ebook-lgdp-juris

Prévia do material em texto

Neste ebook
1. O porquê da LGPD 
2. Tratamento de Dados 
3. O que são dados pessoais 
4. Os sujeitos da LGPD 
5. Autoridade Nacional de Proteção de Dados 
(ANPD) 
6. Princípios da LGPD 
7. Requisitos para o tratamento de dados 
8. Direitos referentes ao tratamento 
9. Das penalidades 
10. Da responsabilidade e reparação de danos 
 Até o ano de 1990, as relações de consumo eram 
desequilibradas e sem nenhuma legislação específica 
com diversos abusos sendo cometidos por empresas. 
Diante deste cenário o Código de Defesa do Con-
sumidor (CDC) foi promulgado e alterou profunda-
mente as relações civis.
 Quase trinta anos depois, na Era da Informação os 
dados são compartilhados em uma quantidade imen-
surável a todo momento e informações sobre cada 
indivíduo até então podiam ser capturadas, acessadas 
e utilizadas, sem qualquer tipo de filtro. Assim, no 
dia 14 de agosto de 2018 foi publicada a Lei Geral de 
Proteção de Dados (LGPD) que, da mesma forma que 
o CDC, é provável que altere profundamente o ce-
nário nacional.
 Muito embora tenha sido promulgada nessa data, 
a tarefa de se adequar demandaria muito esforço e 
tempo, sendo que a sua vacatio legis foi de 24 meses, 
ou seja, ao que tudo indica, entrará em vigor na data 
de 14 de agosto de 2020. Em outubro de 2019 foi 
proposto o Projeto de Lei nº 5.762/2019 no intuito 
Introdução
https://www.camara.leg.br/propostas-legislativas/2227704
de adiar a entrada em vigor para o ano de 2022, po-
rém, ao que tudo indica não será aprovado, mas de-
vido ao surto do COVID-19, talvez a legislação seja 
prorrogada por algum período.
 Independentemente da época em que entrar em 
vigor, as empresas já devem se preparar para se ade-
quar à LGPD, e para você poder entender o que essa 
lei busca proteger e como se adequar, preparamos 
este e-book. 
 A Lei Geral de Proteção de Dados ou LGPD foi sancio-
nada para regulamentar o tratamento de dados pessoais, no 
meio digital ou físico, com o objetivo de proteger os direi-
tos fundamentais de liberdade, privacidade e livre desen-
volvimento da personalidade.
 Em primeiro lugar, a LGPD está diretamente relacio-
nada com a lei vigente na União Europeia, a General Data 
Protection Regulation (GPDR), que pode ser traduzida como 
Regulamentação Geral sobre Proteção de Dados (RGPD). 
A legislação europeia foi aprovada em 15 de abril de 2016 
e sua vacatio legis foi até 25 de maio de 2018, momento no 
qual todos tiveram que se adequar sob pena de multas e ou-
tras penalidades.
 E qual a relação entre a GDPR e a LGPD? Como vi-
vemos em um mundo globalizado e o velho continente já 
se preocupa com a proteção de dados de seus cidadãos, por 
questões mercadológicas, está sendo exigido que os países 
que possuem empresas que negociem com as nacionais, tam-
bém criem suas legislações de proteção de dados sob pena 
de quebra de contratos. 
 Para se ter ideia da importância da GDPR na legislação 
brasileira, a mesma entrou em vigor em 25/05/2018 e no dia 
01/06/2018 foi proposto o Projeto de Lei nº 53/2018 que, 
em pouco mais de dois meses, na data de 15/08/2018 foi 
aprovado como a LGPD. Logo, considerando que alguns 
projetos de lei passam anos em tramitação, uma legislação 
ser aprovada em pouco mais de dois meses é realmente algo 
fora da curva. 
 Agora que você já entendeu um dos motivos da legisla-
ção ser criada, qual a real preocupação com os dados?
 Em 2006, o matemático Clive Humby declarou que “os 
dados são o novo petróleo” (Data is the new oil), ou seja, na Era 
da Informação, na qual todos estão conectados e informa-
ções são compartilhadas a todo momento, os dados captados 
pelas empresas são os ativos mais valiosos do planeta. Uma 
análise bem trabalhada dessas informações permite prever 
qual a tendência de compra dos consumidores, informa-
ções pessoais e até manipular populações.
 Por exemplo, uma prática muito comum em farmácias 
é a solicitação do CPF do cliente, supostamente em tro-
ca por descontos. Imagine a seguinte situação: os dados 
fornecidos após uma compra são compartilhados com uma 
operadora de plano de saúde e, futuramente, aquele mesmo 
consumidor (que toda vez que foi na farmácia forneceu o 
CPF) descobrir que possui uma doença no estômago e, se-
gundo orientações médicas, deverá realizar uma cirurgia, o 
plano de saúde poderá negar a cobertura, pois após analisar 
o seu histórico de compras, percebeu que durante um ano 
inteiro comprou medicamentos para o estômago e, ao invés 
de procurar assistência médica, mascarou a doença, que em 
seu estágio inicial poderia ter sido solucionada sem a neces-
sidade de intervenção cirúrgica.
 
 Uma outra situação que pode ocorrer: as seguradoras de 
veículos concedem desconto para o motorista que instalar 
o aplicativo (app) em seu celular, mais uma vez não infor-
mam para que esses dados serão utilizados. Uma vez insta-
lado, esse app consegue registrar - sem que o usuário saiba 
- a velocidade que o veículo está deslocando e outros tipos 
de informação. No caso de um acidente em que o moto-
rista estiver acima da velocidade permitida, a empresa pode 
negar o pagamento do prêmio, pois com ajuda do app con-
segue provar que quem dirigia naquele momento estava 
desrespeitando as leis de trânsito. Nesse caso, o consumidor 
estava errado, mas a empresa, em momento algum, infor-
mou quais dados aquele aplicativo estaria tratando e o por-
quê disso.
 Você já deve ter percebido a importância que os dados 
possuem e o quão perigoso pode ser o seu tratamento sem 
qualquer tipo de controle e deve estar pensando: até que a 
promulgação da LGPD faz sentido. 
 Antes de explicar o que são dados pessoais, é importante 
explicar o que significa tratamento. O nome pode parecer 
complexo, mas a sua definição é simples, sendo considerado 
como tratamento qualquer operação realizada com os da-
dos pessoais, conforme elencado no inciso X do artigo 5º 
da lei:
 Portanto, desde a coleta de um dado (no momento em 
que alguém realiza o cadastro em um site ou uma loja físi-
ca), até a sua exclusão, qualquer ação, mesmo que a simples 
manutenção no sistema é considerada como tratamento.
• Coleta;
• Produção;
• Recepção;
• Classificação;
• Utilização;
• Acesso;
• Reprodução;
• Transmissão;
• Distribuição;
• Processamento;
• Arquivamento;
• Armazenamento;
• Eliminação;
• Avaliação;
• Controle;
• Modificação;
• Comunicação; 
• Transferência;
• Difusão;
• Extração.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art5
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art5
 O primeiro ponto para se entender a LGPD é compre-
ender o que significa dados pessoais. A sua definição está 
prevista nos incisos I, II e III do artigo 5º e no parágrafo 
4º do artigo 13 e são divididos em cinco categorias: iden-
tificados, identificáveis, sensíveis, anonimizados e pseudo-
nimizados.
 
 Os dados identificados são os mais fáceis de serem com-
preendidos, pois são aquelas informações que permitem sa-
ber diretamente quem é o seu titular, como o nome, RG, 
CPF, CNH, carteira de trabalho, nº da OAB.
 Por sua vez, dados identificáveis não permitem a iden-
tificação imediata da pessoa, mas quando em conjunto com 
outros dados é possível, indiretamente, descobrir o titular 
como sexo, idade, gostos, hábitos de consumo, profissão, os 
cookies ou informações de navegação na internet ou dados 
de localização.
 Inclusive, você sabia que objetos podem ser considera-
dos como dados suficientes para identificar alguém? Em re-
gra, só de olhar um tênis não é possível identificar alguém, 
mas agora imagine um que seja customizado com desenhos, 
um item único. Caso você conheça o dono daquele sapato 
e veja uma foto em que não aparece o rosto da pessoa, mas 
somente o tênis, nesse caso você consegue identificar não é?
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art5
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art13
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art13Por sua vez, os dados sensíveis, são aqueles que podem 
gerar algum tipo de preconceito e por isso necessitam de 
proteção especial. Assim, foram definidos como aqueles que 
trazem informações sobre:
 Os dados anonimizados, por sua vez, não permitem 
identificar a pessoa natural direta ou indiretamente devido 
à utilização de algum meio técnico. Um bom exemplo de 
como anonimizar um dado é após realizar uma pesquisa com 
diversas pessoas, além de não deixar salvo nome, e-mail ou 
telefone, utilizar um software para misturar as informações, 
de modo que não possam ser associados a um sujeito em es-
pecífico. 
 Quanto aos dados anonimizados, é importante entender 
que, muito embora não estejam sobre a proteção da LGPD, 
• Raça;
• Etnia;
• Religião;
• Opinião política ou filosófica;
• À saúde;
• À vida sexual;
• Dado genético ou biométrico.
caso ocorra a sua reversão, ou seja, o dado que foi anonimi-
zado se torne identificado ou identificável, estarão sujeitos 
à proteção legal.
 
 Por fim, um dado pseudonimizado é uma informação 
que não pode ser associada direta ou indiretamente a um ti-
tular, salvo se utilizando alguma informação adicional. Po-
rém, segundo a LGPD, somente podem ser utilizados por 
órgãos de pesquisa em estudos de saúde pública. 
 Para ficar mais claro, imagine que um pesquisador cap-
turou o nome de todos os seus entrevistados, porém, para 
ter uma maior segurança, o sistema utiliza a tabela de Pitá-
goras que substituiu letras por números (A=1, B=2, C=3 … 
I=9, J=1, K=2 e assim por diante). A palavra Juris então seria 
escrita 13991, logo, está pseudonimizada, pois somente al-
guém com acesso ao código utilizado poderá retornar esse 
números para letras.
 
Ainda sobre os dados pessoais, existem alguns pontos im-
portantes que você precisa ficar atento:
a. Só preciso me preocupar com dados digitais?
Uma tendência é pensar que somente os dados armazenados 
no meio digital estão sujeitos à proteção da LGPD. Porém, o 
legislador, logo no artigo 1º, deixou expresso a sua aplica-
ção sobres dados pessoais, inclusive nos meios digitais, ou seja, 
qualquer tipo de dado está sobre a proteção da lei. Então, você 
precisa ter os mesmos cuidados com todos os arquivos que 
possui no computador, bem como o caderno em que têm os 
dados de todos seus clientes anotados à mão.
b. Quais dados estão protegidos pela Lei?
 A LGPD se aplica a qualquer operação de tratamento reali-
zada por pessoa natural ou jurídica (de direito público ou pri-
vado), independentemente do meio (digital ou físico, automá-
tico ou manual), do país em que se encontra a sede da empresa 
ou o país onde estejam localizados os dados, desde que:
• O tratamento seja realizado no Brasil;
 > Qualquer tratamento que ocorra em território nacional.
 > Inclusive, se uma empresa brasileira desenvolve um sof-
tware, que é utilizado na Europa, mas realiza o tratamento desses 
dados no Brasil, portanto, estará sujeita à LGPD.
• A atividade de tratamento tenha por objetivo oferta ou forne-
cimento de bens ou serviços ou tratamento de dados de indiví-
duos (nacionais ou estrangeiros) localizados no Brasil; 
 > Essa situação é basicamente o mesmo caso do exemplo 
anterior, só que a empresa é estrangeira e os dados são tratados 
no exterior. 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
• Dados pessoais, os quais o titular se encontre no Brasil no 
momento da coleta.
c. Exceções à regra
 Como no Direito praticamente para toda regra existe uma 
exceção, no caso da LGPD não seria diferente e o artigo 4º 
enumera as hipóteses em que o tratamento de dados pessoais 
não estão sob sua proteção:
• Realizados por pessoa natural com fins particulares e sem ne-
nhum proveito econômico;
 > Este é o caso de fotografias de uma reunião de amigos fei-
ta por um dos participantes, uma lista de endereços pessoais de 
parentes ou até a lista de nomes autorizados a entrar no condo-
mínio residencial. 
• Desde que sejam para fins exclusivamente:
 > Artísticos;
 > Jornalístico;
 > Acadêmicos;
 > Segurança pública;
 > Defesa nacional;
 > Segurança do Estado; ou 
 > Investigação e repressão penal.
 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art5
• Dados coletados no exterior, sem que ocorra comunicação 
ou compartilhamento com agentes brasileiros ou outros paí-
ses, que não o da coleta, e que o país de coleta tenha grau de 
proteção de dados pessoais adequados
 > Provavelmente esse é o item mais complicado, mas de ma-
neira simples, seu objetivo é garantir que, por exemplo, empre-
sas de armazenamento em nuvem possam vender seus serviços e 
armazenar arquivos coletados no exterior, desde que não tenha 
nenhuma comunicação além do próprio país de origem. 
 Vale lembrar que, mesmo a LGPD não sendo aplicável 
a esses casos, ainda podem existir penalidades cíveis e cri-
minais por infrações decorrente dessas situações com base 
em outras legislações.
Os sujeitos da LGPD estão elencados nos incisos V, VI, VII 
e VIII do art. 5º.
 É exatamente a pessoa natural (a lei não protege 
pessoas jurídicas) detentora dos dados pessoais que 
são objeto de tratamento e protegidos pela LGPD.
 O controlador é uma pessoa natural ou jurídi-
ca (de direito público ou privado), responsável por 
decidir quais serão os tratamentos realizados com os 
dados pessoais sob seus cuidados. Assim, deve estar 
sempre atento para:
• Avaliar se os dados que estão sendo tratados pos-
suem autorização legal para tanto (as hipóteses estão 
descritas no item 7);
• Acompanhar todo o fluxo de dados, especialmente 
sobre a real necessidade de possuir aquelas informa-
ções;
 
• Indicar quem será o encarregado ou DPO (será 
Titular
Controlador
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art5
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art5
visto mais à frente);
• Elaborar o relatório de impacto à proteção de da-
dos pessoais (RIPD) e as medidas para mitigação de 
risco de violações;
• Obter o consentimento do titular para o tratamen-
to de dados quando necessário;
 > Lembrando que, em caso de dúvida, se o con-
sentimento foi dado, o ônus da prova é do contro-
lador;
• Se responsabilizar por violações e infrações à LGPD;
• Informar o titular de dados sobre os dados que 
estão sendo tratados, como estão sendo tratados, o 
porquê de estarem sendo tratados e qualquer altera-
ção no tratamento, inclusive o encerramento;
• Comunicar à Autoridade Nacional de Proteção de 
Dados (ANPD) sobre incidentes de segurança;
• Prestar informações à ANPD quando solicitado;
• Formular e instituir boas práticas e governança 
quanto à proteção de dados pessoais.
 Esse são somente alguns exemplos das inúmeras 
responsabilidades que o controlador possui junto à 
LGPD, pois logicamente, sendo quem se beneficia 
e determina como será o tratamento de dados pes-
soais, possui maiores obrigações e responsabilidades.
 O operador é quem realiza, sob orientação do 
controlador, o tratamento dos dados pessoais e, jun-
tamente com o controlador é responsável por:
• Manter o registro de todas as operações de trata-
mentos que forem realizadas;
• Demonstrar que foram adotadas medidas eficazes 
e capazes para o cumprimento da LGPD;
• Ser responsabilizado pela violação de dados;
• Responder solidariamente por danos causados 
quando descumprir obrigações legais;
 > Será equiparado ao controlador quando o dano 
for proveniente de tratamento em desconformidade 
Operador
ao que foi determinado.
• Formular e instituir boas práticas e governança 
quanto à proteção de dados pessoais.
 Assim, juntamente com o controlador, são con-
siderados como agentes de tratamento.
 De maneira resumida, o controlador é quem 
determina quais, como e porque os dados pessoais 
serão tratados, enquanto o operador é quem execu-
ta esse tratamento. 
 Provavelmente, o papel mais interessante para 
os advogados, pois é uma oportunidade de carrei-ra nova em que os seus conhecimentos podem ser 
muito bem empregados.
 
 A princípio, sua função aparenta ser apenas o 
canal de comunicação entre controlador, titular e 
ANPD, porém, seu papel na prática irá muito além 
disso, sendo também responsável por:
Encarregado ou Data Protection
Officer (DPO)
• Aceitar reclamação e comunicação dos titulares;
• Prestar esclarecimentos aos titulares e tomar pro-
vidências;
• Receber comunicações da ANPD e adotar provi-
dências;
 > Para os três casos acima, o seu contato deve-
rá estar disponível no site da empresa, podendo ser 
e-mail ou telefone.
• Orientar funcionários e contratados sobre as práti-
cas que devem ser tomadas para a proteção de dados 
pessoais;
• Executar outras atribuições determinadas pelo con-
trolador ou legislação complementar. 
 Especialmente, se considerarmos o quesito orien-
tar funcionários e contratados, o papel do DPO é 
ampliado, pois na prática será o responsável por rea-
lizar o compliance da empresa, verificando se todos 
os setores estão atentos às orientações quanto à pro-
teção de dados pessoais. Inclusive, também poderá 
orientar o próprio controlador sobre boas práticas e 
governança de proteção de dados pessoais que de-
veria adotar. 
 Por isso, o ideal é que possua uma posição in-
dependente dentro da empresa, para que não sofra 
pressões superiores no exercício de suas funções e 
não tenha receio de exercê-las, mesmo que do pon-
to de vista econômico possam parecer desfavoráveis 
para os negócios. Você pode perguntar, como assim, 
o DPO pode ser contrário às estratégias de negócio? 
Exatamente isso, no exercício de suas atribuições, 
que em primeiro lugar é garantir que os dados pes-
soais estejam protegidos, deverá buscar esse objetivo 
sem medo de represálias ou destituição.
 
 Claro que, na prática, o DPO precisa ter tato na 
hora de exercer sua função e ser capaz de buscar a 
melhor solução para a empresa, de modo que garanta 
a efetividade da lei, especialmente ao considerar as 
penalidades legais existentes, mas que traga meno-
res prejuízos à empresa. Sobre as penalidades legais, 
orientar os agentes de tratamento sobre o risco que 
podem estar correndo é uma de suas obrigações.
 Por fim, o DPO pode ser tanto uma pessoa na-
tural quanto jurídica e, muitas vezes, pode ser algum 
funcionário dentro da própria empresa. Na maioria 
dos casos será alguém do jurídico ou TI, que possua 
conhecimentos legais ou técnicos para tanto, além 
de conhecer as práticas da empresa, cultura, organi-
zação e estar presente no seu dia a dia.
 Porém, pode ser que não existam candidatos ca-
pazes de exercer a função, especialmente conside-
rando a necessidade de independência que o cargo 
exige, pois acabará ocorrendo um acúmulo de fun-
ções, que não é interessante. Portanto, essa é uma 
grande oportunidade para profissionais do Direito, 
que podem se especializar e prestar serviços pontu-
ais para uma ou diversas empresas como DPO.
 
 Quer saber mais sobre outras oportunidades na 
era digital? Não deixe de conferir nosso e-book so-
bre Carreiras Jurídicas - Novas Áreas de Atua-
ção.
https://www.juriscorrespondente.com.br/documento/conteudo/137/download
https://www.juriscorrespondente.com.br/documento/conteudo/137/download
 Da mesma maneira que a Agência Nacional de Tele-
comunicações (ANATEL) é responsável pelas companhias 
telefônicas, a Agência Nacional de Aviação Civil (ANAC) 
pelas empresas de aviação civil e a Agência Nacional de Saú-
de Suplementar (ANS) pelas operadoras de plano de saúde, 
a ANPD é o órgão da administração pública responsável 
por zelar, implementar e fiscalizar a aplicação da LGPD no 
Brasil. As suas funções estão, na maioria, concentradas no 
artigo 55-J na LGPD, dentre elas:
 
 • Solicitar o Relatório de Impacto à Proteção de Dados 
(RIPD);
 • Dispor sobre padrões técnicos mínimos de segurança 
que os agentes de tratamento devem observar;
 • Elaborar diretrizes sobre a Política Nacional de Proteção 
de Dados Pessoais e Privacidade;
 • Receber comunicação relativa a dados pessoais;
 • Fiscalizar o cumprimento da LGPD;
 • Estabelecer e aplicar sanções administrativas.
 O órgão máximo da ANPD será o Conselho Diretor, 
composto por 5 membros nomeados pelo Presidente da Re-
pública e aprovados pelo Senado Federal com mandato de 
4 anos. 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
 Além da boa-fé, que deve ser considerada como base para 
qualquer tipo de relação em nossa sociedade, na qual se es-
pera que todos os envolvidos cooperem de maneira mútua 
e leal, o artigo 6º enumera uma série de outros princípios 
que devem ser observados quando ocorrer o tratamento de 
dados pessoais:
Finalidade
 Este princípio diz respeito ao motivo do tratamento 
ser realizado. O titular deve saber no momento que 
fornecer seus dados o porquê de serem tratados, de 
modo que não poderão ser utilizados para fins diver-
sos aos informados.
 Por exemplo, quando um usuário responde uma 
pesquisa na internet, é informado que os seus dados 
serão utilizados para compreender o perfil de com-
pras, assim, ao menos que tenha autorizado, o site não 
poderá utilizar os dados coletados para enviar e-mails 
contendo propagandas. 
Adequação
 Para que ela seja cumprida, é necessário que exista 
uma relação lógica entre o tratamento do dado com a 
finalidade, de modo que esteja diretamente relaciona-
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art6
da com o objetivo do tratamento.
 
 Por exemplo, você contratou um plano de saúde, e 
na hora de preencher o seu cadastro foi informado que 
seus dados serão utilizados para verificar a existência 
de doenças pré-existentes e para criar o seu perfil de 
saúde, porém, além do peso, altura, histórico familiar, 
também solicitaram seu histórico escolar. Assim, cabe 
o questionamento, qual a necessidade de se requerer 
essa informação para criar o perfil de saúde? Aparente-
mente nenhuma, logo, o princípio da adequação não 
estaria sendo cumprido. 
Necessidade
 A necessidade significa buscar sempre o menor nú-
mero de informações possíveis para evitar que possí-
veis violações possam ocorrer. Pode ser compreendida 
com a seguinte pergunta: quais dados são realmente 
necessários para a atividade da empresa?
 
 Por exemplo, antes de fazer uma cirurgia, sabendo 
que existem religiões que não permitem transfusão 
de sangue, o hospital pergunta para o paciente qual é 
a sua religião. Pode parecer um questionamento sen-
sato, porém, se você lembrar, dados referentes à re-
ligião são sensíveis e possuem maior proteção, então, 
ao invés de fazer essa pergunta, pode simplesmente 
questionar se a pessoa aceita ou não receber transfu-
são de sangue. Desse modo, ao invés de possuir um 
dado sensível, o hospital agora possui um dado iden-
tificável.
Livre acesso
 O livre acesso garante, ao titular, a consulta - de 
forma simples e gratuita - sobre como e por quanto 
tempo os seus dados estão sendo tratados, bem como 
se não sofreram qualquer tipo de alteração não auto-
rizada. 
Qualidade dos dados
 A qualidade dos dados pessoais é a garantia de que 
todas as informações em posse dos agentes de trata-
mento são precisos, claros, relevantes e estão atualiza-
dos. O seu objetivo é garantir que nenhuma informa-
ção errônea possa prejudicar o titular dos dados. 
Transparência
 
A transparência é um princípio em evidência no atu-
al cenário nacional, especialmente na esfera pública 
com diversos portais de transparência, nos quais os 
cidadãos podem acompanhar, principalmente, como 
estão sendo gastos os valores públicos. 
Na LGPD, a transparência também é de suma impor-
tância para garantir que o titular, sempre que solicitar, 
seja informado precisamente como os seus dados estão 
sendo tratados e quem são os agentes de tratamento. 
Claro que, caso sejam informações que possam violar 
segredos do negócio, poderão ser negadas.
Segurança
 Talvez seja o princípio mais importante elencado 
pela LGPD, pois pormais que se tenha todas as infor-
mações sobre o tratamento e agentes de tratamento, o 
grande objetivo da lei é garantir segurança aos titula-
res de dados pessoais, então, devem ser utilizadas me-
didas (técnicas e administrativas), para que o risco de 
violações ocorrerem seja mitigado.so sejam informa-
ções que possam violar segredos do negócio, poderão 
ser negadas. 
 
 Dentre as violações elencadas pela lei, temos os aces-
sos não autorizados, bem como a destruição, perda, 
alteração, comunicação ou difusão dos dados pessoais 
por acidente ou ato ilícito. 
Para proteger essas informações, os agentes de trata-
mento devem sempre estar atentos à CID (confiden-
cialidade, integridade e disponibilidade):
 • Confidencialidade: o cuidado para que as infor-
mações não sejam acessadas por quem não possua au-
torização para tanto;
 • Integridade: assim como o princípio da qualida-
de é a garantia que os dados estão corretos de acordo 
com o titular;
 • Disponibilidade: pode ser compreendida como o 
princípio do livre acesso, ou seja, que o titular possa 
acessar todas as suas informações quando necessário.
Prevenção
 De maneira proativa, os agentes de tratamento de-
vem adotar medidas para prevenir que ocorram danos 
aos dados pessoais. Mais uma contribuição da segu-
rança da informação, especialmente no meio digital, 
é criar sistemas utilizando o conceito de Privacy by 
Design e Privacy by Default. 
 Privacy by Design é pensar de maneira proativa, 
de modo que qualquer projeto seja desenvolvido a 
fim de que a proteção de dados seja pensada em todos 
os momentos, desde a concepção até o produto final. 
Desse modo, ao invés de ter que solucionar o proble-
ma após ele ocorrer, já se pensa em quais riscos po-
dem surgir e quais soluções podem ser tomadas para 
sua mitigação.
 Privacy by Default é conceber um produto que, 
após seu lançamento ao público, possua como con-
figurações básicas a segurança, assim, independente-
mente de exigir uma ação do usuário, sua privacidade 
já está garantida. Além disso, garante que somente os 
dados essenciais serão mantidos e apenas durante o 
tempo necessário.
Não discriminação
 Na Era da Informação, os agentes de tratamento es-
tão em posse de uma quantidade imensa de dados, e 
quando não bem utilizados podem trazer prejuízos 
consideráveis para os titulares. Desse modo, nenhum 
tratamento de dado (seja de forma manual ou auto-
mática) pode ser efetuado com fins discriminatórios 
como, por exemplo, a variação de preço dependendo 
da localização do usuário, classe social ou etnia.
Responsabilização e prestação de contas
 Por fim, os agentes de tratamento devem compro-
var que observaram todo o disposto na legislação e 
tomaram medidas eficazes para que as normas fossem 
cumpridas. Além disso, não basta comprovar que as 
mesmas foram realizadas, mas devem demonstrar que 
essas medidas são realmente eficazes para evitar viola-
ções aos dados pessoais, que estão sobre sua posse. 
 Seguindo a ideia básica da LGPD, de garantir a prote-
ção de dados pessoais, o legislador elencou, no artigo 7º, as 
hipóteses em que poderão ser tratados, quais sejam:
 • Autorização do titular: uma vez que o próprio titular 
autorizar, os seus dados poderão ser tratados, porém, alguns 
cuidados devem ser observados:
 > A autorização deve ser escrita e, caso existam outras 
cláusulas no documento, deverá ser destacada;
 > Caso não seja possível ser feita por escrito, poderá ser 
de outra forma, mas desde que seja capaz de ser comprova-
do;
 > Deve ser clara, sem que existam dúvidas sobre o que 
está sendo autorizado;
 > No caso de crianças e adolescentes, deve ser dada por 
pelo menos um dos pais ou responsável;
 > Se os agentes de tratamento forem utilizar os dados 
para outro fim, que não o inicialmente autorizado, deverá 
ser exigido novo consentimento;
 > O consentimento poderá ser revogado a qualquer mo-
mento;
 > Caso o titular tenha tornado público seus dados, o 
consentimento será dispensado;
 > O ônus da prova do consentimento é do controlador.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art7
 • Para o cumprimento de obrigação legal ou regulatória: 
se existir alguma determinação que exija que o controlador 
efetue o tratamento de algum dado pessoal, o mesmo estará 
autorizado para tanto:
 > Um bom exemplo de obrigação legal é a exigência 
que as empresas possuem de guardar por 10 anos documen-
tos comprobatórios de recolhimento da previdência social. 
Nesse caso, mesmo que a empresa não queira arquivar esses 
documentos e que o funcionário exija a sua exclusão, por 
lei, ainda deverá ter que mantê-los.
 • Pela administração pública para execução de políticas 
públicas previstas em lei, regulamentos, contratos, convê-
nios ou outros instrumentos: a ideia é semelhante ao prin-
cípio da obrigação legal do controlador;
 
 • Para realização de estudo por órgãos oficiais de pes-
quisa e, sempre que possível, os dados devem ser anonimi-
zados;
 • Quando forem necessários para execução de contra-
to: mesmo não sendo uma obrigação legal, para que pos-
sam executar contratos, alguns dados são necessários, como 
ocorre no próprio Juris. Por exemplo, para que você receba 
as solicitações de diligência é preciso informar quais servi-
ços e cidade onde você atende. Sem essas informações, não 
será possível executar o contrato;
 
 • Para exercício regular de direito judicialmente, admi-
nistrativamente ou em arbitragem: nesse caso, o controla-
dor poderá manter alguns dados arquivados, se considerar 
como fundamentais para exercer o seu direito em proces-
sos. Como por exemplo, dados de qualificação processual 
(nome, endereço, CPF etc.);
 • Para a proteção da vida ou segurança física do titular 
ou terceiro: Essa hipótese prevê que, em situações nas quais 
ocorra risco à vida ou saúde, poderá ocorrer o tratamento 
de dados, como por exemplo em um desabamento de pré-
dio em que é disponibilizada a localização de aparelhos ce-
lulares para que as vítimas possam ser encontradas;
 • Para garantir a saúde, exclusivamente em procedi-
mento realizado por profissional da saúde ou autoridade sa-
nitária: um bom exemplo é em caso de uma cirurgia de 
emergência em que a vítima está desacordada. Dessa forma, 
o seu histórico hospitalar poderá ser acessado em busca de 
alguma informação importante;
 • Quando necessário para atender o interesse do con-
trolador ou terceiro: 
Nesse caso é importante:
 > Determinar qual é esse interesse;
 > Demonstrar que não é possível obtê-lo de outra ma-
neira, que não pelo tratamento; 
 > Verificar se existe equilíbrio entre esses interesses e o 
do titular.
 Por fim, para a proteção do crédito: instituições bancárias 
poderão, por exemplo, realizar a busca no banco de dados 
de devedores, a fim de obter informações sobre adimplên-
cia e inadimplência.
Tratamento de dados sensíveis
 Os dados sensíveis, por serem relacionados às in-
formações que possam causar discriminação, somente 
poderão ser tratados:
• Quando existir autorização do titular ou responsá-
vel;
• Para cumprimento de obrigação legal ou regulató-
ria;
• Para o tratamento compartilhado de dados necessá-
rios para a execução de políticas públicas previstas em 
lei ou regulamentos;
• Para realização de estudo por órgãos oficiais de pes-
quisa e, sempre que possível, os dados devem ser ano-
nimizados;
• Para exercício regular de direito judicialmente, ad-
ministrativamente ou em arbitragem;
• Para a proteção da vida ou segurança física do titular 
ou terceiro;
• Para garantir a saúde, exclusivamente em procedi-
mento realizado por profissional da saúde ou autori-
dade sanitária;
• Como garantia da prevenção à fraude e segurança 
do titular nos processos de identificação e autentica-
ção de cadastro em sistemas eletrônicos: por exemplo, 
os dados biométricos exigidos por caixa eletrônicos 
para transações bancárias.
Tratamento de dados sensíveis
 Para que o tratamento dos dados não seja por pe-
ríodo indefinido,a LGPD prevê que o seu fim se dará 
quando a finalidade for alcançada ou os dados deixa-
rem de ser necessários ou pertinentes; quando o prazo 
estipulado pelo controlador se encerrar; quando o ti-
tular requerer; ou por determinação da ANPD, quan-
do houver violação legal.
 Após o seu término, os dados deverão ser elimina-
dos, contudo, poderão ser armazenados para o cum-
primento de obrigação legal ou regulatória, por ór-
gão de pesquisa quando feitos para estudo, para serem 
transferidos para terceiros quando necessário ou para 
uso exclusivo do controlador, neste último caso, des-
de que anonimizados.
 Além dos princípios elencados pela LGPD, que devem ser 
observados pelos agentes de tratamento, o titular dos dados 
pessoais também possui uma série de direitos trazidos prin-
cipalmente no artigo 9º e 18, são eles:
 • Saber o porquê, como e por quanto tempo os seus da-
dos serão tratados;
 • Saber sobre a ocorrência de tratamento;
 • Identificação e informações de contato do controla-
dor, bem como de terceiros com que os seus dados foram 
compartilhados;
 • A responsabilização dos agentes de tratamento por suas 
ações;
 • Acessar os seus dados e obter a correção quando forem 
incompletos, inexatos ou estiverem desatualizados;
 • Que os dados desnecessários, excessivos ou em des-
conformidade com a lei sejam anonimizados, bloqueados 
ou eliminados;
 • Após solicitação, a portabilidade dos seus dados para 
outra empresa que forneça o mesmo serviço ou produto, 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
desde que isso não implique em violação de segredos co-
merciais ou industriais;
 • Eliminação dos dados pessoais em que o tratamento foi 
autorizado por consentimento e a revogação do mesmo;
Ser informado sobre a possibilidade de não fornecer o con-
sentimento e quais serão as consequências desse ato.
 Todos esses direitos serão exercidos mediante requisi-
ção expressa do titular ou representante legal, diretamente 
ao agente de tratamento e, caso não seja possível cumprir 
imediatamente o solicitado, o controlador deverá indicar as 
razões de fato ou de direito que impeçam. 
 No caso específico da confirmação da existência de tra-
tamento ou acesso aos dados pessoais, o agente de tratamen-
to terá o prazo de 15 dias para fornecer essas informações.
 Para que a LGPD possa ter maior efetividade, além de 
estabelecer todos os princípios, garantias, direitos e obriga-
ções dos titulares e agentes de tratamento, ficou estabeleci-
do no artigo 52 as penalidades por violação ao determinado 
na lei que, após ser garantida a ampla defesa, podem ser:
 • Advertência concedendo um prazo para sua regulariza-
ção;
 • Multa diária até que a situação seja regularizada, obser-
vado o limite abaixo;
 • Multa de até 2% do faturamento (excluindo tributos) da 
pessoa jurídica no último exercício, não podendo ultrapas-
sar 50 milhões de reais por infração:
 > Logo, caso existam duas infrações, a multa poderá 
ser de 100 milhões de reais.
 • O controlador ter que tornar pública a infração;
 • O bloqueio dos dados pessoais que sofreram infração até 
que seja regularizada;
 • A eliminação dos dados pessoais referentes à infração;
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art52
 • Suspensão do banco de dados pelo período de 6 meses, 
prorrogáveis por igual período, até que a infração seja re-
gularizada;
 • Suspensão da atividade de tratamento de dados pessoais 
pelo mesmo período;
 • Proibição parcial ou total das atividades relacionadas ao 
tratamento de dados
 > As sanções de suspensão e proibição de atividades so-
mente poderão ser aplicadas após o controlador ter a sido 
condenado em alguma das outras sanções para aquele mes-
mo ato. Assim, caso o controlador seja condenado a pagar 
uma multa por não informar todo o tratamento que é rea-
lizado com os dados pessoais e, posteriormente, ocorra um 
vazamento de dados, em regra, ele não poderá ter suas ati-
vidades suspensas, pois a penalidade inicial foi aplicada em 
um caso diferente.
 Como você pode observar, as penalidades vão desde 
uma simples advertência até a proibição das atividades. Nesse 
sentido, muitos podem pensar que a multa em quantia ele-
vada pode ser a pior sanção, porém, para uma empresa tec-
nológica, que depende do seu banco de dados e tratamento 
dessas informações, ter suas atividades suspensas por até 6 
meses pode significar a sua falência. Por isso, é tão impor-
tante estar atento à regulamentação legal para que os riscos 
sejam mitigados e os dados pessoais protegidos e utilizados 
somente para o seu devido fim.
 Por fim, vale lembrar que, de acordo com a peculiari-
dade do caso concreto, poderão existir atenuantes ou agra-
vantes como:
• Analisar qual a gravidade que a violação acarretou nos di-
reitos pessoais;
• A boa-fé do infrator;
• Se o infrator obteve ou tinha como objetivo obter alguma 
vantagem;
• A condição econômica do infrator;
• A reincidência;
• Qual foi o grau de dano gerado;
• Se houve cooperação do infrator;
• Se foram adotados mecanismos e procedimentos para mi-
nimizar o dano;
• Se existiam políticas de boas práticas e governança;
• Se medidas corretivas foram adotadas imediatamente;
• Se existe uma proporcionalidade entre a gravidade da le-
são e a intensidade da sanção.
 O objetivo destes tópicos é trazer maior equilíbrio na 
aplicação das penas, pois não seria justo aplicar a mesma 
penalidade para uma empresa que tomou todas as medidas 
para mitigar o risco e para outra que não se preocupou em 
momento algum em se adequar à LGPD. 
 Como vimos, caso exista qualquer violação quanto aos 
dispostos na LGPD, a ANPD será o órgão competente para 
enviar notificação para que as medidas necessárias para so-
lucionar o problema sejam tomadas. Mas quem será respon-
sável por essa reparação?
 
 Segundo a LGPD, se existir qualquer espécie de dano 
moral, individual ou coletivo decorrente de violação do pre-
visto na lei, e caso o fato tenha ocorrido em razão do trata-
mento de dados pessoais, o controlador ou operador serão 
obrigados a repará-lo.
 
 Assim, o operador responde solidariamente, ou seja, o 
titular ou a ANPD poderá exigir que qualquer um dos dois 
cumpra com a obrigação, por danos causados por descum-
primento da LGPD ou se agir contrariando as instruções 
do controlador.
 Se existir mais de um controlador, todos responderão de 
forma solidária pelos danos causados e pelos tratamentos de 
dados pessoais que vierem a ocorrer. Lembrando que, em 
ambos os casos, se somente um dos agentes de tratamento 
reparar integralmente o titular, ele poderá exigir dos demais 
a restituição do valor correspondente a cada um.
 Como sempre, existem algumas exceções à regra e os 
agentes de tratamento não serão responsabilizados se ficar 
comprovado que:
 • Não foram responsáveis pelo tratamento de dados pes-
soais que acarretou no dano;
 • Muito embora tenha ocorrido o dano e eles tenham rea-
lizado o tratamento, a LGPD foi integralmente cumprida; ou 
 • O dano se deu por culpa exclusiva do titular dos dados 
ou de terceiro.
 Vale lembrar que, por se tratar de uma relação de con-
sumo, o Código de Defesa do Consumidor, bem como 
outras legislações poderão ser aplicadas de acordo com cada 
situação.
Comunicação de incidentes
 Um ponto importante que vale ser destacado é que, 
no caso de qualquer incidente de segurança que tenha 
potencial para gerar risco ou dano aos dados pessoais, 
o controlador deverá enviar um comunicado para a 
ANPD e aos titulares referente à situação. A LGPD 
trouxe alguns exemplos de incidentes, quais sejam: 
acesso de pessoas não autorizadas, destruição, perda, 
alteração, comunicação acidental ou ilícita, bem como 
qualquer tratamento que seja inadequado ou ilícito. 
http://www.planalto.gov.br/ccivil_03/leis/l8078.htm
 Entretanto, a LGPD não estipulou um prazo má-
ximo para essa comunicação, mas aponta que deverá 
ser em prazo razoável,o qual será definido pela auto-
ridade nacional.
 
 Assim, o controlador deverá mencionar em sua 
comunicação:
 • Quais foram os dados pessoais afetados;
 • As informações sobre os titulares envolvidos;
 • Indicar quais medidas foram utilizadas para a pro-
teção dos dados pessoais;
 • Quais são os riscos do incidente;
 • Caso a comunicação não seja imediata, o porquê 
de sua demora;
 • Apontar quais medidas foram tomadas para rever-
ter ou mitigar os danos.
 Dependendo da gravidade do incidente, a ANPD, 
ainda, poderá determinar que o controlador divulgue 
o fato nos meios de comunicação.
 A LGPD possui potencial para alterar drasticamen-
te a relação em nossa sociedade. O papel dos profissio-
nais do Direito será de extrema importância para que 
a legislação seja cumprida, garantindo aos titulares o 
devido tratamento de seus dados e que as empresas se 
adequem, de forma a evitar penalidades legais. Além 
disso, os próprios escritórios de advocacia precisarão 
estar em conformidade com a lei.
 Como diversas empresas ainda não se adequaram à 
legislação e, mesmo as que já tomaram essa iniciativa 
precisarão de um Compliance constante. Dessa for-
ma, os advogados e advogadas podem se especializar 
nessa área como uma nova oportunidade de carreira. 
Inclusive, a função do DPO se encaixa perfeitamente 
para esses profissionais que querem trabalhar na Era 
do Direito 4.0
 Mesmo que sua atuação não seja diretamente na 
empresa, processos judiciais irão surgir e é preciso 
preparar-se para defender seus clientes da melhor 
maneira possível. 
Conclusão
Conecte-se conosco!
Dúvidas?
Acesse a nossa
 Central de Ajuda
J U R I S C O R R E S P O N D E N T E . C O M . B R
    
https://juriscorrespondente.zendesk.com/hc/pt-br
https://juriscorrespondente.zendesk.com/hc/pt-br
https://www.facebook.com/www.juriscorrespondente.com.br/
https://www.instagram.com/juris_correspondente/
https://www.linkedin.com/company/juriscorrespondente/
http://juriscorrespondente.com.br
https://twitter.com/JurisCorrespond