LGPD TCC

Prévia do material em texto

UNIVERSIDADE PAULISTA 
Curso de Direito 
 
 
 
JHONATHAN NASCIMENTO MIRANDA 
 
 
 
 
LEI GERAL DE PROTEÇÃO DE DADOS – LGPD 
Lei nº 13.709, de 14 de agosto de 2018. 
 
 
 
 
 
 
São Paulo 
2020 
2 
 
JHONATHAN NASCIMENTO MIRANDA 
 
 
 
 
LEI GERAL DE PROTEÇÃO DE DADOS – LGPD 
Lei nº 13.709, de 14 de agosto de 2018. 
 
Trabalho de Conclusão de Curso apresentado 
como requisito parcial para obtenção do título 
de Bacharel em Direito, pelo Curso de Direito 
da Universidade Paulista. 
Orientadora: Professora Mestre Rebeca Alves. 
 
 
 
 
 
 
 
São Paulo 
2020 
 
3 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
“Aqueles que abririam mão da liberdade essencial para comprar um pouco de segurança 
temporária, não merecem nem liberdade, nem segurança.” 
Benjamin Franklin 
4 
 
AGRADECIMENTOS 
 
 
Inicialmente agradeço aos meus pais, Marcelo Rodrigues Miranda e Rosiléia de Fátima 
do Nascimento Miranda, que sempre me apoiaram em todas as decisões, e levo eternamente 
como maiores exemplos na minha vida. 
Agradeço também a minha noiva, Ana Paula Alves Mendes, por todo incentivo e 
encorajamento, e por ser minha luz quando eu mais precisei. 
Finalmente, agradeço a minha Professora Orientadora Rebeca Alves, que aceitou o 
desafio de me instruir na elaboração desse trabalho que tenho orgulho. 
5 
 
RESUMO 
 
 
O presente trabalho tem como intuito versar sobre os desdobramentos da última década 
que resultou na gênese da Lei Geral de Proteção de Dados – LGPD, explorar os direitos e 
fundamentos que essa nova lei propôs ao ordenamento jurídico, bem com a criação das figuras 
do titular de dados pessoais e dos agentes de tratamento, e ao final, discorrer brevemente a 
influência que o Código de Defesa do Consumidor exerceu sobre as normas da LGPD, e 
também os impactos que a nova lei terá nos direitos do consumidor. 
Palavras chave: Lei Geral de Proteção de Dados; Direito do Consumidor; Dados Pessoais; 
Internet; Legislação; e Cambridge Analytica. 
6 
 
ABSTRACT 
 
 
The present work aims to discuss the developments of the last decade that resulted in 
the genesis of the General Data Protection Law - LGPD, explore the rights and fundamentals 
that this new law proposed to the legal system, as well as the creation of the figures of personal 
data holder and treatment agents, and at the end, briefly discuss the influence that the 
Consumer Protection Code had on LGPD rules, and also the impacts that the new law will 
have on consumer rights. 
Keywords: General Data Protection Law; Consumer Law; Personal data; Internet; Legislation; 
and Cambridge Analytica. 
7 
 
SUMÁRIO 
 
 
1. INTRODUÇÃO ...................................................................................................................... 9 
2. ORIGEM ................................................................................................................................. 10 
2.1 MARCO CIVIL DA INTERNET ...................................................................................... 10 
2.2 REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS ................................. 11 
2.3 CASO CAMBRIDGE ANALYTICA .................................................................................. 11 
3. DA LEI GERAL DE PROTEÇÃO DE DADOS ................................................................ 13 
3.1 DOS FUNDAMENTOS E PRINCÍPIOS .......................................................................... 13 
3.2 DOS DADOS ...................................................................................................................... 15 
3.3 DA ABRANGÊNCIA ........................................................................................................ 16 
4. DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS ................................... 18 
5. DO TRATAMENTO DOS DADOS .................................................................................. 19 
5.1 DO CONSENTIMENTO ................................................................................................... 20 
5.2 DOS DADOS MANIFESTAMENTE PÚBLICOS .......................................................... 21 
5.3 DO TRATAMENTO DE DADOS SENSÍVEIS ............................................................... 21 
5.4 DO TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLECENTES . 23 
5.5 DO TERMINO DO TRATAMENTO DE DADOS ......................................................... 23 
6. DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO .................. 25 
7. DA TRANSFERENCIA ITNERNACIONAL DE DADOS ............................................ 27 
8. DOS DIREITOS DOS TÍTULARES .................................................................................. 29 
8 
 
8.1 DA CONFIRMAÇÃO DA EXISTÊNCIA DE TRATAMENTO ................................... 30 
8.2 DA ANONIMIZAÇÃO, BLOQUEIO OU ELIMINAÇÃO ........................................... 31 
8.3 DA INFORMAÇÃO SOBRE A POSSIBILIDADE DE NÃO CONCESSÃO DO 
CONSENTIMENTO ................................................................................................................ 32 
8.4 DA REVOGAÇÃO DO CONSENTIMENTO ................................................................ 32 
9. DAS BOAS PRÁTICAS E DA GOVERNANÇA ............................................................. 33 
10. DA RESPONSABILIDADE ............................................................................................... 35 
10.1 DO RESSARCIMENTO DE DANOS ............................................................................ 36 
11. DAS SANÇÕES ADMINISTRATIVAS ......................................................................... 37 
12. DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS............................... 39 
12.1 DA COMPOSIÇÃO E COMPETENCIAS ..................................................................... 39 
13. LGPD E OS DIREITOS DO CONSUMIDOR ............................................................... 45 
14. CONCLUSÃO ...................................................................................................................... 48 
15. REFERÊNCIAS .................................................................................................................... 49 
9 
 
1. INTRODUÇÃO 
 
No mundo globalizado, estamos vivenciando o início de temáticas que desafiam cada 
vez mais a ordenação jurídica, trazendo à luz preocupações que jamais foram imaginadas, e 
um enorme desafio de andar passo a passo junto a uma sociedade que evolui em velocidade 
exponencial. 
Informação é, por definição, o resultado de organização, manipulação e processamento 
de dados, cujo objetivo é o aprimoramento no conhecimento de quem a recebe. A habilidade 
de receber e aprender com uma nova informação foi o que auxiliou a evolução humana, e não 
seria de forma diferente nos tempos atuais. 
Com o notório caso da Cambridge Analytica, ficou evidente a magnitude das informações 
e dados pessoais na contemporaneidade, e em vista disso, tornou-se indispensável a 
estruturação da Lei Geral de Proteção de Dados – LGPD para escudar as informações pessoais 
que por ventura venhamos a compartilhar no uso da internet. Tal Lei surge, em um momento 
de grande necessidade, para balizar e defender os interesses dos usuários de plataformas 
digitais, que continuamente obtém informações pessoais, ainda que com a devida permissão 
dos usuários, mas utilizam para fins que colidem com o interesse social. 
O presente estudo tem como objetivo apresentar um panorama da atual situação da 
LGPD e da utilização dos dados pessoais por empresas, e apontar as repercussões que a Lei 
trará ao direito dos consumidores. 
 
10 
 
2. ORIGEM 
 
A Lei Geral de Proteção de Dados – LGPD foi aprovada em julho de 2018 no plenário do 
Senado Federal, e sancionada em agosto de 2018 pelo então presidente da república Michel 
Temer, seguindo a onda global de proteção de dados pessoais. No entanto,a LGPD é o 
resultado de diversos debates que tramitavam paralelamente sobre a privacidade tornar-se 
um direito fundamental, sujeito à proteção pelo estado jurisdicional, e que conta com outros 
regulamentos similares internacionais como o Regulamento Geral sobre a Proteção de Dados 
– GDPR da União Europeia e o California Consumer Privacy Act – CCPA dos Estados Unidos da 
América. Aqui no Brasil temos o Marco Civil da Internet como parâmetro para LGPD. 
 
2.1 MARCO CIVIL DA INTERNET 
A Lei n° 12.965/2014, comumente chamada de Marco Civil da Internet – MCI, 
regulamenta o uso da internet no Brasil e trouxe de forma concisa ao ordenamento jurídico os 
princípios como a neutralidade de redes, privacidade e regras para proteção de dados, tal 
como originou a temática de privacidade de dados no sistema jurídico. 
Enquanto projeto lei surgiu ainda em 2009 como alternativa do governo diante da 
resistência social ao Projeto de Lei de Cibercrimes, conhecido como Lei Azeredo, que recebeu 
duras críticas, sendo visto por muitos como uma ditadura virtual. O Marco Civil da Internet 
foi então desenvolvido colaborativamente em debate aberto na internet, com intuito de torna-
la mais democrática, e foi aprovado e sancionado em 2014, elencando os direitos e garantias 
dos usuários, definindo o acesso à internet como essencial ao exercício da cidadania, e 
assegurando a inviolabilidade da intimidade e da vida privada na internet. 
Apesar de vanguardista, a falta de parâmetros fez com que a lei fosse branda ao tratar 
da proteção de dados dos usuários na internet, direcionando suas disposições 
primordialmente a provedores de conexão de internet e fornecedores de aplicações em rede. 
A LGPD, em seu texto, apresenta breves alterações no texto da lei do Marco Civil da 
Internet, com fim de alinhar os direitos já previstos com as novas disposições. 
11 
 
 
2.2 REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS 
A União Europeia disciplina a proteção de dados pessoais desde 1995, com a Diretoria 
95/45/EC, que veio a ser revogado pelo General Data Protection Regulation – GDPR, traduzido 
como “Regulamento Geral sobre a Proteção de Dados”, em 2018, e que trata sobre a 
privacidade e defesa das informações pessoais, com objetivo de dar aos cidadãos e residentes 
europeus o direito ao esquecimento perante os buscadores. 
É evidente que a LGPD foi inspirada no regulamento europeu, visto que, apesar do 
GDPR tratar da defesa dos dados de seus cidadãos, isso forçou grandes empresas a se 
adaptarem ao novo regulamento, e abriu precedentes e discussões em torno do tema, 
inspirando outros países como o Brasil a se interessarem por legislação semelhante, causando 
um forte impacto mundialmente. 
 
2.3 CASO CAMBRIDGE ANALYTICA 
Outro ponto importante para a criação da LGPD foi o escândalo causado pela empresa 
inglesa Cambridge Analytica, que em 2014 coletou as informações pessoais de usuários da 
plataforma digital Facebook de forma indevida e utilizou para fins diversos, como a assessoria 
da campanha do político americano Ted Cruz em 2015, assessoria da campanha presidencial 
americana de Donald Trump em 2016, bem como apoio ao Brexit, referendo sobre a 
permanência do Reino Unido na União Europeia em 2016. 
Os dados eram obtidos pela Cambridge Analytica através do aplicativo thisisyourdigitallife, 
onde centenas de milhares de usuários se dispuseram a participar de uma pesquisa de cunho 
acadêmico. Porém, o ponto alto do processo foi a constatação de que a plataforma Facebook 
permitiu que o aplicativo coletasse não só os dados das pessoas que concordaram em 
participar, mas também as informações de todos os demais terceiros que tinham alguma 
conexão com os participantes da pesquisa, permitindo assim o acesso à dados de milhões de 
usuários que não tinham sequer consciência do fato. Com os dados, a Cambridge Analytica pôde 
mapear os traços de personalidade e o perfil de voto de um terço dos cidadãos americanos que 
tinha conta ativa na plataforma, e assim direcionar conteúdo midiático personalizado com 
intuito de manipular a tomada de decisão na eleição. 
12 
 
O Facebook sofreu com severas multas decorrentes do uso irregular dos dados pessoais 
de seus usuários, sendo escrutinado por diversos órgãos nos Estados Unidos da América, 
Europa e até mesmo no Brasil, cominando na revisão das práticas negociais da plataforma. 
Como podemos notar no gráfico abaixo, houve um severo aumento na relevância do 
tema de proteção de dados, sendo proporcional à inclusão da tecnologia da informação na 
sociedade no decorrer das últimas cinco décadas: 
Figura 01 – Evolução da importância da proteção de dados 1 
 
Fonte: IAPP.ORG (2014) 
 
1 Disponível em: (https://iapp.org/news/a/the-dragon-in-the-dark/). Acessado em outubro de 2020. 
13 
 
3. DA LEI GERAL DE PROTEÇÃO DE DADOS 
 
A Lei nº 13.709, de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados – 
LGPD dispõe em seu texto sobre o tratamento de dados pessoais, inclusive nos meios digitais, 
por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os 
direitos fundamentais e de privacidade e o livre desenvolvimento da personalidade da pessoa 
natural. 
Com esse caput, percebemos nascer um novo tipo de garantia que até então não havia 
sido amplamente assegurada, o direito de defesa que o usuário possui sobre os seus próprios 
dados pessoais quando utilizar de plataformas digitais, sejam elas disponibilizadas por 
empresas privadas ou públicas. 
O disposto na LGPD aplica-se para qualquer operação de tratamento de dados realizada 
por pessoa natural ou jurídica, independente do meio, do país de sua sede ou do país onde 
estejam localizados os dados, desde que o tratamento ou a coleta dos dados seja realizado em 
território nacional. 
 
3.1 DOS FUNDAMENTOS E PRINCÍPIOS 
Como pilares, a LGPD adotou forma semelhante ao regulamento europeu, apesar de 
possuir uma configuração mais concisa, sendo aplicado em qualquer operação de tratamento 
de dados realizado por pessoa natural ou jurídica, independente do meio, conforme os 
fundamentos dispostos no Art. 2: 
“I - o respeito à privacidade; 
II - a autodeterminação informativa; 
III - a liberdade de expressão, de informação, de 
comunicação e de opinião; 
IV - a inviolabilidade da intimidade, da honra e da 
imagem; 
V - o desenvolvimento econômico e tecnológico e a 
inovação; 
14 
 
VI - a livre iniciativa, a livre concorrência e a defesa do 
consumidor; e 
VII - os direitos humanos, o livre desenvolvimento da 
personalidade, a dignidade e o exercício da cidadania 
pelas pessoas naturais.” 
(LGPD, BRASIL, 2018) 
 
Os princípios a serem observados quanto ao tratamento de dados pessoais estão 
elencados no Art. 6º, definidos como: 
I - Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos 
e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com 
essas finalidades; 
II - Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, 
de acordo com o contexto do tratamento; 
III - Necessidade: limitação do tratamento ao mínimo necessário para a realização de 
suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em 
relação às finalidades do tratamento de dados; 
IV - Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e 
a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; 
V - Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e 
atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de 
seu tratamento; 
VI - Transparência: garantia, aos titulares, de informações claras, precisas e facilmente 
acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados 
os segredos comercial e industrial; 
15VII - Segurança: utilização de medidas técnicas e administrativas aptas a proteger os 
dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, 
perda, alteração, comunicação ou difusão; 
VIII - Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do 
tratamento de dados pessoais; 
IX - Não discriminação: impossibilidade de realização do tratamento para fins 
discriminatórios ilícitos ou abusivos; 
X - Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de 
medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de 
proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 
 
3.2 DOS DADOS 
Como definição, a LGPD doutrina dados pessoais como informação relacionada a pessoa 
natural identificada ou identificável, abrangendo o conceito como qualquer informação que possa 
identificar um indivíduo ainda quando indiretamente. Portanto, não podemos considerar 
como dados pessoais apenas informações usuais tais quais nomes, prenomes, endereços e 
números de cadastros de pessoas físicas, mas inclusos também informações de endereço de IP 
– Internet Protocol, que identificam a maquina ou aparelho vinculado à pessoa natural, 
características físicas, entre outras. 
O Regulamento Geral sobre a Proteção de Dados – GDPR define que uma pessoa natural 
é identificável quando “possa ser identificada, direta ou indiretamente, em especial por 
referência a um identificador, como por exemplo um nome, um número de identificação, 
dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos 
da identidade física, fisiológica, genérica, mental, econômica, cultural ou social dessa pessoa 
singular”. 
Dentro da categoria de dados pessoais, em seu Art. 5º, II, a LGPD estipulou dados 
sensíveis como informações de “origem racial ou étnica, convicção religiosa, opinião política, filiação 
a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida 
sexual, dado genético ou biométrico”. Por serem dados que geram riscos significativos para os 
16 
 
direitos e liberdades fundamentais, e relativos ao contexto de sua utilização, passaram a ser 
submetidos a um regime especial para tratamento. 
Ademais, a norma define também dados anonimizados como “dado relativo a titular que 
não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião 
de seu tratamento”. Ainda seguindo a definição da norma, a anonimização é a “utilização de meios 
técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a 
possibilidade de associação, direta ou indireta, a um indivíduo”. 
Ainda assim, a LGPD prevê em seu Art. 13 o conceito de pseudonimização dos dados na 
realização de estudos em saúde pública, onde os órgãos de pesquisas podem ter acesso a bases 
de dados pessoais com intuito exclusivo de estudos e pesquisas em ambientes controlados e 
seguros, cuja divulgação de resultados não poderá, em hipótese alguma, revelar informações 
do titular. 
 
3.3 DA ABRANGÊNCIA 
Conforme estabelecido no Art. 3º, a LGPD “aplica-se a qualquer operação de tratamento 
realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do 
meio, do país de sua sede ou do país onde estejam localizados os dados”, e, portanto, análogo ao GRPD, 
a lei não se aplica apenas a brasileiros, mas todos aqueles que estão em solo nacional. 
Não obstante, ato contínuo à abrangência, a Lei apresenta suas exceções, no Art. 4º: 
Art. 4º Esta Lei não se aplica ao tratamento de dados 
pessoais: 
I - realizado por pessoa natural para fins exclusivamente 
particulares e não econômicos; 
II - realizado para fins exclusivamente: 
va) jornalístico e artísticos; ou 
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 
desta Lei; 
17 
 
III - realizado para fins exclusivos de: 
a) segurança pública; 
b) defesa nacional; 
c) segurança do Estado; ou 
d) atividades de investigação e repressão de infrações 
penais; ou 
IV - provenientes de fora do território nacional e que não 
sejam objeto de comunicação, uso compartilhado de dados 
com agentes de tratamento brasileiros ou objeto de 
transferência internacional de dados com outro país que 
não o de proveniência, desde que o país de proveniência 
proporcione grau de proteção de dados pessoais adequado 
ao previsto nesta Lei. 
O tratamento dos dados previstos no supracitado inciso III deverá ser regido por 
legislação específica, sendo observado o interesse público, o devido processo legal, os 
princípios gerais da LGPD, sendo vedado o tratamento por pessoa de direito privado, salvo 
em procedimentos tutelados por pessoa jurídica de direito público. As exceções deixam de ser 
aplicáveis em caso de mudança da finalidade original. 
 
18 
 
4. DOS AGENTE DE TRATAMENTO DE DADOS PESSOAIS 
 
Os dados serão manipulados pelos agentes de tratamento, sendo eles o controlador e o 
operado, que deverão manter registro das operações de tratamento de dados pessoais que 
realizarem especialmente quando baseado no legítimo interesse, que veremos mais para 
frente. 
O operador, sendo pessoa natural ou jurídica, de direito público ou privado, deverá 
realizar o tratamento segundo as informações fornecidas pelo controlador, que verificará a 
observância das próprias instruções e das normas. 
Por sua vez, o controlador, pessoa natural ou jurídica, de direito público ou privado, a 
quem compete as decisões referente ao tratamento de dados, deverá indicar encarregado pelo 
tratamento de dados pessoais, que ficara responsável por: 
I - Aceitar reclamações e comunicações dos titulares, 
prestar esclarecimentos e adotar providências; 
II - Receber comunicações da autoridade nacional e adotar 
providências; 
III - Orientar os funcionários e os contratados da entidade 
a respeito das práticas a serem tomadas em relação à 
proteção de dados pessoais; e 
IV - Executar as demais atribuições determinadas pelo 
controlador ou estabelecidas em normas complementares. 
 
19 
 
5. DO TRATAMENTO DOS DADOS 
 
A LGPD apresenta o rol de 10 hipóteses permissivas para tratamento de dados pessoais 
em seu Art. 7º: 
I - Mediante o fornecimento de consentimento pelo titular; 
II - Para o cumprimento de obrigação legal ou regulatória 
pelo controlador; 
III - Pela administração pública, para o tratamento e uso 
compartilhado de dados necessários à execução de 
políticas públicas previstas em leis e regulamentos ou 
respaldadas em contratos, convênios ou instrumentos 
congêneres, observadas as disposições do Capítulo IV 
desta Lei; 
IV - Para a realização de estudos por órgão de pesquisa, 
garantida, sempre que possível, a anonimização dos dados 
pessoais; 
V - Quando necessário para a execução de contrato ou de 
procedimentos preliminares relacionados a contrato do 
qual seja parte o titular, a pedido do titular dos dados; 
VI - Para o exercício regular de direitos em processo 
judicial, administrativo ou arbitral, esse último nos termos 
da Lei nº 9.307, de 23 de setembro de 1996 (Lei de 
Arbitragem); 
VII - Para a proteção da vida ou da incolumidade física do 
titular ou de terceiros; 
VIII - Para a tutela da saúde, exclusivamente, em 
procedimento realizado por profissionais de saúde, 
serviços de saúde ou autoridade sanitária; 
20 
 
Se observarmos os itens IX e X do supracitado artigo, veremos que são exceções trazidas 
pela LGPD: 
IX - Quando necessário para atender aos interesses 
legítimos do controlador ou de terceiros, exceto no caso de 
prevalecerem direitos e liberdades fundamentais do titular 
que exijam a proteção dos dados pessoais; ou 
O conceito de “interesse legitimo” apresentado serve como autorização para 
determinadas situações nas quais o consentimento do usuário não precisa ser emitido, pois deacordo com a Lei, o tratamento deve contemplas sua legitimas expectativas. Por exemplo, 
podemos imaginar essa aplicabilidade para coibição de fraude, onde a instituição bancária 
poderia utilizar os dados bancários do cliente, como seu perfil de gastos, sem o devido 
consentimento expresso do titular, afim de impedir o delito. 
Para tanto, é ônus do responsável demonstrar que está utilizando da hipótese de 
legítimo interesse de modo adequado e ponderado entre seus interesses e os direitos do titular. 
X - Para a proteção do crédito, inclusive quanto ao disposto 
na legislação pertinente. 
A última hipótese trata da coleta automática de informações com a finalidade de proteção de 
crédito, para o cadastro positivo, onde empresas privadas disponibilizam informações dos 
consumidores aos fornecedores de crédito. 
 
5.1 DO CONSENTIMENTO 
O consentimento do titular dos dados deverá ser fornecido por escrito, constando de 
cláusula destacada, ou por outro meio que demonstre a manifestação de vontade do titular, 
referindo-se as finalidades determinadas, cabendo ao controlador o ônus da prova de que o 
consentimento foi obtido em conformidade com a disposição legal. 
As autorizações genéricas para o tratamento de dados, bem como hipóteses onde as 
informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido 
21 
 
apresentadas previamente com transparência, de forma clara e inequívoca serão consideradas 
nulas, sendo explicitamente vedado o tratamento mediante vício de consentimento. 
Havendo mudanças da finalidade para o tratamento de dados não compatíveis com o 
consentimento original, o controlador fica obrigado a informar previamente o titular sobre 
alterações de finalidade, podendo o titular revogar o consentimento, caso discorde das 
alterações. 
 
5.2 DOS DADOS MANIFESTAMENTE PÚBLICOS 
Também apresentado como exceção, é dispensado a exigência do consentimento para os 
dados tornados manifestamente públicos, sendo resguardado os direitos do titular e os 
princípios da LGPD. 
Podemos entender como dados manifestamente públicos como escrituras de imóveis, 
sociedade de empresa, ou dados acerca das atividades de órgãos públicos. 
Entretanto, a eventual dispensa da exigência do consentimento não desonera os agentes 
de tratamento das demais obrigações previstas na Lei, devendo levar em consideração a 
finalidade, boa-fé e o interesse público que justificam a sua disponibilização. 
 
5.3 DO TRATAMENTO DE DADOS SENSÍVEIS 
Conforme previamente elucidado, os dados pessoais sensíveis possuem disposições 
mais rígidas, sendo permitido o tratamento na hipótese do titular ou seu responsável legal 
consentir, de forma específica e destacada para finalidades específicas. 
Apesar disso, a LGPD apresenta também as exceções onde é permitido o tratamento de 
dados sensíveis sem o consentimento, conforme Art. 11, II: 
a) cumprimento de obrigação legal ou regulatória pelo 
controlador; 
22 
 
b) tratamento compartilhado de dados necessários à 
execução, pela administração pública, de políticas públicas 
previstas em leis ou regulamentos; 
c) realização de estudos por órgão de pesquisa, garantida, 
sempre que possível, a anonimização dos dados pessoais 
sensíveis; 
d) exercício regular de direitos, inclusive em contrato e em 
processo judicial, administrativo e arbitral, este último nos 
termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de 
Arbitragem); 
e) proteção da vida ou da incolumidade física do titular ou 
de terceiros; 
f) tutela da saúde, exclusivamente, em procedimento 
realizado por profissionais de saúde, serviços de saúde ou 
autoridade sanitária; ou 
g) garantia da prevenção à fraude e à segurança do titular, 
nos processos de identificação e autenticação de cadastro 
em sistemas eletrônicos, resguardados os direitos 
mencionados no art. 9º desta Lei e exceto no caso de 
prevalecerem direitos e liberdades fundamentais do titular 
que exijam a proteção dos dados pessoais. 
O compartilhamento de dados pessoais sensíveis referentes à saúde só pode ocorrer 
quando da prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, 
incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses do titular, e 
para permitir a portabilidade de dados quando solicitado pelo próprio titular, bem como nas 
transações financeiras e administrativas resultantes do uso e da prestação de serviços de 
saúde. 
 
23 
 
5.4 DO TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E DE 
ADOLECENTES 
Os conceitos para tratamento de dados pessoais de crianças e adolescentes seguem os 
mesmos preceitos abordados nos casos anteriores, apresentando algumas peculiaridades 
quando ao consentimento, que devera ser dado por pelo menos um dos pais ou pelo 
responsável legal. 
Ainda, as informações dos dados deverão ser fornecidas de forma simples, clara e 
acessível, considerando as características físicas e intelectuais do usuário, com uso de recurso 
audiovisual quando adequado, e de forma a proporcionar a informação necessária não 
somente aos pais ou responsável legal, mas também de forma adequada ao entendimento da 
criança. 
Fica vedado o condicionamento do fornecimento de dados de crianças e adolescentes 
titulares para utilização de jogos, aplicações de internet ou de outras atividades. 
 
5.5 DO TERMINO DO TRATAMENTO DE DADOS 
São as hipóteses de termino do tratamento de dados pessoais, segundo art. 15: 
I - Verificação de que a finalidade foi alcançada ou de que 
os dados deixaram de ser necessários ou pertinentes ao 
alcance da finalidade específica almejada; 
II - Fim do período de tratamento; 
III - Comunicação do titular, inclusive no exercício de seu 
direito de revogação do consentimento conforme disposto 
no § 5º do art. 8º desta Lei, resguardado o interesse público; 
ou 
IV - Determinação da autoridade nacional, quando houver 
violação ao disposto nesta Lei. 
24 
 
Os dados deverão ser eliminados após o termino de tratamento, no âmbito e nos limites 
técnicos das atividades, sendo sua conservação autorizada somente para as seguintes 
finalidades elencadas no Art. 16: 
I - Cumprimento de obrigação legal ou regulatória pelo 
controlador; 
II - Estudo por órgão de pesquisa, garantida, sempre que 
possível, a anonimização dos dados pessoais; 
III - Transferência a terceiro, desde que respeitados os 
requisitos de tratamento de dados dispostos nesta Lei; ou 
IV - Uso exclusivo do controlador, vedado seu acesso por 
terceiro, e desde que anonimizados os dados. 
 
 
25 
 
6. DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO 
 
Por se tratar de forma especial de tratamento de dados, merece destaque para 
abordagem, visto que apresenta regras diferentes, como veremos. 
As pessoas jurídicas de direito público da qual este capítulo aborda, estão elencados no 
parágrafo único do Art. 1º da Lei de Acesso à Informação – Lei nº 12.527, de 18 de novembro 
de 2011, conforme segue: 
I - Os órgãos públicos integrantes da administração direta 
dos Poderes Executivo, Legislativo, incluindo as Cortes de 
Contas, e Judiciário e do Ministério Público; 
 
II - As autarquias, as fundações públicas, as empresas 
públicas, as sociedades de economia mista e demais 
entidades controladas direta ou indiretamente pela União, 
Estados, Distrito Federal e Municípios. 
Ademais, terão o mesmo tratamento dispensados aos órgão e entidades do poder 
público as empresas públicas e as sociedades de economia mista, quando estiverem 
operacionalizando políticas públicas e no âmbito da execução delas. 
O Art. 23 da LGPD elucida que o tratamento de dados pessoais pelo poder público 
deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse 
público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do 
serviço público, então atrelados às condições de que: 
I - Sejam informadasas hipóteses em que, no exercício de 
suas competências, realizam o tratamento de dados 
pessoais, fornecendo informações claras e atualizadas 
sobre a previsão legal, a finalidade, os procedimentos e as 
práticas utilizadas para a execução dessas atividades, em 
26 
 
veículos de fácil acesso, preferencialmente em seus sítios 
eletrônicos; 
II - (VETADO); e 
III - seja indicado um encarregado quando realizarem 
operações de tratamento de dados pessoais. 
O uso compartilhado de dados pessoais pelo poder público deve atender a finalidade 
específicas de execução de políticas públicas, respeitando os princípios de proteção elencados 
pela LGPD. 
Via de regra, é vedado ao poder público transferir os dados pessoais que possuem acesso 
a entidades privadas, sendo exceção: 
I - em casos de execução descentralizada de atividade 
pública que exija a transferência, exclusivamente para esse 
fim específico e determinado, observado o disposto na Lei 
nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à 
Informação) ; 
II - (VETADO); 
III - nos casos em que os dados forem acessíveis 
publicamente, observadas as disposições desta Lei. 
IV - quando houver previsão legal ou a transferência for 
respaldada em contratos, convênios ou instrumentos 
congêneres; ou 
V - na hipótese de a transferência dos dados objetivar 
exclusivamente a prevenção de fraudes e irregularidades, 
ou proteger e resguardar a segurança e a integridade do 
titular dos dados, desde que vedado o tratamento para 
outras finalidades. 
 
 
27 
 
7. DA TRANSFERÊNCIA INTERNACIONAL DE DADOS 
 
Vimos anteriormente que a GDPR teve grande importância na gênese da LPGD, sendo 
também o catalisador da criação de legislações em diversos países dado seu impacto mundial 
após apresentar uma série de regras para que as transferências internacionais possam ser 
consideradas adequadas. 
É de se imaginar que não seria diferente com a LGPD, que em seu Art. 33 apresenta as 9 
condições onde é permitido a transferência internacional de dados pessoais, sendo elas: 
I - Para países ou organismos internacionais que 
proporcionem grau de proteção de dados pessoais 
adequado ao previsto nesta Lei; 
II - Quando o controlador oferecer e comprovar garantias 
de cumprimento dos princípios, dos direitos do titular e do 
regime de proteção de dados previstos nesta Lei, na forma 
de: 
a) cláusulas contratuais específicas para determinada 
transferência; 
b) cláusulas-padrão contratuais; 
c) normas corporativas globais; 
d) selos, certificados e códigos de conduta 
regularmente emitidos; 
III - quando a transferência for necessária para a 
cooperação jurídica internacional entre órgãos públicos de 
inteligência, de investigação e de persecução, de acordo 
com os instrumentos de direito internacional; 
28 
 
IV - Quando a transferência for necessária para a proteção 
da vida ou da incolumidade física do titular ou de 
terceiros; 
V - Quando a autoridade nacional autorizar a 
transferência; 
VI - Quando a transferência resultar em compromisso 
assumido em acordo de cooperação internacional; 
VII - quando a transferência for necessária para a execução 
de política pública ou atribuição legal do serviço público, 
sendo dada publicidade nos termos do inciso I do caput do 
art. 23 desta Lei; 
VIII - quando o titular tiver fornecido o seu consentimento 
específico e em destaque para a transferência, com 
informação prévia sobre o caráter internacional da 
operação, distinguindo claramente esta de outras 
finalidades; ou 
IX - Quando necessário para atender as hipóteses previstas 
nos incisos II, V e VI do art. 7º desta Lei. 
A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de 
cláusulas contratuais específicas para uma determinada transferência será realizada pela 
autoridade nacional, sendo considerados os requisitos, as condições e as garantias mínimas 
para a transferência que observem os direitos, as garantias e os princípios da presente Lei. 
 
 
29 
 
8. DOS DIREITOS DOS TÍTULARES 
 
O Capítulo III, DOS DIREITOS DO TITULAR, inicia-se assegurando a toda pessoa 
natural a titularidade de seus dados pessoais e garantindo os direitos fundamentais de 
liberdade, intimidade e privacidade, sendo estritamente vedado o uso das informações em seu 
prejuízo. E para tanto, subsequentemente no Art. 18, apresenta o rol de direitos dos titulares: 
I - Confirmação da existência de tratamento; 
II - Acesso aos dados; 
III - correção de dados incompletos, inexatos ou 
desatualizados; 
IV - Anonimização, bloqueio ou eliminação de dados 
desnecessários, excessivos ou tratados em 
desconformidade com o disposto nesta Lei; 
V - Portabilidade dos dados a outro fornecedor de serviço 
ou produto, mediante requisição expressa, de acordo com 
a regulamentação da autoridade nacional, observados os 
segredos comercial e industrial; 
VI - Eliminação dos dados pessoais tratados com o 
consentimento do titular, exceto nas hipóteses previstas no 
art. 16 desta Lei; 
VII - Informação das entidades públicas e privadas com as 
quais o controlador realizou uso compartilhado de dados; 
VIII - Informação sobre a possibilidade de não fornecer 
consentimento e sobre as consequências da negativa; 
IX - Revogação do consentimento, nos termos do § 5º do 
art. 8º desta Lei. 
 
30 
 
Ademais, fica garantido o direito do titular de peticionar em relação aos seus dados 
contra o controlador perante autoridade nacional, bem como perante organismos de defesa do 
consumidor. A defesa dos interesses e direitos dos titulares poderá ainda ser exercida em juízo 
individual ou coletivamente. 
 
8.1 DA CONFIRMAÇÃO DA EXISTÊNCIA DE TRATAMENTO 
Mediante requisição do titular, a confirmação de existência de tratamento ou acesso de 
dados deverão ser providenciados sempre em formato simplificado ou por meio de declaração 
clara e completa, devendo ser fornecido no prazo de 15 dias contados do requerimento do 
titular. Referida declaração devera indicar a origem dos dados, os critérios e finalidades do 
tratamento, sendo observado os segredos comerciais e industriais, bem como informar a 
inexistência de registros. 
Os dados pessoais devem ser armazenados em formado que favoreça o acesso, bem 
como serão fornecidas, a critério do titular, de forma impressa ou por meio eletrônico, seguro 
e idôneo para esse fim, que incluem, mas não se limitam, as informações listadas no Art. 9º, 
para atendimento do princípio do livre acesso, conforme segue: 
I - Finalidade específica do tratamento; 
II - Forma e duração do tratamento, observados os 
segredos comercial e industrial; 
III - Identificação do controlador; 
IV - Informações de contato do controlador; 
V - Informações acerca do uso compartilhado de dados 
pelo controlador e a finalidade; 
VI - Responsabilidades dos agentes que realizarão o 
tratamento; e 
VII - Direitos do titular, com menção explícita aos direitos 
contidos no art. 18 desta Lei. 
31 
 
Ainda, o titular poderá solicitar a revisão das decisões tomadas através do tratamento 
automatizado de seus dados pessoais e que afetem seus interesses, incluído, mas não somente, 
as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou 
os aspectos de sua personalidade. 
O controlador deverá fornecer, sempre que solicitado, informações claras e adequadas a 
respeito dos critérios e procedimentos utilizados para a decisão automatizada, e em casos onde 
a disponibilização não seja possível por conta da observância de segredo comercial e 
industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos 
discriminatórios no tratamento automatizado. 
 
8.2 DA ANONIMIZAÇÃO, BLOQUEIO OU ELIMINAÇÃO 
Cuida de garantia espelhada no “direito ao esquecimento”, reconhecido pela Corte 
Europeia em 2014 e garantida no GDPR, que dá aos titulares de dados a faculdade de exclusão 
de link de informações“irrelevantes” ou “desatualizadas”. Conforme corte da União Europeia, 
aplica-se as informações “inadequadas, não pertinentes ou já não pertinentes ou excessivas em 
relação ao objetivo pelo qual foram processadas tendo em conta o tempo decorrido". 
Na LGPD, apesar do ser direito do usuário solicitar anonimização, bloqueio ou 
eliminação de seus dados quando forem desnecessários, excessivos ou tratados em 
desconformidade, o controlador tem a liberalidade de definir qual o melhor processo técnico 
para cada situação. 
O controlador responsável deverá informar aos agentes de tratamento com os quais 
compartilhou os dados, da anonimização, bloqueio ou eliminação de dados, para que realizem 
o mesmo procedimento, salvo nos casos onde esta comunicação seja comprovadamente 
impossível ou implique em esforço desproporcional. 
Os dados anonimizados não serão considerados dados pessoais, salvo quando o 
processo de anonimização que foram submetidos puder ser revertido por meios próprios ou 
com esforço razoável. A determinação do que seja razoável leva em consideração custo e 
tempo necessários para reverter a anonimização, de acordo com as tecnologias disponíveis 
 
32 
 
8.3 DA INFORMAÇÃO SOBRE A POSSIBILIDADE DE NÃO CONCESSÃO 
DO CONSENTIMENTO 
Serve como proteção contra controladores que possam exigir dados excessivos e que não 
sejam necessários para determinada finalidade. Assim, caso seja exigido do titular o 
consentimento de uso de seus dados pessoais para dispor de determinada aplicação, fica 
vedado a obtenção de dados que não sejam primordiais para aquela finalidade. 
Caso a ausência do consentimento implique em limitações no uso, o titular deve ser 
informado, sendo que a limitação total de uso de determinada aplicação só pode ocorrer se o 
dado for imprescindível. 
 
8.4 DA REVOGAÇÃO DO CONSENTIMENTO 
A qualquer momento o titular poderá revogar o consentimento previamente concedido 
de uso de seus dados, mediante manifestação expressa, por procedimento gratuito e facilitado. 
Tal disposição não afeta os tratamentos de dados realizados anteriormente à revogação, salvo 
casos onde seja requerido a eliminação das informações. 
 
33 
 
9. DAS BOAS PRÁTICAS E DA GOVERNANÇA 
 
Define a LGPD que os agentes de tratamento poderão formular regras de boas práticas 
e de governança que estabeleçam as condições de organização, normas de segurança, padrões 
técnicos, mecanismos internos de supervisão e mitigação de riscos e outros aspectos 
relacionados ao tratamento de dados pessoais, levando em consideração a natureza, escopo, 
finalidade e gravidade dos riscos, estando facultado ao controlador implementar programa de 
governança em privacidade, que no mínimo: 
a) demonstre o comprometimento do controlador em 
adotar processos e políticas internas que assegurem o 
cumprimento, de forma abrangente, de normas e boas 
práticas relativas à proteção de dados pessoais; 
b) seja aplicável a todo o conjunto de dados pessoais que 
estejam sob seu controle, independentemente do modo 
como se realizou sua coleta; 
c) seja adaptado à estrutura, à escala e ao volume de suas 
operações, bem como à sensibilidade dos dados tratados; 
d) estabeleça políticas e salvaguardas adequadas com base 
em processo de avaliação sistemática de impactos e riscos 
à privacidade; 
e) tenha o objetivo de estabelecer relação de confiança com 
o titular, por meio de atuação transparente e que assegure 
mecanismos de participação do titular; 
f) esteja integrado a sua estrutura geral de governança e 
estabeleça e aplique mecanismos de supervisão internos e 
externos; 
g) conte com planos de resposta a incidentes e remediação; 
e 
34 
 
h) seja atualizado constantemente com base em 
informações obtidas a partir de monitoramento contínuo e 
avaliações periódicas; 
35 
 
10. DA RESPONSABILIDADE 
 
Os agentes de tratamento devem adotar medidas de segurança que possam proteger os 
dados pessoais do acesso não autorizado e de situações acidentais ou ilícitas. Nesse ponto, a 
ANPD poderá dispor sobre padrões técnicos mínimos para dirimir casos de vazamentos de 
dados. 
No caso de ocorrer incidente de segurança que possa acarretar risco ou dano relevante 
aos titulares, deverá o controlador comunicar à ANPD, em prazo razoável, mencionando no 
mínimo: 
I - A descrição da natureza dos dados pessoais afetados; 
II - As informações sobre os titulares envolvidos; 
III - A indicação das medidas técnicas e de segurança 
utilizadas para a proteção dos dados, observados os 
segredos comercial e industrial; 
IV - Os riscos relacionados ao incidente; 
V - Os motivos da demora, no caso de a comunicação não 
ter sido imediata; e 
VI - As medidas que foram ou que serão adotadas para 
reverter ou mitigar os efeitos do prejuízo. 
No juízo de gravidade do incidente, será levado em consideração a comprovação de que 
foram adotadas as medidas técnicas adequadas para tornar os dados pessoais afetados 
ininteligíveis, observado os limites técnicos de seus serviços. 
 
 
 
36 
 
10.1 DO RESSARCIMENTO DE DANOS 
O controlador ou operador que, em razão do tratamento de dados pessoais, causar a 
outrem dano patrimonial, moral, individual ou coletivo, em violação a legislação de proteção 
de dados pessoais, fica obrigado a repará-lo. 
O operador responderá solidariamente quando descumprir obrigações da legislação ou 
quando não seguir as instruções lícitas do controlador. Da mesma forma, os controladores que 
estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular 
responderão solidariamente. 
As exceções onde os agentes não serão responsáveis cabem quando provarem: 
I - Que não realizaram o tratamento de dados pessoais que 
lhes é atribuído; 
II - Que, embora tenham realizado o tratamento de dados 
pessoais que lhes é atribuído, não houve violação à 
legislação de proteção de dados; ou 
III - Que o dano é decorrente de culpa exclusiva do titular 
dos dados ou de terceiros. 
 
37 
 
11. DAS SANÇÕES ADMINISTRATIVAS 
 
Além da responsabilização civil pelo tratamento ilícito dos dados pessoais, os agentes 
de tratamento podem sofrer imposição de sanções administrativas, aplicáveis pela autoridade 
nacional, em razão de infrações cometidas às normas da LGPD, sendo elas: 
I - Advertência, com indicação de prazo para adoção de 
medidas corretivas; 
II - Multa simples, de até 2% (dois por cento) do 
faturamento da pessoa jurídica de direito privado, grupo 
ou conglomerado no Brasil no seu último exercício, 
excluídos os tributos, limitada, no total, a R$ 50.000.000,00 
(cinquenta milhões de reais) por infração; 
III - Multa diária, observado o limite total a que se refere o 
inciso II; 
IV - Publicização da infração após devidamente apurada e 
confirmada a sua ocorrência; 
V - Bloqueio dos dados pessoais a que se refere a infração 
até a sua regularização; 
VI - Eliminação dos dados pessoais a que se refere a 
infração; 
VII - (VETADO); 
VIII - (VETADO); 
IX - (VETADO). 
X - Suspensão parcial do funcionamento do banco de 
dados a que se refere a infração pelo período máximo de 6 
(seis) meses, prorrogável por igual período, até a 
regularização da atividade de tratamento pelo controlador; 
38 
 
XI - Suspensão do exercício da atividade de tratamento dos 
dados pessoais a que se refere a infração pelo período 
máximo de 6 (seis) meses, prorrogável por igual período; 
XII - Proibição parcial ou total do exercício de atividades 
relacionadas a tratamento de dados. 
 
No entanto, insta salientar que, de acordo com o Art. 65, I-A, os artigos que dispõem 
sobre as sanções administrativas, sendo elas Art. 52, 53 e 54, entrarão em vigor apenas em 1º 
de agosto de 2021. 
 
39 
 
12. DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS 
 
Originalmente prevista no texto da LGPD, foi vetada pelo ex-presidente Michel Temer 
sob alegação de vício de origem, visto que o órgão faria parte do Poder Legislativo,que não 
poder dispor sobre a organização do Estado, vez que isso é prerrogativa do Executivo. 
Retorna, então, através da Lei nº 13.853, sancionada em 2019 pelo presidente Jair Bolsonaro, 
que altera a LGPD para dispor sobre a proteção de dados pessoais e para criar a Autoridade 
Nacional de Proteção de Dados como órgão da administração pública federal, integrante da 
Presidência da República. 
A criação de autoridade nacional de controle adequa a LGPD sob o aspecto da legislação 
europeia, capacitando o país para transacionamento de dados pessoais com países integrantes 
da União Europeia. 
 
12.1 DA COMPOSIÇÃO E COMPETÊNCIAS 
A Autoridade Nacional de Proteção de Dados é composta de: 
I - Conselho Diretor, órgão máximo de direção, sendo composto por 5 diretores, incluído 
o Diretor-Presidente, escolhidos e nomeados pelo Presidente da República, após aprovação 
pelo Senado Federal, dentre brasileiros que tenham reputação ilibada, nível superior de 
educação e elevado conceito no campo de especialidade dos cargos nomeados, para exercer 
mandato de 4 anos. 
Os membros somente perderão seus cargos em virtude de renúncia, condenação judicial 
transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar. 
As competências da Diretoria são: 
1 - Zelar pela proteção dos dados pessoais, nos termos da 
legislação; 
2 - Zelar pela observância dos segredos comercial e 
industrial, observada a proteção de dados pessoais e do 
sigilo das informações quando protegido por lei ou quando 
40 
 
a quebra do sigilo violar os fundamentos do art. 2º desta 
Lei; 
3 - Elaborar diretrizes para a Política Nacional de Proteção 
de Dados Pessoais e da Privacidade; 
4 - Fiscalizar e aplicar sanções em caso de tratamento de 
dados realizado em descumprimento à legislação, 
mediante processo administrativo que assegure o 
contraditório, a ampla defesa e o direito de recurso; 
5 - Apreciar petições de titular contra controlador após 
comprovada pelo titular a apresentação de reclamação ao 
controlador não solucionada no prazo estabelecido em 
regulamentação; 
6 - Promover na população o conhecimento das normas e 
das políticas públicas sobre proteção de dados pessoais e 
das medidas de segurança; 
7 - Promover e elaborar estudos sobre as práticas nacionais 
e internacionais de proteção de dados pessoais e 
privacidade; 
8 - Estimular a adoção de padrões para serviços e produtos 
que facilitem o exercício de controle dos titulares sobre 
seus dados pessoais, os quais deverão levar em 
consideração as especificidades das atividades e o porte 
dos responsáveis; 
9 - Promover ações de cooperação com autoridades de 
proteção de dados pessoais de outros países, de natureza 
internacional ou transnacional; 
10 - Dispor sobre as formas de publicidade das operações 
de tratamento de dados pessoais, respeitados os segredos 
comercial e industrial; 
41 
 
11 - Solicitar, a qualquer momento, às entidades do poder 
público que realizem operações de tratamento de dados 
pessoais informe específico sobre o âmbito, a natureza dos 
dados e os demais detalhes do tratamento realizado, com a 
possibilidade de emitir parecer técnico complementar para 
garantir o cumprimento desta Lei; 
12 - Elaborar relatórios de gestão anuais acerca de suas 
atividades; 
13 - Editar regulamentos e procedimentos sobre proteção 
de dados pessoais e privacidade, bem como sobre 
relatórios de impacto à proteção de dados pessoais para os 
casos em que o tratamento representar alto risco à garantia 
dos princípios gerais de proteção de dados pessoais 
previstos nesta Lei; 
14 - Ouvir os agentes de tratamento e a sociedade em 
matérias de interesse relevante e prestar contas sobre suas 
atividades e planejamento; 
15 - Arrecadar e aplicar suas receitas e publicar, no 
relatório de gestão a que se refere o inciso XII do caput 
deste artigo, o detalhamento de suas receitas e despesas; 
16 - Realizar auditorias, ou determinar sua realização, no 
âmbito da atividade de fiscalização de que trata o inciso IV 
e com a devida observância do disposto no inciso II do 
caput deste artigo, sobre o tratamento de dados pessoais 
efetuado pelos agentes de tratamento, incluído o poder 
público; 
17 - Celebrar, a qualquer momento, compromisso com 
agentes de tratamento para eliminar irregularidade, 
incerteza jurídica ou situação contenciosa no âmbito de 
42 
 
processos administrativos, de acordo com o previsto no 
Decreto-Lei nº 4.657, de 4 de setembro de 1942; 
18 - Editar normas, orientações e procedimentos 
simplificados e diferenciados, inclusive quanto aos prazos, 
para que microempresas e empresas de pequeno porte, 
bem como iniciativas empresariais de caráter incremental 
ou disruptivo que se autodeclarem startups ou empresas 
de inovação, possam adequar-se a esta Lei; 
19 - Garantir que o tratamento de dados de idosos seja 
efetuado de maneira simples, clara, acessível e adequada 
ao seu entendimento, nos termos desta Lei e da Lei nº 
10.741, de 1º de outubro de 2003 (Estatuto do Idoso); 
20 - Deliberar, na esfera administrativa, em caráter 
terminativo, sobre a interpretação desta Lei, as suas 
competências e os casos omissos; 
21 - Comunicar às autoridades competentes as infrações 
penais das quais tiver conhecimento; 
22 - Comunicar aos órgãos de controle interno o 
descumprimento do disposto nesta Lei por órgãos e 
entidades da administração pública federal; 
23 - Articular-se com as autoridades reguladoras públicas 
para exercer suas competências em setores específicos de 
atividades econômicas e governamentais sujeitas à 
regulação; e 
24 - Implementar mecanismos simplificados, inclusive por 
meio eletrônico, para o registro de reclamações sobre o 
tratamento de dados pessoais em desconformidade com 
esta Lei. 
43 
 
II - Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que por sua 
vez será composto de 23 representantes, titulares e suplentes, sendo: (i) 5 do Poder Executivo 
Federal; (ii) 1 do Senado Federal; (iii) 1 da Câmara dos Deputados; (iv) 1 do Conselho Nacional 
de Justiça; (v) 1 do Conselho Nacional do Ministério Público; (vi) 1 do Comitê Gestor da 
Internet no Brasil; (vii) 3 de entidades da sociedade civil com atuação relacionada a proteção 
de dados pessoais; (viii) 3 de instituições científicas, tecnológicas e de inovação; (ix) 3 de 
confederações sindicais representativas das categorias econômicas do setor produtivo; (x) 2 de 
entidades representativas do setor empresarial relacionado à área de tratamento de dados 
pessoais; e (xi) 2 de entidades representativas do setor laboral. 
Os representantes serão designados por ato do Presidente da República e sua 
participação no Conselho será considerada prestação de serviço público relevante, não 
remunerada. 
As competências do Conselho são: 
1 - Propor diretrizes estratégicas e fornecer subsídios para 
a elaboração da Política Nacional de Proteção de Dados 
Pessoais e da Privacidade e para a atuação da ANPD; 
2 - Elaborar relatórios anuais de avaliação da execução das 
ações da Política Nacional de Proteção de Dados Pessoais 
e da Privacidade; 
3 - Sugerir ações a serem realizadas pela ANPD; 
4 - Elaborar estudos e realizar debates e audiências 
públicas sobre a proteção de dados pessoais e da 
privacidade; e 
5 - Disseminar o conhecimento sobre a proteção de dados 
pessoais e da privacidade à população. 
III – Corregedoria; 
IV – Ouvidoria; 
V - Órgão de assessoramento jurídico próprio; e 
44 
 
VI - Unidades administrativas e unidades especializadas necessárias à aplicação do 
disposto nesta Lei. 
 
45 
 
13. LGPD E O DIREITO DO CONSUMIDOR 
 
Após entendermos o que a LGPD se dispôs a tratar, conseguimos ter uma visão mais 
concreta dos reflexos trazidos pelo Código de Defesa do Consumidor – CDC – Lei nº 8.078, de 
11 de setembro de 1990, como fonte de direito. 
Preliminarmente, é notório o paraleloentre as classificações de “titular” e “agente de 
tratamento”, presentes na LGPD, com o “consumidor” e “fornecedor” existente no CDC, ainda 
mais reforçada pelo fundamento elencado no Art. 2º, VI, da LGPD: 
Art. 2º A disciplina da proteção de dados pessoais tem 
como fundamentos: 
[...]VI - A livre iniciativa, a livre concorrência e a defesa do 
consumidor; 
Não obstante, temos como direito básico do consumidor, previsto no CDC em seu Art. 
6, III, a informação adequada e clara sobre os serviços, que na LGPD aparece no Art. 2º, II, 
tratando da autodeterminação informativa, de modo a assegurar ao consumidor o direito a 
ser informado sobre os procedimentos que serão adotados no tratamento de seus dados, 
compreendendo a autorização, conhecimento, retificação, boa-fé, interrupção e exclusão. 
Bem como, vemos que o Art. 43, §§ 1º, 2º e 3º, CDC, já dispunham, respectivamente, da 
disponibilização das informações dos consumidores, da comunicação de manipulação de 
dados e da alteração de dados que estejam incorretos, conforme seguem: 
CDC, Art. 43. O consumidor, sem prejuízo do disposto no 
art. 86, terá acesso às informações existentes em cadastros, 
fichas, registros e dados pessoais e de consumo arquivados 
sobre ele, bem como sobre as suas respectivas fontes. 
§ 1° Os cadastros e dados de consumidores devem ser 
objetivos, claros, verdadeiros e em linguagem de fácil 
compreensão, não podendo conter informações negativas 
referentes a período superior a cinco anos. 
46 
 
§ 2° A abertura de cadastro, ficha, registro e dados pessoais 
e de consumo deverá ser comunicada por escrito ao 
consumidor, quando não solicitada por ele. 
§ 3° O consumidor, sempre que encontrar inexatidão nos 
seus dados e cadastros, poderá exigir sua imediata 
correção, devendo o arquivista, no prazo de cinco dias 
úteis, comunicar a alteração aos eventuais destinatários 
das informações incorretas. 
Os Arts. 12, 14 e 25, §1º, do CDC, determinam que todas as pessoas envolvidas na cadeia 
da prestação de serviço de tratamento de dados podem ser responsabilizados, de forma 
objetiva e solidária, pelos incidentes ocorridos e danos causados aos consumidores titulares 
de dados, de forma semelhante ao que observamos na LGPD no Art. 42: 
LGPD, Art. 42. O controlador ou o operador que, em razão 
do exercício de atividade de tratamento de dados pessoais, 
causar a outrem dano patrimonial, moral, individual ou 
coletivo, em violação à legislação de proteção de dados 
pessoais, é obrigado a repará-lo. 
Temos também que observar a proibição de condutas enganosas, abusivas os 
desproporcionais e de venda casada, constantes nos Art. 37, §§ 1º e 2º, e Art, I, do CDC, que 
podem ser aplicadas às atividades de coleta e tratamento de dados pessoais na relação de 
consumo, onde há a comunicação, informação e publicidade falsa ou abusiva, como meio de 
obtenção de informações dos consumidores, ou condicionamento da entrega do 
consentimento do titular para o fornecimento de produto ou serviço. 
Quanto ao direito de peticionar, a LGPD garante ao titular, no Art. 18, § 1º, o direito de 
reclamar em relação aos seus dados contra o controlador perante a autoridade nacional, assim 
como o §8º do presente artigo apresenta que tal garantia também poderá ser exercida junto aos 
organismos de defesa do consumidor, sendo fato que a ampla capilaridade dos Procon 
espalhados nacionalmente daria ao titular maior garantia na defesa de seus interesses. 
Portanto, temos que o CDC contém, de forma abrandada, os primeiros fundamentos, 
direitos e normas acerca da regulação de tratamento e formação de banco de dados, e com a 
47 
 
LGPD entrando em vigor, fica claro que a proteção dos dados nas relações de consumo será 
exercida com a combinação das normas legais presente nos dois regulamentos. 
 
48 
 
14. CONCLUSÃO 
 
Como pudemos observar no presente trabalho, a Lei Geral de Proteção de Dados trouxe 
ao cenário nacional uma extensa mudança em como o ordenamento jurídico aborda a proteção 
e tratamento dos dados pessoais dos titulares, atribuindo maiores responsabilidades aos 
agentes de tratamento. 
Isso deu-se, em grande parte, por conta da evolução do valor que os dados pessoais 
adquiriram para as empresas ao longo dos anos e com o avanço exponencial da tecnologia, 
bem como a utilização dessas informações para fins adversos ao bem comum. 
Apesar de relativamente nova e de possuir uma base jurídica pré-existente em nosso 
sistema legal, a LGPD é um marco importante para a evolução judiciaria, trazendo luz a 
questões relevantes aos direitos dos brasileiros, assim como o Código de Defesa do 
Consumidor foi em sua época. 
No geral, a LGPD colocou o Brasil no mesmo patamar de outros grandes países que já 
tratavam da defesa de dados, e abriu portas para negociações com diversas entidades 
internacionais. 
 
 
49 
 
15. REFERÊNCIAS 
 
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. LEI GERAL DE PROTEÇÃO DE DADOS 
PESSOAIS (LGPD). Diário Oficial da União: seção 1, Brasília, DF, ano 2018, n. 157, p. 59, 15 
ago. 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/l13709.htm. Acesso em: 28 out. 2020. 
 
BRASIL. Lei nº 8.078, de 11 de setembro de 1990. DISPÕE SOBRE A PROTEÇÃO DO 
CONSUMIDOR E DÁ OUTRAS PROVIDÊNCIAS. Diário Oficial da União: seção 1, Brasília, 
DF, ano 1990, p. 1, 12 set. 1990. Disponível em: 
https://www.planalto.gov.br/ccivil_03/leis/l8078.htm. Acesso em: 28 out. 2020. 
 
BRASIL. Lei nº 12.965, de 23 de abril de 2014. ESTABELECE PRINCÍPIOS, GARANTIAS, 
DIREITOS E DEVERES PARA O USO DA INTERNET NO BRASIL. Diário Oficial da União: 
seção 1, Brasília, DF, p. 1, 11 nov. 2020. Disponível em: 
https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 28 
out. 2020. 
 
CADWALLADR, Carole; GRAHAM-HARRISON, Emma. REVEALED: 50 MILLION 
FACEBOOK PROFILES HARVESTED FOR CAMBRIDGE ANALYTICA IN MAJOR DATA 
BREACH: Whistleblower describes how firm linked to former Trump adviser Steve Bannon 
compiled user data to target American voters. The Guardian, [S. l.], ano 2018, 17 mar. 2018. 
Disponível em: https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-
facebook-influence-us-election. Acesso em: 28 out. 2020. 
 
MELILLO CARDOSO, Loni. LGPD: INSPIRAÇÃO, VIGÊNCIA E O DESAFIO DA 
EFICIÊNCIA DA NOVA LEI. CONJUR, [S. l.], 6 out. 2020. Disponível em: 
https://www.conjur.com.br/2020-out-06/loni-cardoso-inspiracao-vigencia-desafio-
eficiencia-lgpd. Acesso em: 28 out. 2020. 
50 
 
 
REDAÇÃO, O Estado de São Paulo. CAMPANHA DE TRUMP OBTEVE DADOS PRIVADOS 
DE 50 MILHÕES DE USUÁRIOS DE FACEBOOK, SEGUNDO JORNAIS: Com informações 
dos internautas, empresa de análise de dados Cambridge Analytica criou sistema para 
influenciar escolhas nas urnas, dizem jornais 'The New York Times' e 'The Observer', de 
Londres. Estadão, [S. l.], p. 1, 11 mar. 2018. Disponível em: 
https://internacional.estadao.com.br/noticias/geral,campanha-de-trump-obteve-dados-
privados-de-50-milhoes-de-usuarios-do-facebook-segundo-jornais,70002231678. Acesso em: 
28 out. 2020. 
 
CABELLA, Daniela Monte-Serrat. BRASIL PRECISA DE AUTORIDADE DE DADOS PARA 
SE MANTER PRÓXIMO DO MERCADO EUROPEU: Requisito fundamental que Comissão 
Europeia vai analisar em uma ANPD é a prática de independência na sua organização. Jota, 
[S. l.], p. 1, 20 ago. 2018. Disponível em: 
https://www.jota.info/paywall?redirect_to=//www.jota.info/opiniao-e-
analise/artigos/brasil-precisa-de-autoridade-de-dados-para-se-manter-proximo-do-
mercado-europeu-20082018. Acesso em: 28 out. 2020. 
 
CARDOSO, Oscar Valente. LEI GERAL DE PROTEÇÃO DE DADOS E DIÁLOGO DAS 
FONTES: Código de Defesa do Consumidor. Jus, [s. l.], 1 ago. 2020. Disponível em: 
https://jus.com.br/artigos/84448/lei-geral-de-protecao-de-dados-e-dialogo-das-fontes-2-
codigo-de-defesa-do-consumidor. Acesso em: 28 out. 2020.