E-book - Noções Preliminares da Lei Geral de Proteção de Dados Pessoais

Prévia do material em texto

Unidade II
Tratamento de Dados Pessoais
Lei Geral de 
Proteção de 
Dados Pessoais
Diretor Executivo 
DAVID LIRA STEPHEN BARROS
Gerente Editorial 
CRISTIANE SILVEIRA CESAR DE OLIVEIRA
Projeto Gráfico 
TIAGO DA ROCHA
Autoria 
RAIANNY LIMA BARROS INTERAMINENSE
SILVIA CRISTINA DA SILVA
 
AUTORIA
Raianny Lima Barros Interaminense
Silvia Cristina da Silva 
Olá. Somos Raianny Lima Barros Interaminense e Silvia Cristina da Silva. 
Eu, Raianny, sou formada em Direito pela Universidade de Ciências 
Sociais Aplicadas (Unifacisa) e especialista em Direito Tributário pelo Ins-
tituto Brasileiro de Estudos Tributários (IBET). Atualmente sou professora 
conteudista e advogada. Como jurista, atuo na área de Direito Tributário. 
Antes de me dedicar integralmente à advocacia privada, tive experiência 
na área de direito público, em virtude do período de estágio na Procura-
doria da Fazenda Nacional e no Ministério Público Estadual. Sou apaixo-
nada e entusiasta pelo direito e adoro transmitir minha experiência de vida 
àqueles que estão iniciando em suas profissões. 
Eu, Silvia, sou mestre interdisciplinar em Educação, Ambiente e 
Sociedade – UNIFAE e tenho participação docente e discente no mestrado 
em Análise do Discurso - Universidade Federal de Buenos Aires. Sou 
especialista em Investigação de Antecedentes em instituições públicas e 
privadas; especialista em Docência do Ensino Superior e Direito e Educação 
pela Faculdade Campos Elíseos; pós-graduanda em EAD pela Faculdade 
Campos Elíseos e graduada em Ciências Jurídicas e Sociais – UNIFEOB. 
Atuo como vice-diretora acadêmica na Agência Nacional de Estudos em 
Direito ao Desenvolvimento (ANEDD); docente e conteudista em diversas 
instituições educacionais para cursos de graduação e pós-graduação; 
elaboradora de questões para concursos públicos em várias organizadoras; 
degravadora, redatora, tradutora e intérprete da língua espanhola.
Por isso, fomos convidadas pela Editora Telesapiens a integrar seu 
elenco de autores independentes. Estamos muito felizes em poder ajudar 
você nesta fase de muito estudo e trabalho. Conte conosco!
ICONOGRÁFICOS
Olá. Esses ícones irão aparecer em sua trilha de aprendizagem toda vez 
que:
INTRODUÇÃO:
para o início do 
desenvolvimento de 
uma nova compe-
tência;
DEFINIÇÃO:
houver necessidade 
de se apresentar um 
novo conceito;
NOTA:
quando forem 
necessários obser-
vações ou comple-
mentações para o 
seu conhecimento;
IMPORTANTE:
as observações 
escritas tiveram que 
ser priorizadas para 
você;
EXPLICANDO 
MELHOR: 
algo precisa ser 
melhor explicado ou 
detalhado;
VOCÊ SABIA?
curiosidades e 
indagações lúdicas 
sobre o tema em 
estudo, se forem 
necessárias;
SAIBA MAIS: 
textos, referências 
bibliográficas e links 
para aprofundamen-
to do seu conheci-
mento;
REFLITA:
se houver a neces-
sidade de chamar a 
atenção sobre algo 
a ser refletido ou dis-
cutido sobre;
ACESSE: 
se for preciso aces-
sar um ou mais sites 
para fazer download, 
assistir vídeos, ler 
textos, ouvir podcast;
RESUMINDO:
quando for preciso 
se fazer um resumo 
acumulativo das últi-
mas abordagens;
ATIVIDADES: 
quando alguma 
atividade de au-
toaprendizagem for 
aplicada;
TESTANDO:
quando o desen-
volvimento de uma 
competência for 
concluído e questões 
forem explicadas;
SUMÁRIO
Requisitos do tratamento de dados e seus agentes ..................12
Hipóteses de tratamento de dados ................................................................................... 12
Consentimento do titular ...................................................................................... 12
Cumprimento de obrigação legal .................................................................. 14
Administração Pública na execução de políticas públicas/
Realização de estudos por órgão de pesquisa ..................................... 15
Execução de contrato ............................................................................................... 16
Processo judicial ........................................................................................................... 18
Proteção da vida e tutela da saúde ................................................................ 19
Interesses legítimos do controlador .............................................................. 21
Proteção ao crédito ....................................................................................................23
Agentes de tratamento ...............................................................................................................24
Tratamento de dados sensíveis ........................................................... 27
Dados sensíveis ................................................................................................................................27
Hipóteses permitidas....................................................................................................................29
Consentimento ..................................................................................................................................29
Desnecessidade de consentimento ..............................................................29
Anonimização ...................................................................................................................................33
Tratamento de dados para fins de estudos em saúde pública ...................34
Tratamento de dados pessoais de crianças e adolescentes..........................35
Tratamento de dados pelo Poder Público ....................................... 39
Limites aplicáveis ........................................................................................................................... 39
Uso compartilhado de dados pelo Poder Público .................................................43
Controle e fiscalização .............................................................................................................. 46
Transferência internacional de dados pessoais .......................... 48
Hipóteses permitidas................................................................................................................... 48
Avaliação do nível de proteção ...........................................................................................52
Garantias contratuais para transferência de dados ...............................................54
9
UNIDADE
02
Lei Geral de Proteção de Dados Pessoais
10
INTRODUÇÃO
Conforme é sabido, a Lei Geral de Proteção de Dados Pessoais 
regulamenta todas as operações de tratamento de dados pessoais com 
o objetivo de assegurar o equilíbrio entre o incentivo à economia e a 
inovação com a proteção dos direitos fundamentais dos indivíduos, como 
a honra, a imagem, a privacidade, entre outros. 
Diante desse novo cenário legislativo e considerando a 
imprescindibilidade da LGPD para continuidade dessa nova forma de 
economia, diversos são os questionamentos acerca das normas jurídicas 
contidas em seu texto legal. Como deve ser realizada a atividade de 
tratamento dos dados? O Poder Público pode realizar o tratamento? Se 
sim, quais são as diretrizes aplicáveis? Nesta unidade, iremos obter as 
respostas dessas perguntas, visto que iremos navegar nas regras trazidas 
pela LGPD para o tratamento dos dados. Além disso, nos dedicaremos 
ao estudo dos requisitos para o tratamento dos dados sensíveis, do 
procedimento do tratamento de dados realizado pelo Poder Público e 
da transferência internacional de dados. Vamos juntos embarcar nesse 
conhecimento!
Lei Geral de Proteção de Dados Pessoais
11
OBJETIVOS
Olá. Seja muito bem-vinda (o). Nosso propósito é auxiliar você no 
desenvolvimento das seguintes objetivos de aprendizagem até o término 
desta etapa de estudos:
1. Entender as regras para o tratamento de dados e identificar os 
agentes competentes para sua execução;
2. Compreender as diretrizes do tratamento dos dadosconsiderados 
sensíveis;
3. Discernir sobre o procedimento de tratamento de dados realizado 
pelo Poder Público;
4. Identificar as hipóteses permitidas para a transferência internacional 
de dados pessoais. 
Então? Preparado para uma viagem sem volta rumo ao conhecimento? 
Ao trabalho! 
Lei Geral de Proteção de Dados Pessoais
12
Requisitos do tratamento de dados e seus 
agentes 
INTRODUÇÃO:
Ao término deste capítulo você será capaz de compreender 
as regras aplicáveis ao tratamento de dados pessoais, bem 
como de identificar os agentes competentes para executar 
essa atividade. Esse conhecimento é essencial para a 
aplicação da Lei Geral de Proteção de Dados Pessoais. 
E então? Motivado para desenvolver esta competência? 
Vamos lá.
Hipóteses de tratamento de dados
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) 
restringiu a realização do tratamento de dados às hipóteses elencadas 
em seu artigo 7º. Em vista disso, é de grande valia conhecer todas as 
possibilidades em que é autorizada a operação de dados pessoais.
Consentimento do titular 
A primeira hipótese é a do fornecimento de consentimento pelo 
titular, prevista no inciso I do art. 7º da LGPD. Desse modo, exige-se que o 
titular autorize o uso de seus dados, tendo plena consciência de todos os 
riscos e sabendo como estes serão utilizados e armazenados.
Sobre o alcance da premissa, precisas são as lições de Fegeilson 
e Siqueira:
O consentimento é o meio pelo qual o titular de dados 
pessoais tem para determinar o nível de proteção e fluxo de 
seus dados, dando sua anuência para que ocorra o tratamento 
de suas informações. Portanto, esse deve ser livre, específico 
e informado, dialogando com a disposição do art. 4º da GDPR. 
(FEGEILSON; SIQUEIRA, 2019, p. 76)
Lei Geral de Proteção de Dados Pessoais
13
Na mesma linha, tem-se a definição de consentimento trazida pela 
própria Lei, em seu art. 5º, XII, qual seja: “manifestação livre, informada e 
inequívoca pela qual o titular concorda com o tratamento de seus dados 
pessoais para uma finalidade determinada” (BRASIL, 2018).
Cabe destacar que nos casos em que os dados tenham se tornado 
de acesso público pelo titular é dispensada a exigência de consentimento, 
devendo-se, contudo, serem assegurados os direitos do titular, conforme 
§ 4º do art. 7º da Lei.
Logo, a LGDP buscou equilibrar os interesses públicos e os privados, 
uma vez que mesmo dispensando a exigência de consentimento para 
o tratamento dos dados que o titular tornou público, estabeleceu, de 
forma nítida, que todos os princípios contidos no texto legal devem ser 
observados e cumpridos (FEGEILSON; SIQUEIRA, 2019). A referida questão 
pode ser observada na figura 1 apresentada a seguir.
Figura 1 - Os efeitos da LGPD
Fonte: Elaborado pelas autoras com base Fegeilson e Siqueira, 2019, p. 12.
A esse respeito, observe os seguintes dispositivos:
Art. 7º [...]
§ 3º O tratamento de dados pessoais cujo acesso é público 
deve considerar a finalidade, a boa-fé e o interesse público 
que justificaram sua disponibilização.
Lei Geral de Proteção de Dados Pessoais
14
§ 4º É dispensada a exigência do consentimento previsto 
no caput deste artigo para os dados tornados manifestamente 
públicos pelo titular, resguardados os direitos do titular e os 
princípios previstos nesta Lei.
§ 6º A eventual dispensa da exigência do consentimento não 
desobriga os agentes de tratamento das demais obrigações 
previstas nesta Lei, especialmente da observância dos princípios 
gerais e da garantia dos direitos do titular. (BRASIL, 2018)
Com efeito, todas as demais obrigações e normas atinentes ao 
tratamento dos dados pessoais devem ser respeitadas, mesmo que não 
haja necessidade de consentimento do titular. É dizer, não é porque o 
dado se tornou público que deve ser negligenciado.
REFLITA:
Imagine que uma pessoa tem seu perfil em rede social 
aberto e com o intuito de não mais receber anúncios 
patrocinados decide tornar seu perfil privado. Ocorre que, 
mesmo com a mudança, a pessoa continua recebendo as 
propagandas e decide ingressar com ação para exigir que 
seja necessário consentimento, pois seus dados, que antes 
eram públicos, agora são privados. Como o Judiciário irá 
resolver essa questão? Como as empresas irão se portar 
em casos como esse? (FEGEILSON; SIQUEIRA, 2019).
Assim, demonstrada a primeira hipótese de cabimento de tratamento 
de dados pessoais, passa-se a estudar as demais, nas quais não será 
exigido o consentimento do titular.
Cumprimento de obrigação legal 
O tratamento de dados pessoais é cabível nos casos de atendimento 
ao interesse público, em virtude de “cumprimento de obrigação legal 
ou regulatória pelo controlador”, conforme inciso II do art. 7º da LGPD 
(BRASIL, 2018).
Lei Geral de Proteção de Dados Pessoais
15
Com efeito, essa hipótese refere-se às operações de tratamento 
de “dados necessários para a execução de políticas públicas aos órgãos 
responsáveis” (FEGEILSON; SIQUEIRA, 2019, p. 81).
EXEMPLO
Envio de informações para o recolhimento do FGTS à Caixa 
Econômica Federal e declaração de Imposto de Renda Retido na Fonte à 
Receita Federal do Brasil (FEGEILSON; SIQUEIRA, 2019).
Cabe mencionar que nessa hipótese não será exigido o consen-
timento do titular dos dados, todavia, os princípios que regem a LGPD 
devem ser observados, a fim de se assegurar os direitos do titular.
Administração Pública na execução de políticas 
públicas/Realização de estudos por órgão de pesquisa
Nos termos dos incisos III e IV, do art. 7º da Lei Geral de Proteção 
de Dados Pessoais, são autorizados os tratamentos de dados em virtude 
de interesse da Administração Pública, bem como para a realização de 
pesquisa, senão, veja:
Art. 7º [...]
III - pela administração pública, para o tratamento e uso 
compartilhado de dados necessários à execução de políticas 
públicas previstas em leis e regulamentos ou respaldadas em 
contratos, convênios ou instrumentos congêneres, observadas 
as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, 
garantida, sempre que possível, a anonimização dos dados 
pessoais;
Figura 2 - Tratamentos de dados
Interesse da 
adminstração 
pública
Tratamento de 
dados
Realização de 
pesquisas
Fonte: Elaborado pelas autoras com base em Fegeilson e Siqueira, 2019, p. 12.
Lei Geral de Proteção de Dados Pessoais
16
Ao que se depreende da leitura dos dispositivos, quando o 
tratamento de dados tiver como fundamento a execução de políticas 
públicas, em prol dos interesses da Administração Pública, este será 
autorizado. Outrossim, cumpre registrar que o Poder Público deve 
demonstrar que os dados utilizados são imprescindíveis para o exercício 
das funções públicas, sendo essa exigência importante para evitar abuso 
do Estado (FEGEILSON; SIQUEIRA, 2019).
No que concerne às atividades de pesquisa, a legislação estabelece 
que quando possível, os órgãos devem realizar a anonimização dos dados, 
ou seja, devem desvincular as informações das pessoas naturais, a ponto 
de não ser possível identificá-las.
VOCÊ SABIA?
O Conselho Superior de Inovação e Competitividade (Co-
nic), da Federação das Indústrias do Estado de São Paulo 
(Fiesp), desenvolveu um documento de grande valia para 
a proteção de dados pessoais, haja vista fomentar as boas 
práticas, mais precisamente no que se refere ao incentivo 
do empreendedorismo, o qual foi chamado de “Visão de 
Futuro” (FEGEILSON; SIQUEIRA, 2019). 
Vale salientar que nessas hipóteses o tratamento de dados será 
autorizado sem que seja necessário o consentimento do titular.
Execução de contrato
Outra hipótese autorizada para o tratamento de dados pessoais diz 
respeito à execução de contratos, em que o titular dos dados seja parte, 
de acordo com o que dispõe o art. 7º, V da LGPD (BRASIL, 2018).
Acerca do tema, elucidativos são os ensinamentos de Fegeilson e 
Siqueira:
À luz do Código Civil brasileiro,alusiva circunstância se ba-
seia na obrigação gerada por acordo de vontade entre as par-
tes, mediante parâmetro de equidade e bem comum. Regida 
Lei Geral de Proteção de Dados Pessoais
17
pelos princípios contratuais de probidade e boa-fé, a referida 
situação pauta-se na liberdade contratual, que, envolta pela 
autonomia de vontade e dos negócios jurídicos privado, as-
sim como pelo consensualismo livre e informado pelas partes, 
permite que, diante da execução de contratos válidos, o trata-
mento de dados seja feito sem reiterada validação das partes. 
(FEGEILSON; SIQUEIRA, 2019, p. 85)
Em outras palavras, o titular, enquanto consumidor ou empregado, 
aceita as condições contidas em contrato ou termos de uso, nos quais 
estão estabelecidas as formas de processamento de seus dados. 
REFLITA:
Quantas vezes você aceitou os termos de uso para fazer 
algum cadastro em site ou aplicativo sem ler o teor do 
texto? É importante refletir sobre a necessidade e relevância 
de conhecer as condições de tratamento dos dados, bem 
como as medidas de segurança utilizadas.
Na hipótese de e-commerce, é como as expressões de termos 
de uso e política de privacidade. Quanto a esse ponto, cabe frisar a 
necessidade desse documento ser apresentado de forma clara e precisa, 
pois só assim será possível que haja consentimento livre por parte do 
titular (FEGEILSON; SIQUEIRA, 2019).
Mas qual a diferença entre política de privacidade e termos de uso? 
Fegeilson e Siqueira (2019) apresentam as seguintes definições:
 • Política de privacidade: procedimentos adotados para a manu-
tenção da transparência da relação entre usuário e empresa.
 • Termos de uso: documento em que o consumidor pode aceitar 
ou recusar esses procedimentos.
Isso posto, vê-se a importância da transparência dos documentos 
como contratos e termos de uso, para que o titular dos dados dê seu 
consentimento de forma livre e consciente.
Lei Geral de Proteção de Dados Pessoais
18
Processo judicial
O tratamento dos dados pessoais será autorizado “para o exercício 
regular de direitos em processo judicial, administrativo ou arbitral”, 
conforme estabelecido pelo inciso VI do art. 7º da LGDP (BRASIL, 2018) e 
ainda, analisado a partir da figura 3 abaixo. 
Figura 3 - Aspectos do tratamento dos dados pessoais
Processo judicial
Processo 
administrativo
Tratamento dos 
dados pessoais
Processo Arbitral
Fonte: Elaborado pelas autoras com base em Brasil, 2018.
De princípio, é importante ressaltar que os julgamentos do Poder 
Judiciário deverão ser públicos, a fim de que seja assegurado o interesse 
público à informação. Para que não haja dúvida, observe-se a redação do 
inciso IX do art. 93 da Constituição Federal:
Art. 93
IX todos os julgamentos dos órgãos do Poder Judiciário serão 
públicos, e fundamentadas todas as decisões, sob pena de 
nulidade, podendo a lei limitar a presença, em determinados 
atos, às próprias partes e a seus advogados, ou somente a 
estes, em casos nos quais a preservação do direito à intimidade 
do interessado no sigilo não prejudique o interesse público à 
informação; (BRASIL, 1988)
Infere-se do dispositivo que, em pese haver determinação da 
publicidade dos atos do processo judicial, existe ressalva dessa norma 
para a proteção do direito à intimidade das partes. Corroborando tal 
disposição, o §3º do art. 7º prevê a necessidade de haver boa-fé, finalidade 
específica e o interesse público nesses casos (BRASIL, 2018).
Lei Geral de Proteção de Dados Pessoais
19
Desse modo, deve haver equilíbrio entre a publicidade prevista 
no art. 93 da Carta Magna e a privacidade dos indivíduos, de sorte que 
sempre que houver tratamento de dados no âmbito dos processos, é 
preciso respeitar a intimidade, vida privada, honra e imagem das pessoas, 
em conformidade com o direito fundamental consagrado no inciso X do 
art. 5º da Constituição Federal (BRASIL, 1988).
Sobre o tema, já existem decisões que determinam a motivação 
para o tratamento e publicidade dos dados, com o fito de que não haja 
divulgação de dados que possam afrontar os direitos individuais das 
pessoas (FEGEILSON; SIQUEIRA, 2019).
Proteção da vida e tutela da saúde
A Lei Geral de Proteção de Dados Pessoais, com o intuito de assegurar 
a promoção da saúde, determinou que são autorizados os tratamentos de 
dados pessoais para a “proteção da vida ou da incolumidade física do titular 
ou de terceiros” (art. 7º, VII) e para a “tutela da saúde, exclusivamente, em 
procedimento realizado por profissionais de saúde, serviços de saúde ou 
autoridade sanitária (art. 7º, VIII) (BRASIL, 2018).
IMPORTANTE:
O direito à vida é um direito fundamental, consagrado 
pelo art. 5º da Constituição Federal. Por sua vez, o direito à 
saúde é um direito social, previsto no art. 6º da Carta Magna 
(BRASIL, 1998).
No que se refere à saúde, é importante apontar que a regulamentação 
do direito social à saúde é feita pela Lei Federal nº 8.080/1990. Essa 
legislação elenca como alguns de seus princípios direitos importantes 
para a privacidade das pessoas, veja:
Art. 7º As ações e serviços públicos de saúde e os serviços 
privados contratados ou conveniados que integram o Sistema 
Único de Saúde (SUS), são desenvolvidos de acordo com 
Lei Geral de Proteção de Dados Pessoais
20
as diretrizes previstas no  art. 198 da Constituição Federal, 
obedecendo ainda aos seguintes princípios
III - preservação da autonomia das pessoas na defesa de sua 
integridade física e moral;
V - direito à informação, às pessoas assistidas, sobre sua saúde;
VI - divulgação de informações quanto ao potencial dos serviços 
de saúde e a sua utilização pelo usuário; (BRASIL, 1990)
Com efeito, a referida Lei além de assegurar o direito de informação, 
determina a obrigação de motivação por parte do Estado para a coleta e 
uso dos dados pessoais, conforme se observa na figura 4 a seguir.
Figura 4 - Aspectos do Direito Social à Saúde
Autonomia
Informação
Lei Federal nº 
8.080/90
Divulgação de 
informações
Fonte: Elaborado pelas autoras com base em Brasil, 1990.
Segundo Fegeilson e Siqueira (2019), “a ideia é que os dados 
tratados em âmbito da saúde sirvam para garantir a qualidade de vida da 
sociedade e a redução de riscos ao adoecimento” (FEGEILSON; SIQUEIRA, 
2019, p. 92).
Noutros termos, a LGPD procurou assegurar a vida e a saúde 
através da possibilidade de tratamento de dados pessoais sem que 
seja necessário o consentimento do titular, desde que seja realizado por 
profissionais da área ou entidades sanitárias.
A GDPR, por sua vez, foi mais abrangente, uma vez que permite que 
a própria administração, conjuntamente com as autoridades sanitárias ou 
pessoas que sejam obrigadas a manter o sigilo profissional, utilize dados 
pessoais de saúde, genéticos ou biométricos (FEGEILSON; SIQUEIRA, 2019).
Lei Geral de Proteção de Dados Pessoais
21
REFLITA:
O que será que o legislador quis expressar com a utilização 
do termo “profissionais de saúde”? Médicos, enfermeiros, 
mas também terceirizados, associados e administradores? 
Por fim, é relevante mencionar que o Código de Ética Médica traz 
o que chamamos de sigilo profissional, a fim de assegurar a privacidade 
dos pacientes e sempre que possível proceder com a anonimização dos 
dados pessoais. Assim é que se pode afirmar que o tratamento de dados 
pessoais no âmbito da saúde também está sujeito às sanções constantes 
na LGPD (FEGEILSON; SIQUEIRA, 2019).
Interesses legítimos do controlador
Outra hipótese autorizadora dos tratamentos de dados pessoais 
sem necessidade de consentimento do titular ocorre “quando necessário 
para atender aos interesses legítimos do controlador ou de terceiro, 
exceto no caso de prevalecerem direitos e liberdades fundamentais do 
titular que exijam a proteção dos dados pessoais”, conforme prevê o inciso 
IX do art. 7º da LGPD (BRASIL, 2018).
REFLITA:
Mas o que o legislador quer dizer com interesses legítimos 
do controladorou de terceiro?
O artigo 10 da Lei Geral de Proteção de Dados Pessoais elenca uma 
série de situações em que estará configurado o legítimo interesse, todavia, 
trata-se apenas de um rol exemplificativo. Observe a dicção do artigo:
Art. 10. O legítimo interesse do controlador somente poderá 
fundamentar tratamento de dados pessoais para finalidades 
legítimas, consideradas a partir de situações concretas, que 
incluem, mas não se limitam a:
I - apoio e promoção de atividades do controlador; e
Lei Geral de Proteção de Dados Pessoais
22
II - proteção, em relação ao titular, do exercício regular de 
seus direitos ou prestação de serviços que o beneficiem, 
respeitadas as legítimas expectativas dele e os direitos e 
liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse 
do controlador, somente os dados pessoais estritamente 
necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a 
transparência do tratamento de dados baseado em seu 
legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador 
relatório de impacto à proteção de dados pessoais, quando 
o tratamento tiver como fundamento seu interesse legítimo, 
observados os segredos comercial e industrial.
Ao que se depreende, o legislador buscou trazer um conceito 
amplo, a fim de incentivar o desenvolvimento econômico e a inovação. 
Isso porque, caso fosse necessário o consentimento do titular em qualquer 
atividade da empresa, haveria uma burocratização enorme, que, por si só, 
tornaria inviável o negócio (FEGEILSON; SIQUEIRA, 2019).
Por outro lado, é preciso que exista um equilíbrio entre os interesses 
do controlador ou terceiro com os interesses do titular dos dados, na medida 
em que é necessário que exista, ainda, a proteção de sua privacidade.
Figura 5 - Proteção da privacidade e interesse das partes
Fonte: Elaborado pelas autoras com base em Fegeilson e Siqueira, 2019, p. 34.
Lei Geral de Proteção de Dados Pessoais
23
Em outras palavras, “é preciso analisar se além do interesse 
do responsável pelos dados há interesses coletivos que ratificam a 
necessidade de tratamento desses” (FEGEILSON; SIQUEIRA, 2019, p. 113).
Ademais, o controlador deverá preparar relatório, com o fito de 
demonstrar a finalidade e o legítimo interesse, bem como proceder com 
a anonimização dos dados sempre que possível.
Proteção ao crédito
A última hipótese para o tratamento dos dados pessoais trazida 
pela LGPD é a de proteção do crédito, conforme dispõe o inciso X do art. 
7º da Lei (BRASIL, 2018).
Quanto a este ponto, você se lembra quando, na Unidade I, 
estudamos a Lei do Cadastro Positivo? Essa Lei trouxe a possibilidade de 
processamento e armazenamento de dados pessoais, com o objetivo de 
melhorar a análise de crédito. 
Viu-se, também, que a Lei do Cadastro Positivo previa a possibilidade 
de uso dos dados sem autorização prévia do titular, apenas estabelecendo 
a necessidade de informá-lo dentro de 30 (trinta) dias, conforme art. 4º, 
§4º, I da Lei (BRASIL, 2011b).
Em vista disso, torna-se evidente que a Lei Geral de Proteção 
de Dados Pessoais manteve a possibilidade de uso dos dados para a 
proteção do crédito nos mesmos moldes que a Lei do Cadastro Positivo.
IMPORTANTE:
No que concerne ao uso de cartões de crédito, cabe 
destacar que o uso indevido dos dados nesses casos 
gera a responsabilidade objetiva da instituição financeira 
(FEGEILSON; SIQUEIRA, 2019).
Logo, percebe-se que a LGPD trouxe normas que protegem o 
direito de privacidade dos indivíduos, além de estabelecer as sanções em 
Lei Geral de Proteção de Dados Pessoais
24
casos de descumprimento até para os casos em que é possível realizar o 
tratamento sem o consentimento do titular.
Agentes de tratamento
Os agentes de tratamento são as pessoas competentes para 
exercer a atividade de operação de tratamento de dados pessoais e, por 
esse motivo, devem seguir uma série de obrigações contidas na Lei Geral 
de Proteção de Dados Pessoais.
Vamos relembrar os conceitos de agentes de tratamento, 
controlador e operador? A LGPD fixa como agentes de tratamento o 
controlador e o operador (art. 5º, IX), sendo o primeiro “pessoa natural 
ou jurídica, de direito público ou privado, a quem competem as decisões 
referentes ao tratamento de dados pessoais (Art. 5º, VI) e o segundo é 
a “pessoa natural ou jurídica, de direito público ou privado, que realiza 
o tratamento de dados pessoais em nome do controlador” (Art. 5º, VII) 
(BRASIL, 2018).
Uma das obrigações exigidas para o controlador é a de registrar 
todas as operações de tratamento (art. 37, LGPD), logo deve este manter 
a atualização de todas as informações referentes ao tratamento, como 
o tipo de dado utilizado, quais foram os agentes responsáveis, qual a 
hipótese autorizadora do tratamento, entre outros elementos capazes de 
viabilizar a fiscalização (FEGEILSON; SIQUEIRA, 2019).
Noutros termos, a LGPD tomou o cuidado de tornar possível a 
verificação do cumprimento de suas regras, principalmente no que se 
refere aos princípios gerais da proteção de dados. 
Ressalte-se que quando o tratamento de dados decorre do legítimo 
interesse do controlador, é preciso ter mais cautela na feitura do relatório, 
visto que é preciso provar o interesse legítimo nesses casos.
Com o fito de assegurar o princípio da prevenção, foi fixada a 
possibilidade de elaboração de relatório de impacto, conforme determina 
o art. 38.
Lei Geral de Proteção de Dados Pessoais
25
Art. 38. A autoridade nacional poderá determinar ao controlador 
que elabore relatório de impacto à proteção de dados pessoais, 
inclusive de dados sensíveis, referente a suas operações de 
tratamento de dados, nos termos de regulamento, observados 
os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, 
o relatório deverá conter, no mínimo, a descrição dos tipos 
de dados coletados, a metodologia utilizada para a coleta 
e para a garantia da segurança das informações e a análise 
do controlador com relação a medidas, salvaguardas e 
mecanismos de mitigação de risco adotados. (BRASIL, 2018)
Vê-se, portanto, que o relatório de impacto visa tornar mais 
acessível a verificação das medidas de segurança e preventivas tomadas 
pelos agentes de tratamento, sendo relevante destacar que os segredos 
comerciais e indústrias não precisam constar no relatório.
Por outro lado, o operador deve seguir todos os comandos do 
controlador, que deve atuar em conformidade com a LGPD (art. 39). 
Em relação aos parâmetros de interoperabilidade e regras específicas 
do relatório de impacto, ainda depende de instituição da ANPD, que 
estudaremos em breve, e de uma regulamentação própria (Art. 40) 
(BRASIL, 2018). 
Por fim, vale mencionar a figura do encarregado, que deve ser 
indicado pelo controlador e ter sua identidade e dados divulgados, a fim 
de manter a transparência, de acordo com art. 41, caput e §1º da LGPD 
(BRASIL, 2018).
De acordo com o inciso VIII do art. 5º da LGPD, o encarregado é a 
“pessoa indicada pelo controlador e operador para atuar como canal de 
comunicação entre o controlador, os titulares dos dados e a Autoridade 
Nacional de Proteção de Dados (ANPD)” (BRASIL, 2018). 
Cabe registrar que o encarregado será responsável por exercer 
as funções de comunicação entre o titular, receber reclamações e 
informações da ANPD, orientar funcionários (§2º, art. 41, LGPD), podendo 
Lei Geral de Proteção de Dados Pessoais
26
a autoridade nacional estabelecer normas complementares sobre essas 
atribuições (§3º, art. 41, LGPD) (BRASIL, 2018).
RESUMINDO:
E então? Gostou do que lhe mostramos? Aprendeu tudo? 
Agora, só para termos certeza de que você realmente 
entendeu o tema de estudo deste capítulo, vamos resumir 
tudo o que vimos. Você deve ter aprendido as hipóteses 
em que se autoriza o tratamento de dados,quais sejam: 
fornecimento de consentimento pelo titular; cumprimento 
de obrigação legal ou regulatória; efetivação das políticas 
públicas; pesquisa; execução de contrato; exercício dos 
direitos nos processos judiciais, administrativos e arbitrais; 
proteção da vida e incolumidade do titular; tutela da 
saúde; interesse legítimo do controlador ou terceiro e 
para proteção de crédito. Viu também que os agentes de 
tratamento se dividem em controlador, que é responsável 
por tomar as decisões referentes ao tratamento; e 
operador, que realiza a operação de tratamento conforme 
as ordens do controlador. Além do mais, você aprendeu 
que uma das obrigações do controlador é manter o registro 
das operações de tratamento, de modo a viabilizar a 
fiscalização. Por sua vez, o relatório de impacto pode ser 
exigido para assegurar o princípio da prevenção. Por fim, 
viu que o encarregado serve como canal de comunicação 
entre o controlador e os titulares de dados, bem como com 
a ANPD.
Lei Geral de Proteção de Dados Pessoais
27
Tratamento de dados sensíveis
INTRODUÇÃO:
A Lei Geral de Proteção de Dados Pessoais trouxe uma 
proteção máxima aos chamados dados pessoais sensíveis, 
em virtude da possibilidade de mau uso desses dados. 
Neste capítulo, iremos compreender o que significa o 
dado sensível e estudar as diretrizes para o seu tratamento. 
Prontos? Vamos lá.
Dados sensíveis
Quando as pessoas jurídicas coletam e tratam dos dados pessoais, 
é comum que tracem um perfil de cada indivíduo, através de análise 
de curtidas, acessos, pesquisas e últimas compras, por exemplo. Essas 
empresas, ressalto, praticam essas atividades com o intuito de entender 
melhor os interesses dos consumidores e com isso estabelecerem 
estratégias de venda.
Sobre a influência dos dados na vida das pessoas, Bioni expõe:
Doutrina-se a pessoa com um conteúdo e uma informação 
que giram em torno dos interesses inferidos por intermédio 
dos seus dados, formando-se uma bolha que impossibilita o 
contato com informações diferentes, ocasionais e fortuitas, 
que escapariam dessa catalogação. A conjugação dessas 
diversas variáveis evidencia que a proteção dos dados pessoais 
tangencia o próprio rumo da vida das pessoas, perpassando, 
transversalmente, os seus mais variados contatos sociais. 
Desde a celebração de contratos e o ato do consumo à – até 
mesmo – busca pelo acesso à informação. (BIONI, 2020, p. 121)
Ocorre que, a partir disso, irão ter em mãos informações sensíveis 
dos indivíduos. Para Bioni (2020), os dados pessoais sensíveis “são uma 
espécie de dados pessoais que compreendem uma tipologia diferente 
Lei Geral de Proteção de Dados Pessoais
28
em razão de o seu conteúdo oferecer uma especial vulnerabilidade: 
discriminação” (BIONI, 2020, p. 118).
Cumpre registrar que os dados sensíveis são assim considerados por 
estarem relacionados com a personalidade da pessoa humana, ou seja, 
por trazerem consigo informações muito pessoais sobre os indivíduos.
A Lei Geral de Proteção de Dados Pessoais, em seu art. 5º, II, trouxe 
a definição de dado pessoal sensível: “dado pessoal sobre origem racial 
ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a 
organização de caráter religioso, filosófico ou político, dado referente à 
saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a 
uma pessoa natural” (BRASIL, 2018).
Para Fegeilson e Siqueira (2019, p. 114), os dados sensíveis podem 
ser divididos da forma apresentada na figura 6 a seguir.
Figura 6 – Dados sensíveis
Sensível de origem
Sensível sexual
Sensível de crenças
Sensível corporal
Fonte: Elaborado pelas autoras com base em Fegeilson e Siqueira, 2019, p. 114.
Assim, os dados sensíveis, por revelarem muito da personalidade 
das pessoas, têm grandes chances de serem utilizados para fins 
discriminatórios. Nesse ponto, cumpre ressaltar que a proteção desse 
tipo de dado se encontra em conformidade com o fundamento do livre 
desenvolvimento da personalidade das pessoas naturais (art. 2º, VII, 
LGPD), bem como da isonomia (BIONI, 2020).
Em vista disso, pode-se afirmar que a definição trazida pela LGPD 
não é taxativa, uma vez que sempre que houver um dado muito importante 
para o desenvolvimento da personalidade das pessoas, bem como de 
outros princípios, deverá este ser considerado sensível (FEGEILSON; 
SIQUEIRA, 2019).
Lei Geral de Proteção de Dados Pessoais
29
Partindo do fato de que os dados sensíveis são extremamente 
importantes e devem ser protegidos, a Lei Geral de Proteção de Dados 
Pessoais trouxe regras específicas para o tratamento destes, as quais 
serão vistas a seguir.
Hipóteses permitidas
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), 
conferindo máxima proteção aos dados sensíveis, elencou, em seu art. 
11, todas as hipóteses permitidas para o tratamento dos dados pessoais 
sensíveis.
Consentimento
A primeira hipótese permitida para a operação de tratamento de 
dados sensíveis consiste na exigência de consentimento do titular ou seu 
responsável legal, especialmente para finalidades específicas. Importante 
consignar que o consentimento deve ser feito “de forma específica e 
destacada”, o que significa dizer que deve haver transparência na sua 
autorização, conforme art. 11, I, LGPD (BRASIL, 2018).
SAIBA MAIS:
Quanto a esse ponto, a LGPD também se inspirou na 
legislação europeia. Para entender mais sobre o que dispõe 
a RGPD, leia o art. 51 desta clicando aqui.
Trata-se de uma via de mão dupla, eis que as pessoas jurídicas 
devem ser transparentes nas informações prestadas aos titulares em 
relação aos dados que serão tratados e explicar o motivo, ao passo em 
que os titulares devem também consentir de forma clara e detalhada.
Desnecessidade de consentimento
Como se sabe, o consentimento do titular é uma exigência comum 
para o tratamento dos dados pessoais. No entanto, existem alguns casos 
em que esse requisito é dispensado, em prol de outros direitos importantes. 
Lei Geral de Proteção de Dados Pessoais
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679http://
30
No que se refere aos dados sensíveis, a LGPD também estabeleceu uma 
série de hipóteses em que não será necessário o consentimento do titular. 
Vamos estudá-las? 
Cumprimento de obrigação legal ou regulatória do controlador
O tratamento de dados sensíveis, com a finalidade de cumprimento 
de obrigação legal ou regulatória do controlador, pode ser feito sem a 
necessidade de consentimento do titular, conforme art. 11, II, a da LGPD, 
em razão do interesse público envolvido nessas atividades (BRASIL, 2018).
Cumpre destacar que, em que pese não se exigir o consentimento 
nesses casos, é preciso dar publicidade a essa dispensa de consentimento, 
de acordo com o previsto no §2º, art. 11 da LGPD (BRASIL, 2018).
Políticas públicas
Essa previsão se encontra na alínea b do inciso II do art. 11 da Lei 
Geral de Proteção de Dados Pessoais, que dispõe sobre a possibilidade 
de tratamento de dados sensíveis “necessários à execução, pela 
administração pública, de políticas públicas previstas em leis ou 
regulamentos”. Por ser realizado pela Administração Pública, a hipótese 
em tela está pautada no interesse público (BRASIL, 2018).
À vista disso, também se aplica à hipótese, o §2º do referente 
artigo, que determina a necessidade de publicidade dessa dispensa de 
consentimento. Nesse ponto, impende destacar que “o titular deve ser 
informado acerca do tratamento de seus dados, inclusive sobre a coleta, 
armazenamento e classificação” (FEGEILSON; SIQUEIRA, 2019, p. 118).
Pesquisa
É permitida a operação com dados sensíveis, sem necessidade 
de consentimento do titular, para a “realização de estudos por órgão de 
pesquisa, garantida, sempre que possível, a anonimização dos dados 
pessoais sensíveis”, conforme prevê a alínea c do inciso II do art. 11 da 
LGPD (BRASIL, 2018).
Órgão de pesquisa é todo “órgão ou entidadeda administração 
pública direta ou indireta ou pessoa jurídica de direito privado sem fins 
lucrativos legalmente constituída sob as leis brasileiras, com sede e 
Lei Geral de Proteção de Dados Pessoais
31
foro no País, que inclua em sua missão institucional ou em seu objetivo 
social ou estatutário a pesquisa básica ou aplicada de caráter histórico, 
científico, tecnológico ou estatístico”, de acordo com o art. 5º,  XVIII da 
LGPD (BRASIL, 2018).
Processos
Mais uma possibilidade de uso de dados sensíveis, sem que seja 
preciso solicitar consentimento do titular, são aqueles destinados ao 
“exercício regular de direitos, inclusive em contrato e em processo judicial, 
administrativo e arbitral”, nos termos da alínea d do inciso II do art. 11 da 
LGPD (BRASIL, 2018).
A arbitragem “consiste num acordo de vontades para criação de um 
juízo privado não pertencente à jurisdição estatal, escolhido pelas partes 
para dirimirem questões presentes ou futuras sobre direitos disponíveis” 
(FEGEILSON; SIQUEIRA, 2019, p. 119-120).
Proteção da vida
A Lei Geral de Dados Pessoais também se preocupou em assegurar 
direitos importantes, como o direito à vida e à incolumidade física, 
portanto, em seu art. 11, II e dispõe que será permitido o tratamento de 
dados sensíveis nos casos de “proteção da vida ou da incolumidade física 
do titular ou de terceiro” (BRASIL, 2018).
Ressalte-se que o direito à vida e o direito à incolumidade física 
são direitos fundamentais, consagrados no caput e inciso II do art. 5º da 
Constituição Federal (BRASIL, 1988).
Tutela da saúde
Mais uma hipótese relacionada com o interesse público é a da “tutela 
da saúde, exclusivamente, em procedimento realizado por profissionais 
de saúde, serviços de saúde ou autoridade sanitária”, de acordo com o 
que dispõe o art. 11, II, f da LGPD (BRASIL, 2018).
Prevenção
Por fim, tem-se a hipótese relacionada às medidas preventivas e de 
segurança. Observe o que dispõe o art. 11, II, g da LGPD:
Lei Geral de Proteção de Dados Pessoais
32
g) garantia da prevenção à fraude e à segurança do titular, 
nos processos de identificação e autenticação de cadastro em 
sistemas eletrônicos, resguardados os direitos mencionados 
no art. 9º desta Lei e exceto no caso de prevalecerem direitos 
e liberdades fundamentais do titular que exijam a proteção 
dos dados pessoais. (BRASIL, 2018)
Infere do dispositivo que embora a legislação esteja preocupada 
com a adoção de medidas de segurança e prevenção de danos, é certo 
que apresenta uma exceção para os casos de prevalência dos direitos 
fundamentais do titular.
REFLITA:
Não houve nenhuma definição acerca do legítimo interesse 
do controlador nem como, na prática, pode ser identificado o 
caso de prevalência dos direitos fundamentais ao interesse 
legítimo. Como essa lacuna será sanada? (FEGEILSON; 
SIQUEIRA, 2019).
Vale salientar que nos casos em que o objetivo do tratamento 
de dados sensíveis seja econômico, no qual, como visto, depende 
de consentimento do titular, a autoridade nacional pode vedar “a 
comunicação ou o uso compartilhado de dados pessoais sensíveis entre 
controladores com o objetivo de obter vantagem econômica”, conforme 
previsão contida no §3º, do art. 11 da Lei (BRASIL, 2018).
Além disso, o art. 11 apresenta outra vedação, dessa vez, relacionada 
à saúde, veja:
§ 4º É vedada a comunicação ou o uso compartilhado entre 
controladores de dados pessoais sensíveis referentes à 
saúde com objetivo de obter vantagem econômica, exceto 
nas hipóteses relativas a prestação de serviços de saúde, de 
assistência farmacêutica e de assistência à saúde, desde que 
observado o § 5º deste artigo, incluídos os serviços auxiliares 
de diagnose e terapia, em benefício dos interesses dos 
titulares de dados, e para permitir: 
Lei Geral de Proteção de Dados Pessoais
33
I - a portabilidade de dados quando solicitada pelo titular; ou 
II - as transações financeiras e administrativas resultantes do 
uso e da prestação dos serviços de que trata este parágrafo. 
§ 5º É vedado às operadoras de planos privados de assistência 
à saúde o tratamento de dados de saúde para a prática de 
seleção de riscos na contratação de qualquer modalidade, 
assim como na contratação e exclusão de beneficiários. 
(BRASIL, 2018) 
Sobre o tema, Fegeilson e Siqueira (2019) pontuam que esse 
dispositivo se refere à preocupação com o uso de dados sensíveis 
relacionadas às políticas comerciais no ramo da saúde e, portanto, visa 
proteger o particular. 
Anonimização 
Como já visto anteriormente, a anonimização é o procedimento 
em que o dado deixa de ser direto ou indiretamente relacionado à uma 
pessoa, ou seja, depois da anonimização, não é possível identificar um 
indivíduo a partir do dado.
Ocorre que esse procedimento é visto como algo falível, uma vez 
que os atributos dos dados capazes de identificar uma pessoa não podem 
ser completamente eliminados do banco de dados (BIONI, 2020).
Pois bem. A Lei Geral de Proteção de Dados Pessoais, em seu art. 
12, previu duas hipóteses em que a anonimização pode ser revertida 
e, portanto, deveriam ser observadas as normas atinentes aos dados 
pessoais. Veja a redação do artigo:
Art. 12. Os dados anonimizados não serão considerados dados 
pessoais para os fins desta Lei, salvo quando o processo 
de anonimização ao qual foram submetidos for revertido, 
utilizando exclusivamente meios próprios, ou quando, com 
esforços razoáveis, puder ser revertido. (BRASIL, 2018)
Ao que se vê, o legislador estabeleceu que os dados anonimizados, 
comprovadamente definitivos, ou seja, que não possam ser revertidos, 
Lei Geral de Proteção de Dados Pessoais
34
não são considerados como dados pessoais. Logo, caberá ao controlador 
adotar a forma de demonstrar que não é possível a reversão (FEGEILSON; 
SIQUEIRA, 2019). 
Outrossim, devem ser considerados o tempo e custo necessários 
para a reversão da anonimização, conforme §1º do art. 12 da Lei nº 
13.709/2018 (BRASIL, 2018).
Cumpre destacar que, nos termos do §2º, art. 12 da LGPD, serão 
considerados dados pessoais todos aqueles utilizados para traçar o perfil 
comportamental dos indivíduos (BRASIL, 2018).
Profiling consiste na utilização de dados de uma pessoa para formar 
um perfil sobre esta. Ressalte-se que “tudo é calibrado com base nesses 
estereótipos; inclusive, o próprio conteúdo acessado na internet” (BIONI, 
2020, p. 122).
Desse modo, levando em conta que o dado anonimizado só será 
assim considerado se não puder ser revertido, a LGPD estabeleceu que 
“o dado será considerado como anonimizado por meio do critério de 
segurança da preservação da sua dissociação em relação aos titulares 
(FEGEILSON; SIQUEIRA, 2019, p. 127).
Tratamento de dados para fins de estudos 
em saúde pública 
A Lei Geral de Proteção de Dados Pessoais, dando importância ao 
direito social à saúde, previsto no art. 6º da Constituição Federal (BRASIL, 
1988), permitiu o uso de dados para fins de realização de estudos em 
saúde pública, desde que se mantenha o controle e a adoção de todas as 
medidas de segurança e proteção dos dados. 
Leia com atenção o artigo 13 da LGPD.
Art. 13. Na realização de estudos em saúde pública, os 
órgãos de pesquisa poderão ter acesso a bases de dados 
pessoais, que serão tratados exclusivamente dentro do órgão 
e estritamente para a finalidade de realização de estudos e 
pesquisas e mantidos em ambiente controlado e seguro, 
Lei Geral de Proteção de Dados Pessoais
35
conforme práticas de segurança previstas em regulamento 
específico e que incluam, sempre que possível, a anonimização 
ou pseudonimização dos dados, bem como considerem os 
devidos padrões éticos relacionados a estudos e pesquisas. 
(BRASIL, 2018)
A máxima atenção dada pela LGPD à utilização de dados pessoais 
no âmbito da saúde tem fundamento no fato de que todos os dias dados 
sensíveis de pacientes são coletados no Brasil (FEGEILSON; SIQUEIRA, 2019).
Nesseponto, cabe ressaltar que o artigo trouxe o incentivo tanto 
à anonimização quanto à pseudonimização, quando possível, a fim de 
trazer mais proteção aos dados.
“A pseudonimização é o tratamento por meio do qual um dado 
perde a possibilidade de associação, direta ou indireta, a um indivíduo, 
senão pelo uso de informação adicional mantida separadamente pelo 
controlador em ambiente controlado e seguro”, conforme §4º do art. 13 da 
LGPD (BRASIL, 2018).
Nos termos do §1º do art. 13, não será permitida a divulgação de 
dados pessoais nas publicações de estudos ou resultados de pesquisas. 
Além do mais, também é vedada a transferência dos dados para outras 
pessoas, sendo de responsabilidade do órgão de pesquisa a segurança 
dessas informações, conforme estabelecido pelo §2º do art. 13 da Lei 
(BRASIL,2018).
Por fim, impende mencionar que o §3º do art. 13 da Lei nº 
13.709/2018, determina que o acesso aos dados será regulamentado pela 
ANPD e “das autoridades da área de saúde e sanitária, no âmbito de suas 
competências” (BRASIL, 2018).
Tratamento de dados pessoais de crianças 
e adolescentes
De início, é importante destacar que cada vez mais cedo, as crianças 
e adolescentes estão tendo acesso aos dispositivos eletrônicos, como 
celular, tablet e notebook, muitas vezes sem supervisão de seus pais.
Lei Geral de Proteção de Dados Pessoais
36
Nesse cenário, a LGPD buscou estabelecer regras, a fim de conferir 
mais proteção dos dados pessoais de crianças e de adolescentes. Assim, 
determinou que nesses casos o tratamento deve ser feito de acordo com 
seu melhor interesse, conforme art. 14 (BRASIL, 2018).
Segundo Fegeilson e Siqueira, o legislador, ao utilizar a expressão 
“melhor interesse”, optou por salvaguardar tanto aquilo que não prejudique, 
mas que também não traga benefícios ao menor de idade (FEGEILSON; 
SIQUEIRA, 2019).
Criança é “a pessoa até doze anos de idade incompletos, e 
adolescente aquela entre doze e dezoito anos de idade”, nos termos do 
artigo 2º do Estatuto da Criança e do Adolescente (BRASIL, 1990).
Com efeito, para que seja realizado o tratamento de dados 
de criança, é exigido o consentimento específico e em destaque do 
responsável legal ou um dos pais, haja vista que o menor não tem tanto 
discernimento sobre os riscos, conforme dispõe o §1º do art. 14 da LGPD 
(BRASIL, 2018).
Ressalte-se que a exigência não recai sobre os adolescentes, 
uma vez que o parágrafo apenas citou a figura da criança, menor de 12 
(doze) anos de idade. Por outro lado, o controlador deve adotar medidas 
capazes de reconhecer se o consentimento está sendo dado pelo pai ou 
responsável, como estabelece o §5º do art. 14 da LGPD (BRASIL, 2018).
A exceção da referida regra é prevista no §3º e se refere aos casos 
em que
a coleta for necessária para contatar os pais ou o responsável 
legal, utilizados uma única vez e sem armazenamento, ou para 
sua proteção, e em nenhum caso poderão ser repassados a 
terceiro sem o consentimento de que trata o §1º deste artigo. 
(BRASIL, 2018)
Infere-se, portanto, que o afastamento da necessidade de 
consentimento ocorrerá nos casos em que a coleta do dado seja 
imprescindível para a proteção à vida, incolumidade etc. e, assim que 
Lei Geral de Proteção de Dados Pessoais
37
a finalidade for atingida, deve-se finalizar o tratamento (FEGEILSON; 
SIQUEIRA, 2019).
Além do mais, todos os dados e seus tratamentos devem ser 
públicos, para uma maior fiscalização por parte dos pais e responsáveis 
das crianças, de acordo com o que determina o §2º do art. 14 da LGPD 
(BRASIL, 2018).
De mais a mais, os controladores são vedados de trazer qualquer tipo 
de obrigatoriedade do consentimento, como pelo vínculo ao uso de jogos. 
Noutros termos, não pode existir coação da autorização do uso dos dados 
para que seja disponibilizado o serviço, conforme seu §4º (BRASIL, 2018).
Por fim, nos termos do §6º, todas as informações atinentes ao 
tratamento de dados pessoais de criança e adolescentes deve ser 
clara, precisa e acessível, considerando a capacidade intelectual destes 
(BRASIL, 2018).
Lei Geral de Proteção de Dados Pessoais
38
RESUMINDO:
Você aprendeu neste capítulo que os dados sensíveis são 
assim considerados por revelar atributos da personalidade 
dos indivíduos e, portanto, apresentam a vulnerabilidade 
de serem utilizados com fins discriminatórios, logo, 
merecem atenção especial. Viu-se que a LGPD elenca as 
hipóteses permitidas para o tratamento de dados sensíveis, 
quais sejam: por consentimento específico do titular; sem 
necessidade de consentimento nos casos de cumprimento 
de obrigação legal ou regulatória do controlador; 
exercício de políticas públicas; efetivação de direitos nos 
processos judiciais, administrativos e arbitrais; proteção à 
vida; tutela da saúde e prevenção de fraude. Também foi 
analisada a possibilidade de vedação da comunicação 
e compartilhamento dos dados para fins econômicos. 
Outrossim, identificou-se as hipóteses de reversão do 
procedimento de anonimização dos dados, em que seria 
possível identificar os indivíduos, sendo importante recordar 
que só são considerados anonimizados os dados que não 
apresentem essa possibilidade de reversão. Viu-se também 
que é permitido o uso de dados para estudos sobre saúde 
pública, sendo vedada a divulgação dos dados sensíveis, 
bem como a transferência para terceiros e sendo o órgão 
de pesquisa responsável pela segurança das informações. 
Por fim, viu-se as regras atinentes ao tratamento de dados 
pessoais de crianças e adolescentes, o qual necessita de 
consentimento específico do pai ou responsável, em caso 
de criança, e de forma transparente.
Lei Geral de Proteção de Dados Pessoais
39
Tratamento de dados pelo Poder Público
INTRODUÇÃO:
Neste capítulo você irá discernir sobre o procedimento de 
tratamento de dados pessoais realizado pelo Poder Público. 
É importante que se conheça todas as regras relacionadas 
a essas operações, haja vista apresentar particularidades. 
Então? Está pronto para desenvolver essa competência? 
Vamos lá! 
Limites aplicáveis
Como já vimos, o tratamento de dados pessoais pelo Poder Público 
não observará as regras comuns da Lei Geral de Proteção de Dados 
Pessoais. Isso porque a legislação, buscando assegurar o interesse 
público envolvido no tratamento dos dados realizado pela Administração 
Pública, optou por trazer um regramento específico.
Você pode se perguntar: quem são as pessoas que compõem o 
Poder Público?
A esse respeito, a LGPD, em seu artigo 23, estabeleceu que deverão 
considerar como Poder Público as pessoas jurídicas de direito público 
constantes no parágrafo único do artigo 1º da Lei de Acesso à Informação 
(BRASIL, 2018).
Leia com atenção o referido dispositivo:
Parágrafo único. Subordinam-se ao regime desta Lei:
I - os órgãos públicos integrantes da administração direta dos 
Poderes Executivo, Legislativo, incluindo as Cortes de Contas, 
e Judiciário e do Ministério Público;
II - as autarquias, as fundações públicas, as empresas públicas, 
as sociedades de economia mista e demais entidades 
controladas direta ou indiretamente pela União, Estados, 
Distrito Federal e Municípios. (BRASIL, 2011a) 
Lei Geral de Proteção de Dados Pessoais
40
Resta claro, portanto, que a LGPD buscou trazer a aplicação da Lei 
de Acesso à Informação nesses casos. Por outro lado, a Lei nº 13.709/2018 
alargou seu escopo para incluir “os serviços notariais e de registro 
exercidos em caráter privado, por delegação do Poder Público”, conforme 
§4º do art. 23, devendo os órgãos notariais e de registro disponibilizar 
acesso à Administração Pública, de acordo com o §5º (BRASIL, 2018).
No que concerne às empresas públicas e sociedades de economia 
mista, e de acordo com o art. 24 da Lei, quando atuarem em regime de 
concorrência, será aplicada as mesmas regras das pessoas jurídicas 
de direito privado, ao passo que quando estiverem realizando políticas 
públicas, terãoo mesmo tratamento das entidades de Poder Público 
(BRASIL, 2018).
NOTA:
As empresas públicas ou sociedades de economia mista 
são figuras híbridas, porquanto podem realizar atividades 
do âmbito privado, submetidas às regras do direito privado, 
bem como estarem relacionadas aos serviços públicos 
e, nesse ponto, vinculadas aos procedimentos do direito 
público (FEGEILSON; SIQUEIRA, 2019).
Acerca da aplicação da Lei de Acesso à Informação, Sousa e Franco 
discorrem:
Frisa-se que tanto a LGPD quanto a LAI são legislações voltadas 
a valor da transparência da atividade pública, pelo qual o 
cidadão, pessoa natural, está possibilitado de exercer a defesa 
de seus direitos e garantias constitucionais em desfavor do 
Estado e exercendo o efetivo controle das atividades públicas 
como modo de equilibrar a relação entre Estado e indivíduo. 
(SOUSA; FRANCO, 2020, p. 420)
Frisa-se que o tratamento dos dados pessoais pelo Poder Público 
“deverá ser realizado para o atendimento de sua finalidade pública, 
na persecução do interesse público, com o objetivo de executar as 
Lei Geral de Proteção de Dados Pessoais
41
competências legais ou cumprir as atribuições legais do serviço público”, 
nos termos do art. 23 da LGPD (BRASIL, 2018).
Em outras palavras, o legislador procurou evitar abusos por parte da 
Administração Pública, logo, limitou a coleta e o uso de dados pessoais 
às finalidades intimamente ligadas ao interesse público, sob pena de ser 
aplicado ao tratamento com fins diversos as diretrizes da LGPD aplicáveis 
às pessoas jurídicas de direito privado.
A persecução do interesse público pode ser entendida como “(i) 
à execução das competências próprias de cada órgão; ou (ii) ao devido 
cumprimento do serviço público” (FEGEILSON; SIQUEIRA, 2019, p. 174).
Além dessa exigência, o tratamento de dados pelo Poder Público 
deve atender aos requisitos presentes nos incisos I e II do art. 23 da LGPD, 
observe:
I - sejam informadas as hipóteses em que, no exercício de 
suas competências, realizam o tratamento de dados pessoais, 
fornecendo informações claras e atualizadas sobre a previsão 
legal, a finalidade, os procedimentos e as práticas utilizadas 
para a execução dessas atividades, em veículos de fácil 
acesso, preferencialmente em seus sítios eletrônicos;
III - seja indicado um encarregado quando realizarem opera-
ções de tratamento de dados pessoais, nos termos do art. 39 
desta Lei. (BRASIL, 2018)
Como se vê, no primeiro inciso há o reforço dos princípios gerais 
da transparência e do livre acesso, uma vez que o Poder Público tem a 
obrigação de prestar informações claras e precisas sobre os dados e seu 
tratamento, bem como disponibilizar meios para que os titulares possam 
ter acesso a estes.
Quanto à efetivação dos direitos do titular, a Administração Pública 
deve observar as regras contidas na Lei de Acesso à Informação, Lei de 
Habeas Data e Lei Geral do Processo Administrativo, conforme dispõe o 
§3º do art. 23 da LGPD (BRASIL, 2018).
Lei Geral de Proteção de Dados Pessoais
42
Figura 7 - Efetivação dos direitos do titular na Administração Pública
Lei de Acesso à 
Informação, Lei de 
Habeas Data e Lei 
Geral do Processo 
Administrativo
Administração 
Pública
 
Fonte: Elaborado pelas autoras com base em Fegeilson e Siqueira, 2019, p. 114.
No que se refere ao inciso segundo, vê-se que também deverá ser 
escolhido um encarregado, pessoa responsável pela comunicação entre 
os titulares, o controlador e a ANPD, que será designado pelo controlador 
e operador, de acordo com a definição contida no inciso VIII do art. 5º da 
LGPD (BRASIL, 2018).
Ressalte-se que o Poder Público deve obedecer aos princípios 
administrativos da legalidade, impessoalidade, moralidade, publicidade e 
eficiência, previsto no art. 37 da Constituição Federal (BRASIL, 1988), bem 
como os princípios da legalidade, finalidade, motivação, razoabilidade, 
proporcionalidade, moralidade, ampla defesa, contraditório, segurança 
jurídica, interesse público e eficiência, constantes no art. 2º da Lei 9.784/99 
(BRASIL, 1999). 
SAIBA MAIS:
Clique nos links a seguir e conheça todos os princípios 
administrativos dispostos no art. 2º da Lei nº 9.784/99 e no 
art. 37 da Constituição Federal. 
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/leis/l9784.htm
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
43
Com o fito de facilitar o acesso dos dados, a LGPD trouxe a seguinte 
determinação:
Art. 25. Os dados deverão ser mantidos em formato interoperá-
vel e estruturado para o uso compartilhado, com vistas à exe-
cução de políticas públicas, à prestação de serviços públicos, 
à descentralização da atividade pública e à disseminação e ao 
acesso das informações pelo público em geral. (BRASIL, 2018)
“A interoperabilidade, no âmbito da Tecnologia da Informação e 
Comunicação (TIC), como a capacidade de comunicação e conexão entre 
sistemas” (FEGEILSON; SIQUEIRA, 2019, p. 175).
Noutros termos, é possível que exista uma integração entre os 
sistemas, órgãos e entes públicos, de formar que haja um acesso aberto 
de dados pessoais entre eles.
Uso compartilhado de dados pelo Poder Público
A Lei Geral de Proteção de Dados Pessoais, reforçando o incentivo 
à integração dos sistemas dos órgãos e entes públicos, estabeleceu a 
possibilidade de uso compartilhado de dados pessoais pelo Poder Público. 
Para que não haja dúvida, observe o que dispõe o art. 26 da Lei:
Art. 26. O uso compartilhado de dados pessoais pelo Poder 
Público deve atender a finalidades específicas de execução 
de políticas públicas e atribuição legal pelos órgãos e pelas 
entidades públicas, respeitados os princípios de proteção de 
dados pessoais elencados no art. 6º desta Lei. (BRASIL, 2018)
De início, o que se pode entender por uso compartilhado de dados 
pessoais? A definição dessa expressão se encontra no inciso XVI do artigo 
5º da LGPD:
XVI - uso compartilhado de dados: comunicação, difusão, 
transferência internacional, interconexão de dados pessoais 
ou tratamento compartilhado de bancos de dados pessoais 
por órgãos e entidades públicos no cumprimento de suas 
competências legais, ou entre esses e entes privados, reci-
Lei Geral de Proteção de Dados Pessoais
44
procamente, com autorização específica, para uma ou mais 
modalidades de tratamento permitidas por esses entes públi-
cos, ou entre entes privados. (BRASIL, 2018)
Em vista disso, é evidente que a permissão para a troca de dados 
pessoais e até de seu próprio tratamento entre órgãos e entes públicos 
ocorre quando houver um interesse público que fundamente esse 
compartilhamento. Caso contrário, não haverá autorização para tanto.
Traçando um equilíbrio entre o interesse público e a proteção dos 
direitos individuais, o art. 26 fixou a necessidade de observância dos 
princípios gerais da proteção de dados pessoais.
SAIBA MAIS:
Para conhecer os princípios gerais da disciplina de dados 
pessoais, leia o artigo 6º da Lei nº 13.709/2018. 
Clique aqui para acessar. 
Cumpre registrar que, em regra, não é permitida a transferência 
de dados pessoais do Poder Público para uma entidade privada, salvo 
algumas exceções previstas no §1º do art. 26 da LGPD. Veja:
§ 1º É vedado ao Poder Público transferir a entidades privadas 
dados pessoais constantes de bases de dados a que tenha 
acesso, exceto:
I - em casos de execução descentralizada de atividade públi-
ca que exija a transferência, exclusivamente para esse fim es-
pecífico e determinado, observado o disposto na Lei nº 12.527, 
de 18 de novembro de 2011 (Lei de Acesso à Informação) 
III - nos casos em que os dados forem acessíveis publicamen-
te, observadas as disposições desta Lei.
IV - quando houver previsão legal ou a transferência for res-
paldada em contratos, convênios ou instrumentos congêne-
res; ou        
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htmhttp://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm
45
V - na hipótese de a transferência dos dados objetivar exclu-
sivamente a prevenção de fraudes e irregularidades, ou pro-
teger e resguardar a segurança e a integridade do titular dos 
dados, desde que vedado o tratamento para outras finalida-
des. (BRASIL, 2018)     
No que se refere à primeira exceção, vale salientar que será permitida 
a transferência de dados do Poder Público para entidades privadas em 
prol da finalidade pública, devendo-se, para tanto, obedecer aos preceitos 
da Lei de Acesso à Informação, como a garantia de transparência, acesso 
e proteção dos dados (FEGEILSON; SIQUEIRA, 2019).
Quando os dados já forem públicos, não há motivos para haver 
vedação da transferência das informações. Do mesmo modo, se houver 
previsão legal ou previsão contratual será permitido o envio dos dados 
pessoais às entidades privadas.
VOCÊ SABIA?
No projeto original da LGPD os requisitos constantes no 
inciso IV deveriam ser cumulados, mas houve veto em 
prol do funcionamento da Administração Pública, visto que 
acarretaria muita burocracia (FEGEILSON; SIQUEIRA, 2019).
Por fim, tem-se a exceção de a transferência de dados pessoais 
ter como fundamento o impedimento de fraudes ou outros atos ilícitos e 
irregularidades.
Dito isso, cabe destacar que, nos moldes do art. 27, o consentimento 
do titular é requisito para o uso compartilhado de dados pessoais pelo 
Poder Público, exceto quando:
1. Se refira a uma das hipóteses previstas nos incisos de II a X do art. 
7º da LGPD. 
2. Haja publicidade das informações nos termos do art. 23, I da LGPD. 
3. Exceções da transferência de dados para entidades privadas, 
constantes no §1º do art. 26 da LGPD (BRASIL, 2018).
Lei Geral de Proteção de Dados Pessoais
46
Agora que você sabe como ocorre o uso compartilhado de dados 
pessoais pelo Poder Público e suas hipóteses de cabimento e regras 
específicas, vamos aprender um pouco sobre como são feitos o controle 
e a fiscalização.
Controle e fiscalização 
O tratamento de dados pessoais pelo Poder Público é um tema 
de extrema relevância para a proteção das informações pessoais, uma 
vez que representam grande parte da coleta, do armazenamento e do 
compartilhamento de dados. Em virtude disso, a LGPD estabeleceu meios 
de controle e fiscalização para essas operações.
Quanto ao controle, várias foram as competências fixadas para a 
Autoridade Nacional de Proteção de Dados Pessoais, sendo a primeira 
delas a necessidade de comunicação a esta acerca dos contratos e 
convênios sobre a transferência de dados do Poder Público para entidades 
privadas, conforme §2º do art. 26 da LGPD (BRASIL, 2018).
A autoridade nacional consiste no “órgão da administração pública 
responsável por zelar, implementar e fiscalizar o cumprimento desta Lei 
em todo o território nacional”, nos termos do inciso XIX do art. 5º da LGPD 
(BRASIL, 2018).
Além disso, a ANPD pode solicitar informações acerca das 
operações de tratamento de dados às pessoas jurídicas que compõem o 
Poder Público (art. 29), bem como legislar sobre a comunicação e o uso 
compartilhado de dados pessoais (art. 30) (BRASIL, 2018).
No que se refere à responsabilização, o art. 31 estabelece que em 
caso de descumprimento da LGPD por órgãos públicos, a ANPD poderá 
adotar medidas para interromper os atos de inobservâncias das normas 
(BRASIL, 2018).
Do mesmo modo, a ANPD pode solicitar ao Poder Público a 
publicação de relatório de impacto, bem como incentivar as políticas de 
boas práticas e governança, conforme dispõe o art. 32 da LGPD (BRASIL, 
2018).
Lei Geral de Proteção de Dados Pessoais
47
RESUMINDO:
Ao final deste capítulo você deve ter aprendido que 
o tratamento de dados pessoais pelo Poder Público 
apresenta um regramento específico, diante do interesse 
público envolvido na questão. Estudou que nos casos das 
empresas públicas e sociedades de economia mista que 
prestem serviços públicos, irão se submeter às diretrizes 
das pessoas jurídicas de direito público. Viu também 
que para que seja possível o uso de dados pessoais 
pela Administração Pública é preciso que haja finalidade 
pública, transparência e tenha um encarregado pela 
comunicação entre controlador, titulares e ANPD. Além das 
normas contidas na LGPD, o Poder Público deve observar 
a Lei de Acesso à Informação, Lei do Habeas Data e Lei 
Geral do Processo Administrativo, bem como obedecer aos 
princípios administrativos da moralidade, impessoalidade, 
publicidade, eficiência e legalidade. Você aprendeu que a 
LGPD incentivou a integração dos sistemas dos órgãos e 
entes públicos, permitindo o uso compartilhado de dados 
entre eles, pautado no interesse público. Por outro lado, 
viu que não é possível que haja transferência de dados da 
Administração Pública para as entidades privadas, salvo 
nos casos de previsão legal, contratos, finalidade pública, 
impedimento de fraudes e dados públicos. Outrossim, 
estudou-se que o consentimento do titular é requisito do uso 
compartilhado de dados, salvo nos casos de publicidade e 
exceções legais. Por fim, entendeu que o controle é feito 
pela ANPD, que recebe todas as comunicações sobre 
contratos de transferência de dados para pessoas jurídicas 
de direito privado, que solicita informações e relatórios 
de impacto do Poder Público e incentiva a aplicação de 
medidas de boas práticas e governança.
Lei Geral de Proteção de Dados Pessoais
48
Transferência internacional de dados 
pessoais 
INTRODUÇÃO:
Neste capítulo você irá identificar todas as hipóteses permi-
tidas para a transferência internacional de dados pessoais. 
Pronto para desenvolver essa importante competência? 
Avante!
Hipóteses permitidas
Com o advento da tecnologia, as distâncias geográficas ficam cada 
vez menores, uma vez que é possível realizar comunicações em tempo 
real com pessoas de outro continente. 
Nesse cenário, a Lei Geral de Proteção de Dados Pessoais elencou, 
em seu artigo 33, as hipóteses em que é autorizada a transferência 
internacional de dados pessoais, a fim de se evitar a figura do “paraíso de 
dados pessoais” (MALANGA, 2020).
Observe a redação do referido dispositivo:
Art. 33. A transferência internacional de dados pessoais 
somente é permitida nos seguintes casos:
I - para países ou organismos internacionais que proporcionem 
grau de proteção de dados pessoais adequado ao previsto 
nesta Lei;
II - quando o controlador oferecer e comprovar garantias de 
cumprimento dos princípios, dos direitos do titular e do regime 
de proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada 
transferência;
b) cláusulas-padrão contratuais;
Lei Geral de Proteção de Dados Pessoais
49
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente 
emitidos;
III - quando a transferência for necessária para a cooperação 
jurídica internacional entre órgãos públicos de inteligência, de 
investigação e de persecução, de acordo com os instrumentos 
de direito internacional;
IV - quando a transferência for necessária para a proteção da 
vida ou da incolumidade física do titular ou de terceiro;
V - quando a autoridade nacional autorizar a transferência;
VI - quando a transferência resultar em compromisso assumido 
em acordo de cooperação internacional;
VII - quando a transferência for necessária para a execução de 
política pública ou atribuição legal do serviço público, sendo 
dada publicidade nos termos do inciso I do  caput  do art. 23 
desta Lei;
VIII - quando o titular tiver fornecido o seu consentimento 
específico e em destaque para a transferência, com informação 
prévia sobre o caráter internacional da operação, distinguindo 
claramente esta de outras finalidades; ou
IX - quando necessário para atender as hipóteses previstas 
nos incisos II, V e VI do art. 7ºdesta Lei. (BRASIL, 2018)
Ao que se depreende, o inciso primeiro se refere aos casos em que 
os países estrangeiros tenham o mesmo nível de proteção legal do que 
no Brasil, com o objetivo de assegurar todos os direitos individuais das 
pessoas.
Diante desse cenário, pode-se afirmar que ao possuir uma legislação 
específica para proteção de dados pessoais, o Brasil pode começar a 
receber dados do exterior, o que representa um avanço significativo 
(FEGEILSON; SIQUEIRA, 2019).
Lei Geral de Proteção de Dados Pessoais
50
Figura 8 - Efeitos da legislação específica para a proteção de dados pessoais
Fonte: Elaborado pelas autoras com base em Fegeilson e Siqueira, 2019, p. 123.
Já a segunda hipótese consiste nos casos em que, no caso de 
não haver legislação específica sobre a proteção de dados, seja possível 
comprovar que há cumprimento dos princípios e das normas que regem 
a LGPD, através de cláusulas contratuais, normas globais ou códigos de 
conduta.
Por sua vez, se a transferência tiver como fundamento a cooperação 
jurídica internacional, será possível o envio de dados para o exterior. Nesse 
ponto, cumpre registrar “que tal hipótese apenas se dá entre órgãos 
públicos – de inteligência, de investigação e de persecução – de acordo 
com os instrumentos de direito internacional (FEGEILSON; SIQUEIRA, 
2019, p. 188/189).
A quarta hipótese está ligada à proteção da vida e da incolumidade 
física, logo, quando a transferência internacional de dados pessoais tiver 
essa finalidade, deverá esta ser autorizada.
IMPORTANTE:
A vida e a incolumidade física são direitos fundamentais, 
consagrados no artigo 5º, caput e inciso III da Constituição 
Federal (BRASIL, 1988).
Além do mais, é possível que a ANPD autorize a transferência. 
Ocorre que a LGPD não estabeleceu limites para essa atuação da 
autoridade, o que nos leva a crer que, com base em seus preceitos, a 
autorização por parte da ANPD deve assegurar a proteção dos direitos 
individuais, previstos na Lei (FEGEILSON; SIQUEIRA, 2019).
Outra hipótese relacionada à cooperação internacional está contida 
no inciso VI do referido artigo. Nessa conjuntura, o acordo de cooperação 
é resultado da transferência internacional de dados pessoais. 
Lei Geral de Proteção de Dados Pessoais
51
Vale salientar que nesse caso não há restrição apenas para órgãos 
públicos, ou seja, essa hipótese abrange também as entidades privadas 
(FEGEILSON; SIQUEIRA, 2019).
Por outro lado, tem-se a possibilidade de transferir dados para o 
exterior sob o fundamento de executar políticas públicas ou serviços 
públicos, sendo exigida a publicidade dessas ações.
Para fins da LGPD, o serviço público deve ser “entendido pelo 
critério formal, seriam todas as atividades exercidas pelo Estado em 
regime jurídico de Direito Público por uma decisão política dos órgãos de 
direção do Estado” (FEGEILSON; SIQUEIRA, 2019, p. 191).
Quando houver consentimento específico do titular, especial-
mente no que tange à transferência internacional de seus dados, deve 
este se dar de forma clara e precisa. 
Sobre o tema, é elucidativo o ensinamento de Fegeilson e Siqueira:
Será válido nos casos em que o titular for devidamente infor-
mado sobre os riscos e as consequências de uma transferên-
cia para outros controladores que não oferecem garantia ou 
grau de segurança adequados, nos termos da Lei, uma vez 
que a autodeterminação informativa é relevante em tal situa-
ção. (FEGEILSON; SIQUEIRA, 2019, p. 191-192)
Vê-se, portanto, a importância que a Lei Geral de Proteção de 
Dados Pessoais dá ao direito de o titular ter pleno controle sobre seus 
dados, uma vez que é dono destes.
Por fim, quando a transferência de dados pessoais para o exterior 
for imprescindível para a ocorrência das hipóteses dos incisos II, V e VI do 
art. 7º da LGPD, esta será permitida.
Para relembrar esses dispositivos, leia:
II - para o cumprimento de obrigação legal ou regulatória pelo 
controlador;
Lei Geral de Proteção de Dados Pessoais
52
V - quando necessário para a execução de contrato ou de 
procedimentos preliminares relacionados a contrato do qual 
seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, 
administrativo ou arbitral, esse último nos termos da Lei nº 9.307, 
de 23 de setembro de 1996 (Lei de Arbitragem). (BRASIL, 2018)
IMPORTANTE:
Como se vê, a Lei nº 13.709/2018 quis assegurar, nesse 
ponto, a legalidade que está respaldada em nossa Carta 
Magna, no art. 5º, II, que determinar que “ninguém será 
obrigado a fazer ou deixar de fazer alguma coisa senão em 
virtude de lei” (BRASIL, 1988).
A fim de conferir maior segurança aos casos de transferência 
internacional de dados, a LGPD possibilita a solicitação, por parte 
dos órgãos públicos, de avaliação do nível de proteção de dados de 
determinado país ou organismo internacional, nos moldes que determina 
o parágrafo único do art. 33 (BRASIL, 2018).
Dito isso, iremos estudar mais detidamente a atividade de 
avaliação do nível de proteção de dados dos países estrangeiros, cuja 
responsabilidade é a da Autoridade Nacional de Proteção de Dados.
Avaliação do nível de proteção 
Como visto, a autoridade nacional possui competência para avaliar 
o nível de proteção de dados pessoais de determinado país estrangeiro 
ou organismo internacional. Isso porque, quando um país apresenta o 
mesmo grau de proteção de dados que o Brasil, é permitida a transferência 
internacional dessas informações, conforme inciso I do art. 33 da LGPD 
(BRASIL, 2018).
Para tanto, a ANPD seguirá os parâmetros previstos no artigo 34 da 
Lei. Observe a redação dos dispositivos:
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm
http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm
53
Art. 34. O nível de proteção de dados do país estrangeiro ou do 
organismo internacional mencionado no inciso I do caput do 
art. 33 desta Lei será avaliado pela autoridade nacional, que 
levará em consideração:
I - as normas gerais e setoriais da legislação em vigor no país 
de destino ou no organismo internacional;
II - a natureza dos dados;
III - a observância dos princípios gerais de proteção de dados 
pessoais e direitos dos titulares previstos nesta Lei;
IV - a adoção de medidas de segurança previstas em 
regulamento;
V - a existência de garantias judiciais e institucionais para o 
respeito aos direitos de proteção de dados pessoais; e
VI - outras circunstâncias específicas relativas à transferência. 
(BRASIL, 2018)
Logo, a autoridade deverá observar esses indicadores para verificar 
se o país estrangeiro ou organismo internacional têm o mesmo grau 
de proteção de dados pessoais que o Brasil e, sendo o caso de não 
apresentar, será vedada a transferência internacional.
É importante destacar que “tais elementos são eivados de conteúdo 
técnico-jurídico, a fim de avaliar de fato as medidas de segurança prevista 
por eles” (FEGEILSON; SIQUEIRA, 2019, p. 194).
SAIBA MAIS:
A LGPD busca a padronização da proteção de dados 
pessoais no cenário mundial. Nesse cenário, veja o que 
dispõe o GDPR a respeito da necessidade da conformidade 
dessa proteção aos países estrangeiros, em seu art. 44. 
Clique aqui para acessar.
Logo, considerando os meios necessários para a avaliação do grau 
de proteção de dados pessoais dos países estrangeiros e organismos 
Lei Geral de Proteção de Dados Pessoais
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679
54
internacionais, passa-se a estudar as garantias contratuais para essa 
transferência internacional.
Garantias contratuais para transferência 
de dados
Foi visto anteriormente que uma das hipóteses permitidas para a 
transferência internacional de dados pessoais ocorre quando o controlador 
apresenta garantias do cumprimento dos preceitos da LGPD pelo país 
estrangeiro.
A referida garantia pode ser demonstrada através das cláusulascontratuais específicas, cláusulas-padrão, normas globais, selos, 
certificados ou códigos de conduta, conforme preceitua o art. 33, II, da 
referida Lei (BRASIL, 2018).
Nesse ponto, a Lei nº 13.709/2018 procurou estabelecer critérios 
para que sejam reconhecidas essas formas de garantia da proteção de 
dados pessoais, dado que em seu artigo 35 determinou a competência 
da autoridade nacional para definição do conteúdo das cláusulas-padrão, 
assim como para vistoria das cláusulas específicas, normas globais, selos, 
certificados ou códigos de conduta (BRASIL, 2018).
As cláusulas-padrão “são cláusulas reconhecidas no meio jurídico 
como uma garantia de conteúdo e interpretação de uma norma, 
permitindo uma maior segurança jurídica aos envolvidos” (FEGEILSON; 
SIQUEIRA, 2019, p. 197).
Dessa forma, a ANPD deverá seguir os parâmetros previstos nos 
parágrafos do artigo 35 da LGPD. Veja a redação dos referidos dispositivos:
Art. 35. A definição do conteúdo de cláusulas-padrão 
contratuais, bem como a verificação de cláusulas contratuais 
específicas para uma determinada transferência, normas 
corporativas globais ou selos, certificados e códigos de 
conduta, a que se refere o inciso II do caput do art. 33 desta 
Lei, será realizada pela autoridade nacional.
Lei Geral de Proteção de Dados Pessoais
55
§ 1º Para a verificação do disposto no  caput  deste artigo, 
deverão ser considerados os requisitos, as condições e as 
garantias mínimas para a transferência que observem os 
direitos, as garantias e os princípios desta Lei.
§ 2º Na análise de cláusulas contratuais, de documentos ou 
de normas corporativas globais submetidas à aprovação da 
autoridade nacional, poderão ser requeridas informações 
suplementares ou realizadas diligências de verificação quanto 
às operações de tratamento, quando necessário.
§ 3º A autoridade nacional poderá designar organismos de 
certificação para a realização do previsto no caput deste artigo, 
que permanecerão sob sua fiscalização nos termos definidos 
em regulamento.
§ 4º Os atos realizados por organismo de certificação 
poderão ser revistos pela autoridade nacional e, caso em 
desconformidade com esta Lei, submetidos a revisão ou 
anulados.
§ 5º As garantias suficientes de observância dos princípios 
gerais de proteção e dos direitos do titular referidas 
no  caput  deste artigo serão também analisadas de acordo 
com as medidas técnicas e organizacionais adotadas pelo 
operador, de acordo com o previsto nos §§ 1º e 2º do art. 46 
desta Lei. (BRASIL, 2018)
Como se vê, é preciso que exista a verificação da conformidade da 
garantia com direitos e regras previstos na Lei Geral de Proteção de Dados 
Pessoais, sendo possível que a autoridade nacional institua organismos 
de certificação para essa análise. 
Ademais, é importante registrar que serão os agentes de tratamento, 
controlador e operador que irão enviar os documentos para exame da 
autoridade nacional (FEGEILSON; SIQUEIRA, 2019).
Lei Geral de Proteção de Dados Pessoais
56
Outrossim, a ANPD poderá solicitar informações ou requerer 
diligência para melhor elucidação das garantias, bem como será 
competente para revisar e anular os atos dos organismos de certificação.
Frisa-se, também, que os operadores poderão verificar a adequação 
das garantias com as normas constantes na LGPD, seguindo os critérios 
constantes no art. 46, o qual estudaremos no momento oportuno.
VOCÊ SABIA?
O Banco Central do Brasil, através da Resolução 4.658/2018, 
uniformizou as cláusulas contratuais dos serviços de 
tratamento de dados por instituições financeiras, ao exigir a 
identificação dos países estrangeiros pelos quais passarão 
os dados, bem como que exista convênio entre estes e o 
Banco Central do Brasil (FEGEILSON; SIQUEIRA, 2019).
Ademais, em busca da concretização do princípio da transparência, 
toda e qualquer mudança nas garantias deverá ser informada à autoridade 
nacional, de acordo com o artigo 36 da LGPD (BRASIL, 2018).
Para Fegeilson e Siqueira (2019), embora o referido dispositivo não 
tenha sido claro nesse sentido, em caso de alteração da garantia, deve 
haver revalidação desta por parte da ANPD, a fim de evitar a má-fé.
Lei Geral de Proteção de Dados Pessoais
57
RESUMINDO:
Vamos revisar o que estudamos neste capítulo? Viu-
se que as hipóteses permitidas para a atividade de 
transferência internacional de dados são: casos em que 
o país estrangeiro ou organismo internacional possua o 
mesmo grau de proteção de dados pessoais que o Brasil; 
quando exista garantia de cumprimento da LGPD, através 
de cláusulas contratuais, normas corporativas globais, 
selos, certificados ou códigos de conduta; no caso de 
a transferência ocorrer em prol da cooperação jurídica 
internacional entre órgãos públicos de inteligência ou 
investigação; para proteção da vida ou incolumidade física 
do titular ou terceiro; quando a ANPD autorizar; quando 
resultar em cooperação internacional; para execução de 
políticas públicas ou serviços públicos; quando existir 
consentimento específico do titular ou quando necessário 
para a realização das hipóteses constantes nos incisos II, 
V e VI do art. 7º da LGPD. Viu-se também que a avaliação 
do nível de proteção de dados dos países estrangeiros 
será feita pela autoridade nacional, de acordo com 
parâmetros dos princípios gerais, medidas de segurança 
e garantias apresentadas. Além disso, estudou-se que 
na hipótese de existir garantia do cumprimento da LGPD, 
a ANPD será competente para admitir essas garantias, 
dado que irá definir o padrão das cláusulas-padrão 
e verificação dos demais meios de comprovação de 
garantia. Por fim, viu-se que a autoridade nacional poderá 
solicitar novas informações ou diligências, bem como 
designar organismos de certificação que, por sua vez, 
terão seus atos revisados e/ou anulados pela ANPD.
Lei Geral de Proteção de Dados Pessoais
58
REFERÊNCIAS
BIONI, B. R. Proteção de dados pessoais: a função e os limites do 
consentimento. 2. ed. rev. atual. e reform. Rio de Janeiro: Forense, 2020.
BRASIL. Constituição Federal de 1988. Disponível em: http://www.
planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 13 
dez. 2020.
BRASIL. Lei nº 8.069, de 13 de julho de 1990. Estatuto da Criança 
e do Adolescente. Dispõe sobre o Estatuto da Criança e do Adolescente 
e dá outras providências. Disponível em: http://www.planalto.gov.br/
ccivil_03/leis/l8069.htm. Acesso em: 27 dez. 2020.
BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Lei de Acesso à 
Informação. 2011a. Regula o acesso a informações previsto no inciso XXXIII 
do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição 
Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 
11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro 
de 1991; e dá outras providências. Disponível em http://www.planalto.gov.
br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. Acesso em: 13 dez. 2020.
BRASIL. Lei nº 12.414, de 9 de junho de 2011. Lei do Cadastro 
Positivo. 2011b. Disciplina a formação e consulta a bancos de dados 
com informações de adimplemento, de pessoas naturais ou de pessoas 
jurídicas, para formação de histórico de crédito. Disponível em: http://
www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12414.htm. 
Acesso em: 13 dez. 2020.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção 
de Dados Pessoais. Disponível em: http://www.planalto.gov.br/ccivil_03/_
ato2015-2018/2018/lei/L13709.htm. Acesso em: 13 dez. 2020.
BRASIL. Lei nº 8.080, de 19 de setembro de 1990. Dispõe sobre 
as condições para a promoção, proteção e recuperação da saúde, a 
organização e o funcionamento dos serviços correspondentes e dá outras 
providências. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/
l8080.htm. Acesso em: 27 dez. 2020.
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/leis/l8069.htmhttp://www.planalto.gov.br/ccivil_03/leis/l8069.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12414.htm
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12414.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
http://www.planalto.gov.br/ccivil_03/leis/l8080.htm
http://www.planalto.gov.br/ccivil_03/leis/l8080.htm
59
BRASIL. Lei nº 9.784, de 29 de janeiro de 1999. Regula o processo 
administrativo no âmbito da Administração Pública Federal. Disponível 
em: http://www.planalto.gov.br/ccivil_03/leis/l9784.htm. Acesso em 27 
dez. 2020
EUROPA. General Data Protection Regulation. Regulamento (UE) 
2016/679 do parlamento europeu e do conselho de 27 de abril de 
2016 relativo à proteção das pessoas singulares no que diz respeito ao 
tratamento de dados pessoais e à livre circulação desses dados e que 
revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de 
Dados). Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/
HTML/?uri=CELEX:32016R0679. Acesso em: 27 dez. 2020.
FEIGELSON, B. SIQUEIRA, A. H. A. Comentários à lei geral de 
proteção de dados pessoais: Lei 13.709/2018. 1. ed. São Paulo: Thomson 
Reuters, 2019.
MALANGA, V. C. Da Transferência Internacional de Dados. In: 
SANTOS, R. M. do. CARVALHO, A. C. F. L. de. (coord.). Comentários à Lei 
Geral de Proteção de Dados. 2020. Disponível em: https://rs.b-ok.lat/
book/5404256/d25c92. Acesso em 27 dez. 2020.
SOUSA, Z. A. G. de. FRANCO, I. da S. Aplicação da lei Geral de 
Proteção de Dados ao poder público. In: GROSSI, B. M. (org.). Lei Geral 
de Proteção de Dados: Uma análise preliminar da Lei 13.709/2018 e da 
experiência de sua implantação no contexto empresarial. Porto Alegre: 
Editora Fi, 2020.
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/leis/l9784.htm
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679
https://rs.b-ok.lat/book/5404256/d25c92
https://rs.b-ok.lat/book/5404256/d25c92
	Requisitos do tratamento de dados e seus agentes 
	Hipóteses de tratamento de dados
	Consentimento do titular 
	Cumprimento de obrigação legal 
	Administração Pública na execução de políticas públicas/Realização de estudos por órgão de pesquisa
	Execução de contrato
	Processo judicial
	Proteção da vida e tutela da saúde
	Interesses legítimos do controlador
	Proteção ao crédito
	Agentes de tratamento
	Tratamento de dados sensíveis
	Dados sensíveis
	Hipóteses permitidas
	Consentimento
	Desnecessidade de consentimento
	Anonimização 
	Tratamento de dados para fins de estudos em saúde pública 
	Tratamento de dados pessoais de crianças e adolescentes
	Tratamento de dados pelo Poder Público
	Limites aplicáveis
	Uso compartilhado de dados pelo Poder Público
	Controle e fiscalização 
	Transferência internacional de dados pessoais 
	Hipóteses permitidas
	Avaliação do nível de proteção 
	Garantias contratuais para transferência de dados