Aspectos_gerais_da_Lei_Geral_de_Protecao

Prévia do material em texto

By: 
.com 
© presentationgo.com	
Lei Geral de Proteção de 
Dados Pessoais 
Miriam	Wimmer	
By: 
.com 
© presentationgo.com	
Proteção de Dados Pessoais 
2	
1.	Introdução	ao	tema	
• Contexto	histórico	e	gerações	de	leis	de	proteção	de	dados	pessoais	
• Direitos	fundamentais	
• Dimensão	econômica	
2.	Proteção	de	Dados	Pessoais	no	Brasil	
•  Interface	com	outros	marcos	normaDvos:	MCI,	CDC,	LAI,	legislação	setorial	
• Fundamentos	
• Âmbito	de	aplicação	e	hipóteses	de	não-incidência	
• Principais	conceitos	e	definições:	dados	pessoais,	dados	sensíveis,	dados	anonimizados,	tratamento,	consenDmento	
3.	Bases	legais	para	o	tratamento	de	dados	pessoais	
• CaracterísDcas	do	consenDmento	
• LegíDmo	interesse	
• Anonimização	e	pseudonimização	
• Tratamento	de	dados	de	crianças	e	adolescentes	
By: 
.com 
© presentationgo.com	
4.	Princípios	e	direitos	dos	Dtulares	dos	dados 		
5.	Agentes	de	tratamento	de	dados	e	encarregado	
• Obrigações	do	controlador	e	do	operador	
• Responsabilidade	civil,	tutela	coleDva	e	ônus	da	prova 		
6.	Segurança,	boas	práDcas	e	governança	
•  Incidentes	de	segurança,	privacy	and	security	by	design	
• Relatório	de	Impacto	à	privacidade:	exigência	e	requisitos	mínimos		
7.	Requisitos	para	o	tratamento	de	dados	pelo	Poder	Público	
•  Limitações	à	transferência/comparDlhamento		de	dados	entre	Poder	Público	e	Setor	Privado	
•  Empresas	públicas	e	sociedades	de	economia	mista	
•  Interface	com	outras	normas	aplicáveis	ao	setor	público	
•  Lei	de	Acesso	à	Informação	
• Responsabilidade	do	agente	público	
• ComparDlhamento	de	bases	de	dados	no	governo	
Proteção de Dados Pessoais 
By: 
.com 
© presentationgo.com	
8.	Transferência	Internacional	de	Dados	Pessoais 		
• Adequação,	garanDas	
•  Interoperabilidade	de	marcos	legais	
• Enforcement	e	cooperação	internacional	
9.	Cenário	de	enforcement	da	LGPD	
• Sistema	Nacional	de	Defesa	do	Consumidor	
• Ministério	Público	
•  Instâncias	Estaduais	e	municipais	
• Outros	órgãos	públicos	com	competências	sancionadoras	
10.	A	ANPD	
Proteção de Dados Pessoais 
By: 
.com 
© presentationgo.com	
1. Introdução 
•  Contexto histórico e gerações de leis de proteção 
de dados pessoais 
•  Direitos fundamentais 
•  Dimensão econômica 
6	
1890:	“"The	Right	to	Privacy"	(Harvard	Law	Review)	–	
Warren	and	Brandeis	
•  “a	right	to	be	le1	alone”	
1928:	Olmstead	v.	United	States,	277	U.S.	438	
• DissenDng	opinion	Brandeis:	“[the	right	to	be	let	alone]	as	the	
most	comprehensive	of	rights	and	the	right	most	valued	by	
civilized	men.	To	protect	that	right,	every	unjus@fiable	intrusion	
by	the	government	upon	the	privacy	of	the	individual,	whatever	
the	means	employed,	must	be	deemed	a	viola@on	of	the	Fourth	
Amendment.	And	the	use,	as	evidence	in	a	criminal	proceeding,	
of	facts	ascertained	by	such	intrusion	must	be	deemed	a	viola@on	
of	the	Fi1h."		
Contexto	histórico:	nos	EUA	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Abordagem	fragmentada,	baseada	na	autoridade	da	FTC,		em	normas	
setoriais	e	em	leis	estaduais	
•  FTC	SecDon	5	Enforcement	(Prohibits	unfair	or	decep@ve	business	prac@ces	and	
enforces	principles	of	no@ce	and	choice	and	reasonable	informa@on	security	prac@ces)	
• Década	de	1970:	Fair	InformaDon	PracDce	Principles:	transparency,	choice,	
informaDon	review	and	correcDon,	informaDon	protecDon,	accountability	
• Privacy	Act	of	1974,	5	U.S.C.	§	552a	
Crescente	pressão	por	legislação	federal	
• Papel	de	lei	federal	vs	competência	dos	estados	
• Ex	post	ou	ex	ante?	
• Enforcement	
Contexto	histórico:	nos	EUA	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
9	
Contexto	histórico:	UE	
1948:	Declaração	
Universal	de	
Direitos	Humanos	
1950:	Convenção	
Europeia	sobre	
Direitos	Humanos	
1968-1974:	
Recomendações	do	
Conselho	da	Europa	
1980:	Diretrizes	
OCDE	
1981:	Convenção	
108	
1983:	Decisão	da	
Corte	
ConsDtucional	
Alemã	sobre	a	Lei	
do	Censo	
1995:	DireDva	
Europeia	95/46	
2000:	Carta	dos	
Direitos	
Fundamentais	da	
EU	
2007:	Tratado	de	
Lisboa	 2016:	GDPR	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
10	
Gerações	de	leis	de	proteção	de	dados	pessoais	
1ª	geração	
(início	da	década	
de	1970)	
•  Autorizações	para	
criação	de	bancos	
de	dados	e	controle	
a	posteriori	por	
órgãos	públicos	
•  Foco	na	tecnologia	e	
nos	dados	deDdos	
pelo	Estado	
2ª	geração	(final	
da	década	de	
1970)	
•  Estrutura	não	
baseada	no	conceito	
de	bases	de	dados	
•  Privacidade	e	
proteção	de	dados	
como	liberdade	
negaDva	
•  Instrumentos	para	o	
cidadão	defender	
seus	interesses	
3ª	geração	
(década	de	
1980)	
•  Autodeterminação	
informaDva	–	para	
além	da	privacidade	
•  Influência	da	
decisão	da	Corte	
ConsDtucional	
alemã	
4ª	geração	
(atual)	
•  Instrumentos	para	
elevar	o	padrão	
coleDvo	de	proteção	
•  Disseminação	de	
autoridades	
independentes	
•  Normas	específicas	
para	determinados	
setores	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
11	
Direitos	fundamentais	
Direito	à	privacidade	
• Esfera	pública	vs	esfera	privada	
• “Right	to	be	leu	alone”	
• Liberdade	negaDva	
Direito	à	proteção	de	dados	pessoais	
• Conceito	de	dado	pessoal,	fora	da	dicotomia		
público	vs	privado	
• Direito	da	personalidade	
• Liberdade	posiDva	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Dados:	o	novo	insumo	da	economia	digital	
Redes	
sociais	
Apps	
Sites	
Formulários	
GPS	
Bases	de	
dados	
públicas	
Wearables	Sensores	
Cookies	
dados	
DisposiDvos	
conectados	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Crescimento dos fluxos globais de dados, dispositivos 
conectados e capacidades de processamento 
13	Source:	“Digital	Globaliza@on:	The	New	Era	of	Global	Flows,”	McKinsey	Global	Ins@tute,	Março	2016	 Miriam Wimmer
miriam.wimmer@yahoo.com.br
14	
Países que possuem leis de proteção de dados pessoais
DLA Piper - https://www.dlapiperdataprotection.com/ 	
Perguntas? 
By: 
.com 
© presentationgo.com	
2. Proteção de Dados Pessoais 
no Brasil 
•  Origens e interface com outras normas 
•  Fundamentos 
•  Âmbito de aplicação e hipóteses de não-incidência 
•  Principais conceitos e definições: dados pessoais, 
dados sensíveis, dados anonimizados, tratamento 
Proteção	de	dados	pessoais	no	Brasil	
CRFB	1988	
•  Liberdade	de	expressão,	direito	à	informação	
•  Inviolabilidade	da	vida	privada	e	da	inDmidade	
•  Habeas	Data	(Lei	9.507/1997)	
Código	de	Defesa	do	Consumidor	(Lei	8.078/1990)	
Lei	do	Cadastro	PosiDvo	(Lei	12.414/2011)	
Lei	de	Acesso	à	Informação	(Lei	12.527/2011)	
Marco	Civil	da	Internet	(Lei	12.965/2014)	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Debates	legislaDvos	no	Brasil	
2009:	Consultas	Públicas	sobre	
Marco	Civil	da	Internet	
2015:	2ª	Consulta	Pública	sobre	Proteção	de	Dados	Pessoais	
2016:	Envio	de	PL	ao	Congresso	
PLS	330/2013	
PL	5276/2016	
	
Lei	13.709/2018	
2014:	aprovação	do	Marco	Civil	da	
Internet	durante	a	NetMundial	
2016:	Publicação	Decreto	
2011:	Envio	de	PL	ao	Congresso	
2010:	Consulta	Pública	sobre	
Proteção	de	Dados	Pessoais	
2013:	Caso	Snowden	e	
Resolução	ONU	sobre	o	direito	à	
privacidade	na	era	digital		
2015:	Consulta	Pública	sobre	
Decreto	regulamentador	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Dimensão	cidadã	
•  Direitos	humanos,	desenvolvimento	da	
personalidade	e	cidadania	em	meios	digitais	
•  Proteção	do	consumidor,	transparência,	
consenDmento,	proteção	à	privacidade	e	aos	
dados	pessoais	
•  Autodeterminação	informaDva	
Dimensão	técnica	e	empresarial	
•  Livre	iniciaDva,	livre	concorrência,	liberdade	
dos	modelos	de	negócios	
•  Inovação	e	difusão	de	novas	tecnologias	e	
modelos	de	uso	e	acesso	
•  Transferência	internacional	de	dados	
•  Boas	práDcas,	governança		
19	Miriam Wimmer
miriam.wimmer@yahoo.com.br
Baptista Luz Advogados (2017)	
Legislação	setorial	
Legislação	setorial	
Baptista Luz Advogados (2017)	
Fundamentos	
Art.	1º	Esta	
Lei	dispõe	
sobre	o	
tratamento	
de	dados	
pessoais	...	
...	inclusive	nos	meios	
digitais,		
...	por	pessoa	natural	ou	
por	pessoa	jurídica	de	
direitopúblico	ou	privado,		
...	com	o	objePvo	de	 proteger	os	direitos	fundamentais	
de	liberdade	e	de	privacidade	
e	o	livre	desenvolvimento	da	
personalidade	da	pessoa	natural.	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Fundamentos
Autodeterminação	
informaPva	
Liberdade	de	
expressão,	de	
informação,	de	
comunicação	e	
de	opinião	
Respeito	à	
privacidade	
Desenvolvimento	
econômico	e	
tecnológico	e	a	
inovação	
Direitos	humanos,	
livre	
desenvolvimento	da	
personalidade,	
dignidade	e	exercício	
da	cidadania	
A	inviolabilidade	da	
inPmidade,	da	honra	
e	da	imagem	
Livre	iniciaPva,	
livre	
concorrência	e	
defesa	do	
consumidor	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
24	rony@opiceblum.com.br 
Âmbito de aplicação 
Operação	realizada	por	pessoa	ysica	ou	jurídica,	de	direito	
público	ou	privado	
Tratamento	no	Brasil	
Oferta	ou	fornecimento	
a	indivíduos	no	Brasil	
Dados	pessoais	
coletados	no	Brasil	
Independentemente	de:	
• País	sede	da	empresa	
• País	de	localização	dos	
dados	
• Tipo	de	tratamento	
realizado	
• Nacionalidade	dos	Dtulares	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
25	
rony@opiceblum.com.br 
Hipóteses de não-incidência (art. 4º) 
•  Segurança	pública	
•  Defesa	nacional	
•  Segurança	do	Estado	
•  InvesDgação	e	repressão	de	
infrações	penais	
•  Não	sejam	tratados	no	
Brasil	
•  O	país	de	proveniência	
proporcione	grau	de	
proteção	de	dados	
pessoais	adequado	
•  Fins	acadêmicos:	aplica-se	
art.	7º	e	11	
•  Fins	parDculares	e	não-
econômicos	
Pessoa	natural	
Fins	jornalísPcos,	
arZsPcos	ou	
acadêmicos	
Segurança	e	Defesa	
Provenientes	de	
fora	do	território	
nacional	e	que:	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
26	
rony@opiceblum.com.br 
Hipóteses de não-incidência (art. 4º) 
Segurança	
pública,		
Defesa	
Nacional,		
Segurança	do	
Estado,		
InvesPgação	e	
repressão	de	
infrações	
penais	
Legislação	específica	
Medidas	proporcionais	e	
estritamente	necessárias	
Devido	processo	legal	
Princípios	gerais	de	proteção	e	
direitos	previstos	na	LGPD	
ANPD	emiDrá	opiniões	
técnicas	ou	recomendações	e	
deve	solicitar	RIPDP	
Vedação	ao	tratamento	de	
dados	por	pessoa	de	direito	
privado	
Exceção:	procedimento	sob	tutela	
de	pessoa	jurídica	de	direito	
público	
Informe	à	ANPD	
Vedação	a	que	a	totalidade	dos	
dados	pessoais	de	banco	de	dados	
seja	tratada	por	pessoa	de	direito	
privado	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Salvo	por	aquela	que	possua	
capital	integralmente	consDtuído	
pelo	poder	público.	
O	que	é	um	dado	pessoal?	
Dado	relaDvo	a	uma	pessoa	natural	
idenDficada													ou												idenDficável	
Dados	de	
localização	
Dados	
financeiros	
IdenDfica-
dores	
eletrônicos	
Hábitos	de	
consumo	
CaracterísDcas	
ysicas	 ...	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
O	que	é	um	dado	pessoal	sensível?	
Dado	relaDvo	a	uma	pessoa	natural	
IdenDficada															ou												idenDficável	
Dados	de	
localização	
Dados	
financeiros	
IdenDfica-dores	
eletrônicos	
Hábitos	de	
consumo	
CaracterísDcas	
ysicas	 ...	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
sobre	origem	racial	ou	étnica,	convicção	religiosa,	opinião	políPca,	
filiação	a	sindicato	ou	a	organização	de	caráter	religioso,	filosófico	ou	
políPco,	saúde,	vida	sexual,	genéPca	ou	biometria,	quando	vinculado	
a	pessoa	natural	
29	rony@opiceblum.com.br 
Outras	definições	relevantes:	
• XII	–	tratamento:	toda	operação	realizada	com	
dados	pessoais,	como	as	que	se	referem	a	coleta,	
produção,	recepção,	classificação,	uDlização,	
acesso,	reprodução,	transmissão,	distribuição,	
processamento,	arquivamento,	armazenamento,	
eliminação,	avaliação,	controle,	modificação,	
comunicação,	transferência,	difusão	ou	extração.	
Escopo da Lei 
Perguntas? 
By: 
.com 
© presentationgo.com	
3. Bases legais para o 
tratamento de dados pessoais 
•  Características do consentimento 
•  Legítimo interesse 
•  Anonimização e pseudonimização 
•  Tratamento de dados de crianças e adolescentes 
 
32	
Bases legais para tratamento de dados pessoais 
ConsenDmento	do	
Dtular	
Cumprimento	de	
obrigação	legal		ou	
regulatória	
Pela	administração	pública,	para	
execução	de	políDcas	públicas	(lei,	
regulamentos,	contratos,	
convênios	...)	
Realização	de	
estudos	por	órgão	
de	pesquisa	
Execução	de	
contrato	
Exercício	regular	
de	direitos	
Proteção	da	vida	
ou	incolumidade	
ysica	
Tutela	da	saúde	 Interesses	
legíDmos	do	
controlador	ou	de	
terceiro	
Proteção	do	
crédito	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
33	
Bases legais para tratamento de dados sensíveis 
ConsenDmento	específico	e	
destacado	do	Dtular	
Cumprimento	de	obrigação	
legal		ou	regulatória	
Pela	administração	pública	
para	execução	de	políDcas	
públicas	(leis	ou	
regulamentos)	
Realização	de	estudos	por	
órgão	de	pesquisa	
Exercício	regular	de	direitos	 Proteção	da	vida	ou	
incolumidade	ysica	
Tutela	da	saúde	 Prevenção	à	fraude	e	à	
segurança	do	Dtular	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
34	
Outras	restrições:	
• No	caso	de	tratamento	de	dados	sensíveis	pelo	Poder	Público,	com	base	em	obrigação	legal,	regulatória	
ou	políDcas	públicas,	será	dada	publicidade	à	referida	dispensa	de	consenDmento	
• A	comunicação	ou	o	uso	comparDlhado	de	dados	pessoais	sensíveis	entre	controladores	com	objeDvo	de	
obter	vantagem	econômica	poderá	ser	objeto	de	vedação	ou	de	regulamentação	por	parte	da	autoridade	
nacional,	ouvidos	os	órgãos	setoriais	do	Poder	Público,	no	âmbito	de	suas	competências.	
• É	vedada	a	comunicação	ou	o	uso	comparDlhado	entre	controladores	de	dados	pessoais	sensíveis	
referentes	à	saúde	com	objeDvo	de	obter	vantagem	econômica,	exceto:	
• prestação	de	serviços	de	saúde,	de	assistência	farmacêuDca	e	de	assistência	à	saúde,	em	beneycio	dos	
interesses	dos	Dtulares	de	dados,	e	para	permiDr:											
•  I	-	a	portabilidade	de	dados	quando	solicitada	pelo	Dtular;	ou	
•  II	-	as	transações	financeiras	e	administraDvas	resultantes	do	uso	e	da	prestação	dos	serviços	de	que	
trata	este	parágrafo.			
Bases legais para tratamento de dados sensíveis 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
35	
Consentimento 
Co
ns
en
Dm
en
to
	 Forma	
Por	escrito	 Em	cláusula	destacada	das	demais	cláusulas	contratuais	
Por	outro	meio	que	
demonstre	a	manifestação	
de	vontade	do	Dtular	
Conteudo	 Finalidades	determinadas	 Nulidade	de	autorizações	genéricas	
Ônus	da	prova	 Controlador	
Direitos	do	Dtular	
Vedação	ao	tratamento	de	
dados	mediante	vicio	de	
consenDmento	
Informação	sobre	alterações	
no	tratamento	
Revogação	do	
consenDmento	
Procedimento	gratuito	e	
facilitado	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Manifestação	
livre,	
informada	e	
inequívoca	
pela	qual	o	
Dtular	
concorda	com	
o	tratamento	
de	seus	dados	
pessoais	para	
uma	finalidade	
determinada;		
36	
Legítimo interesse 
Art.	7º	(...)	IX	-	quando	necessário	para	atender	aos	interesses	legíPmos	do	controlador	ou	de	terceiro,	exceto	no	caso	
de	prevalecerem	direitos	e	liberdades	fundamentais	do	Ptular	que	exijam	a	proteção	dos	dados	pessoais;	(...)	
Art.	10.		O	legíDmo	interesse	do	controlador	somente	poderá	fundamentar	tratamento	de	dados	pessoais	para	
finalidades	legíPmas,	consideradas	a	parDr	de	situações	concretas,	que	incluem,	mas	não	se	limitam	a:	
I	-	apoio	e	promoção	de	aDvidades	do	controlador;	e	
II	-	proteção,	em	relação	ao	Dtular,	do	exercício	regular	de	seus	direitos	ou	prestação	de	serviços	que	o	beneficiem,	
respeitadas	as	legíDmas	expectaDvas	dele	e	os	direitos	e	liberdades	fundamentais,	nos	termos	desta	Lei.	
§	1º		Quando	o	tratamento	for	baseado	no	legíDmo	interesse	do	controlador,	somente	os	dados	pessoais	estritamente	
necessários	para	a	finalidade	pretendida	poderão	ser	tratados.	
§	2º		O	controlador	deverá	adotar	medidas	para	garanDr	a	transparência	do	tratamento	de	dados	baseado	em	seu	
legíDmo	interesse.	
§	3º		A	autoridade	nacional	poderá	solicitar	ao	controlador	relatório	de	impacto	à	proteção	de	dados	pessoais,	quando	
o	tratamentoDver	como	fundamento	seu	interesse	legíDmo,	observados	os	segredos	comercial	e	industrial.		
37	
Legítimo interesse: teste de balanceamento 
Interesses	legíDmos	
do	controlador	ou	de	
terceiro	
Direitos	e	liberdades	
fundamentais	do	
Dtular	
LegíDmas	expectaDvas	do	Dtular	
Somente	os	dados	pessoais	estritamente	necessários		
Transparência	
Finalidades	legíDmas	
Apoio	e	promoção	
de	aDvidades	do	
controlador	
Proteção	do	
exercício	regular	de	
direitos	do	Dtular	
ou	prestação	de	
serviços	que	o	
beneficiem	
Exemplo	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Legítimo Interesse: exemplo Garante italiana 
Finalidade	do	tratamento:	combate	à	fraude	
•  Criação	de	base	de	dados	para	armazenar	dados	de	consumidores	que	
Dnham	feito	cotações	para	conserto	de	janela	de	carro,	e	depois	
cruzamento	de	tais	dados	com	listas	de	indivíduos	que	Dnham	acionado	
o	seguro	para	conserto	do	vidro	nos	seis	meses	subsequentes.	
Decisão	da	Garante	
•  “The	assessment	of	insurance	fraud	is	normally	the	domain	of	public	
bodies	to	inves@gate	and	police.	Such	a	database	would	grant	a	
supervisory	role	to	a	private	body	with	no	inves@gatory	training	or	
guarantees	of	impar@ality.		
•  The	use	of	such	a	database	could	result	in	an	unjus@fied	presump@on	of	
fraud,	poten@ally	resul@ng	in	unfair	effects	on	innocent	data	subjects.		
•  Belron	Italia	presented	insufficient	evidence	of	an	overriding	interest	
over	the	rights	and	freedoms	of	data	subjects	to	jus@fy	the	processing	of	
their	personal	data	in	this	manner”.		
Miriam Wimmer
miriam.wimmer@yahoo.com.br
39	
Definições	
• Art.	5º,	III	-	dado	anonimizado:	dado	relaDvo	a	Dtular	
que	não	possa	ser	idenDficado,	considerando	a	
uDlização	de	meios	técnicos	razoáveis	e	disponíveis	na	
ocasião	de	seu	tratamento;	
• Art.	5º,	XI	-	anonimização:	uDlização	de	meios	técnicos	
razoáveis	e	disponíveis	no	momento	do	tratamento,	
por	meio	dos	quais	um	dado	perde	a	possibilidade	de	
associação,	direta	ou	indireta,	a	um	indivíduo;	
Anonimização 
40	
Incidência	da	Lei:	
• Art.	12.		Os	dados	anonimizados	não	serão	considerados	dados	pessoais	para	os	
fins	desta	Lei,	salvo	quando	o	processo	de	anonimização	ao	qual	foram	submeDdos	
for	reverDdo,	uDlizando	exclusivamente	meios	próprios,	ou	quando,	com	esforços	
razoáveis,	puder	ser	reverDdo.	
• §	1º		A	determinação	do	que	seja	razoável	deve	levar	em	consideração	fatores	
objeDvos,	tais	como	custo	e	tempo	necessários	para	reverter	o	processo	de	
anonimização,	de	acordo	com	as	tecnologias	disponíveis,	e	a	uDlização	exclusiva	de	
meios	próprios.	
• §	2º		Poderão	ser	igualmente	considerados	como	dados	pessoais,	para	os	fins	desta	
Lei,	aqueles	uDlizados	para	formação	do	perfil	comportamental	de	determinada	
pessoa	natural,	se	idenDficada.	
• §	3º		A	autoridade	nacional	poderá	dispor	sobre	padrões	e	técnicas	uDlizados	em	
processos	de	anonimização	e	realizar	verificações	acerca	de	sua	segurança,	ouvido	
o	Conselho	Nacional	de	Proteção	de	Dados	Pessoais.	
Anonimização 
WP	29	Opinion	on	Anonymisa;on	Techniques	(2014)	
	
Broadly	speaking	there	are	two	different	approaches	to	anonymisa@on:	the	first	is	based	on	randomiza@on	while	
the	second	is	based	on	generaliza@on.		
3.1.	Randomiza;on		
Randomiza@on	is	a	family	of	techniques	that	alters	the	veracity	of	the	data	in	order	to	remove	the	strong	link	
between	the	data	and	the	individual.	If	the	data	are	sufficiently	uncertain	then	they	can	no	longer	be	referred	to	a	
specific	individual.	Randomiza@on	by	itself	will	not	reduce	the	singularity	of	each	record	as	each	record	will	s@ll	be	
derived	from	a	single	data	subject	but	may	protect	against	inference	a]acks/risks.	and	can	be	combined	with	
generaliza@on	techniques	to	provide	stronger	privacy	guarantees.	Addi@onal	techniques	may	be	required	to	
ensure	that	a	record	cannot	iden@fy	a	single	individual.			
3.2.	Generaliza;on		
Generaliza@on	is	the	second	family	of	anonymisa@on	techniques.	This	approach	consists	of	generalizing,	or	
dilu@ng,	the	a]ributes	of	data	subjects	by	modifying	the	respec@ve	scale	or	order	of	magnitude	(i.e.	a	region	
rather	than	a	city,	a	month	rather	than	a	week).	Whilst	generaliza@on	can	be	effec@ve	to	prevent	singling	out,	it	
does	not	allow	effec@ve	anonymisa@on	in	all	cases;	in	par@cular,	it	requires	specific	and	sophis@cated	
quan@ta@ve	approaches	to	prevent	linkability	and	inference.		
Anonimização	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Art.	13.		Na	realização	de	estudos	em	saúde	pública,	os	órgãos	de	pesquisa	poderão	ter	acesso	a	
bases	de	dados	pessoais,	que	serão	tratados	exclusivamente	dentro	do	órgão	e	estritamente	
para	a	finalidade	de	realização	de	estudos	e	pesquisas	e	manDdos	em	ambiente	controlado	e	
seguro,	conforme	práDcas	de	segurança	previstas	em	regulamento	específico	e	que	incluam,	
sempre	que	possível,	a	anonimização	ou	pseudonimização	dos	dados,	bem	como	considerem	os	
devidos	padrões	éDcos	relacionados	a	estudos	e	pesquisas.	
§	4º		Para	os	efeitos	deste	arDgo,	a	pseudonimização	é	o	tratamento	por	meio	do	qual	um	dado	
perde	a	possibilidade	de	associação,	direta	ou	indireta,	a	um	indivíduo,	senão	pelo	uso	de	
informação	adicional	manPda	separadamente	pelo	controlador	em	ambiente	controlado	e	
seguro.		
Pseudonimização 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Pseudonimização e Anonimização 
h�ps://medium.com/@alexewerlof/gdpr-
pseudonymizaDon-techniques-62f7b3b46a56	
Pseudonymized	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
•  Tratamento	de	dados	pessoais	de	crianças:	
•  com	o	consenDmento	específico	e	em	destaque	dado	por	pelo	menos	um	dos	pais	ou	pelo	responsável	legal.	
•  os	controladores	deverão	manter	pública	a	informação	sobre	os	Dpos	de	dados	coletados,	a	forma	de	sua	
uDlização	e	os	procedimentos	para	o	exercício	de	direitos.	
•  Coleta	de	dados	pessoais	de	crianças	sem	o	consenDmento:	
•  Quando	a	coleta	for	necessária	para	contatar	os	pais	ou	o	responsável	legal,	uDlizados	uma	única	vez	e	sem	
armazenamento,		
•  ou	para	sua	proteção,		
•  e	em	nenhum	caso	poderão	ser	repassados	a	terceiro	sem	o	consenDmento	de	pais	ou	responsável.	
•  Controladores	não	deverão	condicionar	a	parDcipação	dos	Dtulares	de	que	trata	o	§	1º	deste	arDgo	em	jogos,	
aplicações	de	internet	ou	outras	aDvidades	ao	fornecimento	de	informações	pessoais	além	das	estritamente	
necessárias	à	aDvidade.	
•  Controlador	deve	realizar	todos	os	esforços	razoáveis	para	verificar	que	o	consenDmento	a	que	se	refere	o	§	1º	
deste	arDgo	foi	dado	pelo	responsável	pela	criança,	consideradas	as	tecnologias	disponíveis.	
•  Informações	sobre	o	tratamento	de	dados	referidas	neste	arDgo	deverão	ser	fornecidas	de	maneira	simples,	clara	
e	acessível.	
Tratamento de dados de crianças e adolescentes 
deve ser realizado em seu melhor interesse (art. 14) 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Perguntas? 
By: 
.com 
© presentationgo.com	
4. Princípios e direitos dos 
titulares 
47	
rony@opiceblum.com.br 
Art.	17.		Toda	pessoa	natural	tem	assegurada	a	Dtularidade	de	
seus	dados	pessoais	e	garanDdos	os	direitos	fundamentais	de	
liberdade,	de	inDmidade	e	de	privacidade,	nos	termos	desta	Lei.	
Art.	2º		A	disciplina	da	proteção	de	dados	pessoais	tem	como	
fundamentos:	
II	–	a	autodeterminação	informaDva;	
Art.	51.		A	autoridade	nacional	esDmulará	a	adoção	de	padrões	
técnicos	que	facilitem	o	controle	pelos	Dtulares	dos	seus	dados	
pessoais.		
Direitos do Titular 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
48	rony@opiceblum.com.br 
 Princípios (art. 6º) Direitos do Titular (art. 
17 ss) 
Finalidade	 Adequação	 Necessidade	
Livre	Acesso	 Qualidade	dos	dados	 Transparência	
Segurança	 Prevenção	 Não-discriminação	
Responsabilização	
e	prestação	de	
contas	
Informação	sobre	
tratamento	 Acesso	aos	dados	
Correção	
Anonimização,	
bloqueio	ou	
eliminação	
Portabilidade	
Oposição	e	
revogação	do	
consenDmento	
Revisão	de	
decisões	
automaDzadas	
Defesa	de	direitos	
em	juízo,	
individual	ou	
coleDvamente	Miriam Wimmer
miriam.wimmer@yahoo.com.br49	
Livre acesso, qualidade e transparência 
• Consulta	facilitada	e	gratuita	
sobre	a	forma	e	a	duração	do	
tratamento,	bem	como	sobre	
a	integralidade	de	seus	dados	
pessoais	
Livre	acesso	
• GaranDa,	aos	Dtulares,	de	
exaDdão,	clareza,	relevância	
e	atualização	dos	dados,	de	
acordo	com	a	necessidade	e	
para	o	cumprimento	da	
finalidade	de	seu	tratamento	
Qualidade	dos	
dados	
•  GaranDa,	aos	Dtulares,	de	
informações	claras,	precisas	e	
facilmente	acessíveis	sobre	a	
realização	do	tratamento	e	os	
respecDvos	agentes	de	
tratamento,	observados	os	
segredos	comercial	e	industrial;	
Transparência	
•  Acesso	facilitado	às	informações	sobre	o	tratamento	de	seus	dados	(art.	9)	
•  Confirmação	da	existência	de	tratamento	(art.	18,	I)	
•  Acesso	aos	dados	(art.	18,	II)	
•  Correção	de	dados	incompletos	,	inexatos	ou	desatualizados	(art.	18,	III)	
•  Informação	sobre	comparDlhamento	e	sobre	possibilidade	de	não	fornecer	
consenDmento	(art.	18.	VII	e	VIII)	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
50	
Art.	9º		O	Dtular	tem	direito	ao	acesso	facilitado	às	informações	sobre	
o	tratamento	de	seus	dados,	que	deverão	ser	disponibilizadas	de	
forma	clara,	adequada	e	ostensiva	acerca	de,	entre	outras	
caracterísDcas	previstas	em	regulamentação	para	o	atendimento	do	
princípio	do	livre	acesso:	
•  I	-	finalidade	específica	do	tratamento;	
•  II	-	forma	e	duração	do	tratamento,	observados	os	segredos	comercial	e	industrial;	
•  III	-	idenDficação	do	controlador;	
•  IV	-	informações	de	contato	do	controlador;	
•  V	-	informações	acerca	do	uso	comparDlhado	de	dados	pelo	controlador	e	a	finalidade;	
•  VI	-	responsabilidades	dos	agentes	que	realizarão	o	tratamento;	e	
•  VII	-	direitos	do	Dtular,	com	menção	explícita	aos	direitos	conDdos	no	art.	18	desta	Lei.	
Livre acesso, qualidade e transparência 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
51	
Exemplos: transparência quanto à finalidade do 
tratamento 
“Podemos	usar	seus	dados	pessoais	para	oferecer	outros	
serviços”	
“Manteremos	registro	do	seu	histórico	de	compras	para	
sugerir	outros	produtos	nos	quais	acreditamos	que	você	
tenha	interesse”.	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
52	
Exemplos: transparência quanto à política de 
privacidade 
Sites:	PolíDca	de	privacidade	
publicada	de	maneira	visível	e	
facilmente	acessível	
AplicaPvos:	informações	sobre	
privacidade	disponíveis	antes	do	
download	e	facilmente	acessíveis	de	
dentro	do	aplicaDvo	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
53	
 Finalidade e adequação 
• Realização	do	tratamento	para	
propósitos	legíPmos,	específicos,	
explícitos	e	informados	ao	Ptular,	
sem	possibilidade	de	tratamento	
posterior	de	forma	incompaZvel	
com	essas	finalidades;	
Finalidade	
• CompaDbilidade	do	tratamento	
com	as	finalidades	informadas	ao	
Ptular,	de	acordo	com	o	contexto	
do	tratamento	
Adequação	
•  Boa	fé	(art.	6º,	caput)	
•  Informação	sobre	o	tratamento	(art.	9º	e	art.	18)	
•  Revogação	do	consenDmento	(art.	18,	V,	c/c	art.	9,	§	2º)	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
54	
Finalidade e adequação 
Art.	9º.	§	2º		Na	hipótese	em	que	o	consenDmento	é	requerido,	se	houver	
mudanças	da	finalidade	para	o	tratamento	de	dados	pessoais	não	
compa�veis	com	o	consenDmento	original,	o	controlador	deverá	informar	
previamente	o	Ptular	sobre	as	mudanças	de	finalidade,	podendo	o	Dtular	
revogar	o	consenPmento,	caso	discorde	das	alterações.	
Art.	18,	§	2º		O	Dtular	pode	opor-se	a	tratamento	realizado	com	
fundamento	em	uma	das	hipóteses	de	dispensa	de	consenPmento,	em	
caso	de	descumprimento	ao	disposto	nesta	Lei.	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
55	
 Posso realizar o tratamento do dado para finalidade distinta da 
qual foi coletada? 
Somente	de	forma	compaZvel	com	a	
finalidade	informada	ao	Ptular	
• Tratamento	com	base	no	consenPmento:	
• Informação	prévia	ao	Dtular	
• Possibilidade	de	revogação	do	consenDmento	
(art.	9,	§	2º)	
• Tratamento	com	base	em	outro	fundamento	legal	
• Possibilidade	de	oposição	pelo	Dtular	(art.	18,	§	
2º)	
• Dados	anonimizados	à	fora	do	escopo	da	Lei	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
56	
Exemplos: finalidade e adequação 
Um	cliente	contrata,	por	meio	de	um	site,	a	entrega	semanal,	em	sua	casa,	de	uma	
caixa	com	produtos	orgânicos	
Após	a	coleta	inicial	dos	
dados,	o	vendedor	
conDnua	processando	os	
dados	semanalmente	
para	entregar	a	
mercadoria.	
O	vendedor	uDliza	os	dados	
de	contato	e	histórico	de	
consumo	do	Dtular	para	
enviar	ofertas	
personalizadas	sobre	
laDcínios	orgânicos.	
O	vendedor	comparDlha	
tais	dados	com	um	
açougueiro	que	vende	
carne	orgânica.		
Sem	informar	ao	cliente,	o	
vendedor	passa	a	dar	
descontos	diferenciados	
dependendo	se	o	cliente	
acesso	o	site	com	um	
iPhone	ou	com	um	
Android.	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
57	
 Caso específico: dados de acesso público 
Dados	pessoais	cujo	
acesso	é	público	e	
dados	tornados	
manifestamente	
públicos	pelo	Dtular	
• Art.	7º,	§	7º.	O	tratamento	posterior	dos	dados	pessoais	
a	que	se	referem	os	§§	3º	e	4º	deste	arDgo	poderá	ser	
realizado	para	novas	finalidades,	desde	que	observados	
os	propósitos	legíDmos	e	específicos	para	o	novo	
tratamento	e	a	preservação	dos	direitos	do	Dtular,	assim	
como	os	fundamentos	e	os	princípios	previstos	nesta	Lei.	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
58	
Necessidade 
• Limitação	do	tratamento	
ao	mínimo	necessário	
para	a	realização	de	suas	
finalidades,	com	
abrangência	dos	dados	
perPnentes,	
proporcionais	e	não	
excessivos	em	relação	às	
finalidades	do	tratamento	
de	dados;	
Necessidade	
Anonimização,	bloqueio	ou	eliminação	de	dados	
desnecessários,	excessivos	ou	tratados	em	
desconformidade	com	o	disposto	na	Lei	(art.	18,	IV);	
Eliminação	dos	dados	pessoais	tratados	com	o	
consenDmento	do	Dtular	(art.	18,	VI	c/c	art.	16);		
Revogação	do	consenDmento	(art.	18,	IX	c/c	art.	8º	§	
5º	e	art.	9º,	§	2º).	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
59	
 Segurança, prevenção, não-discriminação, 
responsabilização e prestação de contas 
• UDlização	de	medidas	
técnicas	e	
administraDvas	aptas	a	
proteger	os	dados	
pessoais	
Segurança	
• Adoção	de	medidas	
para	prevenir	a	
ocorrência	de	danos	em	
virtude	do	tratamento	
de	dados	pessoais;	
Prevenção	
• Impossibilidade	de	
realização	do	
tratamento	para	fins	
discriminatórios	ilícitos	
ou	abusivos;	
Não-discriminação	
• Demonstração	da	
adoção	de	medidas	
eficazes	
Responsabilização	
e	prestação	de	
contas	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
60	
Exemplo 
Instalação	de	câmeras	nas	portas	do	metrô	da	Linha	4	de	SP	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
61	
Exemplo 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
62	
Outros direitos 
Portabilidade	
• Mediante	requisição	expressa	
• Observados	segredos	comercial	e	
industrial	
• De	acordo	com	a	regulamentação	
• Não	inclui	dados	anonimizados	
• Padrões	de	interoperabilidade	
estabelecidos	pela	autoridade	nacional	
Portabilidade	
de	
reputação?	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
63	
Outros direitos 
Revisão	de	decisões	automaDzadas	
• Por	pessoa	natural	
• Decisões	tomadas	unicamente	com	base	em	
tratamento	automaDzado	
• Que	afetem	seus	interesses	
• Obrigação	do	controlador	de	fornecer,	
mediante	solicitação,	informações	claras	e	
adequadas	a	respeito	dos	critérios	e	dos	
procedimentos	uDlizados,	observados	
segredos	comercial	e	industrial	
• Auditorias	pela	autoridade	nacional	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
64	
Credit Scoring 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Lei	12.414,	de	9	de	junho	de	2011	
Art.	5o		São	direitos	do	cadastrado:		
I	-	obter	o	cancelamento	do	cadastro	quando	solicitado;			
II	-	acessar	gratuitamente	as	informações	sobre	ele	existentes	no	banco	de	dados,	inclusive	o	seu	histórico,	
cabendo	ao	gestor	manter	sistemas	seguros,	por	telefone	ou	por	meio	eletrônico,	de	consulta	para	
informar	as	informações	de	adimplemento;		
III	-	solicitar	impugnaçãode	qualquer	informação	sobre	ele	erroneamente	anotada	em	banco	de	dados	e	
ter,	em	até	7	(sete)	dias,	sua	correção	ou	cancelamento	e	comunicação	aos	bancos	de	dados	com	os	quais	
ele	comparDlhou	a	informação;			
IV	-	conhecer	os	principais	elementos	e	critérios	considerados	para	a	análise	de	risco,	resguardado	o	
segredo	empresarial;		
V	-	ser	informado	previamente	sobre	o	armazenamento,	a	idenDdade	do	gestor	do	banco	de	dados,	o	
objeDvo	do	tratamento	dos	dados	pessoais	e	os	desDnatários	dos	dados	em	caso	de	comparDlhamento;		
VI	-	solicitar	ao	consulente	a	revisão	de	decisão	realizada	exclusivamente	por	meios	automaPzados;	e		
VII	-	ter	os	seus	dados	pessoais	uDlizados	somente	de	acordo	com	a	finalidade	para	a	qual	eles	foram	
coletados.	
	
65	
Exemplo: perfilhamento algorítmico 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Profiling	involves	dividing	all	unemployed	into	3	categories,	
taking	into	account	their	individual	characterisDcs.	Assignment	
to	a	given	category	determines	the	type	of	labor	market	
programs	that	a	parPcular	person	can	receive	from	the	local	
labor	offices	(e.g.	job	placement,	vocaDonal	training,	
apprenDceship,	acDvaDon	allowance).	This	categorizaDon	is	
based	on	data	collected	during	a	computer-based	interview	
with	the	unemployed.	24	different	dimensions	are	reported	in	
the	electronic	database	and	each	of	them	is	assigned	with	a	
score.	The	final	score–and	the	category	to	which	a	given	
unemployed	should	be	assigned–is	determined	by	the	
algorithm.	At	the	same	Dme	the	logic	behind	the	profiling	and	
the	algorithm	itself	are	treated	as	confidenDal	informaDon.	As	a	
result,	the	unemployed	does	not	know	how	certain	individual	
features	or	life	circumstances	affect	his/her	chance	of	being	
assigned	to	a	given	category.	
66	
Exemplo: perfilhamento algorítmico 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Profile	I:	acDve,	mobile	persons,	having	appropriate	professional	
qualificaDons	and	interpersonal	skills.		
Profile	II:	persons	who	have	certain	professional	skills,	but	unfortunately	
are	redundant	on	the	labor	market,	or	worked	for	a	very	long	Dme	in	
one	company.		
Profile	III:	persons	with	serious	life	problems	(...)	unemployment	is	their	
choice	and	is	grounded	in	their	“mental	character”.	Disabled	persons,	
single	women	raising	children	and	persons	registering	themselves	only	
because	of	the	need	to	obtain	health	insurance,	or	persons	from	small	
towns	having	no	easy	connecDon	to	a	larger	center.	
67	
Exemplo: Credit Scoring 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
These	are	the	most	
important	findings:	
•  Bad	scores	even	without	
negaDve	characterisDcs	
•  Allegedly	accurate	scores	
despite	inaccurate	data	
•  Factors:	Age,	sex	and	
moves	
•  Some	scores	have	fallen	
out	of	Dme	
Dados	sobre	70	milhões	de	pessoas	na	Alemanha.	
Término	do	tratamento	de	dados	e	eliminação	
Art.	15.		O	término	do	tratamento	de	
dados	pessoais	ocorrerá	nas	
seguintes	hipóteses:	
•  I	-	verificação	de	que	a	finalidade	foi	alcançada	
ou	de	que	os	dados	deixaram	de	ser	
necessários	ou	perDnentes	ao	alcance	da	
finalidade	específica	almejada;	
•  II	-	fim	do	período	de	tratamento;	
•  III	-	comunicação	do	Dtular,	inclusive	no	
exercício	de	seu	direito	de	revogação	do	
consenDmento	conforme	disposto	no	§	5º	do	
art.	8º	desta	Lei,	resguardado	o	interesse	
público;	ou	
•  IV	-	determinação	da	autoridade	nacional,	
quando	houver	violação	ao	disposto	nesta	Lei.	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Art.	16.		Os	dados	pessoais	serão	
eliminados	após	o	término	de	seu	
tratamento,	no	âmbito	e	nos	limites	
técnicos	das	aDvidades,	autorizada	a	
conservação	para	as	seguintes	finalidades:	
• I	-	cumprimento	de	obrigação	legal	ou	regulatória	
pelo	controlador;	
• II	-	estudo	por	órgão	de	pesquisa,	garanDda,	sempre	
que	possível,	a	anonimização	dos	dados	pessoais;	
• III	-	transferência	a	terceiro,	desde	que	respeitados	os	
requisitos	de	tratamento	de	dados	dispostos	nesta	
Lei;	ou	
• IV	-	uso	exclusivo	do	controlador,	vedado	seu	acesso	
por	terceiro,	e	desde	que	anonimizados	os	dados.		
Perguntas? 
By: 
.com 
© presentationgo.com	
5. Agentes de tratamento de 
dados e encarregado 
•  Obrigações do controlador e do operador 
•  Responsabilidade civil, tutela coletiva e ônus da prova 
71	
Agentes de tratamento e encarregado 
Controlador	
• pessoa	natural	
ou	jurídica,	de	
direito	público	
ou	privado...	
•  ...a	quem	
competem	as	
decisões	
referentes	ao	
tratamento	de	
dados	
pessoais;	
Operador	
• pessoa	natural	
ou	jurídica,	de	
direito	público	
ou	privado...	
• que	realiza	o	
tratamento	de	
dados	pessoais	
em	nome	do	
controlador;	
Encarregado	
• pessoa	natural	
•  indicada	pelo	
controlador	(e	
operador!)	
•  ...que	atua	
como	canal	de	
comunicação	
entre	o	
controlador	e	
os	Dtulares	e	a	
autoridade	
nacional;	
Art.	37.		O	controlador	e	
o	operador	devem	
manter	registro	das	
operações	de	tratamento	
de	dados	pessoais	que	
realizarem,	
especialmente	quando	
baseado	no	legíDmo	
interesse.	
Art.	39.		O	operador	
deverá	realizar	o	
tratamento	segundo	as	
instruções	fornecidas	
pelo	controlador,	que	
verificará	a	observância	
das	próprias	instruções	e	
das	normas	sobre	a	
matéria.	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
72	
Encarregado 
O	controlador	deverá	indicar	encarregado	pelo	tratamento	de	dados	pessoais,	cuja	
idenDdade	e	dados	de	contato	devem	ser	divulgados	publicamente	(art.	41)	
I	-	aceitar	reclamações	e	
comunicações	dos	
Dtulares,	prestar	
esclarecimentos	e	adotar	
providências;	
II	-	receber	comunicações	
da	autoridade	nacional	e	
adotar	providências;	
III	-	orientar	os	
funcionários	e	os	
contratados	da	enDdade	a	
respeito	das	práDcas	a	
serem	tomadas	em	
relação	à	proteção	de	
dados	pessoais;	e	
IV	-	executar	as	demais	
atribuições	determinadas	
pelo	controlador	ou	
estabelecidas	em	normas	
complementares.	
A	ANPD	poderá	estabelecer	hipóteses	de	dispensa,	conforme	a	natureza	e	o	porte	da	
enDdade	ou	o	volume	de	operações	de	tratamento	de	dados.		
Miriam Wimmer
miriam.wimmer@yahoo.com.br
73	
Principais desafios 
Obrigações	do	controlador	
•  Obter	consenDmento	para	tratamento	e	comparDlhamento	de	bases	de	dados	(art.	7º,	par.	5º)	
•  Ônus	da	prova	de	que	o	consenDmento	foi	dado	em	acordo	com	a	Lei	(art.	8º,	par.	2º)	
•  Comunicação	ao	Dtular	em	caso	de	alterações	referentes	ao	tratamento(art.	8º,	par.	6º)	
•  Dar	transparência	quanto	ao	tratamento	de	dados	baseado	no	legiDmo	interesse	(art.	10,	par.	2º)	
•  Realizar	relatório	de	impacto	à	privacidade	quando	demandado	pela	Autoridade	(art.	10,	par.	3º	e	
art.	38)	
•  Prestar	informações	ao	Dtular	quando	demandado	(art.	18),	inclusive	quanto	a	decisões	
automaDzadas	(art.	20,	par.	1º)	
•  Manter	registro	das	operações	de	tratamento	realizadas	(art.	37)	
•  Indicar	encarregado	(art.	41)	
•  Comunicar	à	autoridade	incidente	de	segurança	que	possa	causar	risco	ou	dano	relevante	aos	
Dtulares		(art.	48)	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
74	
Regime de responsabilidade: controlador e operador 
•  dano	patrimonial	ou	moral,	individual	ou	coleDvo;	
•  em	razão	do	exercício	de	aDvidade	de	tratamento;	e	
•  em	violação	à	legislação	de	proteção	de	dados	pessoais.	
Obrigação	de	
reparação	
•  Operador:	quando	descumprir	a	legislação	ou	as	instruções	lícitas	do	
controlador	
•  Controladores	diretamente	envolvidos	no	tratamento	que	causou	o	dano,	
exceto	se	provarem:	
•  Que	não	realizaram	o	tratamento	
•  Que	não	houve	violação	à	legislação;	ou	
•  Culpa	exclusiva	do	Dtular	dos	dados	ou	de	terceiro.	
Solidariedade	
•  Relações	de	consumo	permanecem	sujeitas	ao	regime	de	responsabilidade	do	
CDC	
•  Possibilidade	de	inversão	do	ônus	da	prova	
•  Ação	de	regresso	
Outras	regras	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
WP	29	Opinion	1/2010:	DisDnguishing	the	roles	of	data	
controller	and	data	processor.	Criteria:	
•  Level	of	prior	instrucDon	given	by	the	controller,	which	
determines	the	degree	of	independent	judgment	the	processorcan	exercise.	
• Monitoring	by	the	controller	of	the	execuDon	of	the	service—
closer	monitoring	by	a	controller	suggests	that	it	is	in	full	and	sole	
control	of	the	processing.	
• Visibility/image	portrayed	by	the	controller	to	the	individual	and	
expectaDons	of	the	individual	on	the	basis	of	this	visibility.	
•  ExperDse	of	the	parDes—the	greater	the	experDse	of	the	service	
provider	relaDve	to	that	of	its	customer,	the	greater	the	likelihood	
that	it	will	be	classified	as	a	controller.	Miriam Wimmer
miriam.wimmer@yahoo.com.br
76	
Exemplos: quem é controlador e quem é operador? 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Uma	empresa	contrata	um	
serviço	de	hospedagem	em	
nuvem	para	armazenar	os	
dados	de	seus	clientes	
Um	escritório	de	advocacia	
recebe	os	dados	pessoas	
de	clientes	com	o	objeDvo	
de	ingressar	com	uma	ação	
judicial	
Um	hospital	contrata	uma	
empresa	de	logísDca	para	
entregar	envelopes	com	
relatórios	médicos	dos	
pacientes	
Uma	agência	de	viagens	é	
contratada	para	organizar	
as	férias	de	um	cliente,	e	
repassa	seus	dados	para	
uma	companhia	aérea	e	
para	um	hotel	
Perguntas? 
By: 
.com 
© presentationgo.com	
6. Segurança, boas práticas e 
governança 
•  Incidentes de segurança, privacy and security by design 
•  Relatório de Impacto à privacidade: exigência e requisitos mínimos 
79	
Segurança e boas práticas 
Os	agentes	de	tratamento	devem	adotar	medidas	de	segurança,	técnicas	e	administraDvas	aptas	a	proteger	
os	dados	pessoais	de	acessos	não	autorizados	e	de	situações	acidentais	ou	ilícitas	de	destruição,	perda,	
alteração,	comunicação	ou	qualquer	forma	de	tratamento	inadequado	ou	ilícito	(Art.	46)	
Autoridade	pode	estabelecer	padrões	
técnicos	mínimos	(Art.	46,	§	1º)	
Privacy	by	design	(Art.	46,	§	2º)	
Security	by	design	(Art.	49)	
Boas	práDcas:	programa	de	governança	
em	privacidade	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
80	
Notificação de incidentes (art. 48) 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Quem	deve	noDficar?	
• O	controlador	
A	quem?	
• À	autoridade	e	ao	Dtular	
Critério	
• Possibilidade	de	risco	ou	dano	relevante	aos	Dtulares	
Possíveis	medidas	adicionais,	a	critério	da	Autoridade:	
• Ampla	divulgação	
• Medidas	para	reverter	ou	miDgar	os	efeitos	do	incidente	
81	
Boas práticas e governança 
Regras	de	boas	práDcas	
de	governança	
Controladores,	
operadores,	
individualmente	ou	por	
meio	de	associações	
Condições	de	organização,	
regime	de	funcionamento,	
procedimentos,	normas	de	
segurança,	padrões	
técnicos,	obrigações,	ações	
educaDvas,	mecanismos	
internos	de	supervisão	e	
miDgação	de	riscos	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
82	
Programa	de	governança	em	privacidade	
•  a)	demonstre	o	compromeDmento	do	controlador	em	adotar	processos	e	políDcas	internas	que	
assegurem	o	cumprimento,	de	forma	abrangente,	de	normas	e	boas	práDcas	relaDvas	à	
proteção	de	dados	pessoais;	
•  b)	seja	aplicável	a	todo	o	conjunto	de	dados	pessoais	que	estejam	sob	seu	controle,	
independentemente	do	modo	como	se	realizou	sua	coleta;	
•  c)	seja	adaptado	à	estrutura,	à	escala	e	ao	volume	de	suas	operações,	bem	como	à	sensibilidade	
dos	dados	tratados;	
•  d)	estabeleça	políDcas	e	salvaguardas	adequadas	com	base	em	processo	de	avaliação	
sistemáDca	de	impactos	e	riscos	à	privacidade;	
•  e)	tenha	o	objeDvo	de	estabelecer	relação	de	confiança	com	o	Dtular,	por	meio	de	atuação	
transparente	e	que	assegure	mecanismos	de	parDcipação	do	Dtular;	
•  f)	esteja	integrado	a	sua	estrutura	geral	de	governança	e	estabeleça	e	aplique	mecanismos	de	
supervisão	internos	e	externos;	
•  g)	conte	com	planos	de	resposta	a	incidentes	e	remediação;	e	
•  h)	seja	atualizado	constantemente	com	base	em	informações	obDdas	a	parDr	de	monitoramento	
con�nuo	e	avaliações	periódicas;	
Boas práticas e governança 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
83	
Relatório de Impacto à Privacidade 
Guidelines	on	Data	ProtecDon	Impact	
Assessment	(DPIA)	and	determining	
whether	processing	is	"likely	to	result	
in	a	high	risk"	for	the	purposes	of	
RegulaDon	2016/679,	wp248rev.01	
Descrição	do	
processamento	
Avaliação	da	
necessidade	e	
proporcionalidade	
Medidas	já	
vislumbradas	
Avaliação	dos	
riscos	a	direitos	
e	liberdades	
Medidas	para	
endereçar	os	
riscos	
Documentação	
Monitoramento	e	
revisão	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
84	
Relatório de Impacto à Proteção de Dados Pessoais 
O	que	é?	
•  Art.	5º,	XVII	-	documentação	do	controlador	que	contém	a	descrição	dos	processos	de	
tratamento	de	dados	pessoais	que	podem	gerar	riscos	às	liberdades	civis	e	aos	direitos	
fundamentais,	bem	como	medidas,	salvaguardas	e	mecanismos	de	miDgação	de	risco;	
Em	quais	hipóteses	é	exigível?	
•  Art.	38.		A	autoridade	nacional	poderá	determinar	ao	controlador	que	elabore	relatório	de	
impacto	à	proteção	de	dados	pessoais,	inclusive	de	dados	sensíveis,	referente	a	suas	
operações	de	tratamento	de	dados,	nos	termos	de	regulamento,	observados	os	segredos	
comercial	e	industrial.	
•  Art.	10,	§	3º	A	autoridade	nacional	poderá	solicitar	(...)	quando	o	tratamento	Dver	como	
fundamento	seu	interesse	legíPmo,	observados	os	segredos	comercial	e	industrial.		
•  Art.	32.		A	autoridade	nacional	poderá	solicitar	a	agentes	do	Poder	Público	(...)	e	sugerir	a	
adoção	de	padrões	e	de	boas	práDcas	para	os	tratamentos	de	dados	pessoais.		
Miriam Wimmer
miriam.wimmer@yahoo.com.br
85	
Requisitos mínimos (art.38, p.u) 
Descrição	dos	Dpos	de	dados	coletados	
Metodologia	uDlizada	para	a	coleta	e	para	a	garanDa	da	segurança	das	
informações	
Análise	do	controlador	com	relação	a	medidas,	salvaguardas	e	mecanismos	
de	miDgação	de	risco	adotados.	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Perguntas? 
By: 
.com 
© presentationgo.com	
7. Tratamento de dados pelo 
Poder Público 
•  Limitações à transferência/compartilhamento de dados entre Poder 
Público e Setor Privado 
•  Empresas públicas e sociedades de economia mista 
•  Interface com outras normas aplicáveis ao setor público 
O quão bem 
o Estado 
deve 
conhecer 
seus 
cidadãos? 
A	visibilidade	do	
Estado	sobre	
seus	cidadãos	
permite	
amplificar	sua	
capacidade	de	
intervenção	
89	
O dilema dos dados custodiados pelo governo 
Prestação	de	serviços	à	
população	
•  PolíDcas	públicas	baseadas	em	
evidências	
•  Eficiência	e	desburocraDzação	
•  Combate	a	fraudes	
•  Inovação	no	governo	
Percepção	de	riscos	
•  Cruzamento	de	bases	de	dados	
formadas	em	contextos	
disDntos	
•  Formação	de	perfis	
•  ComparDlhamento	com	o	setor	
privado	
•  Riscos	de	segurança	cibernéDca	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
90	Miriam Wimmer
miriam.wimmer@yahoo.com.br
www.governodigital.gov.br/	
91	
Por outro lado: 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
92	
Princípios de PDP na Administração Pública 
Finalidade	 Adequação	 Necessidade	
Livre	Acesso	 Qualidade	dos	dados	 Transparência	
Segurança	 Prevenção	 Não-discriminação	
Accountability	
Legalidade	 Impessoalidade	
Moralidade	 Publicidade	
Eficiência	 Supremacia	do	interesse	público	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
93	
Precedente STF: publicidade vs intimidade 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
ARE	652777/SP	–	vencimentos	
de	servidores	públicos	
•  É	legíDma	a	publicação,	inclusive	em	
síDo	eletrônico	manDdo	pela	
Administração	Pública,	dos	nomes	
dos	seus	servidores	e	do	valor	dos	
correspondentes	vencimentos	e	
vantagens	pecuniárias.		
•  V.	STF.	Recurso	Extraordinário	com	
Agravo:	ARE	652777/SP.	Relator:	
Ministro	TEORI	ZAVASCKI.	DJe-128;	
DIVULG	30-06-2015;	PUBLIC	
01-07-2015.		
94	
Princípios de PDP na Administração Pública 
Finalidade	 Adequação	 Necessidade	
Livre	Acesso	 Qualidade	dos	dados	 Transparência	
Segurança	 Prevenção	 Não-discriminação	
Accountability	
Legalidade	 Impessoalidade	
Moralidade	 Publicidade	
Eficiência	 Supremacia	do	interesse	público	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
95	
Uma análise principiológicada PDP no Poder Público 
PDP	como	um	direito	individual	
PDP	como	um	bem	coleDvo	
Provisão	de	
importantes	serviços	
públicos	
Proteção	de	dados	
pessoais	e	privacidade	
	
vs.	
Proteção	do	
interesse	público	 vs.	
Proteção	do	
interesse	público	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
96	
Pressupostos: Poder Público 
• Base	Legal	1.		
• Transparência	e	publicidade	
(art.	23,	I	e	§1º)	2.	
• Indicação	de	Encarregado	
(art.	23,	III)	3.	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
97	
Interface com LAI e outras normas específicas (art. 23) 
Mantém-se	a	exigência	de	insDtuição	de	Serviço	de	Informações	
ao	Cidadão	(SIC)	
Observância	dos	prazos	e	procedimentos	previstos	em	
legislação	específica	
• Lei	do	Habeas	Data	
• Lei	Geral	do	Processo	AdministraDvo	
• Lei	de	Acesso	à	Informação	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
98	
Destinatário das normas 
Administração	
Pública	
art.	5º	[órgão	de	
pesquisa]	,	arts.	7º	
e	11)	
Pessoa	
jurídica	de	
Direito	
Público	
art.	3º,	art.	4º,	§	2º,	
art.	23,	art.	27,	art.	
33,	p.	ún)	
Poder	
Público	
(art.	4º,	§	4º,	
Capítulo	IV,	art.	23,	
§§	3º	e	4º,	art.	26,	
art.	29,	art.	32,		
EnDdades	
públicas	
(art.	5º,	XVI;	art.	11,	
§	2º,	art.	26,	art.	31	
[órgãos	públicos],	
art.	33,	art.	52,	§	3º		
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Art.	3º	Esta	Lei	aplica-se	a	qualquer	operação	de	tratamento	realizada	por	pessoa	natural	ou	por	
pessoa	jurídica	de	direito	público	ou	privado,	independentemente	do	meio,	do	país	de	sua	sede	ou	
do	país	onde	estejam	localizados	os	dados,	desde	que	(...):		
99	
Casos específicos 
• Mesmo	tratamento	das	PJs	de	direito	público	
• Devem	fornecer	acesso	aos	dados	por	meio	
eletrônico	para	a	administração	pública,	tendo	
em	vista	as	finalidades	de	que	trata	o	caput	do	
art.	23.	
Art.	23,	§§	4º	e	5º	
Serviços	notariais	e	de	
registro	exercidos	em	
caráter	privado,	por	
delegação	do	Poder	
Público	
• Quando	atuam	em	regime	de	concorrência,	
tratamento	como	das	PJs	de	Direito	Privado	
• Quanto	esDverem	operacionalizando	políDcas	
públicas,	mesmo	tratamento	dos	órgãos	e	
enDdades	do	Poder	Público	
Art.	24.	
Empresas	públicas	e	
sociedades	de	economia	
mista	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
100	
Excludente de incidência da LGPD 
• Regra	geral:	vedação	a	tratamento	por	pessoa	de	direito	privado	
• Exceção:	procedimentos	sob	tutela	de	pessoa	jurídica	de	direito	
público,	objeto	de	informe	específico	à	autoridade	nacional		
• Em	nenhum	caso	a	totalidade	dos	dados	pessoais	de	banco	de	
dados	dessa	natureza	poderá	ser	tratada	por	pessoa	de	direito	
privado	salvo	por	aquela	que	possua	capital	integralmente	
cons@tuído	pelo	poder	público.	
• §	1º	O	tratamento	de	dados	pessoais	previsto	no	inciso	III	será	
regido	por	legislação	específica,	que	deverá	prever	medidas	
proporcionais	e	estritamente	necessárias	ao	atendimento	do	
interesse	público,	observados	o	devido	processo	legal,	os	
princípios	gerais	de	proteção	e	os	direitos	do	Ptular	previstos	
nesta	Lei.	
Art.	4º	
Dados	relaDvos	à	
segurança	pública,	
defesa	nacional,	
segurança	do	Estado	
ou	aDvidades	de	
invesDgação	e	
repressão	de	
infrações	penais		
Miriam Wimmer
miriam.wimmer@yahoo.com.br
101	
Bases legais para o tratamento de dados pessoais 
pelo 
Poder Público 
102	
Hipóteses legais para tratamento de dados pessoais 
ConsenDmento	do	
Dtular	
Cumprimento	de	
obrigação	legal		ou	
regulatória	
Pela	administração	pública,	para	
execução	de	políDcas	públicas	(lei,	
regulamentos,	contratos,	
convênios	...)	
Realização	de	
estudos	por	órgão	
de	pesquisa	
Execução	de	
contrato	
Exercício	regular	
de	direitos	
Proteção	da	vida	
ou	incolumidade	
ysica	
Tutela	da	saúde	 Interesses	
legíDmos	do	
controlador	ou	de	
terceiro	
Proteção	do	
crédito	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
103	
Hipóteses legais para tratamento de dados sensíveis 
ConsenDmento	específico	e	
destacado	do	Dtular	
Cumprimento	de	obrigação	
legal		ou	regulatória	
Pela	administração	pública	
para	execução	de	políDcas	
públicas	(leis	ou	
regulamentos)	
Realização	de	estudos	por	
órgão	de	pesquisa	
Exercício	regular	de	direitos	 Proteção	da	vida	ou	
incolumidade	ysica	
Tutela	da	saúde	 Prevenção	à	fraude	e	à	
segurança	do	Dtular	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
104	
Hipóteses gerais 
Art.	
7º,	III	
Art.	
23	
Necessários	à	
execução	de	
políPcas	públicas	
Previstas	em	leis	e	
regulamentos,	ou	
respaldadas	em	
contratos,	convênios	
ou	instrumentos	
congêneres	
Necessários	à	
execução	de	
competências	legais	
ou	atribuições	
legais	do	serviço	
público	
Atendimento	de	
finalidade	pública,	na	
persecução	do	
interesse	público	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
105	
Outras bases legais? 
ConsenDmento?	
LegíDmo	interesse?	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Perguntas? 
107	
Compartilhamento de dados no 
Poder Público 
108	
Proteção	do	
dado	sigiloso	
IdenDficação	
única	do	
cidadão	
Simplificação	da	
prestação	de	
serviços	
públicos	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Cenário atual: principais motivadores 
109	
Uso compartilhado no Poder Público 
Decreto	nº	8.789,	de	29	de	junho	de	2016	à	Decreto	nº	10.046,	de	9	de	outubro	de	2019	
• Dispõe	sobre	o	comparDlhamento	de	bases	de	dados	na	administração	pública	federal.	
Portaria	RFB	nº	1384,	de	09	de	setembro	de	2016	
• Art.	1º	Os	dados	não	protegidos	por	sigilo	fiscal	constantes	de	base	de	dados	da	Secretaria	da	Receita	Federal	do	Brasil	(RFB)	serão	
disponibilizados	a	órgãos	e	enDdades	da	Administração	Pública	Federal	direta,	autárquica	e	fundacional	nos	termos	desta	Portaria.	
Decreto	9.094/2017	
• Dispõe	sobre	a	simplificação	do	atendimento	prestado	aos	usuários	dos	serviços	públicos,	raDfica	a	dispensa	do	reconhecimento	de	
firma	e	da	autenDcação	em	documentos	produzidos	no	País	e	insDtui	a	Carta	de	Serviços	ao	Usuário.	
Lei	n.	13.726,	de	8	de	outubro	de	2017	
• Racionaliza	atos	e	procedimentos	administraDvos	dos	Poderes	da	União,	dos	Estados,	do	Distrito	Federal	e	dos	Municípios	e	insDtui	o	
Selo	de	DesburocraDzação	e	Simplificação.	
Lei	n.	13.444,	de	11	de	maio	de	2017	
• Art.	1º	É	criada	a	IdenDficação	Civil	Nacional	(ICN),	com	o	objeDvo	de	idenDficar	o	brasileiro	em	suas	relações	com	a	sociedade	e	com	os	
órgãos	e	enDdades	governamentais	e	privados.	
	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Uso compartilhado de dados na LGPD 
 
Princípios	e	objeDvos	
Bases	legais	
• ComparDlhamento	público-público	
• ComparDlhamento	público-privado	
Boa-fé – legítimas expectativas - contexto!
111	
Uso compartilhado 
•  Comunicação,	difusão,	transferência	internacional,	interconexão	de	dados	pessoais	ou	tratamento	
comparDlhado	de	bancos	de	dados	pessoais	...	
•  por	órgãos	e	enDdades	públicos	no	cumprimento	de	suas	competências	legais,		
•  ou	entre	esses	e	entes	privados,	reciprocamente,	com	autorização	específica,	para	uma	ou	mais	
modalidades	de	tratamento	permiDdas	por	esses	entes	públicos,		
•  ou	entre	entes	privados.	
Art.	25.		Os	dados	deverão	ser	manDdos	em	formato	interoperável	e	estruturado	para	
o	uso	comparDlhado,	com	vistas	à	execução	de	políDcas	públicas,	à	prestação	de	
serviços	públicos,	à	descentralização	da	aDvidade	pública	e	à	disseminação	e	ao	acesso	
das	informações	pelo	público	em	geral.	
Uso	comparDlhado	é	um	Dpo	de	tratamento	de	dados	
pessoais	(art.	5º,	XVI,	LGPD):	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
ComparPlhamento	é	um	Ppo	de	tratamento,	portanto	precisa	estar	
amparado	por	uma	base	legal	
Art.	23.	O	tratamento	de	dados	pessoais	pelas	
pessoas	jurídicas	de	direito	público	referidas	no	
parágrafo	único	do	art.	1o	[da	LAI],	deverá	ser	
realizado	para	o	atendimento	de	sua	finalidade	
pública,	na	persecução	do	interesse	público,	com	o	
objeDvo	de	executar	as	competências	legais	ou	
cumprir	as	atribuições	legais	do	serviço	público,	
desde	que:	(...)	
113	
Compartilhamento público-público 
114	
Compartilhamento público-público 
Art.	26.		O	usocomparDlhado	
de	dados	pessoais	pelo	Poder	
Público	deve	atender	a	
finalidades	específicas	de	
execução	de	políDcas	públicas	
e	atribuição	legal	pelos	órgãos	
e	pelas	enDdades	públicas,	
respeitados	os	princípios	de	
proteção	de	dados	pessoais	
elencados	no	art.	6º	desta	Lei.	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Finalidade	 Adequação	 Necessidade	
Livre	Acesso	 Qualidade	dos	dados	 Transparência	
Segurança	 Prevenção	 Não-discriminação	
Accountability	
115	
Precedente STF 
Decisão	de	Medida	Cautelar	na	suspensão	de	
Liminar	1.103-SP	(2017)	
• Ministra	Carmen	Lúcia	
• Suspensão	de	decisão	do	TRF	da	3ª	Região	que	havia	
determinado	que	o	IBGE	fornecesse	ao	MPF	dados	necessários	
à	idenDficação	de	quarenta	e	cinco	crianças	que	não	haviam	
sido	regularmente	registradas	nos	cartórios	de	registro	civil	de	
Bauru.		
• Razões:	violação	do	sigilo	estaZsPco	com	potencial	abalo	à	
confiança	das	pessoas	que	prestam	informações	ao	insDtuto.	Miriam Wimmer
miriam.wimmer@yahoo.com.br
116	
Precedentes STF 
Mandado	de	Segurança	36.150-DF,	com	pedido	de		
liminar	(2018)	
• Ministro	Roberto	Barroso	
• MS	impetrado	pelo	INEP	contra	acórdão	do	TCU	que	determinara	a	entrega	de	
dados	individualizados	do	Censo	Escolar	e	do	ENEM	para	auditoria	do	
Programa	Bolsa	Família.		
• Razões:	a	mudança	de	finalidade	do	tratamento	dos	dados	representaria	
violação	ao	dever	de	sigilo	e	da	garanPa	de	inviolabilidade	da	inPmidade:		
“A	transmissão	a	outro	órgão	do	Estado	dessas	informações	e	para	uma	
finalidade	diversa	daquela	inicialmente	declarada	subverte	a	autorização	
daqueles	que	forneceram	seus	dados	pessoais,	em	aparente	violação	do	dever	
de	sigilo	e	da	garan@a	de	inviolabilidade	da	in@midade”.	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
117	
Compartilhamento público-privado 
118	
Compartilhamento público-privado 
Regra	geral:	vedação	(art.	26,	§	1º)		
• Exceções:	
• I	-	em	casos	de	execução	descentralizada	de	aDvidade	pública	que	exija	a	
transferência,	exclusivamente	para	esse	fim	específico	e	determinado,	
observado	o	disposto	na	Lei	de	Acesso	à	Informação;	
• III	-	nos	casos	em	que	os	dados	forem	acessíveis	publicamente,	
observadas	as	disposições	desta	Lei.	
• IV	-	quando	houver	previsão	legal	ou	a	transferência	for	respaldada	em	
contratos,	convênios	ou	instrumentos	congêneres;	ou	
• V	-	na	hipótese	de	a	transferência	dos	dados	objeDvar	exclusivamente	a	
prevenção	de	fraudes	e	irregularidades,	ou	proteger	e	resguardar	a	
segurança	e	a	integridade	do	Dtular	dos	dados,	desde	que	vedado	o	
tratamento	para	outras	finalidades.	
119	
Compartilhamento público-privado 
Art.	27.		A	comunicação	ou	o	uso	comparDlhado	de	dados	
pessoais	de	pessoa	jurídica	de	direito	público	a	pessoa	de	
direito	privado	será	informado	à	autoridade	nacional	e	
dependerá	de	consenDmento	do	Dtular,	exceto:	
• I	-	nas	hipóteses	de	dispensa	de	consenDmento	previstas	nesta	Lei;	
• II	-	nos	casos	de	uso	comparDlhado	de	dados,	em	que	será	dada	
publicidade	nos	termos	do	inciso	I	do	caput	do	art.	23	desta	Lei;	ou	
• III	-	nas	exceções	constantes	do	§	1º	do	art.	26	desta	Lei.	
• Parágrafo	único.	A	informação	à	autoridade	nacional	de	que	trata	o	
caput	deste	arDgo	será	objeto	de	regulamentação	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
120	
Exemplo compartilhamento público-privado 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Órgão	público	
Base	legal:		
art.	7º,	III	
(“pela	administração	
pública”)	
PJ	de	
direito	
privado	
Base	legal:	
?	
	
ComparDlhamento	público-privado	
•  Exemplo	de	base	legal:	art.	7º,	III	c/c	art.	26,	§	
1º,	I	(execução	descentralizada	de	aDvidade	
pública)	
•  Finalidade	específica	e	determinada	
121	
Tratamento de dados pelo Poder Público: papel da Autoridade 
Art.	26,	§	2º		Os	contratos	e	convênios	de	transferência	
de	dados	pessoais	a	enDdades	privadas	deverão	ser	
comunicados	à	autoridade	nacional.	
+	
Art.	27.		A	comunicação	ou	o	uso	comparDlhado	de	
dados	pessoais	de	pessoa	jurídica	de	direito	público	a	
pessoa	de	direito	privado	será	informado	à	autoridade	
nacional	(...)	
Art.	29.		A	autoridade	nacional	poderá	solicitar,	a	
qualquer	momento,	às	enDdades	do	Poder	Público,	a	
realização	de	operações	de	tratamento	de	dados	
pessoais,	informações	específicas	sobre	o	âmbito	e	a	
natureza	dos	dados	e	outros	detalhes	do	tratamento	
realizado	e	poderá	emiDr	parecer	técnico	complementar	
para	garanDr	o	cumprimento	desta	Lei.	
Art.	30.		A	autoridade	nacional	poderá	estabelecer	
normas	complementares	para	as	aDvidades	de	
comunicação	e	de	uso	comparDlhado	de	dados	pessoais.		
Art.	32.		A	autoridade	nacional	poderá	solicitar	a	agentes	
do	Poder	Público	a	publicação	de	relatórios	de	impacto	à	
proteção	de	dados	pessoais	e	sugerir	a	adoção	de	
padrões	e	de	boas	práDcas	para	os	tratamentos	de	
dados	pessoais	pelo	Poder	Público.		
Miriam Wimmer
miriam.wimmer@yahoo.com.br
122	
Precedente TSE 
Acordo	de	Cooperação	TSE-SERASA	(2013)	
• JusPficaPva:		Combate	a	fraude	e	proteção	do	mercado	de	crédito	brasileiro	
• Amparo	jurídico:	Resolução	TSE	n°	21.	538/2003,	que,	em	seu	arDgo	29,	
permiDa	o	fornecimento	a	informações	constantes	do	cadastro	eleitoral	a	
insDtuições	públicas	e	privadas	para	“enDdades	autorizadas	pelo	TSE,	desde	
que	exista	reciprocidade	de	interesses	(Lei	nº	7.444/85,	art.	9º,	inciso	I)”	
•  	Porém:	“Art.	9º	O	Tribunal	Superior	Eleitoral	baixará	as	instruções	
necessárias	à	execução	desta	Lei,	especialmente,	para	definir:	I	-	a	
administração	e	a	uDlização	dos	cadastros	eleitorais	em	computador,	
exclusivamente,	pela	Jus@ça	Eleitoral”;	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
123	
Precedente TSE 
Acordo	de	
Cooperaçã
o	TSE-
SERASA	
(2013)	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
124	
Precedente TSE 
Acordo	de	Cooperação	TSE-SERASA	(2013)	
• A	Corregedoria-Geral	Eleitoral,	em	decisão	unipessoal	da	Min.	Laurita	Vaz,	determinou	a	
suspensão	do	acordo	de	cooperação	técnica:	“entendo,	em	juízo	prelibatório,	haver	risco	
de	quebra	do	sigilo	de	informações	que	estão	a	mim	confiadas,	as	quais,	por	ora,	ainda	
estão	preservadas.	Ante	o	exposto,	determino,	em	caráter	cautelar,	a	suspensão	da	
execução	do	acordo,	até	ulterior	deliberação”.		
	
• Nota	para	a	Imprensa	da	Serasa	Experian:	“Todas	as	informações	ob@das	pela	Serasa	
Experian	através	do	convênio	são	públicas	e	de	natureza	cadastral,	podendo	ser	
acessadas	no	site	do	TSE	ou	nos	cartórios	de	registro	de	pessoas	naturais,	para	
verificação	ou	consulta,	por	todo	e	qualquer	interessado.	(...)	uma	vez	que	as	
informações	são	públicas,	cadastrais	e	necessárias	à	perfeita	iden;ficação	do	cidadão,	
tais	dados	não	estão	sujeitos	à	privacidade	e,	portanto,	não	violam	este	direito”.		
	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
125	
Precedente TSE 
Análise:	
• Os	dados	pessoais	em	questão	são	protegidos	por	sigilo?	
• À	luz	da	LGPD,	haveria	uma	base	legal	para	o	
comparDlhamento	de	dados	entre	o	TSE	e	a	Serasa?	Qual	
ou	quais?	
• À	luz	da	LGPD,	haveria	uma	base	legal	para	o	tratamento	
dos	dados	pela	Serasa?	Qual?	
• Quais	seriam	os	aspectos	problemáDcos	do	acordo	de	
cooperação?	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Confiança 
“CriDcally,	the	constantly	evolving	nature	of	public	
services	requires	more	than	an	iniPal	acceptance	
via	consent	to	foster	a	relaDonship	of	trust	
between	the	public	and	the	public	sector	provider.	
If	the	relaDonship	between	the	government	and	
its	ciDzens	is	viewed	as	a	“conPnuing	relaPonal	
process”	then	jusDfying	the	use	of	ciDzens’	
personal	data	should	rely	upon	jusDficaDons	in	the	
public	interest	which	demonstrate	a	conDnuing	
obligaDon	to	process	their	personal	data	only	as	
such	processing	relates	to	the	public	interest	of	
society	as	a	whole”	.	
(Black	&	Stevens,	2013)		
Perguntas? 
By: 
.com 
© presentationgo.com	
8. Transferência internacional 
de dados pessoais 
•  Adequação, garantias 
•  Interoperabilidade de marcos legais 
•  Enforcement e cooperação internacional 
129	
“A	proteção	de	dados	está	diretamente	relacionadaao	comércio	em	bens	e	serviços	
na	economia	digital.	Proteção	insuficiente	pode	criar	efeitos	negaDvos	no	mercado	
ao	reduzir	a	confiança	do	consumidor,	e	proteção	excessiva	pode	indevidamente	
restringir	as	empresas,	com	efeitos	econômicos	adversos.	Assegurar	que	as	leis	
considerem	a	natureza	global	e	o	escopo	de	sua	aplicação,	e	promover	a	
compaDbilidade	com	outros	marcos	legais,	é	da	maior	importância	para	fluxos	
globais	de	dados	que,	de	maneira	crescente,	dependem	da	Internet.		
(…)	
Em	2014,	aproximadamente	$30	trilhões	em	bens,	serviços	e	finanças	foram	
transferidos	através	de	fronteiras	nacionais.	EsDma-se	que	aproximadamente	12%	
do	comércio	internacional	em	bens	ocorre	por	meio	de	plataformas	globais	de	
comércio	eletrônico,	como	Alibaba	e	Amazon.	A	dimensão	internacional	dos	fluxos	
aumentou	o	PIB	global	em	aproximadamente	10%,	equivalente	a	$7,8	trilhões	em	
2014.	EsPma-se	que	fluxos	de	dados	representam	$2,8	trilhões	desse	valor	
adicionado”.		
UNCTAD	–	United	NaDons	Conference	on	Trade	and	Development.		Data	protecDon	
regulaDons	and	internaDonal	data	flows:	ImplicaDons	for	trade	and	development,	2016,	
pg.	xi.	Disponível	em	h�p://unctad.org/en/PublicaDonsLibrary/dtlsDct2016d1_en.pdf,	
consultado	em	agosto/2018.	
Transferências	envolvendo	a	Europa 		
GDPR	
• Adequação	
• Salvaguardas	apropriadas	
• Regras	corporaDvas	vinculantes	
• ConsenDmento	explícito	
• Contrato	
•  Interesse	público	
• Defesa	de	direitos	
•  Interesses	vitais	
Eu-US	Privacy	Shield	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Transferências	envolvendo	os	EUA 		
Acordos	bilaterais	e	regionais,	normalmente	baseados	em	esquemas	
de	cerDficação	voluntária	
Negociação	de	acordos	de	comércio	buscando	impedir	requisitos	de	
localização	de	dados	e	restrições	ao	livre	fluxo	de	dados	através	das	
fronteiras	(críDcas	ao	"protecionismo	digital")	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Diretrizes	OCDE	
PART	FOUR.	BASIC	PRINCIPLES	OF	INTERNATIONAL	APPLICATION:	FREE	
FLOW	AND	LEGITIMATE	RESTRICTIONS	
•  16.	A	data	controller	remains	accountable	for	personal	data	under	its	control	without	
regard	to	the	locaDon	of	the	data.		
•  17.	A	Member	country	should	refrain	from	restricDng	transborder	flows	of	personal	
data	between	itself	and	another	country	where	(a)	the	other	country	substanDally	
observes	these	Guidelines	or	(b)	sufficient	safeguards	exist,	including	effecDve	
enforcement	mechanisms	and	appropriate	measures	put	in	place	by	the	data	controller,	
to	ensure	a	conDnuing	level	of	protecDon	consistent	with	these	Guidelines.			
•  18.	Any	restricDons	to	transborder	flows	of	personal	data	should	be	proporDonate	to	
the	risks	presented,	taking	into	account	the	sensiDvity	of	the	data,	and	the	purpose	and	
context	of	the	processing.		
Miriam Wimmer
miriam.wimmer@yahoo.com.br
PART	SIX.	INTERNATIONAL	CO-OPERATION	AND	INTEROPERABILITY	
•  20.	Member	countries	should	take	appropriate	measures	to	facilitate	crossborder	privacy	
law	enforcement	co-operaDon,	in	parDcular	by	enhancing	informaDon	sharing	among	
privacy	enforcement	authoriDes.		
•  21.	Member	countries	should	encourage	and	support	the	development	of	internaDonal	
arrangements	that	promote	interoperability	among	privacy	frameworks	that	give	
pracDcal	effect	to	these	Guidelines.			
•  22.	Member	countries	should	encourage	the	development	of	internaDonally	comparable	
metrics	to	inform	the	policy	making	process	related	to	privacy	and	transborder	flows	of	
personal	data.		
•  23.	Member	countries	should	make	public	the	details	of	their	observance	of	these	
Guidelines.		
Diretrizes	OCDE	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
134	
Transferências internacionais na LGPD 
Adequação	
•  Países	ou	organismos	que	proporcionem	grau	de	
proteção	de	dados	pessoais	adequado	ao	previsto	
na	Lei	
GaranDas	
•  Cláusulas	contratuais	específicas	
•  Cláusulas	contratuais	padrão	
•  Normas	corporaDvas	globais	
•  Selos,	cerDficados	e	códigos	de	conduta	
ConsenDmento	específico	e	em	destaque	
Outras	hipóteses	
•  Proteção	da	vida	ou	incolumidade	ysica	
•  Autorização	da	Autoridade	
•  Acordo	de	cooperação	internacional	
•  PolíDca	pública/serviço	público	
•  Obrigação	legal	ou	regulatória	
•  Execução	de	contrato	
•  Exercício	regular	de	direitos	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Elementos	avaliados	para	adequação	(art.	34)	
•  I	-	as	normas	gerais	e	setoriais	da	legislação	em	vigor	no	país	de	desDno	ou	no	organismo	internacional;	
•  II	-	a	natureza	dos	dados;	
•  III	-	a	observância	dos	princípios	gerais	de	proteção	de	dados	pessoais	e	direitos	dos	Dtulares	previstos	nesta	Lei;	
•  IV	-	a	adoção	de	medidas	de	segurança	previstas	em	regulamento;	
• V	-	a	existência	de	garanDas	judiciais	e	insDtucionais	para	o	respeito	aos	direitos	de	proteção	de	dados	pessoais;	
e	
• VI	-	outras	circunstâncias	específicas	relaDvas	à	transferência.	
Transferências internacionais na LGPD 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Papel	da	Autoridade	Nacional	
• Definição	do	conteúdo	de	cláusulas-padrão	contratuais	
• Verificação	de	cláusulas	contratuais	específicas	para	uma	determinada	
transferência,	normas	corporaDvas	globais	ou	selos,	cerDficados	e	
códigos	de	conduta	
• Designar	organismos	de	cerPficação,	que	permanecerão	sob	sua	
fiscalização	
•  	Os	atos	realizados	por	organismo	de	cerDficação	poderão	ser	revistos	
pela	autoridade	nacional	e,	caso	em	desconformidade	com	esta	Lei,	
submeDdos	a	revisão	ou	anulados.	
• As	alterações	nas	garanDas	apresentadas	como	suficientes	de	
observância	dos	princípios	gerais	de	proteção	e	dos	direitos	do	Dtular	
referidas	no	inciso	II	do	art.	33	deverão	ser	comunicadas	à	autoridade	
nacional.		
Transferências internacionais na LGPD 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Perguntas? 
By: 
.com 
© presentationgo.com	
9. Enforcement da LGPD 
•  Sistema Nacional de Defesa do Consumidor 
•  Ministério Público 
•  Instâncias Estaduais e municipais 
•  Outros órgãos públicos com competências sancionadoras 
•  A ANPD 
139	
Enforcement 
ANPD	
• Administração	direta	ou	indireta?	
•  Independência?	
Sistema	Nacional	de	Defesa	
do	Consumidor	
•  Procons,	Juizados	Especiais,	etc	
Poder	Judiciário	
Ministério	Público	do	Distrito	
Federal	e	Territórios	
• Comissão	de	Proteção	de	Dados	
Pessoais	
Outros	órgãos	reguladores	 Instâncias	estaduais/municipais	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
140	
Sanções e responsabilidade administrativa do agente público 
LGPD.	Art.	52	(sanções	administraPvas):		
• I	-	advertência,	com	indicação	de	prazo	para	adoção	de	medidas	correDvas;	
• (...);	
• IV	-	publicização	da	infração	após	devidamente	apurada	e	confirmada	a	sua	ocorrência;	
• V	-	bloqueio	dos	dados	pessoais	a	que	se	refere	a	infração	até	a	sua	regularização;	
• VI	-	eliminação	dos	dados	pessoais	a	que	se	refere	a	infração;	
• X	-	suspensão	parcial	do	funcionamento	do	banco	de	dados	a	que	se	refere	a	infração	pelo	período	máximo	de	6	(seis)	meses,	prorrogável	
por	igual	período,	até	a	regularização	da	aDvidade	de	tratamento	pelo	controlador;	
• XI	-	suspensão	do	exercício	da	aDvidade	de	tratamento	dos	dados	pessoais	a	que	se	refere	a	infração	pelo	período	máximo	de	6	(seis)	meses,	
prorrogável	por	igual	período;	
• XII	-	proibição	parcial	ou	total	do	exercício	de	aDvidades	relacionadas	a	tratamento	de	dados.	
§	2º	O	disposto	neste	arDgo	não	subsDtui	a	aplicação	de	sanções	administraDvas,	civis	ou	penais	definidas	na	Lei	no	
8.078,	de	11	de	setembro	de	1990,	e	em	legislação	específica.	
§	3º	O	disposto	nos	incisos	I,	IV,	V,	VI,	X,	XI	e	XII	do	caput	deste	arDgo	poderá	ser	aplicado	às	enDdades	e	aos	
órgãos	públicos,	sem	prejuízo	do	disposto	na	Lei	nº	8.112,	de	11	de	dezembro	de	1990,	na	Lei	nº	8.429,	de	2	de	
junho	de	1992,	e	na	Lei	nº	12.527,	de	18	de	novembro	de	2011.	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Requisitos previstos no GDPR (art. 51 a 59) 
Uma	ou	mais	autoridades	públicas,	atuando	com	complete	
independência	e	livres	de	influência	externa,	direta	ou	indiretaMeios	humanos,	técnicos	e	financeiros	necessários	para	o	
efeDvo	desempenho	de	suas	tarefas	
Orçamentos	separados	e	controles	financeiros	que	não	afetem	
sua	independência	
Referências internacionais 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Nomeação	do(s)	conselheiro(s)	por	meios	transparentes	pelo	Congresso,	
governo,	chefe	de	estado	ou	órgão	independente	
Qualificações,	experiência	e	habilidades	necessárias	
Demissão	somente	em	caso	de	faltas	graves	ou	se	o	membro	não	possuir	
mais	as	condições	necessárias	para	o	exercício	do	cargo.	
Mandato	de	no	mínimo	quatro	anos	
Requisitos previstos no GDPR (art. 51 a 59) 
Referências internacionais 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Requisitos OCDE 
DefiniDons.	1.	d)	“Privacy	enforcement	authority”	means	any	public	body,	as	determined	
by	each	Member	country,	that	is	responsible	for	enforcing	laws	protecDng	privacy,	and	
that	has	powers	to	conduct	invesDgaDons	or	pursue	enforcement	proceedings.	
NATIONAL	IMPLEMENTATION	19.	In	implemenDng	these	Guidelines,	Member	countries	
should:	c)	establish	and	maintain	privacy	enforcement	authoriDes	with	the	governance,	
resources	and	technical	experDse	necessary	to	exercise	their	powers	effecDvely	and	to	
make	decisions	on	an	objecDve,	imparDal	and	consistent	basis;	d)	encourage	and	support	
self-regulaDon,	whether	in	the	form	of	codes	of	conduct	or	otherwise;		
Referências internacionais 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Consu
mo	
Penal	
Financeiro	
Educação	
Telecom	
Eleições	
Harmonização entre LGPD e legislação setorial 
Desafios regulatórios 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Interpretação e clarificação de novos conceitos 
Desafios regulatórios 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Interoperabilidade global de marcos normativos 
Cidadãos	
Relacionamento institucional 
Governo	
Setor		
Empre-	
sarial	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Autori-
dade	
nacional	
Proteção	de	direitos	
•  NormaDzação,	fiscalização,		sancionamento	
Órgão	central	no	sistema	brasileira	de	PDP	
•  Fixar	interpretações,	dar	diretrizes,	relacionamento	com	
outras	instâncias	de	enforcement	
Papel	informaDvo	e	educacional	
•  Boas	práDcas	
•  Privacy	and	Security	by	default	and	by	design	
Engajamento	construDvo	com	setor	público	e	
privado	
•  Regulação	e	corregulação	
ArDculação	com	enDdades	internacionais	análogas	
•  Transferências	internacionais	de	dados,	enforcement	
transnacional	
Atribuições 
Miriam Wimmer
miriam.wimmer@yahoo.com.br
149	
Entrada em vigor 
08/2020	
Miriam Wimmer
miriam.wimmer@yahoo.com.br
Perguntas? 
Miriam	Wimmer	
Obrigada!	
linkedin.com/in/miriamwimmer	
miriam.wimmer@yahoo.com.br