E-book - Manual Prof. Raquel Rinaldi

Prévia do material em texto

E-book do aluno: LGPD Experience
Sobre a Professora Raquel Rinaldi...
Raquel Rinaldi é Doutora e Mestre em Direito, empresária, advogada, pa-lestrante, professora de Direito, autora de Livros e artigos, pesquisadora 
acadêmica, consultora em Lei Geral de Proteção de Dados,membro da comis-
são de proteção de dados e privacidade da OAB/RJ, criadora do LGPD EXPE-
RIENCE e mãe da Sofia.
Graduou-se em Direito pela Universidade Federal do Rio de Janeiro (UFR-
J),pós-graduada em Direito Público na Universidade Católica de Petrópolis 
(UCP), Mestre e o Doutora em Direito pela linha de pesquisa Teoria e Filo-
sofia do Direito da Universidade do Estado do Rio de Janeiro(UERJ).Cursou a 
formação de Data Protetion Officer na Masterhouse Soluções Inovadoras, e o 
curso de extensão em LGPD pela PUC/RJ. 
Sua trajetória profissional apresenta-se multidisciplinar: atuou como advo-
gada no setor publico, desempenhando os cargos de Assessora jurídica do 
Procon/RJ e conselheira da 10ª Junta Recursal do INSS. Desempenhou o 
cargo de coordenação geral do curso de graduação em dIreito no Centro Uni-
versitario Gama e Souza (UNIGAMA) e da Universidade Castelo Branco(UCB), 
e atuou como advogada e DPO da UBOOK S.A, plataforma de audiolivros.
Atualmente ministra aulas de Direito em diversos cursos de graduação e 
pós graduação no Brasil, é professora de Filosofia do Direito para as turmas 
da OAB do Curso Forum, é consultora da Lei Geral de Proteção de dados, es-
creve artigos e livros, e coordena e leciona o LGPD EXPERIENCE, curso de sua 
criação.
E-book do aluno: LGPD Experience
Me siga nas redes sociais (Clicável):
Me envie um 
e-mail!
Me siga no 
Instagram!
Me siga no 
LinkedIn!
Se inscreva no 
meu Canal!
https://www.linkedin.com/in/raquel-rinaldi-835a98168/
https://www.instagram.com/professora_raquel_rinaldi/
mailto:lgpdexperience%40gmail.com?subject=Contato%20do%20e-book%20do%20aluno
https://www.youtube.com/channel/UCged8UGzszoCP-wvRMd4PDA
mailto:lgpdexperience%40gmail.com?subject=Contato%20do%20e-book%20do%20aluno
https://www.instagram.com/professora_raquel_rinaldi/
https://www.linkedin.com/in/raquel-rinaldi-835a98168/
https://www.youtube.com/channel/UCged8UGzszoCP-wvRMd4PDA
SUMÁRIO (Clicável)
E-book do aluno: LGPD Experience
Introdução ........................................................................................................................................ Página 05
O que é a LGPD? ............................................................................................................................... Página 07
Qual é o objetivo da LGPD? .............................................................................................................. Página 12
Qual é o alcance da aplicação da LGPD? .......................................................................................... Página 14
Em quais situações a LGPD não se aplica? ..................................................................................... Página 16
O que são dados pessoais? .............................................................................................................. Página 19
Quais são os principais conceitos adotados pela LGPD?................................................................ Página 26
Quais são os princípios que o agente de tratamento de dados deverá observar?.......................... Página 32
Quais são as bases legais que permitem o tratamento de dados? ................................................. Página 37
Quais são os Direitos do Titular de dados pessoais segundo a LGPD? .......................................... Página 66
Quem são os agentes de tratamento dos dados pessoais? ............................................................ Página 70
Quais são as penalidades aplicadas segundo a LGPD? .................................................................. Página 75
Como ocorre a responsabilidade e o ressarcimento de danos? ...................................................... Página 78
Quem é a Autoridade Nacional de Proteção de dados? .................................................................. Página 80
VENHA CONHECER O LGPD EXPERIENCE ....................................................................................... Página 81
5
E-book do aluno: LGPD Experience
INTRODUÇÃO
A tecnologia da informação redi-mensionou o desenvolvimento 
econômico e social, tornando-o de-
pendente do processamento de da-
dos pessoais dos cidadãos. 
Vivemos em uma sociedade da in-
formação na qual a maioria dos cida-
dãos compartilha suas informações 
pessoais em aplicativos ou sites de 
redes sociais, expondo informações 
que vão desde seu estado civil à seu 
estado sentimental, desde sua músi-
ca favorita à refeição feita no dia, de-
monstrando tolerância ao acesso de 
tais informações de cunho pessoal. 
Dessa forma, verificamos que os in-
divíduos fornecem parte de sua priva-
cidade através de metadados como 
moeda de troca para o uso de serviços 
gratuitos em plataformas, permitin-
do a quantificação e a codificação de 
muitos aspectos pessoais de sua vida.
Ao coletar tais informações sem 
muito esforço, e muitas vezes sem o 
consentimento dos usuários, muitas 
6
E-book do aluno: LGPD Experience
organizações têm por mau hábito compartilhar com terceiros os metadados 
agregados de seus usuários a fim de realizar marketing personalizado em tro-
ca de serviços gratuitos. 
Tal cenário demonstra o fenômeno da datificação, indicando a existência 
de uma crença generalizada na quantificação objetiva e no potencial monito-
ramento de todos os tipos de comportamentos humanos por parte das tec-
nologias de mídia on-line, bem como a confiança nos agentes institucionais 
que coletam, interpretam e compartilham os (meta) dados extraídos da mídia 
social, das plataformas da internet e outras tecnologias de comunicação.
Através do ato de datificar, o titular cede dados ao conectar-se aos mais 
diversos protocolos de comunicação na internet. Por isso, a datificação é um 
meio para acessar, entender e monitorar o comportamento das pessoas, trans-
formando as ações sociais em dados quantificados, permitindo o monitora-
mento em tempo real e análise preditiva: as empresas e as agências gover-
namentais rastreiam informações sobre o comportamento humano, através 
da exploração dos metadados coletados na mídia social e nas plataformas de 
comunicação, tais como Facebook, Twitter, LinkedIn, Tumblr, iTunes, Skype, 
YouTube, e serviços gratuitos de e-mail. 
Sob a necessidade de estudar e compreender a LGPD de forma pormeno-
rizada, o presente e-book foi redigido através da metodologia de perguntas e 
respostas, a fim de tornar a leitura didática. 
Boa Leitura!
7
E-book do aluno: LGPD Experience
O QUE É A LGPD?
As normas de proteção de dados pessoais permitem disciplinar a liber-dade, a inovação, o desenvolvimento, e o exercício de direitos e da cida-
dania, assegurando ao indivíduo a participação sobre todos os movimentos 
de seus dados pessoais: da coleta ao compartilhamento, na chamada “auto-
determinação informacional”. 
A LGPD é a legislação federal 13.709∕08 que tem como finalidade regular o 
tratamento de dados pessoais, nos meios digitais ou físicos, realizado por pes-
soas jurídicas, de direito público ou privado, e pessoas naturais com finalidade 
econômica.
Nesse contexto, é um regramento para a utilização e tratamento dos dados 
pessoais, sendo instrumento de proteção ao cidadão ao permitir que seus da-
dos sejam utilizados com os limites impostos por suas regras. 
A LGPD visa proteger direitos fundamentais propiciando ao titular de dados 
ferramentas para que ele saiba como seus dados são tratados principalmente 
pelas organizações privadas e instituições públicas, construindo uma cultura 
de dados. 
8
E-book do aluno: LGPD Experience
A premissa regulatória da proteção de dados pessoais é tutelar o cidadão, 
cada vez mais exposto à praticasque afetam sua vida, e a profusão de seus 
dados pessoais, como por exemplo: ao ingressar em um site e clicar em de-
terminadas janelas; quando é solicitado o número de seu CPF para eventual 
cadastro; quando é questionado sobre um hábito de consumo, sem nenhum 
tipo de controle.
Dessa forma a LGPD abarca todo e qualquer processamento de dados rea-
lizado por pessoa jurídica de direito público ou privado, bem como pessoas fí-
sicas que realizem o tratamento com finalidades econômicas, que sujeite um 
indivíduo a uma decisão automatizada e impactem o livre desenvolvimento 
de sua personalidade.
As pessoas jurídicas não se encontram amparadas pela LGPD, pois so-
mente as pessoas físicas são titulares de dados pessoais.
RELAÇÕES ENGLOBADAS 
PELA LGPD
• COMERCIAIS
• CONSUMEIRISTAS
• TRABALHISTAS
A LGPD terá grande impacto nas:
• Relações comerciais e de consumo, que exigem a coleta de dados, so-
bretudo diante da crescente tendência de tratamento de dados pessoais 
de usuários/consumidores com a finalidade de traçar seu perfil, identifi-
cando diversas informações, em especial hábitos de consumo, condições 
financeiras e de crédito. 
 
• Relações trabalhistas, pois a pessoa jurídica na qualidade de empregado-
9
E-book do aluno: LGPD Experience
ra detém informações pessoais de seus empregados, devendo observar a 
legislação sob pena de responsabilidade civil, além de ressarcimento de 
eventuais danos causados. Embora a LGPD autorize as empresas a usar 
os dados pessoais dos seus empregados e prestadores de serviços (art. 7°, 
V e IX) para a legítima execução dos contratos, em benefício do próprio 
trabalhador, não se pode desconsiderar cautela e observância das regras 
da lei em todas as suas fases, nos atos praticados antes da contratação 
(fase pré contratual), durante a vigência do contrato (fase contratual), nas 
terceirizações e após a rescisão dos contratos (fase pós contratual).
A reputação da empresa é de extrema importância e deve ser fator de pre-
ocupação, além das penalidades.
 
Da leitura da LGPD é possível extrais os seguintes objetivos:
• Limitação à atividade de processamento de dados pessoais, regulamen-
tando todas as atividades que compõem tal tratamento, desde a coleta 
até o descarte dos dados;
• Proteção do titular de dados, promovendo sua dignidade, e permitindo ao 
mesmo o controle sobre seus dados pessoais com o escopo de autodeter-
minar as suas informações pessoais; 
• Proteção dos direitos fundamentais e os direitos da personalidade enun-
ciados na Constituição, trazendo-os como seus fundamentos junto ao de-
senvolvimento econômico-tecnológico e da inovação.
• Garantia de que o fluxo informacional atenda às legitimas expectativas do 
titular de dados, e não venha a ferir o livre desenvolvimento de sua perso-
nalidade.
10
E-book do aluno: LGPD Experience
Além disso, trata-se de uma lei de gestão de risco, permitindo que a pessoa 
jurídica faça seu gerenciamento de risco, o que exigirá na prática uma mu-
dança na cultura das organizações que deverão, a partir do privacy by design, 
pensar na prevenção de danos, na possibilidade de fornecer dados, e na ela-
boração de relatórios, ganhando mais credibilidade junto aos usuários e con-
sumidores em relação à governança de dados, e respaldando sua reputação.
Dessa forma, através do controle de dados pessoais a LGPD busca limitar o 
direito do cidadão quanto ao fornecimento de seus dados que não pode ser 
ilimitado, garantindo a integralidade dos sistemas de informática que traba-
lham com os dados, e assim protegendo a pessoa.
A LGPD é dividida em 10 capítulos e diversas seções conforme o seguinte 
quadro sinótico:
CAPITULO I DISPOSIÇÕES 
PRELIMINARES
artigo 1º ao 6º
CAPITULO II TRATAMENTO DE 
DADOS PESSOAIS
Seção I- Dos requisitos para o 
tratamento de dados pessoais. 
(artigo 7º ao 10º)
Seção II- Do tratamento de dados 
pessoais sensíveis. 
(artigo 11º ao 13º)
Seção III- Do tratamento de 
dados pessoais de Crianças e 
Adolescentes. 
(artigo 14º)
Seção IV- Do término do tratamento 
de Dados. 
(artigo 15º e 16 º)
CAPITULO III DOS DIREITOS DO 
TITULAR
artigo 17º ao 22º
11
E-book do aluno: LGPD Experience
CAPITULO IV DO TRATAMENTO 
DOS DADOS 
PESSOAIS PELO 
PODER PUBLICO
Seção I- Das regras. 
(artigo 23º ao 30º)
Seção II- Da responsabilidade. 
(artigo 31º e 32º)
CAPITULO V DA TRANSFERENCIA 
INTERNACIONAL DE 
DADOS
artigo 33º ao 36º
CAPITULO VI DOS AGENTES DE 
TRATAMENTOS DE 
DADOS PESSOAIS
Seção I- Do controlador e do 
Operador. 
(artigo 37º ao 40º)
Seção II- Do encarregado pelo 
Tratamento de dados pessoais.
(artigo 41º)
Seção III- Da responsabilidade e do 
Ressarcimento de danos. (artigo 42º 
ao 45º)
CAPITULO VII DA SEGURANÇA E 
DAS BOAS PRÁTICAS
Seção I- Da segurança e do Sigilo de 
Dados. 
(artigo 46º ao 49º)
Seção II- Das boas práticas e da 
governança. 
(artigo 50º e 51º)
C A P I T U L O 
VIII
DA FISCALIZAÇÃO Seção I- das sanções 
administrativas. 
(artigo 52º ao 54º)
CAPITULO IX DA AUTORIDADE 
NACIONAL DE 
PROTEÇÃO DE 
DADOS E DO 
CONSELHO 
NACIONAL DE 
PROTEÇÃO DE 
DADOS PESSOAIS E 
DA PRIVACIDADE
Seção I- Da autoridade Nacional de 
Dados- vetado
Seção II- Do Conselho Nacional de 
Proteção de dados Pessoais e da 
Privacidade- vetado
CAPITULO X DISPOSIÇÕES FINAIS 
E TRANSITÓRIAS
artigo 60º ao 65º
12
E-book do aluno: LGPD Experience
QUAL É O OBJETIVO DA LGPD?
A leitura do artigo 1º indica que a LGPD se aplica ao tratamento de dados realizado nos meios físico e online, por pessoa jurídica (de direito públi-
co ou de direito privado) ou natural (desde que tenha fins econômicos através 
do tratamento de dados), objetivando proteger a privacidade, a liberdade e o 
desenvolvimento da personalidade dos titulares de dados.
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos 
meios digitais, por pessoa natural ou por pessoa jurídica de direito público 
ou privado, com o objetivo de proteger os direitos fundamentais de liber-
dade e de privacidade e o livre desenvolvimento da personalidade da pes-
soa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de interesse na-
cional e devem ser observadas pela União, Estados, Distrito Federal e Muni-
cípio.
TITULAR DE DADOS ➞ PESSOA NATURAL
SOBRE QUEM RECAI A LGPD ➞ PESSOA NATURAL OU PESSOA JURIDICA
13
E-book do aluno: LGPD Experience
✔ PESSOA JURIDICA DE 
DIREITO PÚBLICO
• União
• Estados 
• Municípios 
• Distrito Federal
• Território
• Autarquias
✔ PESSOA JURIDICA DE 
DIREITO PRIVADO
• PARTICULARES
• ESTATAIS
14
E-book do aluno: LGPD Experience
QUAL É O ALCANÇE DA APLICAÇÃO DA LGPD?
A LGPD tende a convergência, pois cada vez mais os relacionamentos nacionais dependem do compartilhamento de dados internacionais, 
sendo importante a existência de um diálogo das normas de cada país. A lei 
não pode ser autóctone, devendo haver diálogo.
A LGPD abrange as operações realizadas no Brasil, a partir de dados coleta-
dos no território nacional, tendo também aplicação extraterritorial quando o 
tratamento ocorrer fora do Brasil.
O artigo 3º traz as hipóteses de aplicação territorial e extraterritorial da 
LGPD:
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por 
pessoa natural ou por pessoa jurídica de direito público ou privado, inde-
pendentemente do meio, do país de sua sede ou do país onde estejam lo-
calizados os dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
15
E-book do aluno: LGPD Experience
II - a atividade de tratamento tenha por objetivo a oferta ou o forneci-
mento de bens ou serviços ou o tratamento de dados de indivíduos locali-
zados no território nacional; ou (Redação dada pela Lei nº 13.853, de 2019) 
Vigência.
III - os dados pessoais objeto do tratamento tenham sido coletados no 
território nacional.
§ 1º Consideram-se coletados no território nacional os dados pessoais cujo 
titular nele se encontre no momento da coleta.§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados 
previsto no inciso IV do caput do art. 4º desta Lei.
Nas três hipóteses trazidas pelo artigo 3º temos a conexão com a ideia de 
território, pois algo deve estar no Brasil (os dados, ou o titular, ou a operação 
de tratamento), verificando-se a expansão da LGPD para além das fronteiras 
do nosso Estado, independentemente da nacionalidade dos envolvidos. 
SÃO REGRAS DE ATRAÇÃO AO TERRITÓRIO 
BRASILEIRO:
✔ Operação de tratamento realizada no Brasil, sendo os dados coletados 
em qualquer lugar.
✔ Operação de tratamento de dados relacionados a dados de indivíduos 
que estejam no Brasil; ou
✔ Operação de tratamento de dados que foram coletados no Brasil.
16
E-book do aluno: LGPD Experience
EM QUAIS SITUAÇÕES A LGPD
NÃO SE APLICA?
A LGPD traz exceções a sua aplicabilidade, indicando no artigo 4º os casos 
em que ela não será aplicada. O artigo 4º da LGPD ensina que ela não se apli-
ca ao tratamento de dados pessoais realizado:
➞ Por pessoa física para fins exclusivamente particulares e não econômicos;
➞ Para fins jornalísticos e artísticos ou acadêmicos;
➞ Para fins de segurança pública, defesa nacional, segurança do Estado ou 
atividades de investigação e repressão de infrações penais;
➞ Fora do território nacional e que não sejam objeto de comunicação, uso 
compartilhado de dados com agentes de tratamento brasileiros ou objeto 
de transferência internacional de dados com outro país que não o de pro-
veniência, desde que o país de proveniência proporcione grau de proteção 
de dados pessoais adequado ao previsto nesta Lei: NÃO HÁ ELEMENTO DE 
CONEXÃO TERRITORIAL, NÃO HÁ COMUNICAÇÃO COM AGENTES DE TRATA-
MENTO FORA DO PAIS AONDE OS DADOS FORAM COLETADOS. TAMPOUCO 
17
E-book do aluno: LGPD Experience
HÁ TRANSFERENCIA INTERNACIONAL DE DADOS. 
Obs: Os artigos 7º e 11º da LGPD deverão ser aplicados ao tratamento de 
dados pessoais realizado para fins acadêmicos.
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I - realizado por pessoa natural para fins exclusivamente particulares e 
não econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam objeto 
de comunicação, uso compartilhado de dados com agentes de tratamento 
brasileiros ou objeto de transferência internacional de dados com outro país 
que não o de proveniência, desde que o país de proveniência proporcione 
grau de proteção de dados pessoais adequado ao previsto nesta Lei.
§ 1º O tratamento de dados pessoais previsto no inciso III será regido por 
legislação específica, que deverá prever medidas proporcionais e estrita-
mente necessárias ao atendimento do interesse público, observados o de-
18
E-book do aluno: LGPD Experience
vido processo legal, os princípios gerais de proteção e os direitos do titular 
previstos nesta Lei.
§ 2º É vedado o tratamento dos dados a que se refere o inciso III do caput des-
te artigo por pessoa de direito privado, exceto em procedimentos sob tutela 
de pessoa jurídica de direito público, que serão objeto de informe específico 
à autoridade nacional e que deverão observar a limitação imposta no § 4º 
deste artigo.
§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações 
referentes às exceções previstas no inciso III do caput deste artigo e deverá 
solicitar aos responsáveis relatórios de impacto à proteção de dados pesso-
ais.
§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados 
de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa 
de direito privado, salvo por aquela que possua capital integralmente consti-
tuído pelo poder público. (Redação dada pela Lei nº 13.853, de 2019) Vigência
19
E-book do aluno: LGPD Experience
O QUE SÃO DADOS PESSOAIS?
A LGPD menciona 04 tipos de dados: 
(i) Dados pessoais;
(ii) Dados pessoais sensíveis;
(iii) Dados pessoais de Crianças e Adolescentes;
(iv) Dados Anonimizados.
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou 
identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, 
convicção religiosa, opinião política, filiação a sindicato ou a organização de 
caráter religioso, filosófico ou político, dado referente à saúde ou à vida se-
xual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
20
E-book do aluno: LGPD Experience
III - dado anonimizado: dado relativo a titular que não possa ser identifi-
cado, considerando a utilização de meios técnicos razoáveis e disponíveis na 
ocasião de seu tratamento;
Seção III
Do Tratamento de Dados Pessoais de Crianças e de Adolescentes
Art. 14. O tratamento de dados pessoais de crianças e de adolescentes 
deverá ser realizado em seu melhor interesse, nos termos deste artigo e da 
legislação pertinente.
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com 
o consentimento específico e em destaque dado por pelo menos um dos 
pais ou pelo responsável legal.
§ 2º No tratamento de dados de que trata o § 1º deste artigo, os controla-
dores deverão manter pública a informação sobre os tipos de dados co-
letados, a forma de sua utilização e os procedimentos para o exercício dos 
direitos a que se refere o art. 18 desta Lei.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consenti-
mento a que se refere o § 1º deste artigo quando a coleta for necessária 
para contatar os pais ou o responsável legal, utilizados uma única vez e 
sem armazenamento, ou para sua proteção, e em nenhum caso poderão 
ser repassados a terceiro sem o consentimento de que trata o § 1º deste ar-
tigo.
§ 4º Os controladores não deverão condicionar a participação dos titulares 
de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras 
atividades ao fornecimento de informações pessoais além das estritamente 
necessárias à atividade.
§ 5º O controlador deve realizar todos os esforços razoáveis para verificar 
que o consentimento a que se refere o § 1º deste artigo foi dado pelo respon-
21
E-book do aluno: LGPD Experience
sável pela criança, consideradas as tecnologias disponíveis.
§ 6º As informações sobre o tratamento de dados referidas neste artigo 
deverão ser fornecidas de maneira simples, clara e acessível, consideradas 
as características físico-motoras, perceptivas, sensoriais, intelectuais e men-
tais do usuário, com uso de recursos audiovisuais quando adequado, de for-
ma a proporcionar a informação necessária aos pais ou ao responsável legal 
e adequada ao entendimento da criança.
(I) DADOS PESSOAIS:
O artigo 5º, I da LGPD considera como dado pessoal qualquer informação 
que identifique diretamente uma pessoa física ou possa identifica-la de for-
ma remota, tais como nomes, números, códigos de identificação, endereços 
e imagens.
Dessa forma, considera-se dado pessoal como toda a informação que torna 
a pessoa física identificada ou identificável.
A LGPD se destina a proteger apenas dados de pessoas físicas.
PESSOA FISICA IDENTIFICADA # PESSOA FISICA IDENTIFICÁVEL
CRITÉRIO EXPANSIONISTA
Dessa forma, o gênero “dados pessoais” tem duas espécies com regulamen-
tação diferenciada:
✔ DADOS PESSOAIS
• DADOS PESSOAIS SENSÍVEIS
• DADOS PESSOAIS DE CRIANÇAS E ADO-
LESCENTES
22
E-book do aluno: LGPD Experience
(II) DADOS PESSOAIS SENSÍVEIS:
São dados relativos à origem racial ou étnica, convicção religiosa, opinião 
política, filiação a sindicato ou a organização de caráter religioso, filosófico ou 
político, saúde, vida sexual, dado genético ou biométrico.
O conteúdo destes dados sociais é consideradosensível por oferecer ao seu 
titular uma especial vulnerabilidade, e capacidade de discriminação em de-
terminadas situações de vida. 
No contexto de uma sociedade e uma economia movida por dados, a ca-
tegorização de uma pessoa a partir de seus dados pessoais sensíveis, pode 
repercutir em suas oportunidades sociais. A exposição dos dados sensíveis 
pode conduzir à uma discriminação não justificada, perseguição ideológi-
ca e situações de injustiça social, tocando nos pontos em que a pessoa é 
mais vulnerável.
A LGPD entende que o fluxo informacional não pode ser corrosivo à própria 
pessoa, e por isso, a proteção aos dados pessoais perpassa a própria tutela do 
princípio da isonomia, sendo um instrumento de contenção a práticas discri-
minatórias.
Exemplo: O conhecimento de uma filiação à sindicato poderá prejudicar o 
titular no acesso emprego.
Segundo o artigo 11 a LGPD, os dados pessoais sensíveis poderão ser sub-
metidos a tratamento mediante:
• Consentimento específico e destacado do titular, para finalidades espe-
cíficas (art. 11, I), 
23
E-book do aluno: LGPD Experience
• Sem o fornecimento do consentimento do titular, nas seguintes hipóte-
ses:
	 ➞ O tratamento se demonstrar indispensável ao cumprimento de uma 
obrigação legal ou regulatória pelo controlador (art. 11, II, “a”);
	 ➞ No tratamento houver compartilhamento de dados necessários à 
execução, pela administração pública, de políticas públicas previstas em leis 
ou regulamentos;
	 ➞ O tratamento estiver voltado a (ao):
• Realização de estudos por órgão de pesquisa, garantida, sempre que pos-
sível, a anonimização dos dados pessoais sensíveis;
• Exercício regular de direitos, inclusive em contrato e em processo judicial, 
administrativo e arbitral (de acordo com a lei de arbitragem);
• Proteção da vida ou da incolumidade física do titular ou de terceiro;
• Tutela da saúde, exclusivamente, em procedimento realizado por profis-
sionais de saúde, serviços de saúde ou autoridade sanitária; ou
• Garantia da prevenção à fraude e à segurança do titular, nos processos 
de identificação e autenticação de cadastro em sistemas eletrônicos, res-
guardados os direitos mencionados no art. 9º desta Lei e exceto no caso 
de prevalecerem direitos e liberdades fundamentais do titular que exijam 
a proteção dos dados pessoais.
(III) DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES: 
Segundo a LGPD, para a realização do tratamento de dados pessoais de 
24
E-book do aluno: LGPD Experience
crianças e adolescentes deve-se respeitar o melhor interesse sendo necessá-
rio consentimento específico e em destaque de pelo menos um dos pais ou 
do responsável legal (art. 14, §1º). 
O consentimento pode ser considerado nulo caso não seja respeitada a ob-
servância de suas características.
Cabe ao controlador, com base nas tecnologias disponíveis, empreender to-
dos os esforços razoáveis para confirmar que o consentimento de fato tenha 
sido dado por um dos pais ou pelo responsável legal (art. 14, §5º), e manter pú-
blica a informação sobre os tipos de dados coletados legal (art. 14, §2º).
As informações sobre o tratamento destes dados deverão ser fornecidas de 
maneira simples, clara e acessível, consideradas as características físico-mo-
toras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de 
recursos audiovisuais quando adequado, de forma a proporcionar a informa-
ção necessária aos pais ou ao responsável legal e adequada ao entendimento 
da criança legal (art. 14, §6º).
Obs: Dados anonimizados são os dados que não podem ser identificados 
pois passaram pelo procedimento de anonimização, que consiste na utiliza-
ção de técnicas por meio dos quais um dado perde a possibilidade de associa-
ção, direta ou indireta, a um indivíduo.
Através da anonimização, ocorre a quebra do vínculo de um dado a seu res-
pectivo titular através da eliminação dos elementos identificadores da pessoa 
natural de uma base de dados.
Dessa forma, a LGPD não considera dados anonimizados como sendo da-
dos pessoais, a não ser que o processo de anonimização possa ser revertido. 
Isto porque, diversos são os estudos que indicam que o processo de anonimi-
zação é falível, podendo ser revertido, pois através da agregação de uma base 
de dados anonimizada à outra, tornando possível gerar a reidentificação de 
25
E-book do aluno: LGPD Experience
uma base de dados supostamente anonimizada. 
Segundo Bruno Bioni:
“A agregação de diversos ‘pedaços’ de informação (dados) pode re-
velar (identificar) a imagem (sujeito) do quebra cabeça, a qual era até 
então desfigurada (anônimo) – o chamado efeito mosaico”.
Por essa lógica, qualquer dado pessoal anonimizado detêm o risco poten-
cial de se tornar um dado pessoal, e embora a LGPD não incida diretamente 
sobre os dados anonimizados, poderá vir a incidir caso a anonimização seja 
revertida, pois aos dados anônimos poderá ser aplicada a reidentificação le-
vando a identificação não imediata do titular.
Por isso, para mensurar a possibilidade de reversão de um processo de ano-
nimização, deve-se analisar a capacidade subjetiva do agente de tratamento 
e de terceiros que ingressem no fluxo informacional.
Logo, a anonimização não é considerado um método irreversível pois o fato 
de um dado ser anonimizado é algo circunstancial, analisado a partir do con-
texto no qual estiver inserida a atividade de tratamento de dados.
26
E-book do aluno: LGPD Experience
QUAIS SÃO OS PRINCIPAIS 
CONCEITOS ADOTADOS PELA LGPD?
O artigo 5º da LGPD traz 19 incisos com importantes conceitos que o pro-
fissional da área deverá conhecer a fim de atuar junto a interdisciplinaridade 
proposta pela legislação. São eles:
DADO PESSOAL É toda a informação relacionada a pessoa natural 
identificada ou identificável. 
A identificação pode ser considerada de duas for-
mas:
➞ Uso de identificadores diretos: 
exemplo: nome e prenome da pessoa.
➞ Uso de identificadores indiretos: 
Exemplo: endereço, características fenótipas, nú-
mero do cep, etc...
Não são apenas os identificadores diretos de um 
indivíduo são considerados como dados pessoais, 
mas também os identificadores indiretos que con-
sistem em potenciais informações que abstrata-
mente não seriam capazes de associar a identida-
de de uma determinada pessoa mas em conjunto 
permitem a identificação de um indivíduo deter-
minado.
Potencialmente qualquer informação pode ser 
considerada dado pessoal, logo a visão da LGPD é 
expansionista.
27
E-book do aluno: LGPD Experience
DADO PESSOAL 
SENSÍVEL
É o dado pessoal sobre origem racial ou étnica, 
convicção religiosa, opinião política, filiação a 
sindicato ou a organização de caráter religioso, 
filosófico ou político, dado referente à saúde ou à 
vida sexual, dado genético ou biométrico, quando 
vinculado a uma pessoa natural. 
m uma dupla camada de base legal (de ser dado 
pessoal ordinário e de ser um dado pessoal sensí-
vel)
DEIDENTIFICAÇÃO É a atividade de ofuscação de toda uma base 
pessoal de dados para impedir a identificação do 
indivíduo. Nem sempre é irreversível, podendo ser 
revertido.
DADO ANONIMIZADO É o dado relativo ao titular que não possa ser 
identificado, considerando a utilização de meios 
técnicos razoáveis e disponíveis na ocasião de seu 
tratamento. Através do fator razoabilidade não é 
possível identificar o titular do dado anonimizado. 
Pretende ser irreversível e permanente, havendo 
controvérsias doutrinarias acerca de sua irreversi-
bilidade.
➞ Inicialmente, não é um dado pessoal a ser pro-
tegido, pois via de regra não é considerado dado 
pessoal já que, em tese, não gera identificação do 
titular.
➞ Caso o processo de anonimização possa ser re-
vertido UTILIZANDO OS ESFORÇOS RAZOÁVEIS DE 
ENGENHARIA REVERSA e o dado deixe de ser ano-
nimizado, identificando o titular, incidirá a LGPD.
A determinação do que seja razoável é circunstan-
cial pois deve levar em conta o custo, o tempo ne-
cessário e a tecnologia do momento,para realizar a 
reversão. 
A razoabilidade é um risco tolerável da reversibili-
dade, olhando para fatores objetivos como tecno-
logia disponível, tempo e custo. Dessa forma a ano-
nimização será eficaz.
28
E-book do aluno: LGPD Experience
ANONIMIZAÇÃO É uma forma de tratamento de dados assim como 
a encriptação, capaz de tornar um anonimizado. É 
UMA TÉCNICA DE DEIDENTIFICAÇÃO.
É um direito do titular toda vez que um dado 
coletado for considerado desnecessário, excessivo 
ou coletado em desacordo com a LGPD.
Utilizam-se meios técnicos razoáveis e disponíveis 
no momento do tratamento, fazendo com que um 
dado perca a possibilidade de associação, direta ou 
indireta, a um indivíduo. 
A análise é circunstancial e contextualizada.
O desafio é garantir realizar a anonimização eficaz 
pois a desassociarão que se faz entre o dado e o 
titular pretende ser permanente e irreversível, rom-
pendo o vínculo entre o dado e o titular, mas há 
estudos que comprovam o contrário. 
É obrigatória sempre que:
- os dados pessoais forem utilizados para fins de es-
tudo de saúde pública por órgão de pesquisa, 
- quando os dados não forem eliminados após o 
fim de tratamento deverão ser anonimizados.
PSEUDONIMIZAÇÃO É o tratamento por meio do qual um dado perde 
a possibilidade de associação direta ou indireta ao 
indivíduo, senão por acesso informação adicional. É 
UMA TÉCNICA DE DEIDENTIFICAÇÃO.
Ocorre quando algumas informações sobre o ti-
tular são guardadas em separado (identificadores 
indiretos), e posteriormente pode-se junta-las, e só 
dessa forma é possível identificar o titular de dados.
É reversível.
TITULAR É a pessoa natural a quem se referem os dados 
pessoais que serão objeto de tratamento.
29
E-book do aluno: LGPD Experience
BANCO DE DADOS É o conjunto estruturado de dados pessoais, 
estabelecido em um ou em vários locais, em suporte 
eletrônico ou físico.
TRATAMENTO
DE DADOS PESSOAIS
Considera-se como tratamento de dados toda ope-
ração realizada com o dado pessoal, entre eles: 
• coleta, 
• produção, 
• recepção, 
• classificação, 
• utilização, 
• acesso, 
• reprodução, 
• transmissão, 
• distribuição. 
• processamento,
• arquivamento, 
• armazenamento, 
• eliminação, 
• avaliação, 
• controle da informação, 
• comunicação, 
• transferência, 
• difusão
• extração de dados pessoais
O tratamento vai da coleta a eliminação, que é obri-
gatória por conta do princípio da finalidade e da 
minimização dos dados.
A coleta dá início a um processo de tratamento 
com diversas atividades dos dados. 
Hoje bases de dados são ativos econômicos de em-
presas. Mas é possível que a empresa não possa ou 
não queira, para não prejudicar o negócio, excluir 
as informações. 
Com a LGPD há um respaldo legal de proteção a 
essa não-exclusão à empresa que precisar manter 
tais informações em sua base de dados.
AÇÕES 
ENVOLVIDAS 
NA 
ATIVIDADE DE 
TRATAMENTO
30
E-book do aluno: LGPD Experience
CONSENTIMENTO É a manifestação livre, informada e inequívoca pela 
qual o titular concorda com o tratamento de seus 
dados pessoais para uma finalidade determinada.
Deve ser obtido nos moldes legais: manifestação li-
vre, informada e inequívoca.
BLOQUEIO É a suspensão temporária de qualquer operação 
de tratamento, mediante guarda do dado pessoal 
ou do banco de dados
ELIMINAÇÃO DE 
DADOS
É a exclusão de dado ou de conjunto de 
dados armazenados em banco de dados, 
independentemente do procedimento empregado. 
É a última etapa do ciclo de dados.
Quando o tratamento de dados terminar, os mes-
mos deverão ser excluídos, eliminados.
TRANSFERÊNCIA 
INTERNACIONAL DE 
DADOS
É a transferência de dados pessoais para país 
estrangeiro ou organismo internacional do qual o 
país seja membro.
A LGPD possui vocação transnacional que deriva 
das necessidades de adequação ao GDPR e ao ce-
nário internacional.
USO 
COMPARTILHADO DE 
DADOS
É a comunicação, difusão, transferência 
internacional, interconexão de dados pessoais 
ou tratamento compartilhado de bancos de 
dados pessoais por órgãos e entidades públicos 
no cumprimento de suas competências legais, 
ou entre esses e entes privados, reciprocamente, 
com autorização específica, para uma ou mais 
modalidades de tratamento permitidas por esses 
entes públicos, ou entre entes privados
RELATÓRIO 
DE IMPACTO À 
PROTEÇÃO DE 
DADOS PESSOAIS
É a documentação do controlador que contém a 
descrição dos processos de tratamento de dados 
pessoais que poderão gerar riscos às liberdades 
civis e aos direitos fundamentais, bem como 
a apresentação de medidas, salvaguardas e 
mecanismos de mitigação de risco
CONTROLADOR É a pessoa natural ou jurídica, de direito público ou 
privado, a quem competem as decisões referentes 
ao tratamento de dados pessoais. É um dos agentes 
de tratamento.
31
E-book do aluno: LGPD Experience
OPERADOR É a pessoa natural ou jurídica, de direito público ou 
privado, que realiza o tratamento de dados pessoais 
em nome do controlador. É um dos agentes de 
tratamento.
ENCARREGADO É a pessoa natural, indicada pelo controlador, 
que atua como canal de comunicação entre o 
controlador e os titulares e a autoridade nacional. 
AGENTES DE 
TRATAMENTO
 É o termo utilizado para fazer referência ao 
controlador e ao operador.
32
E-book do aluno: LGPD Experience
QUAIS SÃO OS PRINCIPIOS QUE AO AGENTE DE 
TRATAMENTO DEVERÁ OBSERVAR?
A LGPD estabelece no artigo 6º, princípios que disciplinam a proteção de 
dados pessoais e a atividade de tratamento de dados, guiando a atividade dos 
agentes que realizam o tratamento dos dados pessoais. 
Art. 6º As atividades de tratamento de dados pessoais deverão observar a 
boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, espe-
cíficos, explícitos e informados ao titular, sem possibilidade de tratamento 
posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades infor-
madas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para 
a realização de suas finalidades, com abrangência dos dados pertinentes, 
proporcionais e não excessivos em relação às finalidades do tratamento de 
dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita 
sobre a forma e a duração do tratamento, bem como sobre a integralidade 
de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, rele-
vância e atualização dos dados, de acordo com a necessidade e para o cum-
primento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas 
e facilmente acessíveis sobre a realização do tratamento e os respectivos 
agentes de tratamento, observados os segredos comercial e industrial;
33
E-book do aluno: LGPD Experience
VII - segurança: utilização de medidas técnicas e administrativas aptas a 
proteger os dados pessoais de acessos não autorizados e de situações aci-
dentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos 
em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para 
fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agen-
te, da adoção de medidas eficazes e capazes de comprovar a observância e 
o cumprimento das normas de proteção de dados pessoais e, inclusive, da 
eficácia dessas medidas.
34
E-book do aluno: LGPD Experience
FINALIDADE É o princípio que ensina que o tratamento de 
dados só poderá ser realizado para a finalidade 
que justificou sua coleta, sua obtenção, e que é 
conhecida pelo titular. 
A Realização do tratamento é para propósitos legí-timos, específicos, explícitos e informados ao titu-
lar, sem possibilidade de tratamento posterior de 
forma incompatível com essas finalidades. 
Por este princípio os dados pessoais nunca poderão 
ser objeto de negócio jurídico, ou seja, não poderão 
ser comercializados, pois a finalidade que justificou 
a cessão destes dados é um fator limitante. 
A finalidade nunca abandona o dado pessoal. 
Não existe dado pessoal sem finalidade como um 
de seus atributos. 
Não existe dado pessoal com finalidade genérica.
O consentimento genérico é nulo.
Devemos nos perguntar: quais dados pessoais a 
empresa trata? 
Deve-se analisar se o tratamento dado a aqueles 
dados se justifica em contemplação à sua finalida-
de.
ADEQUAÇÃO Tal princípio determina que deve haver compatibili-
dade do tratamento com as finalidades informadas 
ao titular, de acordo com o contexto do tratamento 
dos dados.
NECESSIDADE Tal princípio estabelece que o tratamento deve li-
mitar-se ao mínimo necessário para a realização 
de suas finalidades. Há limitação do tratamento ao 
mínimo necessário para a realização de suas finali-
dades.
São eles:
35
E-book do aluno: LGPD Experience
LIVRE ACESSO Todo o titular deve ter acesso facilitado aos seus 
dados pessoais, um acesso facilitado que não pode 
ser oneroso.
Dá a garantia aos titulares, de consulta facilitada e 
gratuita sobre a forma e a duração do tratamen-
to, bem como sobre a integralidade de seus dados 
pessoais.
QUALIDADE
DOS DADOS
Tal princípio estabelece a garantia aos titulares, de 
exatidão, clareza, relevância e atualização dos da-
dos, de acordo com a necessidade e para o cumpri-
mento da finalidade de seu tratamento. Ao acessar 
os dados o titular poderá verificar que tipo de infor-
mação consta dele, e daí altera-los.
Logo, os dados devem ser exatos, claros, relevantes 
e atualizados, de acordo com a necessidade e para 
o cumprimento da finalidade de seu tratamento.
TRANSPARÊNCIA Todo o tratamento de dados pessoais deve ser de 
conhecimento do titular. O Titular deve saber para 
que, e de que forma seus Dados serão usados.
Tal princípio estabelece a garantia aos titulares de 
obtenção de informações claras, precisas e facil-
mente acessíveis sobre a realização do tratamento 
e os respectivos agentes de tratamento, observa-
dos os segredos comercial e industrial.
36
E-book do aluno: LGPD Experience
SEGURANÇA Deve haver a garantia da utilização de medidas téc-
nicas e administrativas aptas a proteger os dados 
pessoais de acessos não autorizados e de situações 
acidentais ou ilícitas de destruição, perda, altera-
ção, comunicação ou difusão.
No tratamento de dados deve haver proteção dos 
dados pessoais de acessos não autorizados e de si-
tuações acidentais ou ilícitas, e por isso uma série 
de obrigações são geradas aos operadores dos da-
dos que possuem limitação de uso.
Tal princípio estabelece que dados pessoais sejam 
tratados de forma a impedir que haja ataques in-
formáticos, vulnerações cibernéticas, e que pessoas 
não autorizadas tenham acesso aos dados.
PREVENÇÃO Tal princípio estabelece a adoção de medidas para 
prevenir a ocorrência de danos em virtude do trata-
mento de dados pessoais.
NÃO
DISCRIMINAÇÃO
Tal princípio estabelece a impossibilidade de reali-
zação do tratamento para fins discriminatórios ilíci-
tos ou abusivos.
RESPONSABILIZA-
ÇÃO
E PRESTAÇÃO DE 
CONTAS
Tal princípio estabelece que deve haver a demons-
tração pelo agente de tratamento da adoção de me-
didas eficazes e capazes de comprovar a observância 
e o cumprimento das normas de proteção de dados 
pessoais e, inclusive, da eficácia dessas medidas.
Não basta, portanto, o enquadramento em uma das hipóteses legais auto-
rizativas para se iniciar o tratamento de dados pessoais. É fundamental ga-
rantir que os princípios listados acima sejam respeitados.
37
E-book do aluno: LGPD Experience
QUAIS SÃO AS BASES LEGAIS QUE PERMITEM O 
TRATAMENTO DE DADOS?
Em se tratando de dados pessoais em sentido amplo, a LGPD possui 10 ba-
ses legais vinculando a licitude do tratamento dos dados pessoais a cada uma 
delas. 
O objetivo do uso das bases legais é dar licitude ao tratamento de dados 
feito pelo agente de tratamento, por isso, o rol de bases legais traz de forma 
taxativa as hipóteses que autorizam a realização do tratamento de dados, não 
cabendo interpretação extensiva ou analogia. 
 As bases legais não têm dependência ou predominância entre si, pois 
não existe hierarquia, já que todas estão horizontalmente elencadas no artigo 
7º da LGPD, possuindo o mesmo valor. 
Art. 7º O tratamento de dados pessoais somente poderá ser realizado 
nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo contro-
lador;
III - pela administração pública, para o tratamento e uso compartilhado 
de dados necessários à execução de políticas públicas previstas em leis e 
regulamentos ou respaldadas em contratos, convênios ou instrumentos 
congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sem-
pre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimen-
38
E-book do aluno: LGPD Experience
tos preliminares relacionados a contrato do qual seja parte o titular, a pedi-
do do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, adminis-
trativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setem-
bro de 1996 (Lei de Arbitragem) ;
VII - para a proteção da vida ou da incolumidade física do titular ou de 
terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado 
por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do con-
trolador ou de terceiro, exceto no caso de prevalecerem direitos e liberda-
des fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação 
pertinente.
§ 1º (Revogado). (Redação dada pela Lei nº 13.853, de 2019)
§ 2º (Revogado). (Redação dada pela Lei nº 13.853, de 2019) Vigência
§ 3º O tratamento de dados pessoais cujo acesso é público deve conside-
rar a finalidade, a boa-fé e o interesse público que justificaram sua disponi-
bilização.
§ 4º É dispensada a exigência do consentimento previsto no caput des-
te artigo para os dados tornados manifestamente públicos pelo titular, res-
guardados os direitos do titular e os princípios previstos nesta Lei.
§ 5º O controlador que obteve o consentimento referido no inciso I 
do caput deste artigo que necessitar comunicar ou compartilhar dados pes-
soais com outros controladores deverá obter consentimento específico do 
http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm
http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art3
39
E-book do aluno: LGPD Experience
titular para esse fim, ressalvadas as hipóteses de dispensa do consentimen-
to previstas nesta Lei.
§ 6º A eventual dispensa da exigência do consentimento não desobriga 
os agentes de tratamento das demais obrigações previstas nesta Lei, espe-
cialmente da observância dos princípios gerais e da garantia dos direitos do 
titular.
§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º 
e 4º deste artigo poderá ser realizado para novas finalidades, desde que ob-
servados os propósitos legítimos e específicos para o novo tratamento e a 
preservação dos direitos do titular, assim como os fundamentos e os princí-
pios previstos nesta Lei.
Basta o cumprimento de apenas uma base legal para que a operação de 
tratamento de dados seja licita, o que não impede que exista mais de uma 
base legal: o que definirá a base legalutilizada é a finalidade do tratamento. 
O uso equivocado de uma base legal torna a atividade de tratamento ilícita 
pois a base legal deverá ser adequada a finalidade do tratamento.
Para todo caso de tratamento de dados, o controlador é responsável por de-
finir qual será a base legal mais apropriada, de acordo com a finalidade dada 
ao tratamento, não havendo discricionariedade na escolha da base legal a ser 
utilizada. Sempre deve-se informar ao titular em caso de mudança da finali-
dade do tratamento.
➞ Para encontrar sua finalidade, o agente de tratamento deverá se pergun-
tar: 
O que irei fazer com esse dado?
40
E-book do aluno: LGPD Experience
I – consentimento do titular (artigo 7º, I):
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas 
seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular
O consentimento diz respeito a ideia de autodeterminação informacional, 
concedendo ao cidadão o controle sobre seus dados pessoais, dando-lhe po-
der de
• retificar 
• emendar
• apagar (excluir)
• completar
A organização deverá dispor de um 
canal para que o titular possa requisitar 
tais ações.
É a autodeterminação do indivíduo quem parametriza a licitude de qual-
quer atividade de tratamento dos dados pessoais. 
Somado a autodeterminação do indivíduo, o consentimento traz o princípio 
da proporcionalidade, impedindo que o agente de tratamento colete dados 
excessivos frente a finalidade que ele decretou, trazendo a ideia de minimiza-
ção dos dados como um dever de quem realiza a atividade de tratamento de 
dados. 
O consentimento é considerado um autorizador temporário, uma vez que 
pode ser revogado a qualquer momento, mediante manifestação expressa do 
titular, por procedimento gratuito e facilitado. Em outras palavras, caso uma 
empresa colete dados através do consentimento dos titulares desses dados, 
será necessário dispor de algum tipo de plataforma que permita a exclusão 
dos dados após a requisição do titular e que mantenha evidência dessa ex-
clusão para fins de comprovação posterior, caso necessário, tudo de forma 
gratuita.
41
E-book do aluno: LGPD Experience
Portanto, recomenda-se que a coleta de dados se dê com base no consen-
timento somente de forma residual, caso não seja possível o tratamento de 
dados através de alguma outra das outras 09 bases legais.
Sobre o consentimento:
• Deve ser fornecido de forma livre, especifica, por escrito ou por outro meio 
que demonstre a efetiva manifestação de vontade do titular, em cláusula 
destacada dos demais termos contratuais (art. 8°, §1º). 
• Autorizações genéricas são nulas, justamente para que seja comprovado 
que aquele consentimento foi dado para uma finalidade específica de 
tratamento. (art. 8°, §5º).
• Deve dizer respeito a uma finalidade determinada de forma geral, impe-
dindo o agente de dar tratamento diverso daquele informado e, caso ve-
nha a alterar as finalidades inicialmente informadas, novo consentimen-
to deverá ser obtido do titular (art. 8°, §6º).
• O consentimento poderá ser: ➞ ELIMINADO (art. 8°, §5º).
 ➞ REVOGADO (art. 8°, §6º).
• Empodera o titular de dados, aumentando sua carga participativa no 
fluxo de suas informações pessoais, permitindo que a qualquer tempo, 
revogue o consentimento dado (art. 8°, §5º), tornando o tratamento dos 
dados limitado às hipóteses em que o consentimento é dispensado, res-
peitados os demais requisitos legais. 
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser 
fornecido por escrito ou por outro meio que demonstre a manifestação 
de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar 
de cláusula destacada das demais cláusulas contratuais.
42
E-book do aluno: LGPD Experience
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi ob-
tido em conformidade com o disposto nesta Lei.
§ 3º É vedado o tratamento de dados pessoais mediante vício de consen-
timento.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e 
as autorizações genéricas para o tratamento de dados pessoais serão 
nulas.
§ 5º O consentimento pode ser revogado a qualquer momento me-
diante manifestação expressa do titular, por procedimento gratuito e faci-
litado, ratificados os tratamentos realizados sob amparo do consentimento 
anteriormente manifestado enquanto não houver requerimento de elimi-
nação, nos termos do inciso VI do caput do art. 18 desta Lei.
§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V 
do art. 9º desta Lei, o controlador deverá informar ao titular, com desta-
que de forma específica do teor das alterações, podendo o titular, nos 
casos em que o seu consentimento é exigido, revogá-lo caso discorde da 
alteração.
A LGPD dispõe especificamente que a gestão dos dados pessoais deve ser 
feita pelos agentes de tratamento de modo a possibilitar que, através de re-
querimento do titular a fim de obter as seguintes informações: 
• Confirmação da existência de tratamento; 
• Acesso aos dados; 
• Informação a respeito do compartilhamento de dados; 
• Informação sobre a possibilidade e consequências do não fornecimento 
de consentimento. 
• Revisão de decisão automatizada; 
43
E-book do aluno: LGPD Experience
• Revogação do consentimento;
• Correção de dados; 
• Anonimização; 
• Bloqueio ou eliminação de dados desnecessários, excessivos ou tratados 
em desconformidade com a LGPD; 
• Portabilidade dos dados; 
• Eliminação dos dados.
➞ Confirmação de existência ou confirmação de acesso a dados pessoais: 
O agente de tratamento deverá atender a requisição de confirmação da 
existência de tratamento e acesso aos dados:
(i) em formato simplificado, caso a providência seja adotada imediatamen-
te; ou 
(ii) por meio de declaração clara e completa, no prazo de 15 dias contados 
do requerimento do titular. A declaração, deve conter a indicação da origem 
dos dados, inexistência de registro, critérios utilizados e finalidade do trata-
mento. As informações solicitadas deverão ser fornecidas por meio eletrônico 
ou de forma impressa. 
➞ Impossibilidade de atendimento aos requerimentos dos titulares: 
Importante destacar, ainda, que a LGPD estabelece medidas a serem toma-
das no caso de impossibilidade de adoção imediata, por parte do agente de 
tratamento da providência solicitada pelo titular dos dados. Exemplo: hipóte-
ses do artigo 16.
Nestes casos, o agente de tratamento deverá enviar resposta ao titular in-
44
E-book do aluno: LGPD Experience
formando: 
(i) que não realiza o tratamento dos dados e indicar, se possível, o agente 
que realiza o referido tratamento; ou 
(ii) as razões que impedem a adoção da medida requerida.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em 
relação aos dados do titular por ele tratados, a qualquer momento e me-
diante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, ex-
cessivos ou tratados em desconformidade com o disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, 
mediante requisição expressa, de acordo com a regulamentação da autori-
dade nacional, observados os segredos comercial e industrial;     
VI - eliminação dos dados pessoais tratados com o consentimento do 
titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o contro-
lador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e 
sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
E ainda, o artigo 16 traz hipóteses de impossibilidade de eliminação dos da-
dos, autorizando a conservação dos mesmos:
45E-book do aluno: LGPD Experience
Art. 16. Os dados pessoais serão eliminados após o término de seu trata-
mento, no âmbito e nos limites técnicos das atividades, autorizada a con-
servação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a ano-
nimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tra-
tamento de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e des-
de que anonimizados os dados.
II- cumprimento de obrigação legal ou regulatória pelo controlador (ar-
tigo 7º II da LGPD):
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas 
seguintes hipóteses: (...)
II - para o cumprimento de obrigação legal ou regulatória pelo contro-
lador;
É a hipótese em que o tratamento de dados pessoais é justificado por exi-
gências de outras leis, possibilitando que a LGPD não entre em conflito com 
outras legislações vigentes em nosso país, o que acabaria por gerar uma dis-
cussão sobre a possibilidade ou não do titular de dados registrar reclamação 
contra um tipo de tratamento de dados que estivesse em discordância com 
outra determinação legal.
No caso de uma obrigação decorrente de lei ou regulamento vier a acarretar 
em tratamento de dados pessoais por parte da organização, a mesma estará 
autorizada a trata-los de modo a cumprir a dita exigência legal ou regulatória. 
São os cenários nos quais uma pessoa jurídica de direito privado precise utili-
zar ou armazenar dados pessoais para cumprir obrigações legais.
46
E-book do aluno: LGPD Experience
Exemplificando: uma empresa deseja transmitir os dados de seus empre-
gados constantes de seus registros internos de RH à Secretaria Especial do 
Ministério da Economia (antigo Ministério do Trabalho), a fim de cumprir com 
a entrega da Relação Anual de Informações Sociais (Rais). Nesse caso, os em-
pregados não podem opor resistência ao compartilhamento de dados, uma 
vez que é necessária para o cumprimento de uma obrigação legal/regulatória 
por parte do controlador.
III- USO COMPARTILHADO DE DADOS NECESSÁRIOS Á EXECUÇÃO DE 
POLITICAS PÚBLICAS PREVISTAS EM LEIS, REGULAMENTOS, CONTRATOS, 
CONVÊNIOS OU INSTRUMENTOS CONGENERES POR PARTE DA ADMINIS-
TRAÇÃO PÚBLICA (artigo 7º III da LGPD):
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas 
seguintes hipóteses: (...)
III - pela administração pública, para o tratamento e uso compartilhado 
de dados necessários à execução de políticas públicas previstas em leis e 
regulamentos ou respaldadas em contratos, convênios ou instrumentos 
congêneres, observadas as disposições do Capítulo IV desta Lei.
Quando o tratamento de dados pessoais é resguardado pelo interesse pú-
blico ou por necessidade de uma autoridade oficial que exercerá o papel de 
agente controlador quanto ao tratamento daquele dado. 
Ocorre quando órgãos da administração pública precisam se adequar e 
cumprir a lei ao tratarem e compartilharem dados pessoais para execução de 
políticas públicas ou respaldadas em contratos, convênios ou instrumentos 
congêneres, sem a necessidade de consentimento dos titulares.
Contudo, a Administração Pública é obrigada a fornecer ao titular dos da-
dos informações claras e inequívocas sobre a base legal para o tratamento 
dos dados, a finalidade e quais os procedimentos utilizados ao longo do ciclo 
de vida do dado dentro dos sistemas da Administração Pública.
47
E-book do aluno: LGPD Experience
A Administração Pública somente não estará obrigada a cumprir com as 
exigências da LGPD no caso de tratamento de dados feito exclusivamente 
para fins de segurança pública, defesa nacional, segurança do Estado ou ati-
vidades de investigação ou de repressão de infrações penais.
Ressaltamos que os serviços notariais e de registro exercidos em caráter pri-
vado, por delegação do Poder Público, terão o mesmo tratamento dispensado 
aos órgãos públicos, devendo fornecer acesso aos dados por meio eletrônico 
para a Administração Pública.
Uma grande diferença da aplicação da LGPD aos órgãos públicos para o 
âmbito privado diz respeito às penalidades aplicadas: para a Administração 
Pública, não há a previsão de sanção pecuniária, mas apenas a advertência, a 
publicização da infração, bloqueio ou eliminação dos dados pessoais a que se 
refere a infração, sem prejuízo das sanções previstas no Estatuto do Servidor 
Público Federal, na lei de Improbidade Administrativa e na lei de acesso à in-
formação.
IV- PARA A REALIZAÇÃO DE ESTUDOS POR ORGÃOS DE PESQUISA, GA-
RANTIDA SEMPRE QUE POSSIVEL, A ANONIMIZAÇÃO DOS DADOS PESSO-
AIS:
Art. 7º: O tratamento de dados pessoais somente poderá ser realizado nas 
seguintes hipóteses: (...)
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre 
que possível, a anonimização dos dados pessoais;
Dados pessoais podem ser tratados para fins de estudos de órgãos oficial-
mente credenciados como de pesquisa. 
Nesse caso, sempre que possível o dado deve ser anonimizado garantindo 
ao máximo a privacidade dos titulares e evitar possíveis vazamentos, uma vez 
que um dado anonimizados é aquele que, via de regra, não é possível identi-
ficar o seu titular, considerando a utilização de técnicas razoáveis na ocasião 
48
E-book do aluno: LGPD Experience
do tratamento.
Uma prática já utilizada pelos órgãos de pesquisa com o intuito de anoni-
mizar os dados pessoais é, por exemplo, quando em uma pesquisa para apu-
ração de intenção de votos em uma eleição, haja a proporção de votação para 
cada candidato de acordo com sexo, escolaridade, região geográfica, classe 
social, etc. O resultado da pesquisa é cumprido, ao ponto que é praticamente 
impossível saber quem foram as pessoas que demonstraram aquelas inten-
ções utilizando-se de técnicas razoáveis para tentar atribuir um conjunto de 
dados a uma pessoa individualizada.
V-QUANDO NECESSÁRIO A EXECUÇÃO DE UM CONTRATO OU DE PRO-
CEDIMENTOS PRELIMINARES RELACIONADOS A CONTRATO DO QUAL 
SEJA PARTE O TITULAR, A PEDIDO DO TITULAR DE DADOS:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas 
seguintes hipóteses: (...)
V - quando necessário para a execução de contrato ou de procedimentos 
preliminares relacionados a contrato do qual seja parte o titular, a pedido do 
titular dos dados;
Nesta hipótese os dados de uma pessoa podem ser processados em dois 
casos: 
➞ Para que seja cumprida uma obrigação prevista em contrato;
➞ Para validar e dar início a vigência de um contrato.
Nesse caso, o tratamento de dados se dará a pedido do próprio de titular 
dos dados para garantir a execução de um contrato ou de seus procedimen-
tos preliminares. Essa hipótese se assemelha um pouco com o tratamento de 
dados via consentimento, com a diferença de que o titular dos dados não po-
derá revogar o seu fornecimento a qualquer momento, uma vez que a outra 
parte estará resguardada pela LGPD para poder manter os dados fornecidos 
49
E-book do aluno: LGPD Experience
pelo titular enquanto durar a vigência do contrato.
Exemplo¹: Para contratar os serviços da um novo colaborador, a Empresa X, 
você precisa fornecer de uma série de informações pessoais necessárias para 
formalizar o contrato (dados do contratante, dados para faturamento, etc.) 
que farão parte do futuro contrato de emprego do titular dos dados.
Exemplo²: a contratação por parte de um titular de dados de um serviço 
cujo objeto principal é o tratamento de dados pessoais, tal como acontece 
com a inserção de dados em um serviço de armazenamento em nuvem.
VI - PARA O EXERCICIO REGULAR DE DIREITOS EM PROCESSO JUDICIAL, 
ADMINISTRATIVO OU ARBITRAL
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas 
seguintes hipóteses: (...)
VI - para o exercício regular de direitos em processo judicial, administrati-
voou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 
1996 (Lei de Arbitragem);
Esta base legal foi decisão acertada do legislador com o intuito de garantir 
o direito de produção de provas de uma parte contra a outra em um processo 
judicial, administrativo ou arbitral, este último nos termos da Lei de Arbitra-
gem. 
 Permitir que uma das partes se oponha a este tipo de tratamento de 
dados seria cercear o direito de defesa da outra em um processo e infringir os 
preceitos constitucionais da ampla defesa e do contraditório.
VII- PARA A PROTEÇÃO DA VIDA OU DA INCOLUMIDADE FISICA DO TI-
TULAR OU TERCEIRO:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas 
seguintes hipóteses: (...)
50
E-book do aluno: LGPD Experience
VII - para a proteção da vida ou da incolumidade física do titular ou de 
terceiro;
Trata-se da base legal que visa garantir a proteção de bens de elevado inte-
resse público, tais como a vida e a incolumidade física, desde que devidamen-
te comprovada essa necessidade e exposta a finalidade do tratamento dos 
dados nesta situação.
Esta é uma base legal autorizadora para o tratamento de dados pessoais 
tão específica que, até mesmo o art. 11, II, “e” da LGPD estabelece que dados 
pessoais sensíveis poderão ser tratados sem o fornecimento de consentimen-
to do titular, caso o tratamento seja indispensável para a proteção da vida ou 
da incolumidade física do titular ou de terceiro, haja vista o interesse público 
envolvido neste tipo de tratamento.
Exemplo: imagine uma pessoa inconsciente dando entrada em um hos-
pital que nunca esteve na vida após sofrer um grave acidente. Nesse caso, o 
novo hospital precisará de todo o histórico médico do paciente constante de 
um outro hospital que ele costuma frequentar, estando, portanto, autorizado 
o médico que irá atende-lo requisitar a documentação ao outro hospital, que 
poderá compartilhar toda a documentação que disponha daquele paciente.
VIII - PARA A TUTELA DA SAÚDE, EM PROCEDIMENTO REALIZADO POR 
PROFISSIONAIS DA ÁREA DA SAÚDE OU POR ENTIDADES SANITÁRIAS:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas 
seguintes hipóteses: (...) 
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado 
por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Esta base legal autoriza a coleta de dados por parte dos profissionais de 
saúde, serviços de saúde ou autoridades sanitárias quando precisarem cole-
tar e tratar os dados pessoais. 
É uma base legal bastante específica, em que o art. 11, II, f da LGPD estabele-
51
E-book do aluno: LGPD Experience
ce que dados pessoais sensíveis poderão ser tratados sem o fornecimento de 
consentimento do titular, caso sejam indispensáveis para a tutela da saúde, 
exclusivamente, em procedimento realizado por profissionais de saúde, servi-
ços de saúde ou autoridade sanitária.
Visa o interesse público no tratamento dos dados pessoais, sendo objeto 
de regras específicas dentro da própria LGPD quando o controlador atuar na 
área da saúde. Provavelmente será um dos itens de maior debate ao longo da 
formação e consolidação da consciência de proteção de dados na sociedade 
brasileira.
Uma especificidade do tratamento com base neste inciso é a autorização 
do art. 11 da LGPD para a comunicação ou o uso compartilhado entre contro-
ladores de dados pessoais sensíveis referentes à saúde nos casos de prestação 
de serviços de saúde, de assistência farmacêutica e de assistência à saúde, 
incluídos os serviços auxiliares de diagnose e terapia, com objetivo de obter 
vantagem econômica, desde que em benefício dos interesses dos titulares de 
dados, sendo vedado às operadoras de planos privados de assistência à saúde 
o tratamento de dados de saúde para a prática de seleção de riscos na con-
tratação de qualquer modalidade, assim como na contratação e exclusão de 
beneficiários. Qualquer outro tipo de comunicação ou uso compartilhado de 
dados referentes à saúde é categoricamente vedado pela LGPD.
Art 11 (...) § 4º É vedada a comunicação ou o uso compartilhado entre con-
troladores de dados pessoais sensíveis referentes à saúde com objetivo de 
obter vantagem econômica, exceto nas hipóteses relativas a prestação de 
serviços de saúde, de assistência farmacêutica e de assistência à saúde, des-
de que observado o § 5º deste artigo, incluídos os serviços auxiliares de diag-
nose e terapia, em benefício dos interesses dos titulares de dados, e para 
permitir:
I - a portabilidade de dados quando solicitada pelo titular; ou
II - as transações financeiras e administrativas resultantes do uso e da 
52
E-book do aluno: LGPD Experience
prestação dos serviços de que trata este parágrafo.
§ 5º É vedado às operadoras de planos privados de assistência à saúde o 
tratamento de dados de saúde para a prática de seleção de riscos na contra-
tação de qualquer modalidade, assim como na contratação e exclusão de 
beneficiários.
IX - quando necessário para atender aos interesses legítimos do contro-
lador ou de terceiro 
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas 
seguintes hipóteses: (...)
IX - quando necessário para atender aos interesses legítimos do contro-
lador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades 
fundamentais do titular que exijam a proteção dos dados pessoais;
A base legal do legítimo interesse não pode ser utilizada no caso de preva-
lecerem direitos e liberdades fundamentais do titular que exijam a proteção 
dos dados pessoais. 
Não há exatidão na definição do que seria o “legítimo interesse” do contro-
lador ou de terceiro uma vez que não há uma previsão legal no ordenamento 
jurídico brasileiro, nem orientações ou diretrizes específicas a respeito desta 
definição. A ANPD será o órgão responsável, dentre outras coisas, pela criação 
destas diretrizes.
A base legal do legítimo interesse é:
• Multipropósito pois atende diversas finalidades, sendo uma solução estru-
tural, pois abarca a finalidade por inteiro e ajuda a ver coisas que as outras 
bases não ajudaram, como uma espécie de auditoria interna.
• Mais flexível, mas a sua aplicação não é simples.
• Mais completa e transfere o ônus integral da prova ao controlador.
53
E-book do aluno: LGPD Experience
O art. 10 da LGPD determina que o legítimo interesse do controlador so-
mente poderá fundamentar tratamento de dados pessoais para finalidades 
legítimas, consideradas a partir de situações concretas, que incluem, mas não 
se limitam a: 
1. Apoio e promoção de atividades do controlador e 
2. Proteção, em relação ao titular, do exercício regular de seus direitos ou 
prestação de serviços que o beneficiem, respeitadas as legítimas expecta-
tivas dele e os direitos e liberdades fundamentais.
Portanto, para que se possa utilizar esta base legal como autorizadora para 
o tratamento de dados é necessário identificar um interesse inequivocamen-
te legítimo, demonstrar que o tratamento de dados é necessário para se atin-
gir tal objetivo e tomar o devido cuidado para não violar nenhum dispositivo 
legal ou nenhum direito do titular daqueles dados.
O legítimo interesse permite o uso dos dados, sem a necessidade de obten-
ção de consentimento, dispensando a ciência do titular de dados. Contudo, é 
necessário tomar alguns cuidados para entender em quais casos o legítimo 
interesse realmente pode ser aplicado: é necessário que cada empresa realize 
testes de proporcionalidade, uma análise para ponderar os interesses da em-
presa e a os direitos do indivíduo.
São premissas do legitimo interesse (ponto de partida):
• Ser produzido um documento próprio, diferente das demais bases legais. 
• Ser um ônus do controlador comprovar que utilizou tal base de forma cor-
reta, ou seja, que o tratamento se amolda ao que ele justificou como sen-
do legitimo interesse. 
54
E-book do aluno: LGPD Experience
Como definir abase legal
“Legitimo Interesse do controlador”?
Uma das primeiras perguntas que toda a organização faz é:
Qual é a razão para tratar os dados pessoais?
Pois as atividades de tratamento só são licitas quando houver hipótese de 
tratamento, base legal.
Para o uso da base legal legitimo interesse, deve haver uma situação con-
creta, não podendo haver uma possibilidade (esquecer o “pode ser”). A finali-
dade deve ser legitima para o uso da base “Legitimo interesse”. Esta base não 
está vinculada a uma finalidade em particular, ao contrário das demais bases 
legais. Além disso, a base legitimo interesse não possui uma finalidade com a 
qual o titular tenha consentido previamente e por isso pode em principio ser 
aplicada a qualquer tratamento.
SITUAÇÕES EM QUE A BASE LEGAL LEGITIMO INTERESSE PODE SER A 
MAIS ADEQUADA
O tratamento não for exigido por lei, mas for um claro benefício para a or-
ganização ou terceiros.
Quando houver um impacto limitado sobre a privacidade do titular 
O Titular espera razoavelmente que o controlador utilize os dados dessa 
forma
A organização não pode ou não quer dar ao titular controle total inicial 
(isto é, consentimento) , ou incomodá-lo com pedidos de consentimento 
disruptivos, quando é improvável que ele se oponha ao tratamento
A Base legal legitimo interesse 
aparece em 02 momentos na LGPD:
1) Artigo 37:
O controlador e o operador devem manter registro das operações de 
55
E-book do aluno: LGPD Experience
tratamento de dados pessoais que realizarem, especialmente quando ba-
seado no legítimo interesse.
2) Artigo 10:
O legítimo interesse do controlador somente poderá fundamentar tra-
tamento de dados pessoais para finalidades legítimas, consideradas a par-
tir de situações concretas, que incluem, mas não se limitam a:
I - apoio e promoção de atividades do controlador; e
II - proteção, em relação ao titular, do exercício regular de seus direitos ou 
prestação de serviços que o beneficiem, respeitadas as legítimas expecta-
tivas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controla-
dor, somente os dados pessoais estritamente necessários para a finali-
dade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência 
do tratamento de dados baseado em seu legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de 
impacto à proteção de dados pessoais, quando o tratamento tiver como 
fundamento seu interesse legítimo, observados os segredos comercial e 
industrial.
Segundo o artigo 10º da LGPD, utiliza-se a base legal “Legitimo interesse” 
nas seguintes hipóteses CONCRETAS (jamais podem haver situações hipoté-
ticas):
a) Apoio e promoção e atividades do controlador;
b) Proteção em relação ao titular do exercício regular de seus direitos respei-
tadas:
56
E-book do aluno: LGPD Experience
c) Atividade que ofereça prestação de serviços que beneficie o titular;
→ Desde que:
• As expectativas LEGITIMAS e os direitos e liberdades fundamentais do ti-
tular sejam garantidos;
• O controlador observe a transparência (ART 10 §2º), que é dar garantia ao 
titular do controle dos seus dados;
• Haja tratamento somente dos dados estritamente necessários (minimiza-
ção).
Obs: A ANPD poderá solicitar o RIPD- RELATÓRIO DE IMPACTO, que deverá 
ser feito quando se usar a base legitimo interesse. 
O legitimo interesse é uma base legal versátil, trazendo obrigações acresci-
das ao Controlador que deverá buscar o equilíbrio entre seus interesses legíti-
mos e os direitos do titular, não podendo ser usado como “base coringa” pois 
a escolha de base legal não é feita com base em análise de risco e sim com 
base na análise da finalidade. 
O controlador deverá tratar os dados do titular da forma como ele esperaria.
→ A escolha da base legal é sempre feita de acordo com a finalidade.
O Legitimo interesse é usado em situações que gerem impactos à vida do 
titular, desde que a organização saiba salvaguardar contrabalanceando a si-
tuação. A questão é que o impacto deve ser mínimo aos direitos do titular, 
ainda que cause uma intrusão na vida do titular, deverá ser mínima. 
A LGPD não ensina como usar o Legitimo interesse, sendo necessário 
usar Boas Práticas como:
• Uso da ISO 27701 - é padrão, mas não traz nada sobre legitimo interesse, 
somente um parágrafo na página 34.
57
E-book do aluno: LGPD Experience
• Interpretação análoga do GDPR que diz que: quando o tratamento for 
necessário para efeito dos interesses legítimos prosseguidos pelo con-
trolador ou por terceiros, exceto se prevalecerem interesses ou direitos e 
liberdades fundamentais do titular que exijam a proteção de dados pes-
soais, em especial se o titular for uma criança. 
Não há nenhuma regra informando que a empresa deverá fazer uma AVA-
LIAÇÃO DE INTERESSE LEGITIMO, mas essa avaliação é uma boa prática pois 
o Legitimo interesse como base legal dá um grande poder à organização tor-
nando a relação com o titular assimétrica. A avaliação do legitimo interesse 
é uma boa prática pois não é obrigatória segundo a LGPD, sendo uma boa 
pratica diante do poder que dá à organização.
Avalia-se o legitimo interesse em 03 etapas:
1 - TESTE DE FINALIDADE: 
QUESTIONA-SE SE O INTERESSE DA EMPRESA É LEGITIMO, LEGAL, SE A 
FINALIDADE “INTERESSE DO CONTROLADOR” É LEGITIMA. O interesse da 
empresa é legítimo?
Ter um interesse legitimo não garante automaticamente à organização que 
ela possa usar a base legal “legitimo interesse”. 
2 - TESTE DE NECESSIDADE: 
O tratamento previsto deve ser necessário para que a organização conquis-
te seu interesse legitimo. O tratamento é necessário?
VERIFICA-SE SE NAQUELE CONTEXTO ESPECÍFICO DE TRATAMENTO PRE-
58
E-book do aluno: LGPD Experience
VISTO É NECESSÁRIO O USO DO LEGITIMO INTERESSE, PARA QUE A EMPRE-
SA CONCRETIZE SEU INTERESSE LEGÍTIMO
3 - TESTE DE PROPORCIONALIDADE OU BALANCEAMENTO (EQUILI-
BRIO): 
EQUILIBRA-SE O INTERESSE LEGITIMO AOS INTERESSES DOS TITULARES. 
O tratamento é proporcional?
VERIFICA-SE O EQUILIBRIO DO INTERESSE LEGÍTIMO COM OS DIREITOS E 
LIBERDADES FUNDAMENTAIS DO TITULAR.
GERA UM ÔNUS AO CONTROLADOR QUE DEVERÁ GARANTIR E DEMOS-
NTRAR O EQUILIBRIO ENTRE OS SEUS INTERESSES COM OS DO TITULAR
→Ao contrário do interesse legitimo, as demais bases são explícitas. No le-
gitimo interesse a amplitude é maior para a empresa que deverá garantir os 
direitos e liberdades dos titulares, e dessa forma, a organização deverá ter a 
confiança em assumir a possibilidade de proteger os direitos dos titulares, de-
vendo ser transparente e explicar aos titulares que direitos são esses.
A avaliação do legitimo interesse é uma espécie de avaliação de risco 
mas não para dizer se o risco é alto, ou baixo, sendo uma avaliação de ris-
co dos direitos e liberdades do titular. A organização olhará para o contexto 
compreendendo qual será o impacto para os direitos e liberdades dos titula-
res.
Deve-se avaliar o contexto para usar a base legal legitimo interesse. A exis-
tência de um interesse legítimo do controlador é só um ponto de partida, 
pois o controlador poderá ter um interesse legitimo para realizar o trata-
59
E-book do aluno: LGPD Experience
mento, mas outras estapas deverão ser analisadas.
É NECESSÁRIO REALIZAR 03 ETAPAS PARA USAR A BASE INTERESSE LEGI-
TIMO, EM TODAS AS ATIVIDADES DE TRATAMENTO EM QUE A EMPRESA DE-
CIDIR USAR ESSA BASE LEGAL, AINDA QUE NÃO SEJA OBRIGATÓRIO PELA 
LGPD.
O LIA É INSTRUMENTO PARA QUE A ORGANIZAÇÃO COMPROVE A NECES-
SIDADE DE USAR A BASE LEGAL INTERESSE LEGITIMO.
São 03 as etapas do LIA
• Finalidade
• Necessidade
• Proporcionalidade
1-TESTE DE FINALIDADE: 
É a etapa mais simples, de identificação da finalidade. Identifica-se a finali-
dade buscando verificar se ela é um interesse legitimo ao controlador. É o tes-
te mais fácil e mais tranquilo. Para verificar se há legitimo interesse, devemos