1601587559ebook-lgpd

Prévia do material em texto

LGPD
O que você precisa
saber sobre a lei e como 
se adaptar a ela
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
Como a sua empresa usa os dados pessoais e de seus consumidores e 
empregados? A entrada em vigor da Lei Geral de Proteção de Dados 
Pessoais está cada vez mais próxima no Brasil e impactará a todos. 
Também conhecida como LGPD, a lei passará a valer assim que for 
sancionada pelo Presidente da República, Jair Bolsonaro, e significará 
uma nova visão jurídica sobre o uso de dados e os direitos dos usuários 
sobre eles. 
Pode ser que a sua empresa não colete informações detalhadas como o 
Facebook, mas é bastante provável que ela possua algum tipo de 
cadastro – basta um nome e um e-mail para ser enquadrado na nova lei. 
Até então, quando o assunto era a proteção de dados pessoais, a 
jurisdição brasileira contava apenas com dispositivos independentes 
entre si. Com a mudança, o Brasil entrará no grupo de países que 
possuem uma regulamentação abrangente e sistematizada em relação 
ao tema. 
Uma das legislações propulsoras da Lei Geral de Proteção de Dados é a da 
União Europeia. Conhecida como GPDR (cuidado para não confundir com 
a sigla brasileira!), a General Data Protection Regulation entrou em vigor 
em maio de 2018. A sua promulgação pode ter influenciado a criação de 
uma regulamentação brasileira porque, em tese, o Brasil conseguirá 
fazer com mais facilidade a transferência de dados a países que seguem 
a lei europeia. 
INTRODUÇÃO
A LGPD é a responsável por organizar e sistematizar o tratamento de 
dados pessoais de pessoas físicas. Para isso, existirão de regras 
específicas sobre a coleta, o tratamento e o armazenamento dessas 
informações. 
A existência de uma lei específica não anulará os outros dispositivos 
encontrados na legislação brasileira, como o Código de Defesa do 
Consumidor ou Marco Civil da Internet, por exemplo. Seu objetivo é 
englobar e harmonizar as regras e princípios sobre o tema em uma coisa 
só. 
A partir da vigência da LGPD em setembro de 2020, os assuntos 
abordados aqui estarão sujeitos à interpretação das autoridades, ou 
seja, este material não é algo acabado e final, mas sim um “work in 
progress”.
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
SUMÁRIO
APLICAÇÃO
PONTOS PRINCIPAIS DA LEGISLAÇÃO 
COMPARATIVO ENTRE LGPD E GDPR
POTENCIAIS IMPACTOS NOS NEGÓCIOS
SOBRE O AUTOR
 
2
4
6
12
15
18
.......................................................................................................................................................
.............................................................................................................................................................................................................
....................................................................................................................................................................................................
...........................................................................................................................................................
.............................................................................................................................................................
.......................................................................................................................................................................................................INTRODUÇÃO
O ESCOPO DA LGPD
A LGPD define dados pessoais como “toda informação relacionada a 
pessoa natural identificada ou identificável”. O tratamento, segundo 
a lei, é “toda operação realizada com dados pessoais”. 
Em outras palavras, qualquer informação que possa identificar 
alguém, seja no meio físico ou digital, é considerada um dado 
pessoal. O tratamento, por sua vez, corresponde a qualquer 
atividade envolvendo esse tipo de conteúdo, como, por exemplo, a 
coleta, o armazenamento, a utilização e até mesmo a eliminação 
dessas informações. 
Sim, ao eliminar algum contato da sua base de e-mails, você está 
fazendo um tratamento de dados. Segundo a Lei Geral de Proteção 
de Dados, as atividades que configuram tratamento são: 
 
 
.
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
APLICAÇÃO
4
• Coleta 
• Reprodução 
• Processamento 
• Modificação
• Comunicação
• Eliminação
• Controle da informação
 
 
.
• Produção
• Transmissão
• Arquivamento
• Extração
• Recepção
• Transferência
• Avaliação da informação
 
 
.
• Classificação
• Distribuição
• Utilização
• Acesso
• Difusão
• Armazenamento
 
 
.
A aplicação da LGPD acontece de maneira extraterritorial, ou 
seja, vale até mesmo para organizações que não se encontrem 
em território nacional. A legislação valerá nos seguintes casos:
• Quando a operação do tratamento acontecer no Brasil
• Quando o tratamento de dados incluir a oferta de bens e 
serviços 
• Quando o tratamento de dados for relativo a indivíduos que 
estejam localizados no Brasil
• Quando os dados pessoais tenham sidos coletados em 
território nacional
Além de a lei ser bastante abrangente em relação aos casos em 
que poderá ser aplicada, ela também valerá para casos fora da 
internet. Isto é, a LGPD também servirá para regulamentar 
casos em que tratamento seja offline e/ou use meios que não 
digitais.
Por fim, a LGPD não poderá ser aplicada ao tratamento de 
dados pessoais se este for realizado por pessoas físicas para 
fins não econômicos. A lei não valerá, por exemplo, caso um 
indivíduo resolva fazer algum tipo de tratamento para fins 
pessoais e não lucrativos.
Também fica fora da legislação brasileira o tratamento de 
dados pessoais para fins jornalisticos, artisticos e acadêmicos.
TERRITORIALIDADE
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
A LGPD prevê, ainda, que alguns dados pessoais devem ser 
administrados com mais cautela e de maneira mais restritiva, 
utilizando padrões de segurança mais específicos. Se enquadram 
nessa categoria os dados pessoais sensíveis e aqueles pertencentes 
a crianças e adolescentes. 
Dados pessoais sensíveis são aqueles relativos à origem racial ou 
étnica, convicção religiosa, opinião política, filiação a sindicato ou à 
organização de caráter religioso e filosófico ou político. Informações 
referentes à saúde ou à vida sexual, dado genético ou biométrico, 
quando vinculados a uma pessoa específica, também se encaixam 
nessa categoria.
Para trabalhar com essas informações, o padrão é exigir o 
consentimento exclusivamente para o tratamento que será feito. 
Usar aquelas informações para outras atividades não declaradas é, 
portanto, proibido. No caso de crianças é necessário ainda ter o 
consentimento dos pais ou responsáveis legais.
Dados sobre alguém em particular, mas que não levam à 
identificação do indivíduo por meios técnicos razoáveis, são 
considerados anonimizados, desde que não seja possibilitada a 
associação, direta ou indireta, do indivíduo, e não se enquadram na 
Lei Geral de Proteção de Dados. Seria o caso, por exemplo, de uma 
pesquisa anônima, feita por uma empresa, em que não é possível 
descobrir quem respondeu o quê.
 
 
.
5
MATERNIDADE
06
TECHWOMEN 2020 Versão resumida
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
Basicamente, a Lei Geral de Proteção de Dados define os princípios que 
devem nortear e limitar o tratamento de dados pessoais. Os pontos 
principais que você deve levar em conta estão abaixo.
Finalidade
O propósito para usar dados pessoais deve ser legítimo, específico e 
explícito. É preciso informar ao titular das informações qual é a 
finalidade do tratamento, sendo proibido o uso posterior de forma 
incompatível com o contexto e intuito inicial, ou seja, a finalidade 
anteriormente informada. 
Adequação
Toda e qualquer ação em relação ao tratamento de dados deve ser 
compatível ao que foi informado ao titular.Necessidade
O tratamento deve ser limitado ao mínimo possível. Os dados devem 
ser pertinentes e proporcionais à finalidade inicial. Isto é, você deve 
usar apenas as informações necessárias para o seu negócio. 
Livre acesso
Os titulares dos dados pessoais devem ser capazes de consultar de 
maneira fácil e gratuita como seus dados estão sendo utilizados. A 
duração e a segurança do tratamento também deve estar à 
disposição dos envolvidos.
Qualidade dos dados
Fica garantida, por lei, a clareza, exatidão, relevância e 
atualização dos dados, para cada necessidade e a finalidade 
daquele tratamento, ou seja, dentre diversos outros direitos 
que a lei trouxe aos usuários (titulares de dados) também está 
a de poder solicitar a atualização cadastral, por exemplo. 
Transparência
Os titulares de dados devem ter acesso de forma clara, precisa 
e de fácil sobre o tratamento de seus dados, é importante 
esclarecer que tal acesso não pode violar os segredos 
comerciais e industriais da organização. 
Segurança 
Se faz necessária a utilização de medidas e técnicas para 
proteger os dados pessoais, impedindo assim, o acesso de 
pessoas não autorizadas, acidentes ou incidentes de 
vazamento, ataques cibernéticos, ou até mesmo a perda e 
destruições ilícitas dos dados.
Prevenção
A lei obriga que as empresas possuam medidas para prevenir a 
ocorrência de danos em virtude do tratamento de dados 
pessoais.
Não discriminação
Por mais óbvio que possa parecer, não será permitido o 
tratamento de dados para fins discriminatórios, ilícitos ou 
abusivos. É importante, no entanto, esclarecer que esse
6
PONTOS PRINCIPAIS DA LEGISLAÇÃO
Abaixo, estão os temas que mais se destacaram nas redes 
sociais no período estudado.
Carreira, representatividade e tecnologia (42%)
Educação (5,84%)
Gamers (14,2%)
Política e Preconceito (1,9%)
SOBRE O QUE FALAM
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
princípio merece uma atenção para que tais episódios não ocorra de 
maneira incidental. 
Responsabilização e Prestação de Contas
As empresas que de algum modo tratem dados pessoais, sejam eles 
de seus clientes e/ou empregados deverá estar apto de demonstrar 
que suas medidas são eficazes no cumprimento das normas de 
proteção de dados pessoais. 
Ademais, a lei aborda pontos específicos que regem a forma na qual 
o tratamento de dados deve se dar para que esteja em conformidade 
com a nova legislação brasileira. Esses pontos serão expostos a 
seguir.
Bases Legais para o tratamento
Para que o tratamento de dados pessoais seja considerado legítimo 
– e, portanto, permitido – é necessário que tal tratamento se dê 
dentro das hipóteses previstas pela LGPD, conhecidas como “Bases 
legais”. Assim, são apresentadas 10 hipóteses que legitimam o 
tratamento de dados pessoais:
1. mediante consentimento do titular fornecido de forma que seja 
demonstrada a sua livre manifestação de vontade, podendo o titular 
revogar seu consentimento a qualquer tempo e de forma gratuita e 
facilitada;
2. por força de cumprimento de obrigação legal ou regulatória pelo 
controlador;
3. execução do contrato do qual o titular dos dados pessoais seja 
parte, ou para procedimentos preliminares de um contrato, desde
que tenha sido feito a pedido do titular;
4. execução de políticas públicas; 
5. exercício regular de direito em processo judicial, administrativo ou 
arbitral;
6. proteção da vida;
7. realização de estudos por órgãos de pesquisa;
8. tutela da saúde; 
9. legítimo interesse do controlador ou de terceiros, desde que não 
confronte com direitos e liberdades fundamentais do titular dos dados;
10. proteção ao crédito.
Quanto às bases legais, algumas considerações devem ser feitas. 
Inicialmente, quando o tratamento de dados pessoais se der mediante 
consentimento, este deve se dar sempre de maneira expressa e 
inequívoca, sendo importante que a documentação comprobatória 
esteja em conformidade com a lei, bem como seja mantido um registro 
das operações a fim de conferir maior segurança ao controlador da 
operação quanto a observância legal do tratamento de dados pessoais, 
lembrando, ainda, que o consentimento deve ser coletado de maneira 
granular, ou seja, o tratamento deve ser feito para o fim específico que o 
titular consentiu. Caso seja realizado tratamento com finalidade distinta 
da anteriormente consentida, faz-se necessária a destinação de nova 
base legal adequada à nova finalidade e, caso o consentimento venha a 
ser a base legal utilizada para a nova finalidade, é necessário que seja 
fornecido novamente.
Quando o tratamento se der mediante interesse legítimo, é importante 
que o tratamento se dê com maior transparência possível a fim de
7
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
conferir segurança e accountability ao titular quanto ao tratamento de seus 
dados pessoais. Por fim, o tratamento de dados pessoais está embasado em 
direitos fundamentais de liberdade, intimidade e privacidade, que devem 
sempre ser observados com os demais princípios norteadores da LGPD, quando 
do tratamento de dados pessoais.
Já quando o tratamento de dados pessoais se embasar no cumprimento de 
obrigação legal ou regulatória o referido tratamento deve-se limitar a cumprir tal 
norma, não podendo, em hipótese alguma ser realizado tratamento para 
finalidade distinta, salvo se para essa nova finalidade for definida uma nova base 
legal. Em outras palavras cada tratamento possui uma finalidade específica e 
consequentemente uma base legal, devendo, portanto, a depender do 
tratamento realizado ser escolhida a base legal adequada. 
No tocante ao tratamento de dados pessoais embasado na execução de contrato 
ou procedimento preliminar de contrato é de suma importância que o 
tratamento seja realmente necessário para a execução do objeto do contrato, ou 
seja, não se pode de maneira alguma confundir previsão ou cláusula contratual 
com a execução do objeto contratual em si. Vale ressaltar, ainda, que para o 
procedimento preliminar de contrato é necessário que tal tratamento seja feito 
a pedido do titular, isso significa que o titular do dado deve estar interessado em 
firmar futuro contrato.
Ainda, quanto ao tratamento de dados pessoais, é de suma importância que 
além dos princípios e que regem a LGPD, e claro a lei em si, seja observando todo 
o conjunto de normas que norteiam aquele tratamento
Término do Tratamento
O artigo 15 da Lei Geral de Proteção de Dados especifica que o término do 
tratamento de dados pessoais ocorrerá quando:
1. A finalidade para a qual o consentimento foi obtido deixar de ser 
necessária ou pertinente para o alcance de tal finalidade; 
2. O período para tratamento chegar ao fim; 
3. O titular dos dados pessoais se manifestar a fim de que o tratamento 
de seus dados seja finalizado e/ou; 
4. Quando houver determinação legal por violação do disposto pela 
LGPD.
Ao término do tratamento, os dados pessoais devem ser eliminados, 
dentro do âmbito e dos limites técnicos das atividades envolvendo o 
tratamento. Entretanto, a LGPD aborda algumas hipóteses nas quais os 
dados podem ser conservados, tais como anonimização ou por 
cumprimento de obrigação legal ou regulatória pelo controlador, quando 
a escolha for a anonimização é necessário que seja feita de forma 
correta.
Direitos dos titulares
Conforme exposto, é preocupação da LGPD assegurar que os 
titulares de dados pessoais tenham seus direitos salvaguardados, 
sendo principal objetivo a proteção de direitos fundamentais de 
liberdade e privacidade dos indivíduos. Assim, são direitos inerentes 
ao titular de dados:
8
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
9
Acesso facilitado do titular a informações sobre o tratamento de seus 
dados, bem como, direito de exigir que seus dados pessoais sejam 
corrigidos caso contenham informações incompletas, inexatas ou 
desatualizadas.
A LGPD além de facilitar o acesso ao titular dos dados sobre as 
informações acerca do tratamento que está sendorealizado com 
seus dados, também exige que tais informações sejam 
disponibilizadas de forma clara, adequada e ostensiva, 
respeitando-se o princípio do livre acesso, ou seja, deverá ser 
demonstrada a finalidade específica, a forma e a duração do 
tratamento, respeitando-se os segredos comerciais e industriais da 
organização. O titular do dado, ainda, deverá ter acesso às 
informações do controlador, informações sobre o compartilhamento 
de seus dados com terceiros e a finalidade do referido 
compartilhamento, bem como quais são as responsabilidades dos 
agentes que trataram seus dados.
O titular de dados pode solicitar a anonimização, bloqueio ou 
eliminação de dados pessoais que sejam considerados excessivos, 
desnecessários ou que não estejam de acordo com o standard para 
tratamento de dados imposto pela LGPD.
Na hipótese de o tratamento de dados se basear exclusivamente em 
decisões automatizadas, o titular dos dados tem o direito de solicitar 
a revisão, inclusive para decisões destinadas à formação de perfis 
(“profiling”). É direito do titular solicitar que sejam disponibilizadas 
informações claras e adequadas quanto aos critérios adotados 
quando da decisão automatizada.
Caso deseje, o titular pode, mediante requisição expressa, solicitar a 
transferência de seus dados pessoais, na modalidade de portabilidade, 
nesses casos, serão resguardados os direitos de segredos comercial e 
industrial.
O titular de dados poderá revogar seu consentimento previamente dado 
para o tratamento de seus dados pessoais a qualquer momento. Nesses 
casos, o tratamento que acontece com base no consentimento deverá ser 
interrompido.
Caso verifique que há descumprimento das disposições da LGPD, o titular 
de dados pessoais tem o direito de se opor ao tratamento de seus dados, 
caso tal tratamento se dê com base em uma das hipóteses de dispensa de 
consentimento.
A qualquer momento, o titular de dados pessoais tem o direito de obter 
confirmação da existência de tratamento e acesso aos seus dados 
pessoais.
Transferência Internacional de dados
É permitida a transferência internacional de dados, desde que observadas 
as condições impostas pelo art. 33 da LGPD:
Para países ou organismos internacionais aptos a proporcionar um grau 
de proteção adequado no tratamento de dados pessoais, isto é, conforme 
o padrão mínimo da LGPD;
Ainda, poderá realizar a transferência internacional, quando o controlador 
oferecer e comprovar as devidas garantias de cumprimento 
• Coleta 
• Reprodução 
• Processamento 
• Modificação
• Comunicação
• Eliminação
• Controle da informação
 
 
.
• Classificação
• Distribuição
• Utilização
• Acesso
• Difusão
• Armazenamento
 
 
.
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
10
dos princípios, dos direitos do titular e do regime de proteção de dados 
previstos na LGPD, na forma de:
• cláusulas contratuais específicas para a transferência internacional;
• a adoção de cláusulas-padrões nos contratos;
• que atendam as normas corporativas globais;
• que possuam selos, certificados e códigos de condutas regularmente 
emitidos;
Além disso, também, as empresas poderão realizar a transferência 
internacional quando:
• a autoridade nacional autorizar a referida transferência;
• quando a transferência resultar de compromisso assumido em acordo de 
cooperação internacional;
• se a transferência for necessária para a execução de políticas públicas ou 
atribuição legal do serviço público;
• o titular do dado tiver provido o seu consentimento de maneira 
destacada e específica para aquela transferência internacional; 
• necessário para cumprimento de obrigação legal ou regulatória pelo 
controlador;
• necessário para a execução de contrato, ou procedimentos preliminares 
ao contrato, desde que, a solicitação tenha sido feita pelo titular;
• for necessária a transferência para o exercício regular de direito em 
processo judicial, administrativo ou arbitral.
Assim, de maneira geral, é possível notar que a transferência 
internacional de dados será permitida desde que seja mantido o mesmo 
padrão mínimo adotado pela LGPD para o tratamento de dados pessoais e 
para a proteção dos direitos do titular.
Ainda, existem indefinições de sobre certos padrões, tais como quando a 
autoridade nacional autorizar, assim, será realizado a análise de caso a 
caso para que a transferência internacional possa ser realizada de 
maneira segura, minimizando os riscos para a empresa. 
Agentes para o tratamento 
Responsáveis para que o tratamento de dados se dê em conformidade 
com o disposto pela LGPD, os agentes para o tratamento podem se dividir 
em:
• Controlador: pessoa natural ou jurídica, seja ela de direito público ou 
privado, que decide sobre o tratamento de dados pessoais;
• Operador: pessoa física ou jurídica responsável pelo tratamento de 
dados pessoais estritamente na medida em que realize as obrigações e 
finalidades previamente definidas pelo operador, em nome do 
controlador.
Para definirmos os papéis de cada parte, deverá ser avaliado o contexto ao 
qual se inserem. Inicialmente, cabe ao controlador manter registros das 
operações envolvendo o tratamento de dados pessoais (especialmente 
aqueles que tiveram como base legal o legítimo interesse do controlador), 
bem como conservar e atender aos requisitos impostos pela Lei e pela 
autoridade competente, que pode vir a determinar que o controlador 
elabore um relatório de impacto à proteção de dados pessoais a fim de 
observar se a organização está atuando em conformidaden ou não com a 
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
legislação geral de proteção de dados pertinente.
Recai sobre o Controlador, também, o dever de comunicar a autoridade 
nacional e o titular de dados pessoais imediatamente, na hipótese de a 
segurança no tratamento de dados pessoais ser violada e ter potencial 
de acarretar risco ou dano relevante aos seus titulares.
O Controlador e o Operador respondem solidariamente por quaisquer 
danos causados ao titular de dados pessoais em decorrência de 
violação da LGPD, sejam de cunho patrimonial moral, individual ou 
coletivo. Eles só não serão responsabilizados nas hipóteses se 
comprovado que:
(I) não realizaram o tratamento de dados que lhes é atribuído;
(II) embora tenham realizado o tratamento que lhes é atribuído, não 
houve violação à LGPD ou;
(III) que o dano decorre de culpa excessiva do titular dos dados ou de 
terceiros.
Vale notar que aquele que reparar o dano ao titular tem o direito de 
regresso contra os demais responsáveis, na medida da participação de 
cada.
Nesse sentido é importante frisar que, apesar de não existir 
explicitamente nenhuma determinação na LGPD para que, as partes 
determinem suas funções atrav;es de contratos nas relações 
envolvendo proteção de dados, é prudente que tais funções , limites,
direitos e obrigações sejam pactuadas de um contrato, muito 
embora os papéis sejam definidos pela realidade fática, o 
contrato poderá trazer uma maior segurança e mitigar riscos, 
inclusive, limitando que os tratamentos envolvendo dados 
pessoais pelo operador sejam aqueles intimamente ligados ao 
objeto do contrato e as determinações do controlador.
A figura do encarregado ou “DPO”
 
Já o “encarregado”, corresponde à figura do Data Protection 
Officer (ou como é comumente chamado, “DPO”) mencionados 
pela Lei geral europeia. É também considerado um dos agentes 
no tratamento de dados. O Encarregado será o responsável por 
orientar os indivíduos da organização quanto às práticas que 
estão de acordo com a proteção e o tratamento dos dados 
coletados, bem como por prestar esclarecimentos aos titulares 
de dados e tomar providências que sejam necessárias.
As seguintes atividades correspondem ao 
encarregado:
1) Aceitar reclamações dos titulares, prestar esclarecimentos e 
adotar providências;
2) Receber comunicações da autoridade nacional e dos 
titulares, Adotando as providências cabíveis;
3) Orientar osfuncionários e contratados da organização 
quanto às práticas a serem tomadas em relação à proteção de 
11
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
Como é de conhecimento, a entrada em vigor da GDPR (Regulamento 
Geral sobre a Proteção de Dados) foi grande propulsora para o avanço 
legislativo da LGPD, além disso, considerando que o GDPR em muito 
inspirou conceitos e disposições trazidas pela LGPD, ambas 
compartilham similitudes incontestáveis, mas existem algumas 
distinções relevantes, as quais merecem atenção.
Inicialmente, destaca-se a necessidade de que para um tratamento 
ocorrer é necessária a escolha de uma base legal, sendo certo que, 
enquanto a LGPD nos fornece 10 (dez) hipóteses de fundamentação legal 
para tratamento de dados, conforme exposto acima, a GDPR mostra-se 
mais restritiva, fornecendo somente 6 (seis) hipóteses. Nesse sentido:
• GDPR: (i) consentimento; (ii) obrigação legal; (iii) proteção da vida; (iv) 
interesse público; (v) execução de contrato; (vi) e interesse legítimo.
• LGPD: (i) consentimento; (ii) cumprimento de obrigação legal; (iii) 
implementação de políticas públicas pela administração pública; (iv) 
pesquisa por entidades de estudo público; (v) execução de contrato; (vi) 
exercício de direitos em processos judiciais, administrativos ou arbitrais; 
(vii) proteção da vida; (viii) tutela da saúde; (ix) interesse legítimo; e (x) 
proteção ao crédito.
Vale ressaltar que o consentimento é a apenas uma das bases legais, ao 
contrário do que muitos pensam, o consentimento nem de longe é a base 
legal principal.
dados pessoais;
3) Orientar os funcionários e contratados da organização quanto às 
práticas a serem tomadas em relação à proteção de dadospessoais;
4) Executar atribuições determinadas pelo controlador ou em 
normas complementares, que podem ser estabelecidas pela 
Autoridade nacional.
Por fim, a definição e as atribuições do encarregado podem ser 
estabelecidas pela autoridade nacional, inclusive hipóteses de 
dispensa de sua indicação tendo em vista a natureza, o tamanho da 
organização ou volume de operações de tratamento de dados.
12
COMPARATIVO ENTRE LGPD E GDPR
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
Atribuições do Data Protection Officer (“DPO”)
Embora a função do encarregado seja apontada em ambas as legislações, 
a GDPR aborda de maneira mais clara quando um “DPO” deve ser indicado 
para atividades específicas dentro da organização no que diz respeito às 
atividades que exijam a sua atuação. A LGPD, por sua vez, aborda o tema 
de maneira um tanto quanto geral e faz apenas menção que para qualquer 
tratamento de dados, um encarregado deve ser indicado.
Este ponto deverá ser objeto de regulamentação futura pela Autoridade 
Nacional de Proteção de Dados.
Vale esclarecer que a função do DPO entre a Europa e o Brasil possui 
diferença, sendo certo que na Europa o DPO tem a sua atuação delineada 
de forma muito mais robusta, podendo, ser considerado até como um 
aliado da autoridade de proteção de dados. Já no Brasil a LGPD limitou o 
DPO a função de intermediar comunicações entre o titular de dados, as 
empresas e a autoridade.
Decisões individuais automatizadas
As decisões individuais automatizadas consistem em decisões tomadas 
exclusivamente por meios tecnológicos, excluindo-se qualquer 
envolvimento humano durante o processo de tratamento dos dados 
pessoais em questão.
A GDPR garante aos titulares de dados pessoais que estes não fiquem 
sujeitos a decisões tomadas exclusivamente por meios automatizados, 
salvo nas hipóteses nas quais o tratamento automatizado for 
imprescindível para execução de um contrato ou autorizado pelo Estado.
A LGPD, por ora, não impõe restrições ao direito do titular de dados em ter 
seus dados revisados quando estes forem tratados por meios 
automatizados. Pois, independentemente da base legal utilizada para 
legitimar o tratamento de dados pessoais, os titulares podem requerer a 
revisão de decisões exclusivamente automatizadas. 
Anteriormente, a LGPD previa que os titulares de dados poderiam solicitar 
a revisão de decisões automatizadas a ser realizada por pessoa natural. 
Ocorre que, através da Lei n.º 13.853 de 2019 tal obrigação fora excluída 
através de veto presidencial, restando somente a obrigação da revisão 
acerca da decisão automatizada. 
Desta forma, a Lei brasileira é menos protetiva do que a GDPR pois, 
confere, em tese, um leque mais amplo de proteção aos titulares de dados 
na hipótese de decisões exclusivamente automatizadas.
Penalidades Administrativas
No tocante às penalidades a GDPR tem a sua multa estabelecida em até 
4% do faturamento global do grupo, enquanto a LGPD trata como 2% do 
faturamento no Brasil, limitando-se a 50 milhões, por infração.
Requisições de acesso pelos titulares
Requisições de acesso previstas pelos direitos dos titulares também 
possuem diferenças, a GDPR trata como prazo 30 dias e a gratuidade é 
opcional. Por sua vez, a LGPD trata que os direitos de acesso dos titulares 
devem ser atendidos em até 15 dias e a gratuidade é obrigatória.
Tanto a GDPR como a LGPD proporcionam que os titulares de dados 
tenham acesso a informações sobre seus dados que estejam sendo 
13
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
informações que se fizerem necessárias para demonstrar que a 
organização cumpre com a GDPR; (iv) a definição de exclusão dos dados 
após o término do tratamento; (v) a obrigação do Operador notificar o 
Controlador em caso de violação de dados pessoais, tão logo tenha 
conhecimento; e, (vi) a nomeação do DPO, a depender da situação.
Destaca-se que, essa obrigação é advinda da GDPR. A LGPD não prevê tal 
necessidade, obrigando somente que o controlador e o operador 
mantenham seus registros acerca das operações de tratamento, em 
especial quando baseado no legítimo interesse. Contudo, é extremamente 
recomendável que tais pontos sejam pactuados através de contrato, 
assim é possível que seja demonstrado e acordado sobre os direitos e as 
obrigações de cada uma das partes. 
tratados, o direito de correção, eliminação, portabilidade, entre outros. 
Por sua vez, a GDPR no próprio capítulo sobre os direitos dos titulares, 
concede a estes o direito de acesso, incluindo, o prazo de conservação dos 
dados, ou dos critérios usados para fixar tal prazo; determina que sejam 
claras as informações atinentes a transferência internacional de dados, a 
demonstração da origem da coleta dos dados pessoais; quando da 
divulgação de seus dados com terceiros a imediata comunicação sobre o 
compartilhamento tão logo ele ocorra. 
Nesse sentido a GDPR é rica em detalhes e tende a realizar mais 
comunicados aos titulares, visando a clareza e transparência em busca do 
amplo conhecimento pelo titular de seus direitos. 
Instrumento contratual
A GPDR prevê explicitamente que a relação entre o Controlador e o 
Operador seja estabelecida através de um contrato ou outro instrumento 
jurídico, sendo essencial que tal documento conste as instruções 
necessárias para o tratamento, tais como: as definições sobre a finalidade 
e duração do tratamento, os tipos de dados pessoais a serem tratados, as 
obrigações e direitos de cada uma das partes, a definição necessárias 
visando a segurança do processamento.
Além disso é de suma importância que esse contrato determine que o 
Operador auxilie o Controlador: (i) nas medidas técnicas e organizacionais 
para o cumprimento de suas obrigações de responder a solicitações 
advindas dos titulares; (ii) na confecção de Relatórios de Impactos à 
Proteção de Dados (DPIA); (iii) com a disponibilização de todas as
14
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
comunicação com esses titulares a fim de efetivar o exercício dos direitos 
a estes correspondentes.
Outro aspecto consiste na estrutura da organização, que deve adequar 
sua estrutura operacional e técnica a fim de implementar um programa 
interno que viabilize que osseus negócios sejam regidos em conformidade 
com o integral cumprimento do exposto pela LGPD. Para tanto, é 
importante que tanto as políticas internas quanto as políticas referentes 
à terceiros, sejam revisadas, bem como, os contratos celebrados pela 
organização e os procedimentos inerentes à atividade exercida pela 
organização que requer o tratamento de dados pessoais, a fim de que 
estas também estejam em conformidade com a Lei brasileira e reflitam a 
realidade dos fatos.
A fim de coibir a prática de atos e omissões que ensejem em riscos ao 
tratamento de dados pessoais, é importante que as políticas internas das 
organizações estejam alinhadas à estrutura e ao escopo das operações 
envolvendo o tratamento de dados pessoais. Isto pois a sinergia na 
estrutura da organização permite que esta desenvolva planos de ação 
mais eficazes e adequados na mitigação de riscos e de danos causados 
pelo eventual vazamento de dados.
O comprometimento da organização em disseminar e implantar a nova 
cultura de proteção de dados consiste no fator primordial para que esta esteja 
em conformidade com a lei brasileira e assim, possa se destacar no mercado.
Além disso, é de suma importância que os direitos dos titulares sejam 
sempre informados e que as organizações busquem agir com maior
¹https://gblogs.cisco.com/br/seguranca/gdreibi2/privacidade-de-dados-sinonimo-de-credibilidade-e-roi/
(acesso em 06/09/2020)
Com a entrada em vigor da LGPD, o maior desafio consiste em 
implementar uma nova cultura acerca do tema. Até mesmo porque a 
violação da LGPD está sujeita desde advertência até a imposição de 
sanções de natureza pecuniária que podem chegar ao montante de até R$ 
50 milhões por infração. Sem contar que a violação à LGPD também 
acarreta danos reputacionais à empresa que pode ter sua imagem ligada 
ao tratamento irregular de dados e seu consequente risco aos dados dos 
titulares.
Some-se a isso, estudos recentes demonstrarem que ROI – Return on 
Investiment – que para cada dólar gasto com privacidade as organizações 
recebem em média US$ 2,70 em benefícios, sendo que aproximadamente 
40% das organizações recebem pelo menos o dobro de ROI.¹ 
Assim visado uma minimização dos impactos negativos e visando nas 
inúmeras possibilidades de crescimento, será necessário que haja 
implementação de uma política interna de proteção de dados apta a 
desenvolver uma conscientização não só do corpo diretivo da organização, 
como também na disseminação da cultura de proteção de dados entre 
seus colaboradores, clientes, fornecedores e consumidores.
Deste modo, é importante que a organização desenvolva mecanismos que 
atuem na disseminação de um conteúdo informativo claro e adequado, a 
fim de informar os titulares de dados quanto ao tratamento de seus dados 
pessoais, bem como desenvolver mecanismos que facilitem a
15
POTENCIAIS IMPACTOS NOS NEGÓCIOS
https://gblogs.cisco.com/br/seguranca/gdreibi2/privacidade-de-dados-sinonimo-de-credibilidade-e-roi/
transparência possível, a fim de permitir que se desenvolva maior 
confiança dos titulares e responsividade da organização na eficácia da 
implementação de um novo programa interno de proteção de dados.
Por onde devo começar? O que fazer?
Com base em nossa experiência, o tema da proteção de dados deve ser 
um projeto de longo prazo. Como tal, recomendamos que seja dividido 
em fases de implementação. As fases poderão (e deverão) variar 
conforme cada organização, pois há organizações em diferentes níveis 
em relação ao tema: (i) aquelas que desconhecem o assunto e estão 
começando “do zero”; (ii) aquelas que contam com algum grau de 
preocupação e procedimentos; (iii) aquelas que já passaram pela GDPR 
e, como tal, costumam ter mais conhecimento do assunto, para 
implementar a LGPD etc.
Observado que a tabela abaixo não é exaustiva e que cada organização 
possui as suas peculiaridades, apetite de risco, entre outros, o 
programa de adequação deverá ser adaptado conforme o caso 
concreto e a realidade prática de cada organização, podemos estimar 
as seguintes principais fases para a implementação do referido 
programa de proteção de dados pessoais:
FASE I
- Workshop/Kick-off Meeting para conscientização.
- Mapeamento de processos aplicados pela organização e verificação 
de quais processos envolvem dados pessoais.
.
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
- Questionários às áreas realizando uma coleta primária de 
informações envolvendo o tratamento de dados pessoais.
- Entrevistas de Mapeamento.
- Rodada de Saneamento, complementação das entrevistas, 
envolve a solicitação de documentos e subsídios.
Tendo assim, como resultado da Fase I o Mapeamento de Dados 
Pessoais capaz de reproduzir a realidade da organização, 
demonstrando de maneira clara e objetiva quais são os 
processos analisados, as operações de tratamento, sistemas 
utilizados, os dados pessoais envolvidos, suas fontes, entre 
outros. 
Destaca-se que, o mapeamento de dados pessoais não podes 
ser um inventário dos dados pessoais e dos sistemas utilizados, 
mas é necessário que ele faça a identificação das finalidades de 
cada tratamento envolvendo os dados pessoais, sendo de suma 
importância a sua identificação para a devida adequação à 
LGPD. 
FASE II
- Identificação das bases legais adequadas para cada 
tratamento de dados pessoais.
- Análise da adequação do tratamento de dados pessoais aos
16
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
princípios relacionados à LGPD.
- Análise de riscos.
- Medidas de adequação.
Nessa fase é importante saber priorizar as medidas de adequação com 
base na análise de riscos, ou seja, avaliando a criticidade e as 
prioridades, bem como a viabilidade e realidade prática da 
organização. 
FASE III
- Elaboração de Políticas Internas e adequações ao Dever de Informar. 
- Vendor Assessment procedimentos para análise do nível de conformidade de 
fornecedores e parceiros.
- Elaboração e Revisão de Contratos.
- Elaboração e revisão de Cláusulas Contratuais Padrão referentes à proteção de 
dados pessoais.
- Elaboração e revisão de procedimentos para transferência internacional de dados.
- Orientações legais referentes a direitos dos titulares.
- Procedimentos para o atendimento de Direitos de titulares.
- Elaboração de padrão de notificação de Incidente de 
Segurança.
- Diretrizes gerais acerca de Procedimento em caso de 
Incidente.
- Privacy by Design.
Elaboração de LIAs – Legitimate Interests Assessment – 
necessários para quando a base legal utilizada for o legítimo 
interesse.
Impact Assessment com a elaboração de Análises de Impacto 
à Privacidade (PIA) e Relatórios de Impacto à Proteção de 
Dados Pessoas (DPIA).
Por fim, vale destacar que o programa de adequação a 
proteção de dados deve ser constantemente monitorado e 
fazendo-se ajustes e melhorias, pois trata-se de um processo 
vivo dentro das organizações. 
17
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
ESCRITO POR
.
Essa é uma publicação realizada pelo escritório de advocacia CMT, 
Carvalho, Machado e Timm Advogados. Foi redigida pelos líderes da área 
de Proteção de Dados do CMT:
Renato Caovilla
rcaovilla@cmtlaw.com.br
Rodrigo Dufloth
rdufloth@cmtlaw.com.br
18
SOBRE O AUTOR
LGPD O que você precisa saber sobre a lei e como se adaptar a ela
REVISADO POR 
.
Carvalho, Machado e Timm Advogados
www.cmtlaw.com.br
+55 11 2872-4760
Viviane Emy Mendes
vemy@cmtlaw.com.br
Matheus Noronha Sturari
msturari@cmtlaw.com.br
19
OBRIGADO POR BAIXAR
ESSE EBOOK
MANDA UM ALÔ PRA GENTE!
QUER DECOLAR OS RESULTADOS DAS SUAS
REDES SOCIAIS?
O Scup foi projetada para revolucionar a experiência
entre marca-consumidor. É a ferramenta certa para
Monitoramento, SAC 2.0, gerenciamento de redes sociais
e relatórios com os insights que a sua empresa precisa
para crescer: tudo isso em um mesmo lugar e com quem
entende do que está fazendo.
Empresas e agências usam a nossa tecnologia para ampliar
a sua performancee realizar o atendimento ao cliente de
forma ágil e descomplicada.
@scupbrasil fb.com/ScupBrasil www.scup.com.br
https://www.scup.com/social/pt/contact/
https://www.instagram.com/scupbrasil/
https://www.facebook.com/ScupBrasil
https://www.scup.com/social/pt/