1) Controle resultante de competência legal: quando a lei nomeia um agente 
como responsável pelo tratamento, define os critérios para tal escolha ou 
estabelece uma tarefa ou impõe a dada entidade a obrigação de recolher e 
tratar determinados dados; 
2) Controle resultante de competência tácita: quando a competência para 
determinar as finalidades e os meios de tratamento de dados não está 
expressamente definida na lei nem é uma consequência direta dela, mas 
decorrente de disposições legais comuns ou práticas jurídicas 
estabelecidas extraídas de outros ramos do Direito (civil, trabalhista, 
comercial etc.); 
3) Controle resultante de influência de fato: quando a constatação se dá 
apenas pelos fatos, com análise de contratos e outros elementos 
obrigacionais. 
Em síntese, é possível dizer que o responsável pelo tratamento de dados 
pessoais é o agente que toma as decisões acerca das razões e a melhor forma 
para a manipulação deles. Não necessariamente é quem coleta os dados 
diretamente do titular (um subcontratante pode fazê-lo, por exemplo). Ele ocupa 
papel central na garantia da aplicação dos direitos dos titulares, além de ter 
diversas obrigações previstas no GDPR, tais como: licitude, lealdade e 
transparência no tratamento dos dados; registro das atividades de tratamento; 
cooperação com autoridade de controle; segurança da informação; notificação de 
incidentes de violação de dados; designação de um DPO, quando necessário; etc. 
(EU, 2016). 
O GDPR também traz uma definição do subcontratante, como sendo “uma 
pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que 
trate os dados pessoais por conta do responsável pelo tratamento destes” (EU, 
2016). Tanto o responsável como o subcontratante poderiam ser, por exemplo, 
serviços de marketing direto, serviços de recursos humanos, empresa terceirizada 
de gestão e compliance, agência de viagens, companhia aérea, rede de hotéis, 
 
 
13 
redes sociais, escritórios de advocacia e contabilidade, o Poder Público e 
inúmeros outros casos práticos existentes. 
A figura do data protection officer (DPO) – em inglês, encarregado de 
proteção de dados) – vem especificada pelos arts. 37-39 do Regulamento. 
Embora sua contratação seja sempre recomendável, o item 1 do art. 37 aponta 
casos em que a existência desse profissional é mandatória: 
a) tratamento efetuado por uma autoridade ou um organismo público, exceto 
tribunais na função jurisdicional; 
b) as atividades principais do responsável pelo tratamento ou subcontratante 
consistam em operações de tratamento que, devido à sua natureza, âmbito 
e/ou finalidade, exijam um controle regular e sistemático dos titulares dos 
dados em grande escala; 
c) o responsável ou subcontratante lide com dados sensíveis (art. 9º) ou 
dados pessoais relacionados com condenações penais e infrações a que 
se refere o art. 10º do Regulamento. 
Apenas a título de esclarecimento: a doutrina europeia, sistematizada na 
análise das expressões do Regulamento, orienta que “atividade principal” é aquela 
indissociável das atividades do responsável ou subcontratante. Por exemplo, um 
hospital não tem como atividade principal o tratamento de dados, mas precisa dos 
dados pessoais dos pacientes para o desempenho de suas atribuições; portanto, 
entende-se que seria obrigatória a nomeação de um encarregado de proteção de 
dados para o caso. 
O GDPR, no item 5 do art. 37, menciona que a escolha do DPO deve se 
dar com base em suas qualidades profissionais, com destaque para os 
conhecimentos especializados em Direito (legislação europeia e o próprio GDPR) 
e proteção de dados, bem como no desempenho das funções dispostas no art. 39 
(adiante elencadas) (EU, 2016). 
Tal profissional deve se atentar ao seu dever de confidencialidade, em 
conformidade com as normas do próprio país onde atua. Na prática, percebe-se 
que a contratação geralmente é de profissionais da área do Direito, especialistas 
em privacidade e proteção de dados, profissionais de segurança da informação, 
podendo até ser uma pessoa jurídica contratada para a atividade, sempre 
respeitadas as regras do Regulamento sobre conflitos de interesses e proteção 
de suas prerrogativas. 
 
 
14 
O encarregado deve ter liberdade na atuação, podendo ser pessoa já 
pertencente ao atual quadro ou externo; deve receber recursos necessários para 
suas funções; deve manter relações com o topo da empresa; sua remuneração 
não deve estar atrelada ao faturamento da empresa (art. 38). 
No GDPR, os dados de contato do DPO devem ser publicados pelos 
agentes de tratamento de dados e comunicados à respectiva autoridade de 
controle. As funções desse profissional estão elencadas de forma exemplificativa 
no art. 39, do Regulamento, sendo, em suma: 
I. informar e aconselhar o responsável pelo tratamento de dados ou o 
subcontratante, bem como os que lidam com dados, a respeito de suas 
obrigações, nos termos do GDPR; 
II. controlar a conformidade das atividades de tratamento de dados pessoais 
com as leis e políticas internas de proteção de dados aplicáveis, incluindo 
repartição de responsabilidades, sensibilização e formação do pessoal 
implicado nas operações de tratamento de dados e nas auditorias 
pertinentes; 
III. prestar consultoria, quando solicitado, especialmente no tocante à 
avaliação de impacto sobre a proteção de dados, controlando a sua 
realização periódica; 
IV. atuar como ponto de contato com o titular de dados e a autoridade de 
proteção de dados competente, sempre com ela cooperando; 
V. conservar a base dos dados e fiscalizá-la rotineiramente. 
A jurisprudência vai definir a extensão da responsabilidade do encarregado, 
mas, do que se tem notícia e do que se conclui da legislação, é certo que está 
atrelada à empresa. Isso é diferente do caso do profissional incumbido pelo 
tratamento de dados (e o subcontratado), que mantém a responsabilidade externa 
das operações realizadas na empresa. 
TEMA 5 – AUTORIDADE DE CONTROLE E SANÇÕES 
O tema da autoridade de controle, importante para conhecer as regras e a 
entidade que vai conduzir os processos associados à proteção de dados em cada 
país regulado pelo GDPR, está nos capítulos VI a VIII, que tratam das autoridades 
de controle independentes, da cooperação e coerência e dos recursos, 
responsabilidades e penalidades. 
 
 
15 
Registre-se que, até maio de 2018, existia o Article 29 Working Party 
(WP.29), um órgão consultivo europeu independente em matéria de dados de 
proteção e privacidade. Tinha suas competências definidas no art. 30 da Diretiva 
95/46-CE e no art. 1º da Diretiva 2002/58-CE. Suas opiniões ainda correspondem 
a meios válidos de consulta para interpretação do GDPR, desde que o tema não 
tenha sido superado pela nova legislação ou por diretivas contrárias do EDPB. 
O European Data Protection Board (EDPB) – Conselho Europeu para 
Proteção de Dados – vem atuando desde a edição do GDPR para interpretação 
da norma. Ainda que não possua posições vinculantes, exerce grande influência 
sobre as Autoridades de Proteção de Dados (DPAs, em inglês) quando se 
posiciona acerca de determinados temas. 
Nesse contexto, conforme dispõe o art. 51 do GDPR (EU, 2016), cabe aos 
Estados-membros da União Europeia designar uma ou mais autoridades públicas 
independentes. O papel delas está concentrado na defesa independente dos 
direitos e liberdades fundamentais das pessoas singulares, relativamente ao 
tratamento de dados, além de atuar na livre circulação desses dados na UE. As 
DPAs de cada país devem trabalhar em conjunto pela promoção dos valores e 
eficácia do GDPR. 
Alguns países, como a Alemanha, mantêm diversas autoridades, como que 
uma para cada tipo de dado colhido no país, não obstante o fatode que é papel 
do Estado-membro nomear a autoridade principal que representará a nação. 
Aliás, a Alemanha conta com uma autoridade desde 1978, e o mesmo 
ocorre com a França; no caso da Suécia, desde 1973. Evidentemente, tais órgãos 
foram se alterando e se adaptando com o passar dos anos e com a evolução 
tecnológica. 
Cada Estado deve assegurar os recursos humanos, físicos, técnicos e 
financeiros, e o que mais for preciso para a boa condução dos casos pela 
autoridade, sem prejuízos, constrangimentos ou coações em face do necessário 
orçamento para suas atividades. 
A entidade deve atuar de forma imparcial e transparente, com 
responsabilidade pessoal de cada um dos membros para que se portem de modo 
compatível com o cargo desempenhado. Isso se deve ao fato de que precisarão 
manter notório conhecimento acerca do tema da proteção de dados, além de 
experiência e conhecimentos técnicos. 
 
 
16 
Para a empresa que faz tratamento de dados transnacionais, a localização 
do estabelecimento principal do agente que trata os dados (ou daquele 
subcontratado) determina a DPA principal (ou lead). Na ausência de uma 
designação clara e específica, a empresa poderia adotar a DPA daquele país onde 
as decisões mais significativas são tomadas. 
Outras funções das DPAs, além da execução e aplicação do GDPR, 
incluem: conscientização pública acerca do tema; aconselhamento do Estado-
membro e seus órgãos legislativos; prestação de informações; análise das 
reclamações dos titulares de dados; e investigações de atos ilícitos. 
O art. 58. do Regulamento ora sob estudo (EU, 2016) destaca que os 
poderes da DPA são divididos em: investigativos, corretivos e consultivos. Os 
investigativos destacam a possibilidade de requerer informações, documentos e 
o acesso às instalações dos responsáveis pelo tratamento de dados. 
Os poderes corretivos, por sua vez, contemplam: fazer advertências ou 
repreensões ao responsável ou subcontratante sempre que as operações de 
tratamento estiverem suscetíveis a violações ou mesmo causá-las; encaminhar 
ordens ao responsável para atendimento da legislação, por exemplo, em caso de 
constatação de vazamento de dados; impor limitação temporária ou definitiva no 
tratamento de dados; ordenar a retificação ou apagamento de dados, bem como 
a limitação do tratamento; e outras. 
Finalmente, os poderes consultivos tratam da conscientização de terceiros, 
podendo autorizar cláusulas de proteção de dados, cláusulas contratuais, acordos 
administrativos e aprovar regras vinculativas aplicáveis a empresas. 
Tais órgãos podem judicializar questões pertinentes a proteção de dados 
ou intervir em processos de interesse do tema. 
As DPAs devem submeter ao EDPB decisões relevantes e capazes de 
afetar terceiros titulares de outros Estados-membros, objetivando garantir a 
consistência e a coerência delas. 
O EDPB pode emitir parecer sobre diversos temas, como medidas de 
avaliação de impacto, aprovação de códigos de ética e conduta, critérios de 
certificação, conteúdo de cláusulas de proteção de dados, transferência 
internacional de dados etc. Eventual discordância entre as DPAs acarretará 
manifestação do EDPB, por meio de parecer vinculante, para dirimir questões sob 
litígio. 
 
 
17 
Registre-se que o EDPB é formado pelo direito de uma DPA de cada 
Estado-membro e do European Data Protection Supervisor (EDPS) – Conselho 
Europeu de Proteção de Dados – e tem a função precípua de zelar pela coerência 
das decisões aplicadas pelas DPAs. 
O art. 72 do GDPR elenca outras atividades como aconselhar, elaborar 
diretrizes, recomendações e melhores práticas, examinar e investigar condutas, 
promover cooperação e intercâmbio bilateral e plurilateral efetivo de informações. 
Já os arts. 83 e 84 preveem que a desconformidade (não compliance) com as 
exigências previstas na norma podem render multas administrativas em diversas 
circunstâncias (EU, 2016). A comunicação, via de regra, acontece por notificação, 
apontando os pontos irregulares. 
A sanção varia conforme o tipo da infração cometida, e pode ser de multas 
de até €10 milhões ou 2% do total do faturamento anual global no exercício 
financeiro anterior, dependendo de qual for o maior valor. Também são previstas 
multas de até €20 milhões ou 4% do total do faturamento anual mundial no 
exercício anterior por violações aos princípios relativos ao processamento, aos 
requisitos legais de processamento ou ainda dos direitos do titular dos dados (EU, 
2016). 
Cada caso deve ser analisado de forma pormenorizada e levará em 
consideração as circunstâncias da infração, os atos intencionais ou negligentes, 
medidas de mitigação de danos que tenham sido implementadas, medidas 
técnicas e organizacionais e, por fim, o modo como a autoridade supervisora 
tomou conhecimento dos eventos questionados. 
O referido art. 83, ao estabelecer as condições gerais para aplicação de 
sanções pecuniárias, apresenta fatores que influenciam a dosimetria das penas, 
como por exemplo: 
1) natureza, gravidade, duração da infração e número de titulares de dados 
afetados; 
2) âmbito ou objetivo de tratamento de dados e os danos sofridos por seus 
titulares; 
3) o caráter intencional ou negligente da infração; 
4) as iniciativas tomadas para atenuar os danos sofridos pelos titulares, com 
o grau de responsabilidade dos envolvidos; 
5) reincidência dos infratores; 
6) o grau de cooperação com a autoridade de controle; 
 
 
18 
7) a forma pela qual a autoridade teve ciência do ocorrido; 
8) a existência e observância de código de conduta aprovado pela DPA; 
9) outras atenuantes ou agravantes (como por exemplo o tamanho da 
empresa, benefícios eventualmente existentes etc.). 
Os Estados-membros ainda podem definir sanções adicionais não 
pecuniárias ou repassar a sugestão dos valores para órgãos do Judiciário local, 
desde que respeitado o caráter proporcional e dissuasório das punições. 
Assim, ficou evidenciada na presente aula a importância do estudo do 
GDPR, seja por sua vinculação temática e de conteúdo com a LGPD brasileira, 
seja pelo impacto que poderá causar em empresas do Brasil, brasileiros com 
cidadania europeia e empresas multinacionais, entre outras inúmeras situações 
relevantes para a segurança e proteção de dados que o gestor deve primar em 
sua atuação de boas práticas de governança. 
 
 
 
19 
REFERÊNCIAS 
CARVALHO, A. C. et al. Manual de Compliance. Rio de Janeiro: Forense, 2019. 
COUNCIL OF EUROPE. Convention for the Protection of Human Rights and 
Fundamental Freedoms. Roma, 4 nov. 1950. Disponível em: 
<https://www.coe.int/en/web/conventions/full-list/-
/conventions/rms/0900001680063765>. Acesso em: 15 nov. 2019. 
______. Convention for the Protection of Individuals with regard to 
Automatic Processing of Personal Data. 1981. Disponível em: 
<https://www.coe.int/en/web/conventions/full-list/-
/conventions/rms/0900001680078b37>. Acesso em: 30 nov. 2019. 
______. Manual da legislação europeia sobre proteção de dados. 2014. 
Disponível em: <https://fra.europa.eu/sites/default/files/fra-2014-handbook-data-
protection-pt.pdf>. Acesso em: 30 nov. 2019. 
EDPS – European Data Protection Supervisor. About. [S.d.]. Disponível em: 
<https://edps.europa.eu/about-edps_en>. Acesso em: 15 nov. 2019. 
EUGDPR.ORG. Disponível em: <https://eugdpr.org/>. Acesso em: 15 nov. 2019. 
EU – European Union. Regulation (EU) 2016/679 of the European Parliament and 
of the Council of 27 April 2016 on the protection of natural persons with regard to 
the processing of personal data and on the free movement of such data, and 
repealing Directive 95/46/EC (General Data Protection Regulation). Official 
Journal of the European Union, Brussels, 4 maio 2016. Disponível em: 
<https://eur-lex.europa.eu/legal-
content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL>. Acesso em: 15 nov. 2019. 
FRAZÃO, A.; TEPEDINO, G.; OLIVA, M. D. Lei Geral de Proteção de Dados esuas repercussões no direito brasileiro. São Paulo: Thomson Reuters Brasil, 
2019. 
LEONARDI, M. Fundamentos de direito digital. São Paulo: Thomson Reuters 
Brasil, 2019. 
MADEIRA, L. M. Compliance: a (rara) aplicação de instrumentos internacionais de 
proteção a direitos humanos pelos tribunais intermediários no Brasil. Rev. Bras. 
Ciênc. Polít., Brasília, n. 21, p. 45-76, dez. 2016. Disponível em: 
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL
 
 
20 
<http://www.scielo.br/scielo.php?script=sci_arttext&pid=S0103-
33522016000300045&lng=en&nrm=iso>. Acesso em: 15 nov. 2019. 
MALDONADO, V. N.; BLUM, R. O. (Coord.). Comentários ao GDPR: 
Regulamento Geral de Proteção de Dados da União Europeia. São Paulo: 
Thomson Reuters Brasil, 2018. 
NUCCI, G. de S. Corrupção e anticorrupção. Rio de Janeiro: Forense, 2015. 
ONU – Organização das Nações Unidas. Declaração Universal dos Direitos 
Humanos. 1948. Disponível em: <https://nacoesunidas.org/wp-
content/uploads/2018/10/DUDH.pdf>. Acesso em 30 nov. 2019. 
RODOTA, S. A vida na sociedade da vigilância: a privacidade hoje. Rio de 
Janeiro: Renovar, 2008. 
SANTOS, R. A. dos et al. Compliance e liderança: a suscetibilidade dos líderes ao 
risco de corrupção nas organizações. Einstein (São Paulo), São Paulo, v. 10, n. 
1, p. 1-10, mar. 2012. Disponível em: 
<http://www.scielo.br/scielo.php?script=sci_arttext&pid=S1679-
45082012000100003&lng=pt&nrm=iso>. Acesso em: 15 nov. 2019. 
SCHRAM, F. S. O Compliance como instrumento de combate à corrupção no 
âmbito das contratações públicas. 412 f. Dissertação (Mestrado em Direito) – 
Centro de Ciências Jurídicas, Universidade Federal de Santa Catarina, 
Florianópolis, 2018. 
ZILIOTTO, M. M.; CASTRO, R. P. A. Compliance nas contratações públicas: 
exigência e critérios normativos. Belo Horizonte: Fórum, 2019.