LGPD_pequeno guia completo

Prévia do material em texto

LEI 
GERAL  
 PROTECAO 
DADOS
PEQUENO GUIA SOBRE A
DE
DE
 Uma breve análise sobre a nova 
lei brasileira de proteção de 
dados pessoais  
 
UMA NOVA LEI 
#LGPD
  I n t r o i t o 
 
E m 1 5 d e a g o s t o d e 2 0 1 8 , f o i d a d o u m i m p o r t a n t e p a s s o p a r a a
p r o t e ç ã o d a p r i v a c i d a d e n o B r a s i l . A p ó s s a n ç ã o p r e s i d e n c i a l ( c o m
v e t o s p a r c i a i s ) f o i p u b l i c a d a a L e i n ° 1 3 . 7 0 9 / 2 0 0 8 , 
q u e d i s p õ e s o b r e a p r o t e ç ã o d e d a d o s p e s s o a i s e a l t e r a 
d i s p o s i ç õ e s d o M a r c o C i v i l d a I n t e r n e t .   
 
A L G P D e s t a b e l e c e r e g r a s r e l a t i v a s a o t r a t a m e n t o ( i n c l u i n d o o u s o e a
c o l e t a , t a n t o o n l i n e q u a n t o o f f l i n e ) d e d a d o s p e s s o a i s p o r e m p r e s a s e
e n t i d a d e s p ú b l i c a s e p r i v a d a s . 
 
O o b j e t i v o d e s t e d o c u m e n t o é a p r e s e n t a r , d e f o r m a s i m p l e s e s u c i n t a ,
o s p r e c e i t o s d a L G D P , c o m o o b j e t i v o d e a u x i l i a r a s e m p r e s a s a b u s c a r
a c o n f o r m i d a d e c o m a n o v a l e i . É v o l t a d o à s p e s s o a s q u e l i d a m
c o t i d i a n a m e n t e c o m a t a r e f a ( e r e s p o n s a b i l i d a d e ) d e p r o c e s s a r e
p r o t e g e r d a d o s p e s s o a i s d e t e r c e i r o s .   
 
A n o r m a p r e v ê o p r a z o d e 1 8 m e s e s p a r a a d a p t a ç ã o e , p o r t a n t o , a l e i
b r a s i l e i r a d e p r o t e ç ã o d e d a d o s e n t r a r á e m v i g o r e m m e a d o s d e
f e v e r e i r o d e 2 0 2 0 . P a r a u m e n t e n d i m e n t o m a i s d e t a l h a d o d o a s s u n t o ,
r e c o m e n d a - s e a l e i t u r a d o t e x t o l e g a l , n a í n t e g r a ( c l i q u e a q u i ) . 
 
E m c a s o d e d ú v i d a s , e n t r e e m c o n t a t o c o n o s c o . 
 
M a r i a F e r n a n d a H o s k e n P e r o n g i n i 
P a r t n e r F r a n c o | A d v o g a d o s 
m a r i a . h o s k e n @ f r a n c o a d v . c o m
AVISO LEGAL: Este documento tem como objetivo único fornecer informações sobre o assunto em referência. Nenhuma parte de seu conteúdo deverá ser interpretada como aconselhamento ou
parecer jurídico. Orientações legais devem ser obtidas por meio de nossos advogados no contexto de uma relação advogado-cliente.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm
L G P D | 1 
 
 
LEI GERAL DE PROTEÇÃO DE DADOS - UMA BREVE ANÁLISE 
 
No dia 14 de agosto de 2018, foi sancionada a Lei Geral de Proteção de Dados 
("LGPD", Lei n° 13.709/2018, publicada em 15/08/2018), que entrará em vigor em 
fevereiro de 2020, após um período de 18 meses para adaptação. A nova lei 
introduz mudanças muito significativas, que deverão transformar radicalmente a 
abordagem da privacidade por parte de indivíduos, empresas e entes públicos. Não 
se trata apenas de uma questão tecnológica, mas de um desafio que envolverá toda 
a sociedade. 
A LGPD é, assim como o Regulamento Geral sobre a Proteção de Dados (norma 
europeia que entrou em vigor em maio desde ano, também conhecida pelo 
acrônimo “GDPR”1), uma norma baseada em princípios e, ao regular a proteção dos 
dados pessoais, garante direitos aos cidadãos e estabelece regras claras sobre as 
operações de tratamento realizadas por órgãos públicos ou privados. 
Um princípio básico refere-se à responsabilização do controlador de dados (a quem 
competem as decisões referentes ao tratamento de dados pessoais), que deverá 
ser capaz de demonstrar que o processamento é realizado de acordo com a LGPD, 
de forma eficaz (prestação de contas). Adota-se uma perspectiva pela qual a 
privacidade deve ser respeitada desde a concepção dos serviços/produtos, uma a 
premissa "cultural" para trilhar o caminho da conformidade. 
Entretanto, a LGPD ainda não está finalizada. Certos aspectos da nova lei ainda 
estão sendo debatidos, mormente no que se refere à sua regulação e fiscalização. 
A necessidade de uma Autoridade Nacional de Proteção de Dados (e um possível 
Conselho auxiliar para propor estratégias e diretrizes), itens vetados pelo Governo 
por razões formais, está atualmente na agenda e espera-se, antes mesmo da 
entrada em vigor da lei, pela criação de tais órgãos (provavelmente por iniciativa do 
Poder Executivo)2. 
 
1 General Data Protection Regulation. A versão em português (de Portugal) está disponível em https://eur-
lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT. 
2 MAZUI, Guilherme; CASTILHOS, Roniara. Temer sanciona com vetos lei de proteção de dados pessoais. 
Disponível em https://g1.globo.com/politica/noticia/2018/08/14/temer-sanciona-lei-de-protecao-de-dados-
pessoais.ghtml. Acesso em 18/08/2018. 
L G P D | 2 
 
 
Isto significa que as empresas podem não ter, neste momento, todas as respostas 
ou as condições de colocar tudo em ordem para a LGPD, mas o fato é que 18 meses 
passam em um “piscar de olhos”: há muito trabalho a ser feito e os preparativos 
devem começar o quanto antes. 
o Mas por que uma LGPD agora? 
Bem, alguns dizem que já vem tarde (e antes tarde do que nunca). A LGPD 
apresenta-se como um instrumento legal fundamental para o desenvolvimento da 
economia digital no Brasil, buscando proteger os direitos do cidadão em um 
ambiente regulamentado que ajude as empresas a inovarem, vindo substituir e/ou 
complementar uma estrutura regulatória setorial já existente3. 
Quase todos os aspectos da nossa vida giram em torno de dados. De empresas 
marketing digital a bancos, comércio e governos - quase todos os serviços ou 
produtos que adquirimos envolvem a coleta e análise de dados pessoais. Toda vez 
que alguém clica em "comprar", "reservar agora" ou "enviar", por exemplo, mais 
dados pessoais são processados e armazenados, acrescentando informações a 
esse enorme e dinâmico conjunto de dados. E é disso que trata a LGPD: “dados 
pessoais” e como os coletamos, armazenamos, processamos e utilizamos. 
O uso indevido de dados pessoais para influenciar eleições4, a crescente aplicação 
de análise de dados e tomada de decisões por algoritmos no setor público, a 
possibilidade no aumento de casos de discriminação e avaliações errôneas por 
meio de dados5, são apenas alguns exemplos que demonstram que o uso e controle 
de dados se tornou uma questão-chave do nosso tempo. Como cidadãos digitais, 
somos cada vez mais perfilados e categorizados de acordo com os dados que 
produzimos. 
 
3 MONTEIRO, Renato L. Lei Geral de Proteção de Dados do Brasil – Análise. Disponível em 
https://baptistaluz.com.br/institucional/lei-geral-de-protecao-de-dados-do-brasil-analise/. Acesso em 
20/08/2018. 
4 MARTÌ, Silas. Entenda o escândalo do uso de dados do Facebook. Folha de São Paulo, 22.03.2018. 
Disponível em https://www1.folha.uol.com.br/mercado/2018/03/entenda-o-escandalo-do-uso-de-dados-do-
facebook.shtml. Acesso em 20/08/2018. 
5 WORKFRONT. Data Discrimination: the dark side of big data. Disponível em 
https://www.workfront.com/blog/data-discrimination-the-dark-side-of-big-data. Acesso em 20/08/2018. 
L G P D | 3 
 
 
A internet alcançou níveis de sofisticação e disseminação que tornaram a regulação 
sobre o uso de dados pessoais extremamente necessária. A infraestrutura digital 
disponível hoje trouxe consigo tecnologias disruptivas baseadas no processamento 
de informações (e nossa crescente dependência tecnológica alimenta ainda mais a 
demanda massiva por dados), razão pela qual faz-se necessária uma melhor 
compreensão das implicações para a sociedade. É nesse contexto quese inserem 
as discussões que levaram à criação da LGPD. 
o O QUE DIZ A LEI 
Na sua essência, a LGPD é um novo conjunto de regras destinadas a dar aos 
cidadãos mais controle sobre seus dados pessoais e pretende simplificar o 
ambiente regulatório para as empresas, de forma que tanto os cidadãos como as 
empresas possam se beneficiar plenamente da economia digital. 
Apresentamos a seguir um breve apanhado sobre os principais pontos da nova lei: 
Âmbito de aplicação e extraterritorialidade Um dos pontos mais importantes da 
nova lei é seu impacto transversal, visto que influenciará muitos setores da 
economia e a maior parte das entidades, públicas ou privadas, online ou offline (de 
P&D ao marketing, de clientes a empregados, de serviços à indústria). Encontra-se 
sob o escopo da norma qualquer operação de tratamento realizada por pessoa 
natural ou por pessoa jurídica de direito público ou privado, independentemente do 
meio, do país de sua sede ou do país onde estejam localizados os dados6, desde 
que: 
(i) a operação de tratamento seja realizada no território nacional; 
(ii) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento 
de bens ou serviços ou o tratamento de dados de indivíduos localizados 
no território nacional; e 
(iii) os dados pessoais objeto do tratamento tenham sido coletados no 
território nacional, isto é, quando o titular dos dados aqui se encontre no 
momento da coleta. 
 
6 Lei 13.709/2018. Art. 3°. 
L G P D | 4 
 
 
Seguindo a significativa extensão territorial positivada pela legislação europeia, a lei 
brasileira de proteção de dados estende sua aplicação a outros territórios. Isso 
porque, ao determinar os limites geográficos das atividades de tratamento, a LGPD 
não considera apenas o país onde estão localizados os titulares ou os dados. 
Simplificando, se os dados forem coletados ou processados no Brasil, ou se o 
tratamento tem por objetivo ofertar bens/serviços a pessoas localizadas no território 
nacional, aplica-se a LGPD. 
Exceções A lei não se aplicará ao tratamento de dados pessoais quando7: 
(i) realizado por pessoa natural para fins particulares; 
(ii) realizado para fins jornalísticos ou artísticos ou acadêmicos; 
(iii) realizado para fins de segurança pública, defesa nacional, segurança do 
Estado ou atividades de investigação e repressão de infrações penais 
(que será objeto de lei específica); ou 
(iv) provenientes de fora do território nacional e que não seja objeto de 
comunicação, uso compartilhado com agentes de tratamento brasileiros 
ou objeto de transferência de dados com outro país que não o de 
proveniência, desde que este país de proveniência proporcione grau de 
proteção adequado aos da lei brasileira. 
Dados pessoais A LGPD dispõe, de forma ampla, que dados pessoais são 
“qualquer informação relacionada a pessoa natural identificada ou identificável”. 
Uma informação que identifica uma pessoa pode ser um dado simples, como um 
nome, números ou outros identificadores. Em sendo possível identificar um 
indivíduo diretamente das informações processadas, essas informações podem ser 
dados pessoais8. Se não for possível identificar diretamente um indivíduo a partir 
dessas informações, deverá ser ponderado se ele ainda é identificável, levando-se 
em consideração outras informações que poderão ser processadas em conjunto, 
através de meios razoáveis, para identificar esse indivíduo9. Um nome ao lado de 
 
7 Lei 13.709/2018. Art. 4°. 
8 ICO - Information Commissioner’s Office. What is personal data? Disponível em https://ico.org.uk/for-
organisations/guide-to-the-general-data-protection-regulation-gdpr/key-definitions/what-is-personal-data/. 
Acesso em 17/08/2018. 
9 Idem. 
L G P D | 5 
 
 
um endereço residencial, um perfil online que fornece um nome e a empresa para 
a qual a pessoa trabalha, um endereço de e-mail corporativo, registros de RH, listas 
de clientes, detalhes de um contato ou até endereços IP (endereço de protocolo da 
Internet) são exemplos de informações que, se combinadas, podem vir a identificar 
um indivíduo e, portanto, consideradas pessoais. Em assim sendo, seu tratamento 
demandará a fixação de bases legais específicas, dispostas na LGPD. 
Dados pessoais sensíveis A lei define quais são os dados pessoais considerados 
sensíveis (que podem ser rastreados até um indivíduo e que, se divulgados, podem 
resultar em danos)10: dados sobre origem racial ou étnica, convicção religiosa, 
opinião política, filiação a sindicato ou a organização de caráter religioso; dados 
filosóficos ou políticos; referentes à saúde ou à vida sexual, além de dados genéticos 
ou biométricos. A lei prevê tratamento diferenciado nesses casos (como, por 
exemplo, o consentimento a ser fornecido, de forma específica e destacada, para 
finalidades específicas11) e lista as hipóteses em que o tratamento poderá ocorrer 
sem o consentimento do titular12. 
Crianças e adolescentes O tratamento de dados pessoais de crianças e 
adolescentes também merece tratamento especial deverá ser realizado com o 
consentimento específico e em destaque dado por pelo menos um dos pais ou 
responsável legal, salvo quando necessário para contata-los13. Deverão ser 
realizados esforços razoáveis para verificar que o consentimento foi dado pelo 
responsável pela criança, consideradas as tecnologias disponíveis14. Quanto às 
informações sobre o tratamento dos dados, deverão ser fornecidas de maneira 
simples, clara e acessível, consideradas as características do usuário, de forma a 
proporcionar a informação necessária e adequada aos pais e à criança, sendo 
previsto, inclusive, o uso de recursos audiovisuais15. 
 
10 Sensitive information. Disponível em https://whatis.techtarget.com/definition/sensitive-information. Acesso 
em 20/08/2018. 
11 Lei 13.709/2018. Art. 11, I. 
12 Idem. Art. 11, II. 
13 Ibid. Art. 14, §1°. 
14 Ibid. Art. 14, §5°. 
15 Ibid. Art. 14, §6°. 
L G P D | 6 
 
 
Dados anonimizados A LGPD define não apenas o que são dados anonimizados 
(aqueles cujo titular não possa ser identificado, considerando a utilização de meios 
técnicos razoáveis e disponíveis na ocasião de seu tratamento)16, mas também o 
processo de anonimização (realizado através de meios técnicos razoáveis e 
disponíveis no momento do tratamento, resultando na impossibilidade de 
associação, direta ou indireta, a um indivíduo17). O objetivo da anonimização é 
proteger dados privados ou confidenciais, excluindo ou criptografando informações 
de identificação pessoal de um banco de dados sem perder a integridade dos dados 
coletados e compartilhados, fornecendo oportunidades para que os controladores 
utilizem os dados de maneiras mais inovadoras. Esse tipo de dado não será 
considerado pessoal, salvo quando o processo de anonimização puder ser 
revertido, utilizando exclusivamente meios próprios ou mediante esforços 
razoáveis18 (a determinação do “razoável” deverá levar em consideração fatores 
objetivos, como custo e tempo para reverter o processo de anonimização)19. 
Tratamento de dados Considera-se “tratamento” toda a operação realizada com 
dados pessoais, como coleta, produção, recepção, classificação, utilização, 
acesso, reprodução, transmissão, distribuição, processamento, arquivamento, 
armazenamento, eliminação, avaliação ou controle da informação, modificação, 
comunicação, transferência, difusão ou extração20. 
Agentes do tratamento São considerados agentes de tratamento: o “controlador” 
(pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões 
referentes ao tratamento de dados pessoais) e o “operador” (pessoa física ou 
jurídica que realiza o tratamento de dados pessoais em nome do controlador)21. 
Fundamentos legais para o tratamento de dados Alei estabelece 10 bases legais 
para o processamento válido de dados pessoais22e a escolha das hipóteses mais 
apropriadas dependerão do propósito e relacionamento entre o titular e o 
 
16 Lei 13.709/2018. Art. 5°, III. 
17 Idem. Art. 5°, XI. 
18 Ibid. Art. 12. 
19 Ibid. Art. 12, §1°. 
20 Ibid. Art. 5°, X. 
21 Ibid. Art. 5°, VI, VII e IX. 
22 Ibid. Art. 7°. 
L G P D | 7 
 
 
controlador dos dados23. Assim, de acordo com a lei, o tratamento somente poderá 
ser realizado: 
(i) mediante consentimento; 
(ii) para cumprimento de obrigação legal ou regulatória pelo controlador; 
(iii) pela administração pública, para tratamento de dados necessários a 
políticas públicas; 
(iv) para realização de estudos por órgão de pesquisa, sendo garantida a 
anonimização dos dados; 
(v) quando necessário para a execução de contrato; 
(vi) exercício regular de direitos em processo judicial, administrativo ou 
arbitral; 
(vii) para a proteção da vida ou incolumidade física do titular ou terceiros; 
(viii) para a tutela da saúde, com procedimento realizado por profissionais da 
área da saúde ou por entidades sanitárias; 
(ix) interesses legítimos do controlador ou de terceiro; 
(x) proteção do crédito. 
Vale ressaltar que o "legítimo interesse" constante no inciso IX é uma novidade no 
arcabouço jurídico brasileiro e ainda sem regulamentação específica. Embora 
pareça ser o mais “flexível” das bases legais, é necessário sopesar os interesses do 
controlador e os direitos dos titulares dos dados24. A propósito da GDPR, foi 
proposto um teste para avaliar a verificação de legítimo interesse, consistente em 
três etapas: (i) identificar um interesse legítimo (de natureza comercial ou social, por 
exemplo), (ii) demonstrar que o processamento é necessário para alcançá-lo e (iii) 
equilibrá-los diante dos interesses e direitos dos indivíduos. Se o mesmo resultado 
puder ser obtido sem o processamento, então não haverá legítimo interesse25. 
 
23 ICO. Lawful basis for processing. Disponível em https://ico.org.uk/for-organisations/guide-to-the-general-
data-protection-regulation-gdpr/lawful-basis-for-processing/. Acesso em 20/08/2018. 
24 ICO. Legitimate interests. Disponível em https://ico.org.uk/for-organisations/guide-to-the-general-data-
protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/. Acesso em 17/08/2018. 
25 Idem. 
L G P D | 8 
 
 
Princípios gerais A LGPD é uma lei de cunho principiológico e, assim, traz em seu 
texto 10 princípios que devem ser considerados e observados nas atividades de 
tratamento de dados pessoais26. São eles: 
(i) finalidade: o tratamento deve ser realizado para propósitos legítimos, 
específicos, sem possibilidade de tratamento posterior de forma 
incompatível com essas finalidades; 
(ii) adequação: o tratamento deve ser compatível com as finalidades 
informadas ao titular; 
(iii) necessidade: o tratamento deve ser limitado ao mínimo necessário para a 
realização das finalidades; 
(iv) livre acesso: deve ser garantida aos titulares a consulta facilitada e gratuita 
sobre a forma e a duração do tratamento, bem como o acesso à 
integralidade dos seus dados; 
(v) qualidade dos dados: deve ser garantida a exatidão, clareza, relevância e 
atualização dos dados; 
(vi) transparência: deve ser garantida a prestação de informações claras e 
facilmente acessíveis pelos titulares; 
(vii) segurança: deverão ser adotadas medidas técnicas e administrativas 
aptas a proteger os dados de acessos não autorizados; 
(viii) prevenção: deverão ser adotadas medidas para prevenir a ocorrência de 
danos em virtude do tratamento de dados pessoais; 
(ix) não discriminação: impossibilidade de tratamento para fins 
discriminatórios; 
(x) responsabilização e prestação de contas: demonstração de medidas 
eficazes para observar e comprovar o cumprimento das normas de 
proteção de dados pessoais. 
Portabilidade de dados Uma inovação da lei é o direito dado ao titular de obter 
seus dados pessoais através de um arquivo interoperável27 (por exemplo, um 
 
26 Lei 13.709/2018. Art. 6°. 
27 Idem. Art. 25. 
L G P D | 9 
 
 
arquivo .csv28), além de poder solicitar a transferência dos dados para outra 
organização29. Constitui, assim, uma valiosa ferramenta de desenvolvimento e 
difusão de tecnologias com foco na privacidade do usuário, além de uma ferramenta 
para permitir que os indivíduos aproveitem a riqueza imaterial de seus dados 
pessoais: a possibilidade de poder transferir livremente os dados de um controlador 
para outro pode ser um instrumento de fomento à concorrência (observados os 
segredos comercial e industrial) e interoperabilidade entre plataformas, ao mesmo 
tempo em que reforça a capacidade de controle dos indivíduos sobre seus próprios 
dados30. 
Direitos do titular O titular tem direito ao acesso facilitado às informações sobre o 
tratamento de seus dados, que deverão ser disponibilizadas de forma clara, 
adequada e ostensiva, principalmente no que se refere à finalidade, forma e duração 
do tratamento, a identificação do controlador e seu contato, a informação sobre o 
uso compartilhado de dados e sua finalidade e as responsabilidades dos agentes 
de tratamento, além da menção explícita aos direitos do titular31. São também 
garantidos ao titular, mediante requisição ao controlador, o direito de correção de 
seus dados, a eliminação de dados tratados com o consentimento do titular e a 
revogação do consentimento, sendo assegurado o direito de petição à autoridade 
nacional32. 
Consentimento A concordância do titular quanto ao tratamento de seus dados 
pessoais deverá ocorrer de forma livre, informada, inequívoca e para uma finalidade 
determinada33. O consentimento deverá ser fornecido por escrito (neste caso, de 
maneira destacada das demais cláusulas) ou por outro meio que demonstre a 
manifestação de vontade do titular34, cabendo ao controlador o ônus da prova de 
que foi obtido na forma da lei35. Serão consideradas nulas as autorizações genéricas 
 
28 ICO. Your right to data portability. Disponível em https://ico.org.uk/your-data-matters/your-right-to-data-
portability/. Acesso em 20/08/2018. 
29 Lei 13.709/2018. Art. 18, V. 
30 Paul De Hert et al. The right to data portability in the GDPR: Towards user-centric interoperability of digital 
services. Computer Law & Security Review. Volume 34, Issue 2, Abril 2018. Disponível em 
https://www.sciencedirect.com/science/article/pii/S0267364917303333. Acesso em 17/08/2018. 
31 Lei 13.709/2018. Art. 9° c/c art. 18. 
32 Idem. Art. 18, §1°. 
33 Ibid. Art. 5°, XII. 
34 Ibid. Art. 8°, caput e §1°. 
35 Ibid. Art. 8°, §2°. 
L G P D | 10 
 
 
para o tratamento de dados pessoais36 e vedado o tratamento nos casos de vício de 
consentimento37. O consentimento pode ser revogado a qualquer momento, 
mediante manifestação expressa do titular, ratificados os tratamentos realizados sob 
o amparo do consentimento anteriormente manifestado enquanto não houver 
requerimento da sua revogação38. 
Responsabilidade Uma nova abordagem também envolve a responsabilidade por 
danos causados (patrimoniais, morais, individuais ou coletivos) pelos agentes de 
tratamento39. A isto se acrescenta a responsabilidade solidária entre os sujeitos 
responsáveis40 em determinados casos, a fim de garantir a efetiva indenização dos 
interessados. A lei também estabelece a possibilidade de inversão do ônus da prova 
em favor do titular dos dados, quando (i) for verossímil a alegação, (ii) houver 
hipossuficiência para fins de produção de prova ou (iii) quando a produção de prova 
pelo titular resultar-lhe excessivamente onerosa41. 
Término do tratamento O tratamento deverá cessar quando alcançada a finalidadeou quando os dados deixarem de ser necessários ou pertinentes; ao fim do período 
de tratamento; mediante comunicação do titular; ou por determinação da autoridade 
nacional42. Os dados devem ser eliminados após o término do tratamento, salvo 
exceções específicas43. 
Comunicação obrigatória O controlador deverá comunicar, em prazo razoável, à 
autoridade nacional e ao titular sobre a ocorrência de incidente de segurança que 
possa acarretar risco ou dano relevante44. A Autoridade Nacional verificará a 
gravidade do incidente e poderá determinar medidas como a ampla divulgação do 
fato em meios de comunicação, bem como outras medidas que entender 
necessárias para reverter ou mitigar os efeitos do incidente45. Em situações como 
esta, pode haver um grande impacto negativo na reputação e na imagem da 
 
36 Lei 13.709/2018. Art. 8, §4°. 
37 Idem. Art. 8, §3°. 
38 Ibid. Art. 8, §5°. 
39 Ibid. Art. 42. 
40 Ibid. Art. 42, §1°, I e II. 
41 Ibid. Art. 42, §2°. 
42 Ibid. Art. 15. 
43 Ibid. Art. 16. 
44 Ibid. Art. 48, caput e §1°. 
45 Ibid. Art. 48, §2°. 
L G P D | 11 
 
 
instituição envolvida (e, consequentemente, resultar em eventual desvalorização do 
valor de mercado e/ou perda da confiança por parte dos consumidores)46. 
Transferências internacionais de dados As hipóteses para transferência de dados 
pessoais (para país estrangeiro ou organismo internacional do qual o país seja 
membro)47 são previstas de forma taxativa pela lei, devendo ocorrer apenas para 
aqueles que proporcionarem grau de proteção de dados pessoais adequado ao 
previsto na LGPD ou quando o controlador oferecer e comprovar a conformidade 
(através de disposições contratuais, normas corporativas, selos, certificados e 
códigos de conduta regularmente emitidos, com conteúdo definido ou verificado 
pela Autoridade Nacional)48. Dentre as hipóteses legais, destaca-se também a 
necessidade de consentimento específico, em destaque e distinta de outras 
finalidades49. 
Encarregado pela Proteção de Dados O EPD (semelhante à figura do DPO – Data 
Protection Officer, previsto na regulação europeia) é a pessoa natural, nomeada 
pelo controlador (empregado ou contratado externamento), que atuará como um 
canal de comunicação entre este, os titulares dos dados e a autoridade de proteção 
de dados50. Será responsável por receber reclamações e comunicações de titulares 
e órgãos competentes, prestar esclarecimentos, adotar providências e orientar 
funcionários sobre as boas práticas, dentre outras atribuições51. Sua identidade e 
informações de contato deverão ser divulgadas publicamente, de forma clara e 
objetiva, preferencialmente no site do controlador52. Por não fazer nenhum ressalva 
específica, a análise da LGPD leva ao entendimento de que qualquer entidade que 
processe dados pessoais deverá, sob quaisquer circunstâncias, indicar um EPD, 
cabendo, porém, à autoridade nacional estabelecer normas complementares sobre 
a definição e a atribuição da pessoa responsável (incluindo hipóteses de dispensa 
 
46 MONTEIRO, Renato L. Op. cit. 
47 Lei 13.709/2018. Art. 5°, XV. 
48 Idem. Art. 33 c/c art. 35. 
49 Ibid. Art. 33, VIII. 
50 Ibid. Art. 5°, VIII. 
51 Ibid. Art. 41, §2°, I a IV. 
52 Ibid. Art. 41, §1°. 
L G P D | 12 
 
 
de sua indicação, conforme a natureza e o porte da entidade ou o volume de 
operações de tratamento de dados)53. 
Relatório de Impacto à Proteção de Dados Pessoais (RIPDP) Semelhante ao 
DPIA (Data Privacy Impact Assessment, previsto na GDPR), refere-se à 
documentação do controlador que contém a descrição das atividades de 
processamento de dados que podem gerar riscos aos titulares de dados, bem como 
informações sobre a implementação de medidas, salvaguardas e instrumentos de 
mitigação de danos54. Nada mais é que uma ferramenta para ajudar a identificar e 
minimizar os riscos na proteção de dados, que poderá ser requerida pela ANPD, 
quando o tratamento tiver como fundamento o legítimo interesse do controlador55. 
Registro de operações de tratamento O controlador e o operador devem manter 
registro das operações de tratamento de dados pessoais que realizarem, 
especialmente quando baseado em seu legítimo interesse56. Assim, “toda e 
qualquer atividade de tratamento de dados pessoais deve ser registrada, desde a 
sua coleta até a sua exclusão, indicando quais tipos de dados pessoais serão 
coletados, a base legal que autoriza os seus usos, as suas finalidades, o tempo de 
retenção, as práticas de segurança de informação implementadas no 
armazenamento, e com quem os dados podem ser eventualmente compartilhados, 
metodologia também conhecida como ‘data mapping’”57. 
Requisitos de segurança Os agentes de tratamento devem adotar (e registrar) as 
medidas de segurança, técnicas e administrativas adotadas para proteger os dados 
pessoais de acessos não autorizados e de situações acidentais ou ilícitas 
(destruição, perda, alteração, comunicação ou qualquer forma de tratamento 
inadequado ou ilícito)58. Caberá à Autoridade Nacional de proteção de dados, por 
sua vez, dispor sobre padrões técnicos mínimos, levando em conta os princípios da 
LGPD e considerando a natureza dos dados manipulados, as características 
 
53 Lei 13.709/2018. Art. 41, §3°. 
54 Idem. Art. 5, XVII. 
55 Ibid. Art. 10, §3°. Para maiores informações sobre a metodologia do DPIA, vide https://ico.org.uk/for-
organisations/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-
dpias/how-do-we-carry-out-a-dpia/. Acesso em 18/08/2018. 
56 Ibid. Art. 37. 
57 MONTEIRO, Renato L. Op. cit. 
58 Lei 13.709/2018. Art. 46. 
L G P D | 13 
 
 
específicas do tratamento, o estado atual da tecnologia (especialmente em se 
tratando de dados sensíveis)59. 
Privacy by design Os princípios gerais da LGPD e as medidas de segurança acima 
referenciadas deverão ocorrer desde a fase de concepção dos serviços e produtos 
até sua execução, garantindo desde o início dos direitos de privacidade e proteção 
de dados (privacy by design)60. 
Penalidades A lei prevê a aplicação de sanções administrativas a serem aplicadas 
de acordo com cada caso concreto pela autoridade nacional, após conclusão de 
procedimento administrativo, garantida a ampla defesa61. Dentre as sanções, estão 
previstas (i) advertência; (i) multa simples, de até 2% do faturamento da pessoa 
jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, 
limitada, no total, a R$ 50.000.000,00 por infração; (iii) multa diária (limitada a este 
valor); (iv) publicização da infração e (v) bloqueio dos dados pessoais a que se 
refere a infração até a sua regularização62. Outras sanções previstas no projeto 
levado à sanção foram vetadas, conforme será analisado abaixo. 
Período de transição e adaptação (vacatio legis) A LGPD entrará em vigor após 
decorridos 18 meses de sua publicação oficial63, ou seja, as entidades terão até o 
dia 15 de fevereiro de 2020 para se preparar. Além disso, a autoridade nacional 
(quando criada) deverá estabelecer regras sobre a adaptação progressiva de banco 
de dados constituídos até a data de entrada em vigor desta Lei, consideradas a 
complexidade das operações de tratamento e a natureza dos dados64. 
o VETOS PRESIDENCIAIS 
A criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão que seria 
responsável pela fiscalização da lei, foi vetada devido a aspectos formais, 
relacionados à inconstitucionalidade do processo legislativo, por afronta ao artigo 
 
59 Lei 13.709/2018. Art. 46, §1°. 
60 Idem. Art. 46, §2°. Vide também ICO. Data protection by design and default. https://ico.org.uk/for-
organisations/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-
protection-by-design-and-default/.Acesso em 18/08/2018. 
61 Ibid. Art. 52, §1°. 
62 Ibid. Art. 52. 
63 Ibid. Art. 65. 
64 Ibid. Art. 63. 
L G P D | 14 
 
 
61, §1º, II, “e”, cumulado com o artigo 37, XIX da Constituição Federal65. No entanto, 
já foi sinalizado pelo Governo que a ANPD será criada por meio de uma lei separada, 
provavelmente através de iniciativa do Poder Executivo66. 
Foram vetados também artigos que previam a transferência de dados pessoais 
entre as autoridades públicas e as entidades privadas (não estão proibidas tais 
transferências, mas se darão sob bases jurídicas diversas) e transparência na 
utilização de dados compartilhados entre entes públicos. Outros artigos vedados 
previam penas de suspensão e proibição - total ou parcial - das atividades de 
processamento e armazenamento de dados pessoais, sob a justificativa de que tais 
previsões poderiam gerar insegurança aos responsáveis por essas informações, 
bem como impossibilitar a utilização e tratamento de bancos de dados essenciais a 
diversas atividades (a exemplo das aproveitadas pelas instituições financeiras, 
dentre outras) acarretando prejuízo à estabilidade do sistema financeiro nacional67. 
o PRÓXIMOS PASSOS 
A Autoridade Nacional de Proteção de Dados, quando criada, será uma autoridade 
pública independente para supervisionar e fiscalizar a execução da lei. Embora seu 
formato ainda não esteja definido, deverá funcionar da mesma forma que outras 
agências reguladoras, podendo estabelecer diretrizes para a proteção de dados 
pessoais no Brasil. Em síntese, ela deverá garantir a proteção de dados pessoais, 
elaborar a "Política Nacional de Proteção e Privacidade de Dados", conforme 
definido em lei, monitorar, fiscalizar e aplicar sanções em caso de infração, dentre 
outras atividades. A lei que criar a ANPD provavelmente criará também o Conselho 
Nacional de Proteção de Dados (CNPD), órgão consultivo de composição 
 
65 BRASIL. Legislação Informatizada. Lei nº 13.709, de 14 de agosto de 2018 – Veto. Disponível em 
http://www2.camara.leg.br/legin/fed/lei/2018/lei-13709-14-agosto-2018-787077-veto-156214-pl.html. Acesso 
em 17/08/2018. 
66 Idem. 
67 Ibid. 
L G P D | 15 
 
 
multissetorial68, que poderá prestar esclarecimentos e propor estratégias, realizar 
estudos e disseminar conhecimentos sobre proteção de dados no Brasil69. 
Como visto, as empresas deverão buscar a conformidade à lei e aceitar um novo 
paradigma cultural no que se refere ao uso apropriado de dados pessoais. Em sua 
essência, a LGPD modificará drasticamente a maneira como as empresas 
gerenciam, usam, armazenam, protegem e processam dados pessoais. Nesse 
sentido, a implementação da LGPD pode representar para as empresas não apenas 
uma barreira regulatória, mas uma verdadeira uma vantagem competitiva com 
potencial para criar um nível respeitável de confiança e reputação junto à sociedade. 
o COMO COMEÇAR A SE PREPARAR 
Antes de embarcar em um projeto para atingir a conformidade com a LGDP é muito 
importante garantir o compromisso da alta administração. Este é, provavelmente, 
o fator mais significativo que poderá conduzir as entidades a um projeto de 
operação (e posterior implementação) bem-sucedido. 
As primeiras questões que a alta gerência fará sobre o projeto provavelmente serão: 
(i) quais requisitos deverão ser cumpridos, (ii) quanto irá custar; e (iii) quando 
deverá estar pronto? 
O ponto mais importante é que a conformidade à LGPD não é opcional e as multas 
previstas em caso de descumprimento são altas. Os requisitos a serem observados 
e os custos de adequação irão depender da avaliação de cada negócio, mas todos 
deverão estar em conformidade com a norma até meados de fevereiro de 2020. 
Sumarizamos abaixo, em 8 tópicos, alguns insights destinados a fornecer um ponto 
de partida razoável para iniciar um projeto de conformidade à LGPD: 
 
68 Contribuições da ABRANET à Comissão Especial de Tratamento e Proteção de Dados Pessoais (PL 
4060/2012 | PL 5276/2016) da Câmara dos Deputados. Disponível em http://www2.camara.leg.br/atividade-
legislativa/comissoes/comissoes-temporarias/especiais/55a-legislatura/pl-4060-12-tratamento-e-protecao-de-
dados-pessoais/documentos/outros-documentos/ABRANET.pdf. Acesso em 18/08/2018. 
69 Cf. artigos 58 e 59 do PL 53 (vetados). Disponível em https://www.conjur.com.br/dl/redacao-final-pl-protecao-
dados.pdf. Acesso em 18/08/2018. 
L G P D | 16 
 
 
1. Estabelecer as necessidades e o contexto Reunir as equipes e mapear a 
situação interna no que se refere às operações de processamento de dados, 
a fim de compreender em que medida a LGPD se aplica a seu negócio. 
2. Identificar os riscos Realizar um gap assessment (parte legal e técnica) para 
identificar as providências a serem adotadas. 
3. Analisar e avaliar os riscos Analisar e definir as bases legais para 
tratamento; avaliar os mecanismos de segurança das bases de dados. 
4. Definir o projeto de acordo com os riscos Definir responsabilidades; 
nomear um EPD; readequar e documentar os processos internos de 
tratamento de dados. 
5. Educar Incentivar a adoção de boas práticas e a mudança na cultura interna 
(através de treinamentos periódicos, por exemplo) e externa. 
6. Implementar o projeto desenvolvido Elaborar ou revisar (i) políticas de 
privacidade (internas e externas) e (ii) contratos com colaboradores e 
terceiros que impliquem no processamento de dados (operadores), 
assegurando-se dos meios para garantir sua execução. 
7. Registrar o processo Documentar as análises e procedimentos e 
implementar o Registro de Processamento de Dados. 
8. Monitorar e notificar Organizar uma política de tratamento dos incidentes 
para garantir o cumprimento de requisitos de comunicação às autoridades 
em caso de vazamentos ou uso indevido de dados pessoais. 
 
 
Iremos monitorar as atualizações sobre o assunto e informaremos no caso de 
qualquer desenvolvimento relevante. 
Em caso de dúvidas, entre em contato conosco. 
Franco | Advogados. Especialistas em Direito Empresarial. 
www.francoadv.com