Livro-Texto_Unid_I (1)

Prévia do material em texto

Autor: Prof. Emerson José Beneton
Colaboradores: Prof. Angel Antonio Gonzalez Martinez
 Profa. Christiane Mazur Doi
Lei Geral de 
Proteção de Dados
Professor conteudista: Emerson José Beneton 
Conselheiro do Ciesp – São Bernardo do Campo, membro do Comitê Brasileiro de Computadores 
e Processamento de Dados – Segurança da Informação (ABNT/CB‑21/CE‑27), da Information Systems 
Security Association (ISSA) e do conselho editorial de periódico científico da Faculdade Santo 
Agostinho (FSA) em Teresina, além de sócio de consultoria na ABC Tecnologia Comércio e Serviços em 
Informática Ltda., coordenador acadêmico na UNIP campus Paulista e Anchieta e professor na mesma 
instituição, ministrando disciplinas relacionadas a automação industrial, redes de computadores, 
análise e desenvolvimento de sistemas e gestão em tecnologia da informação. É doutorando na 
Faculdade de Medicina da USP, mestre em Engenharia de Produção pela Universidade Paulista – 
UNIP (2015), pós‑graduado em Docência do Ensino Superior pela Universidade de Nova Iguaçu (2012) 
e graduado como engenheiro eletricista pela FEI (1992).
© Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou 
quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem 
permissão escrita da Universidade Paulista.
Dados Internacionais de Catalogação na Publicação (CIP)
B465le Beneton, Emerson José.
Lei Geral de Proteção de Dados / Emerson José Beneton. – São 
Paulo: Editora Sol, 2025.
196 p., il.
Nota: este volume está publicado nos Cadernos de Estudos e 
Pesquisas da UNIP, Série Didática, ISSN 1517‑9230.
1. LGPD. 2. DPO. 3. Dados. I. Título.
CDU 347.15/.17
U521.29 – 25
Prof. João Carlos Di Genio
Fundador
Profa. Sandra Rejane Gomes Miessa
Reitora
Profa. Dra. Marilia Ancona Lopez
Vice-Reitora de Graduação
Profa. Dra. Marina Ancona Lopez Soligo
Vice-Reitora de Pós-Graduação e Pesquisa
Profa. Dra. Claudia Meucci Andreatini
Vice-Reitora de Administração e Finanças
Profa. M. Marisa Regina Paixão
Vice-Reitora de Extensão
Prof. Fábio Romeu de Carvalho
Vice-Reitor de Planejamento
Prof. Marcus Vinícius Mathias
Vice-Reitor das Unidades Universitárias
Profa. Silvia Renata Gomes Miessa
Vice-Reitora de Recursos Humanos e de Pessoal
Profa. Laura Ancona Lee
Vice-Reitora de Relações Internacionais
Profa. Melânia Dalla Torre
Vice-Reitora de Assuntos da Comunidade Universitária
UNIP EaD
Profa. Elisabete Brihy
Profa. M. Isabel Cristina Satie Yoshida Tonetto
Material Didático
Comissão editorial: 
 Profa. Dra. Christiane Mazur Doi
 Profa. Dra. Ronilda Ribeiro
Apoio:
 Profa. Cláudia Regina Baptista
 Profa. M. Deise Alcantara Carreiro
 Profa. Ana Paula Tôrres de Novaes Menezes
Projeto gráfico: Revisão:
 Prof. Alexandre Ponzetto Deirdree Sousa
 Kleber Souza
 Vitor Andrade
Sumário
Lei Geral de Proteção de Dados
APRESENTAÇÃO ......................................................................................................................................................7
INTRODUÇÃO ...........................................................................................................................................................9
Unidade I
1 INTRODUÇÃO À LGPD.................................................................................................................................... 13
1.1 História e contexto da LGPD ............................................................................................................ 13
1.1.1 Origem e evolução das leis de proteção de dados .................................................................... 13
1.1.2 Influência do GDPR europeu.............................................................................................................. 17
1.2 Panorama, princípios e objetivos da LGPD................................................................................. 22
1.2.1 Visão geral da LGPD e do GDPR ........................................................................................................ 22
1.2.2 Princípios básicos da proteção de dados ...................................................................................... 25
1.2.3 Objetivos da LGPD no contexto brasileiro .................................................................................... 29
2 DIREITOS DOS TITULARES DE DADOS ...................................................................................................... 32
2.1 Direitos básicos dos titulares ........................................................................................................... 32
2.1.1 Acesso, correção, eliminação e portabilidade dos dados ....................................................... 32
2.1.2 Direito à informação e à explicação sobre o tratamento de dados ................................... 34
2.2 Exercício dos direitos pelos titulares ............................................................................................ 39
2.2.1 Procedimentos para exercer os direitos ......................................................................................... 39
2.2.2 Responsabilidades dos controladores de dados ......................................................................... 44
Unidade II
3 AGENTES DE TRATAMENTO DE DADOS .................................................................................................. 52
3.1 Controladores e operadores de dados ......................................................................................... 52
3.1.1 Definições e responsabilidades .......................................................................................................... 52
3.1.2 Relação entre controladores e operadores ................................................................................... 57
3.2 DPO ............................................................................................................................................................ 61
3.2.1 Papel e importância do DPO .............................................................................................................. 61
3.2.2 Requisitos e responsabilidades do DPO ......................................................................................... 65
3.2.3 Matriz de responsabilidades da LGPD ............................................................................................ 68
3.2.4 A regulamentação do DPO no Brasil (CBO – 1421‑35) ........................................................... 73
3.2.5 Ferramentas de apoio para o DPO ................................................................................................... 75
3.2.6 Portais de consultas de DPO no Brasil ........................................................................................... 79
4 HIPÓTESES PARA O TRATAMENTO DE DADOS ..................................................................................... 82
4.1 Hipóteses previstas na LGPD (bases legais no GDPR) ............................................................ 82
4.1.1 Consentimento, execução de contrato, cumprimento de obrigação legal etc. ............ 82
4.2 Escolha e documentação da hipótese de tratamento .......................................................... 87
4.2.1 Critérios para escolha da base legal ................................................................................................ 87
4.2.2 Documentação e justificativa da base legal ................................................................................ 89
Unidade III
5 SEGURANÇA E GOVERNANÇA DOS DADOS ......................................................................................... 98
5.1 Medidas de segurança da informação......................................................................................... 98
5.1.1 Práticas recomendadas e padrões de segurança ....................................................................... 98
5.1.2 Gestão de incidentes de segurançaa realização de testes de penetração e 
auditorias regulares de segurança. Além disso, as organizações devem estar preparadas para responder 
rapidamente a incidentes de segurança, notificando tanto os titulares quanto as autoridades competentes 
em caso de violação.
O princípio da prevenção estabelece que as organizações devem adotar medidas para prevenir a 
ocorrência de danos em decorrência do tratamento de dados pessoais. Isso inclui a antecipação de 
riscos e a adoção de práticas proativas para mitigar esses riscos antes que eles causem prejuízos aos 
28
Unidade I
titulares. Pinheiro (2021, p. 13) argumenta que “a prevenção é um dos aspectos mais importantes da 
proteção de dados, pois promove uma abordagem de gestão de riscos que busca evitar problemas 
antes que eles ocorram”. Na LGPD, isso se traduz na necessidade de as organizações realizarem DPIAs 
e adotarem uma abordagem preventiva na gestão de dados. A prevenção é particularmente relevante 
em contextos em que o tratamento de dados pessoais envolve riscos elevados, como no uso de 
tecnologias emergentes, big data e inteligência artificial. A LGPD incentiva as organizações a adotarem 
o conceito de privacy by design, incorporando a privacidade em todas as etapas do desenvolvimento 
de produtos e serviços.
O princípio da não discriminação proíbe o uso dos dados pessoais para fins discriminatórios, ilícitos 
ou abusivos. Esse princípio é essencial para garantir que o tratamento de dados pessoais não resulte em 
discriminação contra indivíduos ou grupos com base em informações sensíveis, como origem étnica, 
religião, orientação sexual ou condição socioeconômica. Doneda (2021, p. 145) aponta que “a não 
discriminação é um princípio ético que está no cerne da proteção de dados, assegurando que todos os 
indivíduos sejam tratados com igualdade e respeito, independentemente de suas características pessoais”. 
A LGPD reforça esse princípio, estabelecendo que o tratamento de dados sensíveis deve ser realizado 
com cuidado especial para evitar qualquer forma de discriminação. A aplicação desse princípio exige que 
as organizações analisem cuidadosamente suas práticas de tratamento de dados, especialmente quando 
lidam com dados sensíveis, ou quando utilizam algoritmos que podem influenciar decisões importantes 
sobre os indivíduos. As organizações devem adotar medidas para garantir que seus processos de decisão 
sejam justos, transparentes e livres de preconceitos.
O princípio da responsabilização, ou accountability, é um dos pilares mais robustos da LGPD e do 
GDPR. Ele exige que as organizações sejam capazes de demonstrar, a qualquer momento, a conformidade 
com as normas de proteção de dados. Isso significa que as empresas não apenas devem cumprir as regras, 
mas também devem estar preparadas para provar que as cumprem. Lima e Alves (2021, p. 22) enfatizam 
que “a responsabilização é uma mudança de paradigma, que transforma a proteção de dados em uma 
responsabilidade contínua e ativa, exigindo que as organizações adotem uma postura proativa em 
relação à privacidade”. Na LGPD, esse princípio se reflete na necessidade de manter registros de todas 
as atividades de tratamento de dados, realizar auditorias regulares e adotar políticas e procedimentos 
claros para garantir a conformidade. A responsabilização também inclui a necessidade de designar um 
DPO, que é responsável por garantir a conformidade com a LGPD e atuar como ponto de contato entre 
a organização, os titulares de dados e a ANPD. Além disso, as organizações devem estar preparadas para 
cooperar com a ANPD em caso de investigações ou auditorias.
Os princípios básicos da proteção de dados estabelecidos pela LGPD são fundamentais para garantir 
que o tratamento de dados pessoais seja conduzido de maneira ética, legal e segura. Esses princípios 
não apenas protegem os direitos dos titulares, mas também promovem a confiança e a transparência 
nas relações entre indivíduos e organizações. A conformidade com esses princípios é essencial para 
qualquer organização que opere com dados pessoais, independentemente de seu tamanho ou setor de 
atuação. À medida que avançamos no estudo da LGPD, será importante entender como esses princípios 
se aplicam na prática e como as organizações podem integrá‑los em suas operações diárias para garantir 
a proteção eficaz dos dados pessoais.
29
LEI GERAL DE PROTEÇÃO DE DADOS
 Lembrete
Os conceitos de privacy by design e privacy by default são 
fundamentais para a proteção de dados pessoais na LGPD. Enquanto o 
privacy by design enfatiza que a privacidade deve ser integrada a todas 
as fases do desenvolvimento de sistemas e processos, desde a concepção 
até sua execução, o privacy by default garante que as configurações 
padrões protejam os dados pessoais, limitando sua coleta, uso e 
compartilhamento ao mínimo necessário para a proposta específica. 
Esses princípios, originalmente introduzidos no contexto do GDPR, não 
apenas promovem a conformidade legal, mas também reforçam uma 
abordagem ética e preventiva à proteção de dados, colocando os direitos 
dos titulares no centro das decisões organizacionais. Implementá‑los não é 
apenas uma exigência normativa, mas também um diferencial competitivo 
em um mercado cada vez mais atento à privacidade.
 
1.2.3 Objetivos da LGPD no contexto brasileiro
Abordaremos em profundidade os objetivos da LGPD no contexto brasileiro, destacando sua 
relevância para a sociedade, as empresas e o governo e analisando como ela se posiciona no cenário 
global de proteção de dados.
Um dos principais objetivos da LGPD é a proteção dos direitos fundamentais dos indivíduos, 
especialmente os direitos a liberdade, privacidade e livre desenvolvimento da personalidade. Eles são 
garantidos pela Constituição Federal de 1988 e reforçados pela LGPD. Segundo Doneda (2021, p. 28), “a 
LGPD materializa o direito à privacidade e à proteção de dados, que são considerados direitos humanos 
fundamentais no Brasil, assegurando que os indivíduos tenham controle sobre suas informações pessoais”. 
A lei garante que os titulares dos dados possam exercer seus direitos de maneira plena, incluindo o direito 
de acesso, correção, portabilidade e eliminação de seus dados. A proteção dos direitos fundamentais 
também se reflete na obrigatoriedade de obtenção de consentimento explícito dos titulares para o 
tratamento de seus dados, exceto em situações previstas na própria lei. Isso promove a autonomia 
e a autodeterminação informativa dos indivíduos, permitindo‑lhes decidir como seus dados pessoais 
serão utilizados.
A LGPD busca promover a transparência no tratamento de dados pessoais, exigindo que 
as organizações sejam claras e acessíveis em suas práticas de coleta, uso, armazenamento e 
compartilhamento de dados. A transparência é essencial para a construção de confiança entre 
os titulares de dados e as organizações que os tratam. Lima e Alves (2021, p. 19) afirmam que “a 
promoção da transparência é um dos pilares da LGPD, pois permite que os indivíduos compreendam 
como suas informações pessoais são tratadas e possam tomar decisões informadas sobre o uso de 
seus dados”. A LGPD estabelece que as organizações devem fornecer informações detalhadas sobre 
suas práticas de tratamento de dados, incluindo a finalidade, a base legal e os direitos dos titulares. 
30
Unidade I
A confiabilidade no tratamento de dados é outro objetivo importante da LGPD. Para alcançar isso, a 
lei exige que as organizações implementem medidas de segurança adequadas para proteger os dados 
pessoais contra acessos não autorizados, incidentes de segurança e uso indevido. A conformidade 
com a LGPD contribui para a credibilidade das organizações e fortalece a confiança dos consumidores 
em seus serviços.
A LGPD visa estimular a criação de uma cultura de proteção de dados no Brasil, incentivando tanto 
as empresas quanto os indivíduos a adotarem práticas que respeitem a privacidade e a segurança 
das informações pessoais. Esse objetivo é especialmenterelevante em um contexto no qual o uso de 
tecnologias digitais está em crescimento exponencial e em que os dados pessoais são frequentemente 
tratados como um ativo econômico valioso. Pinheiro (2021, p. 15) destaca que “a LGPD não apenas 
regula o tratamento de dados, mas também promove uma mudança cultural, incentivando uma 
abordagem ética e responsável em relação à privacidade e à proteção de dados”. A lei estabelece a figura 
do DPO, que é responsável por garantir a conformidade com a LGPD dentro das organizações e por atuar 
como ponto de contato entre a empresa, os titulares de dados e a ANPD. O estímulo à cultura de 
proteção de dados também inclui a promoção da conscientização entre os titulares de dados sobre 
seus direitos   e a importância de proteger suas informações pessoais. A LGPD incentiva campanhas 
de educação e treinamento para que as pessoas possam reconhecer e responder adequadamente a 
situações que possam comprometer sua privacidade.
Doneda (2021, p. 18) observa que “a LGPD foi elaborada com o objetivo de alinhar o Brasil às melhores 
práticas internacionais em proteção de dados, permitindo que o país participe ativamente da economia 
digital global”. A harmonização com o GDPR é particularmente importante para empresas que operam 
internacionalmente, pois facilita a transferência de dados entre o Brasil e outras jurisdições, reduzindo 
as barreiras legais e promovendo o comércio internacional.
A LGPD também tem como objetivo incentivar a inovação e o desenvolvimento econômico no 
Brasil, promovendo a confiança no uso de tecnologias digitais e estimulando o crescimento de 
setores relacionados à proteção de dados e à segurança da informação. Ao estabelecer um ambiente 
regulatório claro e previsível, a LGPD cria condições favoráveis para o investimento em novas 
tecnologias e para a criação de novos negócios. Lima e Alves (2021, p. 31) afirmam que “a LGPD não 
é apenas uma legislação de proteção de dados, mas também um motor para a inovação, criando 
oportunidades para o desenvolvimento de soluções tecnológicas que atendam às exigências da lei”. 
Empresas que desenvolvem tecnologias de segurança da informação, plataformas de conformidade 
e serviços de consultoria em proteção de dados têm a oportunidade de crescer e prosperar em um 
ambiente regulado pela LGPD. Além disso, a LGPD incentiva as organizações a adotarem o conceito 
de privacy by design, o que não apenas melhora a segurança e a privacidade dos dados, mas também 
promove a inovação ao exigir que as empresas pensem de forma criativa sobre como proteger as 
informações pessoais de seus clientes.
A LGPD busca reduzir os riscos associados ao tratamento de dados pessoais e prevenir violações 
que possam comprometer a privacidade dos titulares. Para alcançar esse objetivo, a lei estabelece 
obrigações rigorosas para as organizações, incluindo a necessidade de realizar DPIAs e de notificar 
as autoridades e os titulares de dados em caso de incidentes de segurança. Pinheiro (2021, p. 19) 
31
LEI GERAL DE PROTEÇÃO DE DADOS
enfatiza que “a prevenção de violações de dados é uma prioridade na LGPD, que busca criar um 
ambiente onde os dados pessoais sejam tratados com o máximo cuidado e segurança”. A lei exige 
que as organizações adotem uma abordagem proativa na gestão de riscos, implementando medidas 
preventivas para evitar a ocorrência de violações e minimizando os danos em caso de incidentes. 
A redução de riscos também inclui a criação de uma cultura de conformidade dentro das organizações, 
em que todos os funcionários são responsáveis pela proteção dos dados pessoais, e a segurança da 
informação é integrada em todas as operações empresariais. A LGPD incentiva a adoção de boas 
práticas e normas de segurança, como a ISO/IEC 27.001, que estabelece requisitos para sistemas de 
gestão de segurança da informação.
A LGPD visa fortalecer a governança e a responsabilidade das organizações no tratamento de 
dados pessoais. Isso inclui a implementação de políticas e procedimentos internos que garantam a 
conformidade com a lei, a realização de auditorias regulares e a prestação de contas à ANPD. Doneda 
(2021, p. 15) destaca que “o fortalecimento da governança é um dos principais objetivos da LGPD, que 
busca garantir que as organizações sejam responsáveis e transparentes em suas práticas de tratamento 
de dados”. A responsabilidade e a prestação de contas são reforçadas pelo princípio da responsabilização 
(accountability), que exige que as organizações possam demonstrar, a qualquer momento, que estão 
em conformidade com a LGPD. Isso inclui a manutenção de registros detalhados das atividades de 
tratamento de dados, a realização de avaliações de impacto e a adoção de medidas corretivas em caso 
de não conformidade.
A LGPD também tem como objetivo estimular a competitividade e a sustentabilidade das empresas 
no Brasil, promovendo a adoção de práticas de proteção de dados como um diferencial competitivo. Em 
um mercado cada vez mais consciente da privacidade e da segurança, as empresas que demonstram 
conformidade com a LGPD podem ganhar a confiança dos consumidores e se destacar em relação à 
concorrência. Lima e Alves (2021, p. 22) expõem que “a conformidade com a LGPD pode ser um fator 
de diferenciação no mercado, especialmente em setores onde a proteção de dados é uma preocupação 
central para os consumidores”. Companhias que adotam práticas robustas de proteção de dados e 
que demonstram compromisso com a privacidade podem utilizar isso como um argumento de venda, 
atraindo clientes que valorizam a segurança de suas informações pessoais. Além disso, a LGPD incentiva 
a sustentabilidade ao promover a responsabilidade corporativa e ao exigir que as empresas considerem 
o impacto de suas práticas de tratamento de dados sobre a sociedade e o meio ambiente. A proteção de 
dados é vista como parte de um compromisso mais amplo com a ética e a responsabilidade social, e as 
empresas que aderem a esses princípios podem se beneficiar de uma reputação positiva e de relações de 
longo prazo com seus stakeholders.
Os objetivos da LGPD no contexto brasileiro são amplos e visam não apenas proteger os direitos dos 
titulares de dados, mas também promover a transparência, inovação, competitividade e responsabilidade no 
tratamento de dados pessoais. A LGPD coloca o Brasil em alinhamento com as melhores práticas internacionais 
de proteção de dados, ao mesmo tempo em que responde às necessidades e aos desafios específicos do país. 
Ao implementar a LGPD, o Brasil dá um passo importante para garantir que a privacidade e a segurança 
dos dados pessoais sejam respeitadas e promovidas em todos os setores da sociedade. Para as organizações, 
a conformidade com a LGPD não é apenas uma obrigação legal, mas uma oportunidade de fortalecer sua 
governança, melhorar suas práticas de segurança e se destacar em um mercado cada vez mais competitivo.
32
Unidade I
2 DIREITOS DOS TITULARES DE DADOS
2.1 Direitos básicos dos titulares
2.1.1 Acesso, correção, eliminação e portabilidade dos dados
A LGPD foi concebida com o propósito de fortalecer os direitos dos indivíduos sobre suas informações 
pessoais. Dentro deste arcabouço jurídico, o titular dos dados, que é a pessoa a quem se referem 
os dados pessoais, passa a ter assegurada uma série de direitos fundamentais. Entre esses direitos, 
destacam‑se os de acesso, correção, eliminação e portabilidade dos dados, que visam proporcionar ao 
titular um controle efetivo sobre suas informações. Vamos examinar cada um deles em profundidade, 
explorando suas implicações e a forma como são aplicados na prática, com base em uma sólida 
fundamentação teórica e normativa.
O direito de acesso aos dados é um dos pilares fundamentais da LGPD. Ele garante ao titular o 
direito de saber se seus dados pessoais estão sendo processados e, se assim for, obter uma cópia 
deles. Permite que os indivíduos conheçam as finalidades do tratamento, as categorias de dados 
pessoais tratados, os destinatários a quemos dados foram ou serão divulgados e o prazo previsto de 
conservação dos dados. De acordo com Doneda (2021, p. 21), “o direito de acesso é um dos direitos 
mais importantes assegurados pela LGPD, pois permite que o titular exerça efetivamente outros 
direitos, como a correção e a eliminação dos dados”. Esse direito é essencial para que os titulares 
possam verificar a exatidão das informações mantidas pelas organizações e para assegurar que 
seus dados sejam tratados de maneira transparente e segura. O direito de acesso deve ser exercido 
de forma facilitada e sem custo para o titular, exceto em casos de solicitações repetitivas ou 
excessivas, conforme previsto na LGPD. As organizações são obrigadas a fornecer uma resposta clara e 
compreensível em um prazo razoável, geralmente estipulado em 15 dias úteis, segundo a legislação 
brasileira. Essa resposta deve incluir, além dos dados pessoais em si, informações sobre a origem 
dos dados, a existência de decisões automatizadas e o processo utilizado para a tomada de tais 
decisões, se aplicável.
O direito de correção permite que os titulares exijam a retificação de seus dados pessoais, caso 
estejam incorretos, incompletos ou desatualizados. Esse direito é crucial para garantir a precisão dos 
dados, que é um dos princípios básicos da LGPD. A correção dos dados é um processo que envolve 
não apenas a atualização deles, mas também a garantia de que as informações sejam completas e 
reflitam com exatidão a realidade do titular. Lima e Alves (2021, p. 45) afirmam que “a correção dos 
dados é essencial para a manutenção da integridade das informações pessoais, e as organizações 
devem estar preparadas para corrigir quaisquer inconsistências imediatamente após serem notificadas 
pelo titular”. A precisão dos dados não é apenas uma questão de conformidade legal, mas também de 
confiança e relacionamento entre o titular e a organização. Quando o titular solicita a correção dos 
dados, a organização deve processar essa solicitação sem demora injustificada. A LGPD exige que, uma 
vez corrigidos, os dados sejam comunicados a todos os terceiros com quem foram compartilhados, de 
modo que as correções sejam refletidas em todas as bases de dados nas quais as informações estão 
armazenadas. Esse procedimento garante que as informações corretas estejam em uso em todas as 
instâncias, evitando problemas como decisões baseadas em dados incorretos.
33
LEI GERAL DE PROTEÇÃO DE DADOS
O direito de eliminação, também conhecido como direito ao esquecimento, é um dos direitos 
mais emblemáticos da LGPD. Ele permite que o titular solicite a exclusão de seus dados pessoais em 
determinadas circunstâncias, como quando os dados não são mais necessários para as finalidades para 
as quais foram coletados, quando o titular retira o consentimento que embasava o tratamento, ou 
quando os dados foram tratados de forma ilícita. De acordo com Pinheiro (2021, p. 25), “o direito de 
eliminação é uma poderosa ferramenta para que os titulares possam remover suas informações pessoais 
de sistemas que já não necessitam dos dados ou que não têm uma base legal válida para continuar o 
tratamento”. No entanto, esse direito não é absoluto e pode ser limitado em situações em que os dados 
precisam ser mantidos por razões legais, como o cumprimento de uma obrigação legal ou o exercício 
de direitos em processos judiciais. Quando um titular solicita a eliminação de seus dados, a organização 
deve responder prontamente à solicitação e garantir que os dados sejam efetivamente excluídos de 
todos os sistemas e backups. A eliminação deve ser completa e irreversível, e a organização precisa 
fornecer ao titular uma confirmação de que seus dados foram excluídos. Além disso, a eliminação 
tem de ser comunicada a todos os terceiros que tiveram acesso aos dados, de modo que eles também 
procedam com a exclusão das informações.
O direito de portabilidade permite que os titulares solicitem a transferência de seus dados pessoais para 
outro fornecedor de serviços ou produtos, sem impedimentos. Esse direito é particularmente relevante em 
mercados nos quais a mudança de fornecedor é comum, como nos serviços financeiros, telecomunicações 
e tecnologia da informação. A portabilidade dos dados visa facilitar a mobilidade dos consumidores e 
promover a concorrência leal entre os fornecedores; deve ser realizada de forma segura e em um formato 
estruturado, de uso comum e de fácil leitura, garantindo que os dados possam ser reutilizados pelo novo 
fornecedor sem dificuldades. A LGPD estabelece que a portabilidade deve ser realizada sem custos para o 
titular e em um prazo razoável. Além disso, a lei prevê que a portabilidade não deve afetar os direitos e 
liberdades de terceiros, o que significa que a transferência de dados não pode incluir informações de outras 
pessoas que não tenham consentido com o compartilhamento. Doneda (2021, p. 15) explica:
 
A portabilidade dos dados é um direito que visa empoderar os consumidores, 
permitindo‑lhes levar suas informações pessoais consigo ao mudar de 
prestador de serviço, o que pode influenciar a qualidade e a personalização 
dos serviços oferecidos.
Embora os direitos de acesso, correção, eliminação e portabilidade sejam claramente estabelecidos pela 
LGPD, sua implementação prática apresenta uma série de desafios para as organizações. Um dos principais 
desafios é a necessidade de manter sistemas de gestão de dados que sejam suficientemente flexíveis para 
atender às solicitações dos titulares em tempo hábil, sem comprometer a segurança e a integridade dos dados. 
Lima e Alves (2021, p. 9) observam que “a implementação eficaz desses direitos exige que as organizações 
invistam em tecnologia, treinamento e processos que permitam uma resposta ágil e eficiente às solicitações 
dos titulares”. As organizações precisam adotar uma abordagem centrada no titular, que coloque os direitos 
dos indivíduos no centro de suas operações de tratamento de dados. Além disso, as empresas devem estar 
preparadas para lidar com solicitações complexas que podem envolver grandes volumes de dados, ou 
que requerem a coordenação entre diferentes departamentos ou até mesmo entre diversas organizações. 
A automação de processos, o uso de inteligência artificial para a triagem de solicitações e a implementação 
de políticas claras e transparentes são algumas das estratégias que podem ajudar a superar esses desafios.
34
Unidade I
Para que tais direitos sejam plenamente exercidos, é fundamental que os titulares estejam 
cientes de seus direitos e saibam como exercê‑los de maneira eficaz. A LGPD incentiva a promoção 
de campanhas de conscientização e educação para informar os titulares sobre seus direitos e a 
importância de proteger suas informações pessoais. Pinheiro (2021, p. 20) destaca que “a educação 
dos titulares é uma peça‑chave para o sucesso da LGPD, pois permite que os indivíduos tomem 
decisões informadas sobre seus dados e exerçam seus direitos de maneira eficaz”. As organizações têm 
a responsabilidade de fornecer informações claras e acessíveis sobre como os titulares podem exercer 
seus direitos, bem como sobre os procedimentos e prazos envolvidos. Além disso, as autoridades de 
proteção de dados, como a ANPD, desempenham um papel crucial na promoção da conscientização e 
na orientação dos titulares sobre seus direitos. A ANPD deve atuar como facilitadora, garantindo que 
os titulares tenham acesso a recursos e informações que lhes permitam proteger suas informações 
pessoais de maneira eficaz.
Tais direitos são elementos essenciais da LGPD, visando garantir o controle dos titulares sobre suas 
informações pessoais. Eles não apenas protegem a privacidade dos indivíduos, mas também promovem 
a transparência, a confiança e a responsabilidade no tratamento de dados pessoais. A implementação 
desses direitos requer um esforço significativo por parte das organizações, que devem adotar tecnologias, 
processos e políticas que garantam a conformidade com a LGPD. À medidaque a LGPD continua a evoluir 
e a se consolidar no Brasil, é esperado que esses direitos se tornem cada vez mais importantes para a 
proteção dos dados pessoais e o fortalecimento da cultura de privacidade no país. As organizações que 
adotarem uma abordagem proativa e centrada no titular terão uma vantagem competitiva, ao mesmo 
tempo em que contribuem para a construção de uma sociedade mais justa e segura em termos de 
proteção de dados.
2.1.2 Direito à informação e à explicação sobre o tratamento de dados
É um dos pilares fundamentais da LGPD. Esse direito garante que os titulares tenham total clareza 
sobre como seus dados pessoais são coletados, processados, armazenados e compartilhados pelas 
organizações. Além de permitir que os indivíduos compreendam as finalidades e os meios pelos quais 
seus dados são tratados, esse direito também fortalece a transparência e a confiança entre as partes 
envolvidas. Vamos explorar em profundidade os diversos aspectos do direito à informação e à explicação 
sobre o tratamento de dados, com ênfase na sua importância, nos desafios de sua implementação e nas 
melhores práticas recomendadas pela LGPD e pelo GDPR europeu.
O direito à informação, conforme estabelecido pela LGPD, assegura que os titulares sejam 
devidamente informados sobre todas as etapas do tratamento de seus dados pessoais. Isso inclui 
informações sobre a finalidade específica da coleta, a base legal que justifica o tratamento, os 
destinatários ou categorias de destinatários dos dados, o período de retenção das informações, entre 
outros aspectos. A necessidade de transparência é essencial para garantir que os titulares tenham 
um controle efetivo sobre seus dados e possam tomar decisões informadas sobre a sua utilização. 
Segundo Doneda (2021, p. 16), “o direito à informação é a base sobre a qual se constroem todos 
os outros direitos do titular, pois sem informação adequada o exercício de direitos, como correção, 
eliminação ou portabilidade dos dados, torna‑se inviável”. O direito à informação deve ser exercido 
de forma contínua e proativa por parte das organizações, desde o momento da coleta dos dados até 
35
LEI GERAL DE PROTEÇÃO DE DADOS
o término do seu tratamento. A importância desse direito é amplificada pela complexidade crescente 
dos processos de tratamento de dados em um mundo digitalizado, no qual os dados pessoais são 
coletados e processados em larga escala. Sem um acesso claro e compreensível às informações sobre 
como seus dados são tratados, os titulares ficam em desvantagem, e as organizações correm o risco 
de perder a confiança dos consumidores.
Um dos principais aspectos do direito à informação é a obrigação das organizações de informar 
os titulares sobre as finalidades específicas para as quais seus dados pessoais estão sendo coletados e 
tratados. A LGPD exige que as finalidades sejam explícitas, legítimas e determinadas no momento da 
coleta dos dados e que qualquer mudança na finalidade seja comunicada ao titular, que deve fornecer 
novo consentimento, se necessário. Lima e Alves (2021, p. 100) destacam que “a clareza na comunicação 
das finalidades do tratamento é crucial para a construção de uma relação de confiança entre os titulares 
e as organizações”. Quando os indivíduos compreendem o propósito exato pelo qual seus dados são 
utilizados, eles se sentem mais seguros em fornecer essas informações, e as organizações têm maior 
facilidade em demonstrar conformidade com a legislação. Além disso, a definição clara das finalidades 
ajuda a limitar o uso dos dados, evitando o chamado excesso de tratamento. Isso significa que os dados 
pessoais só podem ser utilizados para os fins específicos que foram informados ao titular, evitando 
usos desnecessários ou inadequados das informações. Essa prática não apenas protege os direitos dos 
titulares, mas também ajuda as organizações a gerenciar melhor seus recursos de dados, reduzindo o 
risco de violação de privacidade.
Outro aspecto fundamental é o direito do titular de saber qual é a base legal que justifica o 
tratamento de seus dados pessoais. A LGPD, assim como o GDPR, reconhece várias bases legais para 
o tratamento de dados, incluindo o consentimento do titular, o cumprimento de uma obrigação 
legal, a execução de um contrato, o interesse legítimo do controlador, entre outras. A comunicação 
clara da base legal utilizada pela organização para tratar os dados permite que os titulares entendam 
melhor seus direitos e possam exercer esses direitos de maneira mais informada. A explicação sobre 
a base legal também é importante para assegurar que as organizações estejam em conformidade 
com a LGPD, evitando tratamentos de dados que não tenham uma justificativa legal válida. Em casos 
em que o tratamento se baseia no consentimento, por exemplo, a organização deve ser capaz de 
demonstrar que o consentimento foi obtido de forma livre, informada e inequívoca. Em situações nas 
quais o tratamento se baseia no interesse legítimo, a organização deve estar preparada para justificar 
como esse interesse se sobrepõe aos direitos e liberdades do titular.
 
A informação sobre a base legal do tratamento é essencial para que os 
titulares possam avaliar a legitimidade do tratamento de seus dados e 
para que possam contestar ou solicitar a cessação do tratamento, caso 
considerem inadequada a justificativa apresentada pela organização 
(Doneda, 2021, p. 5).
O direito à informação também inclui o direito de saber com quem os dados pessoais estão sendo 
compartilhados ou podem vir a ser compartilhados. Isso envolve a identificação dos destinatários ou 
categorias de destinatários dos dados, bem como a finalidade do compartilhamento. A LGPD exige 
que as organizações sejam transparentes em relação ao compartilhamento de dados, garantindo que 
36
Unidade I
os titulares estejam cientes de todas as transferências de suas informações. Pinheiro (2021, p. 16) 
observa que “a transparência no compartilhamento de dados é fundamental para proteger a 
privacidade dos titulares e para evitar o uso indevido das informações pessoais”. As organizações 
devem informar os titulares sobre todas as entidades com as quais seus dados podem ser compartilhados, 
incluindo parceiros comerciais, fornecedores de serviços e autoridades públicas. Além disso, em casos 
de transferência internacional de dados, a LGPD exige que as organizações informem os titulares 
sobre a transferência, os países para onde os dados serão enviados e as salvaguardas que estão sendo 
aplicadas para proteger os dados nessas jurisdições. A transparência no compartilhamento de dados é 
essencial para garantir que os titulares tenham controle sobre suas informações, mesmo quando elas 
são transferidas para fora do Brasil.
Ademais, o direito à informação inclui o direito de saber por quanto tempo os dados pessoais serão 
mantidos pela organização. A LGPD estabelece que os dados pessoais devem ser conservados apenas 
pelo período necessário para atingir as finalidades para as quais foram coletados, após o qual devem 
ser eliminados ou anonimizados. Lima e Alves (2021, p. 36) afirmam que “a comunicação clara sobre 
o período de retenção dos dados é essencial para que os titulares possam planejar o exercício de seus 
direitos, como a solicitação de eliminação dos dados ao final do período de tratamento”. O período de 
retenção deve ser proporcional à finalidade do tratamento, e as organizações devem estar preparadas 
para justificar o tempo de armazenamento dos dados. A explicação sobre o período de retenção também 
é importante para evitar o armazenamento excessivo ou desnecessário de dados, o que pode aumentar 
o risco de violações de privacidade. Ao informar os titulares sobre a duração do tratamento de seus 
dados, as organizações ajudam a garantir que as expectativas dos titulares sejam atendidas e que o 
tratamento dos dados ocorra de acordo com os princípios da necessidade e da minimização.
 Lembrete
Os direitos dos titulares de dados, previstos na LGPD, sãofundamentais 
para garantir o controle dos indivíduos sobre suas informações pessoais. 
Entre os direitos assegurados estão: o de acesso, que permite ao titular 
saber como e para que seus dados estejam sendo utilizados; o de correção, 
que garante a retificação de dados incorretos ou desatualizados; o de 
eliminação, que garante o direito de solicitar a exclusão de dados tratados 
de forma ocasional ou desnecessária; e o de portabilidade, que possibilita a 
transferência de seus dados para outra organização.
Esses direitos fortalecem a relação de confiança entre titulares e 
organizações, promovendo a transparência e a responsabilidade no 
tratamento de dados. Compreender e respeitar esses direitos não é apenas 
uma obrigação legal, mas também um passo essencial para construir uma 
cultura organizacional comprometida com a proteção da privacidade.
37
LEI GERAL DE PROTEÇÃO DE DADOS
Outro componente essencial do direito à informação é o dever das organizações de informar os 
titulares sobre seus direitos em relação aos dados pessoais. A LGPD garante aos titulares uma série de 
direitos, incluindo o direito de acesso, correção, eliminação, portabilidade e oposição ao tratamento 
de seus dados. Doneda (2021, p. 15) destaca que “as organizações têm a obrigação de informar os 
titulares sobre seus direitos de forma clara e acessível, garantindo que os indivíduos possam exercer 
esses direitos de maneira eficaz”. A informação sobre os direitos dos titulares deve ser apresentada de 
forma compreensível, utilizando linguagem clara e evitando termos técnicos que possam dificultar o 
entendimento. Além disso, as organizações devem fornecer informações detalhadas sobre como os 
titulares podem exercer seus direitos, incluindo os canais de comunicação disponíveis, os prazos para 
resposta e as etapas do processo. A disponibilização de formulários ou interfaces digitais que facilitem o 
exercício desses direitos é uma prática recomendada para garantir que os titulares possam exercer seus 
direitos de maneira rápida e eficiente.
Com o avanço da tecnologia, muitas organizações passaram a utilizar sistemas de decisão 
automatizada para processar dados pessoais e tomar decisões que afetam os titulares. A LGPD reconhece 
o direito dos titulares de serem informados sobre a existência de decisões automatizadas e de obter 
explicações sobre a lógica envolvida, bem como sobre a importância e as consequências dessas decisões. 
Pinheiro (2021, p. 24) explica que “o direito à explicação sobre decisões automatizadas é essencial para 
garantir que os titulares possam entender como as decisões que os afetam são tomadas e para assegurar 
que essas decisões sejam justas e transparentes”. As organizações devem ser capazes de explicar aos 
titulares como os algoritmos funcionam, quais dados são utilizados para treinar os modelos e quais 
critérios são aplicados para tomar decisões. Esse direito é particularmente relevante em contextos 
em que as decisões automatizadas podem ter um impacto significativo na vida dos titulares, como em 
processos de crédito, recrutamento ou seguros. A explicação clara e acessível sobre o funcionamento 
dos sistemas de decisão automatizada ajuda a prevenir discriminações ou erros que possam prejudicar 
os titulares e garante que eles tenham a oportunidade de contestar ou solicitar a revisão das decisões.
Embora o direito à informação seja fundamental para a proteção dos dados pessoais, sua 
implementação prática apresenta desafios significativos para as organizações. Um dos principais 
desafios é a necessidade de fornecer informações claras e compreensíveis em um contexto no 
qual os processos de tratamento de dados são cada vez mais complexos e técnicos.
 
A complexidade dos processos de tratamento de dados pode dificultar a 
comunicação eficaz com os titulares, especialmente quando se trata de 
explicar a lógica por trás de sistemas automatizados ou as bases legais que 
justificam o tratamento (Lima; Alves, 2021, p. 8).
As organizações precisam investir em ferramentas e estratégias que simplifiquem a comunicação 
com os titulares, utilizando uma linguagem acessível e visualizações que ajudem a tornar os dados mais 
compreensíveis. Além disso, as corporações enfrentam o desafio de garantir que as informações sejam 
atualizadas regularmente e que estejam disponíveis em todos os canais de comunicação utilizados 
pelos titulares. A criação de políticas de privacidade dinâmicas que possam ser facilmente adaptadas 
às mudanças nos processos de tratamento de dados é uma prática recomendada para garantir a 
conformidade contínua com o direito à informação.
38
Unidade I
Para garantir que o direito à informação seja plenamente respeitado, as organizações devem adotar 
uma série de melhores práticas. Entre elas, destaca‑se a importância de realizar avaliações regulares dos 
processos de tratamento de dados para identificar possíveis lacunas na comunicação com os titulares e 
garantir que todas as informações necessárias sejam fornecidas de forma clara e acessível. Doneda 
(2021, p. 14) sugere que “a realização de auditorias de privacidade e a implementação de programas 
de governança em proteção de dados são essenciais para assegurar que o direito à informação seja 
respeitado em todas as etapas do tratamento de dados”. Essas auditorias ajudam a identificar os riscos 
e a desenvolver estratégias para mitigá‑los, garantindo que os titulares sejam sempre informados de 
maneira adequada. Outra prática recomendada é a criação de interfaces digitais que facilitem o acesso 
dos titulares às informações sobre o tratamento de seus dados. Plataformas online que permitem aos 
titulares visualizar e gerenciar suas informações pessoais, acompanhar o status de suas solicitações e 
obter explicações detalhadas sobre o tratamento de seus dados são uma forma eficaz de promover a 
transparência e o controle por parte deles.
A ANPD desempenha um papel crucial na garantia do direito à informação. Como órgão responsável 
pela supervisão e fiscalização do cumprimento da LGPD, a ANPD tem a missão de orientar as organizações 
sobre como implementar o direito à informação de forma eficaz e de garantir que os titulares tenham 
acesso a informações precisas e compreensíveis sobre o tratamento de seus dados. Pinheiro (2021, p. 10) 
ressalta que “a ANPD é fundamental para a promoção de uma cultura de privacidade e para a educação 
dos titulares sobre seus direitos, incluindo o direito à informação”. A ANPD deve atuar como um ponto 
de referência para os titulares, fornecendo orientações e recursos que os ajudem a entender melhor seus 
direitos e a exercê‑los de maneira informada. Além disso, a ANPD tem a responsabilidade de fiscalizar as 
organizações e de aplicar sanções em casos de descumprimento do direito à informação. A aplicação de 
multas, advertências e outras penalidades é uma forma de garantir que as organizações levem a sério 
suas obrigações de transparência e de comunicação com os titulares.
 Saiba mais
Para compreender melhor as atribuições e o funcionamento da ANPD, 
algumas leituras e fontes são recomendadas. Essas fontes são ideais para 
aprofundar o conhecimento sobre o tema e seu impacto na proteção de dados 
no Brasil.
O portal oficial da ANPD é uma fonte essencial para quem busca informações 
atualizadas sobre regulamentações, guias de boas práticas e resoluções 
publicadas pelo órgão. Ele também disponibiliza modelos de notificações de 
incidentes de segurança e atualizações sobre as normas de desenvolvimento. 
Para mais informações, acesse o link disponível a seguir.
BRASIL. Autoridade Nacional de Proteção de Dados. [s.d.]. Disponível em: 
https://shre.ink/byNO. Acesso em: 7 jan. 2025.
39
LEI GERAL DE PROTEÇÃO DE DADOS
Outra fonte interessante é a obra de Patrícia Peck Pinheiro, que explora 
o papel da ANPD na fiscalização e promoção da proteção de dados no Brasil. 
O livro analisa casos práticos e discute as interações da ANPD com outras 
autoridades nacionais e internacionais. Paramais detalhes, leia a obra adiante.
PINHEIRO, P. P. LGPD: lei geral de proteção de dados – comentada artigo 
por artigo. 2. ed. São Paulo: Saraiva Educação, 2021.
Além disso, a ANPD publica regularmente relatórios e estudos sobre a 
aplicação da LGPD e a proteção de dados no Brasil. Esses documentos são 
uma fonte rica de informações para entender as prioridades do governo e os 
desafios enfrentados na implementação da lei.
 
O direito à informação e à explicação sobre o tratamento de dados é um dos direitos mais importantes 
assegurados pela LGPD, pois ele estabelece a base para o exercício de todos os outros direitos dos 
titulares. A implementação eficaz do direito à informação requer um compromisso significativo por parte 
das organizações, que devem adotar políticas claras, investir em tecnologia e promover uma cultura 
de privacidade em todas as suas operações. Além disso, a educação dos titulares e o papel ativo da 
ANPD são fundamentais para assegurar que o direito à informação seja plenamente respeitado. À medida 
que a LGPD continua a evoluir e a se consolidar no Brasil, o direito à informação se tornará cada vez 
mais central para a proteção dos dados pessoais e para a promoção de uma sociedade mais justa e 
transparente. As organizações que adotarem uma abordagem proativa e centrada no titular terão não 
apenas uma vantagem competitiva, mas também contribuirão para a construção de um ambiente digital 
mais seguro e confiável.
2.2 Exercício dos direitos pelos titulares
2.2.1 Procedimentos para exercer os direitos
A LGPD garante aos titulares uma série de direitos em relação aos seus dados pessoais, e o exercício 
desses direitos é um aspecto fundamental para a efetiva proteção da privacidade. No entanto, para que 
sejam exercidos de maneira prática e eficiente, é essencial que existam procedimentos claros e acessíveis. 
Detalhamos a seguir os procedimentos que devem ser seguidos pelos titulares para exercer seus direitos, 
os desafios enfrentados pelas organizações na implementação desses processos e as melhores práticas 
para garantir que os titulares possam exercer seus direitos de forma plena.
Antes de abordar os procedimentos específicos para exercer os direitos, é importante entender quais 
são esses direitos garantidos pela LGPD. Entre os principais, destacam‑se:
• Direito de acesso: os titulares têm o direito de solicitar e obter uma cópia de todos os dados 
pessoais que uma organização possui sobre eles, bem como informações sobre como esses 
dados estão sendo utilizados.
• Direito de correção: os titulares podem solicitar a correção de dados pessoais incorretos, 
desatualizados ou incompletos.
40
Unidade I
• Direito de eliminação: os titulares têm o direito de solicitar a exclusão de seus dados pessoais, 
exceto em situações em que a retenção dos dados seja necessária por motivos legais ou para a 
execução de um contrato.
• Direito de portabilidade: permite aos titulares solicitar a transferência de seus dados pessoais 
para outro controlador em um formato estruturado e de uso comum.
• Direito de oposição: os titulares podem se opor ao tratamento de seus dados pessoais em 
determinadas circunstâncias, como em casos de marketing direto.
• Direito de informação: os titulares têm o direito de serem informados sobre os processos de 
tratamento de seus dados, as finalidades e com quem esses dados são compartilhados.
• Direito à revisão de decisões automatizadas: quando decisões são tomadas exclusivamente 
com base em tratamento automatizado, os titulares têm o direito de solicitar uma revisão delas 
por uma pessoa natural.
O primeiro passo para o exercício dos direitos pelos titulares é a solicitação de acesso aos dados 
pessoais. Esse direito de acesso é a base para todos os outros, pois permite que os titulares tenham 
conhecimento completo sobre quais dados são mantidos e como são utilizados. Segundo Doneda (2021, 
p. 12), “o direito de acesso é o ponto de partida para que os titulares possam exercer controle sobre 
suas informações pessoais”. Para solicitar o acesso, os titulares devem seguir um procedimento formal 
estabelecido pela organização. A LGPD exige que as organizações forneçam canais de comunicação 
específicos para esse propósito, como portais online, endereços de e‑mail dedicados ou mesmo formas 
físicas para solicitar informações. A solicitação deve ser clara e específica, detalhando quais informações 
o titular deseja acessar. Após a solicitação, a organização tem um prazo de até 15 dias para fornecer 
uma resposta ao titular. Esse prazo pode variar dependendo da complexidade da solicitação, mas a 
organização deve sempre comunicar ao titular o status da sua solicitação e, se necessário, as razões para 
qualquer atraso.
O direito de correção possibilita que os titulares solicitem a atualização ou a correção de seus dados 
pessoais que estejam incorretos, desatualizados ou incompletos. Lima e Alves (2021, p. 26) afirmam que 
“a precisão dos dados é um requisito fundamental para a conformidade com a LGPD, e o procedimento 
para correção de dados deve ser eficiente e acessível”. Para exercer esse direito, os titulares devem 
identificar claramente quais dados precisam ser corrigidos e fornecer informações ou documentos 
que justifiquem a correção. As organizações, por sua vez, devem validar as informações fornecidas e 
atualizar os dados no menor tempo possível, garantindo que todas as cópias dos dados sejam igualmente 
corrigidas. O procedimento para retificação pode incluir a necessidade de autenticação adicional para 
evitar fraudes, especialmente em casos em que a correção pode ter implicações significativas, como a 
atualização de informações financeiras ou de identificação pessoal.
O direito de eliminação dos dados é um dos direitos mais poderosos garantidos pela LGPD. Ele permite 
que os titulares solicitem a exclusão de seus dados pessoais das bases de dados das organizações, exceto 
quando a retenção desses dados for necessária para cumprir uma obrigação legal, executar um contrato 
ou em outros casos específicos previstos pela lei. De acordo com Pinheiro (2021, p. 30), “o direito ao 
41
LEI GERAL DE PROTEÇÃO DE DADOS
esquecimento representa uma medida essencial para proteger a privacidade dos titulares, permitindo 
que eles recuperem o controle sobre suas informações pessoais”. Para exercer esse direito, os titulares 
devem submeter uma solicitação formal de eliminação, especificando quais dados devem ser removidos. 
As organizações, ao receberem essa solicitação, devem revisar os dados solicitados e verificar se existem 
obrigações legais ou contratuais que impeçam a exclusão imediata. Caso não haja impedimentos, a 
eliminação deve ser realizada de forma segura e definitiva, incluindo a remoção de todas as cópias de 
backup ou versões armazenadas em sistemas secundários.
O direito de portabilidade dos dados permite que os titulares solicitem a transferência de seus dados 
pessoais de um controlador para outro, em um formato estruturado, de uso comum e leitura automatizada. 
Esse direito é particularmente relevante em setores como o financeiro e o de telecomunicações, em que 
os titulares podem querer mudar de provedor de serviços sem perder o histórico de suas informações. 
Segundo Doneda (2021, p. 30), “a portabilidade dos dados é um direito que promove a concorrência 
entre empresas e oferece mais liberdade aos consumidores”. Para exercê‑lo, os titulares devem solicitar 
a portabilidade especificando os dados que precisam ser transferidos e o novo controlador para o 
qual os dados serão enviados. As organizações necessitam garantir que o processo de portabilidade 
seja realizado de maneira segura, sem comprometer a integridade dos dados ou a privacidade 
dos titulares. Além disso, é importante que o novo controlador seja capaz de receber e processar 
os dados no formato fornecido.
 Observação
O conceito de portabilidade de dados, amplamente discutido 
na era digital, tem raízes em uma preocupação fundamental com a 
interoperabilidadee a liberdade de escolha dos usuários. Antes mesmo do 
advento da LGPD e do GDPR, debates sobre a portabilidade já estavam 
presentes na história da tecnologia. Um marco notável foi o surgimento 
de padrões abertos nos anos 1990, como o formato PDF e os protocolos de 
e‑mail (simple mail transfer protocol – SMTP – e internet message access 
protocol – IMAP), que visavam garantir que as informações pudessem ser 
acessadas e limitadas sem restrições impostas por fornecedores específicos.
Na época, a falta de interoperabilidade era um problema significativo, 
obrigando empresas e indivíduos a ficarem presos a softwares proprietários. 
A portabilidade surgiu como uma forma de empoderar os usuários, 
permitindo que migrassem seus dados de um provedor para outro, 
promovendo maior competitividade no mercado e protegendo os direitos 
dos consumidores. Hoje, a portabilidade dos dados vai além da tecnologia; é 
reconhecida como um direito fundamental na proteção de dados pessoais, 
garantindo que os titulares tenham controle sobre suas informações em 
um mundo cada vez mais conectado.
42
Unidade I
O direito de oposição permite que os titulares se oponham ao tratamento de seus dados pessoais em 
determinadas circunstâncias, como em casos de marketing direto ou quando o tratamento é baseado no 
interesse legítimo do controlador. Lima e Alves (2021, p. 140) destacam que “o direito de oposição é uma 
ferramenta poderosa para os titulares, pois permite que eles controlem como suas informações pessoais 
são utilizadas”. Para exercer esse direito, os titulares devem submeter uma objeção formal, especificando 
as razões para a oposição. A organização deve, então, revisar o tratamento dos dados e determinar se 
existe uma base legal que justifique a continuidade do tratamento, apesar da oposição do titular. Se a 
organização decidir continuar com o tratamento, ela tem de fornecer uma justificativa clara e detalhada 
para o titular. Caso contrário, o tratamento deve ser cessado imediatamente, e os dados ser excluídos 
ou anonimizados.
Com o avanço das tecnologias de inteligência artificial e machine learning, muitas decisões que 
afetam os titulares são tomadas de forma automatizada, sem intervenção humana. O direito à revisão 
de decisões automatizadas permite que os titulares solicitem a revisão dessas decisões por uma pessoa 
natural, especialmente em casos em que as decisões têm um impacto significativo na vida dos titulares, 
como em processos de crédito ou seleção de candidatos. Pinheiro (2021, p. 60) observa que “a revisão de 
decisões automatizadas é essencial para garantir que os processos de tratamento de dados sejam justos 
e transparentes, evitando discriminação ou erros”. Para exercer esse direito, os titulares devem solicitar 
formalmente a revisão da decisão, explicando por que acreditam que a decisão automatizada pode 
estar incorreta ou ser injusta. A organização precisa, então, revisar a decisão automatizada, levando em 
consideração todos os dados relevantes e, se necessário, ajustando ou revertendo a decisão. Além disso, 
a organização deve fornecer ao titular uma explicação detalhada sobre como a decisão foi tomada e os 
fatores que influenciaram o resultado.
O direito à transparência e à informação é transversal a todos os outros direitos e exige que as 
organizações forneçam informações claras, precisas e acessíveis sobre os processos de tratamento de dados, 
as finalidades, as bases legais e os direitos dos titulares. Segundo Doneda (2021, p. 134), “a transparência 
é a base sobre a qual se constroem todos os outros direitos dos titulares, pois sem informações 
claras o exercício desses direitos se torna inviável”. As organizações devem adotar procedimentos 
específicos para garantir que os titulares tenham acesso fácil a todas as informações relevantes sobre 
o tratamento de seus dados. Isso pode incluir a disponibilização de políticas de privacidade detalhadas, 
perguntas frequentes (FAQ) em seus sites ou canais de atendimento dedicados para responder a dúvidas 
e solicitações dos titulares. Além disso, as organizações devem garantir que todas as comunicações com 
os titulares sejam realizadas em linguagem clara e compreensível, evitando jargões técnicos ou termos 
legais complexos que possam dificultar o entendimento por parte dos titulares.
A implementação dos procedimentos para o exercício dos direitos dos titulares não está isenta de 
desafios. Um dos principais desafios enfrentados pelas organizações é a necessidade de conciliar o 
cumprimento das obrigações legais com a eficiência operacional. Lima e Alves (2021, p. 155) apontam 
que “as organizações precisam desenvolver sistemas robustos e processos internos eficazes para gerenciar 
as solicitações dos titulares, garantindo que todos os prazos e requisitos legais sejam cumpridos”. Outro 
desafio significativo é a necessidade de autenticação dos titulares antes de atender às suas solicitações, 
para evitar fraudes ou acessos não autorizados. As organizações devem implementar métodos seguros 
de autenticação, mas que ao mesmo tempo não representem uma barreira excessiva para os titulares. 
43
LEI GERAL DE PROTEÇÃO DE DADOS
Além disso, a gestão das solicitações pode se tornar complexa em organizações que lidam com grandes 
volumes de dados ou que possuem múltiplas bases de dados espalhadas por diferentes sistemas. Nesse 
contexto, a integração de sistemas e a automação de processos podem ser ferramentas valiosas para 
garantir que as solicitações dos titulares sejam atendidas de forma rápida e eficiente.
Para propiciar que os titulares possam exercer seus direitos de forma plena e eficaz, as organizações 
devem adotar uma série de melhores práticas. Entre elas, destacam‑se:
• Desenvolvimento de políticas claras: as organizações devem desenvolver e documentar políticas 
claras para o tratamento de solicitações de titulares, assegurando que todos os funcionários 
envolvidos entendam seus papéis e responsabilidades.
• Capacitação de funcionários: é essencial que todos os funcionários que lidam com dados 
pessoais sejam capacitados em relação à LGPD e aos direitos dos titulares, para que possam 
responder adequadamente às solicitações.
• Automação de processos: ajuda a gerenciar grandes volumes de solicitações de titulares, 
garantindo que as respostas sejam fornecidas dentro dos prazos estabelecidos e que as solicitações 
sejam tratadas de maneira uniforme e consistente.
• Integração de sistemas de TI: auxilia a consolidar informações dispersas e garantir que as 
solicitações dos titulares sejam atendidas de forma completa e precisa, independentemente de 
onde os dados estejam armazenados.
• Comunicação transparente: as organizações devem manter uma comunicação transparente 
com os titulares, fornecendo atualizações sobre o status de suas solicitações e explicando qualquer 
atraso ou dificuldade na resposta.
• Auditorias e revisões regulares: realizar auditorias regulares dos processos de tratamento de 
solicitações de titulares pode ajudar a identificar e corrigir quaisquer falhas no sistema, garantindo 
que os direitos dos titulares sejam respeitados em todos os momentos.
O exercício dos direitos dos titulares é um componente fundamental da LGPD, que visa garantir 
que os indivíduos tenham controle sobre suas informações pessoais e que possam proteger sua 
privacidade de maneira eficaz. A implementação de procedimentos claros, acessíveis e eficientes 
para o exercício desses direitos é essencial para que a LGPD alcance seus objetivos de proteção de 
dados. As organizações que se dedicarem a desenvolver processos robustos e a adotar as melhores 
práticas estarão mais bem posicionadas para cumprir suas obrigações legais e construir uma relação 
de confiança com seus clientes e usuários. Ao mesmo tempo, os titulares de dados que estiverem 
bem informados sobre seus direitos e os procedimentos para exercê‑los terão mais facilidade para 
proteger suas informações pessoais e para garantir que seus direitos sejam respeitados.À medida que 
a LGPD continua a ser aplicada e a evoluir no Brasil, a importância dos procedimentos para o exercício 
dos direitos dos titulares só tende a crescer, e as organizações que se anteciparem a esses desafios 
terão uma vantagem competitiva significativa no mercado.
44
Unidade I
2.2.2 Responsabilidades dos controladores de dados
A LGPD estabelece um conjunto de responsabilidades específicas aos controladores de dados, que 
são as entidades ou pessoas que decidem sobre o tratamento de dados pessoais. As responsabilidades 
dos controladores são essenciais para garantir a proteção dos direitos dos titulares e assegurar que o 
tratamento de dados seja realizado de maneira legal, transparente e segura. Nesta etapa exploraremos 
em profundidade as diversas responsabilidades dos controladores de dados, destacando os requisitos 
legais, as melhores práticas e os desafios enfrentados pelas organizações na implementação dessas 
responsabilidades.
Antes de aprofundarmos as responsabilidades, é importante definir o que é um controlador de dados. 
Segundo a LGPD, o controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem 
competem as decisões referentes ao tratamento de dados pessoais. Isso significa que o controlador é 
responsável por determinar as finalidades e os meios de tratamento dos dados pessoais, sendo, portanto, 
a principal entidade responsável pela conformidade com a LGPD. Lima e Alves (2021, p. 70) destacam 
que “o controlador de dados possui uma posição central no ecossistema de proteção de dados, pois é 
ele quem define como e por que os dados são coletados, utilizados e compartilhados”. Esta posição de 
centralidade traz consigo uma série de obrigações que devem ser cumpridas para garantir a proteção 
dos dados pessoais e o respeito aos direitos dos titulares.
Um dos princípios fundamentais da LGPD é o da responsabilidade e da prestação de contas, também 
conhecido como accountability. Ele estabelece que os controladores de dados devem ser capazes de 
demonstrar que cumprem com todas as obrigações legais relacionadas ao tratamento de dados pessoais. 
Pinheiro (2021, p. 70) afirma que “o princípio da accountability exige que os controladores não apenas 
sigam as normas de proteção de dados, mas também sejam capazes de demonstrar essa conformidade 
para autoridades e titulares”. Para isso, os controladores necessitam adotar políticas de privacidade 
robustas, implementar medidas de segurança adequadas, realizar avaliações de impacto e manter 
registros detalhados de todas as atividades de tratamento de dados. A prestação de contas é um 
elemento essencial para garantir a transparência e a confiança no tratamento de dados pessoais. Os 
controladores devem estar preparados para fornecer evidências de conformidade, responder a auditorias 
e investigações conduzidas pela ANPD e tomar medidas corretivas em caso de violações ou falhas.
Uma das responsabilidades primárias dos controladores é definir claramente as finalidades para as quais 
os dados pessoais serão tratados e identificar as bases legais que justificam esse tratamento. A LGPD exige 
que o tratamento de dados seja realizado apenas para finalidades legítimas e explícitas aos titulares e que 
cada atividade de tratamento seja respaldada por uma base legal adequada. Doneda (2021, p. 43) explica 
que “a definição clara das finalidades e a identificação das bases legais são fundamentais para garantir que 
o tratamento de dados seja lícito e transparente”. Os controladores devem comunicar essas finalidades 
aos titulares no momento da coleta dos dados e garantir que qualquer alteração nas finalidades seja 
previamente informada e, quando necessário, aprovada pelos titulares. As bases legais previstas na LGPD 
incluem, entre outras, o consentimento do titular, a execução de um contrato, o cumprimento de uma 
obrigação legal, a proteção da vida ou da saúde e a tutela dos interesses legítimos do controlador ou de 
terceiros. É responsabilidade do controlador selecionar e documentar a base legal adequada para cada 
atividade de tratamento, assegurando que essa escolha seja justificada e proporcional à finalidade.
45
LEI GERAL DE PROTEÇÃO DE DADOS
A segurança dos dados pessoais é uma das responsabilidades mais críticas dos controladores de 
dados. A LGPD exige que os controladores adotem medidas técnicas e administrativas adequadas para 
proteger os dados contra acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer 
forma de tratamento inadequado ou ilícito. Lima e Alves (2021, p. 120) ressaltam que “a implementação 
de medidas de segurança é um dos pilares da proteção de dados, e os controladores devem adotar 
uma abordagem proativa para identificar e mitigar riscos”. Isso inclui a realização de avaliações de 
risco regulares, a implementação de controles de acesso rigorosos, a criptografia de dados sensíveis e a 
utilização de sistemas de monitoramento e detecção de intrusões. Além disso, os controladores devem 
garantir que todos os funcionários e parceiros que têm acesso aos dados pessoais sejam treinados 
em práticas de segurança da informação e estejam cientes das suas responsabilidades em relação à 
proteção de dados. A falta de medidas de segurança adequadas pode resultar em graves consequências, 
incluindo vazamentos de dados, perda de confiança por parte dos titulares e penalidades severas por 
parte da ANPD.
Outro aspecto importante das responsabilidades dos controladores é a resposta a incidentes de 
segurança que possam comprometer os dados pessoais. A LGPD exige que, em caso de violação de dados 
pessoais que possa resultar em risco ou dano relevante aos titulares, o controlador notifique a ANPD e 
os próprios titulares, conforme o caso. Pinheiro (2021, p. 120) aponta que “a capacidade de responder 
rapidamente a incidentes de segurança e de comunicar as violações de forma transparente é crucial 
para minimizar os danos e manter a confiança dos titulares”. Os controladores devem estabelecer 
planos de resposta a incidentes que incluam procedimentos claros para a detecção, análise, contenção 
e mitigação de incidentes de segurança, bem como para a comunicação eficaz com todas as partes 
afetadas. A comunicação de uma violação de dados tem de incluir informações sobre a natureza dos 
dados afetados, as medidas tomadas para mitigar os efeitos adversos, as ações recomendadas aos 
titulares para se protegerem e as medidas que estão sendo implementadas para evitar que a violação se 
repita. O não cumprimento dessas obrigações pode resultar em sanções por parte da ANPD e em ações 
judiciais por parte dos titulares.
As DPIAs são ferramentas fundamentais para os controladores identificarem e mitigarem os riscos 
associados ao tratamento de dados pessoais. A LGPD incentiva os controladores a realizarem avaliações 
de impacto em situações em que o tratamento de dados possa resultar em alto risco para os direitos 
e liberdades dos titulares. Doneda (2021, p. 54) destaca que “as DPIAs são essenciais para uma gestão 
eficaz da privacidade, pois permitem que os controladores antecipem problemas e adotem medidas 
preventivas”. As avaliações de impacto devem ser documentadas e podem ser exigidas pela ANPD como 
parte do processo de fiscalização ou em resposta a queixas dos titulares. Além das avaliações de impacto, 
os controladores necessitam realizar auditorias de privacidade regulares para garantir que todas as 
políticas e práticas de proteção de dados estejam sendo seguidas. Essas auditorias ajudam a identificar 
possíveis falhas ou lacunas na conformidade, permitindo que os controladores adotem ações corretivas 
antes que ocorram violações de dados.
Os controladores de dados frequentemente contratam operadores, que são terceiros responsáveis 
pelo tratamento de dados em nome do controlador. A LGPD estabelece que os controladores são 
responsáveis por garantir que os operadores cumpram com as normas de proteção de dados e que o 
tratamento realizado por eles seja seguroe em conformidade com as instruções do controlador. Lima e 
46
Unidade I
Alves (2021, p. 101) afirmam que “a contratação de operadores requer uma diligência rigorosa por parte 
dos controladores, que devem assegurar que os contratos estabeleçam claramente as responsabilidades 
e as medidas de segurança a serem adotadas pelos operadores”. Isso inclui cláusulas contratuais 
específicas que determinem a forma como os dados serão tratados, as medidas de segurança a serem 
implementadas e os procedimentos para a devolução ou eliminação dos dados ao término do contrato. 
Além disso, a LGPD impõe restrições à transferência de dados pessoais para terceiros, especialmente em 
casos de transferência internacional de dados. Os controladores devem assegurar que as transferências 
internacionais sejam realizadas para países que ofereçam um nível de proteção de dados adequado ou 
que sejam respaldadas por mecanismos legais apropriados, como cláusulas contratuais padrão ou regras 
corporativas vinculantes.
Os controladores de dados têm a responsabilidade de garantir que os direitos dos titulares, conforme 
estabelecidos pela LGPD, sejam respeitados e que as solicitações dos titulares sejam respondidas de 
forma oportuna e eficaz. Isso inclui o direito de acesso, correção, eliminação, portabilidade, oposição, 
entre outros. Pinheiro (2021, p. 90) destaca que “a capacidade dos controladores de responder às 
solicitações dos titulares de forma eficiente e dentro dos prazos estabelecidos pela LGPD é um 
indicador‑chave da conformidade com a lei”. Doneda (2021, p. 65) enfatiza que “os controladores 
devem estabelecer processos claros e acessíveis para que os titulares possam exercer seus direitos 
e devem fornecer respostas completas e transparentes dentro do prazo legal de 15 dias”. A resposta 
às solicitações dos titulares deve incluir todas as informações relevantes, e os controladores precisam 
garantir que qualquer recusa em atender a uma solicitação seja devidamente justificada e comunicada 
ao titular. A falta de resposta ou a resposta inadequada às solicitações dos titulares pode resultar em 
sanções por parte da ANPD e em danos à reputação da organização.
As responsabilidades dos controladores de dados em relação à LGPD são extensas e exigem uma 
abordagem proativa e contínua para garantir a conformidade. Desde a definição de finalidades e bases 
legais até a implementação de medidas de segurança, resposta a incidentes e gestão de operadores, os 
controladores desempenham um papel central na proteção dos dados pessoais e na garantia dos direitos 
dos titulares. O cumprimento dessas responsabilidades é essencial não apenas para evitar penalidades 
legais, mas também para construir e manter a confiança dos titulares e de outras partes interessadas. 
As organizações que adotarem práticas robustas de governança de dados e que demonstrarem um 
compromisso genuíno com a proteção de dados estarão melhor posicionadas para prosperar em 
um ambiente cada vez mais regulado e orientado para a privacidade.
47
LEI GERAL DE PROTEÇÃO DE DADOS
 Resumo
Esta unidade explorou de forma detalhada as origens, o contexto 
e os fundamentos da LGPD, estabelecendo uma base para entender sua 
importância no cenário brasileiro e global. A lei emerge como resposta 
às crescentes demandas por privacidade e segurança em uma sociedade 
profundamente conectada e digitalizada. Inspirada no GDPR europeu, 
a LGPD adapta suas diretrizes ao contexto socioeconômico do Brasil, 
promovendo um equilíbrio entre inovação tecnológica e proteção de 
direitos fundamentais.
A evolução histórica apresentou evidências de como legislações 
internacionais, como a Lei da Baviera (1970) e a Convenção 108 do 
Conselho da Europa (1981), influenciaram o desenvolvimento de normas 
que moldaram a proteção de dados ao longo das décadas. No Brasil, o 
Marco Civil da Internet e a Lei de Acesso à Informação prepararam o terreno 
para a chegada da LGPD, consolidando direitos, regulamentando práticas e 
posicionando o país como referência na América Latina.
O panorama traçado destaca os princípios fundamentais da LGPD, como 
necessidade, livre acesso, transparência e responsabilização. Esses pilares 
orientam as organizações no tratamento ético e seguro dos dados pessoais, 
garantindo que os titulares mantenham o controle sobre suas informações. 
A LGPD não apenas promove a proteção dos direitos individuais, mas 
também incentiva práticas empresariais responsáveis, alinhando o Brasil às 
exigências do mercado internacional.
Por fim, essa unidade ressaltou os direitos garantidos aos titulares, como 
acesso, correção, eliminação, portabilidade e explicação sobre o tratamento 
dos dados. Esses mecanismos fortalecem a transparência e a confiança nas 
relações entre indivíduos e organizações. Ao abordar a interseção entre 
privacidade e inovação, a unidade reforçou a relevância da LGPD como um 
marco regulatório que vai além da conformidade legal, estabelecendo 
um compromisso ético e estratégico para o desenvolvimento de uma 
economia digital segura, sustentável e inclusiva.
Em resumo, a unidade preparou o leitor para compreender o impacto 
transformador da LGPD no ambiente jurídico, tecnológico e social, solicitada 
de ponto de partida para análises mais aprofundadas sobre o papel das 
empresas, do governo e da sociedade na promoção de uma cultura de 
privacidade e proteção de dados.
 
48
Unidade I
 Exercícios
Questão 1. Vimos, no livro‑texto, que o GDPR, implementado pela UE em maio de 2018, pode ser 
considerado um dos marcos mais significativos na regulação da privacidade e da proteção de dados no 
cenário global. Esse regulamento, que substituiu a Diretiva 95/46/CE, estabeleceu novos padrões para o 
tratamento de dados pessoais, introduzindo conceitos e obrigações que reverberaram em todo o mundo 
e influenciaram diretamente a criação de novas legislações em várias jurisdições, como a LGPD no Brasil.
Uma das inovações mais importantes do GDPR foi a expansão dos direitos dos titulares de dados. O 
regulamento conferiu aos cidadãos europeus uma série de direitos que reforçam o controle sobre seus 
dados pessoais.
Em relação a esses direitos, avalie os itens a seguir.
I – Direito à retificação.
II – Direito ao apagamento.
III – Direito à restrição do tratamento.
IV – Direito à portabilidade dos dados.
V – Direito de não ser submetido a decisões automatizadas.
São direitos presentes no GDPR os citados em:
A) I, II, III, IV e V.
B) II e IV, apenas.
C) I, III e V, apenas
D) I, II e III, apenas.
E) IV e V, apenas.
Resposta correta: alternativa A.
49
LEI GERAL DE PROTEÇÃO DE DADOS
Análise da questão
Vimos, no livro‑texto, que o GDPR conferiu aos cidadãos europeus os direitos a seguir.
Direito de acesso: os titulares têm o direito de acessar seus dados pessoais e obter informações 
sobre como eles estão sendo tratados.
Direito à retificação: os titulares podem solicitar a correção de dados pessoais inexatos 
ou incompletos.
Direito ao apagamento (direito ao esquecimento): em determinadas circunstâncias, os titulares 
têm o direito de solicitar que seus dados pessoais sejam excluídos.
Direito à restrição do tratamento: os titulares podem solicitar a limitação do tratamento de seus 
dados pessoais em certas situações.
Direito à portabilidade dos dados: os titulares têm o direito de receber seus dados pessoais 
em formatos estruturados, comumente usados e legíveis por máquina, e de transmitir esses dados a 
outro controlador.
Direito de oposição: os titulares podem se opor ao tratamento de seus dados pessoais em certas 
circunstâncias, como no caso de marketing direto.
Direito de não ser submetido a decisões automatizadas: os titulares têm o direito de não ser 
submetidos a decisões baseadas unicamente em tratamento automatizado, incluindo a definição de 
perfis, que produzam efeitos jurídicos significativos ou que os afetem de forma similar.
Questão 2. Vimos, no livro‑texto, que a LGPD, sancionada em agosto de 2018 no Brasil, éuma 
resposta robusta aos desafios modernos de privacidade e de proteção de dados, inspirada no GDPR da UE. 
A LGPD estabelece diretrizes detalhadas sobre a coleta, o uso, o armazenamento e o compartilhamento 
de dados pessoais, com o objetivo principal de proteger os direitos fundamentais de liberdade e de 
privacidade dos indivíduos, bem como o livre desenvolvimento da personalidade.
A LGPD é baseada em princípios que dirigem toda a gestão de dados pessoais. A realização de 
atividades de tratamento de forma ética, transparente e segura depende desses princípios.
Em relação a esses princípios, avalie os itens a seguir.
I – Qualidade dos dados.
II – Acesso restrito por parte dos titulares.
III – Segurança na proteção dos dados pessoais.
IV – Transparência reduzida no fornecimento de informações.
V – Não discriminação.
50
Unidade I
São princípios presentes na LGPD os citados em:
A) I, II, III, IV e V.
B) II e IV, apenas.
C) I, III e V, apenas
D) I, II e III, apenas.
E) IV e V, apenas.
Resposta correta: alternativa C.
Análise da questão
Os princípios presentes na LGPD incluem os elencados a seguir.
Finalidade: os dados pessoais devem ser coletados para propósitos específicos, explícitos e legítimos, 
e não podem ser tratados de maneira incompatível com essas finalidades.
Adequação: o tratamento de dados deve ser compatível com as finalidades informadas ao titular, 
de acordo com o contexto do tratamento.
Necessidade: o tratamento deve se limitar ao mínimo necessário para a realização de suas finalidades, 
abrangendo dados pertinentes, proporcionais e não excessivos.
Livre acesso: os titulares têm o direito de acessar e revisar todas as informações que as organizações 
mantêm sobre eles, bem como de saber como elas são tratadas.
Qualidade dos dados: os dados pessoais devem ser exatos, claros, relevantes e atualizados, de 
acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
Transparência: as organizações devem fornecer informações claras, precisas e facilmente acessíveis 
sobre a realização do tratamento e os respectivos agentes de tratamento, respeitando os segredos 
comercial e industrial.
Segurança: as organizações devem adotar medidas técnicas e administrativas aptas a proteger 
os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, 
alteração, comunicação ou difusão.
Prevenção: as organizações devem adotar medidas para prevenir a ocorrência de danos em virtude 
do tratamento de dados pessoais.
51
LEI GERAL DE PROTEÇÃO DE DADOS
Não discriminação: os dados pessoais não podem ser utilizados para fins discriminatórios, ilícitos 
ou abusivos.
Responsabilização e prestação de contas: as organizações devem demonstrar a adoção de 
medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção 
de dados pessoais.................................................................................................111
5.2 Programas de governança em privacidade .............................................................................117
5.2.1 Estrutura e implementação de programas de governança ................................................. 117
5.2.2 Auditorias e revisões de conformidade ...................................................................................... 123
5.2.3 Padrões, normas e certificações que contribuem com a LGPD ......................................... 127
6 IMPACTOS DA LGPD EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS ................................133
6.1 Desenvolvimento de sistemas com privacidade por design .............................................133
6.1.1 Conceitos de privacy by design e privacy by default ............................................................ 133
6.1.2 Implementação de privacidade em todo o ciclo de desenvolvimento .......................... 138
6.2 Análise de riscos e avaliação de impacto .................................................................................143
6.2.1 Metodologias de análise de riscos ................................................................................................ 143
6.2.2 RIPD/DIPA .............................................................................................................................................. 148
Unidade IV
7 TRANSFERÊNCIA INTERNACIONAL DE DADOS ..................................................................................158
7.1 Regras e restrições .............................................................................................................................158
7.1.1 Condições para transferência internacional de dados ......................................................... 158
7.1.2 Acordos e garantias necessárias .................................................................................................... 162
7.2 Estudos de caso ...................................................................................................................................166
7.2.1 Exemplos práticos de transferências internacionais ............................................................. 166
7.2.2 Desafios e soluções ............................................................................................................................. 168
8 SANÇÕES E PENALIDADES .........................................................................................................................171
8.1 Tipos de sanções .................................................................................................................................171
8.1.1 Multas ........................................................................................................................................................171
8.1.2 Advertências .......................................................................................................................................... 172
8.1.3 Publicização da infração ................................................................................................................... 173
8.1.4 Bloqueio de dados ............................................................................................................................... 173
8.1.5 Eliminação de dados ........................................................................................................................... 174
8.2 Processos administrativos e judiciais .........................................................................................175
8.2.1 Procedimentos de fiscalização e sanção .................................................................................... 175
8.2.2 Exemplos de casos julgados e decisões administrativas ...................................................... 179
8.3 Portais para consultas de casos ....................................................................................................181
8.3.1 Consultas de casos sobre LGPD .......................................................................................................181
8.3.2 Consultas de casos sobre GDPR ..................................................................................................... 185
7
APRESENTAÇÃO
A disciplina Lei Geral de Proteção de Dados (LGPD) visa ensinar aos alunos a Lei n. 13.709/2018, também 
conhecida como LGPD, que regula o tratamento de dados pessoais no Brasil. Trata‑se de um marco legal 
criado para atender à necessidade crescente de proteger a privacidade dos cidadãos em um mundo 
cada vez mais digital e interconectado. A disciplina visa ensinar aos futuros profissionais como aplicar 
e compreender os princípios e regras da LGPD em suas atividades diárias, como desenvolvimento de 
sistemas e gestão de informações. Proteger os dados pessoais tornou‑se uma prioridade global devido 
à digitalização avançada de processos e à crescente dependência de dados para operações comerciais e 
tomada de decisões. A LGPD foi criada acompanhando o Regulamento Geral sobre a Proteção de Dados 
(GDPR) da União Europeia (UE), que estabelece direitos e deveres para os agentes de tratamento de 
dados e oferece garantias sólidas aos titulares de dados.
O objetivo principal da disciplina é capacitar os alunos a aplicarem a LGPD no desenvolvimento 
de sistemas computacionais e na gestão de dados, garantindo que todos os processos estejam em 
conformidade com as leis vigentes e respeitem os direitos dos titulares. Além disso, o curso visa 
familiarizar os alunos com o papel do data protection officer (DPO), ou encarregado de proteção de 
dados. Essas funções são obrigatórias em muitas empresas e essenciais para a implementação da LGPD.
A chegada da internet, das redes sociais, dos serviços de armazenamento em nuvem e do big data 
trouxe muitos benefícios, mas também muitos problemas no que diz respeito à proteção dos dados 
pessoais. A área estuda como as mudanças tecnológicas afetam a privacidade e a segurança dos 
dados, bem como a forma como a LGPD se insere como uma ferramenta de governança e controle. 
Os alunos serão expostos a uma análise detalhada dos elementos técnicos e legais da LGPD. Isso inclui 
aprender sobre os direitos dos titulares de dados, as responsabilidades dos controladores e operadores, as 
bases legais para o tratamento de dados e as diretrizes que devem guiar todas as atividades relacionadas 
ao tratamento de dados pessoais.
A LGPD não é apenas uma lei que deve ser respeitada, mas também uma prática que deve ser 
incorporada em todos os projetos e atividades relacionados ao tratamento de dados pessoais. 
O  conhecimento profundo da LGPD ajuda os futuros profissionais a criarem sistemas e soluções 
tecnológicas que respeitam e protegem os direitos dos indivíduos ao mesmo tempo em que atendem às 
necessidades do mercado. A LGPD é vista como uma oportunidade de inovação, em que os profissionais 
podem criar soluções que cumpram a legislação e ofereçam uma vantagem competitiva no mercado ao 
incorporar a privacidade e a proteção de dados desde a concepção de um sistema – uma abordagem 
conhecida como privacy by design (PbD).
Este livro‑texto é organizado em unidades que abordam as bases da LGPD e como ela pode ser usada 
no desenvolvimento de sistemas. Nessa disciplina, abordaremos o tema em profundidade, examinando 
suas raízes, usos e consequências práticas no desenvolvimento de sistemas computacionais e na 
gestão de informações. A educação centrada no discente emprega metodologias de ensino ativas que 
incentivam os alunos a pensarem criticamente e aplicarem o que aprenderam. Estudos de caso, exemplos 
práticos e discussões sobre as implicações éticas e legais do tratamento de dados estão incluídos nas 
unidades. Além do conteúdo teórico, os alunos participarão de atividades que reproduzem os problemas 
8
que as empresas e organizações enfrentam ao implementar a LGPD – elaboração depolíticas de 
privacidade, realização de auditorias de conformidade e análise de riscos estão entre essas atividades. 
Essas  simulações são essenciais para preparar os alunos para o mercado de trabalho, em que a 
conformidade com a LGPD está se tornando cada vez mais essencial. A disciplina LGPD se integra de forma 
interdisciplinar com outras áreas do conhecimento abordadas. Os conceitos de segurança da informação, 
governança de TI e desenvolvimento de software geralmente são revisados a partir da perspectiva da 
proteção de dados. Essa integração enfatiza a importância de uma abordagem holística na formação 
dos alunos, ensinando‑lhes o papel da tecnologia na sociedade e as obrigações legais e morais que 
acompanham o trabalho.
Por fim, a disciplina discute os problemas e tendências atuais da proteção de dados. Os profissionais 
da área precisam permanecer atualizados e preparados para adaptar suas práticas e conhecimentos às 
mudanças constantes da tecnologia que ameaçam a privacidade. A disciplina não apenas prepara os 
alunos para lidarem com as exigências atuais, mas também para serem líderes de mudança, ajudando 
a desenvolver tecnologias que garantem segurança, privacidade e bem‑estar social. Ao concluir essa 
disciplina, os alunos não apenas adquirirão o conhecimento técnico necessário para implementar a 
LGPD em projetos, mas também terão uma compreensão profunda das consequências sociais, legais e 
éticas da proteção de dados no mundo digital. O objetivo principal é capacitar os alunos a entenderem 
e aplicarem os princípios da LGPD, para que possam trabalhar de acordo com a lei e proteger os direitos 
dos titulares de dados.
9
INTRODUÇÃO
A LGPD, aprovada em 14 de agosto de 2018 e em vigor desde setembro de 2020, equipara o Brasil aos 
padrões internacionais de proteção de dados, como o GDPR. A figura 1 apresenta a implementação das 
leis de proteção de dados pessoais no mundo. Uma legislação sólida que regule o tratamento de dados 
pessoais tornou‑se necessária em um mundo cada vez mais digital e interconectado, em que as operações 
de empresas, governos e outras entidades dependem de dados pessoais.
Grau de adequação
 País fortemente adequado (GDPR)
 País adequado
 País parcialmente adequado
 Autoridade nacional e lei(s) de 
proteção de dados pessoais
 Lei(s) de proteção de dados pessoais
 Sem lei(s) específica sobre o tema
Figura 1 – Mapa da implementação das leis de proteção de dados no mundo
Adaptada de: https://tinyurl.com/42yxv89b. Acesso em: 17 jan. 2025.
A LGPD é uma resposta a um fenômeno global – a transformação digital –, que resulta em um 
aumento exponencial no uso e na coleta de dados pessoais. Em um mundo onde grandes quantidades 
de dados são geradas a cada segundo, é muito difícil proteger a privacidade e garantir que os dados 
pessoais sejam tratados de maneira ética e segura.
Embora a proteção de dados pessoais seja relativamente nova, seu valor aumentou rapidamente 
como resultado da expansão da internet e das tecnologias digitais. Antes da LGPD, o Brasil tinha várias 
leis sobre proteção de dados pessoais, como o Código de Defesa do Consumidor e o Marco Civil da 
Internet. No entanto, essas leis não eram suficientes para enfrentar as complexidades e os perigos 
do tratamento de dados na era digital. A LGPD, inspirada pelo GDPR, foi desenvolvida para preencher 
essa lacuna, fornecendo um marco legal abrangente que regula o tratamento de dados pessoais em 
todos os setores da economia. Ao longo do ciclo de vida dos dados, a lei fornece diretrizes precisas sobre 
10
como coletar, armazenar, tratar e compartilhar tais dados, garantindo que os direitos dos proprietários 
sejam protegidos. A LGPD é mais do que cumprir os regulamentos, ela representa uma mudança cultural 
na forma como as empresas e a sociedade em geral lidam com seus dados pessoais. Ao longo desta 
disciplina, discutiremos as maneiras pelas quais essa mudança afeta as técnicas de desenvolvimento de 
software, gestão de sistemas de informação e governança corporativa.
A LGPD é baseada em princípios que dirigem toda a gestão de dados pessoais. A prática de atividades 
de tratamento de forma ética, transparente e segura depende desses princípios. Os principais incluem:
• Finalidade: os dados pessoais devem ser coletados para propósitos específicos, explícitos e 
legítimos, e não podem ser tratados de maneira incompatível com essas finalidades.
• Adequação: o tratamento de dados deve ser compatível com as finalidades informadas ao titular, 
de acordo com o contexto do tratamento.
• Necessidade: o tratamento deve se limitar ao mínimo necessário para a realização de suas 
finalidades, abrangendo dados pertinentes, proporcionais e não excessivos.
• Livre acesso: os titulares têm o direito de acessar e revisar todas as informações que as 
organizações mantêm sobre eles, bem como de saber como elas são tratadas.
• Qualidade: os dados pessoais devem ser exatos, claros, relevantes e atualizados, de acordo com a 
necessidade e para o cumprimento da finalidade de seu tratamento.
• Transparência: as organizações devem fornecer informações claras, precisas e facilmente 
acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, respeitando 
os segredos comercial e industrial.
• Segurança: as organizações devem adotar medidas técnicas e administrativas aptas a protegerem 
os dados pessoais de acessos não autorizados, além de situações acidentais ou ilícitas de destruição, 
perda, alteração, comunicação ou difusão.
• Prevenção: as organizações devem adotar medidas para prevenir a ocorrência de danos em 
virtude do tratamento de dados pessoais.
• Não discriminação: os dados pessoais não podem ser utilizados para fins discriminatórios, ilícitos 
ou abusivos.
• Responsabilização e prestação de contas: as organizações devem demonstrar a adoção de 
medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção 
de dados pessoais.
Embora sejam apenas teóricos, esses conceitos são aplicáveis em todas as fases do ciclo de vida dos 
dados, desde o momento em que são coletados até o momento em que são descartados. Na prática, 
11
isso significa que os profissionais de tecnologia da informação e de desenvolvimento de sistemas 
devem incorporar essas ideias em suas atividades diárias, desde o design inicial de sistemas até sua 
implementação e manutenção.
A LGPD, no desenvolvimento de sistemas, envolve uma variedade de considerações e práticas que 
devem ser levadas em consideração desde a concepção do sistema até sua operação contínua. O conceito 
de privacy by design é um dos mais importantes discutidos na disciplina. Ele propõe que a proteção e 
a privacidade de dados sejam incorporadas desde o início do processo de desenvolvimento, em vez de 
apenas serem consideradas posteriormente. Afirma que a proteção de dados deve ser incorporada ao 
design e à arquitetura dos sistemas, não apenas como um recurso adicional; isso inclui tomar medidas 
organizacionais e técnicas apropriadas, como pseudoanonimização e criptografia para proteger os dados 
pessoais de acessos não autorizados e outras ameaças.
Além disso, a LGPD exige que as organizações realizem avaliações de impacto à proteção de 
dados (Data Protection Impact Assessment – DPIA) para identificar e reduzir os riscos associados ao 
tratamento de dados pessoais em projetos que possam colocar em risco direitos e liberdades dos titulares. 
Examinaremos as maneiras pelas quais essas avaliações são realizadas, bem como os procedimentos 
e decisões que são tomados para garantir a conformidade com a lei. O papel do DPO também será 
discutido. O DPO é responsável por garantir que a organização esteja em conformidade com a LGPD e 
sirva como ponte entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de 
Dados (ANPD). A disciplina fornecerá um resumo das obrigações do DPO e das melhores práticas para 
o desempenho de suas funções.
A introdução da LGPD aumentou ademanda por especialistas em proteção de dados. Para evitar 
punições e manter a confiança dos clientes, as empresas de todos os setores, especialmente as que 
trabalham com grandes quantidades de dados pessoais, como bancos, hospitais e e‑commerce, devem 
seguir a lei. O conhecimento da LGPD tornou‑se uma vantagem competitiva para os profissionais de 
tecnologia. No mercado de trabalho atual, as habilidades que são altamente valorizadas incluem a 
capacidade de implementar as exigências da lei em sistemas de informação, como realizar auditorias 
de conformidade e gerenciar riscos relacionados à proteção de dados. A LGPD tem consequências mais 
amplas para a sociedade, além de ter um impacto direto no mercado de trabalho. A lei ajuda a proteger 
a privacidade e a liberdade dos cidadãos em um mundo cada vez mais digital ao garantir que os dados 
pessoais sejam tratados com respeito e segurança. Essa proteção é fundamental para manter a confiança 
do público nas tecnologias e serviços que dependem do tratamento de dados pessoais.
A LGPD é uma parte importante da regulação do tratamento de dados pessoais no Brasil e tende 
a elevar a sua importância à medida que a digitalização da sociedade e da economia avança. Neste 
curso, você poderá estudar vários aspectos da LGPD, desde os fundamentos teóricos até as aplicações 
práticas. Isso o ajudará a se preparar para enfrentar os obstáculos e aproveitar as oportunidades que 
surgem com a implementação dessa legislação. Solicitamos que você considere as implicações sociais 
e morais da LGPD à medida que avançamos neste campo. Os profissionais qualificados nessa área 
desempenharão um papel importante na promoção e manutenção dos princípios fundamentais que 
sustentam a construção de uma sociedade justa e equilibrada, que incluem o respeito pela privacidade 
e a proteção dos dados pessoais.
13
LEI GERAL DE PROTEÇÃO DE DADOS
Unidade I
1 INTRODUÇÃO À LGPD
1.1 História e contexto da LGPD
1.1.1 Origem e evolução das leis de proteção de dados
A proteção de dados pessoais é um tema que, embora recente no contexto jurídico mundial, ganhou 
relevância exponencial à medida que a sociedade avança tecnologicamente e adota práticas digitais 
em diversos aspectos da vida cotidiana. Com o uso crescente de dispositivos conectados, plataformas 
digitais e sistemas baseados em inteligência artificial, os dados pessoais passaram a ser tratados 
como recursos estratégicos para empresas e governos. Esse cenário impulsionou a necessidade de 
regulamentações robustas que equilibrassem os benefícios econômicos e sociais do uso de dados com 
a proteção dos direitos fundamentais dos indivíduos, como a privacidade e a liberdade de expressão.
A LGPD, sancionada no Brasil em 2018, é um reflexo do movimento global voltado para a governança 
responsável dos dados pessoais. Ela integra um esforço internacional de estabelecer diretrizes para 
regular a coleta, o armazenamento, o processamento e o compartilhamento de informações pessoais, 
respondendo às demandas impostas pela transformação digital. Inspirada em regulações como o GDPR 
da UE, a LGPD representa um marco na modernização do arcabouço jurídico brasileiro, alinhando‑o a 
padrões globais e promovendo maior segurança jurídica para empresas e cidadãos.
O desenvolvimento de regulamentações sobre proteção de dados pode ser rastreado até meados do 
século XX, período marcado pelo advento dos computadores e pela crescente capacidade tecnológica 
de processar grandes volumes de informações. Essa era digital emergente trouxe benefícios inegáveis, 
mas também expôs vulnerabilidades, especialmente relacionadas à privacidade dos indivíduos. Segundo 
Doneda (2021, p. 30) , “a preocupação com a proteção dos dados pessoais foi intensificada com a 
expansão do uso de tecnologias de informação, que possibilitaram o armazenamento e o processamento 
em larga escala de dados”. Isso destacou a necessidade de estabelecer limites claros para o uso de 
informações pessoais e de criar mecanismos que garantissem a segurança dessas informações.
O marco inicial nesse processo foi a promulgação da Lei da Baviera, na Alemanha, em 1970. 
Reconhecida como a primeira legislação específica sobre proteção de dados no mundo, a lei foi pioneira 
ao estabelecer padrões para a coleta e o uso de dados pessoais por organizações públicas e privadas. Ela 
introduziu conceitos fundamentais, como a necessidade de consentimento informado e a transparência 
no tratamento de dados, que mais tarde seriam incorporados a outras legislações. Essa iniciativa 
influenciou diretamente o desenvolvimento de leis similares em outros países europeus e serviu de base 
para a criação de uma abordagem regulatória mais ampla, consolidada pela Convenção 108 do Conselho 
da Europa em 1981, que definiu princípios para o tratamento automatizado de dados pessoais.
14
Unidade I
No Brasil, a conscientização sobre a importância de regulamentar a proteção de dados pessoais 
cresceu gradualmente, impulsionada por acontecimentos internacionais e pelo aumento das demandas 
internas por maior segurança no ambiente digital. Antes da LGPD, a legislação brasileira contava com 
disposições fragmentadas sobre proteção de dados, presentes no Código de Defesa do Consumidor 
e no Marco Civil da Internet. No entanto, essas normas não ofereciam uma abordagem abrangente 
como a da LGPD. A lacuna na regulamentação era evidente, especialmente diante do aumento de 
violações de privacidade e da necessidade de promover a competitividade das empresas brasileiras em 
um cenário global.
A LGPD consolidou o Brasil como um dos líderes em proteção de dados na América Latina, criando 
um ambiente mais seguro para o tratamento de informações pessoais e reforçando a confiança dos 
consumidores. Como observa Lima e Alves (2021, p. 18), “a implementação da LGPD não apenas alinhou 
o Brasil às melhores práticas internacionais, mas também estabeleceu um padrão de governança 
de dados que beneficia tanto as organizações quanto os indivíduos”. Essa legislação tornou‑se 
uma referência para outros países da região, que também começaram a adotar leis inspiradas no 
GDPR e na LGPD.
Portanto, a análise da evolução das leis de proteção de dados revela não apenas a relevância da LGPD 
no contexto brasileiro, mas também seu papel como parte de um movimento global que busca responder 
aos desafios da era digital. Ao estabelecer diretrizes claras para o tratamento de dados pessoais, a LGPD 
protege os direitos dos titulares e promove um ambiente de transparência e responsabilidade, essencial 
para o desenvolvimento sustentável da economia digital e para a construção de uma sociedade mais 
justa e inclusiva.
A primeira tentativa significativa de harmonizar a proteção de dados na Europa surgiu com a 
Convenção 108 do Conselho da Europa, adotada em 1981. Reconhecida como a primeira legislação 
internacional vinculante para proteção de dados pessoais, ela foi pioneira ao estabelecer normas 
fundamentais, obrigando os países signatários a criarem medidas legislativas nacionais para garantir 
a privacidade de seus cidadãos. A Convenção 108 delineou conceitos que continuam relevantes, 
como a necessidade de assegurar a qualidade dos dados e os direitos dos titulares, incluindo o direito 
de acesso, correção e exclusão de informações. Como aponta Doneda (2021, p. 62), “a Convenção 108 
teve um impacto transformador, estabelecendo os alicerces para regulamentações subsequentes,incluindo 
o GDPR”. Além disso, seu escopo transcendeu fronteiras europeias, influenciando legislações em 
várias partes do mundo, tornando‑se um marco no campo da proteção de dados. A relevância dessa 
convenção persiste, sendo revisitada regularmente para incorporar novas exigências tecnológicas e 
sociais, demonstrando a natureza dinâmica da proteção de dados.
Em 1995, a UE deu mais um passo crucial no fortalecimento da proteção de dados com a Diretiva 95/46/CE. 
Essa diretiva marcou um avanço significativo ao buscar a harmonização das legislaçõesnacionais dos 
Estados‑Membros, assegurando que a proteção de dados fosse tratada de forma uniforme em todo 
o bloco europeu. Segundo Pinheiro (2021, p. 25), “a Diretiva 95/46/CE não apenas elevou o padrão 
de proteção de dados na Europa, mas também estabeleceu uma base para o desenvolvimento de 
regulamentações globais, influenciando regiões como a América Latina e o Brasil”. O impacto da diretiva 
foi sentido além da UE, pois os princípios nela estabelecidos, como o tratamento justo e transparente 
15
LEI GERAL DE PROTEÇÃO DE DADOS
de dados, inspiraram legislações em diversas partes do mundo. No contexto europeu, a diretiva também 
introduziu o conceito de controle compartilhado, exigindo que tanto os controladores quanto os 
operadores de dados adotassem medidas rigorosas de conformidade.
Em 2016, o GDPR substituiu a Diretiva 95/46/CE, entrando em vigor em 2018. Esse regulamento 
trouxe mudanças radicais ao regime de proteção de dados, tornando‑se um modelo global de referência. 
O GDPR consolidou o princípio da privacidade por design, exigindo que a proteção de dados fosse 
incorporada desde o início do desenvolvimento de sistemas e processos organizacionais. Ele também 
ampliou significativamente os direitos dos titulares, como o direito ao esquecimento e à portabilidade 
de dados, e estabeleceu sanções rigorosas para violações. De acordo com Lima e Alves (2021, p. 25), “o 
GDPR não apenas elevou o padrão de proteção na Europa, mas também influenciou legislações em outras 
regiões, incluindo a LGPD no Brasil”. Além disso, o regulamento estabeleceu obrigações para empresas de 
fora da Europa que lidam com dados de cidadãos da UE, destacando seu alcance extraterritorial e sua 
importância no cenário internacional.
Embora a Europa tenha liderado o desenvolvimento de leis de proteção de dados, a América Latina 
também começou a adotar legislações inspiradas nos princípios europeus. A Argentina foi pioneira na 
região com sua Lei de Proteção de Dados Pessoais de 2000, considerada uma das mais avançadas na época. 
Seguiram‑se países como México e Chile, que implementaram regulamentações robustas para proteger 
os dados de seus cidadãos. No Brasil, antes da LGPD, existiam legislações fragmentadas, como o Marco 
Civil da Internet, que abordava aspectos da privacidade digital, mas não oferecia uma regulamentação 
abrangente. Doneda (2021, p. 72) observa que “o movimento de adoção de normas de proteção de dados 
na América Latina reflete uma resposta às demandas crescentes por maior segurança e privacidade em um 
mundo digitalizado”. A harmonização dessas legislações com padrões globais como o GDPR fortaleceu o 
papel da região no cenário internacional, permitindo maior integração comercial e tecnológica.
A LGPD é uma resposta direta à necessidade de regulamentação robusta no Brasil, que reflete um esforço 
nacional para alinhar‑se aos padrões internacionais de proteção de dados. Lima e Alves (2021, p.  25) destacam 
que “a LGPD representa uma maturidade no reconhecimento da importância da privacidade, estabelecendo 
direitos claros para os titulares e obrigações rigorosas para controladores e operadores”. A legislação brasileira 
cobre todas as etapas do ciclo de vida dos dados pessoais, desde a coleta até o descarte, promovendo um 
ambiente de transparência e responsabilidade. Além disso, a criação da ANPD reforça a governança e a 
fiscalização, garantindo que as práticas de tratamento de dados sigam os princípios da lei. A LGPD não 
apenas fortalece a proteção de dados no Brasil, mas também posiciona o país como um líder regional, 
estabelecendo um exemplo para outras nações que buscam equilibrar inovação tecnológica e direitos 
fundamentais, a figura 2 traz o diagrama temporal da evolução das leis de proteção de dados no Brasil.
20
11
20
12
20
14
20
15
20
17
20
18
20
20
20
10
20
13
20
16
20
19
Figura 2 – Diagrama temporal da evolução das leis de proteção de dados no Brasil
16
Unidade I
Quadro 1 
Ano Ação
2010 Consulta pública do Ministério da Justiça sobre anteprojeto de 
lei de proteção de dados pessoais
2011
Sancionada a Lei de Acesso à Informação – LAI (dispõe sobre 
dados pessoais de acesso público)
Proposto projeto de Lei n. 2.126, sobre o Marco Civil da 
Internet (direitos e deveres de usuários e provedores)
2012
Sancionada a Lei Carolina Dieckmann (tipificação de 
crimes cibernéticos, como compartilhar dados pessoais sem 
autorização)
Proposto, na Câmara, o PL n. 4.060 sobre o tratamento de 
dados pessoais
2013 Proposto, no Senado, o projeto de Lei (PLS) n. 330 sobre a 
proteção, o tratamento e o uso de dados pessoais
2014 Entra em vigor o Marco Civil da Internet
2015 Aprovado na Comissão de Ciência e Tecnologia (CCT) do 
Senado o substitutivo do PLS n. 330/13
2016
Aprovação do GDPR na Europa
Nova consulta pública pelo MJ, que resulta no PL n. 5.276/16, 
anexado ao PL n. 4.060/2012
2017 Tramitação de dois projetos no Congresso: o PL n. 5.276/2016, 
na Câmara, e o PLS n. 330/2013, no Senado
2018
Em março: escândalo Facebook – Cambridge Analytica (uso 
ilícito de dados de usuários de rede social pela empresa de 
consultoria). Em maio: entra em vigor o GDPR, na Europa. Em 
agosto: sancionada a LGPD, 
após unificação dos textos da Câmara e do Senado 
no PLC n. 53
2019
Aprovada a criação de ANPD, pela MP n. 869. Em discussão a 
PEC n. 17 que inclui a proteção de dados pessoais, inclusive 
digitais, entre os direitos fundamentais do cidadão
2020 Em agosto, a LGPD entra em vigor
A história e a evolução das leis de proteção de dados demonstram a crescente importância da 
privacidade e da segurança da informação na sociedade moderna. Desde as primeiras legislações na 
Europa até a promulgação da LGPD no Brasil, observa‑se uma trajetória de fortalecimento dos direitos 
dos titulares de dados e de aprimoramento das práticas de tratamento de dados pessoais. A LGPD 
representa o ápice desse processo no Brasil, oferecendo um marco regulatório abrangente e alinhado 
às melhores práticas internacionais. Ao longo desta disciplina, exploraremos como esses princípios e 
práticas se aplicam ao desenvolvimento de sistemas de informação, garantindo que a privacidade e a 
proteção de dados sejam sempre prioridades em qualquer projeto tecnológico.
17
LEI GERAL DE PROTEÇÃO DE DADOS
 Observação
A expressão “proteção de dados” tem suas raízes na Alemanha, que foi 
um dos primeiros países a regulamentar o uso de informações pessoais. 
Em alemão, o termo datenschutz combina as palavras dados (daten) e 
proteção (schutz), destacando a necessidade de resguardar informações 
pessoais contra usos inadequados. A primeira legislação formal conhecida 
em relação à proteção de dados foi a Lei da Baviera, promulgada em 1970, 
que utilizou essa terminologia para definir os direitos dos indivíduos sobre 
suas informações. Curiosamente, o conceito foi exportado para outros 
idiomas à medida que as legislações europeias evoluíram, influenciando 
o surgimento de termos semelhantes, como data protection em inglês e 
protección de datos em espanhol. Essa evolução linguística reflete não 
apenas a necessidade técnica de regular o uso de dados, mas também a 
consciência cultural e social sobre a importância da privacidade como um 
direito fundamental.
 
1.1.2 Influência do GDPR europeu
O GDPR, implementado pela UE em maio de 2018, é amplamente considerado um dos marcos mais 
significativos na regulação da privacidade e proteção de dados no cenário global. Esse regulamento, 
que substituiu a Diretiva 95/46/CE, estabeleceu novos padrões para o tratamento de dados pessoais, 
introduzindo conceitos e obrigações que reverberaram em todo o mundo, influenciando diretamente a 
criação de novas legislações em várias jurisdições, incluindo a LGPD no Brasil.
A criação do GDPR foi motivada pela necessidade de modernizar e harmonizar as leis de proteção 
de dados na UE. Com o rápido avanço tecnológico, o aumento do uso de dados pessoais e as crescentes 
ameaças à privacidade, tornou‑se evidente queuma nova regulamentação era necessária para enfrentar 
os desafios do século XXI. Segundo Pinheiro (2021, p. 26), “o GDPR foi criado em um contexto no qual 
a proteção de dados passou a ser considerada não apenas uma questão de conformidade legal, mas 
um direito fundamental dos cidadãos europeus”. Esse novo regulamento visava não apenas proteger 
os dados pessoais dos cidadãos da UE, mas também garantir que as empresas que operam no mercado 
europeu adotassem práticas de tratamento de dados transparentes e seguras, independentemente de 
onde estivessem localizadas.
O GDPR é construído em torno de vários princípios fundamentais que orientam o tratamento de 
dados pessoais e que serviram de base para a formulação de outras legislações ao redor do mundo. Esses 
princípios incluem:
• Legalidade, transparência e justiça: os dados pessoais devem ser tratados de forma lícita, 
transparente e justa em relação aos titulares dos dados. As empresas são obrigadas a informar 
claramente aos titulares sobre como seus dados serão utilizados.
18
Unidade I
• Limitação da finalidade: os dados pessoais devem ser coletados para finalidades específicas, 
explícitas e legítimas, e não podem ser tratados de forma incompatível com essas finalidades.
• Minimização dos dados: apenas os dados pessoais necessários para a finalidade específica 
devem ser coletados e tratados – isso evita a coleta excessiva.
• Exatidão: os dados pessoais devem ser exatos e, quando necessário, atualizados. Devem ser 
tomadas medidas para garantir que dados inexatos sejam corrigidos ou excluídos.
• Limitação da conservação: os dados pessoais não devem ser mantidos por tempo superior ao 
necessário às finalidades para as quais foram coletados.
• Integridade e confidencialidade: os dados pessoais devem ser tratados de maneira a garantir 
sua segurança, incluindo proteção contra tratamento não autorizado ou ilegal, perda, destruição 
ou dano acidental.
• Responsabilidade: o GDPR introduziu o conceito de accountability (responsabilidade), que 
demanda que as organizações sejam capazes de demonstrar conformidade com os princípios 
do regulamento.
Esses princípios são mais do que diretrizes abstratas; eles são operacionalizados através de requisitos 
específicos, como a necessidade de obter consentimento explícito dos titulares dos dados, a obrigação 
de notificar violações de dados e a exigência de realizar avaliações de impacto sobre a proteção de 
dados (em inglês, data protection impact assessments – DPIAs) em certas circunstâncias.
Uma das inovações mais importantes do GDPR foi a expansão dos direitos dos titulares de dados. 
O regulamento conferiu aos cidadãos europeus uma série de direitos que reforça o controle sobre seus 
dados pessoais. Esses direitos incluem:
• Direito de acesso: os titulares têm o direito de acessar seus dados pessoais e obter informações 
sobre como eles estão sendo tratados.
• Direito à retificação: os titulares podem solicitar a correção de dados pessoais inexatos 
ou incompletos.
• Direito ao apagamento (direito ao esquecimento): em determinadas circunstâncias, os titulares 
têm o direito de solicitar que seus dados pessoais sejam excluídos.
• Direito à restrição do tratamento: os titulares podem solicitar a limitação do tratamento de 
seus dados pessoais em certas situações.
• Direito à portabilidade dos dados: os titulares têm o direito de receber seus dados pessoais em 
um formato estruturado, comumente usado e legível por máquina e de transmitir esses dados a 
outro controlador.
19
LEI GERAL DE PROTEÇÃO DE DADOS
• Direito de oposição: os titulares podem se opor ao tratamento de seus dados pessoais em certas 
circunstâncias, como no caso de marketing direto.
• Direito de não ser submetido a decisões automatizadas: os titulares têm o direito de não ser 
submetidos a decisões baseadas unicamente em tratamento automatizado, incluindo a definição 
de perfis que produzam efeitos jurídicos significativos ou que os afetem de forma similar.
Esses direitos reforçam a soberania dos indivíduos sobre seus dados pessoais e exigem que as 
organizações adotem medidas proativas para garantir que esses direitos sejam respeitados. No contexto 
brasileiro, a LGPD incorporou muitos desses direitos, adaptando‑os ao ambiente jurídico e cultural do país.
O GDPR não apenas estabeleceu novos direitos para os titulares de dados, mas também impôs uma 
série de obrigações rigorosas para as empresas e organizações que tratam dados pessoais. Entre essas 
obrigações, destacam‑se:
• Consentimento: o GDPR estabeleceu critérios estritos para a obtenção de consentimento, 
que deve ser informado, específico, inequívoco e dado através de uma declaração ou ação 
afirmativa clara. As organizações não podem mais usar o consentimento presumido ou obtido 
de forma ambígua.
• DPIAs: é uma obrigação das empresas quando o tratamento de dados pessoais pode resultar em 
um alto risco para os direitos e liberdades dos indivíduos. Essas avaliações devem identificar e 
mitigar os riscos associados ao tratamento de dados.
• Notificação de violações de dados: as organizações devem notificar a autoridade supervisora 
competente dentro de 72 horas após tomar conhecimento da violação, a menos que seja 
considerada de baixo risco. Se a violação representar um alto risco para os direitos e liberdades 
dos indivíduos, os titulares também devem ser informados.
• Designação de um DPO: o GDPR requisita que certas organizações, como aquelas que realizam 
monitoramento regular e sistemático em grande escala de titulares de dados ou lidam com 
grandes volumes de dados sensíveis, designem um DPO para garantir a conformidade 
com o regulamento.
• Responsabilidade e documentação: as organizações devem ser capazes de demonstrar que 
cumprem as disposições do GDPR, o que implica a manutenção de registros detalhados das 
atividades de tratamento de dados e a adoção de políticas internas de proteção de dados.
Essas obrigações tiveram um impacto profundo nas operações das empresas, exigindo mudanças 
significativas em suas políticas, procedimentos e infraestruturas tecnológicas. O não cumprimento do 
GDPR pode resultar em sanções severas, incluindo multas que podem chegar a 20 milhões de euros ou 
a 4% do faturamento anual global da organização, o que for maior.
20
Unidade I
O GDPR introduziu os conceitos de privacy by design e privacy by default, que são fundamentais 
para a proteção de dados pessoais desde o início de qualquer projeto ou sistema.
• Privacy by design: exige que as organizações considerem a privacidade e a proteção de 
dados durante todo o ciclo de vida de um sistema ou serviço, desde a fase de concepção até a 
sua implementação e operação. Isso implica a adoção de medidas técnicas e organizacionais 
que garantam a proteção de dados pessoais de forma proativa, evitando riscos antes que eles 
se materializem.
• Privacy by default: complementa o privacy by design, exigindo que as configurações padrão dos 
sistemas garantam o nível mais alto de proteção de dados. Isso significa que os dados pessoais 
devem ser tratados com o menor risco possível, a menos que o titular dos dados decida mudar 
essas configurações para permitir um tratamento mais amplo.
Esses conceitos foram incorporados na LGPD e são cruciais para garantir que as organizações não 
apenas cumpram as exigências legais, mas também protejam os direitos dos titulares de dados de 
maneira eficaz.
O impacto do GDPR transcendeu as fronteiras da UE, influenciando a criação de novas legislações de 
proteção de dados em várias partes do mundo. Países como o Japão, a Coreia do Sul, o Canadá e o Brasil 
adotaram ou revisaram suas leis de proteção de dados para alinhar‑se aos padrões estabelecidos pelo 
GDPR, muitas vezes para garantir a continuidade dos fluxos de dados transfronteiriços com a UE. Como 
destacam Lima e Alves (2021, p. 27), “a LGPD foi fortemente inspirada pelo GDPR, adotando muitos de 
seus princípios, direitos e obrigações, mas também adaptando‑os ao contextobrasileiro”. A  adoção da 
LGPD no Brasil não apenas harmonizou a legislação brasileira com as normas internacionais, mas também 
abriu novas oportunidades para as empresas brasileiras no mercado global, ao garantir que o país fosse 
considerado adequado para a transferência de dados pessoais pela UE.
A implementação do GDPR apresentou uma série de desafios para as organizações, especialmente 
aquelas que operam em várias jurisdições. Entre os principais desafios, destacam‑se:
• Conformidade multijurisdicional: organizações que operam em diferentes países enfrentam o 
desafio de cumprir as exigências do GDPR enquanto também atendem às legislações locais que 
podem ter requisitos diferentes ou conflitantes.
• Integração de sistemas legados: muitas empresas tiveram que adaptar ou substituir sistemas 
legados que não estavam em conformidade com os novos requisitos de proteção de dados, o que 
exigiu investimentos significativos em tecnologia e treinamento.
• Custo de conformidade: a conformidade com o GDPR envolve custos substanciais, incluindo 
a necessidade de contratar DPOs, realizar DPIAs, implementar novas tecnologias de segurança e 
desenvolver políticas e procedimentos robustos de proteção de dados.
• Mudança cultural: talvez o desafio mais significativo seja a mudança cultural necessária dentro 
das organizações para priorizar a proteção de dados. Isso envolve educar funcionários, gerentes 
e líderes sobre a importância da privacidade e garantir que a proteção de dados seja integrada à 
cultura organizacional.
21
LEI GERAL DE PROTEÇÃO DE DADOS
No entanto, o GDPR também trouxe oportunidades significativas para as organizações que 
conseguiram se adaptar. Empresas que implementaram práticas de conformidade eficazes ganharam 
a confiança dos consumidores, melhoraram sua reputação no mercado e minimizaram os riscos legais 
e financeiros associados a violações de dados. Além disso, essa conformidade abriu portas para novos 
negócios, especialmente em mercados que exigem altos padrões de proteção de dados.
Vários princípios e direitos introduzidos pela legislação europeia, como o princípio de responsabilidade, 
o consentimento explícito, o direito ao esquecimento e a notificação obrigatória de violações de dados, 
foram incorporados na legislação brasileira. Além disso, a figura do DPO e a criação da ANPD seguem 
o modelo estabelecido pelo GDPR. Embora existam diferenças entre as legislações, a LGPD reflete uma 
adaptação do modelo europeu às particularidades econômicas e sociais do Brasil, visando proteger os 
direitos dos titulares de dados e facilitar o fluxo de dados entre o Brasil e a UE, conforme discutido por 
Doneda (2021).
A introdução de novos direitos para os titulares de dados, a imposição de obrigações rigorosas 
para as organizações e a incorporação dos princípios de privacy by design e privacy by default 
mudaram o cenário global da proteção de dados. A influência do GDPR na LGPD é clara, e, ao 
longo desta disciplina, exploraremos como esses conceitos e práticas podem ser aplicados no 
desenvolvimento de sistemas de informação, garantindo a conformidade legal e a proteção eficaz 
dos dados pessoais.
 Saiba mais
Para compreender de forma mais profunda acerca da aplicação de 
sanções administrativas por meio de situações reais e comentários, leia a 
obra a seguir, que trata de análises de casos acerca do tema. Desta forma, é 
possível entender os detalhes do regulamento e suas sanções. 
PACCOLA, A. T. et al. GDPR – regulamento geral sobre a proteção de 
dados da União Europeia: análise de casos sobre a aplicação de sanções 
administrativas. São Paulo: Foco, 2023.
Essa leitura oferece uma visão detalhada do impacto transformador do 
GDPR e ajuda a compreender como ele moldou regulamentações como a 
LGPD no Brasil.
22
Unidade I
1.2 Panorama, princípios e objetivos da LGPD
1.2.1 Visão geral da LGPD e do GDPR
A LGPD estabelece diretrizes detalhadas sobre a coleta, uso, armazenamento e compartilhamento de 
dados pessoais, com o objetivo principal de proteger os direitos fundamentais de liberdade e privacidade 
dos indivíduos, bem como o livre desenvolvimento da personalidade. Vamos discutir uma visão geral da 
LGPD em comparação com o GDPR, destacando suas semelhanças e diferenças, bem como a relevância 
de ambos os regulamentos no contexto global.
O desenvolvimento da LGPD foi fortemente influenciado pelo ambiente global de crescente 
preocupação com a privacidade dos dados. O Brasil, uma das maiores economias digitais do mundo, 
necessitava de uma legislação que estivesse em consonância com as normas internacionais, 
especialmente após a promulgação do GDPR em 2018, que estabeleceu novos padrões globais para a 
proteção de dados. De acordo com Lima e Alves (2021, p. 24) , a implementação da LGPD no Brasil foi 
motivada por uma demanda crescente, principalmente devido ao aumento exponencial do uso de dados 
pessoais em setores variados, como comércio eletrônico, serviços financeiros e redes sociais. A sociedade 
moderna passou a depender fortemente da coleta, armazenamento e processamento de dados pessoais, 
tornando‑os um ativo estratégico tanto para empresas quanto para governos. Nesse sentido, a proteção 
desses dados se tornou essencial não apenas para garantir a confiança dos consumidores, mas também 
para assegurar a competitividade das empresas brasileiras no cenário global.
A proliferação de tecnologias digitais e o uso intensivo de informações pessoais levantaram 
preocupações sobre a privacidade e a segurança dos dados. Setores como o de serviços financeiros e 
o comércio eletrônico, que lidam com grandes volumes de informações sensíveis, foram diretamente 
impactados pela necessidade de uma regulamentação robusta. Assim, a LGPD se apresenta como uma 
resposta a essas demandas, buscando equilibrar o uso de dados para fins econômicos com a proteção 
dos direitos dos indivíduos. Além disso, a legislação é vista como uma ferramenta crucial para fortalecer 
a posição do Brasil em um cenário internacional cada vez mais focado na conformidade com leis 
de privacidade de dados, promovendo a competitividade das empresas brasileiras em mercados que 
exigem altos padrões de governança em proteção de dados pessoais. Nesse contexto, a confiança dos 
consumidores é central para o funcionamento do mercado digital. A LGPD, ao estabelecer normas claras 
para o tratamento de dados pessoais, cria um ambiente de transparência e responsabilidade que pode 
resultar em um aumento da confiança do público nas operações de empresas que seguem rigorosamente 
a lei. A proteção adequada dos dados, portanto, não apenas promove a privacidade, mas também se 
traduz em um diferencial competitivo em um ambiente cada vez mais digital e globalizado.
O GDPR e a LGPD possuem uma estrutura semelhante, baseada em princípios fundamentais que 
orientam o tratamento de dados pessoais. Entre as principais semelhanças, podemos destacar:
• Direitos dos titulares: tanto o GDPR quanto a LGPD conferem aos titulares de dados uma série 
de direitos, como o direito de acesso, retificação, exclusão, portabilidade dos dados e o direito de 
se opor ao tratamento de dados. Esses direitos são fundamentais para garantir o controle dos 
indivíduos sobre suas informações pessoais (Pinheiro, 2021).
23
LEI GERAL DE PROTEÇÃO DE DADOS
• Bases legais para o tratamento de dados: ambos os regulamentos exigem que o tratamento 
de dados pessoais seja justificado por uma base legal específica, como o consentimento do titular, 
a execução de um contrato, o cumprimento de uma obrigação legal ou o interesse legítimo do 
controlador (Doneda, 2021).
• Princípio da responsabilidade (accountability): tais regulamentos incorporam o princípio de 
accountability, que exige que as organizações sejam capazes de demonstrar conformidade com os 
regulamentos de proteção de dados. Isso implica na adoção de medidas técnicas e organizacionais 
adequadas para garantir a proteção dos dados pessoais tratados (Lima; Alves, 2021, p.26).
• Obrigação de notificação de violação de dados: em ambos os regulamentos, as organizações 
são obrigadas a notificar as autoridades competentes em caso de violação de dados que possa 
resultar em riscos para os direitos e liberdades dos titulares. No GDPR, essa notificação deve ser 
feita dentro de 72 horas após a descoberta da violação, enquanto a LGPD estabelece um prazo 
em tempo razoável, a ser definido pela ANPD (Pinheiro, 2021).
• DPO: a LGPD, assim como o GDPR, exige que certas organizações designem um DPO para 
garantir a conformidade com as leis de proteção de dados. O DPO atua como um ponto de 
contato entre a organização, os titulares de dados e a autoridade supervisora (Doneda, 2021).
Essas semelhanças refletem a intenção do legislador brasileiro de alinhar a LGPD às melhores práticas 
internacionais, facilitando a interoperabilidade entre as jurisdições e assegurando que o Brasil esteja em 
conformidade com os padrões globais de proteção de dados.
Embora a LGPD tenha sido amplamente inspirada pelo GDPR, há diferenças significativas entre 
os dois regulamentos, que refletem as particularidades do contexto brasileiro. Algumas das principais 
diferenças incluem:
• Escopo de aplicação: o GDPR se aplica a qualquer organização que processe dados pessoais de 
indivíduos na UE, independentemente de onde a organização esteja localizada. A LGPD, por outro 
lado, tem aplicação mais restrita, focando principalmente em atividades realizadas no território 
brasileiro ou que visem a oferta de bens e serviços a indivíduos localizados no Brasil (Lima; Alves, 
2021, p. 30).
• Bases legais para o tratamento de dados sensíveis: enquanto o GDPR oferece uma lista 
exaustiva de bases legais para o tratamento de dados sensíveis, a LGPD adota uma abordagem 
mais flexível, permitindo que o tratamento seja realizado com base em consentimento específico 
ou em outras bases legais, como a proteção da saúde ou a tutela de direitos (Doneda, 2021).
• Sanções: o GDPR impõe multas severas por violações, podendo chegar a 20 milhões de euros 
ou 4% do faturamento anual global da organização, o que for maior. A LGPD, por sua vez, prevê 
multas de até 2% do faturamento da empresa no Brasil, limitadas a 50 milhões de reais por 
infração. Além disso, inclui a possibilidade de sanções administrativas, como a suspensão das 
atividades de tratamento de dados (Pinheiro, 2021).
24
Unidade I
• Autoridade supervisora: no GDPR, cada país da UE tem sua própria autoridade supervisora 
responsável por aplicar o regulamento. No Brasil, a aplicação é centralizada na ANPD, que é responsável 
por regulamentar, fiscalizar e aplicar a LGPD em todo o território nacional (Lima; Alves, 2021).
Conforme observado por Doneda (2021), a implementação da LGPD elevou o Brasil a um nível de 
destaque no cenário global, facilitando o fluxo de dados com outras jurisdições que já possuem leis 
de proteção de dados similares. Em um mundo cada vez mais globalizado, em que a transferência de dados 
entre nações é uma peça fundamental para o comércio e a cooperação internacional, a conformidade 
com padrões globais de proteção de dados se tornou crucial. Essa harmonização entre legislações é 
particularmente relevante em setores que dependem de operações internacionais, como o e‑commerce, 
a tecnologia da informação e os serviços financeiros. A conformidade com a LGPD oferece um nível de 
segurança jurídica que facilita transações comerciais e tecnológicas, permitindo que empresas brasileiras 
atuem com maior confiança no mercado internacional. Isso se traduz em um incentivo para que 
corporações em nosso país adotem práticas mais robustas de governança de dados, não apenas para 
cumprir as exigências legais, mas para otimizar suas operações e melhorar sua reputação no exterior.
Lima e Alves (2021) também ressaltam que a conformidade com a LGPD vai além do cumprimento 
das obrigações legais. Ela representa uma oportunidade estratégica para as empresas demonstrarem 
um compromisso sólido com a privacidade e a proteção de dados de seus clientes. Corporações que 
tratam a privacidade dos dados como um valor fundamental tendem a conquistar maior confiança dos 
consumidores, algo que é cada vez mais valioso em um mercado global altamente competitivo. Dessa 
forma, a adequação à LGPD se reflete tanto no fortalecimento da reputação das empresas quanto em 
sua capacidade de construir relações mais transparentes e duradouras com seus clientes. A adoção 
de uma postura proativa em relação à proteção de dados, portanto, não apenas alinha as instituições 
às exigências regulatórias, mas também oferece benefícios tangíveis em termos de competitividade, 
confiança e sustentabilidade no mercado digital global.
No atual cenário digital, no qual os dados pessoais são coletados, processados e compartilhados 
em uma escala sem precedentes, a proteção desses dados tornou‑se uma prioridade tanto para os 
governos quanto para as empresas. O GDPR e a LGPD são respostas a essa realidade, estabelecendo 
um conjunto de normas e princípios que visam garantir que os dados pessoais sejam tratados de 
maneira segura e transparente.
Como observa Pinheiro (2021, p. 28), “o GDPR e a LGPD representam uma mudança de paradigma 
na forma como os dados pessoais são tratados, passando de um modelo de regulação mínima para um 
modelo de proteção abrangente e proativa”. Isso significa que as organizações precisam adotar uma 
abordagem de proteção de dados que vá além da simples conformidade legal, integrando a privacidade 
como um componente central de suas operações e estratégias de negócios.
A relevância desses regulamentos é ainda mais evidente à medida que novas tecnologias, como 
inteligência artificial, big data e internet das coisas (IoT), continuam evoluindo e desafiando as fronteiras 
tradicionais da privacidade. O GDPR e a LGPD fornecem um quadro legal que permite que essas inovações 
ocorram de maneira que respeite os direitos dos indivíduos e proteja seus dados pessoais.
25
LEI GERAL DE PROTEÇÃO DE DADOS
Embora o GDPR e a LGPD estabeleçam diretrizes claras para a proteção de dados, a implementação 
desses regulamentos apresenta uma série de desafios para as organizações. Entre os principais desafios, 
destacam‑se:
• Complexidade regulamentar: a conformidade com o GDPR e a LGPD exige que as organizações 
compreendam e integrem uma série de requisitos complexos em suas operações diárias. Isso inclui 
a gestão de consentimentos, a realização de DPIAs e a implementação de medidas de segurança 
adequadas para proteger os dados pessoais (Doneda, 2021).
• Custo de conformidade: a adaptação às exigências do GDPR e da LGPD pode ser cara, 
especialmente para pequenas e médias empresas. Os custos incluem não apenas a implementação 
de novas tecnologias e processos, mas também a contratação de profissionais especializados, 
como DPOs, e a realização de auditorias regulares para garantir a conformidade contínua (Lima; 
Alves, 2021).
• Mudança cultural: talvez o desafio mais significativo seja a necessidade de uma mudança 
cultural dentro das organizações. A proteção de dados deve ser vista não apenas como uma 
exigência legal, mas como um componente essencial da ética empresarial e da responsabilidade 
social (Pinheiro, 2021).
• Interoperabilidade global: para empresas que operam em várias jurisdições, garantir a 
conformidade simultânea com diferentes regulamentações de proteção de dados pode ser 
desafiador. No entanto, o alinhamento entre o GDPR e a LGPD facilita essa tarefa, criando 
um conjunto de normas que podem ser aplicadas de maneira coerente em várias regiões 
(Doneda, 2021).
A LGPD e o GDPR representam um avanço significativo na proteção dos dados pessoais, estabelecendo 
padrões que são agora considerados benchmarks globais. A visão geral desses regulamentos mostra que, 
apesar das diferenças regionais, ambos compartilham um compromisso comum com a proteção dos 
direitos dos titulares de dados e a promoção de práticas empresariais responsáveis e éticas.O alinhamento da LGPD com o GDPR coloca o Brasil em uma posição favorável no cenário global, 
permitindo que o país participe ativamente da economia digital global enquanto protege os direitos de 
seus cidadãos.
1.2.2 Princípios básicos da proteção de dados
Os princípios básicos da proteção de dados estabelecem as diretrizes para que as organizações tratem 
os dados pessoais de maneira ética, legal e segura, garantindo os direitos dos titulares e promovendo a 
confiança no uso da informação pessoal.
O princípio da finalidade é central em ambos os regulamentos. Ele determina que os dados pessoais 
devem ser coletados e tratados para finalidades específicas, explícitas e legítimas que devem ser 
informadas ao titular no momento da coleta. Esse princípio impede que os dados sejam utilizados 
26
Unidade I
para outras finalidades que não tenham sido previamente informadas e consentidas. Segundo Lima 
e Alves (2021, p. 26), “o princípio da finalidade visa garantir que o tratamento de dados pessoais seja 
conduzido de maneira transparente e honesta, alinhando as expectativas dos titulares com as práticas 
das organizações”. No contexto brasileiro, a LGPD enfatiza que qualquer alteração na finalidade do 
tratamento deve ser comunicada ao titular, que tem o direito de revogar o consentimento caso discorde 
da nova finalidade. A importância desse princípio reside no controle que ele oferece aos titulares sobre 
como seus dados são utilizados. Ele também impõe às organizações a responsabilidade de definir 
claramente as finalidades do tratamento e de garantir que essas finalidades sejam respeitadas ao longo 
de todo o ciclo de vida dos dados.
O princípio da adequação está intimamente ligado ao da finalidade, pois exige que o tratamento 
dos dados pessoais seja compatível com as finalidades informadas. Isso significa que os dados 
coletados devem ser pertinentes e proporcionais ao propósito para o qual foram coletados. 
Pinheiro (2021, p. 25) destaca que “a adequação é uma proteção contra a coleta excessiva de dados, 
garantindo que as organizações limitem a coleta apenas ao necessário para atingir suas finalidades 
declaradas”. Na prática, isso impede que as empresas coletem dados que não têm relevância direta 
para suas operações, reduzindo o risco de abusos e de uso indevido de informações pessoais. Esse 
princípio é particularmente relevante em contextos em que a coleta de dados pode se expandir 
facilmente, como em plataformas digitais e serviços online. Ele força as organizações a refletirem 
criticamente sobre quais dados são realmente necessários e a justificarem sua coleta com base nas 
finalidades estabelecidas.
O princípio da necessidade, também conhecido como princípio da minimização de dados no GDPR, 
determina que o tratamento de dados pessoais deve se limitar ao mínimo necessário para a realização 
das finalidades para as quais os dados foram coletados. Esse princípio é um dos mais importantes para a 
proteção da privacidade, pois promove a coleta e o uso restritivo de dados pessoais. Doneda (2021, p. 115) 
observa que “a necessidade é um conceito dinâmico, que deve ser reavaliado continuamente à medida 
que o tratamento de dados evolui e novas tecnologias são implementadas”. Na LGPD, isso significa que 
as organizações devem adotar uma abordagem conservadora em relação à coleta de dados, garantindo 
que apenas as informações essenciais sejam coletadas e processadas. A aplicação desse princípio pode 
ser desafiadora em ambientes corporativos em que a tendência é coletar o máximo de dados possível 
para futuros usos ou análises. No entanto, a LGPD exige que as empresas justifiquem a necessidade de 
cada dado coletado, promovendo uma cultura de responsabilidade e respeito à privacidade.
O princípio do livre acesso garante que os titulares de dados tenham o direito de acessar, a qualquer 
momento e sem custo, todas as informações que a organização possui sobre eles. Esse acesso inclui a 
possibilidade de verificar a existência de dados, a forma como são tratados, as finalidades desse tratamento 
e a identificação dos responsáveis pelo tratamento. Como Lima e Alves (2021, p. 27) explicam, “o livre 
acesso é um mecanismo crucial para a transparência e para o empoderamento dos titulares de dados, 
permitindo que eles monitorem como suas informações pessoais estão sendo utilizadas e tomem medidas 
quando necessário”. Esse princípio é fundamental para a construção da confiança entre os titulares e 
as organizações, garantindo que os primeiros possam exercer seus direitos de forma plena. Na prática, 
o livre acesso exige que as organizações implementem sistemas e processos que permitam responder 
27
LEI GERAL DE PROTEÇÃO DE DADOS
rapidamente às solicitações dos titulares de dados. Além disso, essas respostas devem ser fornecidas de 
maneira clara e compreensível, sem o uso de jargões técnicos que possam dificultar o entendimento.
O princípio da qualidade dos dados exige que os dados pessoais sejam mantidos exatos, completos 
e atualizados sempre que necessário. Isso significa que as organizações devem tomar medidas razoáveis 
para garantir que os dados que possuem estejam corretos e sejam adequados para as finalidades do 
tratamento. Pinheiro (2021, p. 23) afirma que “a qualidade dos dados é essencial para evitar decisões 
erradas baseadas em informações incorretas ou desatualizadas, o que pode levar a prejuízos significativos 
para os titulares”. Na LGPD, a responsabilidade pela qualidade dos dados recai sobre o controlador, 
que deve garantir que os dados pessoais sejam precisos e relevantes para os fins para os quais são 
processados. A manutenção da qualidade dos dados é um desafio contínuo para as organizações, 
especialmente aquelas que lidam com grandes volumes de informações. Isso requer a implementação 
de políticas rigorosas de governança de dados e a realização de auditorias regulares para garantir a 
precisão e a atualização das informações.
A transparência é um dos princípios fundamentais tanto na LGPD quanto no GDPR. Esse princípio 
exige que as organizações sejam claras e acessíveis em suas comunicações com os titulares de dados, 
especialmente no que diz respeito às práticas de tratamento de dados. Isso inclui a obrigação de informar 
os titulares sobre como e por que seus dados são coletados, armazenados, usados e compartilhados. 
Doneda (2021, p. 132) destaca que “a transparência é crucial para a construção de um relacionamento 
de confiança entre os titulares de dados e as organizações, permitindo que os indivíduos façam escolhas 
informadas sobre o uso de suas informações pessoais”. Na LGPD, esse princípio se traduz na obrigação 
das empresas de fornecer informações precisas, claras e facilmente acessíveis sobre suas práticas de 
tratamento de dados. A transparência não se limita à coleta inicial de dados. Ela deve ser mantida ao 
longo de todo o ciclo de vida dos dados, com as organizações atualizando os titulares sobre qualquer 
mudança nas práticas de tratamento ou nas finalidades do uso dos dados, o que inclui notificações sobre 
violações de dados, mudanças nos termos de uso e atualizações nas políticas de privacidade.
O princípio da segurança exige que as organizações adotem medidas técnicas e administrativas 
adequadas para proteger os dados pessoais contra acessos não autorizados, situações acidentais ou 
ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado 
ou ilícito. Lima e Alves (2021, p. 26) afirmam que “a segurança dos dados é a base sobre a qual todos 
os outros princípios se sustentam, pois, sem segurança, não há garantia de que os direitos dos titulares 
serão respeitados”. A LGPD impõe às organizações a obrigação de implementar medidas de segurança 
proporcionais aos riscos envolvidos no tratamento dos dados, considerando a natureza dos dados, o 
contexto do tratamento e o estado da tecnologia. A implementação de medidas de segurança pode 
incluir a criptografia de dados, a adoção de controles de acesso,