Unidade 1 - Diagramada e validada Apostila

Prévia do material em texto

Unidade I 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
ESCOLA JUDICIAL DESEMBARGADOR EDÉSIO FERNANDES (EJEF) 
Curso ―Proteção e tratamento de dados pessoais‖ / 2024 
Unidade I ▪ Curadoria: Giovanni Galvão Vilaça Gregório1 & Victor Moreira 
Mulin Leal2 
 
 
 
 
1
 Gerente do CEGINP 
2
 Coordenador da COTRAD 
 
 
SUMÁRIO 
 
RETROSPECTO E CONTEXTO SOCIAL, ECONÔMICO E 
POLÍTICO QUE ORIGINARAM AS LEIS DE PROTEÇÃO DE 
 .................................................................................... 1 DADOS PESSOAIS
LEI 13.709/18 (LEI GERAL DE PROTEÇÃO DE DADOS 
 ............................................................... 4 PESSOAIS): APRESENTAÇÃO
PRINCÍPIOS E FUNDAMENTOS DA LEI GERAL DE PROTEÇÃO 
 ................................................................................................... 8 DE DADOS
FUNDAMENTOS .............................................................................................. 8 
PRINCÍPIOS .................................................................................................... 9 
APLICABILIDADE: ÂMBITOS TERRITORIAL, MATERIAL E 
 ............................................................................................... 13 SUBJETIVO
 ................ 16 CATEGORIAS DE DADOS PESSOAIS E TRATAMENTO
DADO PESSOAL “GERAL” ............................................................................... 17 
DADO PESSOAL SENSÍVEL ............................................................................. 17 
DADOS ANONIMIZADOS E PSEUDONIMIZAÇÃO .................................................. 18 
 .......................... 20 CONTROLADOR, OPERADOR E ENCARREGADO
CONTROLADOR ............................................................................................ 20 
OPERADOR .................................................................................................. 21 
ENCARREGADO ............................................................................................ 22 
TRATAMENTO DE DADOS DE CRIANÇAS E ADOLESCENTES E 
 .......................................................................................... 23 VULNERÁVEIS
TRATAMENTO DE DADOS DE CRIANÇAS E ADOLESCENTES ................................. 23 
TRATAMENTO DE DADOS DE VULNERÁVEIS (IDOSOS) ........................................ 25 
HIPÓTESES LEGAIS PARA O TRATAMENTO DE DADOS 
 ................................................................................................. 26 PESSOAIS
CONSENTIMENTO DO TITULAR ........................................................................ 27 
SEM NECESSIDADE DE CONSENTIMENTO DO TITULAR ....................................... 27 
Cumprimento de obrigação legal ou regulatória ..................................... 27 
Execução de políticas públicas............................................................... 28 
Execução de contrato ............................................................................. 28 
 
 
 
 
 
 
1 
 
 
RETROSPECTO E CONTEXTO SOCIAL, 
ECONÔMICO E POLÍTICO QUE ORIGINARAM AS 
 LEIS DE PROTEÇÃO DE DADOS PESSOAIS 3
 
 
Embora a privacidade e a proteção de dados pessoais sejam atualmente 
direitos reconhecidos tanto no ordenamento jurídico nacional 4 quanto no 
internacional5, as discussões sobre sua relevância não são tão novas. Destaca-
se que em 1890, nos Estados Unidos, Samuel Warren e Louis Brandeis 
publicaram o artigo intitulado The Right To Privacy, defendendo ser a 
privacidade um direito jurídico 6 . Naquela época, rápidas inovações 
tecnológicas, como a fotografia e a imprensa de grande circulação, permitiam a 
disseminação sem precedentes de informações pessoais. 
Nesse cenário, a imprensa sensacionalista passou a expor detalhes 
íntimos da vida de figuras públicas e da elite social sem seu consentimento ou 
autorização, o que gerou preocupações com a proteção da dignidade e da 
privacidade dos indivíduos. 
Outro fator que contribuiu para a criação de leis de proteção de dados 
pessoais está atrelado ao tratamento de dados realizado pelo próprio Poder 
Público, que, se realizado de forma incorreta, pode acarretar grande ou 
irreparável prejuízo a grupos específicos de pessoas. 
 
3
 Redação: Débora Eduarda Ribeiro Barbosa 
4
 Conforme prevê o artigo 5º, incisos X e LXXIX, da Constituição da República Federativa do 
Brasil de 1988: ―são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, 
assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação‖ e 
―é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios 
digitais‖. 
5
 Conforme prevê o artigo 12 da Declaração Universal dos Direitos Humanos, de 1948, adotada 
e proclamada pela Assembleia-Geral das Nações Unidas: ―Ninguém será sujeito à interferência 
na sua vida privada, na sua família, no seu lar ou na sua correspondência, nem a ataque à sua 
honra e reputação. Todo ser humano tem direito à proteção da lei contra tais interferências ou 
ataques‖. 
6
 WARREN, Samuel D.; BRANDEIS, Louis D. The righttoprivacy. Harvard Law Review, v. 4, n. 
5, p. 193-220, 1890. 
Unidade I Tópico 1 
2 
 A esse respeito, o contexto histórico do nazismo teve um impacto 
significativo no desenvolvimento de leis de proteção de dados, especialmente 
na Europa. Durante a Segunda Guerra Mundial, o regime nazista na Alemanha 
usou registros detalhados de informações pessoais para identificar e perseguir 
judeus, opositores políticos e outros grupos7. A utilização de dados pessoais 
para fins de discriminação gerou, posteriormente, uma conscientização 
profunda sobre os perigos do abuso de informações pessoais e a necessidade 
de proteger a privacidade dos cidadãos. 
Após a guerra, essa conscientização resultou na criação de leis e 
diretrizes para proteger dados pessoais e prevenir abusos. A Alemanha 
aprovou a primeira lei de proteção de dados do mundo na década de 19708. 
Esse movimento inspirou regulamentações mais amplas na União Europeia, 
como a Diretiva de Proteção de Dados de 1995 e o Regulamento Geral de 
Proteção de Dados (GDPR) de 20189. 
Por fim, outros fatores que contribuíram para a criação e fortalecimento 
das leis de proteção de dados foram a globalização e a digitalização da 
economia. As empresas começaram a perceber o valor econômico dos dados 
pessoais, e o comércio dessas informações se tornou comum, o que gerou 
preocupação com a segurança dos dados e os direitos dos consumidores. 
O caso da Cambridge Analytica, que ocorreu ao longo das eleições 
presidenciais nos Estados Unidos da América, em 2016, demonstrou bem o 
que o uso indevido de dados pode causar10. Essa empresa de consultoria 
política coletou dados de milhões de usuários do Facebook, sem o 
consentimento ou autorização deles, utilizando esses dados para criar perfis 
psicográficos e direcionar anúncios políticos personalizados durante o período 
eleitoral americano, buscando influenciar votos e manipular a opinião pública11. 
 
7
 WHITMAN, James Q. The Two Western Cultures of Privacy: Dignity versus Liberty. Yale 
Law Journal, v. 113, n. 6, p. 1151-1221, 2004. 
8
 DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação 
da Lei geral de proteção de dados. 2ª ed. São Paulo: Thomson Reuters, 2019, p. 191. 
9
 Ibid. p. 167-202. 
10
 BBC. (2018). Entenda o escândalo de uso político de dados que derrubou valor do Facebook 
e o colocou na mira de autoridades. BBC Brasil. 20 de março de 2018. Disponível em: 
https://www.bbc.com/portuguese/internacional-43461751. Acesso em: 14 jun. 2024. 
11
 TEIXEIRA, Isabela Vieira. Inteligência Artificial, Big Data e Democracia: o caso 
Cambridge Analyticae a regulação de novas tecnologias no ordenamento jurídico brasileiro. 
2021. Artigo Científico (Graduação em Direito) – Pontifícia Universidade Católica de Goiás, 
3 
 
Manchete e ilustração da notícia publicada em jornal internacional de grande 
circulação (disponivel em: https://www.bbc.com/portuguese/internacional-
43461751. Acesso em: 29 ago. 2024) 
 
Esse caso foi o estopim para mudanças legislativas, especialmente na 
Europa. Antes do escândalo da Cambridge Analytica, a União Europeia já 
possuía uma diretiva de proteção de dados, mencionada acima, mas o 
incidente revelou a insuficiência das regras existentes para lidar com as novas 
realidades tecnológicas. 
Isso levou à criação do Regulamento Geral sobre a Proteção de Dados 
(RGPD) em 2018 12 , que estabeleceu normas rigorosas para coleta, 
processamento e armazenamento de dados pessoais, aumentando a 
responsabilidade das empresas em relação à proteção de dados. 
A criação do RGPD teve impacto em todo o mundo, influenciando outras 
nações a adotar regulamentações similares, inclusive servindo como modelo 
para muitos países que reconheceram a necessidade de proteger a privacidade 
dos dados de seus cidadãos. 
Por fim, tudo isso culminou na criação da Lei nº 13.709/2018 ― a Lei 
Geral de Proteção de Dados ― no contexto brasileiro, o que demonstra a 
importância de proteger os dados pessoais e garantir a privacidade em um 
mundo cada vez mais conectado. 
 
 
Escola de Direito, Negócios e Comunicação, Núcleo de Prática Jurídica, Coordenação Adjunta 
de Trabalho de Curso, Goiânia, 2021. Disponível em: 
https://repositorio.pucgoias.edu.br/jspui/bitstream/123456789/6400/1/ISABELA%20VIEIRA%20
TEIXEIRA.pdf. 2024.p. 11-14. Acesso em: 09 jun.2024. 
12
 DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei 
Geral de Proteção de Dados. 2. ed. rev. e atual. São Paulo: Thomson Reuters Brasil, 2021. p. 
167-202. 
4 
 
 
LEI 13.709/18 (LEI GERAL DE PROTEÇÃO DE 
 DADOS PESSOAIS): APRESENTAÇÃO13
 
 
No Brasil, as discussões sobre a edição de uma lei específica relativa à 
proteção de dados pessoais começaram a se materializar a partir de 2010, 
quando o Ministério da Justiça divulgou e disponibilizou o primeiro Anteprojeto 
de Lei de Proteção de Dados (LGPD) para debate público14. 
A LGPD é fortemente inspirada na redação do RGPD (Regulamento 
Geral sobre Proteção de Dados), lei de igual escopo elaborada pela União 
Europeia. O RGPD não apenas antecedeu a lei brasileira, mas também foi 
responsável por acelerar sua edição. Isso se deu porque a lei europeia, 
publicada em 2016, estabeleceu em seu art. 45 15 que a transferência 
internacional de dados para países fora da União Europeia somente seria 
possível se a Comissão Europeia16 considerasse que tal país possuía nível 
adequado de proteção de dados – nível inadequado representaria entraves a 
transações comerciais entre o Brasil e países da União Europeia. 
Desse modo, as discussões sobre o texto da LGPD se estenderam de 
2010 a 2018, vindo a ser publicada em 14 de agosto de 2018. Contudo, a 
LGPD somente passou a ter vigência a partir de agosto de 2020, enquanto as 
sanções administrativas nela previstas somente entraram em vigência a partir 
de agosto de 2021. 
 
13 Redação: Amanda Lage Perez 
14
 DONEDA, Danilo Cesar Maganhoto. Da privacidade à proteção de dados pessoais: 
elementos da formação da Lei Geral de Proteção de Dados Pessoais. 2. ed. São Paulo: 
Thomson Reuters Brasil, 2020. [livro eletrônico] 
15
 ―Art. 45. Pode ser realizada uma transferência de dados pessoais para um país terceiro ou 
uma organização internacional se a Comissão tiver decidido que o país terceiro, um território 
ou um ou mais setores específicos desse país terceiro, ou a organização internacional em 
causa, assegura um nível de proteção adequado. Esta transferência não exige autorização 
específica.‖ (RGPD) 
16
 A Comissão Europeia é instituição politicamente independente que representa e defende os 
interesses da União Europeia na sua globalidade. Propõe legislação, política e programas de 
ação, sendo responsável por aplicar as decisões do Parlamento Europeu e do Conselho da 
União Europeia. 
Unidade I Tópico 2 
5 
 
 
Manchete e ilustração da notícia publicada em jornal nacional de grande 
circulação (disponivel em: 
https://g1.globo.com/tecnologia/noticia/2024/03/07/lei-da-uniao-europeia-que-
regula-big-techs-entra-em-vigor-entenda.ghtml. Acesso em: 29 ago. 2024) 
 
 
A publicação da LGPD representou um marco importante que ajudou a 
amadurecer as discussões sobre a proteção de dados no Brasil, o que foi 
reforçado pela Emenda Constitucional nº 115/2022, que incluiu a proteção de 
dados pessoais como um direito fundamental (art. 5º, LXXIX, da Constituição 
da República de 1988)17. 
A LGPD constitui instrumento legal que prevê: 
 princípios e fundamentos a nortear o tratamento de dados 
pessoais (artigos 2º e 6º); 
 abrangência material, territorial e subjetiva de suas disposições 
(artigos 1º, 3º e 4º); 
 definição dos conceitos relacionados à privacidade e à proteção 
de dados (art. 5º); 
 hipóteses legais para o tratamento de dados pessoais em geral 
(art. 7º ao 10), de dados sensíveis (art. 11 ao 13) e de dados de 
crianças e adolescentes (art. 14); 
 término do ciclo do tratamento dos dados pessoais (artigos 15 e 
16); 
 direitos a que os titulares de dados fazem jus (artigos 17 ao 22); 
 
17
 FRAZÃO, Ana; CARVALHO, Angelo Prata de; MILANEZ, Giovanna. Curso de proteção da 
dados pessoais: fundamentos da LGPD. 1. ed. Rio de Janeiro: Forense, 2022. 
6 
 regras a serem observadas pelo Poder Público no tratamento de 
dados (artigos 23 a 32); 
 regras sobre a transferência internacional de dados (artigos 33 a 
36); 
 deveres dos agentes de tratamento e do encarregado de dados 
(artigos 37 a 45); 
 medidas de segurança e boas práticas a serem observadas no 
tratamento de dados pessoais (artigos 46 a 51); 
 sanções administrativas a serem aplicadas em casos de infrações 
relacionadas a tratamento de dados (artigos 52 a 54); e 
finalmente, 
 instituição da Autoridade Nacional de Proteção de Dados (ANPD) 
e previsão de suas atribuições (art. 55-A a 55-M). 
 
Os regramentos sobre a proteção de dados não se restringem à LGPD, 
uma vez que a ANPD, no exercício de suas atribuições, também é responsável 
por editar guias orientativos, resoluções e enunciados com instruções sobre 
tratamento de dados em aspectos específicos, emitindo direcionamentos 
voltados a determinados setores e temas. 
 
 
Você pode acessar a página eletrônica da 
ANPD 18 e conhecer as publicações e guias 
editados, dentre os quais recomendamos 
especialmente que leia o ―Glossário de Proteção 
de Dados Pessoais e Privacidade‖19. 
 
 
O intuito da LGPD é estabelecer princípios e diretrizes a serem 
observados no tratamento de dados pessoais, a fim de assegurar que esses 
tratamentos respeitem sempre uma base legal e se deem em conformidade 
 
18
 Acesse: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes. 
19
 Acesse: Glossário ANPD — Autoridade Nacional de Proteção de Dados (www.gov.br) 
7 
com parâmetros mínimos de segurança que garantam a proteção dos dados 
pessoais e o respeito aos direitos fundamentais de liberdade e de privacidade 
dos titulares dos dados, além do livre desenvolvimento da personalidade da 
pessoa natural, conforme prevê o art. 1º da LGPD. 
Por outro lado, é importante destacar que a LGPD não alcança questões 
relacionadas ao sigilo de informações, confidencialidade nem mesmo à 
publicidade de determinadosdados, o que emana de legislações próprias. 
Além disso, a LGPD não tem o propósito de restringir ou ampliar as 
disposições já existentes em outros normativos, como a Lei de Acesso à 
Informação (Lei nº 12.527/2011), ou de normas que versem sobre o sigilo ou 
publicidade de informações processuais. 
Por fim, ressalta-se que a LGPD abrange exclusivamente dados 
pessoais e, por isso, não se aplica a dados de pessoas jurídicas nem abrange 
questões relacionadas ao sigilo comercial, propriedade intelectual, propriedade 
industrial ou a informações a não ser aquelas relacionadas a pessoais naturais 
– como veremos adiante. 
 
8 
 
 
 
PRINCÍPIOS E FUNDAMENTOS DA LEI GERAL 
DE PROTEÇÃO DE DADOS 20 
 
 
A LGPD possui fundamentos e principiologia próprios, mas que se 
comunicam e se harmonizam com as demais normas que, de alguma maneira, 
trazem proteção aos dados pessoais, a exemplo da Lei de Acesso a 
Informação (Lei nº 12.527/2011) e do Marco Civil da Internet (Lei nº 
12.965/2014). 
No art. 2º da LGPD, você encontrará os fundamentos nos quais a lei se 
baseia. Iremos conceituar alguns de maior destaque, mas sugerimos que você 
também consulte o referido dispositivo e as referências bibliográficas que 
indicamos ao longo deste material, que propiciarão maior aprofundamento na 
matéria. 
 
FUNDAMENTOS 
 
Dentre os fundamentos da LGPD, encontramos o respeito à privacidade 
(art. 2º, I). Ao longo da história, o conceito de privacidade foi se modificando 
até alcançarmos a noção atual, que pode ser traduzida como o direito a: 
 
proteção do segredo, do sigilo ou de informações 
atinentes unicamente à vida privada de um indivíduo 
(...)21. 
 
A LGPD também prevê como fundamento a autodeterminação 
informativa (art. 2º, II), que indica o direito que o indivíduo tem, ainda que não 
 
20 Redação: Amanda Lage Perez 
21
 FRAZÃO, Ana; CARVALHO, Angelo Prata de; MILANEZ, Giovanna. Curso de proteção de 
dados pessoais: fundamentos da LGPD. 1 ed. Rio de Janeiro: Forense, 2022. 
Unidade I Tópico 3 
9 
de modo absoluto, de controlar e determinar o acesso a seus dados pessoais e 
o uso que se fará deles22. 
Dentre os fundamentos da LGPD, também é interessante notar a 
previsão sobre o desenvolvimento econômico e tecnológico e a inovação (art. 
2º, V) bem como sobre a livre iniciativa, a livre concorrência e a defesa do 
consumidor (art. 2º, VI). 
Com esses fundamentos, a LGPD demonstra que, apesar de trazer 
novos parâmetros ao tratamento de dados pessoais, o intuito da norma é 
possibilitar o desenvolvimento econômico e tecnológico, ao mesmo tempo que 
se observa o regular e adequado tratamento de dados pessoais que estarão 
envolvidos nesse processo evolutivo da sociedade. 
 
 
PRINCÍPIOS 
 
Por outro lado, o art. 6º da LGPD estabelece os princípios que deverão 
nortear o tratamento de dados pessoais, a começar pela boa-fé: o agente de 
tratamento, ao realizar sua atividade, deverá observar a lealdade e a 
 
22
 DONEDA, Danilo. et al. Tratado de proteção de dados pessoais. Rio de Janeiro: Forense, 
2021. 
10 
transparência, portando-se conforme as justas expectativas do titular a partir do 
que lhe foi informado acerca do tratamento dos seus dados23. 
Em seus incisos, o art. 6º também estabelece outros 10 princípios, 
sendo eles: finalidade; adequação; necessidade; livre acesso; qualidade dos 
dados; transparência; segurança; prevenção; não discriminação; e 
responsabilização e prestação de contas. 
 
O princípio da finalidade (art. 6º, I) possui relação direta com o 
princípio da adequação (art. 6º, II), pois, enquanto o primeiro informa que os 
dados pessoais devem ser tratados para propósitos legítimos, específicos, 
explícitos e informados ao titular, o segundo estabelece que o tratamento deve 
ser compatível com as finalidades que foram indicadas. 
Já a partir do princípio da necessidade (art. 6º, III), a LGPD inaugura o 
conceito da minimização de dados, uma vez que estabelece que o tratamento 
deve ser limitado ao mínimo necessário para realizar as finalidades que foram 
informadas ao titular, assim como deve abranger o mínimo de dados 
necessários para alcançar essas finalidades. 
 
23
 FRAZÃO, Ana; CARVALHO, Angelo Prata de; MILANEZ, Giovanna. Curso de proteção de 
dados pessoais: fundamentos da LGPD. 1 ed. Rio de Janeiro: Forense, 2022. 
11 
Também podemos destacar a importância do princípio do livre acesso 
(art. 6º, IV) e do princípio da transparência (art. 6º, VI). Ambos os princípios 
se traduzem em garantias e direitos do titular de dados, visto que o livre acesso 
se consubstancia no direito do titular de obter informações e realizar 
solicitações gratuitamente sobre o tratamento dos seus dados pessoais, 
enquanto a transparência revela o dever do agente de tratamento de oferecer 
ao titular informações claras, precisas e acessíveis sobre a realização do 
tratamento e sobre quais são os agentes de tratamento envolvidos no 
processo. 
Destacamos também o princípio da não discriminação, que veda que 
o tratamento de dados pessoais seja realizado para fins ilícitos, abusivos ou 
discriminatórios em face do titular dos dados. 
 
Manchete e ilustração da notícia publicada em jornal especializado (disponivel em: 
https://www.migalhas.com.br/quentes/282013/decolar-com-e-multada-em-r--7-5-
milhoes-por-diferenciar-preco-de-acordo-com-regiao. Acesso em: 29 ago. 2024) 
 
 
Para conhecer um exemplo prático do indesejável uso discriminatório 
dos dados pessoais, convidamos você à leitura da Nota Técnica nº 92/201824, 
emitida pelo Departamento de Proteção do Direito do Consumidor (DPCP) do 
Ministério da Justiça, que trata sobre empresa intermediária do mercado de 
hospedagens multada por realizar as práticas discriminatórias de geo blocking 
 
24
 DEPARTAMENTO DE PROTEÇÃO DO DIREITO DO CONSUMIDOR. Nota Técnica n.º 
92/2018/CSA-SENACON/CGCTSA/GAB-DPDC/DPDC/SENACON/MJ. Disponível em: 
https://www.cmlagoasanta.mg.gov.br/abrir_arquivo.aspx/PRATICAS_ABUSIVAS_DECOLARC
OM?cdLocal=2&arquivo=%7BBCA8E2AD-DBCA-866A-C8AA-BDC2BDEC3DAD%7D.pdf. 
Acesso em: 09 jun. 2022. 
12 
(bloqueio de ofertas em virtude da informação sobre a localização geográfica 
do usuário) e geo pricing (prática de preços diferentes conforme a localização 
do usuário). 
 
 
Você também poderá conhecer os 
outros princípios da LGPD a partir da cartilha 
do TJMG sobre o Programa de Proteção de 
Dados Pessoais25 desenvolvido no âmbito do 
Tribunal. 
 
 
 
25
 Acesse em: 
https://www.tjmg.jus.br/data/files/CC/56/60/AB/68BA28101BEA95285ECB08A8/cartilha%20LG
PD_v6%20-%20SEM%20QUIS.pdf 
13 
 
 
APLICABILIDADE: ÂMBITOS TERRITORIAL, 
MATERIAL E SUBJETIVO 26 
 
 
Iremos agora entender os parâmetros da aplicabilidade territorial, 
material e subjetiva da LGPD, isto é, os limites sobre em quais locais se aplica 
a LGPD, sobre quais situações ela é aplicável e a quem se aplica. 
Conforme dispõe seu art. 3º, a LGPD é aplicável a operações de 
tratamento realizadas por pessoas naturais ou por pessoas jurídicas de direito 
público ou privado. Aplica-se, portanto, a operações de tratamento realizadas 
por órgãos públicos, tais como o Tribunal de Justiça de Minas Gerais. 
Sob o aspecto material – em quais situações é aplicável –, temos que a 
LGPD se aplica a qualquer operação de tratamento de dados pessoais. 
Conforme você poderá verificar na leitura do art. 5º, X, da LGPD, o termo 
―tratamento‖ deve ser entendido como toda operação realizada com dados 
pessoais – como coleta, recepção, classificação, utilização, acesso, 
transmissão, processamento, arquivamento, armazenamento, eliminação, bem 
como qualquer outra atividadeque se possa realizar com esses dados. Isso 
quer dizer que a LGPD deve ser observada sempre que uma atividade 
envolvendo dados pessoais é realizada, seja a coleta de dados pessoais, seja 
a eliminação, seja o arquivamento ou um simples acesso a dados pessoais. 
Além disso, a LGPD se aplica a operações de tratamento de dados 
realizadas por qualquer meio – seja digital (on-line ou off-line), seja físico 
(materiais impressos ou produzidos manualmente). 
Para entender a aplicabilidade da LGPD sob o aspecto subjetivo – ou 
seja, a quem se aplica a LGPD – é importante esclarecermos alguns conceitos. 
O art. 1º da LGPD informa que esta se aplica aos dados pessoais, e a lei 
define ―dados pessoais‖ (art. 5º, inc. I, da LGPD), como a “informação 
relacionada a pessoa natural identificada ou identificável”. Aqui, é importante 
 
26
 Redação: Amanda Lage Perez 
Unidade I Tópico 4 
14 
lembrarmos que, conforme dispõe o art. 6º do Código Civil, a existência da 
―pessoa natural‖ se extingue com a morte. Portanto, isso nos leva a concluir 
que a LGPD se aplica a operações de tratamento de dados de pessoas vivas27. 
Além disso, a lei não faz distinção quanto à origem ou à nacionalidade 
do titular dos dados, sendo, por isso, aplicável a qualquer titular que se 
enquadre nas hipóteses da lei, ainda que não seja brasileiro. 
Ainda quanto a quem se aplica a LGPD, temos que ela vai ser aplicada: 
(1) quando o tratamento dos dados pessoais tiver por intuito a oferta 
de bens ou serviços a qualquer titular de dados que esteja em 
território brasileiro (art. 3º, II); e 
(2) a titulares cujos dados tenham sido coletados no Brasil, ainda que 
o titular não mais se encontre em território brasileiro (art. 3º, III). 
 
Sob o aspecto territorial, temos que a aplicação da LGPD independe da 
localização do agente de tratamento, que pode inclusive ter sua sede em país 
estrangeiro. Isso porque essa lei se aplica: a tratamentos realizados em 
território nacional; a tratamentos realizados para oferta ou fornecimento de 
bens e serviços a titulares localizados em território nacional; e ainda, quando a 
coleta dos dados ocorrer no território nacional. 
Sobre o aspecto territorial, os seguintes esclarecimentos são 
importantes. 
(1) Tratamento de dados realizados em território nacional (art. 3º, I): 
mesmo que o controlador tenha sede em território estrangeiro e 
os titulares sejam estrangeiros, se o tratamento dos dados 
pessoais ocorrer em território brasileiro, a LGPD será aplicada. 
(2) Tratamento realizado para oferta ou fornecimento de bens e 
serviços a titulares localizados em território nacional (art. 3º, II): 
aqui, podemos perceber que a LGPD também vai ser aplicada 
quando o tratamento tiver o objetivo de oferta ou fornecimento de 
bens e serviços a titulares localizados em território brasileiro, 
ainda que o tratamento dos dados (por exemplo, o 
 
27
 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Nota Técnica nº 
3/2023/CGF/ANPD. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-
publicacoes/nota-tecnica-no-3-2023-cgf-anpd.pdf. Acesso em: 13 jun. 2024. 
15 
armazenamento, processamento etc.) ocorra em território 
estrangeiro. 
(3) Coleta dos dados ocorrer no território nacional (art. 3º, III): nesse 
caso, a LGPD será aplicável a qualquer situação em que a coleta 
de dados tenha se dado no Brasil, mesmo se o titular for 
estrangeiro e o tratamento dos dados pessoais for realizado em 
território estrangeiro. Para melhor ilustrar, considere o seguinte 
exemplo: “uma empresa americana trata dados de cidadãos 
europeus residentes na Itália. No entanto, no momento da coleta 
de tais dados, os indivíduos estão viajando pelo Brasil”28. 
 
Por fim, importante também esclarecer as situações a que a LGPD não 
se aplica. Para isso, convidamos você a ler o art. 4º da LGPD, que afirma que 
essa lei não será aplicada, em síntese, quando se tratar de: 
 tratamento de dados por pessoa natural para fins exclusivamente 
particulares e não econômicos (por exemplo, uma lista telefônica 
doméstica, uma lista de convidados para um aniversário etc.); 
 tratamentos realizados para fins exclusivamente jornalísticos e 
artísticos ou para fins acadêmicos; 
 tratamentos realizados para fins exclusivos de segurança pública, 
defesa nacional, segurança do Estado e atividades de 
investigação e repressão de infrações penais; 
 tratamento de dados pessoais provenientes de fora do território 
brasileiro e que não sejam objeto de comunicação, uso 
compartilhado de dados com agentes de tratamento brasileiros ou 
objeto de transferência internacional de dados com outro país que 
não o de proveniência, desde que o país de proveniência 
proporcione grau de proteção de dados pessoais adequado ao 
previsto na lei brasileira. 
 
 
 
28
 FRAZÃO, Ana; CARVALHO, Angelo Prata de; MILANEZ, Giovanna. Curso de proteção de 
dados pessoais: fundamentos da LGPD. 1. ed. Rio de Janeiro: Forense, 2022. p. 36. 
16 
 
 
CATEGORIAS DE DADOS PESSOAIS E 
TRATAMENTO29 
 
 
Tratamento de dados pessoais refere-se a qualquer ação realizada com 
dados pessoais, seja ela manual ou automatizada, em âmbito físico ou digital. 
Considerando as inúmeras possibilidades como um dado pessoal pode 
ser ―tratado‖, a LGPD optou por apresentar sua definição por meio de um rol 
aberto e exemplificativo de ações, como: coleta, recepção, classificação, 
utilização, acesso, reprodução, distribuição, processamento, arquivamento, 
armazenamento, eliminação, avaliação, controle da informação, modificação, 
comunicação, transferência, difusão ou extração de dados pessoais (art. 5º, X, 
LGPD30). 
 
 
Diante disso, e para fins de exemplificação, 
se você abrir um e-mail com documentos em anexo 
e ali houver informações sobre uma pessoa natural 
viva, como número de processo judicial e cópias de 
documentos, você estará tratando esses dados, 
pois o simples acesso a dados pessoais já é 
considerado uma forma de tratamento. 
 
Superada essa questão, você pode se perguntar neste momento: ―Mas o 
que, de fato, são dados pessoais?‖. Bem, a LGPD apresenta diferentes 
categorias de dados, sendo elas: 
I. dados pessoais, que podemos chamar de ―gerais‖; 
 
29
 Redação: Débora Eduarda Ribeiro Barbosa 
30
 BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Lei nº 13.709, de 14 de agosto 
de 2018. Brasília, DF: Presidência da República, 2018. Disponível em: 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 2 jun. 
2024. 
Atenção 
Unidade I Tópico 5 
17 
II. dados pessoais sensíveis; 
III. dados anonimizados. 
 
Iremos lhe apresentar, a seguir, cada uma delas. 
 
DADO PESSOAL “GERAL” 
 
Com base no artigo 5º, inciso I, da LGPD, podemos definir dado pessoal 
como toda e qualquer informação relacionada a uma pessoa natural 
identificada ou identificável. 
A esse respeito, dados pessoais relacionados a uma pessoa natural 
identificada são informações específicas sobre uma pessoa que já é conhecida 
e pode ser identificada de forma direta, sem a necessidade de outras 
informações. Exemplos: nome completo; número de RG; número de CPF; 
número de passaporte; número de telefone fixo ou celular; entre outras. 
Por outro lado, dados pessoais relacionados a uma pessoa natural 
identificável são informações que, sozinhas, não identificam diretamente uma 
pessoa, mas que, em combinação com outras informações disponíveis, podem 
permitir a sua identificação. Exemplos: endereço de e-mail; endereço IP 
(internet protocol) de um dispositivo eletrônico; placa de veículo; número de 
matrícula em uma instituição de ensino; número de registro em um sistema de 
saúde; número de cartão de créditoou débito; entre outros. 
 
DADO PESSOAL SENSÍVEL 
 
Sensíveis são aqueles dados aos quais a LGPD conferiu uma proteção 
ainda maior por estarem diretamente relacionados aos aspectos mais íntimos 
da personalidade de um indivíduo31. 
 
31
 BRASIL. Autoridade Nacional De Proteção De Dados (ANPD). Perguntas Frequentes - 
ANPD. Disponível em: https://www.gov.br/anpd/pt-br/acesso-a-informacao/perguntas-
frequentes-2013-anpd#b1. Acesso em: 13 jun. 2024. 
18 
De acordo com o art. 5º, II, da LGPD, são dados pessoais sensíveis 
aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, 
filiação a sindicato ou a organização de caráter religioso, filosófico ou político, 
dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, 
quando vinculados a uma pessoa natural. 
Importante destacar que o tratamento dessa categoria de dados merece 
grandes cuidados, pois o uso, o acesso ou a divulgação irregular dessas 
informações possuem potencial de causar danos significativos ao seu titular, 
como discriminação, preconceito, estigmatização ou violação da intimidade da 
pessoa. 
Por conta disso, a LGPD impõe restrições adicionais ao tratamento 
desses dados, exigindo requisitos específicos para o seu tratamento. Você irá 
conhecer esses requisitos no tópico 8 desta apostila, cujo título é ―Hipóteses 
legais de tratamento de dados pessoais. 
 
DADOS ANONIMIZADOS E PSEUDONIMIZAÇÃO 
 
A anonimização de dados pessoais é um processo em que se remove a 
ligação entre a informação e a pessoa a quem a informação se refere, 
garantindo a proteção da privacidade. Essa técnica é usada para reduzir os 
riscos associados ao tratamento de dados pessoais, pois não é mais possível 
saber a quem os dados pertencem, mesmo que sejam combinados com outras 
informações32. 
Exemplo de anonimização seria uma pesquisa de satisfação de um 
restaurante, na qual os nomes e contatos dos clientes são removidos, deixando 
apenas as opiniões anônimas sobre a comida ou serviço. 
 
32
 BRASIL. Autoridade Nacional De Proteção De Dados (ANPD). Estudo técnico sobre 
anonimização de dados na LGPD: uma visão de processo baseado em risco e técnicas 
computacionais. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-
publicacoes/documentos-
depublicacoes/estudo_tecnico_sobre_anonimizacao_de_dados_na_lgpd_uma_visao_de_proce
sso_baseado_em_risco_e_tecnicas_computacionais.pdf. Acesso em: 13 jun. 2024. 
19 
Perceba então que, uma vez anonimizado, o dado não será mais 
considerado pessoal, já que não mais faz referência a uma pessoa natural. Por 
isso, dados anonimizados não estão sujeitos às regras da LGPD. 
A pseudonimização, por sua vez, é um processo que substitui 
informações identificáveis por pseudônimos, ou seja, apelidos que não revelam 
diretamente a identidade da pessoa33. Diferente da anonimização, em que a 
ligação com a pessoa é completamente removida, a pseudonimização ainda 
permite que a identidade da pessoa seja recuperada mediante utilização de 
informações adicionais (chave ou código), que são mantidas separadamente e 
em segurança. Por isso, dados pseudonimizados ainda devem respeitar as 
regras da LGPD. 
Exemplo seria um hospital que substitui os nomes dos pacientes por 
números em um estudo médico, dificultando a identificação dos pacientes, que 
não têm a chave de acesso para correlacionar os números aos nomes reais. 
 
 
33
 EUROPEIA, União. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 
27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao 
tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a 
Proteção de Dados - RGPD). Artigo 4, inciso 5. Jornal Oficial da União Europeia, 4 mai. 2016. 
Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32016R0679. 
Acesso em: 12 jun. 2024. 
20 
 
 
CONTROLADOR, OPERADOR E 
ENCARREGADO34 
 
 
A LGPD define claramente os papéis dos agentes de tratamento, 
categorizando-os em controlador e operador. Além disso, ela apresenta a figura 
do encarregado pelo tratamento de dados pessoais. Como você irá ver, esses 
atores desempenham funções distintas, porém inter-relacionadas. 
A seguir você encontrará a explicação sobre cada um deles. 
 
CONTROLADOR 
É a figura central no tratamento de dados pessoais. Conforme o artigo 
5º, VI, da LGPD35, ele é quem toma as decisões referentes ao tratamento de 
dados pessoais. Em outras palavras, ele define como e por que os dados 
pessoais serão tratados. Um exemplo concreto de controlador é o Tribunal de 
Justiça de Minas Gerais (TJMG), que coleta, armazena, disponibiliza e utiliza 
dados pessoais das partes envolvidas em processos judiciais. 
 
Observe que o gestor máximo da organização (por exemplo, 
o Presidente do TJMG) não é o controlador, mas sim a própria 
organização. 
 
Para mais, vale ressaltar que, além da figura do controlador pessoa 
jurídica, de direito público ou privada, existe o controlador pessoa natural. Isso 
ocorre quando a pessoa natural é responsável pelas principais decisões em 
 
34 Redação: Débora Eduarda Ribeiro Barbosa 
35
 BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Lei nº 13.709, de 14 de agosto 
de 2018. Brasília, DF: Presidência da República, 2018. Disponível em: 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 2 jun. 
2024. 
Unidade I Tópico 6 
21 
relação ao tratamento de dados36. Por exemplo, os profissionais liberais (como 
advogados, contadores e médicos), entre outros, desde que para fins 
econômicos. 
 
OPERADOR 
O operador, por sua vez, é a pessoa natural ou jurídica, de direito 
público ou privado, que realiza o tratamento de dados pessoais em nome do 
controlador (art. 5º, IV, LGPD). Perceba que o operador segue as instruções do 
controlador e não toma decisões sobre como os dados serão utilizados. 
 Um exemplo de operador seria uma empresa de serviços de 
armazenamento em nuvem (Oracle, Google Drive, One Drive, etc.) contratada 
pelo TJMG para armazenar e processar as informações e os dados pessoais 
cadastrados no sistema de processo eletrônico. Nesse caso, a empresa de 
serviços em nuvem atua como operador, pois realiza o tratamento desses 
dados conforme as instruções e finalidades determinadas pelo TJMG, que é o 
controlador dos dados. 
 
 
É comum pensar que o operador é quem lida 
com os dados diretamente; por exemplo, os 
servidores do TJMG. Contudo, essa interpretação 
está incorreta. Os servidores do TJMG não são 
considerados operadores porque, ao desempenhar 
suas funções dentro da organização, eles agem em 
nome do próprio controlador dos dados, integram o 
controlador, que é o TJMG37. 
 
36
 BRASIL. Guia Orientativo para Definições dos Agentes de Tratamento de Dados 
Pessoais e do Encarregado. Brasília, DF: Autoridade Nacional de Proteção de Dados, versão 
2.0, 2022. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-
publicacoes/guia_agentes_de_tratamento_e_encarregado___defeso_eleitoral.pdf. Acesso em: 
02 jun. 2024. 
37
 BRASIL. Autoridade Nacional de Proteção de Dados (Brasil) - ANPD. Guia de Orientações 
sobre o Papel de Agentes de Tratamento de Dados Pessoais. Página 17 – item 58. Disponível 
em:https://www.gov.br/anpd/pt-br/documentos-e-
publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf. Acesso em: 12 jun. 2024. 
Atenção 
22 
ENCARREGADO 
O encarregado é uma figura importante para a governança de dados 
pessoais em uma organização, sendo ele a pessoa indicada pelo agente de 
tratamento (controlador e operador) para atuar como um canal de comunicação 
entrea sua organização, os titulares dos dados e a Autoridade Nacional de 
Proteção de Dados (ANPD), segundo o art. 41 da LGPD. 
Isso significa dizer que o encarregado será responsável por receber 
reclamações ou requisições dos direitos dos titulares dos dados ― e responder 
a elas (tema que será trabalhado no Tópico 3 da Unidade 2) ―, bem como dar 
prosseguimento às comunicações da ANPD. 
 
 
 No caso do TJMG, o encarregado é 
indicado pelo Presidente do Tribunal e recebe 
a missão de propor orientações ao quadro 
interno de magistrados, servidores e 
colaboradores sobre as práticas de proteção 
de dados. 
 
 
Por fim, existem outras situações que fogem às classificações indicadas 
na LGPD, como os co-controladores (controladoria conjunta) e os 
suboperadores38. Assim, convido você a entender mais sobre esses pontos no: 
 Guia Orientativo para Definições dos Agentes de Tratamento de 
Dados Pessoais e do Encarregado. Brasília, DF: Autoridade 
Nacional de Proteção de Dados, versão 2.0 de 2022. 
 
 
38
BRASIL. Guia Orientativo para Definições dos Agentes de Tratamento de Dados 
Pessoais e do Encarregado. Brasília, DF: Autoridade Nacional de Proteção de Dados, versão 
2.0, 2022. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-
publicacoes/guia_agentes_de_tratamento_e_encarregado___defeso_eleitoral.pdf. Acesso em: 
02 jun. 2024. 
23 
 
 
TRATAMENTO DE DADOS DE CRIANÇAS E 
ADOLESCENTES E VULNERÁVEIS 39 
 
 
O tratamento de dados pessoais, quando realizado de forma irregular, 
pode causar sérios impactos aos titulares. Essa preocupação, contudo, é ainda 
mais evidente quando o tratamento está relacionado a grupos de titulares 
vulneráveis, como é o caso de crianças e adolescentes e de idosos. Neste 
tópico entenderemos como a LGPD aborda esses temas. 
 
TRATAMENTO DE DADOS DE CRIANÇAS E ADOLESCENTES 
 
A legislação brasileira confere proteção integral, especial e prioritária às 
crianças e aos adolescentes, que são indivíduos em desenvolvimento. Esse 
cuidado se estende ao tratamento de seus dados pessoais, uma vez que esses 
titulares, em sua jornada de crescimento, estão especialmente suscetíveis a 
riscos e vulnerabilidades, tanto no mundo físico quanto no digital40. 
Por conta do contexto digital atual, a LGPD reconhece que os direitos e 
liberdades de crianças e adolescentes estão ainda mais expostos a riscos 
devido à grande facilidade de acesso a serviços e aplicações de internet. Por 
isso, em seu art. 14, a LGPD estipula que o tratamento de dados pessoais de 
crianças e adolescentes deve sempre ser realizado no seu melhor interesse41. 
―O melhor interesse‖ é um princípio que remete à reflexão sobre a 
vulnerabilidade e à necessidade de cuidado das crianças e adolescentes por 
 
39 Redação: Débora Eduarda Ribeiro Barbosa 
40
 FGV. Crianças e adolescentes e o tratamento de seus dados pessoais na Lei Geral de 
Proteção de Dados. Rio de Janeiro: Fundação Getúlio Vargas, 2021. Disponível em: 
https://portal.fgv.br/sites/portal.fgv.br/files/criancas_e_adolescentes.pdf. p. 11. Acesso em: 12 
jun. 2024. 
41
 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais 
(LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 2 jun. 
2024. 
Unidade I Tópico 7 
24 
parte da família, sociedade e Estado (art. 227, caput, da Constituição Federal42 
de 1988 e art. 4º do ECA43). 
Nesse sentido, esse princípio assegura que as necessidades e direitos 
das crianças e adolescentes sejam colocados em primeiro lugar em qualquer 
processo de coleta, armazenamento, uso, compartilhamento ou eliminação de 
seus dados pessoais. Assim, qualquer atividade que compreenda o tratamento 
de dados de crianças e adolescentes deve sempre priorizar a sua proteção, o 
seu bem-estar e a sua segurança física, emocional e mental44. 
Diante dessa exigência, bem como dos princípios gerais da LGPD ― 
tema abordado no tópico 3 desta unidade ―, podemos concluir que, para que o 
tratamento de dados pessoais de crianças e adolescentes seja realizado em 
seu melhor interesse, o agente de tratamento deverá sempre observar as 
finalidades específicas, explícitas e informadas para o titular (art. 6º, I, LGPD), 
limitando a coleta e uso de dados pessoais ao mínimo necessário, ou seja, 
abrangendo apenas dados proporcionais e não excessivos (art. 6º, II e III, 
LGPD). 
Além disso, o agente de tratamento deverá sempre observar os mais 
adequados controles de segurança, prevenindo, assim, qualquer possibilidade 
de exposição indevida dos dados pessoais desse grupo vulnerável (art. 6º, VII 
e VIII, LGPD). 
No que se refere ao nosso dia a dia de trabalho, é importante destacar 
que o TJMG realiza uma quantidade imensurável de atividades de tratamento 
de dados de crianças e adolescentes. A título de ilustração, na atividade 
jurisdicional, o TJMG julga diariamente incontáveis processos judiciais que 
envolvem crianças e adolescentes como parte, vítima ou testemunha. Por outro 
lado, em suas atividades administrativas, o TJMG coleta, armazena e utiliza 
 
42
 BRASIL. Constituição (1988). Constituição da República Federativa do Brasil. Brasília, DF: 
Senado, 1988. Disponível em: 
https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 12 jun. 2024. 
43
 BRASIL. Lei n.º 8.069, de 13 de julho de 1990. Dispõe sobre o Estatuto da Criança e do 
Adolescente e dá outras providências. Brasília, DF: Presidência da República, 1990. Disponível 
em: https://www.planalto.gov.br/ccivil_03/leis/l8069.htm. Acesso em: 12 jun. 2024. 
44
 FGV. Crianças e adolescentes e o tratamento de seus dados pessoais na Lei Geral de 
Proteção de Dados. Disponível em: 
https://portal.fgv.br/sites/portal.fgv.br/files/criancas_e_adolescentes.pdf. p. 13. Acesso em: 12 
jun. 2024. 
25 
dados desses titulares quando estes figuram como dependentes de 
magistrados e servidores, entre outras diversas situações. 
 
TRATAMENTO DE DADOS DE VULNERÁVEIS (IDOSOS) 
 
Apesar de não haver menção explícita na LGPD, a ANPD reconhece 
que os idosos também são considerados titulares vulneráveis45 e, portanto, o 
tratamento de seus dados pessoais merece atenção especial. 
A vulnerabilidade dos idosos pode estar relacionada a várias questões, 
como menor familiaridade com tecnologias digitais e saúde frágil. Por conta 
disso, a proteção e o tratamento adequado dos dados pessoais desse grupo 
são essenciais para garantir sua dignidade e privacidade. 
A esse respeito, extrai-se do artigo 55-J, XIX, da LGPD que o tratamento 
de dados de idosos deve ser claro e compreensível para eles, conforme o 
Estatuto do Idoso (Lei nº 10.741/2003) 46 . Desse modo, é importante a 
aplicação correta dos princípios da LGPD, combinada com uma abordagem 
sensível às necessidades específicas dos idosos, medida essencial para 
proteger seus direitos. 
 
 
45
 BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 2, de 27 de 
janeiro de 2022. Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 
2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de 
pequeno porte. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-
publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no-2-de-27-de-janeiro-de-2022. 
Acesso em: 12 jun. 2024; e BRASIL. Autoridade Nacional de Proteção de Dados. Comunicado 
de Incidente de Segurança (CIS). Disponível em: https://www.gov.br/anpd/pt-
br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis. 
Acesso em: 12 jun. 2024. 
46
 BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Lei nº 13.709, de 14 de agostode 2018. Art. 55-J, XIX. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/l13709.htm. Acesso em: 12 jun. 2024. 
26 
 
 
HIPÓTESES LEGAIS PARA O TRATAMENTO DE 
DADOS PESSOAIS47 
 
 
Após a publicação da LGPD, todo o tratamento do dado pessoal deve 
estar amparado em uma hipótese legal prevista na própria LGPD. 
Por esse motivo, uma das principais providências, antes de iniciar 
alguma operação com dados pessoais, é identificar qual previsão legal a 
ampara, a fim de assegurar a regularidade, a adequação e a finalidade do 
tratamento desses dados ― tudo isso para oferecer a devida transparência ao 
titular sobre a utilização dos seus dados. 
A LGPD traz hipóteses especiais para o tratamento de dados pessoais 
sensíveis48, porque, como vimos no tópico 5 desta unidade 1, se utilizados de 
maneira irregular, podem causar grave prejuízo aos titulares. 
 
 
 
Importante ressaltar que a LGPD não 
estabelece hierarquia entre as hipóteses legais 
para o tratamento de dados pessoais, atribuindo a 
todas o mesmo peso jurídico. 
 
 
 
Na LGPD, as hipóteses legais que autorizam o tratamento de dados 
pessoais ―gerais‖, encontram-se previstas no art. 7º. Já o art. 11 apresenta 
hipóteses que legitimam as operações com dados pessoais sensíveis. Vamos 
 
47
 Redação: Kelly Marjany Diniz Brandão 
48
 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia Orientativo da ANPD para 
Tratamento de dados pessoais pelo Poder Público. Disponível em: https://www.gov.br/anpd/pt-
br/documentos-e-publicacoes/documentos-de-publicacoes/guia-poder-publico-anpd-versao-
final.pdf. Acesso em: 13 jun.2024. 
Unidade I Tópico 8 
Atenção 
27 
explicar algumas hipóteses relevantes, mas fica a dica de leitura dos 
dispositivos citados49 na íntegra. 
 
CONSENTIMENTO DO TITULAR 
 
Nos termos do art. 7º, I, o consentimento consiste na manifestação livre, 
expressa e informada pela qual o titular concorda com o tratamento de seus 
dados pessoais para uma finalidade determinada, podendo o titular revogar 
esse consentimento a qualquer momento. Já o art. 11, I, determina que o 
consentimento deve constar ―de forma específica e destacada‖, isto é, 
estabelece um critério mais robusto para o tratamento de dados sensíveis. 
 
SEM NECESSIDADE DE CONSENTIMENTO DO TITULAR 
 
Contudo, nem todo tratamento de dados ocorre mediante o 
consentimento do titular. Vamos trazer algumas dessas hipóteses. 
 
Cumprimento de obrigação legal ou regulatória 
 
Nos termos do art. 7º, II, e art. 11, II, a, aplica-se quando necessário 
para o cumprimento de uma obrigação imposta ao agente de tratamento 
(controlador ou operador), seja uma obrigação legal específica, cujo eventual 
descumprimento possa ocasionar uma consequência ou uma penalidade 
jurídica ou administrativa; seja uma obrigação regulatória, relativa ao 
cumprimento de normas de conduta internas que regulem os órgãos ou 
entidades públicas. 
 
49
 BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Lei nº 13.709, de 17 de agosto 
de 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/l13709.htm. Acesso em: 18 mai. 2024. 
28 
 Exemplo: em cumprimento ao art. 123, I, da Resolução nº 
522/2007 do TJMG, a Diretoria Executiva de Administração de 
Recursos Humanos (DEARHU) coleta e atualiza o banco de 
dados relativos a magistrados e servidores que atuam nas 
comarcas e na Secretaria do Tribunal de Justiça. 
 
Execução de políticas públicas 
 
Nos casos de dados pessoais ―gerais‖, o art. 7º, III, autoriza a 
Administração Pública a realizar o tratamento de dados pessoais para a 
execução de políticas públicas previstas em leis ou regulamentos, ou 
respaldadas em convênios ou instrumentos similares. Entretanto, nos casos 
que envolvam dados sensíveis, o tratamento poderá ocorrer somente se a 
política pública estiver prevista em leis ou regulamentos (art. 11, II, b). 
 Exemplo: execução de campanha pública de vacinação pela 
Secretaria de Saúde. 
 
Execução de contrato 
 
O tratamento de dados pessoais ―gerais‖ é permitido pelo art. 7º, V, 
quando os dados são necessários para a execução de um contrato ou de 
procedimentos preliminares relacionados a um contrato do qual o titular seja 
parte. Destacamos que essa hipótese legal de tratamento não encontra 
previsão semelhante para dados sensíveis. 
 Exemplo: coleta de dados pessoais (nome completo, RG, CPF, 
endereço residencial e telefone de contato) das partes 
contratantes para a confecção do contrato. 
 
Além da leitura das demais hipóteses legais de tratamento previstas nos 
arts. 7º e 11 da LGPD, convidamos você a ampliar seus conhecimentos em 
relação ao tratamento de dados pessoais aplicado ao Poder Público e suas 
29 
peculiaridades, com a leitura do Guia Orientativo da ANPD para o Tratamento 
de dados pessoais pelo Poder Público50. 
 
 
 
As peculiaridades do tratamento de 
dados pessoais aplicado ao serviço público 
serão abordadas de maneira detida no tópico 
1 da unidade 2. 
Até lá! 
 
 
 
 
50
 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia Orientativo da ANPD para 
Tratamento de dados pessoais pelo Poder Público. Disponível em: https://www.gov.br/anpd/pt-
br/documentos-e-publicacoes/documentos-de-publicacoes/guia-poder-publico-anpd-versao-
final.pdf. Acesso em: 13 jun.2024.