privacidade e protecao de dados pessoais

Prévia do material em texto

Fundação Escola Superior do Ministério Público (FMP)
Centro de Investigações em Direito Privado (CIDP) da 
Faculdade de Direito de Lisboa (FDL)DANILO DONEDA
Elementos 
históricos e 
modelos de 
proteção de dados
Dados pessoais, 
‘o novo petróleo’
The Economist, maio de 2017
“O fim da 
privacidade”
The Economist, maio de 2017
The Economist
Maio de 1999
As últimas 5 décadas
Elaboração de um novo direito - o direito à 
proteção de dados - acompanhado de uma 
nova principiologia, conceitos, instrumentos e 
técnicas para aplicação
Paradigma clássico:
• Direito individual
• Isolamento
• Recato
• Tranqüilidade
• Sigilo
Privacidade
Privacidade
Constituição Federal, art. 5º
X - São invioláveis a intimidade,
a vida privada, a honra e a imagem 
das pessoas, assegurado o direito 
a indenização pelo dano material
ou moral decorrente de sua violação;
Rachel Felix
1858
“O direito à privacidade”
Warren / Brandeis 
Harvard Law Review, 1890
As mais recentes invenções e modelos de negócio
apontam para os próximos passos que devem ser
dados para a proteção das pessoas e para
garantir lhes o “direito a ser deixado só”.
As fotografias e os jornais de ampla circulação 
invadiram os espaços sagrados da vida privada 
e doméstica; diversos dispositivos tecnológicos 
ameaçam fazer com que se cumpra a profecia 
de que “aquilo que é sussurrado nos recintos
domésticos será proclamado do alto dos telhados."
Conceituação
Privacidade
L’impossible définition
François Rigaux
définition introuvable
André Vitalis
Talismanic word
Ken Gormley
The obscurity of privacy
Raymond Wacks
• Controle
• Vigilância
• Classificação
• Discriminação
Privacidade
novo paradigma
Paradigma clássico:
Direito individual
Isolamento
Recato
Tranquilidade
Sigilo
Banco de
Dados 
Nacional
EUA, 1967
Número 
único de 
identidade
Brasil, 1972
Revista Veja, 13/09/1972. p.91
Sentença do Tribunal Constitucional 
Alemão de 1983 sobre a Lei do Censo
Autodeterminação informativa 
(Informationelle Selbstbestimmung)
Autodeterminação informativa
Stefano Rodotà
Privacidade é o direito de manter o controle sobre as próprias
informações e de determinar as modalidades de construção da
própria esfera privada
Tecnologie e diritti, 1995
Da privacidade à 
proteção de dados
Do segredo 
ao controle
Demanda pela 
regulação de 
dados pessoais
além de um direito individual
• Segurança jurídica
• Confiança
• Transferência internacional
• Interoperabilidade
2019
143 países possuem leis de proteção de dados pessoais
Fonte: Graham Greenleaf
| David Banisar
Estruturas normativas 
e regulatórias
Consolidação dos marcos regulatórios
Gerações de leis de proteção 
de dados pessoais
4ª GERAÇÃO1ª GERAÇÃO
(início dos anos 70)
• Bancos de dados 
centralizados
2ª GERAÇÃO
(fim anos 70)
• Privacidade 
e proteção 
de dados
como liberdade 
negativa
3ª GERAÇÃO
(anos 80)
• Autodeterminação 
informativa
• Elevação do padrão 
coletivo de proteção
https://www.justice.gov/opcl/docs/rec-com-rights.pdf
Evolução 
dos 
princípios
de proteção 
de dados
Código de práticas 
leais para a informação 
(1973)
1. Não devem existir bancos 
de dados pessoais que sejam 
secretos
2.Todo cidadão deve poder ter 
acesso à própria informação 
pessoal e a saber como ela é 
usada
3.A informação pessoal obtida para 
uma finalidade não poderá ser 
utilizada para outra finalidade sem o 
consentimento do titular
4.Devem existir meios para o titular 
corrigir ou complementar a sua 
informação pessoal
5.Toda entidade que utilize dados 
pessoais deve garantir a sua 
qualidade e segurança
Evolução 
dos 
princípios
de proteção 
de dados
Código de práticas 
leais para a informação 
(1973)
Linhas-Guia 
da OCDE
Princípios Básicos 
de proteção de dados
• Qualidade
- Base legal
- Finalidade
- Proporcionalidade
- Qualidade
• Proteção a categorias 
especiais de dados
• Segurança
• Transparência
8b3700168007
Convenção 108 
do Conselho 
da Europa
Princípios Nacionais 
de proteção de dados
• Limitação da coleta
• Qualidade
• Finalidade
• Limitação do uso (consentimento 
ou autorização legal)
• Segurança
• Transparência
• Acesso (participação individual)
• Responsabilidade demonstrada 
(Accountability)
Europa
• Lei de Hesse (1970)
• Convenção 108 do Conselho da Europa (1981)
• Diretiva 95/46/CE
• Carta dos Direitos Fundamentais da União 
Europeia (2000)
• Regulamento Geral de Proteção de Dados (2018)
• Bases legais
• Livre fluxo de dados
• Autoridades de 
Garantia
Modelo europeu
• Decentralizado
• Leis federais somente em 
relação ao Estado
• Auto-regulação
• Federal Trade Commission
Modelo norte-americano
Proteção de 
dados pessoais 
no Brasil
Antes da LGPD
Marco 
Civil da 
Sociedade
da 
Informação
Brasil
• Código de Defesa do 
Consumidor
Lei do Cadastro Positivo 
(Lei 12.414/2011)
Lei de acesso à informação 
(Lei 12.527/2011)
Marco Civil da internet 
(Lei 12.965/2014)
•
•
•
Constituição
Federal
Título II - Dos Direitos e Garantias 
Fundamentais
Capítulo I - Dos Direitos e Deveres 
Individuais e Coletivos
Art. 5º
...
X - são invioláveis a intimidade, a 
vida privada, a honra e a imagem das 
pessoas, assegurado o direito a 
indenização pelo dano material ou 
moral decorrente de sua violação;
XII - é inviolável o sigilo da 
correspondência e das 
comunicações telegráficas, de 
dados e das comunicações 
telefônicas, salvo,
no último caso, por ordem judicial, nas 
hipóteses e na forma que a lei 
estabelecer para fins de investigação 
criminal ou
instrução processual penal;
Artigo 5º
LXXII - conceder-se-á "habeas-
data":
a) para assegurar o
conhecimento
de informações relativas à 
pessoa
do impetrante, constantes de
registros ou bancos de dados
de entidades governamentais
ou de caráter público;
b)para a retificação de dados, 
quando não se prefira fazê-lo 
por processo sigiloso, judicial 
ou administrativo;
Habeas
Data
Constituição Federal
/ Lei 9.507/97
Art. 4º
Para os efeitos desta Lei, 
considera-se:
IV - informação pessoal: aquela 
relacionada à pessoa natural 
identificada ou identificável;
Lei de 
Acesso
à Informação
Lei 12.527/2011
Seção V - Das Informações Pessoais
Art. 31. O tratamento das informações 
pessoais deve ser feito de forma 
transparente e com respeito à intimidade, 
vida privada, honra e imagem das 
pessoas, bem como
às liberdades e garantias individuais.
§ 1º As informações pessoais, a que 
se refere este artigo, relativas à 
intimidade, vida privada, honra e 
imagem:
I.- terão seu acesso restrito, 
independentemente de classificação de 
sigilo e pelo prazo máximo de 100 (cem) 
anos a contar da sua data de produção, 
a agentes públicos legalmente 
autorizados e à pessoa
a que elas se referirem; e
II.- poderão ter autorizada sua 
divulgação ou acesso por terceiros 
diante de previsão legal ou 
consentimento expresso da pessoa a 
que elas se referirem.
§ 2º Aquele que obtiver acesso às 
informações de que trata este artigo será 
responsabilizado por seu uso indevido.
Lei de 
Acesso
à Informação
Lei 12.527/2011
§ 3º O consentimento referido no inciso II 
do
§ 1º não será exigido quando as 
informações
forem necessárias:
I.- à prevenção e diagnóstico médico, 
quando
a pessoa estiver física ou legalmente 
incapaz,
e para utilização única e exclusivamente
para
o tratamento médico;
II.- à realização de estatísticas e pesquisas 
científicas de evidente interesse público ou 
geral, previstos em lei, sendo vedada a 
identificação da pessoaa que as informações 
se referirem;
III.- ao cumprimento de ordem judicial; 
IV - à defesa de direitos humanos; ou
V - à proteção do interesse público e geral 
preponderante.
Lei de 
Acesso
à Informação
Lei 12.527/2011
O Marco Civil da Internet não garante a 
privacidade e a proteção de dados de 
forma abrangente, completa e 
estruturada.
Nem todas as disposiçõessobre 
proteção de dados são de natureza 
protetiva
O Marco Civil da Internet não é uma
normativa geral sobre proteção de
dados pessoais
Marco
Civil da
Internet
Lei 12965/2014
Art. 3º A disciplina do uso da 
internet no Brasil tem os seguintes 
princípios:
…
II.- proteção da privacidade;
III.- proteção dos dados pessoais, 
na forma da lei;
Marco
Civil da
Internet
Art. 7º O acesso à internet é essencial 
ao exercício da cidadania, e ao usuário 
são assegurados os seguintes direitos:
I.- inviolabilidade da intimidade e da 
vida privada, sua proteção e 
indenização pelo dano material ou 
moral decorrente de sua violação;
II.- inviolabilidade e sigilo do fluxo de 
suas comunicações pela internet, 
salvo por ordem judicial, na forma da 
lei;
III.- inviolabilidade e sigilo de suas 
comunicações privadas 
armazenadas, salvo por ordem judicial;
Marco
Civil da
Internet
VII - não fornecimento a terceiros de 
seus dados pessoais, inclusive 
registros de conexão, e de acesso a 
aplicações de internet, salvo mediante 
consentimento livre, expresso e 
informado ou nas hipóteses previstas 
em lei;
…
IX - consentimento expresso sobre 
coleta, uso, armazenamento e 
tratamento de dados pessoais, que 
deverá ocorrer de forma destacada 
das demais cláusulas contratuais;
Marco
Civil da
Internet
VIII - informações claras e 
completas sobre coleta, uso, 
armazenamento, tratamento
e proteção de seus dados pessoais,
que somente poderão ser utilizados
para finalidades que:
a) justifiquem sua coleta;
b)não sejam vedadas pela legislação; 
e
c)estejam especificadas nos 
contratos de prestação de serviços ou 
em termos de uso de aplicações de 
internet;
Marco
Civil da
Internet
X - exclusão definitiva dos dados 
pessoais que tiver fornecido a 
determinada aplicação de internet, a 
seu requerimento, ao término da 
relação entre as partes, ressalvadas 
as hipóteses de guarda obrigatória 
de registros previstas nesta Lei;
Marco
Civil da
Internet
Proteção de dados
Direito fundamental?
• A proteção de dados pessoais, até 
recentemente, não era tratada como um 
direito fundamental
em nosso ordenamento
• O STF, em 2020, passou a reconhecer um 
direito fundamental à proteção de dados em 
nosso ordenamento, em decisão acerca da 
MP 954/2020.
Carta dos 
Direitos
Fundamentais 
da União 
Europeia
Artigo 7º
Respeito pela vida 
privada e familiar
Todas as pessoas têm direito ao 
respeito pela sua vida privada e 
familiar, pelo seu domicílio e pelas 
suas comunicações.
Artigo 8º
Proteção de dados 
pessoais
Todas as pessoas têm direito à
proteção dos dados de carácter
pessoal que lhes digam respeito.
Esses dados devem ser objecto de 
um tratamento leal, para fins 
específicos e com o consentimento 
da pessoa interessada ou com outro 
fundamento legítimo previsto por 
lei. Todas as pessoas têm o direito 
de aceder aos dados coligidos que 
lhes digam respeito e de obter a 
respectiva rectificaçao.
3. O cumprimento destas regras fica 
sujeito a fiscalização por parte de 
uma autoridade independente.
MPV n. 954/2020:
Art. 2º As empresas de 
telecomunicação prestadoras 
do STFC e do SMP deverão 
disponibilizar à Fundação 
IBGE, em meio eletrônico, a 
relação dos nomes, dos 
números de telefone e dos 
endereços de seus 
consumidores, pessoas físicas 
ou jurídicas.
§ 1º Os dados de que trata o 
caput serão utilizados direta e 
exclusivamente pela Fundação 
IBGE para a produção 
estatística oficial, com o 
objetivo de realizar entrevistas 
em caráter não presencial no 
âmbito de pesquisas 
domiciliares.
Brasil
Medida Cautelar 
nas ADIs 6387,
6388, 6389,
6390 e 6393
(1)Violação à inviolabilidade da vida 
privada e da intimidade, ao direito à 
autodeterminação informativa, ao 
direito
à privacidade e à proteção de dados 
pessoais.
(2)A desproporcionalidade entre os 
dados necessários para a pesquisa 
amostral visada e a imposição de 
compartilhamento dos dados pessoais 
de milhões de brasileiros;
(3)Prazo exíguo para a discussão 
e implementação das medidas;
(4)Previsão de um relatório de impacto 
à proteção de dados pessoais cuja 
elaboração seria feita depois do 
compartilhamento e do processamento 
dos dados coletados, e não antes.
(5)O caráter vago e genérico da 
redação normativa empregada frente 
aos riscos envolvidos, não detalhando a 
finalidade
do tratamento de dados almejado 
e não descrevendo minimamente
quais procedimentos de segurança
seriam adotados
Brasil
Medida Cautelar 
nas ADIs 6387,
6388, 6389,
6390 e 6393
Reconhecimento de um Direito
Fundamental à Proteção de 
DadVoOTsO (Min. Gilmar Mendes)
“A autonomia do direito fundamental em jogo na presente 
ADI exorbita, em essência, de sua mera equiparação com 
o conteúdo normativo da cláusula de proteção ao sigilo.
A afirmação de um direito fundamental à privacidade e à
proteção de dados pessoais deriva, ao contrário, de uma
compreensão integrada do texto constitucional lastreada
(i)no direito fundamental à dignidade da pessoa 
humana,
(ii)na concretização do compromisso permanente de 
renovação
da força normativa da proteção constitucional à 
intimidade
(art. 5o, inciso X, da CF/88) diante do espraiamento de 
novos riscos derivados do avanço tecnológico e ainda
(iii)no reconhecimento da centralidade do Habeas Data 
enquanto instrumento de tutela material do direito à 
autodeterminação informativa.”
VOTO (Min. Ricardo Lewandowski)
“Aliás, todos nós sabemos que, nos dias que 
correm, o número de uma linha celular, por 
exemplo, tem a finalidade muito maior do que, 
singelamente, servir para que pessoas telefonem 
umas paras as outras. Na
verdade, esse número serve como chave de 
identificação e de acesso a um universo 
de plataformas eletrônicas, como bancos,
supermercados, serviços públicos e redes sociais, 
todos elas detentoras das mais variadas 
informações sobre o titular daquela linha telefônica. 
[...]
É preciso ficar claro, portanto, que não se
está a falar de informações insignificantes, mas 
da chave de acesso a dados de milhões de 
pessoas, com alto valor para execução
de políticas públicas, é verdade, mas também com 
provável risco de adoção de expedientes, por 
vezes, dissimulados, obscuros,
que possam causar desassossego na 
vida diária do indivíduo.”
Não há dados insignificantes
VOTO (Min. Rosa Weber)
“Certamente há quem ainda se lembre 
de que há poucas décadas, antes da
ubiquidade da telefonia móvel, era comum a 
edição de listas telefônicas impressas 
contendo nomes, telefones
e endereços dos assinantes residenciais e 
comerciais dos serviços de telefonia
em uma dada localidade.
Além de ser facultado aos usuários dos 
serviços de telefonia optarem pela exclusão 
dos próprios dados dessas listas, é crucial ter 
presente que o que podia ser feitos a partir 
da publicização de tais dados pessoais não 
se compara ao que pode ser feito no 
patamar tecnológico atual, em que 
poderosas tecnologias de processamento, 
cruzamento e filtragem de dados permitem 
a formação de perfis individuais 
extremamente detalhados.”
Lei Geral de Proteção 
de Dados Pessoais 
LGPD
Lei 13.709, de 14 de agosto de 2018
Aprovação por unanimidade 
Câmara e Senado após 8 anos de 
debate
Lei 13.709/2018:
Institui 
novo 
paradigma 
de proteção 
de dados no
Brasil
Lei Geral de
Proteção
de Dados
Objetivos
• Criar ferramentas e processos 
para a proteção e controle do 
cidadão quanto ao uso dos seus 
dados
• Estabelecer regras claras para 
que empresas e organizações 
usem legitimamente dados 
pessoais nas suas atividades e 
favorecer o livre fluxo de dados 
pessoais
A Lei Geral 
de Proteção 
de Dados
• Uma lei sobre sigilo e segredo
das informações pessoais;
• Uma lei que meramente 
restringe o acesso e o fluxo de 
informações pessoais
A Lei Geral 
de Proteção 
de Dados
é
Novo pacto realizado pela 
Sociedade para a garantia da 
proteção e do fluxo e utilizaçãolegítima de dados pessoais
Lei 13.709/2018:
Lei Geral
de
Proteção
de Dados
• Estabelece parâmetros para que 
empresas e organizações tratem 
dados pessoais com garantia e 
segurança
• Estabelece diversas possibilidades 
de uso legítimo de dados pessoais 
(10 hipóteses)
• Favorece o uso de dados pessoais 
para situações como pesquisa 
científica e proteção da saúde e da 
vida - ela é importante, por exemplo, 
para possibilitar
o monitoramento de casos e de 
índices de isolamento social durante 
a pandemia
Lei 13.709/2018:
Lei Geral
de
Proteção
de Dados
• A Lei Geral de Proteção de Dados -
LGPD - é uma lei federal, de 
abrangência nacional e de alcance 
extraterritorial.
É um marco regulatório que visa 
criar regras uniformes sobre o 
fluxo e a proteção de dados 
pessoais no país.
Tem natureza multisetorial, pois 
afeta todos os setores da 
sociedade, incluindo o setor público, 
e transversal, vez que que incide 
sobre todas as atividades 
desenvolvidas por quem trata dados 
de pessoas físicas, em todos os 
níveis operacionais e 
organizacionais.
•
•
A disciplina da proteção de dados pessoais 
tem como fundamentos:
I.- o respeito à privacidade;
II.- a autodeterminação informativa;
III.- a liberdade de expressão, de
informação, de comunicação e de opinião;
IV.- a inviolabilidade da intimidade, da honra
e da imagem;
V.- o desenvolvimento econômico e 
tecnológico e a inovação;
VI.- a livre iniciativa, a livre concorrência e a 
defesa do consumidor; e
VII.- os direitos humanos, o livre 
desenvolvimento da personalidade, a 
dignidade e o exercício da cidadania pelas 
pessoas naturais.
LGPD, Art. 2º
A Lei Geral 
de Proteção 
de Dados
Fundamentos
Quando a 
LGPD se aplica
LGPD, art. 3º
• Todos os tratamentos de dados pessoais
- Em território nacional
- Dirigidos a pessoa no território nacional
- Com dados coletados em território nacional
Quando 
a LGPD
se aplica
Art. 3º Esta Lei aplica-se a qualquer 
operação de tratamento realizada por 
pessoa natural ou por pessoa jurídica 
de direito público ou privado, 
independentemente do meio, do país de 
sua sede ou do país onde estejam
localizados os dados, desde que: 
I - a operação de tratamento seja
realizada no território nacional;
II.- a atividade de tratamento tenha por 
objetivo a oferta ou o fornecimento de 
bens ou serviços ou o tratamento de 
dados de indivíduos localizados no 
território nacional;
III.- os dados pessoais objeto do 
tratamento tenham sido coletados no 
território nacional.
Quando a LGPD 
não se aplica
LGPD, art. 4º
• Tratamentos para fins 
exclusivamente pessoais
• Tratamentos para fins 
artísticos, jornalísticos ou 
acadêmicos
• Tratamentos em determinados 
setores
Quando 
a LGPD
não se 
aplica
Art. 4º Esta Lei não se aplica ao 
tratamento de dados pessoais:
I - realizado por pessoa natural para
fins exclusivamente particulares e não 
econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b)acadêmicos, aplicando-se a esta 
hipótese os arts. 7o e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e
repressão de infrações penais;
Anteprojet 
o de Lei de 
proteção 
de dados
para 
segurança 
pública e 
investigaç
ões 
criminais
Conceitos
Lei 13.709, de 14 de agosto de 2018
•
•
•
•
•
•
•
•
•
•
Dado pessoal
Dado pessoal sensível 
Dado anonimizado 
Dado pseudonimizado* 
Tratamento
Titular 
Controlador 
Operador 
Encarregado 
Anonimização
Conceitos 
Fundamentais da LGPD
•
•
•
•
•
•
•
Consentimento 
Bloqueio 
Eliminação
Transferência internacional 
Uso compartilhado
Relatório de impacto à proteção 
de dados pessoais
Autoridade Nacional de Proteção 
de Dados
LGPD, art 5º
Dado 
pessoal
informação relacionada a pessoa natural 
identificada ou identificável;
Art. 5º, I
Dado 
pessoal
somente pessoa natural
Portanto, a LGPD protege somente dados de 
pessoas naturais, cidadãos, independente da 
nacionalidade.
A LGPD não se aplica para dados de pessoas 
jurídicas - empresas ou organizações
Estas podem proteger seus próprios dados com 
o auxílio de normas sobre segredo comercial e 
industrial, bancário, fiscal, propriedade 
intelectual e outras.
Portanto, a LGPD foi concebida para proteger
o cidadão por meio da proteção de seus dados
pessoais
Dado 
pessoal 
Sensível
Dado pessoal sobre origem racial ou 
étnica, convicção religiosa, opinião 
política, filiação a sindicato ou a 
organização de caráter religioso, 
filosófico ou político, dado referente à 
saúde ou à vida sexual, dado genético 
ou biométrico, quando vinculado a uma 
pessoa natural;
Art. 5º, II
Dado 
anonimizado
dado relativo a titular que não 
possa ser identificado, 
considerando a utilização de meios 
técnicos razoáveis e disponíveis na 
ocasião de seu tratamento;
Art. 5, III
Anonimização
utilização de meios técnicos 
razoáveis e disponíveis no 
momento do tratamento, por meio 
dos quais um dado perde a 
possibilidade de associação, 
direta ou indireta, a um indivíduo;
Art. 5, XI
Algumas precauções na anonimização e isso de 
dados anonimizado são necessárias.
Os dados anonimizados serão considerados 
como dados pessoais e, portanto, sujeitos à 
LGPD sempre que:
-o processo de anonimização ao qual foram 
submetidos for revertido ou quando, com 
esforços razoáveis, puder ser revertido.
-Se forem utilizados para a formação do perfil
comportamental de uma determinada pessoa
natural, identificada.
Art. 12, caput e § 3º
Dado 
anonimizado e 
anonimização
Titular
pessoa natural a quem se 
referem os dados pessoais que 
são objeto de tratamento;
Art. 5º, V
Tratamento
toda operação realizada com dados 
pessoais, como as que se referem a 
coleta, produção, recepção, 
classificação, utilização, acesso, 
reprodução, transmissão, distribuição, 
processamento, arquivamento, 
armazenamento, eliminação, avaliação 
ou controle da informação, modificação, 
comunicação, transferência, difusão ou 
extração;
Art. 5º, X
Controlador
pessoa natural ou jurídica, de direito público 
ou privado, a quem competem as decisões 
referentes ao tratamento de dados pessoais;
Art. 5º, VI
Operador
pessoa natural ou jurídica, de direito 
público ou privado, que realiza o tratamento 
de dados pessoais em nome do controlador;
Art. 5º, VII
Encarregado
pessoa indicada pelo controlador e 
operador para atuar como canal de 
comunicação entre o controlador, os 
titulares dos dados e a Autoridade 
Nacional de Proteção de Dados (ANPD);
Art. 5º, VIII
Consentimento
manifestação livre, informada e 
inequívoca pela qual o titular concorda 
com o tratamento de seus dados pessoais 
para uma finalidade determinada;
Art. 5º, XII
Eliminação
exclusão de dado ou de conjunto de 
dados armazenados em banco de 
dados, independentemente do 
procedimento empregado;
Art. 5º, XIV
Transferência 
internacional 
de dados
transferência de dados pessoais 
para país estrangeiro ou 
organismo internacional do qual 
o país seja membro;
Art. 5º, XV
Princípios
Lei 13.709, de 14 de agosto de 2018
•
•
•
•
•
•
Boa-fé 
Finalidade 
Adequação 
Necessidade 
Livre acesso 
Qualidade
Princípios de 
Proteção de Dados
•
•
•
•
•
Transparência 
Segurança 
Prevenção
Não Discriminação
Responsabilização e 
prestação de contas
LGPD, art 6º
Princípio da 
Finalidade
realização do tratamento para 
propósitos legítimos, específicos, 
explícitos e informados ao titular, 
sem possibilidade de tratamento 
posterior de forma incompatível 
com essas finalidades
Art. 6º, I
Princípio da 
Adequação
compatibilidade do tratamento com as 
finalidades informadas ao titular, de 
acordo com o contexto do tratamento
Art. 6º, II
Princípio da 
Necessidade
Minimização
limitação do tratamento aomínimo 
necessário para a realização de 
suas finalidades, com abrangência 
dos dados pertinentes, 
proporcionais e não excessivos em 
relação às finalidades do tratamento 
de dados
Art. 6º, III
Princípio do 
Livre Acesso
garantia, aos titulares, de consulta 
facilitada e gratuita sobre a forma e a 
duração do tratamento, bem como sobre 
a integralidade de seus dados pessoais
Art. 6º, IV
Princípio da 
Qualidade
garantia, aos titulares, de exatidão, 
clareza, relevância e atualização 
dos dados, de acordo com a 
necessidade e para o cumprimento 
da finalidade de seu tratamento
Art. 6º, V
Princípio da 
Transparência
garantia, aos titulares, de informações 
claras, precisas e facilmente 
acessíveis sobre a realização do 
tratamento e os respectivos agentes 
de tratamento, observados os 
segredos comercial e industrial
Art. 6º, VI
Princípio da 
Segurança
utilização de medidas técnicas e 
administrativas aptas a proteger os dados 
pessoais de acessos não autorizados e de 
situações acidentais ou ilícitas de destruição, 
perda, alteração, comunicação ou difusão
Art. 6º, VII
Princípio da 
Prevenção
adoção de medidas para prevenir
a ocorrência de danos em virtude
do tratamento de dados pessoais
Art. 6º, VIII
Princípio da 
Prevenção
• Privacy by Design (PbD)
• Privacidade na concepção
Princípio 
da Não 
Discriminação
impossibilidade de realização 
do tratamento para fins 
discriminatórios ilícitos ou 
abusivos
Art. 6º, IX
Princípio da 
Responsabilização
e Prestação 
de Contas
Accountability
demonstração, pelo agente, da
adoção de medidas eficazes e capazes 
de comprovar a observância
e o cumprimento das normas de 
proteção de dados pessoais e, inclusive, 
da eficácia dessas medidas
Art. 6º, X
Bases legais
Lei 13.709, de 14 de agosto de 2018
Bases legais
para o tratamento de dados pessoais
LGPD, art. 7º
• Consentimento do titular;
• Cumprimento de obrigação 
legal ou regulatória;
• Pela administração 
pública;
• Estudos realizados por 
órgão de pesquisa;
• execução de contrato;
• Exercício regular de direitos em 
processo judicial, administrativo 
ou arbitral;
• Proteção da vida ou 
tutela da saúde;
• interesses legítimos do 
controlador ou de terceiro
• Proteção do crédito
Consentimento
mediante o fornecimento de 
consentimento pelo titular
Art. 7º, I
Obrigação 
legal ou 
regulatória
para o cumprimento de obrigação 
legal ou regulatória pelo controlador;
Art. 7º, II
Pela 
administração
pública
para o tratamento e uso compartilhado 
de dados necessários à execução de 
políticas públicas previstas em leis e 
regulamentos ou respaldadas em 
contratos, convênios ou instrumentos 
congêneres, observadas as 
disposições do Capítulo IV desta Lei;
Art. 7º, III
Pela 
administração
pública
O tratamento de dados pessoais pelas 
pessoas jurídicas de direito público 
referidas no parágrafo único do art. 1º da 
Lei no 12.527, de 18 de novembro de 
2011 (Lei de Acesso à Informação) , 
deverá ser realizado para o atendimento 
de sua finalidade pública, na 
persecução do interesse público, com o 
objetivo de executar as competências 
legais ou cumprir as atribuições legais 
do serviço público, desde que:
Art. 23
Estudos
(por órgão de pesquisa)
para a realização de estudos
por órgão de pesquisa, 
garantida, sempre que possível, 
a anonimização dos dados 
pessoais;
Art. 7º, IV
Execução 
de contrato
quando necessário para a 
execução de contrato ou de 
procedimentos preliminares 
relacionados a contrato do qual 
seja parte o titular, a pedido do 
titular dos dados;
Art. 7º, V
Exercício 
regular de 
direitos
para o exercício regular de 
direitos em processo judicial, 
administrativo ou arbitral,
Art. 7º, VI
Proteção da
vida ou 
incolumidade
física
para a proteção da vida ou 
da incolumidade física do 
titular ou de terceiro
Art. 7º, VII
Tutela 
da saúde
para a tutela da saúde, 
exclusivamente, em 
procedimento realizado por 
profissionais de saúde, 
serviços de saúde ou 
autoridade sanitária;
Art. 7º, VIII
Legítimo 
interesse
quando necessário para 
atender aos interesses 
legítimos do controlador ou 
de terceiro, exceto no caso de 
prevalecerem direitos e 
liberdades fundamentais do 
titular que exijam a proteção 
dos dados pessoais;
Art. 7º, IX
Proteção 
do crédito
X - para a proteção do 
crédito, inclusive quanto 
ao disposto na legislação 
pertinente.
Art. 7º, VII
Bases Legais para o tratamento de
dados pessoais sensíveis
LGPD, art. 11
• Consentimento específico 
e destacado do titular;
• Cumprimento de obrigação 
legal ou regulatória;
• Pela administração 
pública;
• Estudos realizados por 
órgão de pesquisa;
• Exercício regular de 
direitos em processo 
judicial, administrativo ou 
arbitral;
• Proteção da vida ou tutela 
da saúde;
• Prevenção contra fraude 
e segurança do titular
Garantia de 
prevenção à
fraude
nos processos de 
identificação e 
autenticação de cadastro 
em sistemas eletrônicos, 
resguardados os direitos 
mencionados no art. 9º 
desta Lei e exceto no 
caso de prevalecerem 
direitos e liberdades 
fundamentais do titular 
que exijam a proteção dos 
dados pessoais.
Art. 11, II, g
Regime para crianças 
e adolescentes
LGPD, art. 14
• Princípio do melhor 
interesse;
• Para crianças: 
consentimento dos pais ou 
responsáveis
• Adolescentes: participam 
da decisão;
• Deve-se verificar se o 
titular é menor;
• Informação sobre o 
tratamento para o menor.
•
•
•
•
•
•
Liberdade, intimidade e 
privacidade
Confirmação do tratamento
Acesso 
Correção 
Oposição
Anonimização, bloqueio ou 
eliminação
Direitos do titular
•
•
•
•
•
•
Eliminação 
Informação
Revogação do consentimento
Peticionar para a garantia dos 
seus direitos
Explicação e revisão de 
decisões automatizadas
Portabilidade
LGPD, arts. 17-22
Confirmação
confirmação da existência de tratamento; 
Art. 18, I
Acesso
acesso aos dados; 
Art. 18, II
Correção
ou retificação
correção de dados incompletos, inexatos ou 
desatualizados;
Art. 18, III
Anonimização
Bloqueio 
Eliminação
anonimização, bloqueio ou eliminação de dados 
desnecessários, excessivos ou tratados em 
desconformidade com o disposto nesta Lei;
Art. 18, IV
Portabilidade
portabilidade dos dados a outro fornecedor de 
serviço ou produto, mediante requisição 
expressa, de acordo com a regulamentação da 
autoridade nacional, observados os segredos 
comercial e industrial
Art. 18, V
Eliminação
eliminação dos dados pessoais tratados com 
o consentimento do titular, exceto nas 
hipóteses previstas no art. 16 desta Lei
Art. 18, VI
Oposição
O titular pode opor-se a tratamento realizado 
com fundamento em uma das hipóteses de 
dispensa de consentimento, em caso de 
descumprimento ao disposto nesta Lei.
Art. 18, § 1º
Informação
- informação das entidades públicas e 
privadas com as quais o controlador realizou 
uso compartilhado de dados;
- informação sobre a possibilidade de não 
fornecer consentimento e sobre as 
consequências da negativa;
Art. 18, VII e VIII
Informação
O titular tem direito ao acesso facilitado às 
informações sobre o tratamento de seus dados, 
que deverão ser disponibilizadas de forma 
clara, adequada e ostensiva acerca de, entre 
outras características previstas em 
regulamentação para o atendimento do princípio 
do livre acesso:
I - finalidade específica do tratamento;
II.- forma e duração do tratamento, observados 
os segredos comercial e industrial;
III.- identificação do controlador;
IV.- informações de contato do controlador;
V.- informações acerca do uso compartilhado de 
dados pelo controlador e a finalidade; VI -
responsabilidades dos agentes que realizarão o 
tratamento; e
VII - direitos do titular, com menção explícita aos 
direitos contidos no art. 18 desta Lei.
Art. 9º
Revogação do 
consentimentorevogação do consentimento, nos termos do § 5º 
do art. 8º desta Lei.
Art. 18, IX
Petição 
perante 
autoridade
O titular dos dados pessoais tem o direito de 
peticionar em relação aos seus dados contra o 
controlador perante a autoridade nacional.
Art. 18, § 1º
§ 3º Os direitos previstos neste artigo serão 
exercidos mediante requerimento expresso do 
titular ou de representante legalmente 
constituído, a agente de tratamento
Art. 18, § 3º
O direito a que se refere o § 1º deste artigo 
também poderá ser exercido perante os 
organismos de defesa do consumidor.
Art. 18, § 8º
Decisões 
automatizadas
direito à revisão
O titular dos dados tem direito a solicitar a 
revisão de decisões tomadas unicamente com 
base em tratamento automatizado de dados 
pessoais que afetem seus interesses, incluídas 
as decisões destinadas a definir o seu perfil 
pessoal, profissional, de consumo e de 
crédito ou os aspectos de sua personalidade.
Art. 20.
Decisões 
automatizadas
direito à “explicação"
O titular dos dados tem direito a solicitar a 
revisão de decisões tomadas unicamente com 
base em tratamento automatizado de dados 
pessoais que afetem seus interesses, incluídas 
as decisões destinadas a definir o seu perfil 
pessoal, profissional, de consumo e de crédito 
ou os aspectos de sua personalidade.
§ 1º O controlador deverá fornecer, sempre 
que solicitadas, informações claras e 
adequadas a respeito dos critérios e dos 
procedimentos utilizados para a decisão 
automatizada, observados os segredos 
comercial e industrial.
§ 2º Em caso de não oferecimento de 
informações de que trata o § 1º deste artigo 
baseado na observância de segredo comercial e 
industrial, a autoridade nacional poderá realizar 
auditoria para verificação de aspectos 
discriminatórios em tratamento automatizado 
de dados pessoais.
Art. 20.
Encarregado
Lei 13.709, de 14 de agosto de 2018
• Ponto focal
• Identidade e contato públicos
• Não realiza o tratamento 
de dados pessoais nem
é pessoalmente responsável 
pelo tratamento
Encarregado
• Funções externas: 
contato com titulares, 
sociedade e ANPD
• Funções internas: 
orientação
LGPD, art. 41
Encarregado
encarregado: pessoa indicada pelo 
controlador e operador para atuar como canal 
de comunicação entre o controlador, os 
titulares dos dados e a Autoridade Nacional de 
Proteção de Dados (ANPD);
Art. 5º, VIII
Atribuições do 
encarregado
Art. 41, § 2º As atividades do encarregado 
consistem em:
I.- aceitar reclamações e comunicações dos 
titulares, prestar esclarecimentos e adotar 
providências;
II.- receber comunicações da autoridade
nacional e adotar providências;
III.- orientar os funcionários e os contratados 
da entidade a respeito das práticas a serem 
tomadas em relação à proteção de dados 
pessoais; e
IV.- executar as demais atribuições 
determinadas pelo controlador ou estabelecidas 
em normas complementares.
Art. 41, § 2º
Indicação do 
Encarregado
Toda empresa deve ter um encarregado?
A princípio, sim. Isto é ressaltado para órgãos 
públicos:
Art. 23, III - seja indicado um encarregado 
quando realizarem operações de tratamento de 
dados pessoais, nos termos do art. 39 desta Lei;
Já para privados, há a expectativa de que 
eventualmente a ANPD possa estabelecer um 
critério que dispense empresas de determinado 
porte ou características:
§ 3º A autoridade nacional poderá estabelecer 
normas complementares sobre a definição e as 
atribuições do encarregado, inclusive 
hipóteses de dispensa da necessidade de sua 
indicação, conforme a natureza e o porte da 
entidade ou o volume de operações de 
tratamento de dados.
Agentes de 
tratamento
Lei 13.709, de 14 de agosto de 2018
Obrigações:
• Registro
• Relatórios
• Operador: seguir as 
instruções do Controlador
Controlador / 
Operador
LGPD, arts. 37-40, 42-45
Responsabilidade:
• Operador: na medida 
da sua atuação
• Possibilidade de 
inversão do ônus da 
prova
• Hipóteses de não 
incidência da 
responsabilização
Controlador
pessoa natural ou jurídica, de direito público 
ou privado, a quem competem as decisões 
referentes ao tratamento de dados pessoais;
Art. 5º, VI
Controlador
• O Controlador é o interessado no tratamento 
de dados. A iniciativa e decisões sobre o 
tratamento são dele
• Todo tratamento de dados pessoais tem um 
controlador
• O Tratamento pode ter mais de um 
controlador. Neste caso, são considerados 
Controladores conjuntos (ou “co-
controladores”)
• Muitas vezes, em particular em atividades ou 
empresas/ organizações de menor porte, o 
controlador realiza o tratamento de dados 
pessoais com seus próprios meios
Operador
pessoa natural ou jurídica, de direito público
ou privado, que realiza o tratamento de dados
pessoais em nome do controlador;
Art. 5º, VII
Operador
O operador deverá realizar o tratamento 
segundo as instruções fornecidas pelo 
controlador, que verificará a observância das 
próprias instruções e das normas sobre a 
matéria.
Art. 39
Operador
• O Operador é um terceiro em relação ao 
Controlador
• Ele trata os dados pessoais no interesse e de
acordo com as instruções do Controlador
Se ele tomar iniciativas próprias em relação ao
tratamento, pode passar a ser considerado um
Controlador conjunto (ou “co-Controlador”)
•
§ 1º A fim de assegurar a efetiva indenização ao 
titular dos dados:
I.- o operador responde solidariamente pelos 
danos causados pelo tratamento quando 
descumprir as obrigações da legislação de 
proteção de dados ou quando não tiver seguido 
as instruções lícitas do controlador, hipótese em 
que o operador equipara-se ao controlador, 
salvo nos casos de exclusão previstos no art. 43 
desta Lei;
II.- os controladores que estiverem diretamente 
envolvidos no tratamento do qual decorreram 
danos ao titular dos dados respondem 
solidariamente, salvo nos casos de exclusão 
previstos no art. 43 desta Lei.
Art. 42
Responsabilidade
solidariedade 
controladores conjuntos
O tratamento de dados pessoais será irregular 
quando deixar de observar a legislação ou 
quando não fornecer a segurança que o titular 
dele pode esperar, consideradas as 
circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente 
dele se esperam;
III - as técnicas de tratamento de dados 
pessoais disponíveis à época em que foi 
realizado.
Art. 44
Responsabilidade
Critérios de ilicitude do
tratamento
Tranferências 
internacionais
É legítima a
transferência
internacional
com:
• Adequação; 
Consentimento; 
Autorização da Autoridade; 
Acordos Internacionais
•
•
•
• Cláusulas corporativas globais; 
Cláusulas-padrão;
Cláusulas contratuais para determinada 
transferência;
Selos, Certificados e Códigos de Conduta
•
•
•
Adequação
• Acordo internacional
• Dispensa qualquer outra base para a 
transferência
É a mais ampla porém também a mais lenta a 
ser atingida
•
Segurança da 
informação
Segurança
da informação
LGPD, arts. 46 - 49
• Medidas de segurança
• Padrões de segurança
•
•
Incidentes de segurança
• “vazamento de dados” 
Notificação
Segurança da 
informação
Os agentes de tratamento devem adotar 
medidas de segurança, técnicas e 
administrativas aptas a proteger os dados 
pessoais de acessos não autorizados e de 
situações acidentais ou ilícitas de destruição, 
perda, alteração, comunicação ou qualquer 
forma de tratamento inadequado ou ilícito.
§ 1º A autoridade nacional poderá dispor sobre 
padrões técnicos mínimos para tornar aplicável 
o disposto no caput deste artigo, considerados a 
natureza das informações tratadas, as 
características específicas do tratamento e o 
estado atual da tecnologia, especialmente no 
caso de dados pessoais sensíveis, assim como 
os princípios previstos no caput do art. 6o desta 
Lei.
§ 2º As medidas de que trata o caput deste 
artigo deverão serobservadas desde a fase de 
concepção do produto ou do serviço até a sua 
execução.
Art. 46
Incidentes de 
segurança
"vazamentos de dados"
Devem ser comunicados ao órgão competente 
e ao titular
- será verificada a potencial extensão do dano
-medidas preventivas (utilização de criptografia) 
são levadas em consideração
-pode haver a determinação de comunicação 
pública
Art. 49. Os sistemas utilizados para o tratamento 
de dados pessoais devem ser estruturados de 
forma a atender aos requisitos de segurança, 
aos padrões de boas práticas e de governança 
e aos princípios gerais previstos nesta Lei e às 
demais normas regulamentares.
Incidentes de 
segurança
Privacy by Design
Boas práticas 
e governança
Boas práticas 
e governança
LGPD, arts. 50 - 51
• Governança de dados e boas 
práticas
• Programa de governança em 
privacidade
• Relatório de Impacto à Proteção 
de Dados Pessoais
Boas práticas e governança
Programa de governança em privacidade
1. demonstre o comprometimento do 
controlador em adotar processos e 
políticas internas que assegurem o 
cumprimento, de forma abrangente, 
de normas e boas práticas relativas à 
proteção de dados pessoais;
2. seja aplicável a todo o conjunto de 
dados pessoais que estejam sob seu 
controle, independentemente do 
modo como se realizou sua coleta;
3. seja adaptado à estrutura, à escala e 
ao volume de suas operações, bem 
como à sensibilidade dos dados 
tratados;
4. estabeleça políticas e salvaguardas 
adequadas com base em processo 
de avaliação sistemática de impactos 
e riscos à privacidade;
5. tenha o objetivo de estabelecer 
relação de confiança com o titular, por 
meio de atuação transparente e que 
assegure mecanismos de 
participação do titular;
6. festeja integrado a sua estrutura geral 
de governança e estabeleça e aplique 
mecanismos de supervisão internos e 
externos;
7. conte com planos de resposta a 
incidentes e remediação; e
8. seja atualizado constantemente com 
base em informações obtidas a partir 
de monitoramento contínuo e 
avaliações periódicas;
Relatório de 
Impacto à 
Proteção de 
Dados Pessoais
documentação do controlador que contém a 
descrição dos processos de tratamento de 
dados pessoais que podem gerar riscos às 
liberdades civis e aos direitos fundamentais, 
bem como medidas, salvaguardas e mecanismos 
de mitigação de risco;
Art. 5º, XVII
Relatório de 
Impacto à 
Proteção de 
Dados Pessoais
Requisitos mínimos
• Descrição dos tipos de dados coletados
• Metodologia utilizada para a coleta e para a 
garantia da segurança das informações
• Análise do controlador com relação a medidas, 
salvaguardas e mecanismos de mitigação de 
risco adotados.
Art. 38, parágrafo único
Autoridade Nacional 
de Proteção de Dados
ANPD
Natureza institucional e jurídica
Fica criada, sem aumento de despesa, a 
Autoridade Nacional de Proteção de Dados 
(ANPD), órgão da administração pública 
federal, integrante da Presidência da 
República.
§ 1º A natureza jurídica da ANPD é 
transitória e poderá ser transformada pelo 
Poder Executivo em entidade da 
administração pública federal indireta, 
submetida a regime autárquico especial e 
vinculada à Presidência da República.
§ 2º A avaliação quanto à transformação de 
que dispõe o § 1º deste artigo deverá ocorrer 
em até 2 (dois) anos da data da entrada em 
vigor da estrutura regimental da ANPD.
Art. 55-A
É assegurada autonomia técnica e decisória à 
ANPD.
Art,. 55-B
ANPD - composição
(art. 55-C/ LGPD e Decreto 10.474/2020)
ANPD
coordenação com reguladores e
com outros órgãos
A ANPD e os órgãos e entidades públicos 
responsáveis pela regulação de setores 
específicos da atividade econômica e 
governamental devem coordenar suas 
atividades, nas correspondentes esferas de 
atuação, com vistas a assegurar o 
cumprimento de suas atribuições com a maior 
eficiência e promover o adequado 
funcionamento dos setores regulados, 
conforme legislação específica, e o tratamento 
de dados pessoais, na forma desta Lei
Art. 55-J, 3º
A aplicação das sanções previstas nesta Lei 
compete exclusivamente à ANPD, e suas 
competências prevalecerão, no que se refere à 
proteção de dados pessoais, sobre as 
competências correlatas de outras entidades 
ou órgãos da administração pública.
Parágrafo único. A ANPD articulará sua 
atuação com outros órgãos e entidades 
com competências sancionatórias e 
normativas afetas ao tema de proteção de 
dados pessoais e será o órgão central de 
interpretação desta Lei e do estabelecimento 
de normas e diretrizes para a sua 
implementação
Art. 55-K
Conselho Nacional de Proteção 
de Dados e da Privacidade
LGPD, arts. 58-A - 58-B
• Natureza Consultuma
• Multissetorial
CNPDP - Composição
CNPDP
competências
I.- propor diretrizes estratégicas e fornecer 
subsídios para a elaboração da Política 
Nacional de Proteção de Dados Pessoais e 
da Privacidade e para a atuação da ANPD;
II.- elaborar relatórios anuais de avaliação da 
execução das ações da Política Nacional de 
Proteção de Dados Pessoais e da
Privacidade;
III.- sugerir ações a serem realizadas pela
ANPD;
IV.- elaborar estudos e realizar debates e 
audiências públicas sobre a proteção de 
dados pessoais e da privacidade;
V.- disseminar o conhecimento sobre a 
proteção de dados pessoais e da privacidade à 
população.
Art. 58-B
Sanções 
administrativas
Sanções 
administrativas
LGPD, arts. 52 - 54
• Somente podem ser aplicadas pela Autoridade Nacional 
de Proteção de Dados (ANPD)
• Entram em vigor em 1º de agosto de 2021
• A LGPD define parâmetros de aplicação
• A ANPD definirá metodologia para o cálculo das sanções
Sanções
• Advertência, com indicação de prazo para adoção 
de medidas corretivas;
• Multa simples, de até 2% (dois por cento) do 
faturamento da pessoa jurídica de direito privado, 
grupo ou conglomerado no Brasil no seu último 
exercício, excluídos os tributos, limitada, no total, a 
R$ 50.000.000,00 (cinquenta milhões de reais) por 
infração;
• Multa diária, observado o limite total a que se refere 
o inciso II;
• Publicização da infração após devidamente 
apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a 
infração até a sua regularização;
Eliminação dos dados pessoais a que se refere a 
infração;
• Suspensão parcial do funcionamento do banco de 
dados a que se refere a infração pelo período 
máximo de 6 (seis) meses, prorrogável por igual 
período, até a regularização da atividade de 
tratamento pelo controlador;
• Suspensão do exercício da atividade de 
tratamento dos dados pessoais a que se refere a 
infração pelo período máximo de 6 (seis) meses, 
prorrogável por igual período;
• Proibição parcial ou total do exercício de
atividades relacionadas a tratamento de dados.
Art. 52
Sanções
parâmetros e critérios
• a gravidade e a natureza das infrações e dos
direitos pessoais afetados;
• a boa-fé do infrator;
• a vantagem auferida ou pretendida pelo 
infrator;
• a condição econômica do infrator;
• a reincidência;
• o grau do dano;
• a cooperação do infrator;
• a adoção reiterada e demonstrada de 
mecanismos e procedimentos internos 
capazes de minimizar o dano, voltados ao 
tratamento seguro e adequado de dados, em 
consonância com o disposto no inciso II do §
2o do art. 48 desta Lei;
• a adoção de política de boas práticas e 
governança;
• a pronta adoção de medidas corretivas; e
• a proporcionalidade entre a gravidade da 
falta e a intensidade da sanção.
Art. 52, § 1º
Sanções
Dosimetria
• A autoridade nacional definirá, por meio de 
regulamento próprio sobre sanções 
administrativas a infrações a esta Lei, que 
deverá ser objeto de consulta pública, as 
metodologias que orientarão o cálculo do 
valor- base das sanções de multa.
• § 1o As metodologias a que se refere o caput 
deste artigo devem ser previamente 
publicadas, para ciência dos agentesde 
tratamento, e devem apresentar objetivamente 
as formas e dosimetrias para o cálculo do 
valor-base das sanções de multa, que deverão 
conter fundamentação detalhada de todos os 
seus elementos, demonstrando a observância 
dos critérios previstos nesta Lei.
Art. 53
Sanções
além da LGPD e ANPD
• § 2º O disposto neste artigo não substitui a 
aplicação de sanções administrativas, civis ou 
penais definidas na Lei no 8.078, de 11 de 
setembro de 1990, e em legislação 
específica.
Art 52, § 2º