Leis, Políticas e Normas de Segurança da Informação - Livro-Texto Unidade III

Prévia do material em texto

130
Unidade III
Unidade III
Nesta unidade, vamos tratar de temas mais objetivamente relacionados com a proteção de dados 
e de seus titulares. Para isso, é importante conhecermos dois marcos regulatórios recentes no Brasil: o 
Marco Civil da Internet e a Lei Geral de Proteção de Dados (LGPD).
Em seguida, vamos estudar as normas de segurança da informação, as normas ISO 27000 e as 
políticas, os procedimentos e os padrões nacionais e internacionais de segurança da informação.
5 MARCO CIVIL DA INTERNET – LEI N. 12.965 DE 2014
A Lei n. 12.965, de 23 de abril de 2014 (BRASIL, 2014), trata dos princípios, das garantias, dos direitos 
e deveres para o uso da internet no Brasil e determina as diretrizes para a atuação da União, dos 
Estados, do Distrito Federal e dos Municípios em relação à matéria. A lei determina os parâmetros que 
serão aplicados no Brasil ao uso dessa rede de computadores de alcance mundial, que convencionamos 
chamar de internet.
Como estamos diante de temas novos que utilizam terminologia própria, a Lei n. 12.965, de 2014, 
utiliza um pequeno glossário para que todos compreendam da mesma forma os termos por ela utilizados. 
Assim, o artigo 5º especifica que:
Art. 5º – Para os efeitos desta Lei, considera-se:
I – internet: o sistema constituído do conjunto de protocolos lógicos, 
estruturado em escala mundial para uso público e irrestrito, com a 
finalidade de possibilitar a comunicação de dados entre terminais por meio 
de diferentes redes;
II – terminal: o computador ou qualquer dispositivo que se conecte à internet;
III – endereço de protocolo de internet (endereço IP): o código atribuído a 
um terminal de uma rede para permitir sua identificação, definido segundo 
parâmetros internacionais;
IV – administrador de sistema autônomo: a pessoa física ou jurídica que 
administra blocos de endereço IP específicos e o respectivo sistema autônomo 
de roteamento, devidamente cadastrada no ente nacional responsável pelo 
registro e distribuição de endereços IP geograficamente referentes ao País;
131
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
V – conexão à internet: a habilitação de um terminal para envio e recebimento 
de pacotes de dados pela internet, mediante a atribuição ou autenticação de 
um endereço IP;
VI – registro de conexão: o conjunto de informações referentes à data e hora 
de início e término de uma conexão à internet, sua duração e o endereço 
IP utilizado pelo terminal para o envio e recebimento de pacotes de dados;
VII – aplicações de internet: o conjunto de funcionalidades que podem ser 
acessadas por meio de um terminal conectado à internet; e
VIII – registros de acesso a aplicações de internet: o conjunto de informações 
referentes à data e hora de uso de uma determinada aplicação de internet a 
partir de um determinado endereço IP (BRASIL, 2014).
A lei determina que o uso da internet no Brasil terá como fundamento a liberdade de expressão, que, 
como vimos, é um direito fundamental garantido pela lei mais importante do país, a Constituição Federal.
Além da liberdade de expressão, são fundamentos da utilização da internet no Brasil, conforme o 
artigo 2º (BRASIL, 2014):
• O reconhecimento da escala mundial da rede.
• Os direitos humanos, o desenvolvimento da personalidade e o exercício da cidadania por 
meios digitais.
• A pluralidade e a diversidade.
• A abertura e a colaboração.
• A livre iniciativa, a livre concorrência e a defesa do consumidor.
• A finalidade social da rede.
Todos esses aspectos são tratados pela Constituição Federal brasileira, como estudamos 
anteriormente. Direitos humanos são tratados no Brasil como direitos fundamentais individuais e 
coletivos; a personalidade da pessoa natural, seu direito ao nome, à honra, à dignidade e à privacidade 
são protegidos pela Constituição Federal e pelo Código Civil; a livre iniciativa e a livre concorrência 
também são objeto de proteção na Constituição Federal, porque são princípios da ordem econômica; 
e o direito do consumidor e, consequentemente, os deveres dos fornecedores de produtos e serviços 
também foram estudados por nós.
A finalidade social da rede é um princípio que vem ao encontro da função social da propriedade 
e dos contratos, como vimos nos estudos de direito constitucional, de direito civil e de direito do 
132
Unidade III
consumidor. De fato, não há nenhuma atividade praticada na sociedade brasileira que possa descumprir 
a finalidade social, ou seja, que possa ser praticada sem respeitar os princípios que protegem as pessoas 
naturais, seus vínculos como família, trabalho e qualquer outra atividade que realizam no âmbito da 
vida social. Não seria diferente com a rede mundial de computadores, que, afinal, é também uma forma 
de relacionamento social que estabelecemos, embora não seja presencial, e sim digital.
O Marco Civil da Internet estabelece, também, princípios que deverão ser expressamente respeitados 
em todas as atividades que forem realizadas na rede. São eles:
• Garantia da liberdade de expressão, comunicação e manifestação de pensamento, nos termos da 
Constituição Federal.
• Proteção da privacidade.
• Proteção dos dados pessoais, na forma da lei.
• Preservação e garantia da neutralidade de rede.
• Preservação da estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas 
compatíveis com os padrões internacionais e pelo estímulo ao uso de boas práticas.
• Responsabilização dos agentes de acordo com suas atividades, nos termos da lei.
• Preservação da natureza participativa da rede.
• Liberdade dos modelos de negócios promovidos na internet, desde que não conflitem com os 
demais princípios estabelecidos nessa lei.
Esses princípios, segundo determina a lei, não excluem outros igualmente previstos no ordenamento 
jurídico brasileiro e que se relacionam com a matéria. Não excluem, também, os tratados internacionais 
sobre a matéria dos quais o Brasil seja signatário, ou seja, tenha assinado e se comprometido a cumprir.
O professor Celso Antonio Pacheco Fiorillo, sobre o princípio da neutralidade da rede, explica que:
O que pretende o aludido artigo é assegurar que todas as informações 
que trafegam na rede devam ser tratadas da mesma forma, navegando à 
mesma velocidade, sendo referido princípio que garantiria o livre acesso 
a qualquer tipo de informação na rede. Daí a inclusão de Seção específica 
(Seção I – Da Neutralidade na Rede – art. 9º), que procura estabelecer regras 
jurídicas destinadas a assegurar a referida neutralidade da rede visando uma 
internet com tecnologia livre e aberta e possibilitando uma comunicação 
democrática dentro de uma interpretação isonômica destinada a observar 
o uso do conteúdo. Claro está que o princípio da preservação e garantia 
da neutralidade da rede deverá necessariamente ser observado em face do 
133
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
princípio da responsabilização dos agentes de acordo com suas atividades, 
conforme indica o inciso VI do artigo 3º da Lei n.º 12.965 de 2014 [...] 
(FIORILLO, 2015, p. 38).
De fato, a responsabilidade dos agentes por danos decorrentes de conteúdo gerado por terceiros é 
tratada em campo específico da lei, artigo 18 e seguintes, como veremos, e é um dos temas de maior 
relevância no Marco Civil da Internet.
Também é importante a garantia da liberdade de modelos de negócios promovidos na internet, sabido 
que, na atualidade, por múltiplos motivos, as compras on-line alcançam cada vez maior volume de adesão no 
Brasil e tendem a se tornar importantes nas diferentes atividades econômicas. É preciso que haja garantia de 
que serão exercidas com respeito à legislação existente e às normas de segurança da informação.
O Marco Civil da Internet regula, também, os direitos e as garantias dos usuários de internet e 
considera que o acesso à rede é essencial para o exercício da cidadania; por isso, os usuários devem estar 
sempre protegidos. Os principais direitos e garantias dos usuários fixados na lei são:
• Inviolabilidadeda intimidade e da vida privada, sua proteção e indenização pelo dano material ou 
moral decorrente de sua violação. Observe que esse direito tem total correlação com a necessidade 
de mecanismos eficientes de segurança da informação.
• Inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo quando houver ordem 
judicial para quebra desse sigilo, em razão de necessidade que contemple interesse público, que, 
como vimos, sempre se sobrepõe ao interesse privado.
• Inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial que 
viabilize o acesso a esses dados.
• Não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização, 
ou seja, pelo não pagamento dos valores dos serviços contratados junto ao servidor.
• Manutenção da qualidade contratada da conexão à internet.
• Informações claras e completas constantes dos contratos de prestação de serviços, com 
detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a 
aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar 
sua qualidade. Ou, em outras palavras, o contrato não deve pactuar apenas dimensões técnicas 
e condições de pagamento, mas, também, a proteção dos registros de conexão e acesso, o que é 
muito relevante para a proteção do usuário.
• Não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão e de acesso a 
aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses 
previstas em lei. Aqui, também é um direito do usuário diretamente decorrente da necessidade de 
mecanismos eficientes de segurança da informação.
134
Unidade III
• Informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus 
dados pessoais, que somente poderão ser utilizados para finalidades que justifiquem a coleta, não 
sejam vetadas pela legislação e estejam especificadas nos contratos de prestação de serviços, ou 
em termos de uso de aplicações da internet.
• Consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que 
deverá ocorrer de forma destacada das demais cláusulas contratuais; ou seja, o usuário deve 
consentir de forma expressa, o que significa dizer, por escrito ou de outra forma que se possa provar, 
que seus dados pessoais podem ser utilizados, mesmo que seja apenas para armazenamento.
• Exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, 
a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda 
obrigatória de registros previstas na lei; ou seja, o dados só poderão permanecer armazenados 
durante o período de tempo em que tiverem utilidade para o consentimento que foi dado. Depois 
disso, devem ser excluídos de forma definitiva, com total segurança.
• Publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de 
aplicações de internet. É direito do usuário saber que determinada informação é publicitária e, 
ainda, quais as políticas de uso dos provedores de conexão à internet, para que possa ter segurança 
sobre a prestação de serviços contratada.
• Acessibilidade para viabilizar a utilização em respeito às características físico-motoras, perceptivas, 
sensoriais, intelectuais e mentais do usuário, nos termos da lei; ou seja, respeito às necessidades 
específicas dos usuários.
• Aplicação das normas de proteção e defesa do consumidor nas relações de consumo realizadas 
na internet, ou, em outras palavras, as normas e os princípios do CDC deverão ser respeitados nas 
relações entre o prestador de serviços e o usuário de internet.
Ainda no tocante aos direitos e às garantias, o Marco Civil da Internet faz expressa referência, 
no artigo 8º, à garantia ao direito, à privacidade e à liberdade de expressão nas comunicações, cujos 
principais conceitos e princípios são os mesmos adotados pela Constituição Federal, pelo CDC e pelo 
Código Civil, todos na proteção dos direitos da dignidade humana e da personalidade.
Cabe destacar, ainda, o tratamento dado pelo Marco Civil da Internet à responsabilidade por danos 
decorrentes de conteúdo gerado por terceiros, que não será do provedor de conexão da internet. Essa é a 
regra que, no entanto, comporta uma importante exceção que a lei contempla no artigo 19: o provedor 
de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de 
conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no 
âmbito e nos limites técnicos de seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo 
apontado como infringente.
Imagine que o provedor de internet XTPX que viabiliza acesso a usuários foi citado em ação judicial 
movida por um usuário, que deseja a retirada de um conteúdo claramente racista que foi enviado como 
135
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
publicidade para ele. A ordem judicial deverá ser imediatamente cumprida, até porque deverá trazer 
identificação clara e específica do conteúdo apontado como infringente da lei. Caso o provedor se recuse 
a cumprir a ordem judicial ou deixe de fazê-lo por qualquer outra razão, inclusive por esquecimento, 
responderá pelos danos materiais ou morais que o usuário tiver sofrido.
O artigo 20 da lei determina que, sempre que tiver informações de contato do usuário diretamente 
responsável pelo conteúdo impróprio, caberá ao provedor de aplicações de internet comunicar-lhe os 
motivos e as informações relativas à indisponibilização de conteúdo, com informações que permitam o 
contraditório e a ampla defesa em juízo, salvo expressa previsão legal ou expressa determinação judicial 
fundamentada em contrário.
Dessa forma, fica viabilizado ao terceiro que apresente suas razões, inclusive para defender que o 
conteúdo não é impróprio ou que não houve intenção de causar danos a ninguém. Com isso, ficam 
garantidos o direito à ampla defesa, o respeito ao princípio do contraditório e a utilização dos meios 
lícitos para provar as alegações.
 Lembrete
A Constituição Federal garante os princípios da ampla defesa, do 
contraditório e do devido processo legal como direito fundamental.
Determina a lei, ainda, que o provedor de aplicações de internet que disponibilize conteúdo gerado por 
terceiros será responsabilizado subsidiariamente pela violação da intimidade decorrente da divulgação, 
sem autorização de seus participantes, de imagens, de vídeos ou de outros materiais contendo cenas de 
nudez ou de atos sexuais de caráter privado quando, após o recebimento de notificação pelo participante 
ou seu representante legal, deixar de promover, de forma diligente, no âmbito e nos limites técnicos do 
seu serviço, a indisponibilização desse conteúdo.
Faz todo o sentido que a responsabilidade alcance também o provedor de internet nos casos em 
que houve divulgação indevida de conteúdos de nudez ou de atos sexuais e que, mesmo avisado pelo 
usuário ou por seu representante legal, o provedor não adotar providências técnicas eficientes para 
indisponibilizar o conteúdo.
Esses são os principais aspectos do Marco Civil da Internet, lei que continua em vigor apesar da 
aprovação da LGPD, que vamos estudar agora.
5.1 Introdução à Lei Geral de Proteção de Dados (LGPD)
A Lei n. 13.709, de 14 de agosto de 2018, chamada de Lei Geral de Proteção de Dados Pessoais 
(BRASIL, 2018), é conhecida pela sigla LGPD. Ela está dividida em dez capítulos e contém princípios e 
definições para a correta compreensão de seus objetivos e suas finalidades. A LGPD entrará em vigor em 
agosto de 2020, e esse período, conhecido como vacacio legis ou vacância da lei, foi adotado para que 
as empresas públicas e privadas e as pessoas naturais tenham tempo de se adequar às suas exigências.
136
Unidade III
A lei foi aprovada após a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD)da União Europeia, em maio de 2018, que motivou empresas de todo o mundo que têm negócios com 
empresas europeias a se adequarem àquele regulamento, de forma que pudessem continuar realizando 
atividades comerciais.
O RGPD europeu é aplicável a situações em que o tratamento de dados acontece nas atividades de 
uma empresa que está estabelecida em países que compõem a União Europeia e se aplica às empresas 
que não estão na União Europeia, mas que oferecem produtos e serviços para lá.
A necessidade de algumas empresas adequarem suas atividades ao RGPD da União Europeia 
contribuiu para que o legislativo brasileiro agilizasse o debate sobre a lei geral de proteção de dados 
brasileira, que já tinha projetos de lei em andamento há alguns anos.
A proteção de dados pessoais é muito importante na sociedade contemporânea. Todos somos 
portadores de dados e, diariamente, fornecemos esses dados em muitas situações diferentes, como no 
supermercado, no atendimento médico, na academia, para táxis ou serviços de aplicativo, nas compras 
pela rede mundial de computadores, nas redes sociais, nas transações bancárias, nos diversos aplicativos 
que utilizamos, entre outras muitas situações.
Nossos dados pessoais são utilizados tanto para transações de alto valor, como a obtenção de 
empréstimo para compra de imóveis, quanto para transações de pequeno valor, como a compra de 
medicamentos na farmácia. Por isso, é preciso proteger os dados pessoais para que não ocorra má 
utilização, porque os transtornos são enormes quando isso acontece.
Em geral, todas as empresas estão suscetíveis a vazamento de dados pessoais de seus consumidores 
e usuários. Por isso, foi preciso criar uma legislação para estabelecer regras claras para a coleta e o 
tratamento de dados, bem como punições para as práticas que descumprirem a legislação em vigor.
No âmbito da segurança da informação, conhecer a LGPD é muito relevante; por isso, vamos nos 
dedicar a esse estudo.
5.1.1 LGPD: principais aspectos
Tratamento de dados é toda operação realizada com dados pessoais, como a de coleta, produção, 
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, 
arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, 
comunicação, transferência, difusão ou extração. Essa definição foi a adotada pela LGPD e é importante 
para compreender a aplicabilidade da lei.
Sempre que uma pessoa natural ou jurídica, pública ou privada, solicitar os dados pessoais de alguém 
– nome, endereço, número de documentos, estado civil, identificação de gênero (masculino, feminino 
ou outros) –, deverá cumprir a LGPD. A LGPD se aplica, portanto, às pessoas naturais ou jurídicas, da área 
pública ou privada, que atuem com dados pessoais em qualquer meio, inclusive digital.
137
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
O objetivo da lei é proteger o titular dos dados pessoais para não haver utilização de dados 
sem consentimento, nem excessiva, desnecessária ou, ainda, que seja prejudicial ao seu titular.
Assim, se alguma pessoa natural ou jurídica de direito privado ainda atuar com dados pessoais 
arquivados em papel, meio físico, também terá que cumprir a lei da mesma maneira, porque ela também 
será aplicada a essas situações. Aqueles que atuam com uso de meio digital, mais comum em nossos 
dias, igualmente estão obrigados a cumprir a lei.
A LGPD será aplicada a todas as operações de tratamento de dados realizadas em território nacional; 
ou quando os dados tenham sido coletados para a oferta ou o fornecimento de bens ou serviços ou o 
tratamento de dados de indivíduos localizados no território nacional; e nas situações em que os dados 
pessoais objetos do tratamento tenham sido coletados no território nacional.
Mesmo que a pessoa natural ou jurídica, de direito público ou privado, tenha sua sede em outro país, 
se a operação de tratamento de dados se realizar no Brasil, a LGPD será aplicada. Não importa que os 
dados sejam coletados de pessoas físicas estrangeiras, porque se elas estiverem no Brasil no momento 
da coleta dos dados também é a lei brasileira que será utilizada para sua proteção.
 Lembrete
A lei brasileira prevalece sobre qualquer outra em território nacional.
A pessoa natural cujos dados foram coletados em território nacional pode já ter ido embora do país, 
e, mesmo assim, será aplicada a LGPD se, por acaso, os dados tiverem sido tratados aqui.
5.2 Termos técnicos utilizados pela LGPD
O uso de dados pessoais para realização de negócios ou para atendimento no setor público já é 
feito há muitos anos. Tornou-se comum o fato de as pessoas fornecerem seu endereço, número de 
telefone, número de documentos pessoais, dados bancários, dados pessoais como gênero, estado civil, 
entre tantos outros, para serem atendidas em suas necessidades pelos setores público e privado.
O fornecimento de dados cresceu exponencialmente nos últimos anos, porque a internet passou 
a ser utilizada para muitas atividades que antes só eram feitas presencialmente, como: comprar uma 
televisão, um sofá ou um livro; assinar um jornal ou uma revista eletrônicos; comprar passagens aéreas 
e reservar hotéis para viagens de negócios ou de férias; contratar um plano de saúde ou seguro de vida; 
contribuir com uma associação não governamental; contratar acesso a canais de entretenimento para 
assistir a filmes, séries, ouvir música etc. Não há limite para o que pode ser feito pela internet.
Em todos esses momentos, as pessoas disponibilizam dados pessoais que são coletados e 
armazenados pelo fornecedor de produtos e serviços. Por vezes, somos nós mesmos que, em nossa 
atividade profissional, coletamos e armazenamos dados pessoais de clientes ou usuários, necessários 
para o trabalho que fazemos.
138
Unidade III
Cada vez mais, as diferentes atividades profissionais praticadas no mercado exigem a coleta 
e o tratamento de dados dos clientes; por isso a importância de que essa atividade seja realizada 
corretamente, ou seja, de acordo com a lei e com as melhores técnicas de segurança da informação.
A LGPD, além de criar objetivos e princípios que serão de cumprimento obrigatório para todos que 
utilizem dados pessoais, cuidou de uniformizar as expressões que deverão ser utilizadas por todas as 
pessoas físicas, jurídicas, públicas e privadas que utilizam dados pessoais em suas atividades.
A terminologia está no artigo 5º da LGPD (BRASIL, 2018), assim organizada:
• Dado pessoal: informação relacionada à pessoa natural identificada ou identificável. Pessoa 
natural e pessoa física têm o mesmo sentido, ou seja, o ser humano que se torna sujeito de 
direitos e deveres em conformidade com a lei. Pessoa jurídica é aquela composta por uma ou 
mais pessoas físicas, que se organizam para exercer atividades econômicas (empresas) ou sociais 
(associações, sindicatos, organizações não governamentais, clubes desportivos, entre outras).
• Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião 
política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado 
referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa 
natural. São dados que uma pessoa nem sempre deseja que sejam compartilhados ou mesmo que se 
tornem conhecidos para outras pessoas, seja para fins empresariais, seja para pessoas de seu convívio 
social e familiar. A denominação sensível indica que são dados que, para serem tratados por pessoa 
natural ou jurídica, pública ou privada, vão demandar muito maior cuidado e especificidade.
• Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a 
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
• Anonimização de dados: utilização de meios técnicos razoáveis e disponíveis no momento do 
tratamento, através dos quais um dado perde a possibilidade de associação, direta ou indireta, a 
um indivíduo. Exemplo:o dado pessoal passa a ser tratado de forma que não se possa identificar 
seu titular. Em lugar de constar o nome e o endereço do titular, a anonimização fará constar: 
gênero masculino, 44 anos, casado, motorista de Uber, renda na faixa de R$ 3.000,00, domicílio 
no bairro da Zona Norte de Belo Horizonte, casa própria financiada no Sistema Financeiro da 
Habitação. Os dados pessoais estão colocados, porém não será possível individualizar o titular 
desses dados.
• Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários 
locais, em suporte eletrônico ou físico. Exemplo: dados utilizados por hospitais, clínicas, 
academias, escolas, universidades, lojas físicas e virtuais, serviços de compartilhamento de 
transporte, médicos, dentistas, advogados e muitas outras atividades. São dados de clientes 
e usuários que são tratados em bancos de dados que precisam ser legalmente organizados. 
É importante reparar que a LGPD tem determinações para bancos de dados que podem estar em 
meio físico ou eletrônico e, em ambas as situações, a lei deverá ser cumprida. Muitas empresas 
menores, como escritórios de advocacia e contabilidade, ou oficinas mecânicas e de marcenaria, 
139
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
que trabalham com fichas físicas guardadas em arquivos de aço, deverão ficar atentas para a 
necessidade de se adequar às novas regras determinadas pela LGPD, porque os arquivos físicos 
também estão regulados por ela.
• Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. 
Todas as pessoas naturais possuem dados pessoais dos quais são titulares e que só poderão ser 
compartilhados mediante seu consentimento expresso e específico.
• Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem a 
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, 
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, 
modificação, comunicação, transferência, difusão ou extração.
• Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão 
de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e 
entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, 
reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento 
permitidas por esses entes públicos, ou entre entes privados.
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com 
o tratamento de seus dados pessoais para uma finalidade determinada. É importante que fique 
claro que não é qualquer forma de consentimento que pode ser interpretada como adequada à 
lei; somente o consentimento prestado de forma livre, informada e inequívoca, que não crie 
dúvida de que se trata de consentimento para tratamento de dados pessoais.
• Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado 
pessoal ou do banco de dados. Ocorrerá o bloqueio quando a pessoa natural ou jurídica, pública 
ou privada, for obrigada a suspender, em caráter temporário, o tratamento de dados organizados 
em seu banco. A ordem de bloqueio virá de decisão judicial, embora também possa ser resultado 
de um acordo entre as partes para cumprir um objetivo fixado por elas. Uma financeira faz acordo 
com uma loja para que o banco de dados de clientes da loja que utilizaram financiamento com 
aquela empresa fique bloqueado, não possa ser utilizado durante um determinado período, ou 
até para que seja apurada uma irregularidade que a loja está investigando em decorrência de 
inconsistências no seu balanço ou relatório de resultados financeiros. Por acordo da loja e da 
financeira, o banco de dados de clientes ficará bloqueado, sem que ninguém possa utilizá-lo.
• Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, 
independentemente do procedimento empregado. A eliminação ocorrerá a pedido do titular com 
concordância dos agentes de tratamento; ou por ordem judicial que determine a eliminação. 
Poderão ser eliminados bancos de dados eletrônicos ou físicos.
• Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou 
para algum organismo internacional do qual o país seja membro, como a ONU ou a Organização 
Internacional do Trabalho (OIT). A necessidade de transferência de dados pessoais para país 
140
Unidade III
estrangeiro poderá ocorrer, por exemplo, em casos de acidentes naturais como enchentes, 
passagem de tornados, terremotos, pandemias; ou em acidentes como queda de aviões, atos 
terroristas, incêndios, explosões, e em todos os outros casos em que os dados sejam importantes 
para localizar e/ou identificar as vítimas de danos físicos ou de óbito.
• Agentes de tratamento: o controlador e o operador.
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões 
referentes ao tratamento de dados pessoais em uma empresa privada ou um órgão público.
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de 
dados pessoais em nome do controlador.
 Observação
É importante observar que a LGPD permitiu que o controlador e o operador 
fossem pessoas jurídicas, ou seja, empresas contratadas para executarem essa 
atividade; e não impediu que fossem a mesma pessoa para exercer as tarefas 
ao mesmo tempo, o que pode significar, para empresas menores, custos na 
contratação de profissional para essa tarefa.
• Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação 
entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). 
O encarregado poderá ser pessoa natural ou jurídica, e não é preciso que seja uma pessoa com 
atividade específica; pode exercer outra atividade profissional na empresa e acumular com essa. 
Também poderá ser empresa contratada para atuar como encarregado perante a ANPD.
• Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável 
por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional. É o 
órgão federal que terá a incumbência de regular e fiscalizar o tratamento de dados no Brasil, 
inclusive para aplicar as sanções previstas na lei. Sua composição, organização e funcionamento 
serão semelhantes às agências já existentes no país, como a ANS, a Anvisa, a Agência Nacional de 
Aviação (Anac), entre outras.
• Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém 
a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades 
civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de 
risco. Sendo o controlado o agente de tratamento de dados responsável pelas decisões, será dele a 
responsabilidade pela construção do relatório de impacto à proteção de dados, com o objetivo de 
descrever os processos utilizados para tratamento de dados pessoais, assim como todas as medidas 
adotadas para prevenir a ocorrência dos riscos a que os bancos de dados estão sujeitos.
• Órgão de pesquisa: órgão ou entidade da administração pública, direta ou indireta, ou pessoa 
jurídica de direito privado, sem fins lucrativos, legalmente constituída sob as leis brasileiras, com 
141
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
sede e foro no país, que inclua em sua missão institucional ou em seu objetivo social ou estatutário 
a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
A sigla DPO não está no glossário que a LGPD criou em seu artigo 5º, porém tem sido muito utilizada 
nas atividades empresariais privadas para designar o profissional responsável pela implementação da lei 
na empresa e que, depois disso, terá a responsabilidade por toda a gestão da proteçãode dados. DPO é 
a sigla para Data Protection Officer, expressão em inglês que significa: a pessoa designada na empresa 
privada ou pública para ser a responsável – diretor, gerente ou superintendentes – que cuidará de toda 
a gestão de proteção de dados.
5.3 Objetivos da lei
A LGPD estabelece como seus objetivos:
• Respeito à privacidade: todo titular de dados pessoais tem direito de ser respeitado em sua 
privacidade, de compartilhar dados apenas com as pessoas que ele escolher e para atender a 
objetivos específicos. Exemplo: o entregador de pizza que leva o produto à casa de alguém não está 
autorizado a fornecer esse dado para ninguém, e nem a pizzaria onde ele trabalha pode fornecer 
esse endereço para a loja de roupas, que é sua vizinha, para que eles mandem uma mala direta 
de publicidade da loja. Ao compartilhar seu estado civil para um contrato de prestação de serviço 
bancário, ninguém está autorizando que aquele dado seja fornecido para uma agência de viagem 
oferecer viagens para solteiros em um cruzeiro. Os dados são fornecidos com uma finalidade, e ela 
deve ser respeitada, sob pena de descumprimento da lei e das sanções que poderão ser aplicadas.
• Autodeterminação informativa: autodeterminação é a capacidade de uma pessoa decidir, de 
forma livre e autônoma, o que é melhor para ela. Autodeterminação informativa é o poder para 
decidir quais informações e para quem se deseja fornecê-las. A lei proíbe o compartilhamento 
de informações sem o consentimento do titular dos dados, em respeito ao princípio da 
autodeterminação informativa. O consentimento do titular de dados pessoais é essencial em 
qualquer atividade pública ou privada de tratamento de dados.
• Liberdade de expressão, informação, comunicação e opinião: esses são direitos fundamentais 
previstos na Constituição Federal. A LGPD, em conformidade com o disposto na Constituição 
Federal, tem expressa previsão de proteção desses direitos fundamentais.
• Inviolabilidade da intimidade, da honra e da imagem: esses são direitos protegidos pela 
Constituição Federal e pelo Código Civil. Por isso, a LGPD garante que ninguém poderá ser invadido 
ou incomodado em sua intimidade, honra ou imagem pela divulgação de dados que não tenham 
sido expressamente autorizados. A nenhuma empresa, por exemplo, será possível divulgar dados 
pessoais sem que isso tenha sido autorizado.
• Desenvolvimento econômico e tecnológico e inovação: a necessidade de proteção de dados 
pessoais não pode impedir que o Brasil tenha desenvolvimento econômico, tecnológico e de 
inovação. A LGPD não pode dificultar o desenvolvimento econômico, porque isso seria contrário 
142
Unidade III
à Constituição Federal, que garante a proteção à livre iniciativa e à livre concorrência. Porém, 
é importante salientar que o desenvolvimento econômico e tecnológico que o Brasil pretende 
ter está diretamente relacionado com a proteção de dados pessoais, porque, na atualidade, em 
quase todo o mundo, existem leis de proteção de dados pessoais, em especial na União Europeia, 
e nenhuma empresa ou governo vai se relacionar com países que não tenham essa mesma 
preocupação – proteger dados pessoais –, porque seria um risco maior do que o eventual lucro 
que as transações econômicas pudessem gerar.
• Livre iniciativa, livre concorrência e defesa do consumidor: são princípios constitucionais 
que igualmente deverão ser respeitados pela LGPD. Por esses princípios, garante-se o equilíbrio 
entre a necessidade de desenvolvimento econômico pelas empresas privadas e o respeito aos 
consumidores, que não poderão ter seus dados pessoais utilizados de forma indevida nas atividades 
empresariais. Uma empresa que utilizar indevidamente dados pessoais poderá ser acusada de 
concorrência desleal e punida por isso, além da punição pelo descumprimento da LGPD.
• Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da 
cidadania pelas pessoas naturais: a LGPD adota esses objetivos para que possa estar em 
consonância com a Constituição Federal, com o Código Civil e com o CDC. A dignidade da pessoa 
humana é um fundamento da República Federativa do Brasil, disposto no artigo 1º da Constituição 
Federal, e se aplica a todas as relações públicas ou privadas em que uma pessoa estiver envolvida. 
Não há atividade pública ou privada que não tenha que respeitar e proteger a dignidade da 
pessoa humana.
A disseminação de dados pessoais tem sido intensa na sociedade contemporânea. Dados pessoais 
são utilizados por milhares de empresas em todo o mundo para viabilizar o acesso a produtos e serviços, 
em especial para consumo, educação, serviços bancários, financeiros, de crédito, seguros, assistência 
médica, entretenimento, entre outros. Também os setores públicos coletam e utilizam dados pessoais, 
como acontece com a receita federal, a receita estadual e municipal, o poder judiciário, as polícias federal 
e estadual, os serviços de expedição de documentos como cédula de identidade, a carteira nacional de 
habilitação, a expedição de passaportes, a educação pública, as unidades de atendimento do Sistema 
Único de Saúde (SUS), entre muitas outras situações em que os dados pessoais são indispensáveis para 
a garantia do atendimento.
Se é preciso utilizar dados pessoais em tantas situações diferentes, é importante contar com uma 
estrutura legal de proteção para coleta e tratamento de dados pessoais, a fim de proteger seus titulares 
contra uso indevido que possa ser feito por terceiro e contra danos materiais e imateriais consequentes.
5.4 Princípios da LGPD
A LGPD adotou princípios que deverão ser cumpridos pelas pessoas físicas ou jurídicas, públicas ou 
privadas, que realizarem tratamento de dados pessoais.
Os princípios estão no artigo 6° da lei (BRASIL, 2018) e são:
143
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
• Boa-fé: determina que as partes deverão agir sempre com honestidade e transparência na 
realização de tratamento de dados pessoais para fins públicos ou privados.
• Finalidade: a utilização dos dados pessoais terá que ser feita sempre com propósitos legais, 
específicos e informados ao titular dos dados. Coletados os dados para uma finalidade específica, 
não poderão ser utilizados para outra. Assim, quando a operadora de cartão de crédito coleta seus 
dados para a formalização do contrato de prestação de serviços, não poderá fornecer esses dados 
para a companhia de seguros, para que esta utilize-os para fornecer proposta de contratação de 
seguro de vida ou de automóvel.
• Adequação: representa que os dados coletados deverão ser tratados em conformidade com a 
finalidade para a qual foram obtidos. Novamente, aqui, fica vetada a obtenção para finalidade e 
uso inadequados.
• Necessidade: os dados pessoais coletados deverão ser tratados de forma limitada ao mínimo 
necessário para que os objetivos sejam corretamente atingidos; isto é, deverão ser usados na 
quantidade mínima necessária para o cumprimento da finalidade a que eles se destinam. Por 
exemplo: é preciso saber o estado civil de alguém para contratar uma compra on-line parcelada? 
É preciso saber quantas pessoas moram com você para contratar os serviços de um cartão de crédito? 
Cada situação requer uma quantidade de dados pessoais, e eles devem ser solicitados sempre tendo 
o mínimo como parâmetro, e não o máximo. Poderão ser coletados apenas os dados necessários 
para a operação pública ou privada que vai ser realizada; nada além disso se justifica.
• Livre acesso: os titulares dos dados pessoais terão direito à consulta facilitada e gratuita de seus 
dados durante todo o período de duração da utilização deles. A consulta poderá ser integral, ou 
seja, a todos os dados que foram coletados pela pessoa natural ou jurídica, pública ou privada, 
que solicitou esses dados para utilização em suas atividades; ou poderá ser parcial, por exemplo, 
referente apenas à última operação realizada com o banco ou o cartão de crédito. A consulta de 
dados por parte dos titulares nãopoderá sofrer nenhum tipo de obstáculo desestimulante, como 
demora no atendimento ou no envio da relação de dados solicitados ou exigência de qualquer 
contrapartida para isso.
• Qualidade dos dados: a lei obriga as pessoas naturais ou jurídicas, públicas ou privadas, que 
tratam dados pessoais a garantir a exatidão, clareza, relevância e atualização dos dados, em 
conformidade com as necessidades e finalidades do tratamento. As pessoas físicas e jurídicas, 
públicas ou privadas, que utilizam dados pessoais, devem coletá-los de forma objetiva, exata, 
clara, e mantê-los atualizados para que nenhum resultado adverso atinja o titular dos dados 
apenas por falta de atualização ou clareza. Se uma pessoa deixa de pagar no prazo uma parcela 
de seu financiamento da casa própria e esse dado é coletado pelo agente financeiro, no momento 
exato em que o pagamento for feito, ele deverá atualizar o cadastro de dados, para que nenhum 
prejuízo possa decorrer do dado incorreto que estava registrado no cadastro de dados.
• Transparência: significa que os titulares dos dados pessoais deverão ter a garantia de que as 
informações disponíveis a seu respeito são claras, precisas, facilmente acessíveis para qualquer 
144
Unidade III
verificação necessária, sempre respeitados os segredos industriais e comerciais utilizados pelos 
organizadores da coleta e do tratamento de dados, ou seja, pelas pessoas físicas ou jurídicas, 
públicas ou privadas, que utilizam aqueles dados em suas atividades. A exigência da transparência 
não pode ser superior ao direito que as pessoas físicas ou jurídicas têm em relação a suas patentes 
de invenção ou de modelo de utilidade, ou, ainda, ao direito de proteção a suas fórmulas ou 
direitos autorais sobre programas de computação, entre outros que são expressamente protegidos 
por lei. O titular de dados pessoais tem direito de saber quais os dados que foram coletados a seu 
respeito, mas não tem direito de saber como funciona o sistema de cadastro da pessoa natural ou 
jurídica que coletou seus dados e os tem sob sua guarda. Há limites para a informação que será 
fornecida aos titulares de dados pessoais, para proteger a atividade da pessoa natural ou jurídica, 
pública ou privada, que coleta e armazena os dados.
• Segurança: o titular de dados pessoais tem que ter a garantia, por parte daquele que coleta e utiliza 
os dados, de que serão utilizadas todas as medidas técnicas e de gestão que permitam a efetividade 
da proteção dos dados pessoais e, principalmente, que impeçam acessos não autorizados; ou, 
ainda, que previnam as hipóteses de acessos acidentais ou ilícitos que resultem na destruição, 
perda, alteração, comunicação ou difusão de dados de maneira indevida. Esse é o ponto principal 
para os gestores e profissionais de segurança da informação. Todas as pessoas naturais e jurídicas 
que operam com dados pessoais terão que comprovar a eficiência e eficácia de seus sistemas de 
segurança da informação, assim como terão que comprovar que a governança e a compliance que 
adotam são suficientes para impedir ataques para acesso indevido ou, quando acontecerem, 
que dispõem de mecanismos para suportar os danos materiais e morais que afetarem o detentor 
dos dados pessoais. A segurança é uma questão fundamental para a LGPD, e a implantação de 
sistemas de segurança da informação confiáveis será um intenso trabalho que as pessoas naturais 
e jurídicas, públicas e privadas, terão que adotar.
• Prevenção: consiste na obrigatoriedade da adoção de medidas para prevenir qualquer fato ou ato 
que propicie danos aos titulares de dados pessoais. A prevenção é um papel que deverá ser exercido 
pelos gestores de segurança da informação. Esse princípio da LGPD, aliado ao da transparência e 
segurança, demonstra claramente os objetivos da lei: regular o tratamento de dados por pessoas 
naturais e jurídicas, públicas e privadas, não apenas para que existam regras de utilização, mas 
também para que a prevenção de danos decorrentes de uso indevido de dados pessoais se torne 
obrigatória para todos que os utilizarem. É, sem dúvida, uma forma de responsabilizar quem 
utiliza dados pessoais em suas atividades, bem como tornar mais seguro o compartilhamento 
de dados. Com isso, o Brasil avança no sentido de se tornar um país confiável para transações 
privadas e públicas que utilizem dados pessoais e se iguala a outros países do mundo.
• Não discriminação: a coleta de dados pessoais não pode ser realizada com finalidade discriminatória, 
por exemplo, para segregar raças, gêneros, hábitos alimentares, tipo físico, religiosidade etc. O tratamento 
de dados não pode, de nenhuma forma, estimular práticas de discriminação.
• Responsabilização e prestação de contas: o agente, pessoa natural ou jurídica, pública ou 
privada, que coleta e trata dados pessoais tem que adotar todas as medidas legais e técnicas 
145
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
necessárias para a proteção desses dados e será responsabilizado caso ocorram danos. Além disso, 
tem a obrigação legal de prestar contas de seus atos sempre que solicitado pelo titular dos dados, 
como autoridades com poderes para verificar a coleta e o tratamento de dados pessoais.
Os princípios são diretrizes obrigatórias para a organização da atividade de tratamento de dados 
pessoais, para proteger seus titulares e garantir a segurança de todos, tanto das atividades econômicas 
desenvolvidas quanto da sociedade.
É importante destacar que os princípios não são obstáculos para a efetividade das atividades 
econômicas e empresariais que utilizam dados pessoais. A expectativa é positiva, ou seja, que essas 
atividades continuem sendo realizadas e em conformidade com a LGPD.
É por isso que a segurança da informação será cada vez mais requisitada pelas pessoas naturais e 
jurídicas, públicas e privadas, que têm necessidade de tratamento de dados pessoais em suas atividades, 
porque a lei é rigorosa ao exigir segurança, transparência e, principalmente, prevenção de problemas 
para os titulares que tenham fornecido seus dados pessoais.
5.5 Requisitos para tratamento e compartilhamento de dados pessoais
A LGPD regula dois importantes aspectos que precisamos conhecer: os requisitos para tratamento 
de dados pessoais e a possibilidade de compartilhamento de dados.
Vamos estudá-los.
5.5.1 Requisitos para tratamento de dados pessoais
A LGPD estabeleceu que os dados pessoais só poderão ser tratados por uma pessoa natural ou 
jurídica, pública ou privada, em situações específicas:
• Mediante o fornecimento de consentimento pelo titular dos dados.
• Para cumprimento de obrigação legal ou regulatória pelo controlador.
• Pela administração pública, para o tratamento e uso compartilhado de dados necessários à 
execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, 
convênios ou instrumentos congêneres.
• Para a realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização 
dos dados pessoais.
• Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a 
contrato do qual seja parte o titular dos dados pessoais, a pedido deste.
146
Unidade III
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, o último nos 
termos da Lei de Arbitragem.
• Para a proteção da vida ou da incolumidade física do titular ou de terceiros.
• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, 
serviços de saúde ou de autoridade sanitária.
• Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto 
no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos 
dados pessoais.
• Para a proteção do crédito, em consonância com a legislação existente sobre o assunto.
A utilização de dados pessoais fora dessas hipóteses estará em confronto com a legislação e 
poderá gerar a aplicação de sanções e, se provadaa ocorrência de danos, a obrigação de indenizar 
por parte do responsável.
5.5.2 Requisitos para compartilhamento de dados pessoais
Em muitas situações da vida empresarial, é necessário compartilhar dados pessoais de clientes. 
Nesses casos, a LGPD determina que o controlador que precisar comunicar ou compartilhar dados 
pessoais com outros controladores deverá ter o consentimento específico do titular para essa finalidade, 
salvo os casos em que a lei expressamente dispensar necessidade de consentimento. A LGPD estabelece, 
também, que o titular dos dados tem direito de saber sobre o compartilhamento e sua finalidade.
Em quase todos os setores econômicos, o compartilhamento de dados pessoais é feito de forma usual 
em muitas situações diferentes. Dados pessoais são compartilhados entre o banco e as operadoras de 
cartão de crédito para débito em conta corrente; entre os prestadores de serviços – médicos, hospitais, 
laboratórios de exames clínicos – e as operadoras de saúde; e também entre empresas do mesmo grupo 
econômico para fins negociais, como a loja de departamentos e a agência de viagem do mesmo grupo. 
Em todas essas hipóteses, o compartilhamento deverá ser autorizado expressamente e informado ao 
titular de dados pessoais.
Existe previsão legal de que o titular seja informado e dê seu consentimento para a utilização de seus 
dados pessoais para finalidades previstas na lei. Porém, quando se tratar de compartilhamento de dados 
pessoais, o consentimento deve ser informado e específico.
No preenchimento de documentos de autorização, em meio físico ou digital, a existência de dois 
campos específicos de consentimento poderá suprir o problema: um campo para que o titular autorize 
o tratamento de dados pessoais e um campo específico para que ele autorize o compartilhamento 
de dados.
147
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
5.6 Direitos do titular de dados pessoais
A LGPD especifica direitos que o titular de dados pessoais possui e que deverão ser respeitados por 
todos os que trabalhem com tratamento de dados. O princípio que rege esse direito é o do livre acesso, 
o que significa que o titular de dados poderá requerer informações a respeito de seus dados pessoais 
sempre que desejar, sem precisar justificar as razões do pedido.
Esse é, aliás, o direito mais importante que o titular de dados pessoais possui: o acesso facilitado 
às informações sobre o tratamento de seus dados.
As informações solicitadas pelo titular de dados pessoais deverão ser prestadas de forma clara, 
adequada e ostensiva sobre:
• Finalidade específica do tratamento: objetivo que motivou o tratamento dos dados.
• Forma e duração do tratamento, observados os segredos comercial e industrial: de que 
maneira esses dados serão tratados e durante quanto tempo. O responsável pelo tratamento 
poderá preservar os segredos comercial e industrial de sua atividade, porém, precisará informar 
quais instrumentos irá utilizar para tratamento de dados.
• Identificação do controlador: responsável pelas decisões.
• Informações de contato do controlador: de que forma o titular de dados pessoais poderá ter 
contato com o controlador (acesso por telefone gratuito, como 0800, por endereço eletrônico, por 
aplicativo de mensagens ou outros meios devidamente informados para o titular de dados pessoais).
• Informações acerca do uso compartilhado de dados pelo controlador e finalidade: é preciso 
informar se haverá compartilhamento de dados, com quem e com qual finalidade.
• Responsabilidades dos agentes que realizarão o tratamento: quem serão os responsáveis 
pelo tratamento dos dados pessoais.
• Direitos do titular: a LGPD tem um artigo específico – artigo 18 – para tratar de direitos dos 
titulares de dados pessoais. Sempre que o titular de dados pessoais fizer contato com o controlador 
da empresa que trata seus dados pessoais, terá direito a receber informações sobre o conjunto 
de direitos elencados no artigo 18 da LGPD. O objetivo é que os agentes de dados da empresa 
– controlador e operador –, bem como todos aqueles que atuam na equipe, estejam aptos a 
fornecer informações corretas e esclarecer sobre direitos do titular de dados pessoais.
A resposta à consulta feita pelo titular de dados pessoais deverá confirmar ou negar a existência de 
dados pessoais e ser redigida de forma simples, clara e completa, que permita a imediata compreensão 
da origem dos dados pessoais, a finalidade do tratamento ou a inexistência.
148
Unidade III
A resposta deverá ser fornecida para o titular de dados no prazo máximo de 15 (quinze) dias 
contados da data do requerimento do titular. Em caso de existência de dados, a resposta deverá 
especificar quais são os dados pessoais que estão cadastrados. A falta de cumprimento desse prazo 
poderá ensejar aplicação de sanções, como multa. Por isso, é fundamental que as pessoas naturais ou 
jurídicas, públicas ou privadas, que operam com dados pessoais estejam organizadas para que seus 
fluxos de gestão permitam atender corretamente o prazo fixado em lei.
A informação solicitada pelo titular de dados pessoais poderá ser fornecida por meio eletrônico, 
seguro e idôneo para essa finalidade, ou na forma impressa. A escolha da forma da resposta será do 
responsável pelo tratamento de dados, sempre respeitados os limites de acessibilidade do titular de 
dados pessoais. Assim, se um titular de dados pessoais declarar expressamente que não possui acesso a 
computador ou a aparelho de celular com acesso à rede mundial de computadores, o responsável pelo 
tratamento de dados não poderá fornecer informações por meio eletrônico, porque o titular dos dados 
pessoais não conseguirá acessar a resposta.
Nos casos em que o tratamento de dados pessoais tiver origem no consentimento do titular ou em 
um contrato, como ocorre nos contratos de seguros, planos de saúde ou bancos, o titular terá direito 
de solicitar cópia integral de seus dados pessoais, respeitados os segredos comercial e industrial 
que fundamentam a operação da empresa que utiliza os dados pessoais em sua atividade.
O titular de dados pessoais poderá solicitar revisão de decisões tomadas com base em tratamento 
automatizado de dados pessoais que afetem seus interesses, inclusive aquelas que criaram seu 
perfil pessoal, profissional, de consumo, de crédito ou de aspectos de sua personalidade, conforme 
determina o artigo 20 da LGPD. Assim, se uma empresa resolver não fornecer crédito com base em dados 
pessoais do titular e este tiver motivos para pedir a revisão da decisão, poderá fazê-lo com a apresentação 
de argumentos ou de novos dados que levem à conclusão de que a decisão está equivocada.
Muitas empresas, na atualidade, já utilizam o instrumento da inteligência artificial, que são 
programas de computadores que, a partir da análise dos dados disponíveis, definem características 
de grupos ou de pessoas. Esses programas analisam dados de consumo, de opção por entretenimento 
(viagens ou lazer), dados de crédito e bancários, e criam perfis que são utilizados para novos produtos 
ou serviços que serão oferecidos aos titulares dos dados pessoais; ou, ainda, indicam opções que não 
deverão ser oferecidas, porque não são de interesse daquele grupo ou daquela pessoa em particular.
Se o titular de dados pessoais tiver elementos que permitam solicitar a mudança do perfil 
automatizado, ele poderá solicitar que isso seja feito, mas apenas para os perfis construídos de forma 
automatizada, por instrumentos semelhantes à inteligência artificial.
O artigo 18 da LGPD determina que são direitos dos titulares de dados pessoais:
• Confirmação da existência de tratamento de dados pessoais.
• Acesso aos dados pessoais que estão sendo tratados.
149
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em 
desconformidade com o disposto na LGPD.
• Portabilidade dos dados a outrofornecedor de serviço ou produto, mediante requisição expressa, 
de acordo com a regulamentação que será criada pela Autoridade Nacional.
• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses em 
que a LGPD prevê a conservação dos dados (artigo 16).
• Informação das entidades públicas e privadas com as quais o controlador fez uso compartilhado 
de dados.
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências 
da negativa.
• Revogação do consentimento.
É importante lembrar que o titular de dados pessoais tem direito a revogar seu consentimento, 
e, se isso ocorrer, o contrato formalizado entre as partes poderá ser rescindido, se os dados pessoais 
forem essenciais para a correta formalização do instrumento contratual.
Também se o titular não quiser informar dados pessoais relevantes para a operação comercial, ou 
se, tendo informado, quiser revogar o consentimento, o contrato poderá ser rescindido de pleno 
direito. Nessa situação, no entanto, o operador de dados deverá demonstrar que os dados pessoais são 
essenciais para a concretização do contrato ou do negócio jurídico. Dados pessoais são essenciais para a 
formalização de muitos contratos, como os bancários, de financiamento, de seguros, de crédito pessoal, 
de cartão de crédito, com operadoras de planos de saúde, operadoras de saúde, serviços de internet, 
entre tantos outros.
Por essa razão, é importante que os agentes de tratamento de dados informem o titular dos 
dados pessoais sobre as consequências de não fornecer o consentimento para o tratamento. 
Em muitos contratos, a falta de fornecimento de dados pessoais inviabilizará a realização do contrato 
ou, se concedida a autorização e depois revogada, ensejará a rescisão do contrato sem ônus para o 
fornecedor de produtos ou serviços, diante da inviabilidade de prosseguir com as obrigações oriundas 
do instrumento contratual sem os dados pessoais essenciais do titular e contratante.
Outro aspecto importante é que o titular dos dados pessoais não pode abusar de seu direito de 
pedir informações sobre os dados pessoais que estão sendo tratados. Essa é uma hipótese típica do artigo 187 
do Código Civil brasileiro, que determina que comete ato ilícito o titular de um direito que, ao 
exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela 
boa-fé ou pelos bons costumes.
150
Unidade III
Se o titular de dados pessoais fizer um grande número de consultas, de forma excessiva e claramente 
sem finalidade, poderá ser responsabilizado por seus atos com fundamento no disposto no Código Civil, 
por haver caracterizado a conduta abusiva no exercício de direitos.
O pedido para acesso aos dados pessoais poderá ser feito pelo próprio titular ou por um representante 
legalmente autorizado. O requerimento feito pelo titular de dados pessoais, ou por seu representante 
legal, não poderá ser objeto de cobrança de nenhum valor e, exatamente por isso, não poderá ser 
solicitado de forma excessiva ou sem finalidade justificada.
Caso o pedido para verificação de dados não seja atendido de imediato pelos agentes de tratamento 
de dados, o titular de dados pessoais ou seu representante legal poderá comunicar o fato à ANPD ou aos 
órgãos de proteção e defesa do consumidor pertencentes ao SNDC, do Ministério da Justiça.
5.7 Agentes de tratamento de dados pessoais e responsabilidades
5.7.1 Agentes de tratamento
A LGPD determina que o controlador e o operador designados pela pessoa natural ou jurídica, de 
direito público ou privado, deverão manter o registro das operações de tratamento de dados pessoais 
que realizarem, principalmente quando esse tratamento for fundamentado em legítimo interesse, como 
ocorre com os setores empresariais – bancos, financeiras, seguradoras, operadoras de saúde, hospitais, 
clínicas, laboratórios de exames –, que precisam manter dados pessoais arquivados para cumprimento 
de disposições das leis que regem suas atividades e de seus órgãos reguladores – Banco Central, 
Superintendência de Seguros Privados, ANS, Anvisa, entre outros.
As atividades de controlador e operador poderão ser objeto de relatório solicitado pela ANPD, 
inclusive em relação a dados sensíveis, e o relatório deverá conter a descrição dos tipos de dados 
coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações 
e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de 
risco adotados. Sendo necessárias, outras informações poderão ser solicitadas pela ANPD no exercício 
de sua atividade regulamentadora e fiscalizadora.
O operador de tratamento de dados pessoais é a pessoa encarregada de realizar o tratamento em 
conformidade com as instruções do controlador. Por essa razão, cabe ao próprio controlador verificar 
se suas instruções estão sendo cumpridas corretamente e, principalmente, se estão adequadas ao que 
determina a legislação.
O controlador também tem a responsabilidade de indicar quem será o encarregado pelo tratamento 
de dados pessoais, fornecer os dados sobre sua identidade e todas as informações para que seja possível 
o contato de forma pública, preferencialmente pelo site do controlador.
Pela LGPD, as principais atividades do encarregado são:
151
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.
• Receber comunicações da autoridade nacional e adotar providências.
• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em 
relação à proteção de dados pessoais.
• Executar outras atribuições determinadas pelo controlador ou estabelecidas em normas 
complementares que venham a ser criadas, principalmente pela ANPD.
5.7.2 Responsabilidade dos agentes de tratamento de dados pessoais
As atividades do controlador e do encarregado poderão gerar responsabilidades e, consequentemente, 
a obrigação de reparar danos materiais e imateriais dos quais forem vítimas os titulares de dados pessoais.
As duas principais causas de danos para tratamento de dados pessoais são:
• Deixar de observar as determinações da LGPD.
• Tratar dados sem segurança técnica adequada para a finalidade a que se destina.
Os agentes de tratamento de dados pessoais – ou qualquer outra pessoa autorizada por eles que 
seja responsável pelo tratamento de dados pessoais – têm obrigação de garantir a segurança da 
informação em todas as fases, o que inclui responsabilidade mesmo após o término da finalidade que 
dava sustentação ao tratamento.
O operador responderá solidariamente pelos danos que causar aos titulares de dados pessoais nos 
casos em que comprovadamente não cumprir as determinações da lei ou as instruções do controlador.
O controlador, por sua vez, responderá solidariamente quando estiver diretamente envolvido no 
tratamento de dados do qual resultaram danos para o titular.
Responsabilidade solidária é um instituto de direito civil que determina que todos os responsáveis 
por uma obrigação respondem juntos por ela, sem divisão em relação ao credor; e, quando um deles 
quitar integralmente, terá direito de se ressarcir dos demais devedores solidários em relação às suas 
cota-partes. Assim, se o prejuízo for no valor de dez mil reais, o controlador e o agente serão responsáveis 
perante o titular de dados prejudicado por esse valor integral. Se o controlador efetuar o pagamento, 
terá direito de se ressarcir de cinco mil reais em relação ao agente.
O titular de dados pessoais terá, em seu benefício, o instituto da inversão do ônus da prova, 
previsto expressamente em favor do consumidor no CDC.
É importante observar que não haverá responsabilidade em todas as situações comprovadas em que:
152
Unidade III
• Os agentes não realizarem o tratamento de dados pessoais que lhes foi atribuído.
• Embora os agentes tenham realizado o tratamento de dados pessoais, não ficar demonstrada aviolação da LGPD.
• O dano alegado pelo titular de dados pessoais decorrer de sua ação exclusiva ou de terceiro que não tem 
nenhum relacionamento com os agentes de tratamento de dados pessoais; por exemplo, uma pessoa 
próxima do titular de dados, amigo ou parente, que houver utilizado indevidamente seus dados pessoais.
A segurança no tratamento de dados pessoais é fundamental para que não ocorram hipóteses 
de responsabilidade a ser reparada por danos causados ao titular dos dados. Todos os dispositivos de 
segurança técnica deverão ser utilizados com a finalidade de proteger o tratamento de dados contra 
vazamento e outras possibilidades que causem prejuízos aos titulares. Nesse aspecto, a atividade do 
gestor de segurança da informação é essencial, e, quanto melhor preparado estiver esse profissional, 
melhor será o trabalho de todos, especialmente dos agentes de tratamento de dados pessoais.
5.8 Segurança no tratamento de dados
Esse é um ponto fundamental para a nossa compreensão, porque os riscos para as pessoas físicas 
ou jurídicas, públicas ou privadas, que tratam dados pessoais têm aumentado muito nos últimos anos.
 Saiba mais
Veja uma notícia sobre o vazamento de dados de usuários do Facebook. 
Vazaram fotos, vídeos, informações sobre amigos, músicas, reservas de voos 
e hotéis, entre outros dados importantes:
540 MILHÕES de dados de usuários do Facebook ficam expostos em 
servidores da Amazon. G1, 4 abr. 2019. Disponível em: https://g1.globo.com/
economia/tecnologia/noticia/2019/04/04/dados-de-540-milhoes-de-usuarios-
do-facebook-ficam-expostos-em-servidor.ghtml. Acesso em: 9 jul. 2020.
A LGPD determina que os agentes de tratamento – controlador e operador – deverão adotar as 
medidas de segurança, técnicas e administrativas para proteger os dados pessoais de:
• acessos não autorizados;
• situações acidentais ou ilícitas que possam causar destruição, perda, alteração, comunicação ou 
qualquer outra forma de tratamento inadequado ou ilícito.
Para tornar o tratamento de dados pessoais seguro para os titulares e agentes de tratamento, a 
ANPD poderá determinar padrões técnicos mínimos aplicáveis à natureza das informações tratadas, em 
especial com relação aos dados pessoais sensíveis.
153
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
5.9 Comunicação imediata de riscos ou danos
O controlador de tratamento de dados pessoais está obrigado por lei a comunicar à ANPD e ao 
titular dos dados pessoais todo o incidente de insegurança que potencialmente possa causar riscos 
ou danos relevantes aos titulares.
Essa hipótese será aplicada apenas nos casos em que os riscos ou danos sejam relevantes, como 
nos de vazamentos de dados ou de acesso indevido feito por pessoas não autorizadas.
A LGPD determina que a comunicação deverá ser feita em um prazo razoável, e, embora não haja estipulação 
do prazo em dias ou horas, é possível interpretar que esse prazo deverá ser estabelecido para cada situação 
concreta e aplicado sempre com critério de maior brevidade possível para transmissão da informação.
Não é recomendável que seja tão rápido que a informação não seja confirmada, nem tão lento 
de forma que não seja mais possível tomar providências de gerenciamento de crise e prevenção de 
extensão de danos.
Os agentes de tratamento de dados, ao prestarem informação à ANPD e ao titular dos dados pessoais 
sobre situações de risco ou de danos, deverão repassar obrigatoriamente os seguintes dados:
• A descrição da natureza dos dados pessoais afetados.
• As informações sobre os titulares envolvidos.
• A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados 
os segredos comercial e industrial.
• Os riscos relacionados ao incidente.
• Os motivos da demora, no caso de a comunicação não ter sido imediata.
• As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Ao ter conhecimento da informação sobre riscos, a ANPD deverá avaliar a gravidade do fato ocorrido, 
levando em conta as medidas técnicas que tenham sido adotadas para tornar os dados ininteligíveis 
para terceiros não autorizados ao tratamento.
Após a avaliação técnica, a ANPD poderá determinar as seguintes providências:
• Ampla divulgação do fato em meios de comunicação.
• Medidas para reverter ou mitigar os efeitos do incidente.
154
Unidade III
5.10 Boas práticas e governança
A divulgação em meios de comunicação de grande circulação de riscos de vazamento de dados 
pessoais ou de acesso indevido, ou as notícias publicadas a esse respeito, representarão, quase sempre, 
um forte abalo à reputação da empresa que for obrigada a adotar essas medidas.
Em áreas como bancos, cartões de crédito, financeiras, seguros, operadoras de saúde, laboratórios 
de exames clínicos, hospitais, escolas, universidades, clínicas médicas, entre outras semelhantes, o abalo 
reputacional provocará impacto negativo no vínculo de confiança, que é imprescindível para que o 
contratante escolha aquela empresa para contratar ou fazer negócios.
Evitar os riscos aos dados pessoais é uma estratégia que todas as empresas deverão adotar com 
especial atenção e cuidado. Para que esse objetivo seja atingido, a LGPD determinou que regras para boas 
práticas e governança são imprescindíveis para os controladores e operadores de dados pessoais.
As boas práticas e a governança terão regras construídas a partir da avaliação da natureza, do 
escopo, da finalidade, da probabilidade e da gravidade dos riscos e dos benefícios decorrentes 
do tratamento de dados do titular.
Determina a lei que as regras de boas práticas e de governança deverão estabelecer:
• Condições de organização.
• Regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares.
• Normas de segurança.
• Padrões técnicos.
• Obrigações específicas para os diversos envolvidos no tratamento.
• Ações educativas adotadas para os funcionários e prestadores de serviços das pessoas naturais ou 
jurídicas, públicas ou privadas, que utilizem tratamento de dados pessoais em suas atividades.
• Mecanismos internos de supervisão e de mitigação de riscos.
• Outros aspectos relacionados ao tratamento de dados pessoais.
O controlador de dados pessoais avaliará a estrutura, a escala e o volume de suas operações, bem 
como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos riscos que poderão ser 
causados aos titulares de dados pessoais, a fim de:
• Implementar um programa de governança em privacidade.
155
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
• Demonstrar a efetividade de seu programa de governança em privacidade, a pedido da ANPD 
ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de 
conduta, os quais, de forma independente, promovam o cumprimento da LGPD.
As regras adotadas pela empresa para boas práticas e governança na área de proteção de dados 
pessoais deverão ser publicadas e atualizadas periodicamente, e a ANPD poderá reconhecê-las e 
divulgá-las quando necessário.
5.11 Sanções aplicáveis aos agentes de tratamento de proteção de dados
Determina a LGPD que, em razão das infrações cometidas por falta de cumprimento da lei, os agentes 
de tratamento de dados pessoais ficarão sujeitos a sanções, que poderão ser:
• Advertência: com indicação de prazo para adoção de medidas corretivas.
• Multa simples: de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, 
grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, 
a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
• Multa diária: observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais).
• Publicização da infração: após devidamente apurada e confirmada a sua ocorrência.
• Bloqueio dos dados pessoais: até a regularização.
• Eliminação dos dados pessoais: somente os que tiverem sido a causa da infração.
A ANPD promoverá processo administrativo para garantir a ampladefesa dos agentes de tratamento 
de dados pessoais, e só após a decisão do processo administrativo é que serão aplicadas as sanções, de 
forma gradativa, isolada ou cumulativa e de acordo com as particularidades de cada caso concreto.
Para fixação da sanção, serão levados em conta, obrigatoriamente, os seguintes critérios:
• Gravidade e natureza das infrações e dos direitos pessoais afetados.
• Boa-fé do infrator.
• Vantagem auferida ou pretendida pelo infrator.
• Condição econômica do infrator.
• Reincidência.
• Grau do dano.
156
Unidade III
• Cooperação do infrator.
• Adoção de mecanismos de prevenção e minimização dos danos.
• Política de boas práticas e governança.
• Pronta adoção de medidas corretivas.
• Proporcionalidade entre a gravidade da falta e a intensidade da sanção.
É importante ressaltar que a LGPD não exclui a aplicação de sanções administrativas, civis ou penais 
definidas no CDC e em outras leis específicas sobre o tema da proteção de dados pessoais. Essas sanções 
poderão ser cumuladas com aquelas aplicadas pela LGPD, o que poderá representar um forte impacto 
negativo para as empresas, além do prejuízo para sua reputação.
O valor arrecadado com as multas não se destina às vítimas de danos, mas ao Fundo de Defesa dos 
Direitos Difusos, que utilizará para a efetivação de projetos de educação e proteção nas áreas de meio 
ambiente, direitos do consumidor, proteção do patrimônio cultural, artístico e histórico, entre outras.
 Observação
O Google foi multado pela Comissão Nacional de Informática e Liberdade 
(CNIL), órgão regulador francês para a área de privacidade. O valor da multa 
foi de 50 milhões de euros, e a infração foi caracterizada como: falta de 
transparência, informação insatisfatória e falta de consentimento válido 
para a personalização da publicidade. A multa foi aplicada com fundamento 
no RGPD da União Europeia e ficou conhecida como um dos primeiros 
casos em que esse regulamento foi aplicado.
 Saiba mais
Leia mais em:
GOOGLE multada em 50 milhões por violar RGPD em França. Dinheiro 
Vivo, 21 jan. 2019. Disponível em: https://www.dinheirovivo.pt/empresas/
google-multada-em-50-milhoes-de-euros-por-violar-rgpd-em-franca/. 
Acesso em: 31 maio de 2020.
157
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
5.12 Autoridade Nacional de Proteção de Dados (ANPD)
A ANPD é um órgão da administração pública federal vinculado à Presidência da República e tem 
várias competências estabelecidas pela lei. Entre elas, as mais relevantes são:
• Zelar pela proteção dos dados pessoais, nos termos da legislação.
• Zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais 
e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os 
fundamentos da LGPD.
• Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade.
• Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à 
legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o 
direito de recurso.
• Promover na população o conhecimento das normas e das políticas públicas sobre proteção de 
dados pessoais e das medidas de segurança.
• Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados 
pessoais e privacidade.
• Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos 
titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das 
atividades e o porte dos responsáveis.
• Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, 
de natureza internacional ou transnacional.
• Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados 
os segredos comercial e industrial.
• Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre 
relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto 
risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD.
• Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos 
prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais 
de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, 
possam adequar-se à LGPD.
• Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e 
adequada ao seu entendimento.
158
Unidade III
• Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas 
competências e os casos omissos.
• Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento.
• Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de 
reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD.
A ANPD atuará como órgão regulador e fiscalizador de todos os setores econômicos que atuem com 
tratamento de dados e será mais uma entidade administrativa à qual todos os que trabalham com dados 
pessoais deverão se reportar.
A LGPD prevê, ainda, a criação de um Conselho Nacional de Proteção de Dados Pessoais e Privacidade, 
que terá 23 representantes, escolhidos entre membros do Legislativo, Executivo, Judiciário, Ministério 
Público, instituições científicas, sociedade civil, representação sindical, entre outros.
5.13 Tratamento de dados sensíveis e de dados de crianças e adolescentes
Os dados pessoais sensíveis e os dados pessoais de crianças e adolescentes mereceram cuidados 
especiais que foram definidos na LGPD.
5.13.1 Dados pessoais sensíveis
Dados sensíveis foram definidos pela própria LGPD como dado pessoal sobre origem racial ou étnica, 
convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico 
ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a 
uma pessoa natural.
Como vimos, são dados que uma pessoa nem sempre deseja compartilhar, nem mesmo tornar conhecido 
para outras pessoas ou empresas, mas que, por alguma razão relevante, isso se torna necessário.
O adjetivo “sensível” impõe que os dados pessoais sejam tratados com muito mais cuidado pelas 
pessoas naturais ou jurídicas, públicas ou privadas, porque o vazamento de dados poderá provocar 
danos gravíssimos.
A professora Laura Schertel Mendes, a respeito de dados sensíveis, afirma:
[...] parece haver um consenso de que o tratamento de dados sensíveis 
acarreta riscos, e, portanto, merece uma atenção especial do legislador. 
Mas quais são, de fato, os dados sensíveis e por que eles precisam de 
maior proteção?
[...]
159
LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO
Embora as listas variem de país para país, há várias categorias que se repetem, 
como os dados relativos à origem racial, vida sexual e convicções religiosas 
e políticas. Desse modo, para fins de sistematização dogmática, pode-se 
afirmar que a categoria dos dados sensíveis está relacionada à percepção 
de que o armazenamento, o processamento e a circulação de alguns tipos de 
dados podem se constituir em um risco maior à personalidade individual, 
especialmente se utilizados com intuito discriminatório. Os dados referentes 
a raça, opção sexual, saúde e religião são exemplos desse tipo (MENDES, 
2014, p. 73).
Para que fique ainda mais claro, vamos aprender com a lição do professor Danilo Doneda, um dos 
melhores pesquisadores na área de proteção de dados que temos no Brasil, que afirma:
[...] a prática do direito da informação deu origem à criação de uma categoria 
específica de dados, a dos dados sensíveis. Estes seriam determinados tipos 
de informação que, caso sejam conhecidas e processadas, prestar-se-iam 
a uma potencial utilização discriminatória ou particularmente lesiva