TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS PELA LEI Nº 13.709/18: EVOLUÇÃO DA TUTELA DA PRIVACIDADE E O PAPEL DO CONSENTIMENTO

Prévia do material em texto

UNIVERSIDADE LUTERANA DO BRASIL – ULBRA 
CURSO DE DIREITO 
 
 
 
 
 
 
 
 
 
 
 
 
 
ERICK DA SILVA GARCIA TAVARES 
 
 
 
 
 
 
TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS PELA LEI Nº 13.709/18: 
EVOLUÇÃO DA TUTELA DA PRIVACIDADE E O PAPEL DO CONSENTIMENTO 
 
 
 
 
 
 
 
Guaíba 
2020/2 
 
PARECER DE ADMISSIBILIDADE 
 
 
 
O (A) acadêmico (a) ERICK DA SILVA GARCIA TAVARES apresenta o Trabalho de 
Conclusão de Curso sobre o tema: “Tratamento e proteção de dados pessoais pela 
lei nº 13.709/18: Evolução da tutela da privacidade e o papel do consentimento”. 
Analisamos e discutimos juntamente o trabalho elaborado, o mesmo encontra-se em 
conformidade com as normas e diretrizes do regulamento que o disciplina. Assim, o 
acadêmico preencheu com satisfação todos os requisitos de admissibilidade do 
presente trabalho, tendo condições de apresentá-lo perante a Banca Examinadora. 
 
 
 
Guaíba, de novembro de 2020. 
 
 
 
 
 
 
Professora Rosângela Dall’Acqua 
Orientadora 
 
 
 
 
 
 
 
 
 
 
 
TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS PELA LEI Nº 13.709/18: 
EVOLUÇÃO DA TUTELA DA PRIVACIDADE E O PAPEL DO CONSENTIMENTO 
 
 
Erick da Silva Garcia Tavares1 
Rosângela Dall’Acqua2 
 
 
RESUMO: O presente artigo tem como objeto de estudo a Lei Geral de Proteção de 
Dados Pessoais (Lei nº 13.709/18) e aborda aspectos históricos e jurídicos que 
culminaram nesta lei. A intenção é a de apresentar um breve panorama da 
privacidade, que nada mais é do que o direito cuja proteção de dados pessoais é 
resultado. O estudo parte da mudança de paradigma ocasionado pela sociedade da 
informação, um fenômeno social que surge a partir da evolução das tecnologias da 
informação. No decorrer do texto é trazida uma reflexão sobre a crescente 
importância da privacidade no meio social e jurídico. Então é apresentado o contexto 
de surgimento da Lei Geral de Proteção de Dados no Brasil, discorrendo-se no tópico, 
também, sobre o cenário americano e principalmente o europeu, que inspirou a 
legislação brasileira. Após, realiza-se uma análise estrutural e principiológica da lei, 
destacando-se os requisitos para o tratamento de dados e os direitos do titular. Ao 
final, é feita uma abordagem sobre a relevância e o papel do consentimento do titular 
no âmbito da lei. 
Palavras-chave: Sociedade da Informação – Privacidade – Dados Pessoais – LGPD 
– Consentimento 
 
ABSTRACT: The present article has as object of study the General Law of Protection 
of Personal Data (Law nº 13.709 / 18) and addresses historical and legal aspects that 
culminated in this law. The intention is to present a brief overview of privacy, which is 
nothing more than the right whose protection of personal data is the result. The study 
starts from the paradigm shift caused by the information society, a social phenomenon 
that arises from the evolution of information technologies. Throughout the text, a 
reflection is brought about the growing importance of privacy in the social and legal 
environment. Then, the context of the emergence of the General Data Protection Law 
in Brazil is presented, discussing the topic, also, about the American scenario and 
mainly the European scenario, which inspired Brazilian legislation. Then, a structural 
and principiological analysis of the law is carried out, highlighting the requirements for 
data processing and the rights of the holder. At the end, an approach is made about 
the relevance and the role of the consent of the holder in the scope of the law. 
Keywords: Information Society - Privacy - Personal Data - LGPD - Consent 
 
1 Estudante do curso de Direito da Universidade Luterana do Brasil – ULBRA 
2 Mestre em Educação Superior Internacional pela Universidade Tecnológica Nacional – UTN de 
Buenos Aires – Argentina, Especialista em Direito Penal e Processual Penal, Professora de Direito do 
Consumidor e Direito Penal da Universidade Luterana do Brasil – ULBRA, Professora Coordenadora 
do Projeto Balcão do Consumidor ULBRA/Guaíba. 
4 
 
SUMÁRIO: Introdução 1. Evolução do cenário da proteção de dados no Brasil e no 
mundo. 1.1. A sociedade da informação. 1.2. A importância da privacidade e da 
proteção de dados. 1.3. Contexto de surgimento da Lei nº 13.709/18. 2. Análise da Lei 
Geral de Proteção de Dados (Lei nº 13.709/18). 2.1. Fundamentos e princípios. 2.2. 
Requisitos para o tratamento de dados. 2.3. Dos direitos do titular. 3. Tratamento de 
dados pessoais e o papel do consentimento do titular. Considerações finais. 
Referências. 
 
INTRODUÇÃO 
 
Em meados do ano de 2018, mais precisamente em 14 de agosto, foi 
aprovada a Lei nº 13.709/2018, que dispõe sobre a proteção de dados pessoais e traz 
outras providências no ordenamento jurídico brasileiro. Uma lei que marca um novo 
momento para o Brasil e o insere no rol de países que acompanha a tendência da 
normatização da matéria relativa ao tratamento de dados pessoais. 
Se trata de um importante instrumento jurídico que é resultado de uma era da 
informação, ou melhor traduzindo, de uma sociedade que tem como uma das bases 
de suas relações a tecnologia. Modelos de negócios estão baseados no fluxo dessas 
informações, que são fornecidas sem uma correta compreensão dos consumidores, o 
que acaba culminando em políticas de privacidade de empresas e órgãos 
controladores muitas vezes insuficientes e genéricas. 
Um ordenamento jurídico protetivo em relação ao titular dessas informações 
visa restabelecer a autodeterminação informativa e o controle do fluxo de dados, 
sendo a análise dos principais aspectos envolvidos nessa pretensa solução normativa 
que é a LGPD que me proponho a realizar. 
Certamente a lei não traz soluções definitivas e incontestáveis para problemas 
como o uso e compartilhamento indevido de dados pessoais, ou o problema da falta 
de interpretação e racionalidade na tomada de decisão dos consumidores ao 
fornecerem seus dados para as empresas, algumas pouco comprometidas com a 
segurança da informação, mas ao certo aponta incisivamente para os meios de evitar 
esses problemas. 
No decorrer deste trabalho será possível verificar aspectos históricos relativos 
à privacidade que motivaram a criação da lei, assim como as legislações que a 
antecederam. Apresenta-se a LGPD em seus diversos aspectos, tais como em suas 
5 
 
disposições preliminares, que trazem fundamentos, princípios e, também, conceitos, 
inseridos no próprio corpo da lei por serem considerados importantes para uma melhor 
compreensão do tema. 
Em seguida, apresentam-se os requisitos para o tratamento de dados 
pessoais e os direitos do titular. O primeiro dos requisitos – consentimento, talvez o 
mais importante, é o que ganha maior destaque neste trabalho, tendo em vista as 
possíveis controvérsias identificadas na sua implementação. Por isso é que me dedico 
a discorrer brevemente sobre sua evolução e sobre suas diferentes definições, que a 
depender do contexto que o envolve pode representar desde o nível mais básico de 
controle do fluxo dos dados até o nível em que o titular possui plena participação no 
processo de tratamento de dados. 
 
1. EVOLUÇÃO DO CENÁRIO DA PROTEÇÃO DE DADOS NO BRASIL E NO 
MUNDO 
 
A sociedade vive em constantes avanços tecnológicos nos últimos tempos e 
esta evolução causou um aumento significativo no fluxo de informações em todas as 
relações. A partir da segunda metade do século XX o mundo passou a viver uma era 
de inovações que transformou as rotinas sociais. A velocidade do compartilhamento 
de informações se tornou quase instantânea e, dentro deste universo, os dados aos 
poucos passaram a ser considerados mais do que mera informação. A coleta e 
utilização indiscriminada de dados por empresas e pelo setor público, para os mais 
diversos fins, se tornou uma questão pertinente, o que deu espaço para que a tutela 
da proteção de dados entrasse em pauta em muitos países para garantir a proteção 
da privacidade e resguardar os direitos dapersonalidade dos usuários em geral. 
O Brasil, por sua vez, apesar de suas dimensões continentais e relevância 
mundial, só começou a desenvolver um diálogo mais sólido acerca da proteção de 
dados mais recentemente, o que veio a ser impulsionado pela aprovação e entrada 
em vigor da GDPR na Europa, em maio de 2018. A General Data Protection 
Regulation é atualmente o regulamento mais abrangente sobre a forma de tratamento 
de dados pessoais e é referência no assunto. 
Toda essa transformação a nível mundial se deve, primordialmente, ao 
avanço das tecnologias da informação, que acarretou em um fenômeno social 
denominado sociedade da informação, ou apenas sociedade informacional. 
6 
 
 
1.1. A sociedade da informação 
 
O fenômeno social ocasionado pela evolução substancial das tecnologias da 
informação denominado sociedade da informação deve ser entendido como uma era 
em que as interações sociais se baseiam na tecnologia. A mudança de paradigma se 
deve a inúmeros fatores, mas Manuel Castells3 destaca a evolução da engenharia do 
macro para o microssistema com a criação de microprocessadores, a criação da 
internet e a difusão em massa da computação e as tecnologias de rede como telefones 
e celulares como fatores chave neste processo. 
A mudança gradual no comportamento e nas rotinas da sociedade global, 
percebida a partir do final do século XX, pode ser atribuída, segundo Castells4, à 
revolução das tecnologias da informação. Por tecnologia da informação, explica este 
autor, entende-se “o conjunto convergente de tecnologias em microeletrônica, 
computação (software e hardware), telecomunicações/radiodifusão, e optoeletrônica”. 
O conhecimento produzido através das tecnologias cria novos meios de produção do 
conhecimento, alimentando um ciclo que abre possibilidades para o desenvolvimento 
de sistemas que até então não poderiam existir. 
No decorrer das leituras realizadas durante este trabalho de pesquisa e pelo 
conhecimento empírico adquirido durante os anos, pude notar que a tecnologia da 
informação, atualmente, se desenvolveu a ponto de estar inserida em todos os 
segmentos sociais. O mercado de consumo, por exemplo, se tornou tão abrangente e 
evoluído tecnologicamente que alcança desde as tarefas mais básicas do cotidiano, 
como a possibilidade de ordenar a realização de tarefas domésticas através de robôs 
assistentes pessoais domésticos5, até a possibilidade de condução remota de 
veículos à distância em tempo real, possível através da rede móvel 5G6, tecnologia 
ainda em fase de implementação no mundo, mas que revela potencial para uma nova 
revolução através da internet das coisas. 
 
3 CASTELLS, Manuel. A sociedade em rede. v. 1. São Paulo: Paz e Terra, 1999, p. 76. 
4 Ibidem, p. 67. 
5 https://g1.globo.com/economia/tecnologia/ces/2020/noticia/2020/01/07/samsung-apresenta-ballie-
robo-assistente-para-casas-conectadas.ghtml 
6 https://www.otempo.com.br/super-motor/homem-dirige-carro-a-distancia-via-conexao-5g-de-internet-
confira-o-video-1.2239363 
7 
 
A criação deste mercado de consumo ocorreu gradativamente e podemos 
dizer que os produtos e serviços hoje disponibilizados são, em parte, fruto da análise 
de dados relacionados aos hábitos de consumo e demandas dos consumidores pelas 
empresas. O setor público, da mesma maneira, se vale das tecnologias para aprimorar 
os instrumentos de controle e fiscalização através de sistemas automatizados. Toda 
a sociedade vive conectada. 
No início deste processo de difusão de tecnologias, no entanto, o controle de 
informações não era algo tão disponível como nos dias atuais. Não havia técnica 
suficiente nem sistemas de armazenamento com altas capacidades e ferramentas. 
Assim, o domínio e utilização das informações era muito mais restrito, sendo um 
negócio demasiadamente custoso até para grandes empresas, razão pela qual seu 
manejo perpetuou inicialmente as esferas públicas, como instrumento de controle e 
fiscalização dos sujeitos na sociedade7. 
Conforme a modernização das tecnologias da informação foi alcançando 
novos patamares e a sociedade foi aderindo a este novo ambiente, as informações 
passaram a integrar uma posição estratégica também nos negócios privados. Isso 
porque a informação na era da tecnologia é sinônimo de poder. Um poder que serve 
como instrumento de controle fiscal e social e que pode ser utilizado para elaboração 
de políticas públicas, por exemplo. Ou, ainda, um poder que representa um ativo 
valioso para o desenvolvimento de produtos, serviços, marketing e publicidade. 
Nesse viés, um problema surge: existe uma forma ética de se utilizar esses 
dados? Sobre o tema, a autora Joseane Suzart Lopes da Silva8 sustenta que a 
formação de perfis de consumidores sem consentimento dos titulares dessas 
informações é um problema existente desde a criação dos “cookies”, em 1994, um 
pequeno pacote de dados contendo informações que identificam o dispositivo do 
usuário ao acessar determinado site. Este é apenas um exemplo, mas outros 
problemas tais como o compartilhamento e exposição indevida de dados assolam uma 
sociedade que atualmente se tornou dependente das tecnologias da informação e 
principalmente da computação. Quais as possibilidades de sermos vítimas das 
 
7 DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei 
geral de proteção de dados. 1 ed. São Paulo: Thomson Reuters Brasil, 2019, p. RB-1.1 
8 SILVA, Joseane Suzart Lopes. A proteção de dados pessoais dos consumidores e a Lei 
13.709/2018: em busca da efetividade dos direitos à privacidade, intimidade e autodeterminação. 
Revista de Direito do Consumidor, Rio de Janeiro. v. 121/2019, jan - fev. 2019, p. 369. 
8 
 
informações fornecidas por nós mesmos a empresas e ao poder público e como 
poderemos combater esta situação? Destas questões parte a importância de 
entendermos o papel da privacidade, da autodeterminação informacional e da 
proteção de dados. 
 
1.2. A importância da privacidade e da proteção de dados 
 
Diversos autores estudados que tratam sobre a privacidade citam a obra 
lançada pelos autores Samuel Warren e Louis Brandeis, intitulada “The right of 
privacy”, como um dos maiores referenciais sobre o tema9. O trabalho foi lançado em 
1890 e foi o precursor no debate jurídico sobre o assunto, vindo a desenvolver a ideia 
de privacidade como “o direito de estar só”, uma percepção certamente individualista. 
Na época, a questão começou a ser tratada em decorrência do surgimento das 
fotografias instantâneas e da invasão jornalística à vida privada10, inclusive pela 
constante intromissão na vida pessoal do próprio Warren. Mais do que um direito 
concebido para o fim de resguardar a propriedade privada, a privacidade visava 
proteger a personalidade do indivíduo e a sua opção por não compartilhar alguns 
aspectos da sua vida com outros indivíduos. Esta concepção histórica é também 
citada por Danilo Doneda ao utilizar a expressão zero-relationship como sinônimo 
deste período, em que a privacidade era vista como “ausência de comunicação entre 
uma pessoa e as demais”11. 
Hoje, a privacidade está consagrada em diversos diplomas internacionais 
como um direito fundamental. Vejam-se as menções à vida privada na Declaração 
Americana dos Direitos e Deveres do Homem (1948), na Declaração Universal dos 
Direitos Humanos (1948), na Convenção Europeia dos Direitos do Homem (1950) e 
no pacto de São José da Costa Rica (1969). Da mesma forma ocorre com a nossa 
 
9 RUARO, Regina Linden; SOUZA, Fernando Inglez de. Cenários da regulação da proteção de dados 
pessoais e os desafios de uma tutela efetiva no ordenamento jurídico brasileiro: a internet e 
suas implicações na privacidade e na proteção de dados pessoais. Interesse Público – IP, Belo 
Horizonte, ano 19, n. 103, mai – jun. 2017, p. 199. 
10 FERREIRA, Keila Pacheco. A Privacidade no Ambiente Virtual: Avanços e Insuficiências da Lei 
Geral de Proteçãode Dados no Brasil (Lei 13.709/18). Revista de Direito do Consumidor, Rio de 
Janeiro. v. 122/2019, mar - abr. 2019, p. 186-187. 
11 DONEDA, op. cit., p. RB-1.1 
9 
 
Constituição, de 1988, que repete os diplomas anteriores com a menção à vida privada 
e à intimidade no seu artigo 5º, inciso X. Assim, pode-se afirmar sem dúvida que a 
privacidade é compreendida como um bem jurídico tutelado e que foi incorporada à 
nossa sociedade como um desdobramento do direito de personalidade, mesmo que 
de forma mais abrangente e abstrata, como resposta ao paradigma da sociedade da 
informação. 
Neste ponto, é importante destacar que a proteção à privacidade está mais 
relacionada à proteção da intimidade, ou seja, ao antigo conceito idealizado por 
Warren e Brandeis e, portanto, a algo mais amplo, ao passo que a proteção de dados 
pessoais, como salienta o autor Gustavo Artese12, busca assegurar a privacidade 
informacional, ou seja, os dados privados que revelem informações sobre o seu titular, 
representando um aspecto mais específico da privacidade. 
Ocorre que a utilização de dados pessoais pode ser associada a uma extensa 
gama de finalidades, sendo que diversos eventos recentes revelam que algumas 
vezes essas finalidades podem ser maliciosas, violando os direitos de milhares e até 
milhões de pessoas. 
No cenário internacional, o caso mais conhecido e polêmico envolvendo 
violação de privacidade e utilização indevida de dados é da empresa Cambridge 
Analytica13, uma empresa de análise de dados americana. O caso ficou famoso em 
razão da influência na campanha eleitoral de Donald Trump como presidente dos 
Estados Unidos em 2016, que teve grande envolvimento do Facebook. A empresa de 
Zuckerberg teria adquirido do pesquisador Aleksandr Kogan, que desenvolveu um 
aplicativo de teste de personalidade para o Facebook, dados de 50 milhões de usuário 
da rede social, ainda em 2014. Dentre os dados coletados estavam nome, profissão, 
endereço, gostos, hábitos e rede de contatos dos usuários. O procedimento de coleta 
não era ilegal pelas políticas do Facebook, mas não havia consentimento sobre a 
forma de utilização dos dados. A comercialização, que era proibida, não contava com 
meios de ser controlada. A utilização dos dados foi feita para fins políticos, ou seja, 
para direcionar conteúdo aos usuários a favor de Donald Trump e contra Hillary 
Clinton, além de incentivar aqueles que demonstravam estar indecisos a votar a favor 
 
12 ARTESE, Gustavo. Privacidade e proteção de dados pessoais: a diluição do consentimento e 
a responsabilidade demonstrável (accountability). Revista Fórum de Direito na Economia Digital, 
Belo Horizonte. ano 1, no 01, jul-dez. 2017, p. 144. 
13 https://g1.globo.com/economia/tecnologia/noticia/entenda-o-escandalo-de-uso-politico-de-dados-
que-derrubou-valor-do-facebook-e-o-colocou-na-mira-de-autoridades.ghtml 
10 
 
de Trump. O caso colocou à prova o compromisso da empresa de Mark Zuckerberg 
com a proteção dos dados pessoais dos seus usuários, tendo negado até o último 
momento a má utilização das informações, mas também chamou a atenção da 
importância dos dados que fornecemos às empresas e como isso pode ser utilizado 
sem o devido cuidado. 
No Brasil também houveram diversos episódios recentes de vazamentos e 
exposição de dados pessoais de usuários de serviços como Uber, Netshoes, Vivo, Oi, 
Claro, Banco Inter, C&A e até mesmo do Facebook, lembrando que o caso da 
empresa Cambridge Analytica também expôs dados de usuários brasileiros da rede 
social. 
Assim, a fim de dar uma resposta ao descompasso verificado entre os 
avanços da tecnologia da informação e o mundo jurídico, os países tem se munido de 
legislações cada vez mais protetivas aos titulares dos dados, a exemplo da novel lei 
europeia que regulamenta a proteção de dados. Tudo isso com o objetivo de 
assegurar que os modelos de negócios que surgem e que já estão no mercado 
respeitem o direito à privacidade e a capacidade de os titulares decidirem as 
informações sobre si que serão divulgadas e compartilhadas com outras pessoas e 
empresas, ou seja, devolverem a autodeterminação informacional dos consumidores. 
 
1.3. Contexto de surgimento da Lei nº 13.709/18 
 
Como referido no primeiro tópico deste trabalho, a Lei Geral de Proteção de 
Dados Pessoais do Brasil (Lei nº 13.709/18) foi aprovada em 13 de agosto de 2018, 
meses após o começo da vigência da lei de proteção de dados pessoais europeia, a 
GDPR. A norma regulamentadora do continente europeu impulsionou a tramitação do 
Projeto de Lei nº 53/2018 no Senado e provocou até pedidos de urgência na sua 
aprovação. Na Câmara dos Deputados, o Projeto de Lei nº 4060/2012 foi aprovado 
em 29 de maio de 2018, ou seja, entre a aprovação na Câmara, onde a lei foi 
originalmente proposta, e a sua sanção, em 13 de agosto de 2018, foram menos de 
três meses. Ao contrário do que pode parecer, no entanto, há tempo o Congresso 
Nacional já vinha abrindo espaço para debates sobre o assunto. Apesar de a LGPD 
ser uma norma que posiciona nosso país no cenário internacional, o Brasil já contava 
com legislações recentes dispersas que tratam de alguns aspectos da 
regulamentação do uso de dados pessoais. 
11 
 
Antes de se abordar o contexto local de aprovação da lei no congresso, que 
teve a sanção do então Presidente da República Michel Temer e entrou em vigor em 
18/09/2020, apresentarei brevemente uma retrospectiva sobre assunto, apontando as 
legislações e estudos que inspiraram e antecederam a nossa lei de proteção de dados. 
A regulação do uso de dados pessoais vem ganhando forte enfoque mundial, sendo 
a mudança de paradigma da sociedade da informação e os grandes escândalos 
envolvendo violação de privacidade os principais responsáveis por esta mudança. 
Tratarei em brevíssima síntese, antes de discorrer sobre a legislação 
brasileira a respeito, dos modelos americano e europeu de proteção de dados, este 
último que inspirou a Lei 13.709/2018. 
O cenário americano da proteção de dados começou a ganhar contornos a 
partir do estudo feito por Warren e Brandeis, que partiu da concepção de privacidade 
como reflexo do direito à propriedade, assimilada a uma liberdade fundada na 
inviolabilidade da personalidade e que era o principal fundamento utilizado pela 
jurisprudência naquela época de 1890 para proteger este direito, chegando a 
conclusão de que a privacidade estaria vinculada ao direito do indivíduo ter protegidos 
seus pensamentos, emoções e sentimentos, independentemente da forma como as 
expressasse, e que somente o indivíduo deveria determinar com quem e de que forma 
compartilharia essas informações14. Assim, com uma forte vinculação ao direito à 
privacidade é que estão alicerçadas as regulamentações relativas à proteção de 
dados pessoais americana até os dias atuais, que se encontram predominantemente 
em legislações esparsas entre os estados. 
Já o cenário europeu, por força da União Europeia, vem desde a década de 
1970 expedindo resoluções, diretivas e recomendações a fim de assegurar a proteção 
de dados pessoais dos cidadãos europeus. Esse arcabouço normativo resultou em 
proposições que visavam nortear o tratamento de dados através de princípios 
inspirados na autodeterminação informativa e na proteção da vida privada. A partir 
desse rumo fortemente principiológico surgiu a General Data Protection Regulation, 
Regulamento do Parlamento Europeu e do Conselho nº 95/46/CE, aprovado em 2016 
e que entrou em vigor em maio de 2018, sendo a principal fonte de inspiração da Lei 
Geral de Proteção de Dados. 
 
14 RUARO; SOUZA, op. cit., p. 202. 
12 
 
No nosso ordenamento jurídico, como dito antes, a LGPD não foi em todo uma 
inovação, pois já existiam algumas leis dispersas que cuidavam de alguns aspectos 
do tratamento de dados. Além, é claro, dos Tratados dos quais o Brasil é signatário 
que garantem a proteção da vida privada e da própria ConstituiçãoFederal que prevê 
a privacidade como direito fundamental, também podemos citar o Código de Defesa 
do Consumidor (Lei nº 8.078/1990), que trata dos bancos de dados e do direito de 
acesso do consumidor às informações ali armazenadas; o Código Civil (Lei nº 
10.406/2002), que trata dos direitos de personalidade e garante da vida privada; a Lei 
do Habeas Data (Lei nº 9.507/97), que serve como instrumento para conhecimento e 
retificação de dados em banco de dados públicos; a Lei de sigilo das operações de 
instituições financeira (Lei Complementar nº 105/2001), que estabelece o sigilo 
bancário; o Decreto 6.523/2008, que regulamenta o serviço de SAC e estabelece o 
sigilo dos dados pessoais manuseados; a Lei nº 12.414/2011, que instituiu o cadastro 
positivo para formação de histórico de crédito; a Lei de Acesso à Informação (Lei nº 
12.527/2011), que é um importante marco regulatório que definiu a diferenciação entre 
informações comuns e dados pessoais; e, além de outras tantas, o Marco Civil da 
Internet (Lei nº 12.965/2014), junto ao seu regulamento (Decreto 8.771/2016), 
certamente a legislação mais abrangente sobre proteção de dados pessoais antes da 
LGPD, mas que conta com limitações que inviabilizam a sua aplicação em 
determinados contextos. 
Aqui merece destaque o Marco Civil da Internet, tendo em vista a semelhança 
com a Lei nº 13.709/2018. A principal diferença entre as duas normas está no fato de 
que o Marco Civil está limitado em sua abrangência ao tratamento de dados realizado 
na internet. Ou seja, seria necessário que, ao menos em algum momento, os dados 
tenham passado pela rede mundial de computadores15. 
Neste cenário surgiu a proposta legislativa apresentada pelo Deputado Milton 
Monti, ainda em 2012. Ressalte-se que a tramitação se prolongou por muitos anos. 
Entre arquivamentos e desarquivamentos, foram propostas duas audiências públicas 
que contaram com a participação de muitas autoridades sobre o assunto para 
discussão e debate. Os debates também ocorreram no âmbito de outras propostas 
 
15 COTS, Márcio. Lei Geral de Proteção de Dados Pessoais Comentada. 2. ed. ver., atual. e amp. 
São Paulo: Thomson Reuteurs Brasil, 2019, p. 36. 
13 
 
semelhantes que tramitavam concomitantemente, e de certa foram contribuíram para 
o resultado final. Assim, com a proposta de suprir a lacuna de uma norma mais 
abrangente e que pudesse nortear o tratamento de dados pessoais em todos os 
setores, incluindo o público, e que também firmasse os princípios e fundamentos 
envolvidos no processo, foi promulgada, em 14 de agosto de 2018, a Lei nº 
13.709/2018, cuja vigência, à exceção das sanções administrativas e após diversas 
discussões, decorreu da aprovação pelo Senado da MP nº 959/2020, passando a ser 
aplicável a partir de 18/09/2020. 
A lei veio como resposta ao iminente risco de entrave nos negócios do nosso 
país em relação ao continente europeu, tendo em vista que a regulamentação de lá 
exige que os países que tenham ou que pretendam ter negócios em países 
acobertados pela GDPR apresentem um nível mínimo de segurança e proteção dos 
dados pessoais dos titulares. Ou seja, uma empresa brasileira enfrentaria problemas 
em realizar negócios na Europa caso não apresentasse uma política de tratamento de 
dados adequada àquela legislação. 
Nas palavras de Gustavo Artese, “a lei protege os dados (pessoais) para 
proteger as pessoas” 16. O objetivo da Lei Geral de Proteção de Dados Pessoais é 
definir parâmetros de utilização considerados aceitáveis em relação ao tratamento de 
dados pessoais, dentro de critérios éticos, morais, principiológicos e técnicos, de 
maneira a assegurar o respeito e a observância de direitos fundamentais como a 
privacidade e o direito à livre expressão, por exemplo, além de tantos outros. 
 
2. ANÁLISE DA LEI GERAL DE PROTEÇÃO DE DADOS (LEI Nº 13.709/18) 
 
Logo de início, no capítulo destinado às disposições preliminares da lei, 
percebe-se que o legislador se preocupou em definir uma série de conceitos, 
fundamentos e princípios para a lei. Os fundamentos e princípios serão objeto de 
análise no próximo tópico, razão pela qual me atentei, neste momento, em apresentar 
a lei em si, sua estrutura e alguns aspectos considerados importantes. 
 
16 ARTESE, op. cit., p. 145. 
14 
 
Conforme Laura Schertel e Danilo Doneda17, a lei apresenta três 
características básicas: (i) adoção de um conceito amplo de dado pessoal; (ii) 
necessidade de base legal para qualquer tratamento de dados; e (iii) existência de um 
legítimo interesse capaz de justificar o tratamento. 
A adoção ampla do conceito de dado pessoal, que se abstrai do inciso I do 
art. 5º, permite concluir que a aplicação da lei se dá para todo e qualquer tratamento 
realizado, razão pela qual as hipóteses de não aplicação devem estar previstas na lei. 
E assim se observa no art. 4º, que delimita os casos em que não se aplicará a lei. A 
lei não se aplicará quando o tratamento de dados for: (i) realizado por pessoa natural 
para fins exclusivamente particulares e não econômicos; (ii) realizado para fins 
exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos; (iii) realizado para fins 
exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou 
d) atividades de investigação e repressão de infrações penais; ou (iv) proveniente de 
fora do território nacional e que não seja objeto de comunicação, uso compartilhado 
de dados com agentes de tratamento brasileiros ou objeto de transferência 
internacional de dados com outro país que não o de proveniência, desde que o país 
de proveniência proporcione grau de proteção de dados pessoais adequado ao 
previsto nesta Lei. 
Note-se que a lei também traz a anonimização como procedimento técnico 
capaz de afastar a sua incidência, vide art. 12. A anonimização é a utilização de meios 
técnicos razoáveis capazes de evitar a associação da informação a uma pessoa, ou 
seja, quando não seria mais possível individualizar o dado, ainda que agregado a 
outros elementos informativos. A exceção ao afastamento da incidência da lei pode 
ocorrer caso seja possível reverter o processo de anonimização, sendo que o 
parágrafo primeiro do artigo 12 prevê que o “meio técnico razoável” para adoção do 
procedimento deve levar em conta fatores objetivos, tais como custo e tempo 
necessários para sua reversão, de acordo com as tecnologias disponíveis. Segundo 
comentários de Isabelle da Nóbrega Rito Carneiro, Luiza Caldeira Leite Silva e 
 
17 MENDES, Laura Schertel; DONEDA, Danilo. Comentário à nova lei de proteção de dados (lei 
13.709/2018): o novo paradigma da proteção de dados no brasil. Revista de Direito do Consumidor, 
Rio de Janeiro. v. 120/2018, nov - dez. 2018, p. 22. 
15 
 
Danielle Tabach18, o parágrafo primeiro do art. 12 serve como balizador de possível 
subjetividade que pode ser atribuída ao processo de reversão da anonimização, tendo 
em vista que os avanços tecnológicos facilitam essa prática, priorizando a segurança 
do meio técnico utilizado como critério. 
O art. 3º da lei confere extraterritorialidade à lei, pois prevê que o tratamento 
de dados, ainda que realizado por empresa estrangeira e que os dados não estejam 
localizados aqui, desde que ofereça bens ou serviços em território brasileiro, está 
sujeita a sua aplicação. Outro ponto importante deste artigo e que já foi mencionado 
em tópico anterior é que em sua redação consta a expressão “independentemente do 
meio”. Daí decorre a maior abrangência da LGPD em relação ao Marco Civil da 
Internet (Lei nº 12.965/2014), que visa estabelecer princípios, garantias, direitos e 
deveres para o uso da internet, sem possibilidade de extrapolar o seu âmbito. 
No que se refere à conceituação de dados pessoais, a lei traz apenas uma 
distinção importante, que diz respeito aos dados pessoais considerados sensíveis. 
Dado pessoal, de acordo com a definição do art. 5º, inciso I, é a “informaçãorelacionada a pessoa natural identificada ou identificável”. A diferença do dado 
pessoal sensível está no potencial lesivo do conteúdo revelado por este tipo de 
informação, razão pela qual mereceu uma proteção extraordinária pelo legislador. O 
inciso II do referido artigo traz um rol exemplificativo, podendo ser classificados em 
dados pessoais sensíveis de origem (dados sobre origem racial ou étnica), dados 
pessoais sensíveis de crença (convicção religiosa, opinião política, filiação a sindicato 
ou a organização de caráter religioso, filosófico ou político), dados pessoais sensíveis 
sexuais (referente à vida sexual) e dados pessoais sensíveis corporais (dado genético 
ou biométrico). 
Tratamento especial também é conferido aos dados de crianças e 
adolescentes, em razão da vulnerabilidade já reconhecida através do ECA e do art. 
227 da Constituição Federal. Na LGPD há uma seção específica sobre a questão, 
presente no artigo 14. A lei prevê que o tratamento de dados pessoais de crianças e 
adolescentes deve ser realizado levando em conta seu melhor interesse, o que deve 
ser interpretado em conjunto com as demais legislações que dispõem a respeito. 
Ponto importante que se destaca é o consentimento específico de ao menos um dos 
 
18 CARNEIRO, Isabelle da Nóbrega Rito; SILVA, Luiza Caldeira Leite; TABACH, Danielle. In 
FEIGELSON, Bruno; SIQUEIRA, Antonio Henrique Albani. Comentários à Lei Geral de Proteção de 
Dados Lei 13.709/2019. São Paulo: Thomson Reuteurs. 2019, p. RB-2.1. 
16 
 
pais ou responsável legal exigido no parágrafo primeiro, para que o tratamento possa 
ser realizado. 
O armazenamento e/ou tratamento de dados pessoais não pode ocorrer por 
tempo indeterminado, a critério do controlador. Para resolver essa questão, o 
legislador previu, basicamente, quatro casos em que ocorrerá o término do tratamento 
de dados e, consequentemente, a sua eliminação. São os casos: (i) verificação de que 
a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou 
pertinentes ao alcance da finalidade específica almejada; (ii) fim do período de 
tratamento; (iii) comunicação do titular, inclusive no exercício de seu direito de 
revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, 
resguardado o interesse público; ou (iv) determinação da autoridade nacional, quando 
houver violação ao disposto nesta Lei. A hipótese prevista no inciso II prevê que o 
tratamento seja findado nos casos em que o consentimento do titular tenha se dado 
por tempo determinado, ocasião em que só poderá continuar sendo realizado caso se 
renove o consentimento. 
A LGDP se aplica aos dados pessoais tratados pelo poder público da mesma 
forma que para empresas privadas e se dedicou nos artigos 23 ao 30 a dispor sobre 
as regras para tanto. Não diferente do que ocorre nos outros casos, o poder público 
está submetido aos princípios e requisitos para tratamento de dados pessoais, mas o 
caput do art. 23 faz referência aos dispositivos da Lei de Acesso à Informação (Lei nº 
12.527/2011) para definir quais sujeitos estão submetidos a lei, dispondo o parágrafo 
4º que os serviços notariais e de registro exercidos em caráter privado, por delegação 
do poder público, também devem obedecer à lei. 
Seguindo os ditames já estabelecidos por outras normas que regulam o 
exercício do poder público, o tratamento de dados pessoais nesse segmento deve 
observar, sobretudo, o interesse público (caput do art. 23). Não poderia ser diferente. 
Nessa toada, nos incisos do art. 23 se verifica que o legislador previu duas condições 
básicas para o tratamento: (i) fornecer informações claras e atualizadas sob a previsão 
legal que autorizou o tratamento, o que converge no mesmo sentido que as demais 
disposições já apresentadas pela lei; e (ii) indicação de um encarregado responsável 
por assumir as obrigações previstas no art. 41 e seguintes (que dispõe sobre as 
funções do encarregado). 
A lei também trata de outros aspectos particulares relacionados ao 
tratamento, como os parâmetros para a transferência internacional de dados (art. 33 
17 
 
e seguintes), os agentes de tratamento (arts. 37 e 41) e da responsabilização por 
violação aos seus dispositivos (art. 42) com suas respectivas sanções (art. 52), bem 
como possui normas específicas que incentivam a adoção de políticas de segurança 
e sigilo dos dados (art. 46) e de boas práticas e governança de dados (art. 50). No 
entanto, reservei o último espaço deste tópico para discorrer acerca da Autoridade 
Nacional de Proteção de Dados, cuja criação foi vetada quando da sanção da Lei nº 
13.709/2018. Originalmente a autoridade seria constituída como autarquia especial, 
com autonomia econômica, administrativa e técnica. O veto ocorreu em razão da 
presidência entender haver vício de iniciativa do legislador, uma vez que o órgão só 
poderia ser constituído desta forma a partir do Poder Executivo, pois acarretaria novos 
gastos no orçamento público. 
Superada a questão, sobreveio a Medida Provisória 869/2018, posteriormente 
convertida na Lei nº 13.853/2019, que criou a ANPD sob a forma de órgão público da 
administração direta, retirando grande parte da autonomia econômica e 
administrativa. Ainda assim, através do art. 55-B, restou garantida a autonomia técnica 
do órgão, através da qual as decisões tomadas em última instância só poderão ser 
questionadas judicialmente19. 
As competências atribuídas à Autoridade Nacional de Proteção de Dados são 
consistentes em: (i) zelar pela proteção dos dados pessoais, nos termos da legislação; 
(ii) zelar pela observância dos segredos comercial e industrial, observada a proteção 
de dados pessoais e do sigilo das informações quando protegido por lei ou quando a 
quebra do sigilo violar os fundamentos do art. 2º; (iii) elaborar diretrizes para a Política 
Nacional de Proteção de Dados Pessoais e da Privacidade; (iv) fiscalizar e aplicar 
sanções em caso de tratamento de dados realizado em descumprimento à legislação, 
mediante processo administrativo que assegure o contraditório, a ampla defesa e o 
direito de recurso; (v) apreciar petições de titular contra controlador após comprovada 
pelo titular a apresentação de reclamação ao controlador não solucionada no prazo 
estabelecido em regulamentação; (vi) promover na população o conhecimento das 
normas e das políticas públicas sobre proteção de dados pessoais e das medidas de 
segurança; (vii) promover e elaborar estudos sobre as práticas nacionais e 
internacionais de proteção de dados pessoais e privacidade; (viii) estimular a adoção 
 
19 BARROS, Rafael Souza Paiva de. FERREIRA, Gianne Glória Lima. In FEIGELSON, Bruno. 
SIQUEIRA, Antonio Henrique Albani. Comentários à Lei Geral de Proteção de Dados Lei 
13.709/2019. São Paulo: Thomson Reuteurs. 2019, p. RB-9.1. 
18 
 
de padrões para serviços e produtos que facilitem o exercício de controle dos titulares 
sobre seus dados pessoais, os quais deverão levar em consideração as 
especificidades das atividades e o porte dos responsáveis; (ix) promover ações de 
cooperação com autoridades de proteção de dados pessoais de outros países, de 
natureza internacional ou transnacional; (x) dispor sobre as formas de publicidade das 
operações de tratamento de dados pessoais, respeitados os segredos comercial e 
industrial; (xi) solicitar, a qualquer momento, às entidades do poder público que 
realizem operações de tratamento de dados pessoais informe específico sobre o 
âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a 
possibilidade de emitir parecer técnico complementar para garantir o cumprimento 
desta Lei; (xii) elaborar relatórios de gestão anuais acerca de suas atividades; (xiii) 
editar regulamentos e procedimentos sobre proteção de dados pessoais e 
privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para 
os casos em que o tratamento representar alto risco àgarantia dos princípios gerais 
de proteção de dados pessoais previstos nesta Lei; (xiv) ouvir os agentes de 
tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre 
suas atividades e planejamento; (xv) arrecadar e aplicar suas receitas e publicar, no 
relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento 
de suas receitas e despesas; (xvi) realizar auditorias, ou determinar sua realização, 
no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida 
observância do disposto no inciso II do caput deste artigo, sobre o tratamento de 
dados pessoais efetuado pelos agentes de tratamento, incluído o poder público; (xvii) 
celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar 
irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos 
administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro 
de 1942; (xviii) editar normas, orientações e procedimentos simplificados e 
diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de 
pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo 
que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta 
Lei; (xix) garantir que o tratamento de dados de idosos seja efetuado de maneira 
simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da 
Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso); (xx) deliberar, na esfera 
administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas 
competências e os casos omissos; (xxi) comunicar às autoridades competentes as 
19 
 
infrações penais das quais tiver conhecimento; (xxii) comunicar aos órgãos de controle 
interno o descumprimento do disposto nesta Lei por órgãos e entidades da 
administração pública federal; (xxiii) articular-se com as autoridades reguladoras 
públicas para exercer suas competências em setores específicos de atividades 
econômicas e governamentais sujeitas à regulação; e (xxiv) implementar mecanismos 
simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o 
tratamento de dados pessoais em desconformidade com esta Lei. 
 
2.1. Fundamentos e princípios 
 
Empresas privadas e o setor público precisam mostrar que estão preparadas 
para atuar nesse novo cenário de regulação. Infelizmente, se preparar previamente 
parece não ser o forte das empresas brasileiras, pois conforme pesquisas realizadas 
pela Serasa Experian20 e pela equipe de consultoria da ICTS Protiviti21, entre 84% e 
85% das empresas declaram não estar prontas para atender às exigências da Lei 
Geral de Proteção de Dados. De qualquer forma, é necessário que os negócios se 
adaptem à nova realidade que está por vir, e o primeiro passo é compreender os 
fundamentos e princípios previstos na lei, para então poder implementá-los. 
Os fundamentos da LGPD estão dispostos no art. 2º. Observa-se da análise 
do referido artigo que nos seus incisos estão expressos fundamentos que englobam 
todos os aspectos até então apresentados no início deste artigo, senão vejamos: (a) 
o respeito à privacidade; (b) a autodeterminação informativa; (c) a liberdade de 
expressão, de informação, de comunicação e de opinião; (d) a inviolabilidade da 
intimidade, da honra e da imagem; (e) o desenvolvimento econômico e tecnológico e 
a inovação; (f) a livre iniciativa, a livre concorrência e a defesa do consumidor; e (g) 
os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o 
exercício da cidadania pelas pessoas naturais. 
Já os princípios estão previsto no art. 6º, sendo, além da ressaltada boa-fé 
presente no caput: (a) finalidade; (b) adequação; (c) necessidade; (d) livre acesso; (e) 
qualidade dos dados; (f) transparência; (g) segurança; (h) prevenção; (i) não 
 
20 https://www.serasaexperian.com.br/sala-de-imprensa/85-das-empresas-declaram-que-ainda-nao-
estao-prontas-para-atender-as-exigencias-da-lei-de-protecao-de-dados-pessoais-mostra-pesquisa-
da-serasa-experian 
21 https://epocanegocios.globo.com/Tecnologia/noticia/2019/11/84-das-empresas-brasileiras-nao-
estaopreparadas -para-lgpd.html 
20 
 
discriminação; e (j) responsabilização e prestação de contas. Estes princípios estão 
refletidos por todo o escopo da lei, composta por 10 capítulos subdivididos em 
algumas seções. 
Os princípios, por serem os norteadores de todo esse microssistema protetivo, 
merecem apresentação individualizada, razão pela qual serão desenvolvidos a 
seguir22. 
Finalidade: A utilização dos dados somente poderá ocorrer para realizar fins 
específicos informados expressa e previamente ao titular dos dados. Uma nova 
destinação aos dados está sujeita a novo consentimento do consumidor. 
Adequação: diz respeito à compatibilidade da coleta e tratamento dos dados 
com a finalidade especificada na hora de realizar a coleta dos dados. Não pode ocorrer 
tratamento de dados para fins diversos do contexto informado. 
Necessidade: o controlador dos dados deverá coletar o mínimo de dados 
pessoais possíveis para realizar o tratamento. Ou seja, deve haver pertinência na 
coleta do dado para o tratamento pretendido. 
Livre acesso: o titular dos dados deverá poder acessar a qualquer momento 
e de forma facilitada e gratuita os dados que estão sendo tratados, solicitar a 
informação sobre a sua existência, identificação do controlador, duração do 
tratamento e compartilhamento. 
Qualidade dos dados: deve ser garantia a exatidão e a clareza dos dados 
coletados, além de que estes deverão estar sempre atualizados. Além disso, deverá 
poder modificar, solicitar a correção e até mesmo a eliminação dos seus dados 
coletados. 
Transparência: o titular deve ter acesso facilitado ao fluxo dos seus dados, a 
forma que estão sendo utilizados e quem são os sujeitos responsáveis pelo 
tratamento. 
Segurança: o controlador deve empregar meio técnicos razoáveis que 
assegurem a proteção do dado coletado de agentes não autorizados e de possíveis 
adulterações, violação, perda, destruição ou uso indevido. 
Prevenção: todas as medidas de segurança adotadas pelo controlador devem 
visar que se evite incidentes ou problemas através de políticas de governança 
 
22 SIQUEIRA, Antonio Henrique Albani. In FEIGELSON, Bruno; SIQUEIRA, Antonio Henrique Albani. 
Comentários à Lei Geral de Proteção de Dados Lei 13.709/2019. São Paulo: Thomson Reuteurs. 
2019, p. RB-1.1. 
21 
 
voltadas às boas práticas. Complementar o princípio anterior ao incentivar a adoção 
de medidas educativas. 
Não discriminação: proibição de que o controlador utilize os dados coletados 
para fins discriminatórios, ilícitos ou abusivos. 
Responsabilização e prestação de contas: tanto o controlador quanto o 
operador, quando solicitados, deverão comprovar a adoção das medidas tomadas em 
caso de incidentes como exposição ou utilização indevida dos dados. Caso fique 
demonstrado que as medidas não atenderam os critérios de segurança e prevenção 
e que o incidente tenha causado dano ao titular, ambos poderão ser 
responsabilizados. Lei prevê sanções no sentido de indenizar os titulares de dados 
afetados por incidentes, cujo montante varia de 2% do faturamento da empresa até 
50 milhões de reais, bem como a suspensão e até eliminação dos dados pelo 
controlador. 
 
2.2. Requisitos para o tratamento de dados 
 
Representando um dos aspectos mais importantes trazidos pela LGPD, a lei 
previu dez hipóteses em que poderá ocorrer o tratamento de dados pessoais, que 
estão expressamente elencados no art. 7º. Para estar de acordo com a lei, basta que 
o controlador se enquadre em pelo menos uma delas. 
Cumpre destacar que alguns tipos de dados exigem a observância de maiores 
níveis de proteção, como é o caso dos dados pessoais sensíveis ou de dados de 
crianças e adolescentes, como já referido no tópico 2. Para tanto,a lei dispõe de 
dispositivos específicos que garantem essa camada extra de proteção. 
Inobstante, o tratamento de dados pessoais somente poderá ocorrer: (i) 
mediante o fornecimento de consentimento pelo titular; (ii) para o cumprimento de 
obrigação legal ou regulatória pelo controlador; (iii) pela administração pública, para o 
tratamento e uso compartilhado de dados necessários à execução de políticas 
públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou 
instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; (iv) 
para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, 
a anonimização dos dados pessoais; (v) quando necessário para a execução de 
contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte 
o titular, a pedido do titular dos dados; (vi) para o exercício regular de direitos em 
22 
 
processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, 
de 23 de setembro de 1996 (Lei de Arbitragem); (vii) para a proteção da vida ou da 
incolumidade física do titular ou de terceiro; (viii) para a tutela da saúde, 
exclusivamente, em procedimento realizado por profissionais de saúde, serviços de 
saúde ou autoridade sanitária; (ix) quando necessário para atender aos interesses 
legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e 
liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou (x) 
para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. 
Das dez hipóteses previstas no art. 7º, o consentimento pode ser considerado 
o requisito mais controverso23. Isso porque, por ser a expressão da concordância do 
titular com o tratamento de dados, muitas podem ser suas implicações caso não tenha 
se dado de forma válida. De acordo com o art. 5º, inciso XII, o consentimento pode 
ser definido como “manifestação livre, informada e inequívoca pela qual o titular 
concorda com o tratamento de seus dados pessoais para uma finalidade 
determinada”. Essa manifestação pode ser fornecida como uma autorização ampla 
para o tratamento de dados quando nenhuma das outras hipóteses seja possível, o 
que o torna um requisito essencial e de especial relevância, apesar de poder ser 
dispensado em alguns casos especificados na lei. Seu manejo de forma equivocada 
pode provocar afronta a princípios e justamente por isso é que o tema será tratado em 
tópico à parte, a fim de que se possa analisar sua importância. 
A segunda hipótese, assim como todas as seguintes, não está diretamente 
vinculada ao fornecimento de consentimento, visto ser este apenas uma das hipóteses 
autorizativas, entretanto diz respeito aos casos em que, por força de lei, o titular não 
poderá se opor ao tratamento, o qual se dará para fins de obrigação imposta. A 
ocasião exigirá a observância dos demais princípios que regem o tratamento de 
dados, tais como o livre acesso e a transparência no fluxo de dados. 
Exemplo claro da terceira hipótese está na utilização de dados pessoais de 
cidadãos brasileiros para realização de cadastro e habilitação no programa de auxílio 
emergencial criado pelo governo através da Lei nº 13.982/2020, regulamentado pelo 
Decreto nº 10.316/2020, em decorrência da pandemia causada pelo COVID-19. O 
auxílio faz parte de um programa de políticas públicas voltadas para o enfrentamento 
do vírus. 
 
23 CARNEIRO; SILVA; TABACH, op. cit. 
23 
 
A quarta hipótese trata da utilização de dados pessoais para realização de 
pesquisas, podendo ter origem em entidade pública ou privada, desde que sem fins 
lucrativos24. De acordo com este inciso, sempre que possível o controlador deve tomar 
medidas para evitar a identificação do titular, através do processo de anonimização. 
A quinta hipótese se refere a execução de contrato cuja obrigação tenha sido 
firmada no momento da aceitação dos termos pelo consumidor. Pode ser o caso em 
um grupo, contratado pelo controlador, fica responsável pela análise e manipulação 
dos dados coletados. 
A sexta hipótese não precisa de muitos esclarecimentos, tendo em vista que 
a utilização de dados pessoais em processo judicial para fins de exercício regular de 
direito, a depender do caso, está acobertada pelo sigilo judicial, garantindo a proteção 
das informações. 
A sétima hipótese e a oitava hipótese podem ser verificadas no tratamento de 
dados pessoais no âmbito da saúde. Na ponderação de direitos fundamentais, a vida 
sempre prevalecerá em detrimento de outros direitos fundamentais, regra que não faz 
exceção ao caso da privacidade e da proteção de dados pessoais. 
A nona hipótese, que autoriza o tratamento de dados para atender interesse 
legítimo do controlador, apesar de parecer uma ideia vaga, é particularmente 
detalhada no art. 10, que traz um rol exemplificativo de ao menos duas situações: (a) 
apoio e promoção de atividades do controlador; e (b) proteção, em relação ao titular, 
do exercício regular de seus direitos ou prestação de serviços que o beneficiem, 
respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, 
nos termos desta Lei. 
A disposição contida na décima hipótese foi prevista com vistas a viabilizar 
formas de oferecimento de crédito privilegiando os adimplentes25, podendo ser 
exemplificada no caso de utilização dos dados pessoais no Cadastro Positivo. 
 
2.3. Dos direitos do titular 
 
Como forma de garantir o controle do fluxo de dados pessoais do titular, a 
LGPD instrumentalizou, em diversas disposições legais ao longo dos arts. 17 a 22, 
uma série de direitos, que serão suscintamente descritos. 
 
24 COTS, op. cit., p. 82. 
25 COTS, op. cit., p. 87. 
24 
 
Além de outros direitos decorrentes da observância dos princípios já 
enumerados, bem como de previsões expressas no texto da lei em outros momentos, 
a LGPD, nos termos do art. 18, garante os seguintes direitos26: (i) confirmação da 
existência de tratamento; (ii) acesso aos dados; (iii) correção de dados incompletos, 
inexatos ou desatualizados; (iv) anonimização, bloqueio ou eliminação de dados 
desnecessários, excessivos ou tratados em desconformidade com o disposto nesta 
Lei; (v) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante 
requisição expressa, de acordo com a regulamentação da autoridade nacional, 
observados os segredos comercial e industrial; (vi) eliminação dos dados pessoais 
tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16; (vii) 
informação das entidades públicas e privadas com as quais o controlador realizou uso 
compartilhado de dados; (viii) informação sobre a possibilidade de não fornecer 
consentimento e sobre as consequências da negativa; (ix) revogação do 
consentimento, nos termos do § 5º do art. 8º. 
Os dois primeiros direitos previstos no art. 18 dispõem sobre a possibilidade 
de confirmação da existência de tratamento e acesso aos dados pessoais existentes 
junto aos controladores. Notadamente se percebe uma referência aos princípios do 
livre acesso, da qualidade dos dados e da transparência insculpidos no art. 6º, incisos 
IV, V e VI. Nada mais são do que um direito básico à informação sobre os dados do 
titular. 
O direito de retificação de dados incompletos, no inciso III, dispõe acerca da 
garantia do titular de modificar as informações a seu respeito constantes de bancos 
de dados dos controladores. 
No inciso IV, constata-se o direito à anonimização, eliminação ou bloqueio dos 
dados considerados desnecessários ou que não estejam sendo tratados conforme a 
lei. Faz referência ao princípio da necessidade disposto no art. 5º, inciso III. 
O direito de portabilidade do inciso V diz respeito ao direito de o titular solicitar 
a transferência dos seus dados para outro fornecedor de produtos ou serviços, assim 
como ocorre nos serviços de telefonia móvel, desde que o pedidoseja realizado 
expressamente. 
 
26 BECKER, Daniel; RODRIGUES, Roberta de Brito. In FEIGELSON, Bruno; SIQUEIRA, Antonio 
Henrique Albani. Comentários à Lei Geral de Proteção de Dados Lei 13.709/2019. São Paulo: 
Thomson Reuteurs. 2019, p. RB-3.1. 
25 
 
O direito de eliminação previsto no inciso VI trata apenas de uma garantia de 
que o titular poderá excluir seus dados, em ocasião que não seja aquele identificada 
no art. 16, ou seja, quando não houver mais interesse. 
A previsão do inciso VII faz referência aos casos em que o titular teve seus 
dados compartilhados com entidades públicas, na esteira da hipótese autorizativa de 
tratamento de dados prevista no art. 7º, incisos III e IV. 
O direito previsto no inciso VIII merece destaque por estar relacionado ao 
tema abordado no último tópico: consentimento. Trata-se do direito de ser informado 
das consequências do não fornecimento do consentimento. Correlaciona-se com o 
direito previsto no inciso IX, que traz a possibilidade de revogar o consentimento. 
 
3. TRATAMENTO DE DADOS PESSOAIS E O PAPEL DO CONSENTIMENTO DO 
TITULAR 
 
A Lei Geral de Proteção de Dados Pessoais exige, dentre outros requisitos já 
analisados, o consentimento do titular para que o controlador possa tratar dados 
pessoais. Apesar das exceções previstas, é de suma importância observar a evolução 
do papel do consentimento no paradigma da sociedade da informação, a partir do que 
Danilo Doneda descreve como as gerações das leis de proteção de dados27. 
Em síntese, a primeira geração de leis foi criada com a visão de que a 
tendência tecnológica seria de criação de grandes bancos de dados controlados pelos 
órgãos públicos. A proteção jurídica era voltada para estes centros da informação e 
não para a privacidade em si, pois havia um temor sobre o que a evolução tecnológica 
lastreada pela disseminação dos computadores poderia proporcionar. Por isso, sob 
nenhuma perspectiva as leis previam a participação do titular, apenas traziam 
disposições rígidas que visavam o controle da criação desses bancos de dados. 
Na segunda geração, motivada pela Lei Francesa de Proteção de Dados 
Pessoais, o cenário tomou outros contornos e a privacidade e a proteção de dados 
pessoais ganhou notoriedade como uma liberdade negativa, ou seja, cujo exercício 
dependia exclusivamente do titular interessado em ter esses direitos garantidos. Neste 
momento é que o consentimento se tornou importante instrumento de exercício do 
controle e da liberdade das informações do titular. 
 
27 DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Revista Espaço 
Jurídico, Joaçaba. v. 12, n. 2, jul - dez. 2011, p. 96. 
26 
 
A terceira geração de leis foi impulsionada pela mudança de paradigma 
firmada no entendimento de que o fornecimento de dados pessoais havia se tornado 
essencial para que os titulares pudessem participar da vida social. Buscou-se 
instrumentalizar formas de efetivar a liberdade do titular na sua escolha de fornecer, 
modificar ou remover os dados fornecidos, ganhando força a autodeterminação 
informativa. O tratamento de dados pessoais foi enfrentado como um processo, e não 
como um único momento, em que apenas se optaria por consentir ou não. 
Finalmente, avançando até a quarta geração, que vivemos atualmente, temos 
uma geração de leis que eleva o papel do indivíduo no processo de tratamento de 
dados, no sentido de possibilitar o restabelecimento de um equilíbrio nas relações 
entre os titulares e os controladores dos dados, assim como ocorre nas relações de 
consumo, em que se confere especial proteção ao consumidor em decorrência do 
reconhecimento da sua vulnerabilidade na relação. 
Na quarta geração de leis, vale ressaltar, ao mesmo tempo em que o indivíduo 
conquista essa força na relação, as leis também reconhecem uma excepcionalidade 
que reduz seu poder: a de que o titular não deve ter o controle total de como certos 
dados pessoais são tratados. A representação disto é verificada na especialidade 
conferida aos dados pessoais considerados sensíveis. Na Lei nº 13.709/2018, por 
exemplo, em seu artigo 11, constata-se que somente nos casos ali indicados poderá 
haver tratamento de dados pessoais sensíveis pelo controlador. 
Portanto, observando a evolução das leis de proteção de dados descrita por 
Doneda fica evidente que o consentimento possui papel primordial no controle do fluxo 
de informações. Inobstante, é inevitável que outra dúvida seja levantada a respeito do 
consentimento, ainda mais sob o enfoque da LGPD: o que define o consentimento e 
como ele é expresso na lei? Uma reflexão rápida permite concluir que o consentimento 
pode ser definido como a expressão de uma vontade, mas a leitura mais aprofundada 
sobre o tema permite trazer outras definições. 
Em resposta a esse questionamento, tenho que o consentimento, conforme 
leciona Bruno Bioni28, pode assumir vários adjetivos, cuja valoração varia conforme o 
grau de controle conferido ao titular no fluxo de dados. 
 
28 BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. 
Rio de Janeiro: Forense, 2019, p. 187. 
27 
 
No primeiro grau de controle temos o consentimento informado29, em que o 
controlador dos dados deve informar de forma ostensiva e perceptível que o usuário 
terá seus dados tratados. O tratamento baseado no consentimento informado, quando 
utilizado em excesso, pode causar desinformação ao consumidor, pois o conteúdo 
cujo consentimento será aproveitado deve ser capaz de desencadear o entendimento 
de todo o processo de tratamento, já que consentimento quantitativo não é sinônimo 
de consentimento qualitativo. Aliás, o aspecto qualitativo está estritamente ligado à 
transparência. Somente quando o consumidor é capaz de compreender com clareza 
o fluxo dos seus dados pessoais em um processo é que o consentimento informado 
atinge o seu fim, que é o de permitir o controle das suas informações. A LGPD traz o 
consentimento informado correlacionado ao princípio da transparência, elencado no 
art. 6º, inciso VI, o qual dispõe que devem ser garantidas informações clara, precisas 
e facilmente acessíveis ao titular. 
Já no segundo grau temos o consentimento livre30, que é caracterizado pela 
opção do titular em escolher de forma fragmentada o tipo de dado que poderá ser 
tratado. A lógica por trás do consentimento livre está no distanciamento da ideia de 
política de privacidade baseada no tudo ou nada, em que ou se dá permissão para 
todo tipo de tratamento dos dados ou não. É também chamado de consentimento 
granular. Na LGPD a representação deste tipo de consentimento é retirada da 
interpretação dada ao art. 9º, parágrafo 3º, que prevê em sua última parte que o titular 
dos dados deverá ser informado sobre os meios de exercer os direitos previstos no 
art. 18 (direitos do titular). 
No terceiro grau temos o consentimento inequívoco e com finalidade 
determinada31. Este grau de controle está correlacionado ao princípio da finalidade 
previsto no art. 6º, inciso I da LGPD. A finalidade está atrelada ao propósito do 
tratamento dado à informação coletada. Em outras palavras, o consentimento deve 
sempre estar vinculado ao destino informado pelo controlador dos dados. Outra 
característica importante do controle do fluxo de dados conferido neste grau está no 
abandono de políticas de privacidade baseada no consentimento genérico, ou seja, 
na afirmação de que “os dados serão utilizados para melhorar a experiência do 
usuário”. 
 
29 Ibidem, p. 188. 
30 Ibidem, p. 194. 
31 Ibidem, p. 195. 
28 
 
Por fim, no último grau temos o consentimento específico e expresso32. Neste 
grau há o que o Bioni denomina de carga máxima de participação do titular, pois 
representa o maior nível de interação. Esta adjetivação preconiza um zelo maior pelo 
fluxo, uma camada a mais de proteção exigida em conformidade com o risco 
assumido. O consentimento específicoé exigido, por exemplo, nos casos de 
tratamento de dados pessoais sensíveis (art. 11, inciso I), tratamento de dados de 
crianças e adolescentes (art. 14, parágrafo 1º) e no caso de transferência internacional 
de dados (art. 33, inciso VIII). 
Essas são, enfim, as adjetivações do consentimento, todas identificadas em 
algum momento na redação da LGPD, e que são o resultado da evolução das 
legislações protetivas de dados pessoais, as quais visam empoderar os consumidores 
no processo decisório consistente no fornecimento de dados. Sem a sua devida 
valorização, o tratamento de dados pessoais pode representar potencial lesivo ao 
titular, tal como discorrido no tópico relativo à importância da privacidade e da proteção 
de dados. Daí porque valer-se do consentimento como única hipótese autorizativa de 
tratamento de dados pessoais exige um cuidado redobrado por parte de quem lida 
com esse tipo de informação. 
 
CONSIDERAÇÕES FINAIS 
 
No decorrer do presente artigo foi possível notar que a sociedade como um 
todo viveu, nas últimas décadas, grandes mudanças ocasionadas pela evolução 
tecnológica. Um novo movimento surgiu a partir disto e foi o que deu origem à 
mudança de paradigma para a sociedade da informação, uma sociedade que baseia 
suas relações nas tecnologias da informação. Neste meio, a privacidade, que 
timidamente começou a ganhar um espaço nos debates jurídicos na época de 1890, 
através da obra norte americana “The right of privacy”, de autoria de Samuel Warren 
e Louis Brandeis, passou a tomar contornos jurídicos em diversos países e até no 
âmbito de tratados internacionais. A notoriedade deste direito foi motivada por 
mudanças tecnológicas que culminaram na exposição da vida privada de 
consumidores nos mais diversos ambientes, mas que foi potencializada na internet. 
 
32 Ibidem, p. 198. 
29 
 
Como resultado disso e impulsionada pela entrada em vigor da norma 
regulamentadora de tratamento de dados europeia em maio de 2018, o Brasil, em 
agosto do mesmo ano, entrou no cenário de países que contam com uma norma 
protetiva aos dados pessoais. Neste cenário surge a Lei nº 13.709/2018, também 
conhecida como Lei Geral de Proteção de Dados Pessoais, fortemente inspirada na 
norma europeia. Nossa lei conta com diretrizes principiológicas que norteiam o 
tratamento de dados pessoais e consolida instrumentos já existentes criados pelo 
Marco Civil da Internet, como o livre acesso às informações, a retificação de dados e 
até mesmo a possibilidade de solicitação de eliminação. 
A LGPD expressa fundamentos que englobam e levam em consideração toda 
essa mudança de paradigma, a exemplo da proteção à vida privada, bem como 
aspectos apresentados no decorrer do artigo, a saber: (a) o respeito à privacidade; (b) 
a autodeterminação informativa; (c) a liberdade de expressão, de informação, de 
comunicação e de opinião; (d) a inviolabilidade da intimidade, da honra e da imagem; 
(e) o desenvolvimento econômico e tecnológico e a inovação; (f) a livre iniciativa, a 
livre concorrência e a defesa do consumidor; e (g) os direitos humanos, o livre 
desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas 
pessoas naturais. 
Importante destacar que a lei garante que o tratamento de dados só pode 
ocorrer caso possa se enquadrar dentro de uma das dez hipóteses autorizativas do 
art. 7º. Dentre essas hipóteses, destaca-se o consentimento, conceituado no art. 5º, 
inciso XII, como “manifestação livre, informada e inequívoca pela qual o titular 
concorda com o tratamento de seus dados pessoais para uma finalidade 
determinada”. 
No decorrer do artigo, notou-se que o papel do consentimento a partir da 
segunda geração de leis de proteção de dados só aumentou, chegando a ponto de 
que na quarta geração, a qual vivemos atualmente, o legislador passou a reconhecer 
que certos dados, por serem potencialmente lesivos, deveriam ganhar tratamento 
mais rígido e de certa forma até mesmo limitando o poder de escolha do titular em 
relação a estes. É o que ocorre no tratamento de dados pessoais considerados 
sensíveis ou no tratamento de dados de crianças e adolescentes, que exigem uma 
camada extra de proteção especificada na lei. 
Observou-se que o consentimento dentro da LGPD pode assumir vários 
adjetivos, que variam conforme o grau de participação do titular no fluxo dos dados. 
30 
 
Do mais básico ao mais participativo nível: consentimento informado; consentimento 
livre; consentimento inequívoco e com finalidade determinada e o consentimento 
específico e expresso. Cada um desses níveis pode ser verificado em algum momento 
dentro do escopo da lei, representando a importância dessa manifestação dada pelo 
titular conforme o nível de proteção que deve ser dado à informação. Isso releva a 
importância de que o titular deve ter o controle do fluxo de dados a seu respeito, sob 
pena de comprometimento do processo de tratamento de dados e frustração do 
objetivo da lei, que é garantir a proteção desses dados. 
 
REFERÊNCIAS 
 
ARTESE, Gustavo. Privacidade e proteção de dados pessoais: a diluição do 
consentimento e a responsabilidade demonstrável (accountability). Revista 
Fórum de Direito na Economia Digital, Belo Horizonte. ano 1, no 01, p. 141-162. jul-
dez. 2017. 
 
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do 
consentimento. Rio de Janeiro: Forense, 2019. 
 
CASTELLS, Manuel. A era da informação: economia, sociedade e cultura. A 
sociedade em rede, São Paulo: Paz e Terra, 6ª ed. v.1. 1999. 
 
COTS, Márcio. Lei Geral de Proteção de Dados Pessoais Comentada. 2. ed. ver., 
atual. e amp. São Paulo: Thomson Reuteurs Brasil, 2019. 
 
DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. 
Revista Espaço Jurídico, Joaçaba. v. 12, n. 2. p. 91-108, jul - dez. 2011. 
 
__________. Da privacidade à proteção de dados pessoais: elementos da 
formação da Lei geral de proteção de dados. 1 ed. São Paulo: Thomson Reuters 
Brasil, 2019. 
 
FEIGELSON, Bruno; SIQUEIRA, Antonio Henrique Albani. Comentários à Lei Geral 
de Proteção de Dados Lei 13.709/2019. São Paulo: Thomson Reuteurs. 2019. 
31 
 
 
FERREIRA, Keila Pacheco. A Privacidade no Ambiente Virtual: Avanços e 
Insuficiências da Lei Geral de Proteção de Dados no Brasil (Lei 13.709/18). 
Revista de Direito do Consumidor, Rio de Janeiro. v. 122/2019. p. 181-202, mar - abr. 
2019. 
 
RUARO, Regina Linden; SOUZA, Fernando Inglez de. Cenários da regulação da 
proteção de dados pessoais e os desafios de uma tutela efetiva no ordenamento 
jurídico brasileiro: a internet e suas implicações na privacidade e na proteção 
de dados pessoais. Interesse Público – IP, Belo Horizonte, ano 19, n. 103, p. 197-
216, mai – jun. 2017. 
 
SILVA, Joseane Suzart Lopes. A proteção de dados pessoais dos consumidores 
e a Lei 13.709/2018: em busca da efetividade dos direitos à privacidade, 
intimidade e autodeterminação. Revista de Direito do Consumidor, Rio de Janeiro. 
v. 121/2019. p. 367-418, jan - fev. 2019. 
 
LINKS ACESSADOS 
 
84% das empresas brasileiras não estão preparadas para a LGPD. Época Negócios 
Online, 14 de nov. de 2019. Disponível em: 
<https://epocanegocios.globo.com/Tecnologia/noticia/2019/11/84-das-empresas-
brasileiras-nao-estaopreparadas-para-lgpd.html>. Acesso em 09 de abr. de 2020. 
 
85% das empresas declaram que ainda não estão prontas para atender às exigências 
da Lei de Proteção de Dados Pessoais, mostra pesquisa da Serasa Experian. Serasa 
Experian, 08 de ago. de 2019. Disponível em: 
<https://www.serasaexperian.com.br/sala-de-imprensa/85-das-empresas-declaram-
que-ainda-nao-estao-prontas-para-atender-as-exigencias-da-lei-de-protecao-de-
dados-pessoais-mostra-pesquisa-da-serasa-experian>. Acesso em 09 de abr. de 
2020. 
 
BBC. Entenda o escândalo de uso político de dados que derrubou valor do Facebook 
e o colocou na mira de autoridades. G1, 08 deago. de 2018. Disponível em: 
32 
 
<https://g1.globo.com/economia/tecnologia/noticia/entenda-o-escandalo-de-uso-
politico-de-dados-que-derrubou-valor-do-facebook-e-o-colocou-na-mira-de-
autoridades.ghtml>. Acesso em 31 de mar. de 2020. 
 
LAVADO, Tiago. Samsung apresenta Ballie, robô assistente para casas conectadas. 
G1, 07 de jan. de 2020. Disponível em: 
<https://g1.globo.com/economia/tecnologia/ces/2020/noticia/2020/01/07/samsung-
apresenta-ballie-robo-assistente-para-casas-conectadas.ghtml>. Acesso em 11 de 
mar. de 2020. 
 
VEIGA, Igor. Homem dirige carro a distância via conexão 5G de internet; confira o 
vídeo. Portal O Tempo, 20 de set. de 2019. Disponível em 
<https://www.otempo.com.br/super-motor/homem-dirige-carro-a-distancia-via-
conexao-5g-de-internet-confira-o-video-1.2239363>. Acesso em 11 de mar. de 2020. 
 
LEGISLAÇÃO CONSULTADA 
 
BRASIL. Lei nº 13.709/2018, de 14 de agosto de 2018. Brasília, DF, 2018.