Ebook - Guia Completo Lei Geral de Proteção de Dados

Prévia do material em texto

LEI GERAL DE
PROTEÇÃO DE
DADOS 
 
 
M A R I A N A D E T O L E D O
P O R
G U I A C O M P L E T O
SOBRE A AUTORA 
MARIANA DE TOLEDO
Olá, eu sou a Mariana de Toledo. Sou
advogada por formação e
empreendedora por propósito. Sou co-
fundadora e diretora de conteúdo do
Empreendedorismo Legal, e tenho como
propósito de carreira levar educação
jurídica para micro e pequenos
empreendedores. Acredito que
empreender transforma e que
segurança jurídica é necessária nessa
jornada. Acredito também em uma nova
forma de exercer o direito! Uma forma
mais leve, criativa, e fora dos padrões.
Escolhi ser uma profissional
multidisciplinar e utilizar o direito como
meio e não como fim. Por isso utilizo
minhas principais especialidades em
privacidade e proteção de dados, gestão
jurídica e direito empresarial, para
fomentar o desenvolvimento de uma
consciência empreendedora  unindo
sempre carreira à propósito.
1. Introdução: 
Eu acredito que este e-book será útil para muita gente. Proteção de dados pessoais e a 
Lei Geral de Proteção de Dados (“LGPD”) são assuntos que afetam todos nós e você, 
aqui, vai descobrir como. Por um lado, ele serve para quem é empreendedor e está 
preocupado com a aplicabilidade da LGPD em seu negócio. Por outro, ele serve para os 
advogados e demais profissionais que querem atuar na área de proteção de dados como 
consultores ou Data Protection Officer (“DPO"), ou almejam crescer dentro da empresa 
em que trabalham. 
Além disso, as estratégias que vou apresentar servem para uma infinidade de tipos de 
empreendimentos, tais como saúde, marketing, customer success, educação, advocacia, 
finanças, recursos humanos, contabilidade, e-commerce, varejo, e muitos outros. 
Vou ficar muito feliz se você terminar este e-book conseguindo enxergar as múltiplas 
oportunidades que a LGPD apresenta para o mercado, e sabendo por onde começar a 
criar um programa de conformidade. 
2. Porque precisamos falar sobre proteção de 
dados pessoais? 
Você deve estar se perguntando, porque uma Lei Geral sobre Proteção de Dados? E 
porque minha empresa deve se preocupar com ela? 
Para que você realmente absorva a importância desse tema, eu preciso que você se 
esqueça de tudo que você ouviu falar sobre essa lei e foque seu olhar, agora, no que eu 
vou te falar aqui. 
Você consegue se lembrar de todos os locais que você distribuiu dados no mês passado? 
Você consegue pensar em um só momento em que seus dados não estão sendo 
coletados? 
Já te pediram CPF em farmácias, lojas ou restaurantes? Você se preocupou em perguntar 
o porquê da exigência daquele dado e qual era a finalidade da coleta? 
E se eu te contar que algumas farmácias utilizam esses dados para para desenvolver um 
mapeamento das suas doenças e vender para planos de saúde para que esses possam 
aumentar o valor do seu plano? 
E se eu te contar que algumas empresas verificam qual é o modelo do seu computador 
para a partir de tal informação exercer precificação dinâmica, colocando preços maiores 
para pessoas que têm computadores de marcas mais caras. 
E se eu te contar que foi criada uma indústria de venda de mailing de clientes, e que seus 
dados podem estar nessas listas. 
E se eu e contar que o wi-fi público grátis não tem nada de grátis, que você troca internet 
por dados pessoais utilizados para finalidades bem diversas à de te entregar acesso à 
internet. 
Com certeza você já foi perseguido por uma publicidade? Onde você entra está lá, aquela 
publicidade te seduzindo e te perseguindo até que você de fato resolve ceder e comprar 
determinado produto. Você gosta disso? 
Dados pessoais são rastros da nossa personalidade e, além de nos identificar, podem 
manipular nossas escolhas, podem afetar, inclusive, a democracia. 
Não sei se você conhece, mas não posso deixar de falar do caso do Facebook e 
Cambridge Analytica. Esse é um dos principais casos, se não for o principal, que 
demonstra como a coleta de nossos dados pode levar à manipulação de nossas 
escolhas, inclusive da escolha do nosso voto. 
Ao mesmo tempo, dados pessoais são ativos de extrema importância para as empresas. 
Tais dados são necessários porque correspondem ao quanto a empresa sabe sobre 
aquele consumidor, e quanto mais ela sabe, maior ela fica, mais ela vende, e mais 
lucrativa ela se torna. 
É através da coleta de dados que a empresa proporciona ao seu cliente uma melhor 
experiência, e hoje as empresas não vendem mais produtos ou serviços, elas vendem 
experiência. E o cliente quer isso, ele gosta disso, porque ter serviços personalizados nos 
poupam o nosso principal ativo, TEMPO. 
Só que ao mesmo tempo que existem empresas sérias que valorizam os dados, existem 
empresas que querem fazer com eles o que bem entenderem; e é aí que mora o perigo. 
Além disso estamos vivendo a “era dos vazamentos de dados”. Toda semana nos 
deparamos com a notícia “Empresa tem incidente de vazamento de dados”. 
Se o cenário legislativo permanecesse da forma como estava, sem uma legislação 
específica visando realmente a proteção de dados, e se de fato não parássemos para 
discutir o tema, as pessoas iriam buscar meios de não mais distribuir seus dados, e o 
mercado perderia sua principal matéria prima. 
Nesse sentido, falar de proteção de dados pessoais é falar de inovação, de 
empreendedorismo, e de desenvolvimento econômico. 
E é nessa perspectiva que entra a LGPD, estabelecendo as regras do jogo, para que os 
controladores possam continuar usando os dados como sua principal matéria prima, mas 
priorizando a proteção dos direitos dos titulares, gerando confiança, mais eficiência, e 
transparência no tratamento de dados. 
3. Conhecendo a LGPD. 
A Lei Geral de Proteção de Dados, Lei nº13.709/2018, legislação brasileira que regula as 
atividades de tratamento de dados pessoais, foi sancionada em agosto de 2018 e entra 
em vigor (ou seja passa a ser obrigatória) a partir de 14 de agosto de 2020. 
Por tratamento entende-se todas as ações que são feitas com os dados pessoais desde 
a sua coleta até a sua exclusão, tais como: coleta, processamento, arquivamento, 
eliminação, avaliação, acesso, transferência, etc. 
A LGPD possui uma função dupla: 
1.Fomentar o desenvolvimento econômico e tecnológico; 
2. Proteger direitos e liberdades fundamentais. 
A Lei se aplica a qualquer operação de tratamento de dados pessoais realizada tanto por 
pessoa natural quanto por pessoa jurídica (independente do porte da empresa); seja 
realizada em território brasileiro, ou com dados coletados no território nacional, ou ainda 
que tenha como titular pessoa localizada em território nacional, tanto no ambiente online 
quanto no offline . 1
 Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de 1
direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os 
dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de 
dados de indivíduos localizados no território nacional; ou (Redação dada pela Lei nº 13.853, de 2019)
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
A lei não se aplica ao tratamento de dados pessoais : 2
1 - realizado por pessoa natural para fins exclusivamente particulares e não 
econômicos; 
2 - realizado para fins exclusivamente jornalístico e artísticos ou acadêmicos; 
3 - realizado para fins exclusivos de segurança pública; defesa nacional; segurança 
do Estado; atividades de investigação e repressão de infrações penais; 
4- provenientes de fora do território nacional e que não sejam objeto de 
comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou 
objeto de transferência internacional de dadoscom outro país que não o de proveniência, 
desde que o país de proveniência proporcione grau de proteção de dados pessoais 
adequado ao previsto na Lei. 
 Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:2
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados 
com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de 
proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto 
nesta Lei.
4. O que são dados pessoais? 
Dados pessoais são todas as informações que identificam ou possam identificar uma 
pessoa natural . 3
Entenda por dados que identificam uma pessoa, aqueles convencionais, tais como: nome, 
cpf, identidade, titulo de eleitor, e-mail, etc. 
Quando falamos de dados que possam identificar você deve pensar em um mosaico, em 
que um dado sozinho não é capaz de identificar uma pessoa, mas se for agrupado com 
algum outro dado pode identificar a pessoa. Por exemplo: 
 
 
 
Aposto que você logo pensou: Faustão. Percebe que mesmo eu não te dando o nome 
dele, nem identidade, nem CPF, com apenas três dados você consegue identificar de 
 Art. 5º Para os fins desta Lei, considera-se:3
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
quem eu estou falando? Então esses dados são considerados identificáveis e logo são 
considerados dados pessoais. 
O conceito de dados pessoais também compreende dados que possam sujeitar uma 
pessoa individualizada a determinada atitude, ação, comportamento, sem que seja 
necessário saber quem é aquela pessoa, mas de algum modo interferir nas suas 
escolhas. 
Dentro do gênero “dados pessoais”, temos a classe “dados pessoais sensíveis”, que são 
dados que devido a sua sensibilidade natural, podem levar à atitudes discriminatórias 
contra seus titulares, e por tal motivo precisam de uma atenção especial. 
São considerados dados sensíveis : raça, etnia, opinião política, filiação a sindicatos, 4
orientação sexual, e os dados referentes à saúde ou à vida sexual, dados biométricos ou 
genéticos. 
Dados de criança e adolescente: tais dados também requerem uma atenção especial, 
sendo necessário a coleta de consentimento específico do responsável. 
Dados anonimizados: são dados que não permitem a identificação do titular através da 
utilização de meio técnicos razoáveis. Tais dados não são considerados dados pessoais. 
 II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a 4
sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado 
genético ou biométrico, quando vinculado a uma pessoa natural;
5. Conhecendo os Atores da Lei 
Titular: Pessoa natural a quem se referem os dados objeto de tratamento. 
Controlador: Pessoa física ou jurídica a quem competem as decisões referentes ao 
tratamento de dados pessoais. 
Operador: pessoa física ou jurídica que realiza o tratamento de dados pessoais em 
nome do controlador. 
Autoridade Nacional de Proteção de Dados (“ANPD”): órgão da administração 
pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD. 
Data Protection Officer ("DPO"), ou Encarregado de Dados: pessoa indicada pelo 
controlador e operador para atuar como canal de comunicação entre o controlador, 
os titulares dos dados e a Autoridade Nacional de Proteção de Dados, ou seja, ele será a 
interface da organização no tocante ao tema de privacidade e proteção de dados. A Lei 
não faz qualquer exigência sobre formação acadêmica, nem certificação para ocupação 
desse cargo, sendo uma grande oportunidade de carreira para aqueles que desejam atua 
na área. Destaco que é muito importante que aquele que deseje exercer esse cargo 
conheça muito sobre a empresa, sobre a LGPD e a legislação sobre o tema ao redor do 
mundo. 
6. Um novo Mindset - introduzindo novos princípios 
à cultura da organização 
Um dos pontos mais relevantes da lei são seus princípios. Eles funcionam como base 
para todo o desenvolvimento normativo e devem ser utilizados como parâmetro em 
qualquer interpretação da norma. No direito, os princípios dão a cara da legislação; eles 
que vão mostrar qual é a intenção da norma. Os princípios são a base fundante do 
ordenamento jurídico e qualquer leitura da lei deve se dar tendo por base os princípios 
por ela estabelecidos. 
O acolhimento desses princípios como valores da empresa fazem com que de fato surja a 
cultura de proteção de dados e com isso o olhar saia da lei e passe para o usuário, 
criando assim um novo estágio de sucesso e experiência do cliente. 
Os princípios são : 5
FINALIDADE NECESSIDADE
TRANSPARÊNCIA QUALIDADE DOS DADOS 
NÃO DISCRIMINAÇÃO SEGURANÇA
ADEQUAÇÃO LIVRE ACESSO
PREVENÇÃO PRESTAÇÃO DE CONTAS 
 Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: 5
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem 
possibilidade de tratamento posterior de forma incompatível com essas finalidades;II - adequação: compatibilidade do 
tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;III - necessidade: limitação 
do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, 
proporcionais e não excessivos em relação às finalidades do tratamento de dados;IV - livre acesso: garantia, aos 
titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de 
seus dados pessoais;V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos 
dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI - transparência: 
garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os 
respectivos agentes de tratamento, observados os segredos comercial e industrial; VII - segurança: utilização de 
medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações 
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII - prevenção: adoção de medidas 
para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;IX - não discriminação: 
impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X - responsabilização e 
prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a 
observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
 
Finalidade: 
É essencial que o tratamento de dados pessoais tenha uma finalidade específica que 
deve ser informada para o titular;, e o tratamento daquele dado deve se restringir a tal 
finalidade. 
Necessidade: 
A coleta daquele dado deve ser necessária para a finalidade ao qual ele se destina. É 
uma questão de minimização, sempre coletar o mínimo de dados necessários, ou seja, 
coletar apenas aqueles efetivamente necessários. 
Transparência: 
Assegurar aos titulares informações claras, precisas e de fácil acesso a seus dados. 
Trata-se de criar uma relação de confiança entre empresa e titular, em que este sabe 
exatamente o que a organizaçãofará com seus dados. 
Segurança: 
É a utilização de medidas técnicas para garantir a segurança dos dados pessoais 
evitando situações de incidentes de segurança. 
Prevenção: 
A necessidade de adoção de medidas para prevenir a ocorrência de danos aos titulares 
dos dados pessoais. 
Adequação: 
O tratamento dos dados pessoais tem que ser compatível com a finalidade para qual eles 
foram coletados. 
Livre Acesso: 
Permitir de forma simples e gratuita o acesso dos titulares aos dados coletados, bem 
como a todas as informações sobre o tratamento de tais dados. 
 
Qualidade dos dados: 
Garantir aos titulares a exatidão dos dados, mantendo esses sempre atualizados e 
verídicos. 
Não discriminação: 
Garantir que o tratamento dos dados pessoais não terá finalidade discriminatória, abusiva 
ou ilícita. 
Prestação de contas: 
Buscar todos os meios disponíveis para demonstrar a adoção de medidas para mitigação 
dos riscos e cumprimento das normas de privacidade e proteção de dados. 
7. O que me legitima a tratar dados pessoais? 
A LGPD não tem como objetivo acabar com nenhum modelo de negócio. Muito pelo 
contrário. Ela visa desenvolver o empreendedorismo e a inovação através de uma 
autodeterminação informada do titular em relação ao que de fato é feito com seus dados. 
Nesse sentido, a lei estabelece 10 (dez) hipóteses que autorizam o tratamento dos dados 
pessoais. Ou seja, toda vez que houver o tratamento de dados pessoais, tal tratamento 
deve estar legitimado e pautado em uma dessas dez hipóteses denominadas BASES 
LEGAIS. 
Para cada finalidade de tratamento dos dados o controlador deverá indicar uma base 
legal como fundamento que legitima tal tratamento. 
Cumpre destacar que em regra uma base legal não se sobrepõe a outra. 
São as bases legais : 6
CONSENTIMENTO OBRIGAÇÃO LEGAL 
EXERCÍCIO REGULAR DO DIREITO EM 
PROCESSO 
EXECUÇÃO DE CONTRATO 
TUTELA DA SAÚDE PROTEÇÃO DA VIDA 
POLÍTICAS PÚBLICAS PROTEÇÃO AO CRÉDITO 
PESQUISA LEGÍTIMO INTERESSE 
 Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o 6
fornecimento de consentimento pelo titular; II - para o cumprimento de obrigação legal ou regulatória pelo controlador; 
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas 
públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, 
observadas as disposições do Capítulo IV desta Lei; IV - para a realização de estudos por órgão de pesquisa, garantida, 
sempre que possível, a anonimização dos dados pessoais; V - quando necessário para a execução de contrato ou de 
procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI - para o 
exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 
23 de setembro de 1996 (Lei de Arbitragem) ; VII - para a proteção da vida ou da incolumidade física do titular ou de 
terceiro; VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades 
sanitárias; VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços 
de saúde ou autoridade sanitária; IX - quando necessário para atender aos interesses legítimos do controlador ou de 
terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados 
pessoais; ou X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
 
Consentimento: 
É a coleta de permissão do titular de forma informada, livre, inequívoca e específica, para 
a coleta de determinados dados pessoais. O conceito de consentimento trazido pela lei 
ultrapassa aquele modelo atualmente utilizado de “li e concordo”, de cashbox já 
marcados, e “coletamos dados para melhorar sua experiência”. As empresas terão que 
fazer mais, ser mais eficientes e transparentes ao buscar o consentimento, utilizar da 
criatividade para gerar eficiência e estar em conformidade com a legislação. 
Obrigação legal : 
É quando o tratamento de dados pessoais é necessário para o cumprimento de uma 
obrigação legal ou regulatória pelo controlador, ou seja, existe uma lei ou regulação que 
obriga o controlador a tratar aquele dado pessoal. 
Processo Judicial ou exercício regular do direito: 
A lei autoriza o tratamento de dados pessoais para atuação em processos judiciais, 
administrativos ou arbitrais. 
Execução de contrato: 
 É permitido o tratamento de dados pessoais para garantir a eficácia de um contrato, ou 
seja para cumprir uma obrigação oriunda de um contrato, do qual seja parte o titular, a 
pedido do titular dos dados. Ex: Aplicativo de entrega de alimentos, para ele entregar o 
seu pedido, precisa compartilhar alguns dados seus com o restaurante, para que esse 
possa preparar o pedido, bem como tem que compartilhar com o entregador, para que 
este de fato possa te entregar aquilo que você contratou. 
Pesquisa: 
Dados pessoais poderão ser tratados para realização de pesquisas, mas somente por 
órgãos de pesquisa. A lei determina, ainda, que nesses casos a anonimização deverá ser 
utilizada sempre que possível. 
 
Políticas Públicas: 
Base legal destinada à administração pública que legitima o tratamento de dados 
pessoais para execução de políticas públicas previstas em leis e regulamentos ou 
respaldadas em contratos, convênios ou instrumentos congêneres. 
Proteção da vida: 
É legitimo o tratamento de dados pessoais quando identificado estado de perigo ou risco 
de vida do titular ou de terceiro, para que seja prestado socorro. 
Tutela da saúde: 
Legitima o tratamento de dados pessoais essenciais para prestação de serviços ligados à 
saúde em procedimentos realizados por profissionais de saúde, serviços de saúde ou 
autoridade sanitária. 
Proteção ao crédito: 
Permite o tratamento de dados visando a proteção do crédito, ou seja com o objetivo de 
diminuir o risco de inadimplência em casos de concessão de crédito por instituições 
financeiras. Vale destacar que essa base legal é exclusiva da legislação brasileira, 
devendo ser aplicada com cautela devido à falta de parâmetro jurídico internacional 
equivalente. 
Legitimo interesse: 
Poderá ocorrer o tratamento dos dados pessoais para atender interesses legítimos do 
controlador ou de terceiros. Por interesse legitimo entende-se apoio à promoção das 
atividades do controlador. Vale destacar que o legítimo interesse não pode ser 
considerado uma carta coringa para coleta de dados, ele deve ser usado somente para 
tratar os dados pessoais estritamente necessários para a finalidade pretendida, bem 
como tem que ser realizada a validação de sua utilização através do Legitimate Interests 
Assessment (LIA). 
O LIA possui 4 fases, sendo elas: 
1. Teste de legitimidade do interesse: verificar se o interesse de fato é legitimo; constatar 
a existência de uma situação concreta, especificar o seu propósito com aquela coleta e 
certificar se ele é de fato legítimo. 
2. Teste de necessidade: verificar se não há outra base legal que você possa se valer, 
bem como se aquele tipo de tratamento desejado é necessário para atingir a finalidade 
almejada. 
3. Teste de balanceamento: verificar se existe uma legítima expectativa do titular do dado 
acerca da finalidade do seu tratamento; verificar se não há a possibilidade de um 
impacto negativo, bem como se aquele tratamento não viola de alguma forma direitos 
e liberdades fundamentais do titular que se sobreponham ao interesse legítimo ali 
tratado. 
4. Salvaguardas: Devem ser estabelecidos mecanismos de oposição ao titular para que 
ele possa se opor àquele tratamento. Devem ser estabelecidos, também, mecanismos 
para mitigação dos riscos, bem como deve haver o máximo de transparênciapossível 
para o titular. 
Quando se trata de dados sensíveis as bases legais se restringem, podendo ser apenas : 7
Consentimento - obrigação legal - pesquisa - políticas púbicas - exercício regular do 
direito em processo - proteção da vida - tutela da saúde - garantia de prevenção à fraude 
e segurança do titular. 
 Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: 7
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; 
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: 
a) cumprimento de obrigação legal ou regulatória pelo controlador; 
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas 
previstas em leis ou regulamentos; 
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais 
sensíveis; 
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos 
termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; 
e) proteção da vida ou da incolumidade física do titular ou de terceiro; 
f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou 
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou 
autoridade sanitária; ou 
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro 
em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem 
direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Além disso, para a categoria geral de dados pessoais, a LGPD estabeleceu o mesmo 
peso, logo nenhuma base legal tem sobreposição à outra, sendo necessário verificar qual 
a base legal mais adequada para aquela finalidade de tratamento. Já para os dados 
sensíveis, a Lei deu mais importância ao consentimento, sendo esta a base legal “mãe”, 
estabelecendo que a aplicação das demais deve se dar de forma subsidiária, 
fundamentando um tratamento em caráter excepcional, somente para os casos em que a 
coleta dos dados for indispensável à utilização daquela base legal. 
Como definir qual a base legal adequada? Você precisa verificar 3 (três) coisas: 
1. Origem do dado 
2. Categoria do dado (geral, sensível, de criança ou adolescente) 
3. Finalidade para a qual o dado pessoal será usado. 
8. Direitos dos titulares 
Os titulares de dados pessoais poderão, a qualquer tempo, solicitar do controlador, 
mediante requisição: 
1. Explicação: confirmação da existência de tratamento dos seus dados pessoais; 
2. Acesso: acesso aos dados pessoais, resguardados os segredos comerciais do 
controlador; 
3. Retificação: correção de dados incompletos, inexatos ou desatualizados; 
4. Cancelamento: engloba a situação em que a base legal utilizada para o tratamento foi o 
consentimento e que o titular deseja revogar tal consentimento, e a hipótese em que o 
titular solicita anonimização, bloqueio ou eliminação de dados; 
5. Portabilidade: solicitação para que o controlador transfira os dados para um novo 
controlador; 
6. Revisão de decisões automatizadas: Revisão de processos totalmente automatizados; 
7. Oposição: mecanismo utilizado quando a base legal utilizada não foi o consentimento. 
Consiste no titular se opor ao tratamento daqueles dados. 
9- Como adequar a minha empresa à LGPD? 
A resposta para essa pergunta com certeza não é mudar política de privacidade e termos 
de uso do site. 
Colocar uma organização em conformidade com a LGPD é criar uma cultura de proteção 
de dados através de um programa efetivo de Governança em Proteção de Dados. 
O programa de governança em proteção de dados terá como objetivo estabelecer a 
confiança entre organização e titular de dados, demonstrar comprometimento, 
transparência, e elevar o nível de satisfação do cliente proporcionando a esse, de fato, 
uma melhor experiência. 
Mas por onde começar? 
O ideal é estabelecer um projeto de conformidade em proteção de dados. Esse projeto 
deverá ter, no mínimo, seis fases, podendo haver adaptações pelo porte da organização e 
suas especificidades. 
Vale destacar que esse projeto não é uma receita de bolo, e que cada empresa terá um 
programa diferente, pois o programa deve ser pensado nas necessidades da empresa, 
seus desafios e propósitos. 
As fases do projeto consistem em: 
Mas antes de adentrar de fato nas fases do projeto é necessário verificar o porte da sua 
empresa, para detectar se será necessário criar um comitê interno de privacidade. 
Quando se trata de empresa pequena, com poucos funcionários, o meu entendimento é 
que a criação desse comitê é desnecessária, sendo importante apenas indicar quem será 
o DPO. 
Caso o porte da organização justifique a criação do comitê, indico que esse seja 
multidisciplinar, com representação de todas as áreas da empresa, para que o comitê 
possa ter uma visão global da organização e de seus processos ligados a dados 
pessoais. Aí sim, após definir o seu time, você adentrará nas etapas do projeto de 
conformidade. 
Fase 1 | Conscientização: 
O objetivo dessa fase é mostrar a importância da lei e sua aplicabilidade prática, tanto na 
vida dos colaboradores, como consumidores e titulares de dados, quanto na vida da 
empresa, sua rotina e seus processos. Realizar treinamentos e workshops, para todas as 
áreas da empresa e todos os funcionários, desde a diretoria até o chão de fábrica. Para 
disseminar uma cultura, TODOS, sem exceção devem entender a sua importância. E a 
minha dica é: conquiste pelo amor, mostre que a LGPD pode ser bem mais que uma 
obrigação legal, mas sim uma oportunidade para toda a empresa. 
Crie muito bem sua estratégia de comunicação, encontre a melhor forma de persuasão e 
de conexão com os colaboradores. Veja o que de fato desperta a atenção deles e em 
quais temas a curiosidade e as dúvidas mais apareceram, e lembre-se de sempre 
estimular a participação. 
Caso você esteja atuando em consultoria externa, nessa fase você também deverá gastar 
todo tempo que for necessário para conhecer a organização. Então, não se restrinja ao 
mínimo de ler um e-mail com apresentação institucional. Converse com os funcionários, 
acompanhe o dia-a-dia da empresa, entenda seu modelo de negócio, seus desafios, 
propósito, missão, visão e valores. 
 
Fase 2 | Mapeamento: 
O objetivo dessa fase é mapear os dados para que seja possível identificar as principais 
exposições e contingências da empresa. 
Nessa fase a empresa deverá descrever todo o seu fluxo de dados, respondendo 
perguntas como: 
De onde vem o dado, ou seja, qual é a sua fonte? 
Qual a categoria daquele dado? 
Qual a finalidade de tratamento daquele dado? 
Ele é compartilhado com alguém? Se sim, quem? Porque ? 
Qual o tempo de vida daquele dado, ou seja, qual o período de retenção? 
Qual a base legal para tratamento daquele dado? 
Qual a categoria do dado (comum, sensível, de criança ou adolescente)? 
Onde o dado fica armazenado? 
Quais colaboradores tem acesso àquele dado? Porque eles tem acesso? 
Dentre outras perguntas que a empresa pode estabelecer. 
Nessa fase é extremamente importante o contato e a entrevista com todos os 
funcionários, para que o mapa fique o mais real e fidedigno possível. 
 
Fase 3 | Gap Analysis: 
O objetivo dessa fase é identificar os principais pontos de desconformidade com a 
legislação, através do mapeamento de dados feito na fase anterior, e apontar as soluções 
para mitigar ou minimizar os riscos. Uma grande dica nessa fase: seja criativo no 
momento de indicar as soluções, pense em soluções que não inviabilizem o modelo de 
negócio, mas que possibilitemà empresa sair de uma situação de desconformidade para 
uma de legalidade. 
Nessa fase você pode identificar a necessidade de fazer um relatório de impacto à 
proteção de dados pessoais, que tem a finalidade de mensurar os riscos existentes no 
tratamento de dados pessoais, e indicar as providências tomadas pelo controlador, as 
salvaguardas e mecanismos para mitigação dos riscos. 
Esse relatório está previsto no art.38 da lei e pode ser solicitado pela ANPD. A princípio, 8
pela leitura literal do artigo, entende-se que este não é obrigatório. Contudo, a Autoridade 
Nacional de Proteção de Dados deverá editar regulamentos e procedimentos sobre a 
produção desse relatório. 
De acordo com a LGPD, deve constar no relatório, no mínimo: 
1- descrição dos tipos de dados coletados; 
2 - a metodologia utilizada para a coleta de dados; 
3 - as medidas de segurança da informação adotada (ou das informações adotadas); 
4- análise do controlador com relação às medidas, salvaguardas e mecanismos de 
mitigação de risco adotados. 
 
Fase 4 | Planejamento: 
O objetivo dessa fase é planejar a forma de execução das soluções propostas na fase 
anterior, criando um plano de ação e um cronograma de execução, priorizando as áreas 
que contém um maior risco. Nessa fase é importante fazer o relatório do projeto de 
 Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados 8
pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de 
regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos 
de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise 
do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
conformidade, detalhando as fases anteriores e os próximos passos para implementação 
do programa de governança em proteção de dados. 
 
Fase 5 | Implementação: 
O objetivo dessa fase é colocar em prática o plano de ação estabelecido na fase anterior, 
incluindo a elaboração de todos os documentos que se fizerem necessários. Trata-se de 
fase de extrema relevância pois é neste momento que formatado o código de conduta em 
proteção de dados, os aditivos contratuais, os novos modelos de cláusulas contratuais, 
nova política de privacidade, restrição de acesso de funcionários a determinados dados, 
cartilhas de boas práticas, revisão de processos automatizados, revisão na coleta de lead 
no setor de marketing, dentre outras várias medidas que deverão ser colocadas em 
prática. 
 
Fase 6 | Monitoramento: 
Essa fase tem o objetivo de manter um monitoramento constante do cumprimento das 
diretrizes estabelecidas no programa de governança em proteção de dados, fazer as 
atualizações que se fizerem necessárias, e garantir que a organização se mantenha em 
conformidade. 
Aqueles que não quiserem fazer só o mínimo podem se utilizar do projeto de 
conformidade como um meio de rever seu modelo de negócio, vislumbrar novas 
oportunidades de mercado, inovar, gerar valor para o seu cliente, além de poder criar uma 
campanha de marketing voltada para os diferenciais que a organização oferece por estar 
em conformidade. 
Um programa efetivo de governança em proteção de dados não garante que sua empresa 
não terá um incidente de segurança, pois é impossível garantir 100% que nada irá 
ocorrer. Contudo, se o programa for efetivo e a organização tiver tomado todas as 
providências, o gerenciamento de crise será muito mais eficaz, pois já estará estabelecido 
dentro do programa. 
Além disso, a existência do programa e a presença de uma cultura de proteção de dados 
é levada em consideração pela ANPD no momento da aplicação de uma eventual sanção. 
Desta forma, não é que o programa irá evitar a ocorrência de um incidente, mas o risco da 
organização passa a ser controlado, gerando maior eficiência para a empresa. 
10 - O que fazer em caso de incidentes? 
Caso ocorra um incidente ligado a dados pessoais é necessário que o controlador tome 
medidas para minimizar os danos. Além disso, é importante que seja feito o Data Breach 
Notification, que consiste em informar tanto à Autoridade Nacional de Proteção de Dados, 
quanto aos titulares, o ocorrido, os possíveis danos e as providências que estão sendo 
tomadas para mitigar tais danos. 
Neste documento deverá ser informado : 9
1 - a descrição da natureza dos dados pessoais afetados; 
2 - as informações sobre os titulares envolvidos; 
3 - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos 
dados, observados os segredos comercial e industrial; 
4 - os riscos relacionados ao incidente; 
5 - os motivos da demora, no caso de a comunicação não ter sido imediata; e 
6 - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do 
prejuízo. 
Você pode notificar o titular através do meio mais fácil de contato, e deve ser o mais 
transparente possível, além de demonstrar a ele que todas as providências estão sendo 
tomadas. Isso gera confiança, mostra que você está de fato preocupado em solucionar o 
problema e não escondê-lo. Isso é cultura de proteção de dados. 
 Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que 9
possa acarretar risco ou dano relevante aos titulares. 
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no 
mínimo: I - a descrição da natureza dos dados pessoais afetados; II - as informações sobre os titulares envolvidos; 
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos 
comercial e industrial; IV - os riscos relacionados ao incidente; V - os motivos da demora, no caso de a comunicação 
não ter sido imediata; e VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do 
prejuízo.
11. Privacy By Design 
Entender e introduzir na organização o conceito de privacy by design é de extrema 
importância como mecanismo de minimização de riscos e prevenção da ocorrência de 
danos. 
Privacy By Design nada mais é que uma metodologia na qual proteção de dados pessoais 
é pensada desde a concepção do desenvolvimento dos produtos, serviços, sistemas, 
projetos, ou qualquer outra solução que envolva tratamento de dados pessoais . 10
O objetivo é prever situações que possam comprometer a privacidade e proteção de 
dados, com o objetivo de minimizar os riscos, e adotar uma abordagem focada na 
experiência do usuário e em sua segurança. 
É uma ação totalmente preventiva e que gera muita eficiência para a empresa pois evita a 
ocorrência de incidentes desde a concepção, gerando vantagem competitiva para a 
empresa perante o mercado e aumentando a relação de confiança com o titular. 
Nesse contexto, devem ser levadas em consideração a segurança da informação, com 
utilização de mecanismos de segurança tais como a criptografia, a minimização na coleta 
de dados, a utilização de anonimização sempre que possível, as políticas de descarte do 
dado (tempo de vida útil), os direitos e liberdades dos titulares, o momento da coleta, a 
transparência para com o usuário, e o foco no titular, na sua privacidade e proteção de 
seus dados. 
 Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger 10
os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, 
comunicação ou qualquer forma de tratamento inadequado ou ilícito. § 2º As medidas de que trata o caput deste artigo 
deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
12. Penalidades 
O descumprimentodas estipulações legais levará a aplicações das seguintes sanções: 
1 - advertência, com indicação de prazo para adoção de medidas corretivas; 
2 - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito 
privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, 
limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; 
3 - multa diária, observado o limite total de R$50.000.000,00 (cinquenta milhões de reais); 
4 - publicização da infração após devidamente apurada e confirmada a sua ocorrência; 
5 - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; 
6 - eliminação dos dados pessoais a que se refere a infração; 
Para aplicação das sanções será levado em conta: 
1 - a gravidade e a natureza das infrações e dos direitos pessoais afetados; 
2 - a boa-fé do infrator; 
3 - a vantagem auferida ou pretendida pelo infrator; 
4 - a condição econômica do infrator; 
5 - a reincidência; 
6 - o grau do dano; 
7 - a cooperação do infrator; 
8 - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes 
de minimizar o dano, voltados ao tratamento seguro e adequado de dados; 
9 - a adoção de política de boas práticas e governança; 
10- a pronta adoção de medidas corretivas; e 
11- a proporcionalidade entre a gravidade da falta e a intensidade da sanção. 
13. Conclusão 
Como diria aquele ditado: enquanto alguns choram outros vendem lenço. Tem muita 
gente reclamando da LGPD e a vendo como um problema. Contudo, conforme 
demonstrei aqui para vocês, ela pode ser muito mais que uma obrigação legal; ela pode 
se tornar uma vantagem competitiva para sua empresa. 
Se você conseguiu adquirir esse mindset, parabéns, você faz parte de um seleto time de 
pessoas que sabem aproveitar as oportunidades, e vender lenços enquanto alguns 
resolvem ficar só chorando e se lamentando. 
O mantra agora é: Menos dados, mais transparência; não faça só o mínimo faça a 
diferença. 
E vamos juntos propagar uma cultura de proteção de dados pessoais. 
 
Todos os direitos reservados à
Empreendedorismo Legal 
CNPJ: 33.869.342/0001-00
Belo Horizonte - MG
comercial@oempreendedorismolegal.com