LGPD - Lei Geral de Proteção de Dados Pessoais

Prévia do material em texto

<p>CARREGANDO...</p><p>SANDRO M KOZIKOSKI</p><p>ANNE CAROLINA STIPP AMADOR KOZIKOSKI</p><p>RAFAELA VIALLE STROBEL DANTAS</p><p>Código Logístico</p><p>59865</p><p>ISBN 978-65-5821-029-0</p><p>9 7 8 6 5 5 8 2 1 0 2 9 0</p><p>LGPD -</p><p>Lei Geral de Proteção de Dados Pessoais</p><p>SANDRO M</p><p>KOZIKOSKI / ANNE CAROLINA STIPP AM</p><p>ADOR KOZIKOSKI / RAFAELA VIALLE STROBEL DANTAS</p><p>LGPD</p><p>LEI GERAL DE PROTEÇÃO</p><p>de dados pessoais</p><p>LGPD – Lei Geral de</p><p>Proteção de Dados</p><p>Pessoais</p><p>Sandro M Kozikoski</p><p>Anne Carolina Stipp Amador Kozikoski</p><p>Rafaela Vialle Strobel Dantas</p><p>IESDE BRASIL</p><p>2021</p><p>Todos os direitos reservados.</p><p>IESDE BRASIL S/A.</p><p>Al. Dr. Carlos de Carvalho, 1.482. CEP: 80730-200</p><p>Batel – Curitiba – PR</p><p>0800 708 88 88 – www.iesde.com.br</p><p>© 2021 – IESDE BRASIL S/A.</p><p>É proibida a reprodução, mesmo parcial, por qualquer processo, sem autorização por escrito dos autores e do</p><p>detentor dos direitos autorais.</p><p>Projeto de capa: IESDE BRASIL S/A.</p><p>Imagem da capa: NobCoss Studio/LuckyStep/dmitriy-orlovskiy/Shutterstock</p><p>CIP-BRASIL. CATALOGAÇÃO NA PUBLICAÇÃO</p><p>SINDICATO NACIONAL DOS EDITORES DE LIVROS, RJ</p><p>K89L</p><p>Kozikoski, Sandro M.</p><p>LGPD – Lei Geral de Proteção de Dados Pessoais / Sandro M. Kozi-</p><p>koski, Anne Carolina Stipp Amador Kozikoski, Rafaela Vialle Strobel Dantas.</p><p>- 1. ed. - Curitiba [PR] : IESDE, 2021.</p><p>148 p. : il.</p><p>Inclui bibliografia</p><p>ISBN 978-65-5821-029-0</p><p>1. Brasil. [Lei geral de proteção de dados pessoais (2018)]. 2. Proteção</p><p>de dados - Legislação - Brasil. 3. Internet - Legislação - Brasil. 4. Direito à pri-</p><p>vacidade. I. Kozikoski, Anne Carolina Stipp Amador. II. Dantas, Rafaela Vialle</p><p>Strobel. III. Título.</p><p>21-71029 CDU: 33.45:004(81)</p><p>Sandro M Kozikoski Doutor e mestre em Direito das Relações Sociais pela</p><p>Universidade Federal do Paraná (UFPR). Coordenador</p><p>científico da pós-graduação em Direito Processual</p><p>Civil da Academia Brasileira de Direito Constitucional</p><p>(ABDConst). Graduado em Direito pela UFPR.</p><p>Capacitação docente em Análise Econômica do Direito</p><p>pela Fundação Getulio Vargas (FGV-RJ). Professor</p><p>adjunto de Direito Processual Civil do Curso de Direito</p><p>da UFPR. Ex-professor adjunto da Faculdade Nacional</p><p>de Direito (FND-UFRJ). Membro da Comissão de</p><p>Precatórios da Ordem dos Advogados do Brasil, Seção</p><p>Paraná (OAB/PR). Membro do Instituto dos Advogados</p><p>do Paraná (IAP). Membro do Instituto Brasileiro de</p><p>Direito Processual (IBDP). Ex-Procurador Geral do</p><p>Estado do Paraná (PGE). Advogado.</p><p>Anne Carolina Stipp</p><p>Amador Kozikoski</p><p>Mestre em Direito Penal pela Universidade de São</p><p>Paulo (USP) e em Derecho de los Negocios pela</p><p>Universidad Francisco de Vitoria (UFV/Espanha).</p><p>Especialista em Derecho Penal – Teoria del Delito pela</p><p>Universidade de Salamanca (USAL/Espanha) e em</p><p>Ciências Penais pela Pontifícia Universidade Católica do</p><p>Paraná (PUCPR). Graduada em Direito pela UniCuritiba.</p><p>Membro da Comissão de Compliance da OAB/PR e da</p><p>Comissão de Inovação e Gestão OAB/PR. Advogada.</p><p>Rafaela Vialle Strobel</p><p>Dantas</p><p>MBA em Direito da Economia e da Empresa pelo</p><p>Instituto Superior de Administração e Economia /</p><p>Fundação Getulio Vargas (Isae/FGV). Especialista em</p><p>Direito Público pela Escola de Magistratura Federal</p><p>(Esmafe-PR). Graduada em Direito pela UniCuritiba.</p><p>Membro da Comissão de Inovação e Gestão da OAB/PR.</p><p>Advogada.</p><p>Agora é possível acessar os vídeos do livro por</p><p>meio de QR codes (códigos de barras) presentes</p><p>no início de cada seção de capítulo.</p><p>Acesse os vídeos automaticamente, direcionando</p><p>a câmera fotográ�ca de seu smartphone ou tablet</p><p>para o QR code.</p><p>Em alguns dispositivos é necessário ter instalado</p><p>um leitor de QR code, que pode ser adquirido</p><p>gratuitamente em lojas de aplicativos.</p><p>Vídeos</p><p>em QR code!</p><p>SUMÁRIO</p><p>1 Privacidade na Sociedade da Informação 9</p><p>1.1 Reflexões sobre privacidade na Sociedade da Informação 9</p><p>1.2 Sociedade da Informação e o valor dos dados pessoais 10</p><p>1.3 Privacidade e proteção de dados pessoais 13</p><p>2 Antecedentes normativos, Direito comparado e marcos legais 25</p><p>2.1 Contexto europeu 25</p><p>2.2 Contexto brasileiro 35</p><p>2.3 Lei Geral de Proteção de Dados Pessoais (LGPD) e Regulamento</p><p>Europeu de Proteção de Dados Pessoais (GDPR) 37</p><p>3 Lei Geral de Proteção de Dados 41</p><p>3.1 Evolução da proteção de dados no Direito brasileiro 41</p><p>3.2 Abrangência e aplicabilidade 49</p><p>3.3 Princípios da Lei Geral de Proteção de Dados 54</p><p>3.4 Direitos do titular 58</p><p>3.5 Bases legais de tratamento de dados pessoais e exceções 64</p><p>3.6 Agentes no tratamento de dados 71</p><p>3.7 Transferência internacional de dados pessoais 74</p><p>4 A Autoridade Nacional de Proteção de Dados e as sanções legais 80</p><p>4.1 Autoridade Nacional de Proteção de Dados Pessoais 81</p><p>4.2 Competências 88</p><p>4.3 Sanções administrativas 91</p><p>4.4 Responsabilidades jurídicas 96</p><p>5 Proteção de dados pessoais e governança corporativa 102</p><p>5.1 Governança corporativa 102</p><p>5.2 Marco legal 105</p><p>5.3 Programa de Integridade e Segurança da Informação 108</p><p>5.4 Pilares da governança de dados 111</p><p>5.5 Mapeamento e análise de riscos 114</p><p>5.6 Procedimentos internos 116</p><p>5.7 Instrumentos para a implementação de boas práticas 117</p><p>Agora é possível acessar os vídeos do livro por</p><p>meio de QR codes (códigos de barras) presentes</p><p>no início de cada seção de capítulo.</p><p>Acesse os vídeos automaticamente, direcionando</p><p>a câmera fotográ�ca de seu smartphone ou tablet</p><p>para o QR code.</p><p>Em alguns dispositivos é necessário ter instalado</p><p>um leitor de QR code, que pode ser adquirido</p><p>gratuitamente em lojas de aplicativos.</p><p>Vídeos</p><p>em QR code!</p><p>6 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>6 Tutela jurisdicional da proteção de dados pessoais 122</p><p>6.1 Constituição Federal, remédios constitucionais e LGPD 122</p><p>6.2 Tutelas: ressarcitória, de remoção do ilícito e inibitória 132</p><p>6.3 Tutela coletiva em matéria de reparação de danos 137</p><p>Gabarito 142</p><p>A vivenciada Era dos Dados é caracterizada pelo uso de</p><p>tecnologias que propiciam a extração e o fluxo intenso de</p><p>informações pessoais. Nesse sentido, equacionar o tratamento de</p><p>dados pessoais e a intromissão abusiva na esfera de privacidade</p><p>dos seus titulares parece ser o grande desafio da atualidade.</p><p>O tema da proteção de dados pessoais está, portanto, no</p><p>centro da agenda regulatória mundial, impactando as soluções</p><p>legislativas adotadas por diversos países. No Brasil, a Lei</p><p>n. 13.709/2018, conhecida como Lei Geral de Proteção de Dados</p><p>Pessoais (LGPD), tratou do tema. A lei brasileira foi fortemente</p><p>influenciada pelas normas europeias, em especial pela normativa</p><p>mais importante, a General Data Protection Regulation (GDPR),</p><p>que constitui um regulamento geral em matéria de proteção de</p><p>dados pessoais aplicável em toda a Europa.</p><p>Os capítulos desenvolvidos na presente obra pretendem</p><p>levar o leitor a uma construção racional sobre o tema da</p><p>proteção de dados pessoais. Assim, os capítulos iniciais</p><p>apresentam contextos, conceitos gerais e princípios orientados à</p><p>compreensão da temática envolvendo a privacidade e a proteção</p><p>de dados pessoais. A compreensão desses conceitos e regras da</p><p>Lei de Proteção de Dados brasileira permite tratar do impacto da</p><p>norma para a elaboração de programas de governança de dados</p><p>e de sua repercussão no sistema jurídico nacional, temas dos</p><p>capítulos finais.</p><p>Em suma, a obra traça um panorama que permite a ampla</p><p>compreensão sobre o tema da privacidade e proteção de dados</p><p>pessoais, fornecendo informações básicas para a compreensão</p><p>da matéria. Boa leitura!</p><p>APRESENTAÇÃOVídeo</p><p>Privacidade na Sociedade da Informação 9</p><p>1</p><p>Privacidade na Sociedade</p><p>da Informação</p><p>Anne Carolina Stipp Amador Kozikoski</p><p>Este capítulo pretende contextualizar a temática da proteção</p><p>de dados pessoais na Sociedade da Informação. O tempo presente</p><p>é marcado pelo intenso fluxo de dados e informações pessoais dos</p><p>indivíduos e, consequentemente, pela sua valorização social e eco-</p><p>nômica, sendo o momento atual frequentemente referido como a</p><p>Era dos Dados ou a Quarta Revolução Industrial. A compreensão das</p><p>regras relacionadas à privacidade</p><p>esteja em local onde haja a aplicação da</p><p>Legislação da União Europeia em decorrência da execução de normas</p><p>de direito internacional público, a exemplo das embaixadas europeias</p><p>localizadas em territórios de países terceiros.</p><p>O GDPR dispõe sobre uma série de direitos ao titular que tenha seus</p><p>dados pessoais coletados, dentre os quais destacam-se:</p><p>I. direito de ser informado (artigo 12 do GDPR), o titular tem</p><p>o direito a ser informado sobre quais dados são processados</p><p>e concordar (ou não) com o tratamento que recai sobre suas</p><p>informações pessoais;</p><p>II. direito de acesso (artigos 13, 14 e 15 do GDPR), o titular</p><p>tem o direito de acessar as informações sobre ele coletadas e</p><p>processadas pelo responsável pelo tratamento de dados;</p><p>III. direito à retificação (artigo 16 do GDPR), o titular tem direito</p><p>de solicitar o ajuste de qualquer informação equivocada ou</p><p>incompleta que tenha sido armazenada a seu respeito;</p><p>IV. direito ao apagamento dos dados ou direito ao esquecimento</p><p>(artigo 17 do GDPR), é direito do titular obter o apagamento</p><p>completo e definitivo de seus dados pessoais quando presente</p><p>uma das hipóteses elencadas nas alíneas do artigo 17 2 ;</p><p>V. direito ao processamento restrito (artigo 18 do GDPR),</p><p>direito conferido ao titular a que se processe o mínimo possível</p><p>de informações (minimização);</p><p>VI. direito à portabilidade dos dados (artigo 20 do GDPR),</p><p>identificado como o direito do titular a ter acesso a seus dados</p><p>em um formato possível de ser reutilizado;</p><p>VII. direito à oposição (artigo 21 do GDPR), o titular possui o</p><p>direito de se opor a qualquer momento ao tratamento dos</p><p>dados pessoais a seu respeito;</p><p>VIII. direitos em relação a tomadas de decisão automatizadas</p><p>(artigo 22 do GDPR), o titular pode contestar permissões feitas</p><p>por meios automatizados ou elaboração de perfis, caso essas</p><p>decisões produzam efeitos na sua esfera jurídica ou o afete</p><p>significativamente de modo similar.</p><p>“Art. 17º</p><p>Direito ao apagamento dos da-</p><p>dos (“direito a ser esquecido”)</p><p>1. O titular tem o direito de</p><p>obter do responsável pelo</p><p>tratamento o apagamento</p><p>dos seus dados pessoais, sem</p><p>demora injustificada, e este</p><p>tem a obrigação de apagar os</p><p>dados pessoais, sem demora</p><p>injustificada, quando se aplique</p><p>um dos seguintes motivos:</p><p>a) Os dados pessoais deixaram</p><p>de ser necessários para a</p><p>finalidade que motivou a sua</p><p>recolha ou tratamento;</p><p>b) O titular retira o consen-</p><p>timento em que se baseia o</p><p>tratamento dos dados nos</p><p>termos do artigo 6.o, n.o 1,</p><p>alínea a), ou do artigo 9.o, n.o 2,</p><p>alínea a) e se não existir outro</p><p>fundamento jurídico para o</p><p>referido tratamento;</p><p>c) O titular opõe-se ao</p><p>tratamento nos termos</p><p>do artigo 21.o, n.o 1, e não</p><p>existem interesses legítimos</p><p>prevalecentes que justifiquem</p><p>o tratamento, ou o titular</p><p>opõe-se ao tratamento nos</p><p>termos do artigo 21.o, n.o 2;</p><p>d) Os dados pessoais foram</p><p>tratados ilicitamente;</p><p>e) Os dados pessoais têm de ser</p><p>apagados para o cumprimento</p><p>de uma obrigação jurídica</p><p>decorrente do direito da União</p><p>[...]”. (COMISSÃO EUROPEIA,</p><p>2016a).</p><p>2</p><p>34 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Tais direitos, por sua vez, estão assentados em princípios consolida-</p><p>dos no Regulamento Geral Europeu de Proteção de Dados em seu arti-</p><p>go 5º, podendo ser relacionados os seguintes princípios orientadores:</p><p>I. licitude;</p><p>II. princípio da lealdade;</p><p>III. princípio da transparência;</p><p>IV. princípio da limitação de finalidade;</p><p>V. princípio da minimização dos dados;</p><p>VI. princípio da limitação da conservação;</p><p>VII. princípio da exatidão;</p><p>VIII. princípio da integridade e confidencialidade; e</p><p>IX. princípio da prestação de contas.</p><p>O artigo 5º, alínea a, prevê que os dados pessoais são “objeto de um</p><p>tratamento lícito, leal e transparente em relação ao titular dos dados</p><p>(‘licitude, lealdade e transparência’)” (COMISSÃO EUROPEIA, 2016a), es-</p><p>tando no artigo 6º relacionadas as hipóteses de licitude do tratamento</p><p>de dados pessoais. Assim, conforme o GDPR, o tratamento de dados</p><p>pessoais só é lícito quando:</p><p>a) o titular dos dados tiver dado o seu consentimento para o tra-</p><p>tamento dos seus dados pessoais para uma ou mais finalidades</p><p>específicas;</p><p>b) o tratamento for necessário para a execução de um contrato no</p><p>qual o titular dos dados é parte, ou para diligências pré-contra-</p><p>tuais a pedido do titular dos dados;</p><p>c) o tratamento for necessário para o cumprimento de uma obriga-</p><p>ção jurídica a que o responsável pelo tratamento esteja sujeito;</p><p>d) o tratamento for necessário para a defesa de interesses vitais do</p><p>titular dos dados ou de outra pessoa singular;</p><p>e) o tratamento for necessário ao exercício de funções de interesse</p><p>público ou ao exercício da autoridade pública de que está inves-</p><p>tido o responsável pelo tratamento;</p><p>f) o tratamento for necessário para efeito dos interesses legítimos</p><p>prosseguidos pelo responsável pelo tratamento ou por tercei-</p><p>ros, exceto se prevalecerem os interesses ou direitos e liberda-</p><p>des fundamentais do titular que exijam a proteção dos dados</p><p>pessoais, em especial se o titular for uma criança.</p><p>O primeiro parágrafo, alínea f), não se aplica ao tratamento de</p><p>dados efetuado por autoridades públicas na prossecução das</p><p>suas atribuições por via eletrónica. (COMISSÃO EUROPEIA, 2016a)</p><p>Para facilitar a compreen-</p><p>são da questão da prote-</p><p>ção de dados pessoais no</p><p>contexto europeu, seus</p><p>fundamentos, princípios,</p><p>conceitos e valores, re-</p><p>comenda-se a leitura do</p><p>preâmbulo do Regulamen-</p><p>to Europeu de Proteção da</p><p>Dados Pessoais (GDPR).</p><p>Disponível em: https://eur-lex.</p><p>europa.eu/legal-content/PT/</p><p>ALL/?uri=celex%3A32016R0679.</p><p>Acesso em: 14 maio 2021.</p><p>Leitura</p><p>Antecedentes normativos, Direito comparado e marcos legais 35</p><p>A base principiológica extraída do Regulamento Geral Europeu de</p><p>Proteção de Dados Pessoais é coerente com a consolidação da prote-</p><p>ção de dados pessoais como direito fundamental da pessoa humana,</p><p>que influenciou e segue influenciando a legislação de vários outros paí-</p><p>ses, dentre as quais se inclui a brasileira.</p><p>2.2 Contexto brasileiro</p><p>Vídeo Ainda que fosse possível afirmar a proteção dos dados</p><p>pessoais no Brasil com base em normas jurídicas existen-</p><p>tes previamente à Lei Geral de Proteção de Dados, ou LGPD</p><p>(a exemplo do artigo 5º, inciso X, da Constituição da Repú-</p><p>blica, que prevê a inviolabilidade da intimidade, vida priva-</p><p>da, honra e imagem das pessoas 3 , do artigo 21 do Código</p><p>Civil 4 ou das disposições presentes no Marco Civil da Inter-</p><p>net, da Lei do Cadastro Positivo e do Código de Defesa do</p><p>Consumidor), fato é que tais dispositivos legais abordavam</p><p>a questão relativa à proteção de dados pessoais de manei-</p><p>ra difusa e pouco objetiva quanto às hipóteses de trata-</p><p>mento, fazendo-o apenas tangencialmente. A Lei Geral de</p><p>Proteção de Dados Pessoais consolida e concretiza as nor-</p><p>mas relativas à proteção de dados pessoais.</p><p>O Marco Civil da Internet, Lei n. 12.965/2014, estabelece</p><p>princípios, garantias, direitos e deveres para o uso da in-</p><p>ternet no Brasil, prevendo em seu artigo 3º que a disciplina</p><p>do uso da internet no Brasil tem como princípio, dentre ou-</p><p>tros, a proteção dos dados pessoais (BRASIL, 2014). Assim,</p><p>a incidência da aplicação da LGPD nas relações entre clien-</p><p>tes e empresas sujeitas ao Marco Civil da Internet indica o</p><p>aprimoramento dos serviços prestados, apontando para a</p><p>ética sustentável e para que seja facilitada a comunicação</p><p>entre todos os sujeitos envolvidos.</p><p>A Lei n. 12.414/2011, denominada Lei do Cadastro Positi-</p><p>vo, que disciplina “a formação e consulta a bancos de dados</p><p>com informações de adimplemento de pessoas naturais ou</p><p>de pessoas jurídicas, com o objetivo de formação de histó-</p><p>rico de crédito” (BRASIL, 2011), deverá ser compatibilizada</p><p>com a LGPD. Isso porque nas operações de consultas aos</p><p>4</p><p>“Art. 21. A vida privada da pessoa</p><p>natural é inviolável, e o juiz, a</p><p>requerimento do interessado, ado-</p><p>tará as providências necessárias</p><p>para impedir ou fazer cessar ato</p><p>contrário a esta norma.” (BRASIL,</p><p>2002).</p><p>Vide texto do artigo 5º:</p><p>“Todos são</p><p>iguais perante a lei,</p><p>sem distinção de qualquer natu-</p><p>reza, garantindo-se aos brasileiros</p><p>e aos estrangeiros residentes no</p><p>País a inviolabilidade do direito à</p><p>vida, à liberdade, à igualdade, à</p><p>segurança e à propriedade, nos</p><p>termos seguintes:</p><p>[...]</p><p>X – são invioláveis a intimidade, a</p><p>vida privada, a honra e a imagem</p><p>das pessoas, assegurado o direito</p><p>a indenização pelo dano material</p><p>ou moral decorrente de sua</p><p>violação;” (BRASIL, 1988).</p><p>3</p><p>36 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>bancos de dados a que se refere aquele diploma legal, ocorre, in-</p><p>variavelmente, o compartilhamento de informações pessoais reu-</p><p>nidas de fontes distintas e de maneira compulsória, salvo quando</p><p>o consumidor expresse o contrário. Ainda que o cadastro positivo</p><p>tenha o condão de beneficiar o titular dos dados pessoais median-</p><p>te o selo de “bom pagador”, propiciando-lhe presumível crédito</p><p>mais acessível, é inegável que a dinâmica de tais operações permi-</p><p>te o acesso por parte das empresas operadoras de crédito a uma</p><p>quantidade imensa de dados pessoais, os quais, impreterivelmen-</p><p>te, estão expostos a riscos de eventuais incidentes, vazamentos e</p><p>potenciais ilícitos. Não obstante, a LGPD prevê, entre as bases le-</p><p>gais que justificam o tratamento de dados pessoais, a proteção ao</p><p>crédito</p><p>Partindo-se de que os consumidores podem ser titulares de</p><p>dados pessoais, o Código de Defesa do Consumidor (CDC), Lei</p><p>n. 8.078/1990, também resulta impactado pela Lei Geral de Pro-</p><p>teção de Dados Pessoais, muito embora a lei consumerista coin-</p><p>cida em muitos aspectos com a LGPD, especialmente no que toca</p><p>à informação prestada ao consumidor, abrangendo as garantias</p><p>asseguradas aos titulares de dados pessoais previstas na LGPD.</p><p>Os artigos 6º, inciso III, e 43 do CDC (BRASIL, 1990), por exemplo,</p><p>dispõem sobre o direito à informação clara e sobre os diferentes</p><p>produtos e serviços e o acesso à informação existente nos cadas-</p><p>tros mantidos pelas companhias. Nesse sentido, a LGPD reforça as</p><p>disposições do Código de Defesa do Consumidor.</p><p>Por outro lado, a violação das regras protetivas da Lei Geral de</p><p>Proteção de Dados Pessoais pode resultar na aplicação de sanção</p><p>administrativa, a ser imposta pela Autoridade Nacional de Proteção</p><p>de Dados Pessoais (ANPD), que será vista mais adiante. Além disso,</p><p>tratando-se de relação de consumo, na qual tenha sido impedido</p><p>ou dificultado o acesso do consumidor quanto às informações so-</p><p>bre ele existente em cadastro de crédito, tem-se caracterizado cri-</p><p>me contra o consumo, hipótese capitulada nos artigos 72 e 73 do</p><p>Código de Defesa do Consumidor.</p><p>Assim, a Lei Geral de Proteção de Dados Pessoais complementa</p><p>o escopo legal das normas constantes nos instrumentos referidos</p><p>Antecedentes normativos, Direito comparado e marcos legais 37</p><p>no que toca à consolidação dos direitos e garantias conferidas aos</p><p>titulares de dados pessoais, contribuindo para o aperfeiçoamento</p><p>da atividade de tratamento de dados pessoais no Brasil, reduzin-</p><p>do os riscos inerentes das relações mediadas por sistemas eletrô-</p><p>nicos e, por fim, possibilitando que o marco regulatório nacional</p><p>seja elevado a outro nível de adequação, mais próximo aos pa-</p><p>drões internacionalmente considerados razoáveis, o que viabiliza</p><p>a competitividade das empresas brasileiras na atividade negocial</p><p>internacional.</p><p>Por último, vale lembrar que a efetivação da Lei Geral de Pro-</p><p>teção de Dados nacional, por meio da concretização dos direitos e</p><p>garantias conferidos aos titulares de dados e o desenvolvimento</p><p>de um ambiente de negócios sustentável e orientado por valores</p><p>éticos, depende, em grande medida, da atividade da Autoridade</p><p>Nacional de Proteção de Dados Pessoais.</p><p>2.3 Lei Geral de Proteção de Dados Pessoais</p><p>(LGPD) e Regulamento Europeu de</p><p>Proteção de Dados Pessoais (GDPR)</p><p>Vídeo</p><p>Conforme já foi tratado anteriormente, a legislação europeia</p><p>pautou a proteção de dados pessoais mundialmente, influencian-</p><p>do as opções legislativas adotadas por diversas jurisdições, dentre</p><p>as quais se inclui o Brasil. Consoante observa Patrícia Peck Pinheiro</p><p>(2020), o GDPR ocasionou um “efeito dominó”, no sentido de que a</p><p>legislação europeia demandou que os países que se relacionavam</p><p>comercialmente com aquele bloco econômico deveriam dispor de</p><p>legislação interna que oferecesse grau de proteção equivalente ao</p><p>da GDPR, sob pena de ter restringidas as possibilidades de negó-</p><p>cios com o mercado europeu.</p><p>Assim, a União Europeia consolidou o Regulamento Europeu de</p><p>Proteção de Dados Pessoais com o objetivo de realizar um espaço</p><p>econômico de liberdade e justiça, no qual fossem respeitados os</p><p>direitos conferidos às pessoas físicas titulares dos dados pessoais,</p><p>assegurando, ao mesmo tempo, o desenvolvimento do mercado</p><p>38 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>interno, garantindo-se segurança jurídica e transparência quanto</p><p>ao tratamento de informações pessoais.</p><p>Assim, a Lei Geral de Proteção de Dados brasileira foi fortemen-</p><p>te inspirada pela legislação europeia, atualmente sintetizada pelo</p><p>GDPR, na medida em que são replicados vários conceitos e catego-</p><p>rias normativas, atualmente expressas no texto legal pátrio.</p><p>Por isso, a importância em observar o disposto nas “conside-</p><p>randas” ou preâmbulo do GDPR, que conformam uma espécie de</p><p>“guia” explicativo da norma europeia, absolutamente ausentes na</p><p>lei brasileira. Essa lógica de construção legislativa encontrada na</p><p>maioria, senão na totalidade, dos textos legislativos da União Eu-</p><p>ropeia facilita a compreensão dos objetivos, princípios, conceitos e</p><p>valores que determinada norma pretende comunicar. Assim, o en-</p><p>tendimento do Regulamento europeu passa necessariamente pela</p><p>leitura das 173 considerações iniciais de seu preâmbulo.</p><p>Em que pese as diferenças certamente existentes entre a Lei</p><p>Geral de Proteção de Dados brasileira e o Regulamento europeu,</p><p>as legislações se aproximam em diversos outros pontos, especial-</p><p>mente no que toca aos princípios e objetivos a que estão orienta-</p><p>das: conferir ampla tutela ao direito à proteção de dados pessoais.</p><p>CONSIDERAÇÕES FINAIS</p><p>Diante do que foi exposto no presente capítulo, é possível afirmar</p><p>que o Regulamento Geral Europeu de Proteção de Dados se aplica</p><p>amplamente à proteção de dados pessoais, com ênfase para a livre</p><p>circulação de tais dados no contexto comunitário. Não resta dúvida</p><p>de que, em sociedades mais avançadas, que já encamparam diversos</p><p>arranjos tecnológicos, os dados pessoais são cada vez mais utilizados</p><p>para diferentes finalidades, sejam elas comerciais ou não.</p><p>O GDPR, portanto, foi pensado e estruturado com a finalidade de,</p><p>por um lado, proteger os direitos e garantias assegurados ao titular</p><p>dos dados e, por outro, fomentar as relações negociais que se dão</p><p>no contexto da Sociedade da Informação, propiciando um ambiente</p><p>mais ético e com maior segurança jurídica para usuários e agentes de</p><p>tratamento.</p><p>Leitura</p><p>O texto LGPD e GDPR:</p><p>quais as diferenças e se-</p><p>melhanças?, de Lawrence</p><p>King, publicado no site</p><p>nextlaw academy, aborda</p><p>algumas das principais</p><p>semelhanças e diferenças</p><p>entre GDPR e LGPD,</p><p>destacando como a lei</p><p>europeia influenciou a lei</p><p>brasileira.</p><p>Disponível em: https://www.</p><p>nextlawacademy.com.br/blog/</p><p>lgpd-e-gdpr-quais-as-diferencas-</p><p>e-semelhancas. Acesso em: 14</p><p>maio 2021.</p><p>https://www.nextlawacademy.com.br/blog/lgpd-e-gdpr-quais-as-diferencas-e-semelhancas</p><p>https://www.nextlawacademy.com.br/blog/lgpd-e-gdpr-quais-as-diferencas-e-semelhancas</p><p>https://www.nextlawacademy.com.br/blog/lgpd-e-gdpr-quais-as-diferencas-e-semelhancas</p><p>https://www.nextlawacademy.com.br/blog/lgpd-e-gdpr-quais-as-diferencas-e-semelhancas</p><p>Antecedentes normativos, Direito comparado e marcos legais 39</p><p>A legislação europeia tem amplo escopo de proteção, aplicando-</p><p>-se ao tratamento de dados pessoais realizado de modo automatiza-</p><p>do ou não, sendo observados critérios de aplicação extraterritorial</p><p>quanto ao GDPR quando empresas não localizadas fisicamente na</p><p>União Europeia ofertem bens ou serviços aos cidadãos que</p><p>se encon-</p><p>trem fisicamente em território europeu, além de outras hipóteses.</p><p>ATIVIDADES</p><p>Atividade 1</p><p>Quanto à aplicação, qual é a diferença fundamental entre a Diretiva 95/46/CE</p><p>e o Regulamento Europeu de Proteção de Dados (2016)? Comente.</p><p>Atividade 2</p><p>Quanto ao Regulamento Europeu de Proteção de Dados, é permitido que sejam</p><p>adotadas regras setoriais no que diz respeito a situações específicas? Justifique</p><p>sua resposta.</p><p>Atividade 3</p><p>Discorra acerca do critério considerado para a aplicação territorial do Regulamento</p><p>Europeu de Proteção de Dados.</p><p>REFERÊNCIAS</p><p>BRASIL. Constituição Federal (1988). Diário Oficial da União, Poder Legislativo, Brasília,</p><p>DF, 5 out. 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/Constituicao/</p><p>Constituicao.htm. Acesso em: 14 maio 2021.</p><p>BRASIL, Lei. n. 8.078, de 11 de setembro de 1990. Diário Oficial da União, Poder</p><p>Legislativo, Brasília, DF, 12 set. 1990. Disponível em: http://www.planalto.gov.br/</p><p>ccivil_03/leis/L8078compilado.htm. Acesso em: 14 maio 2021.</p><p>BRASIL, Lei. n. 10.406, de 10 de janeiro de 2002. Diário Oficial da União, Poder</p><p>Legislativo, Brasília, DF, 11 jan. 2002. Disponível em: http://www.planalto.gov.br/</p><p>ccivil_03/leis/2002/L10406compilada.htm. Acesso em: 19 maio 2021.</p><p>BRASIL, Lei n. 12.414, de 9 de junho de 2011. Diário Oficial da União, Poder Legislativo.</p><p>Brasília, DF, 10 jun. 2011. Disponível em: http://www.planalto.gov.br/ccivil_03/_</p><p>Ato2011-2014/2011/Lei/L12414.htm. Acesso em: 14 maio 2021.</p><p>BRASIL. Lei n. 12.965, de 23 de abril de 2014. Diário Oficial da União, Poder Legislativo,</p><p>Brasília, DF, 24 abr. 2014. Disponível em: http://www.planalto.gov.br/ccivil_03/_</p><p>ato2011-2014/2014/lei/l12965.htm. Acesso em: 14 maio 2021.</p><p>http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm</p><p>http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm</p><p>http://www.planalto.gov.br/ccivil_03/leis/L8078compilado.htm</p><p>http://www.planalto.gov.br/ccivil_03/leis/L8078compilado.htm</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12414.htm</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12414.htm</p><p>http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm</p><p>http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm</p><p>40 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>COMISSÃO EUROPEIA. Carta dos Direitos Fundamentais da União Europeia. Jornal</p><p>Oficial Das Comunidades Europeias, 18 dez. 2000. Disponível em: https://www.</p><p>europarl.europa.eu/charter/pdf/text_pt.pdf. Acesso em: 14 maio 2021.</p><p>COMISSÃO EUROPEIA. Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24</p><p>de outubro de 1995. Jornal Oficial Das Comunidades Europeias, 23 nov. 1995 Disponível</p><p>em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A31995L0046.</p><p>Acesso em: 14 maio 2021.</p><p>COMISSÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e</p><p>do Conselho, de 27 de abril de 2016. Jornal Oficial Das Comunidades Europeias,</p><p>4 maio 2016a. Disponível em: https://eur-lex.europa.eu/legal-content/PT/</p><p>ALL/?uri=celex%3A32016R0679. Acesso em: 14 maio 2021.</p><p>COMISSÃO EUROPEIA. Tratado sobre o funcionamento da União Europeia. Jornal</p><p>Oficial Das Comunidades Europeias, 7 jun. 2016b. Disponível em: https://eur-lex.europa.</p><p>eu/resource.html?uri=cellar:9e8d52e1-2c70-11e6-b497-01aa75ed71a1.0019.01/</p><p>DOC_3&format=PDF. Acesso em: 14 maio 2021.</p><p>COMISSÃO EUROPEIA.Convention for the Protection of Individuals with regard to</p><p>Automatic Processing of Personal Data. Treaty Office, 28 jan, 1981. Disponível em</p><p>https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108. Acesso</p><p>em: 14 maio 2021.</p><p>LIMA, C. C. C. Objeto, aplicação material, aplicação territorial. In: MALDONADO, V. N.;</p><p>BLUM, R. Ó. (Coord.). Comentários ao GDPR. Regulamento Geral de Proteção de Dados</p><p>da União Europeia. 4. tiragem. São Paulo: Thomsom Reuters/Revista dos Tribunais,</p><p>2018.</p><p>OEA. Convenção Europeia de Direitos Humanos. 4 nov. 1950. Disponível em: http://</p><p>www.oas.org/es/cidh/expresion/showarticle.asp?artID=536&lID=4. Acesso em: 14</p><p>maio 2021.</p><p>PINHEIRO, P. P. Proteção de Dados Pessoais. Comentários à Lei n. 13.709/2018 (LGPD).</p><p>São Paulo: Saraiva, 2020. [e-book]</p><p>https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A31995L0046</p><p>https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A32016R0679</p><p>https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A32016R0679</p><p>https://eur-lex.europa.eu/resource.html?uri=cellar:9e8d52e1-2c70-11e6-b497-01aa75ed71a1.0019.01/DOC_3&format=PDF</p><p>https://eur-lex.europa.eu/resource.html?uri=cellar:9e8d52e1-2c70-11e6-b497-01aa75ed71a1.0019.01/DOC_3&format=PDF</p><p>https://eur-lex.europa.eu/resource.html?uri=cellar:9e8d52e1-2c70-11e6-b497-01aa75ed71a1.0019.01/DOC_3&format=PDF</p><p>https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108</p><p>http://www.oas.org/es/cidh/expresion/showarticle.asp?artID=536&lID=4</p><p>http://www.oas.org/es/cidh/expresion/showarticle.asp?artID=536&lID=4</p><p>Lei Geral de Proteção de Dados 41</p><p>3</p><p>Lei Geral de Proteção</p><p>de Dados</p><p>Sandro M Kozikoski</p><p>Anne Carolina Stipp Amador Kozikoski</p><p>Com base na revisão da legislação brasileira que antecede</p><p>a Lei Geral de Proteção de Dados e que toca o tema da priva-</p><p>cidade e da proteção de dados pessoais, passa-se à análise so-</p><p>bre a sua aplicabilidade e o âmbito de abrangência, a fim de definir</p><p>seu escopo de aplicação.</p><p>A correta interpretação da lei somente é possível mediante a</p><p>compreensão dos conceitos nela expressos, motivo pelo qual o</p><p>presente capítulo trata de desenvolvê-los e de analisar tanto os</p><p>princípios retores da Lei Geral de Proteção de Dados quanto os</p><p>direitos do titular por ela assegurados.</p><p>Por último, aborda-se a análise dos agentes de tratamento</p><p>elencados pela Lei Geral de Proteção de Dados, que são o contro-</p><p>lador, operador e encarregado de dados , identificando os papéis</p><p>por eles desempenhados no tratamento de dados pessoais dos</p><p>titulares, bem como suas respectivas responsabilidades.</p><p>3.1 Evolução da proteção de dados</p><p>no Direito brasileiro Vídeo</p><p>A Lei Geral de Proteção de Dados (LGPD) brasileira está em sin-</p><p>tonia com as principais legislações protetivas presentes no Direito</p><p>comparado, com foco na tutela e na proteção dos cidadãos e titula-</p><p>res de dados. No entanto, é correto afirmar também que ela busca</p><p>inserir o Brasil no cenário das principais economias de mercado, fo-</p><p>42 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>cando o desenvolvimento econômico do país e buscando fomentar o</p><p>ambiente de negócios da era digital. Isso porque, ao menos em tese,</p><p>caso o legislador brasileiro não tivesse editado a Lei n. 13.709/2018,</p><p>empresas e conglomerados estrangeiros poderiam não estar dis-</p><p>postos a manter suas operações no Brasil. A ausência de legislação</p><p>local representaria uma verdadeira barreira econômica, dificultando</p><p>o comércio com países da União Europeia etc. (PINHEIRO, 2020). É</p><p>preciso repisar o conceito de extraterritorialidade de certos diplomas</p><p>legais estrangeiros. Não se pode perder isso de vista, ainda que as</p><p>empresas e os agentes econômicos, em geral, busquem cultivar uma</p><p>imagem positiva perante o seu círculo de clientes.</p><p>Assim, tendo em vista a escalada de atenções em torno da pro-</p><p>teção de dados, a existência de marcos legais firmes contribui para</p><p>que os agentes de tratamento passem a incrementar políticas inter-</p><p>nas em conformidade com as melhores práticas de mercado e com a</p><p>boa governança, o que também serve como diferencial competitivo</p><p>em seus nichos de atuação. Dito de outra forma, a preocupação com</p><p>a proteção de dados também passa a representar um selo distintivo,</p><p>integrando o patrimônio imaterial das empresas e dos conglomera-</p><p>dos econômicos.</p><p>Portanto, feitas as considerações preliminares, convém observar os</p><p>antecedentes normativos que culminaram na Lei Geral de Proteção de</p><p>Dados brasileira. Oportuno evidenciar que a Constituição da República</p><p>Federativa do Brasil dispõe, no capítulo dos direitos individuais,</p><p>artigo 5º, inciso X, que “são invioláveis a intimidade, a vida privada, a</p><p>honra e a</p><p>imagem das pessoas, assegurado o direito a indenização pelo</p><p>dano material ou moral decorrente de sua violação” (BRASIL, 1988) e,</p><p>no inciso XII, que “é inviolável o sigilo da correspondência e das comu-</p><p>nicações telegráficas, de dados e das comunicações telefônicas, salvo,</p><p>no último caso, por ordem judicial, nas hipóteses e na forma que a lei</p><p>estabelecer para fins de investigação criminal ou instrução processual</p><p>penal” (BRASIL, 1988) 1 . Aliás, nem poderia ser diferente, pois sabida-</p><p>mente a ordem constitucional brasileira erigiu a proteção da dignidade</p><p>da pessoa humana como um dos objetivos fundamentais da República</p><p>(Constituição Federal, art. 1º, III). Porém, ao se cogitar da tutela consti-</p><p>tucional à proteção de dados,</p><p>Há quem defenda, ainda, que</p><p>a LGPD brasileira encontra</p><p>fundamento de validade em</p><p>outros dispositivos constitu-</p><p>cionais. Nesse sentido, tem-se</p><p>a opinião de Pinheiro (2020,</p><p>p. 58): “a proteção aos direitos</p><p>fundamentais é bastante</p><p>evidente o art. 2º da LGPD, que</p><p>pode ser relacionado ao texto</p><p>constitucional brasileiro no que</p><p>concerne ao conteúdo, haja</p><p>vista que a Constituição Federal</p><p>brasileira é pautada na prote-</p><p>ção aos direitos fundamentais.</p><p>Entre os artigos constitucionais</p><p>destacáveis, pode-se citar: art.</p><p>3º, I e II; art. 4º, II; art. 5º, X e</p><p>XII; art. 7º, XXVII; e art. 219”.</p><p>1</p><p>Lei Geral de Proteção de Dados 43</p><p>o esforço a ser empreendido pela doutrina e pela jurisprudência</p><p>deve se consolidar pelo favorecimento de uma interpretação dos</p><p>incisos X e XII do art. 5º mais fiel ao nosso tempo, isto é, reconhe-</p><p>cendo a íntima ligação que passam a ostentar os direitos relacio-</p><p>nados à privacidade e à comunicação de dados. (DONEDA, 2020)</p><p>Portanto, parece adequado pensar a proteção de dados em seu</p><p>aspecto instrumental, derivado da tutela constitucional da privacidade.</p><p>Ademais, pelo seu caráter instrumental, não menos importante é a</p><p>figura do habeas data, idealizado como verdadeiro remédio constitu-</p><p>cional para que qualquer interessado tenha acesso às próprias infor-</p><p>mações pessoais contidas em bancos públicos de dados ou em certas</p><p>entidades particulares. De acordo com Neves (2017, p. 275):</p><p>Não resta qualquer dúvida de que esses cadastros contém infor-</p><p>mações de natureza pública, não obstante sejam de empresas</p><p>privadas; daí ser cabível o habeas data em tal circunstância pelo</p><p>consumidor. Nesse sentido, o art. 43, § 4º, da Lei 8.078/1990, ao</p><p>prever que ‘os bancos de dados e cadastros relativos a consu-</p><p>midores, os serviços de proteção ao crédito e congêneres são</p><p>considerados entidades de caráter público’.</p><p>Dada a sua importância como ferramenta estratégica para a garan-</p><p>tia de outros direitos fundamentais, torna-se conveniente uma breve</p><p>resenha a seu respeito.</p><p>Do habeas data</p><p>Como é de se notar, o legislador constituinte de 1988 idealizou</p><p>o habeas data, assegurado no inciso LXXII do artigo 5º da Cons-</p><p>tituição Federal de 1988, na forma das alíneas “a” e “b” daquele</p><p>permissivo constitucional:</p><p>Art. 5º</p><p>[...]</p><p>LXXII – conceder-se-á “habeas-data”:</p><p>a) para assegurar o conhecimento de informações relativas à</p><p>pessoa do impetrante, constantes de registros ou bancos de</p><p>dados de entidades governamentais ou de caráter público;</p><p>b) para a retificação de dados, quando não se prefira fazê-lo por</p><p>processo sigiloso, judicial ou administrativo. (BRASIL, 1988)</p><p>Sob o ponto de sua finalidade institucional, pode-se afirmar que o</p><p>habeas data foi instituído pela marcante e não menos traumática expe-</p><p>riência histórica do regime de exceção, anterior à Constituição de 1988,</p><p>habeas data: “é o meio</p><p>constitucional posto à disposição</p><p>de pessoa física ou jurídica para</p><p>lhe assegurar o conhecimento</p><p>de registros concernentes ao</p><p>postulante e constantes de</p><p>repartições públicas ou parti-</p><p>culares acessíveis ao público,</p><p>para retificação de seus dados</p><p>pessoais (CF, art. 5º, LXXII, ‘a’ e</p><p>‘b’)” (MEIRELLES, 2006. p. 277).</p><p>Glossário</p><p>44 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>pois eram comuns os relatos de formação de dossiês, com coleta sele-</p><p>tiva de informações referentes a determinadas pessoas, muitas vezes</p><p>com substrato na chamada doutrina de segurança nacional.</p><p>Além disso, também é correto afirmar que alguns países estran-</p><p>geiros já contemplavam figuras semelhantes ao habeas data, com</p><p>previsão de mecanismos legais voltados a viabilizar o acesso às in-</p><p>formações e aos dados constantes de entidades e órgãos do Poder</p><p>Público. Nesse sentido, oportuno compilar, pelo aspecto cronológi-</p><p>co, alguns desses diplomas legais estrangeiros: nos EUA, o Freedom</p><p>of Information Act, de 1974 (alterado pelo Freedom of Information</p><p>Reform Act, de 1978), que objetivou assegurar ao particular as in-</p><p>formações constantes de registros públicos ou mesmo de natureza</p><p>particular, desde que franqueados ao público; a Constituição portu-</p><p>guesa de 1976 2 ; a Constituição Espanhola; a Lei sobre Informática</p><p>e Liberdades da França, em vigor desde 1978, responsável por as-</p><p>segurar o direito do cidadão no tocante ao acesso aos dados pes-</p><p>soais, permitindo-lhes, inclusive, uma eventual retificação; e, sem</p><p>qualquer propósito de esgotar os demais antecedentes normativos,</p><p>a Constituição do Reino dos Países baixos, de 1983.</p><p>Portanto, ao se admitir que o legislador constituinte se deixou</p><p>influenciar pelos antecedentes legais anteriormente transcritos, pa-</p><p>rece certo que a experiência brasileira tenha influenciado diversos</p><p>países da América Latina. Aliás, a Argentina adotou instituto similar</p><p>ao habeas data na revisão constitucional de 1994, sob a forma de</p><p>acción expedita y rápida de amparo. Essa disposição constitucional</p><p>foi regulamentada pela Lei Federal n. 25.326, de 2000. Por fim, a re-</p><p>dação conferida ao parágrafo terceiro do artigo 43 da Constituição</p><p>Nacional portenha diz:.</p><p>Toda pessoa poderá interpor esta ação para tomar conhecimen-</p><p>to dos dados a ela relacionados e a sua finalidade, que constem</p><p>em registros e bancos de dados públicos, ou os privados destina-</p><p>dos a prover relatórios, e no caso de falsidade ou discriminação,</p><p>para exigir a supressão, retificação, confidencialidade ou atuali-</p><p>zação dos mesmos. Não poderá ser afetado o segredo das fontes</p><p>da informação jornalística. (ARGENTINA, 1994, tradução nossa)</p><p>Dessa forma, a Constituição portenha foi precursora ao fazer men-</p><p>ção específica à proteção de dados.</p><p>Consoante a Constituição</p><p>portuguesa: “Art. 35:</p><p>1. Todos os cidadãos tem o direito</p><p>de tomar conhecimento dos</p><p>dados constantes de ficheiros</p><p>ou registros informáticos a</p><p>seu respeito e do fim a que se</p><p>destinam, podendo exigir a sua</p><p>retificação e ritualização, sem</p><p>prejuízo do disposto na lei sobre</p><p>o segredo de Estado e segredo</p><p>de justiça;</p><p>2. É proibido o acesso a ficheiros</p><p>e registros informáticos para</p><p>conhecimento de dados pessoais</p><p>relativos a terceiros e respectiva</p><p>inter-conexão, salvo em casos</p><p>excepcionais previstos em lei”.</p><p>2</p><p>“Além do Brasil, encontramos</p><p>o instituto (nem sempre com o</p><p>mesmo nomen iuris) nos orde-</p><p>namentos da Colômbia (1991),</p><p>Paraguai e Peru (em ambos desde</p><p>1993), Argentina (1994) e Equador</p><p>(1996), além da Venezuela, cuja</p><p>Constituição o menciona, além</p><p>do que existem projetos em</p><p>trâmite para sua implementação</p><p>na Costa Rica, Guatemala, México e</p><p>Panamá” (DONEDA, 2020).</p><p>Curiosidade</p><p>Lei Geral de Proteção de Dados 45</p><p>3.1.1 Habeas data e direito de petição</p><p>O habeas data não pode ser confundido com a figura do direito de</p><p>petição, previsto no inciso XXXIII do artigo 5º da Constituição da Repú-</p><p>blica, que garante ao cidadão o acesso a informações de seu interesse</p><p>particular ou mesmo “de interesse coletivo ou geral, que serão presta-</p><p>das no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas</p><p>cujo sigilo seja imprescindível à segurança da sociedade e do Estado”</p><p>(BRASIL, 1988).</p><p>Para que não pairem dúvidas, no habeas data, a informação requi-</p><p>sitada diz respeito à pessoa do interessado, mais precisamente àquela</p><p>constante de arquivos ou bancos de dados, enquanto o direito de peti-</p><p>ção possui escopo mais amplo, “abrangendo</p><p>outras espécies de infor-</p><p>mações que, apesar de interessarem ao requerente de um eventual</p><p>pedido, não dizem respeito a seus dados pessoais” (NEVES, 2017, p. 272).</p><p>No caso do habeas data, o interessado não precisa sequer cogi-</p><p>tar a motivação pela qual busca conhecer as informações armaze-</p><p>nadas a seu respeito. Já no tocante ao direito de petição, conforme</p><p>assegurado pelo legislador constituinte, o acesso aos dados de in-</p><p>teresse coletivo ou de caráter geral passa a servir, inclusive, como</p><p>meio de participação do cidadão na fiscalização dos atos emanados</p><p>do Poder Público.</p><p>3.1.2 Outros diplomas legais relevantes</p><p>Além dos dispositivos constitucionais voltados à garantia dos di-</p><p>reitos fundamentais, a tutela da privacidade e da proteção de dados</p><p>também aparece dispersa na legislação ordinária brasileira. Mais uma</p><p>vez, sem o propósito de esgotar toda e qualquer reminiscência legal</p><p>ao assunto, convém mencionar alguns desses dispositivos legais para</p><p>melhor compreensão da matéria.</p><p>Nesse aspecto, o Código de Defesa do Consumidor (Lei n. 8.078/1990),</p><p>erigido como microssistema de proteção consumerista, estabeleceu</p><p>uma série de direitos e garantias para o consumidor, com ênfase para a</p><p>regulação em torno dos bancos de dados e cadastros (BRASIL, 1990b):</p><p>Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá</p><p>acesso às informações existentes em cadastros, fichas, registros</p><p>e dados pessoais e de consumo arquivados sobre ele, bem como</p><p>Como bem ressalta Temer (1998,</p><p>p. 213): “O habeas data também</p><p>não pode ser confundido com o</p><p>direito à obtenção de certidões</p><p>em repartições públicas. Ao</p><p>pleitear certidão, o solicitante deve</p><p>demonstrar que o faz para a defesa</p><p>de direitos e esclarecimentos de</p><p>situações de interesse pessoal (ar-</p><p>tigo 5º, inciso XXXIV, b). No habeas</p><p>data basta o simples desejo de</p><p>conhecer as informações relativas</p><p>à sua pessoa, independentemente</p><p>da demonstração de que elas se</p><p>prestarão à defesa de direitos”.</p><p>Atenção</p><p>46 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>sobre as suas respectivas fontes.</p><p>§ 1° Os cadastros e dados de consumidores devem ser objetivos,</p><p>claros, verdadeiros e em linguagem de fácil compreensão, não</p><p>podendo conter informações negativas referentes a período su-</p><p>perior a cinco anos.</p><p>§ 2° A abertura de cadastro, ficha, registro e dados pessoais e</p><p>de consumo deverá ser comunicada por escrito ao consumidor,</p><p>quando não solicitada por ele.</p><p>§ 3° O consumidor, sempre que encontrar inexatidão nos seus</p><p>dados e cadastros, poderá exigir sua imediata correção, devendo</p><p>o arquivista, no prazo de cinco dias úteis, comunicar a alteração</p><p>aos eventuais destinatários das informações incorretas.</p><p>§ 4° Os bancos de dados e cadastros relativos a consumidores,</p><p>os serviços de proteção ao crédito e congêneres são considera-</p><p>dos entidades de caráter público.</p><p>Não por outra razão, em proveito da retomada do crédito e da rea-</p><p>bilitação do consumidor, o registro de dados negativos passou a ser</p><p>tolerado pelo prazo máximo de cinco anos, exigindo-se, ainda, a satis-</p><p>fação de certas formalidades no ato de “negativação”. Assim, segundo</p><p>Bessa e Nunes (2021), não há exagero em se afirmar que, em vários de</p><p>seus dispositivos, a LGPD se inspirou, claramente, no Código de Defesa</p><p>do Consumidor, sendo que, tratando-se de eventual violação aos direi-</p><p>tos do titular de dados que venha a ocorrer no âmbito das relações de</p><p>consumo, o artigo 45 da lei remete diretamente à legislação consume-</p><p>rista: “as hipóteses de violação do direito do titular no âmbito das rela-</p><p>ções de consumo permanecem sujeitas às regras de responsabilidade</p><p>previstas na legislação pertinente” (BRASIL, 2018).</p><p>Já o Código Civil brasileiro (Lei n. 10.406/2002) assinala, em seu ar-</p><p>tigo 11, que “com exceção dos casos previstos em lei, os direitos da</p><p>personalidade são intransmissíveis e irrenunciáveis, não podendo o</p><p>seu exercício sofrer limitação voluntária” (BRASIL, 2002). Por sua vez,</p><p>o artigo 12 do mesmo diploma civil assevera possível a concessão da</p><p>tutela jurisdicional específica e a modalidade ressarcitória, ao dispor</p><p>que “pode-se exigir que cesse a ameaça, ou a lesão, a direito da perso-</p><p>nalidade, e reclamar perdas e danos, sem prejuízo de outras sanções</p><p>previstas em lei” (BRASIL, 2002).</p><p>Sem prejuízo do disposto no artigo 43 do Código de Defesa do</p><p>Consumidor, a Lei Federal n. 12.414, de 2011, ainda disciplinou a for-</p><p>Lei Geral de Proteção de Dados 47</p><p>mação e consulta a banco de dados com informações de adimplemen-</p><p>to, de pessoas naturais ou jurídicas, para fins de formação de histórico</p><p>de crédito. Assim, a Lei do Cadastro Positivo, como ficou conhecida,</p><p>também contempla disposições relevantes sobre os bancos de dados,</p><p>coibindo a adoção de informações excessivas (art. 3º, I, § 3º) e ainda</p><p>aquelas consideradas de natureza sensível (art. 3º, II, § 3º). O artigo 5º</p><p>instituiu no rol dos direitos do cadastrado:</p><p>I - obter o cancelamento ou a reabertura do cadastro, quando</p><p>solicitado;</p><p>II - acessar gratuitamente, independentemente de justificativa,</p><p>as informações sobre ele existentes no banco de dados, inclusive</p><p>seu histórico e sua nota ou pontuação de crédito, cabendo ao</p><p>gestor manter sistemas seguros, por telefone ou por meio ele-</p><p>trônico, de consulta às informações pelo cadastrado (Redação</p><p>dada pela Lei Complementar n. 166 de 2019);</p><p>III - solicitar a impugnação de qualquer informação sobre ele er-</p><p>roneamente anotada em banco de dados e ter, em até 10 (dez)</p><p>dias, sua correção ou seu cancelamento em todos os bancos de</p><p>dados que compartilharam a informação;</p><p>IV - conhecer os principais elementos e critérios considerados</p><p>para análise de risco, resguardado o segredo empresarial;</p><p>V - ser informado previamente sobre a identidade do gestor e</p><p>sobre o armazenamento e o objetivo do tratamento dos dados</p><p>pessoais;</p><p>VI - solicitar ao consulente a revisão de decisão realizada exclusi-</p><p>vamente por meios automatizados; e</p><p>VII - ter os seus dados pessoais utilizados somente de acordo com</p><p>a finalidade para a qual eles foram coletados. (BRASIL, 2011a)</p><p>A Lei de Acesso à Informação (Lei n. 12.527/2011) é outro impor-</p><p>tante diploma legislativo federal que contemplou vários de seus dis-</p><p>positivos em prol desse direito fundamental (art. 3º), fazendo menção</p><p>a determinadas categorias legais que tocam diretamente o cerne da</p><p>proteção de dados. Em caráter meramente exemplificativo, o artigo 4º</p><p>da Lei n. 12.527 contemplou precursoramente, em seu inciso I, a defini-</p><p>ção legal de informação, “dados, processados ou não, que podem ser</p><p>utilizados para produção e transmissão de conhecimento, contidos em</p><p>qualquer meio, suporte ou formato” (BRASIL, 2011b); de informação</p><p>pessoal, “aquela relacionada à pessoa natural identificada ou identificá-</p><p>vel”, em seu inciso II (BRASIL, 2011b); e, em seu inciso III, de tratamento</p><p>48 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>da informação, “conjunto de ações referentes à produção, recepção,</p><p>classificação, utilização, acesso, reprodução, transporte, transmissão,</p><p>distribuição, arquivamento, armazenamento, eliminação, avaliação,</p><p>destinação ou controle da informação” (BRASIL, 2011b).</p><p>Além disso, conforme já mencionado, na Constituição Federal, ar-</p><p>tigo 5º, XXXIII, com a ressalva das situações secretas ou reservadas,</p><p>“cujo sigilo seja imprescindível à segurança da sociedade ou do Estado”</p><p>(BRASIL, 1988), os eventuais interessados têm o direito de receber dos</p><p>órgãos e das entidades públicas informações de natureza particular ou</p><p>pública, competindo à Administração Pública fornecê-las e responder</p><p>às solicitações específicas que venham a ser feitas pelos cidadãos.</p><p>O Marco Civil da Internet (Lei n. 12.965/2014) também deve ser</p><p>lembrado na linha dos antecedentes normativos da LGPD. Afinal, o</p><p>artigo 3º daquele diploma prevê que “a disciplina do uso da internet no</p><p>Brasil tem o seguinte princípio: [...] III – proteção dos dados pessoais,</p><p>na forma da lei” (BRASIL, 2014). Ainda que tivessem surgido críticas à</p><p>locução final do inciso III do referido artigo 3º,</p><p>ao tempo em que o Mar-</p><p>co Civil foi editado, a LGPD supriu essa lacuna legal. Por fim, o artigo 7º</p><p>daquele diploma legal realça que:</p><p>Art. 7 º O acesso à internet é essencial ao exercício da cidadania,</p><p>e ao usuário são assegurados os seguintes direitos:</p><p>I - inviolabilidade da intimidade e da vida privada, sua proteção</p><p>e indenização pelo dano material ou moral decorrente de sua</p><p>violação;</p><p>II - inviolabilidade e sigilo do fluxo de suas comunicações pela</p><p>internet, salvo por ordem judicial, na forma da lei;</p><p>III - inviolabilidade e sigilo de suas comunicações privadas arma-</p><p>zenadas, salvo por ordem judicial. (BRASIL, 2014)</p><p>Portanto, pode-se concluir que a conjugação desses diferentes di-</p><p>plomas legais e a remissão expressa do artigo 45 da LGPD às dispo-</p><p>sições do Código de Defesa do Consumidor permitem a idealização e</p><p>detecção de um microssistema normativo da proteção de dados.</p><p>Não se trata de mero capricho dogmático, eis que a idealização de um</p><p>microssistema normativo permite aludir a um modelo de vasos comu-</p><p>nicantes entre os diversos diplomas legais complementares, com a</p><p>identificação de parâmetros para colmatar eventuais lacunas, em que</p><p>o critério da especialidade prevalece sobre a generalidade da lei civil.</p><p>Lei Geral de Proteção de Dados 49</p><p>3.2 Abrangência e aplicabilidade</p><p>Vídeo A Lei Geral de Proteção de Dados (Lei n. 13.709/2018) entrou em vi-</p><p>gor em 18 de setembro de 2020, conferindo ampla proteção aos titula-</p><p>res no tratamento de seus dados pessoais. Tem os fundamentos legais</p><p>que a orientam elencados em seu artigo 2º, que indica que a norma</p><p>objetiva o tratamento de dados, pautado na proteção dos direitos fun-</p><p>damentais de liberdade e de privacidade, e o livre desenvolvimento da</p><p>personalidade da pessoa natural, os quais se depreendem do direito à</p><p>proteção de dados.</p><p>Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:</p><p>I – o respeito à privacidade;</p><p>II – a autodeterminação informativa;</p><p>III – a liberdade de expressão, de informação, de comunicação e de opinião;</p><p>IV – a inviolabilidade da intimidade, da honra e da imagem;</p><p>V – o desenvolvimento econômico e tecnológico e a inovação;</p><p>VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e</p><p>VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e</p><p>o exercício da cidadania pelas pessoas naturais. (BRASIL, 2018)</p><p>A evolução do direito à proteção de dados pessoais desenvolvida</p><p>pela doutrina moderna, consoante apresentado anteriormente, elabo-</p><p>ra a elevação desse direito como um direito fundamental do indivíduo,</p><p>merecendo status constitucional. A Proposta de Emenda à Constitui-</p><p>ção n. 17/2019, em tramitação e apresentada pelo Senado Federal em</p><p>3 de julho de 2019, pretende alterar a Constituição da República para</p><p>incluir a proteção de dados pessoais entre os direitos e as garantias</p><p>fundamentais e para fixar a competência privativa da União para legis-</p><p>lar sobre a proteção e o tratamento de dados pessoais (BRASIL, 2019).</p><p>A LGPD dispõe sobre o tratamento de dados pessoais realizado por</p><p>meios físicos ou digitais, por pessoa natural (pessoa física) ou jurídica,</p><p>independentemente do país de sua sede ou de onde estejam localiza-</p><p>dos os dados, desde que envolvam o território nacional:</p><p>50 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos</p><p>meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou</p><p>privado, com o objetivo de proteger os direitos fundamentais de liberdade e</p><p>de privacidade e o livre desenvolvimento da personalidade da pessoa natural.</p><p>Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacio-</p><p>nal e devem ser observadas pela União, Estados, Distrito Federal e Municípios.</p><p>(BRASIL, 2018)</p><p>A LGPD, portanto, recai sobre o tratamento de dados pessoais feito</p><p>de modo físico ou digital indistintamente. Assim, é fundamental para</p><p>a compreensão e aplicabilidade da lei o entendimento de seus con-</p><p>ceitos basilares. Com a intenção de facilitar as disposições da norma,</p><p>o artigo 5º compreende uma espécie de glossário, facilitando o enten-</p><p>dimento de alguns dos conceitos e das terminologias empregados no</p><p>texto legal.</p><p>Nesse sentido, dado pessoal se refere, ao que apresenta o artigo 5º,</p><p>inciso I, a toda “informação relacionada a uma pessoa natural identifi-</p><p>cada ou identificável” (BRASIL, 2018), não se limitando a informações</p><p>pessoais diretas, como nome, sobrenome, endereço etc., porém alcan-</p><p>çando outras que permitam a identificação da pessoa física, a exemplo</p><p>dos dados de geolocalização, placas de veículos, número de Internet</p><p>Protocol (IP), entre outras. É necessário que, direta ou indiretamente,</p><p>seja possível a identificação de uma pessoa natural para que seja ca-</p><p>racterizado o dado pessoal. Segundo Mendes (2011), a proteção de</p><p>dados conectados à esfera pessoal compreende a tutela da própria</p><p>personalidade do indivíduo, pois essa conforma o conjunto de carac-</p><p>terísticas que distinguem uma pessoa. Assim, o Direito visa proteger</p><p>as violações a quaisquer atributos, corpóreos ou incorpóreos, que for-</p><p>mem a projeção da pessoa humana (VAINZOIF, 2019).</p><p>Os dados pessoais sensíveis são aqueles passíveis de derivar hi-</p><p>póteses de discriminação quando do seu tratamento, exatamente por</p><p>recaírem sobre características da personalidade do indivíduo e das</p><p>suas escolhas pessoais, como sua origem racial ou étnica, convicção</p><p>religiosa, opinião política, filiação a sindicato ou à organização de ca-</p><p>ráter religioso, filosófico ou político, dado referente à saúde ou à vida</p><p>sexual, genético ou biométrico, vinculado a uma pessoa natural. Esses</p><p>Lei Geral de Proteção de Dados 51</p><p>são dados que poderão implicar maiores riscos e vulnerabilidades po-</p><p>tencialmente mais gravosas ao titular.</p><p>O estudo inicial da lei exige a compreensão acerca de dois outros</p><p>conceitos: titular de dados e tratamento de dados. Entende-se por ti-</p><p>tular de dados a pessoa natural, portanto pessoa física, como mostra</p><p>o artigo 5º da LGPD, a quem se referem os dados pessoais, objeto de</p><p>tratamento. Por outro lado, tratamento de dados compreende toda</p><p>operação realizada com dados pessoais durante todo o seu ciclo de vida</p><p>(Figura 1), passando por sua coleta, produção, recepção, classificação,</p><p>utilização, acesso, reprodução, distribuição, processamento, arquiva-</p><p>mento, armazenamento, eliminação ou controle da informação, modifi-</p><p>cação, comunicação, transferência, difusão ou extração (BRASIL, 2018).</p><p>Figura 1</p><p>Ciclo do tratamento de dados</p><p>Coleta</p><p>Processamento</p><p>Análise</p><p>Compartilhamento</p><p>Armazenamento</p><p>Reutilização</p><p>Eliminação</p><p>LGPD</p><p>Art. 5º</p><p>se</p><p>amuss/Shutterstock</p><p>Fonte: Elaborada com base em Alves, 2021.</p><p>O artigo 5º, inciso III, traz ainda outros conceitos, como o de dados</p><p>anonimizados, ou “anonimização”, entendidos como aqueles que, em</p><p>razão da aplicação de meios técnicos razoáveis e disponíveis no mo-</p><p>mento do tratamento, perdem a possibilidade de associação ao titular</p><p>a que correspondem. Desse modo, a utilização de meios tecnológicos</p><p>possibilita a não identificação, direta ou indireta, do titular dos dados.</p><p>52 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Dados anonimizados não se confundem com os pseudoanonimizados,</p><p>que são aqueles que não permitem a identificação, direta ou indireta,</p><p>do titular, senão pelo uso de uma informação adicional, mantida se-</p><p>paradamente pelo controlador (um dos agentes de tratamento, o qual</p><p>será abordado adiante) em ambiente seguro e controlado, sendo pos-</p><p>sível a sua reversibilidade.</p><p>Ainda, há a definição de banco de dados no inciso IV do artigo 5º da</p><p>LGPD, sendo o conjunto estruturado de dados pessoais estabelecido</p><p>em um ou vários locais, em suporte físico ou eletrônico, além de outros</p><p>conceitos e definições.</p><p>Com relação à aplicabilidade (art. 3º), a LGPD confere ampla tutela</p><p>ao direito à proteção de dados pessoais, impactando todos os setores</p><p>da economia e se aplicando a qualquer operação de tratamento de da-</p><p>dos realizada</p><p>por pessoa natural ou jurídica, seja ela de direito público</p><p>ou privado, independentemente do meio, de sua sede ou do país onde</p><p>estejam localizados os dados, desde que:</p><p>I – a operação de tratamento seja realizada no território nacional;</p><p>II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de</p><p>bens ou serviços ou o tratamento de dados de indivíduos localizados no território</p><p>nacional; ou</p><p>III – os dados pessoais objeto do tratamento tenham sido coletados no território</p><p>nacional</p><p>§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titu-</p><p>lar nele se encontre no momento da coleta. (BRASIL, 2018, grifos nossos)</p><p>A aplicabilidade da LGPD, igual ao que sucede no Regulamento</p><p>Europeu de Proteção de Dados, não se relaciona à cidadania, à nacio-</p><p>nalidade ou à residência do titular de dados, e sim ao local onde se</p><p>realiza a operação de tratamento de dados, à atividade de tratamento</p><p>de dados para o oferecimento do produto ou serviço a indivíduos loca-</p><p>lizados no território nacional ou, ainda, a dados pessoais que tenham</p><p>sido coletados na extensão nacional, ou seja, quando o titular de dados</p><p>se encontra no Brasil no momento da coleta.</p><p>Vale anotar a ponderação de</p><p>Vainzoif (2019, p. 101): “se qualquer</p><p>dado anonimizado carrega grande</p><p>risco de se transformar em dado</p><p>pessoal, diante da possibilidade de</p><p>agregação de outros dados e da</p><p>teoria expansionista que adotamos</p><p>no Brasil, a menos a LGPD traz</p><p>critérios específicos para que os</p><p>controladores possam utilizar</p><p>em suas respectivas avaliações.</p><p>Porém, é urgente que a ANPD</p><p>estabeleça padrões e técnicas a</p><p>serem utilizados em processos de</p><p>anonimização para garantir maior</p><p>segurança jurídica”.</p><p>Importante</p><p>Lei Geral de Proteção de Dados 53</p><p>Em contrapartida, a lei, em seu artigo 4º, não se aplica ao tratamen-</p><p>to de dados pessoais:</p><p>I - realizado por pessoa natural para fins exclusivamente particulares e não</p><p>econômicos;</p><p>II - realizado para fins exclusivamente:</p><p>a) jornalístico e artísticos; ou</p><p>b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;</p><p>III - realizado para fins exclusivos de:</p><p>a) segurança pública;</p><p>b) defesa nacional;</p><p>c) segurança do Estado; ou</p><p>d) atividades de investigação e repressão de infrações penais; ou</p><p>IV - provenientes de fora do território nacional e que não sejam objeto de comu-</p><p>nicação, uso compartilhado de dados com agentes de tratamento brasileiros ou</p><p>objeto de transferência internacional de dados com outro país que não o de prove-</p><p>niência, desde que o país de proveniência proporcione grau de proteção de dados</p><p>pessoais adequado ao previsto nesta Lei. (BRASIL, 2018)</p><p>Além disso, conforme pontua Pinheiro (2020),</p><p>a necessidade de uma lei específica sobre proteção de dados</p><p>pessoais decorre da forma como está sustentado o modelo de</p><p>negócios na sociedade digital, na qual a informação passou a</p><p>ser a principal moeda de troca utilizada pelos usuários para ter</p><p>acesso a determinados bens, serviços ou conveniências.</p><p>A LGPD é abrangente no que toca a seu alcance extraterritorial, que</p><p>se aplica também aos dados que sejam tratados fora do Brasil, des-</p><p>de que a coleta tenha ocorrido em território nacional, ou em caso de</p><p>oferta de produto ou serviço dirigida a indivíduos no país ou que nele</p><p>estivessem. Nesse sentido, a lei não se limita à sua aplicabilidade ter-</p><p>ritorial, bastando a existência de qualquer operação de tratamento de</p><p>dados em âmbito nacional, carecendo de regulação e direcionamento</p><p>por parte da Autoridade Nacional de Proteção de Dados (ANPD) 3 .</p><p>Conforme observa Vainzoif (2019,</p><p>p. 59), existem casos em que “a</p><p>operação do tratamento seja tão</p><p>reduzida, do ponto de vista quan-</p><p>titativo e qualitativo (criticidade</p><p>dos dados operados), que não faz</p><p>necessário a aplicação da Lei”.</p><p>3</p><p>54 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>3.3 Princípios da Lei Geral de Proteção de Dados</p><p>Vídeo A LGPD é uma legislação estruturada sobre forte base principio-</p><p>lógica, trazendo uma série de princípios previstos no artigo 6º da lei</p><p>que norteiam a aplicação de todos os seus demais preceitos e que</p><p>são obrigatórios.</p><p>Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-</p><p>-fé e os seguintes princípios:</p><p>I - finalidade: [...]</p><p>II - adequação: [...]</p><p>III - necessidade: [...]</p><p>IV - livre acesso: [...]</p><p>V - qualidade dos dados: [...]</p><p>VI - transparência: [...]</p><p>VII - segurança: [...]</p><p>VIII - prevenção: [...]</p><p>IX - não discriminação: [...]</p><p>X - responsabilização e prestação de contas: [...] (BRASIL, 2018)</p><p>As atividades de tratamento de dados pessoais se regem, como re-</p><p>gra geral, pelo princípio da boa-fé, que orienta as relações do mun-</p><p>do civil. O primeiro princípio relacionado no artigo 6º é o princípio da</p><p>finalidade, o qual impõe que o tratamento de dados pessoais deve ser</p><p>realizado com propósitos legítimos e finalidade específica informada</p><p>ao titular, pautando as atividades de tratamento de dados posterior-</p><p>mente desenvolvidas e vinculando-as ao motivo que fundamentou a</p><p>sua coleta. Desse modo, a finalidade externada quando da coleta deve</p><p>ser compatível com as atividades de tratamento subsequentes.</p><p>Doneda (2015) aponta que a sua utilização sempre será vinculada</p><p>ao motivo que fundamentou essa coleta, nascendo uma ligação en-</p><p>tre a informação e a sua origem, interligando-se ao fim de sua coleta,</p><p>de modo que essa deva ser levada em conta em qualquer tratamento</p><p>posterior. Como o dado pessoal é uma expressão direta da personali-</p><p>dade do indivíduo, nunca perde seu elo com este, pois sua utilização</p><p>pode refletir diretamente o seu titular.</p><p>Lei Geral de Proteção de Dados 55</p><p>Não há, portanto, possibilidade de tratamento posterior incompatível</p><p>com a finalidade informada ao titular no momento da coleta, de modo</p><p>que ele deverá ser informado sobre o tratamento de seus dados pessoais</p><p>de modo claro, adequado e ostensivo, garantindo que todos os envolvidos</p><p>tenham o mesmo entendimento sobre o propósito desse tratamento.</p><p>O princípio da adequação, relacionado no inciso II do artigo 6º,</p><p>diz respeito à necessidade de compatibilidade entre o tratamento de</p><p>dados pretendido e a finalidade a ele relacionada, de acordo com o</p><p>contexto do tratamento. Esse princípio está, portanto, diretamente re-</p><p>lacionado com o da finalidade.</p><p>Já o princípio da necessidade guarda relação com os dois prin-</p><p>cípios anteriores, na medida em que relaciona a limitação do trata-</p><p>mento ao mínimo necessário para a realização de sua finalidade</p><p>pretendida, de modo que os dados sejam pertinentes, proporcionais e</p><p>não excessivos ao objetivo de tratamento. Sendo assim, os dados co-</p><p>letados para fazer certa atividade de tratamento devem corresponder</p><p>ao mínimo necessário para o desenvolvimento dessa atividade (data</p><p>minimization), questão que deve ser considerada na estruturação das</p><p>operações de tratamento.</p><p>Nesse ponto, a LGPD impõe uma mudança radical quanto à cultura</p><p>de reter a maior quantidade possível de dados pessoais para alcançar</p><p>dada finalidade, sendo que as práticas empresariais empregadas nesse</p><p>sentido, até a vigência da lei, devem ser revistas.</p><p>O princípio do livre acesso, previsto no inciso IV do artigo 6º da</p><p>LGPD, garante ao titular de dados o acesso facilitado e gratuito às suas</p><p>informações pessoais (objeto de tratamento), de modo a permitir que</p><p>ele controle o uso de seus dados pessoais (autodeterminação infor-</p><p>mativa), o fluxo informacional e a forma e duração de seu tratamento.</p><p>O princípio da qualidade dos dados opera como garantia de que</p><p>as informações dos titulares sejam mantidas de maneira precisa e</p><p>atualizada, já que uma eventual imprecisão poderia dar margem a um</p><p>tratamento viciado, capaz de causar danos ao indivíduo.</p><p>O princípio da transparência pauta os preceitos previstos na LGPD</p><p>como garantia aos titulares de informações claras, precisas e facilmen-</p><p>te acessíveis sobre a realização do tratamento e os seus respectivos</p><p>agentes, observados os segredos comercial e industrial. A aplicação</p><p>desse princípio, portanto, exige</p><p>o conhecimento do titular sobre os</p><p>O STJ, no julgamento do Recurso</p><p>Especial n. 1348532/SP (BRASIL,</p><p>2017) menciona expressamente o</p><p>princípio da minimização dos dados</p><p>do GDPR para declarar abusiva e</p><p>ilegal cláusula prevista em contrato</p><p>de prestação de serviços de cartão</p><p>de crédito, que autoriza o banco</p><p>contratante a compartilhar dados</p><p>dos consumidores com outras</p><p>entidades financeiras, sem que seja</p><p>dada a opção de discordar daquele</p><p>compartilhamento.</p><p>Saiba mais</p><p>56 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>agentes e as características de tratamento relativo a seus dados pes-</p><p>soais, bem como os critérios e procedimentos empregados, garantindo</p><p>a confiança nos procedimentos e possibilitando a tomada de decisões</p><p>referente ao exercício de seus direitos.</p><p>Vale anotar que as informações obrigatórias ao titular, previstas na</p><p>LGPD, que conformam os requisitos mínimos para o cumprimento do</p><p>princípio da transparência, devem ser adaptadas conforme o caso con-</p><p>creto e o público-alvo.</p><p>O princípio da segurança, previsto no inciso VII do artigo 6º da</p><p>LGPD, dispõe sobre a utilização de medidas técnicas e administrativas</p><p>aptas a proteger os dados pessoais de acessos não autorizados e de</p><p>situações acidentais ou ilícitas. A segurança da informação se orienta</p><p>para a evitação de incidentes de vazamento de dados e para a adoção</p><p>de sistemas estruturados que atendam aos requisitos de segurança, às</p><p>boas práticas e aos padrões de governança compatíveis com a LGPD e</p><p>as demais normas.</p><p>Ainda, o princípio da prevenção orienta a adoção de medidas</p><p>para prevenir a ocorrência de danos em virtude do tratamento de da-</p><p>dos pessoais. Logo, as medidas de prevenção tomadas deverão ser</p><p>compatíveis com o grau de risco implicado nas atividades de tratamen-</p><p>to concretamente, considerando tanto as atividades desempenhadas</p><p>quanto a natureza dos dados que são objeto de tratamento. Dados</p><p>pessoais sensíveis, por exemplo, demandam maior grau de cuidado</p><p>em seu tratamento.</p><p>A LGPD orienta para o fomento de uma cultura que promova a miti-</p><p>gação dos riscos no tratamento de dados pessoais antes mesmo de seu</p><p>início, devendo ser pensada desde a concepção das ferramentas e dos</p><p>processos adotados. Nesse sentido, a prevenção de que trata a LGPD</p><p>deve ser pautada pelo conceito de privacy by design, desenvolvido pela</p><p>canadense Ann Cavoukian, segundo o qual a proteção se estrutura por</p><p>meio dos sistemas de tecnologia da informação (IT systems), práticas</p><p>negociais responsáveis (accountable business practices) e design físico e</p><p>infraestrutura de rede (physical and networked infrastructure). Privacy by</p><p>design significa que todas as etapas do processo de desenvolvimento</p><p>de um produto ou serviço foram pensadas considerando a proteção à</p><p>privacidade (CAVOUKIAN, 2009), ou seja, ela começa a ser alinhada já</p><p>no início do projeto, seja ele o desenvolvimento de um software, seja o</p><p>planejamento do desenvolvimento estratégico da empresa.</p><p>Lei Geral de Proteção de Dados 57</p><p>O artigo Privacy by design: the 7 foundational principles, de Ann Cavoukian,</p><p>aprofunda os sete princípios que fundamentam o privacy by design.</p><p>Acesso em: 14 maio 2021.</p><p>https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf.</p><p>Artigo</p><p>O princípio da não discriminação estabelece a impossibilidade de</p><p>realização do tratamento de dados para fins discriminatórios ilícitos ou</p><p>abusivos, conforme artigo 6º, inciso IX. O desenvolvimento da tecno-</p><p>logia, somado ao grande volume de dados e à possibilidade de cruza-</p><p>mento entre esses, possibilitam também seu mau uso. Considerando</p><p>que a proteção de dados pessoais envolve a tutela dos direitos da per-</p><p>sonalidade, diante da possibilidade da estigmatização do indivíduo fun-</p><p>dado no tratamento de suas informações pessoais, torna-se necessária</p><p>a mitigação do risco inerente ao tratamento de dados pessoais.</p><p>O último princípio previsto no artigo 6º corresponde ao princípio da</p><p>responsabilização e prestação de contas, que diz respeito à necessi-</p><p>dade de demonstração, pelo agente, da adoção de medidas eficazes</p><p>e capazes de comprovar o cumprimento das normas de proteção de</p><p>dados pessoais e a sua eficácia. Esse princípio denota a intenção do le-</p><p>gislador em alertar aos controladores e operadores sobre a responsa-</p><p>bilidade relativa ao cumprimento das exigências legais para a garantia</p><p>dos objetivos e fundamentos estabelecidos na lei.</p><p>Figura 2</p><p>Princípios da LGPD</p><p>Finalidade Adequação Necessidade Livre acesso</p><p>Qualidade Transparência Segurança Prevenção</p><p>Não discriminação</p><p>Responsabilização e</p><p>prestação de contas</p><p>Fonte: Elaborada pela autora.</p><p>https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf</p><p>58 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>A responsabilização e prestação de contas, para além do cumpri-</p><p>mento do disposto na lei, impõe a possibilidade da demonstração de</p><p>que as medidas foram efetivamente adotadas e de que são eficazes.</p><p>O dever de manter o registro das operações de tratamento de dados</p><p>imposto ao controlador e operador se justifica não somente porque a</p><p>ANPD pode, a qualquer momento, requisitar informações sobre as ope-</p><p>rações de tratamento de dados, mas também diante da necessidade de</p><p>produção de provas no caso de eventual demanda judicial.</p><p>3.4 Direitos do titular</p><p>Vídeo O capítulo terceiro da LGPD elenca, de modo expresso, os direitos</p><p>assegurados aos titulares de dados e que por eles podem ser exercidos.</p><p>Como já referido em apartado antecedente, a LGPD tem por escopo a</p><p>proteção dos direitos do titular de dados, sendo ele pessoa natural (físi-</p><p>ca) a quem se referem os dados pessoais, que são objeto de tratamen-</p><p>to. O artigo 17 assegura a titularidade dos dados pessoais e a proteção</p><p>dos direitos fundamentais de liberdade, intimidade e privacidade como</p><p>prerrogativas da pessoa natural: “Toda pessoa natural tem assegurada</p><p>a titularidade de seus dados pessoais e garantidos os direitos funda-</p><p>mentais de liberdade, de intimidade e de privacidade, nos termos desta</p><p>Lei” (BRASIL, 2018).</p><p>Os direitos e as garantias expressos na LGPD, portanto, dizem</p><p>respeito exclusivamente a pessoas físicas e poderão ser restringidos</p><p>em razão de restrição ou exceção legal quando ocorrer a preponde-</p><p>rância de interesses que se sobreponham à vontade do titular.</p><p>3.4.1 Rol de direitos do titular</p><p>O artigo 18 da LGPD prevê que o titular de dados pessoais tem o</p><p>direito de obter do controlado, com relação aos dados do titular por ele</p><p>tratados, a qualquer momento e mediante requisição:</p><p>I. Confirmação da existência de tratamento: a possibilidade de</p><p>confirmação do tratamento se refere a sua própria existência.</p><p>Esse direito está relacionado à transparência, tendo o titular o</p><p>direito de meramente confirmar a existência de tratamento</p><p>Lei Geral de Proteção de Dados 59</p><p>sobre as suas informações pessoais. Trata-se de garantir a ele o</p><p>controle de seus dados pessoais, assegurando-lhe a possibilidade</p><p>de formular requisição para seu mero conhecimento.</p><p>II. Acesso aos dados: o titular que tenha seus dados pessoais</p><p>tratados por outrem poderá ter acesso a eles, bem como a todas</p><p>as demais informações relativas às atividades de tratamento.</p><p>III. Correção de dados incompletos, inexatos ou desatualizados:</p><p>refere-se ao direito dos titulares de dados de que seus dados se-</p><p>jam mantidos completos, exatos e atualizados. Uma eventual im-</p><p>precisão quanto às suas informações pessoais poderia acarretar</p><p>consequências negativas ou ao menos constrangedoras para o</p><p>titular, seja com relação à sua identificação, seja no delineamento</p><p>de seu perfil.</p><p>IV. Anonimização, bloqueio ou eliminação de dados desnecessá-</p><p>rios, excessivos ou tratados em desconformidade: o direito à</p><p>anonimização remete ao conceito expresso no inciso III do artigo</p><p>5º da lei, muito embora o exercício desse direito não ocorra de</p><p>maneira irrestrita, em face da própria lei. Ao dispor sobre a conve-</p><p>niência do processo de anonimização, faz a ressalva do “sempre</p><p>que possível” (como podemos ver no artigo 7º, inciso IV;</p><p>21 da lei prevê o direito à não retribuição, disposição que</p><p>pretende impedir que o titular seja prejudicado por exercer qualquer</p><p>um de seus direitos: “os dados pessoais referentes ao exercício re-</p><p>Lei Geral de Proteção de Dados 63</p><p>gular de direitos pelo titular não podem ser utilizados em seu prejuí-</p><p>zo” (BRASIL, 2018).</p><p>A utilização indevida de dados, nesse contexto, pode indicar condu-</p><p>ta abusiva ou eivada de má-fé no tratamento dos dados do titular, su-</p><p>jeitando o controlado ou terceiro a consequências materiais ou morais</p><p>em decorrência da vedação legal.</p><p>3.4.3 Direitos do titular x subproduto de sistemas</p><p>O artigo 20 da LGPD prevê o direito à revisão das decisões automa-</p><p>tizadas pelo titular. A saber:</p><p>Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas</p><p>unicamente com base em tratamento automatizado de dados pessoais que afetem</p><p>seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, pro-</p><p>fissional, de consumo e de crédito ou os aspectos de sua personalidade.</p><p>§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e</p><p>adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão</p><p>automatizada, observados os segredos comercial e industrial.</p><p>§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo</p><p>baseado na observância de segredo comercial e industrial, a autoridade nacional</p><p>poderá realizar auditoria para verificação de aspectos discriminatórios em trata-</p><p>mento automatizado de dados pessoais. (BRASIL, 2018)</p><p>O uso da tecnologia no tratamento de dados é realidade posta e,</p><p>por essa razão, a LGPD conta com disposição expressa para possibilitar</p><p>a revisão de decisões algorítmicas, prevendo o direito à revisão das de-</p><p>cisões automatizadas como forma de proteger a dignidade do usuário</p><p>cujos dados tenham sido utilizados para alimentar algoritmos de toma-</p><p>da de decisões, que nem sempre refletem as informações pessoais do</p><p>titular corretamente, na medida em que podem ser influenciados por</p><p>vieses humanos.</p><p>O direito a pedir explicações quanto a esse tipo de decisão surge da</p><p>necessidade de mitigar os problemas derivados. A opacidade da tomada</p><p>de decisões automatizadas pode resultar em graves consequências so-</p><p>ciais ao titular, na definição do perfil pessoal ou profissional, de con-</p><p>sumo, de crédito ou de outros aspectos de sua personalidade. Assim,</p><p>a explicação pretendida visa entender as razões ou justificativas que</p><p>levaram à conclusão derivada da tomada de decisões automatizadas.</p><p>64 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>3.5 Bases legais de tratamento de</p><p>dados pessoais e exceções Vídeo</p><p>O tratamento de dados somente é permitido desde que fundamen-</p><p>tado em alguma das dez bases legais elencadas no artigo 7º da LGPD:</p><p>I - mediante o fornecimento de consentimento pelo titular;</p><p>II - para o cumprimento de obrigação legal ou regulatória pelo controlador;</p><p>III - pela administração pública, para o tratamento e uso compartilhado de dados</p><p>necessários à execução de políticas públicas previstas em leis e regulamentos ou</p><p>respaldadas em contratos, convênios ou instrumentos congêneres, observadas as</p><p>disposições do Capítulo IV desta Lei;</p><p>IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que</p><p>possível, a anonimização dos dados pessoais;</p><p>V - quando necessário para a execução de contrato ou de procedimentos prelimina-</p><p>res relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;</p><p>VI - para o exercício regular de direitos em processo judicial, administrativo ou ar-</p><p>bitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de</p><p>Arbitragem) ;</p><p>VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;</p><p>VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profis-</p><p>sionais de saúde, serviços de saúde ou autoridade sanitária;</p><p>IX - quando necessário para atender aos interesses legítimos do controlador ou de</p><p>terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titu-</p><p>lar que exijam a proteção dos dados pessoais; ou</p><p>X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.</p><p>(BRASIL, 2018)</p><p>O tratamento de dados pessoais somente é considerado conforme</p><p>a lei se verificada alguma das hipóteses legais que o autorizam. Sen-</p><p>do observada a necessidade de tratamento de dados orientada a dada</p><p>finalidade, torna-se mandatória a vinculação a uma das bases legais</p><p>elencadas no artigo 7º da lei.</p><p>Segundo Bioni (2020), o consentimento é a primeira base legal pre-</p><p>vista no inciso I do artigo 7º da LGPD, que prevê que o tratamento de</p><p>dados pessoais pode ser realizado mediante consentimento de seu ti-</p><p>Lei Geral de Proteção de Dados 65</p><p>tular. De fato, essa hipótese coloca o titular no centro do controle acer-</p><p>ca da utilização de seus dados pessoais.</p><p>Conforme artigo 7º, parágrafo 6º, da LGPD, o consentimento de-</p><p>verá ser livre e informado. Livre porque não será válido caso obtido</p><p>por meio de vício de consentimento do titular (por exemplo, coação),</p><p>e informado pois o titular deve conhecer a completude das atividades</p><p>de tratamento que recaem sobre os seus dados pessoais, e não so-</p><p>mente a finalidade para a qual seus dados foram coletados, bem como</p><p>todas as atividades de tratamento a eles relacionadas, incluindo-se a</p><p>sua eliminação.</p><p>Assim, deve ocorrer por escrito ou por outra forma que demonstre</p><p>a manifestação de vontade inequívoca do titular, com cláusula contra-</p><p>tual destacada, de modo a demonstrar o conhecimento claro e inequí-</p><p>voco quanto às informações relacionadas ao tratamento dos dados</p><p>pessoais autorizado.</p><p>Em se tratando de dados pessoais sensíveis, o tratamento de dados,</p><p>amparado na base legal do consentimento (LGPD, art. 11, inciso I), deve</p><p>ser específico e destacado para a finalidade correlata (art. 11, inciso I)</p><p>ou, sem o consentimento do titular, nas hipóteses em que for indis-</p><p>pensável para: o cumprimento de uma obrigação legal ou regulatória;</p><p>a execução pela administração de políticas públicas previstas em leis</p><p>ou regulamentos; a realização de estudos por órgãos de pesquisas; o</p><p>exercício regular de direitos em processo judicial, administrativo e arbi-</p><p>tral; a proteção da vida; a tutela da saúde; e a garantia de prevenção à</p><p>fraude e à segurança do titular nos processos de identificação e auten-</p><p>ticação de cadastro em sistemas eletrônicos.</p><p>Por essa razão, o consentimento deve ser “granularizado”, obtido</p><p>para cada finalidade singular. A manifestação de vontade que autoriza</p><p>o tratamento de dados pessoais do titular deve ser inequívoca e estar</p><p>relacionada à atividade de tratamento específico a ser desenvolvida</p><p>pelo operador ou controlador.</p><p>Dessa forma, o parágrafo 4º do artigo 7º prevê que seja “dispensada</p><p>a exigência do consentimento previsto no caput deste artigo para os</p><p>dados tornados manifestamente públicos pelo titular, resguardados os</p><p>direitos do titular e os princípios previstos nesta Lei” (BRASIL, 2018).</p><p>A dispensa do consentimento, portanto, não desobriga os agentes</p><p>de tratamento quanto ao cumprimento das demais obrigações pre-</p><p>66 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>vistas na lei, especialmente das relacionadas aos princípios gerais e à</p><p>garantia dos direitos do titular, como a exemplo daqueles apontados</p><p>no artigo 18 da LGPD.</p><p>Segundo artigo 8º dessa lei, em havendo compartilhamento com</p><p>outros controladores, o consentimento específico deverá ser outorga-</p><p>do pelo titular para essa finalidade. O consentimento que autoriza o</p><p>tratamento de dados pessoais deve expressar a manifestação de von-</p><p>tade do titular dessas informações de modo claro e inequívoco, por</p><p>escrito ou por outro meio que seja passível de comprovação. E, quando</p><p>por escrito, o consentimento deverá constar de cláusula destacada das</p><p>demais cláusulas contratuais, referindo-se a finalidades específicas,</p><p>sob pena de nulidade 5 .</p><p>Em que pese o consentimento, a primeira base</p><p>e à proteção de dados pessoais,</p><p>no entanto, impõe o entendimento de conceitos e estruturas jurí-</p><p>dicas relacionadas à privacidade e proteção de dados pessoais, à</p><p>sua evolução ao longo dos anos, bem como às modificações decor-</p><p>rentes do progresso tecnológico e do processamento massivo de</p><p>informações pessoais, que serão objeto deste capítulo.</p><p>1.1 Reflexões sobre privacidade na</p><p>Sociedade da Informação Vídeo</p><p>A revolução tecnológica experimentada nas últimas décadas inten-</p><p>sificou o fluxo e o processamento de informações e dados pessoais, o</p><p>que alterou, quantitativa e qualitativamente, a noção de intromissões</p><p>indesejadas na vida privada. As tecnologias acessíveis nos dias de hoje</p><p>permitem o acesso rápido, eficiente e de baixo custo a um grande volu-</p><p>me de informações. O acesso aos dados pessoais dos indivíduos, nes-</p><p>se contexto, constitui ferramenta valiosa, na medida em que contribui</p><p>para que sejam traçados perfis pessoais para atender aos interesses de</p><p>diversos segmentos e players do mercado.</p><p>10 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>A evolução no tratamento desses dados possibilitou o acesso à esfe-</p><p>ra mais íntima da vida privada do indivíduo, a denominada privacidade</p><p>(privacy), o que demandou que fossem apresentadas novas soluções</p><p>jurídicas para os problemas decorrentes dessa intrusão excessiva.</p><p>A problemática a ser enfrentada quanto ao tema da privacidade e</p><p>proteção de dados pessoais, no mundo globalizado, está em equacio-</p><p>nar o tratamento deles pelo mercado, regulamentando a utilização des-</p><p>sas informações de diferentes titulares, de modo a evitar abusos e/ou</p><p>intromissões excessivas na esfera particular dos indivíduos. Não se tra-</p><p>ta de impedir ou restringir o fluxo ou o tratamento de dados pessoais</p><p>– o que, para além de impossível, parece ser contraproducente –, mas</p><p>sim de regulamentar as atividades de análise e processamento desse</p><p>conjunto de informações para proteger os direitos e as garantias indivi-</p><p>duais do titular dos dados pessoais.</p><p>As normas que orientam o tema da proteção da privacidade de da-</p><p>dos pessoais não só impedem que estes sejam tratados como meros</p><p>ativos empresariais em favor dos interesses de seus controladores,</p><p>como também pretendem estabelecer marcos normativos de prote-</p><p>ção de dados, dirigidos à preservação dos direitos de seus titulares por</p><p>meio do desenvolvimento de ferramentas de controle das finalidades</p><p>de sua utilização, bem como ao estabelecimento de regras para o tra-</p><p>tamento e processamento daquelas informações, orientadas a evitar</p><p>abusos e vulnerações aos direitos de seus titulares.</p><p>1.2 Sociedade da Informação e o</p><p>valor dos dados pessoais Vídeo</p><p>A afirmação “data is the new oil” – cunhada pelo matemático britâni-</p><p>co Clive Humby 1 na ANA Senior Marketer’s Summit na Kellogg School</p><p>of Management em 2006 – nunca esteve tão adequada para enfatizar</p><p>o poder dos dados no marco da economia de mercado atual. É certo</p><p>que os dados pessoais constituem o commodity da economia da infor-</p><p>mação e, diante da “possibilidade de organizar tais dados de maneira</p><p>escalável, criou-se um (novo) mercado cuja base de sustentação é a sua</p><p>extração e comodificação” (BIONI, 2020, p. 12).</p><p>Porém, ao contrário do que se sucede com o petróleo, os dados</p><p>são fontes de informação facilmente acessíveis, de baixo custo e que</p><p>não se desnaturam conforme o seu processamento. O tratamento</p><p>Pioneiro na análise de da-</p><p>dos, criou, em 1995, um dos</p><p>primeiros clubes de serviços</p><p>para a rede de supermer-</p><p>cados Tesco e elevou o</p><p>valor dos dados pessoais</p><p>na economia de mercado</p><p>ao valor representado pelo</p><p>petróleo, para enfatizar o</p><p>poder dos dados.</p><p>1</p><p>Privacidade na Sociedade da Informação 11</p><p>dos dados, ainda que reiterado, pode revelar novas informações de</p><p>maior relevância.</p><p>As empresas mais valiosas do mundo contemporâneo são as de tec-</p><p>nologia, que movimentam enormes quantidades de dados (Amazon,</p><p>Apple, Facebook, Google e Microsoft) e combinam tecnologia com pro-</p><p>priedade intelectual. Não é exagero afirmar, portanto, que o conheci-</p><p>mento privilegiado de informações sobre algo ou alguém representa</p><p>poder. Dados revelam informações, que resultam em conhecimento,</p><p>e ter conhecimento sobre algo ou alguém, especialmente no contexto</p><p>das economias de mercado, é inegavelmente vantajoso e estratégico.</p><p>O direcionamento de publicidade e de estratégias de negócio, o ma-</p><p>peamento do perfil de seu público-alvo conforme padrões comporta-</p><p>mentais, a antecipação de ações estratégicas de modo a evitar gargalos</p><p>decorrentes de processos empregados de maneira ineficaz ou equivo-</p><p>cada pela empresa no desenvolvimento de suas atividades, bem como</p><p>a possibilidade de que sejam traçadas tendências e elaboradas previ-</p><p>sões mais acertadas com base na identificação de informações e/ou</p><p>acontecimentos passados constituem ferramentas valiosas e funda-</p><p>mentais em termos de competitividade no mercado atual. Além disso,</p><p>o conhecimento que pode ser alcançado com a análise estruturada de</p><p>um conjunto de dados influencia diretamente a definição das estraté-</p><p>gias de negócio e a eficiência empresarial, sendo essas determinantes</p><p>para estabelecer as políticas públicas, por exemplo.</p><p>Assim, as transformações tecnológicas experimentadas nos úl-</p><p>timos tempos levaram ao controle dos espaços digitais por grupos</p><p>econômicos dotados de alta capacidade de coleta, armazenamento e</p><p>processamento de dados pessoais, com a intensificação do fluxo comu-</p><p>nicacional sendo propiciada pela internet, anulando as fronteiras geo-</p><p>gráficas quanto à transferência de dados (boardless), o que aumentou</p><p>significativamente as possibilidades de violação aos direitos da perso-</p><p>nalidade e da privacidade.</p><p>Não obstante, se, por um lado, as tecnologias disponíveis projetadas</p><p>para coletar o máximo de dados possível acerca dos usuários de seus</p><p>serviços agregam valor para os negócios, pois permitem a definição de</p><p>estratégias mais acertadas, por outro, a criação de novos produtos e a</p><p>melhoria contínua dos serviços importam no contexto da intromissão</p><p>desmesurada na esfera privada dos indivíduos.</p><p>O documentário Privaci-</p><p>dade Hackeada aborda</p><p>o caso da Cambridge</p><p>Analytica e de que</p><p>maneira ele influenciou a</p><p>eleição presidencial dos</p><p>Estados Unidos de 2016.</p><p>Direção: Karim Amer; Jehane Noujaim.</p><p>Estados Unidos: Netflix, 2019.</p><p>Filme</p><p>12 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>A dualidade que se coloca, então, está marcada pela tensão entre</p><p>a importância dos dados no mundo contemporâneo e os riscos para</p><p>a privacidade, derivados do uso indevido de informações pessoais, im-</p><p>pondo, dessa maneira, a readequação dos sistemas jurídicos, especial-</p><p>mente quanto a temas relacionados à tecnologia.</p><p>O escândalo mais rumoroso envolvendo abusos no tratamento de</p><p>dados pessoais reporta ao caso da Cambridge Analytica, que envolveu</p><p>o compartilhamento de dados de 87 milhões de usuários do Facebook.</p><p>A empresa, por meio do desenvolvimento de um aplicativo, passou a</p><p>coletar dados de usuários dessa rede social, que foram utilizados para</p><p>influenciar a opinião de eleitores, orientando as eleições em vários paí-</p><p>ses. Após o descobrimento do escândalo, o Facebook pediu desculpas</p><p>publicamente diante da coleta inadequada de dados pessoais por par-</p><p>te da Cambrige Analytica.</p><p>O caso citado demonstra a vulnerabilidade a que estão expostos,</p><p>atualmente, os titulares de dados pessoais. Ao participar de um apa-</p><p>rentemente inofensivo teste de personalidade em uma rede social, foi</p><p>possível influenciar definitivamente o resultado do processo eleitoral de</p><p>uma das democracias mais sólidas do globo, os Estados Unidos, o que</p><p>abriu espaço para práticas semelhantes em outros pleitos. Ademais,</p><p>essa experiência revela como modelos de negócios são rentabilizados</p><p>com base na análise de dados e pelo seu uso indevido, lesionando va-</p><p>lores constitucionais caros aos indivíduos, a exemplo da privacidade.</p><p>Por outro lado, a publicidade direcionada, baseada no perfilamen-</p><p>to (profiling) 2 dos indivíduos, permite o oferecimento dos produtos e</p><p>serviços</p><p>legal elencada no</p><p>artigo 7º da LGPD deve ser considerada quando excluída a hipótese de</p><p>ocorrência das demais bases legais previstas no artigo. Isso porque o</p><p>consentimento é algo volátil, podendo ser revogado pelo titular a qual-</p><p>quer momento, inclusive com pedido de exclusão, desautorizando a</p><p>atividade de tratamento. Nesse sentido, não deve ser aplicado indistin-</p><p>tamente a todos os casos.</p><p>O cumprimento de obrigação legal é a segunda base relacionada</p><p>no artigo 7º e se refere ao cumprimento de uma obrigação legal ou</p><p>regulatória pelo controlador; ou seja, quando o controlador necessita</p><p>coletar determinada informação pessoal do titular para cumprir obri-</p><p>gação decorrente de lei 6 . O tratamento de dados, nesse caso, é impor-</p><p>tante para atender a interesse público justificado pela obrigação legal</p><p>ou regulatória.</p><p>O encaminhamento das informações referentes ao Recolhimento</p><p>do FGTS à Caixa Econômica Federal e da Declaração de Imposto de</p><p>Renda Retido na Fonte (DIRF) e da Previdência Social (Sefip) à Receita</p><p>Federal do Brasil são exemplos de cumprimento de obrigação legal,</p><p>uma vez que o tratamento de dados ocorre sem o consentimento dos</p><p>empregados, disponibilizados diretamente às entidades encarregadas.</p><p>A terceira base é a execução de políticas públicas no âmbito da</p><p>Administração Pública. Essa base engloba o tratamento e o uso com-</p><p>partilhado de dados necessários à execução de políticas públicas pre-</p><p>vistas em leis e regulamentos ou respaldadas em contratos, convênios</p><p>ou instrumentos congêneres, os quais estão autorizados mediante a</p><p>observação das disposições previstas na LGPD.</p><p>“Art. 8º O consentimento previsto</p><p>no inciso I do art. 7º desta Lei</p><p>deverá ser fornecido por escrito ou</p><p>por outro meio que demonstre a</p><p>manifestação de vontade do titular.</p><p>§ 1º Caso o consentimento seja</p><p>fornecido por escrito, esse deverá</p><p>constar de cláusula destacada das</p><p>demais cláusulas contratuais.</p><p>§ 2º Cabe ao controlador o ônus</p><p>da prova de que o consentimento</p><p>foi obtido em conformidade com o</p><p>disposto nesta Lei.</p><p>§ 3º É vedado o tratamento de</p><p>dados pessoais mediante vício de</p><p>consentimento.</p><p>§ 4º O consentimento deverá refe-</p><p>rir-se a finalidades determinadas,</p><p>e as autorizações genéricas para</p><p>o tratamento de dados pessoais</p><p>serão nulas.</p><p>§ 5º O consentimento pode ser</p><p>revogado a qualquer momento</p><p>mediante manifestação expressa</p><p>do titular, por procedimento</p><p>gratuito e facilitado, ratificados os</p><p>tratamentos realizados sob amparo</p><p>do consentimento anteriormente</p><p>manifestado enquanto não houver</p><p>requerimento de eliminação, nos</p><p>termos do inciso VI do caput do art.</p><p>18 desta Lei.</p><p>§ 6º Em caso de alteração de</p><p>informação referida nos incisos</p><p>I, II, III ou V do art. 9º desta Lei, o</p><p>controlador deverá informar ao</p><p>titular, com destaque de forma</p><p>específica do teor das alterações,</p><p>podendo o titular, nos casos</p><p>em que o seu consentimento é</p><p>exigido, revogá-lo caso discorde da</p><p>alteração”. (BRASIL, 2018)</p><p>5</p><p>Como exemplo, pode-se citar o</p><p>empregador que coleta os dados</p><p>dos filhos menores de 14 anos do</p><p>empregado para o recebimento</p><p>do salário-família, que deverá ser</p><p>pago pelo empregador junta-</p><p>mente com o salário do emprega-</p><p>do, posteriormente compensado</p><p>no ato do recolhimento do INSS.</p><p>6</p><p>Lei Geral de Proteção de Dados 67</p><p>Os estudos por órgão de pesquisa são a quarta base, que se refere</p><p>ao tratamento de dados pessoais por órgão de pesquisa para a realiza-</p><p>ção de estudos, por entidade pública ou privada, garantido, sendo re-</p><p>comendável a anonimização dos dados pessoais, sempre que possível,</p><p>de modo a evitar sua associação ao respectivo titular.</p><p>A execução do contrato é a quinta base. O tratamendo de dados</p><p>está autorizado quando necessário para a execução de contrato ou de</p><p>procedimentos preliminares relacionados a contrato do qual seja parte</p><p>o titular, a pedido do titular dos dados, ou para diligências pré-contra-</p><p>tuais a pedido do titular.</p><p>A sexta base consiste no exercício regular de direitos em proces-</p><p>so judicial, administrativo ou arbitral. Autoriza-se o tratamento de</p><p>dados nas situações em que determinados dados pessoais possam</p><p>funcionar como elementos para o exercício de direitos em processos</p><p>judiciais, administrativos ou arbitrais, desde que o tratamento dispen-</p><p>sado seja para atender a essa exclusiva finalidade, enquanto subsistir</p><p>tal necessidade. Conforme o artigo 5º, incisos XXXV e LV, da Constitui-</p><p>ção Federal (BRASIL, 1988), o exercício regular de direitos em processos</p><p>em geral pode ser justificado diante de previsões constitucionais, como</p><p>a inafastabilidade da tutela jurisdicional e o exercício da ampla defesa</p><p>e do contraditório.</p><p>Não há prazos prefixados para a retenção da informação pessoal</p><p>utilizada em processos judiciais, podendo ser usados como parâmetros</p><p>os prazos prescricionais previstos na legislação processual civil e penal.</p><p>Durante o período em que subsistir a demanda, haverá base legal para</p><p>o arquivamento dos dados relacionados a ela. O desafio quanto a esse</p><p>ponto está na conciliação entre a publicidade dos atos processuais e os</p><p>direitos à privacidade da intimidade dos titulares de dados.</p><p>A sétima base, proteção à vida (ou incolumidade física do titular ou</p><p>de terceiro), está relacionada a questões graves e que ponham em risco</p><p>a vida ou a integridade física do titular ou de terceiro. A utilização da</p><p>base legal amparada na proteção à vida, portanto, é restrita.</p><p>A tutela da saúde é a oitava base. A saúde pode se figurar como</p><p>base legal autorizadora do tratamento de dados pessoais exclusivamen-</p><p>te nas situações descritas no texto da lei. As atividades desenvolvidas pe-</p><p>los serviços de saúde também estão justificadas por essa hipótese legal.</p><p>68 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Assim, os profissionais da área da saúde, em sentido amplo, bem</p><p>como as entidades federais, estaduais e municipais, que integram o</p><p>sistema de saúde e sanitário, podem justificar o tratamento de dados</p><p>com base na hipótese legal de proteção à vida. São exemplos a Agência</p><p>Nacional de Vigilância Sanitária (Anvisa) e a Fundação Oswaldo Cruz</p><p>(Fiocruz).</p><p>Já a nona base está relacionada aos interesses legítimos do con-</p><p>trolador ou de terceiro. Nela autoriza-se o tratamento de dados</p><p>pessoais para atender aos interesses legítimos do controlador ou de</p><p>terceiros, exceto no caso de prevalecerem os direitos e as liberdades</p><p>fundamentais do titular, que exijam a proteção dos dados pessoais.</p><p>Trata-se, portanto, de conceito aberto e que implica eventual risco jurí-</p><p>dico, ante à sua indefinição.</p><p>A base legal relacionada ao legítimo interesse pressupõe a contra-</p><p>posição entre os interesses do controlador e os interesses e as liberda-</p><p>des fundamentais do titular. Segundo o artigo 10, incisos I e II, da lei:</p><p>Art. 10. O legítimo interesse do controlador somente poderá fundamentar trata-</p><p>mento de dados pessoais para finalidades legítimas, consideradas a partir de situa-</p><p>ções concretas, que incluem, mas não se limitam a:</p><p>I - apoio e promoção de atividades do controlador; e</p><p>II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação</p><p>de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direi-</p><p>tos e liberdades fundamentais, nos termos desta Lei. (BRASIL, 2018)</p><p>Quando fundamentado no legítimo interesse, o controlador somen-</p><p>te poderá realizar o tratamento de dados pessoais estritamente neces-</p><p>sários para a finalidade pretendida. Além disso, deverá adotar medidas</p><p>para garantir a transparência desse tratamento de dados fundamenta-</p><p>do no legítimo interesse.</p><p>A ANPD, conforme prevê o parágrafo 3º do artigo 10, poderá solicitar</p><p>ao controlador um relatório de impacto à proteção de dados pessoais,</p><p>quando a base legal corresponder ao legítimo interesse. O Relatório de</p><p>Impacto, previsto no artigo 38 da LGPD, é o documento que justifica a</p><p>aplicação do legítimo interesse para explicar o tratamento de dados</p><p>pessoais, na medida em que dimensiona o impacto da atividade de tra-</p><p>tamento de dados na esfera do titular e indica e</p><p>justifica a necessidade</p><p>É possível realizar uma</p><p>consulta on-line e gratuita</p><p>ao site, em inglês, da</p><p>Autoridade Nacional de</p><p>Proteção de Dados do</p><p>Reino Unido (ICO) para o</p><p>aprofundamento do tema</p><p>do legítimo interesse.</p><p>Como o texto está em</p><p>inglês, caso seja neces-</p><p>sário, é possível utilizar</p><p>o recurso de tradução</p><p>disponível nos próprios</p><p>navegadores de internet.</p><p>Disponível em: https://ico.org.</p><p>uk/for-organisations/guide-</p><p>to-data-protection/guide-to-</p><p>law-enforcement-processing/</p><p>accountability-and-governance/</p><p>data-protection-impact-</p><p>assessments/ Acesso em: 14 maio</p><p>2021.</p><p>Site</p><p>Lei Geral de Proteção de Dados 69</p><p>de sua realização em prol de interesse mais relevante, não inserido no</p><p>escopo das demais bases legais.</p><p>Vale anotar que o contido no artigo 38 da lei corresponde ao con-</p><p>teúdo mínimo que deverá conter o Relatório de Impacto: descrição dos</p><p>tipos de dados coletados; metodologia utilizada para a coleta e garantia</p><p>da segurança das informações; e análise do controlador com relação a</p><p>medidas, salvaguardas e mecanismos de risco adotados. Assim, o Relató-</p><p>rio de Impacto, em síntese, passa pela verificação dos seguintes pontos:</p><p>• Teste do propósito:  identificação de um interesse</p><p>potencialmente legítimo.</p><p>• Necessidade:  aferição do impacto do tratamento sobre o</p><p>titular, levando-se em conta suas razoáveis expectativas.</p><p>• Balanceamento:  exame de proporcionalidade entre os</p><p>interesses do agente de tratamento e os do titular.</p><p>• Existência de salvaguardas: mecanismos que mitiguem</p><p>eventual prevalência dos interesses da empresa.</p><p>Os limites e o alcance do que se entende por legítimo interesse</p><p>se conformarão pela ação e jurisprudência da ANPD e dos Tribunais</p><p>Superiores. As diretrizes que pautam a experiência europeia, que</p><p>inspirou a norma brasileira, podem orientar a aplicação do teste de</p><p>ponderação nos moldes do que foi idealizado pelo Grupo de Trabalho</p><p>do Artigo 29 (ARTICLE 29, 2014), quando da vigência da Diretiva 95/46</p><p>da União Europeia, no Parecer n. 6, de 2014, que até o presente mo-</p><p>mento é utilizado como standard metodológico no âmbito da União e</p><p>internacionalmente.</p><p>Por fim, a proteção do crédito é a décima e última base legal. Por</p><p>meio da previsão inserida no inciso X do artigo 7º, que autoriza o trata-</p><p>mento de dados com a finalidade de proteção ao crédito, as informa-</p><p>ções sobre a adimplência ou inadimplência podem ser utilizadas para</p><p>orientar a tomada de decisão quanto à concessão ou não de crédito.</p><p>Entidades de proteção ao crédito, a exemplo do SPC e Serasa, podem</p><p>tratar dados pessoais para essa finalidade. Quanto a esse ponto, im-</p><p>porta observar a legislação específica quando houver a aplicação da</p><p>base legal de proteção ao crédito para fundamentar o tratamento de</p><p>dados, constante da Lei de Cadastro Positivo (Lei n. 12.414, de 9 de</p><p>junho de 2011), bem como do Código de Defesa do Consumidor (Lei n.</p><p>8.078, de 11 de setembro de 1990).</p><p>70 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Além das bases legais relacionadas nesse artigo, ainda com relação</p><p>ao tratamento de dados é necessário fazer referência ao tratamento</p><p>de dados pessoais de crianças e adolescentes, previsto no artigo 14</p><p>da LGPD, relacionado em seção específica, o que denota o especial re-</p><p>levo que o legislador quis imprimir quanto ao tema.</p><p>Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá</p><p>ser realizado em seu melhor interesse, nos termos deste artigo e da legislação</p><p>pertinente.</p><p>§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o con-</p><p>sentimento específico e em destaque dado por pelo menos um dos pais ou pelo</p><p>responsável legal.</p><p>§ 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores</p><p>deverão manter pública a informação sobre os tipos de dados coletados, a forma</p><p>de sua utilização e os procedimentos para o exercício dos direitos a que se refere o</p><p>art. 18 desta Lei.</p><p>§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que</p><p>se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou</p><p>o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua</p><p>proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimen-</p><p>to de que trata o § 1º deste artigo.</p><p>§ 4º Os controladores não deverão condicionar a participação dos titulares de que</p><p>trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao for-</p><p>necimento de informações pessoais além das estritamente necessárias à atividade.</p><p>§ 5º O controlador deve realizar todos os esforços razoáveis para verificar que o</p><p>consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela</p><p>criança, consideradas as tecnologias disponíveis.</p><p>§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão</p><p>ser fornecidas de maneira simples, clara e acessível, consideradas as características</p><p>físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso</p><p>de recursos audiovisuais quando adequado, de forma a proporcionar a informação</p><p>necessária aos pais ou ao responsável legal e adequada ao entendimento da crian-</p><p>ça. (BRASIL, 2018)</p><p>O tratamento de dados de crianças e adolescentes deve conside-</p><p>rar a legislação específica endereçada à proteção integral da criança,</p><p>consubstanciada na Lei n. 8.069, de 1990, o Estatuto da Criança e do</p><p>Adolescente (ECA), conforme o qual criança é a pessoa até 12 anos</p><p>incompletos, e adolescente é aquela entre 12 e 18 anos incompletos</p><p>(BRASIL, 1990a).</p><p>Lei Geral de Proteção de Dados 71</p><p>Invertendo a lógica aplicável para os adultos maiores e capazes, o</p><p>tratamento de dados pessoais de crianças e adolescentes está condi-</p><p>cionado ao consentimento específico e em destaque por parte de, ao</p><p>menos, um dos pais ou responsável legal. Assim, incumbe aos con-</p><p>troladores manter público o contrato, a política de privacidade ou o</p><p>documento correlato, devendo ser publicados os procedimentos que</p><p>instrumentalizam o exercício dos direitos por parte do titular a que se</p><p>refere o artigo 18 da lei.</p><p>A própria lei traz exceções às regras para o consentimento prévio</p><p>quanto ao tratamento de dados de crianças, o qual poderá ser rea-</p><p>lizado, consoante o parágrafo 3º do artigo 14, por apenas uma vez e</p><p>sem armazenamento, com o objetivo estrito de contatar os pais ou o</p><p>responsável legal ou, ainda, para a proteção do titular, sendo vedado</p><p>o seu compartilhamento com terceiros. Consoante o parágrafo 4º do</p><p>artigo 14, em se tratando de crianças e adolescentes, a minimização</p><p>dos dados coletados deve ser ainda mais estrita.</p><p>Também, o controlador deve engendrar todos os esforços razoá-</p><p>veis para a certificação do consentimento em se tratando de crianças e</p><p>adolescentes, como forma de garantia de que os dados somente serão</p><p>tratados mediante prévio consentimento dos pais ou do responsável</p><p>legal, e não da criança diretamente.</p><p>A lei prevê, ainda, que as informações sobre o tratamento de dados</p><p>de crianças sejam oferecidas de maneira simples, clara e acessível, de</p><p>modo a facilitar, por meio do uso de tecnologias, a compreensão com-</p><p>pleta para propiciar a necessária informação aos pais e ao responsável</p><p>legal, bem como a compreensão por parte da criança.</p><p>3.6 Agentes no tratamento de dados</p><p>Vídeo</p><p>O inciso IX do artigo 5º da LGPD define como agentes de tratamento</p><p>de dados o controlador e o operador. Nos incisos VI e VII do artigo 5º</p><p>estão contidos esses conceitos:</p><p>VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a</p><p>quem competem as decisões referentes ao tratamento de dados pessoais;</p><p>VII – operador: pessoa natural ou jurídica, de direito público ou privado, que</p><p>realiza o tratamento de dados pessoais em nome do controlador. (BRASIL, 2018)</p><p>72 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Assim, o controlador corresponde à pessoa natural ou jurídica</p><p>a quem compete as decisões referentes ao tratamento de dados</p><p>pessoais e a quem a lei impõe deveres e responsabilidades.</p><p>Entre os</p><p>deveres previstos na lei, no artigo 37 da LGPD, está a</p><p>manutenção do registro das operações de tratamento de dados pes-</p><p>soais que forem realizadas, especialmente quando fundadas no le-</p><p>gítimo interesse. A lei brasileira não estabelece parâmetros mínimos</p><p>para a obrigatoriedade da manutenção dos registros, estando obri-</p><p>gadas à sua manutenção todas as pessoas sujeitas à LGPD que rea-</p><p>lizem atividade de tratamento. No entanto, é possível que a ANPD</p><p>apresente regulamentação, excluindo a obrigação de registro em</p><p>certos casos, a exemplo do que ocorre no modelo europeu.</p><p>Conforme já se pontuou, ao tratar do tema do legítimo interesse,</p><p>a ANPD pode, segundo artigo 38 da LGPD, determinar ao controlador</p><p>que elabore Relatório de Impacto quanto à proteção de dados pes-</p><p>soais, que contenha minimamente “a descrição dos tipos de dados</p><p>coletados, a metodologia utilizada para a coleta e para a garantia</p><p>da segurança das informações, bem como a análise do controlador</p><p>com relação a medidas, salvaguardas e mecanismos de mitigação de</p><p>risco adotados” (BRASIL, 2018).</p><p>O controlador tem o dever de reparação quanto aos danos patri-</p><p>moniais, morais, individuais ou coletivos, eventualmente derivados</p><p>de violações à legislação em razão de sua atividade, respondendo</p><p>solidariamente pelos danos causados pelo operador, se estiver dire-</p><p>tamente envolvido no tratamento que resultar em danos.</p><p>O operador pode ser identificado como a pessoa natural ou</p><p>jurídica que realize o tratamento de dados pessoais em nome do</p><p>controlador, segundo as instruções fornecidas por ele, mediante a</p><p>observância das próprias instruções e das normas de regência so-</p><p>bre a matéria, conforme o artigo 39 da LGPD. O operador, portanto,</p><p>atua de acordo com as instruções do controlador, sem ingerência</p><p>para realizar qualquer operação diversa daquela que lhe foi solici-</p><p>tada. Esse fato não o isenta de adotar medidas de conformidade</p><p>relacionadas à LGPD, além de outras técnicas organizacionais e de</p><p>segurança orientadas à mitigação de incidentes envolvendo dados</p><p>Lei Geral de Proteção de Dados 73</p><p>pessoais, conforme dispõe o artigo 46 da lei. Igualmente, o opera-</p><p>dor responde solidariamente por eventuais falhas do controlador,</p><p>incidindo-se, assim, o dever de reparação pelos danos patrimoniais,</p><p>morais, individuais ou coletivos derivados da atividade.</p><p>A responsabilidade dos agentes de tratamento será excluída</p><p>quando comprovado que não realizaram o tratamento de dados que</p><p>lhe é atribuído, quando, embora tenham realizado o tratamento de</p><p>dados, não houver violação à lei de proteção de dados ou quando o</p><p>dano resultar de culpa exclusiva do titular dos dados ou de terceiro.</p><p>Outra figura prevista pela LGPD, no artigo 41, concerne ao en-</p><p>carregado de dados, que deverá ser nomeado pelo controlador. Ao</p><p>Data Protection Officer (DPO), expressão inglesa difundida mundial-</p><p>mente para identificar a figura correspondente ao encarregado de</p><p>dados na legislação brasileira, incumbe realizar a interface entre o</p><p>titular de dados, a ANPD e o controlador. O encarregado de dados,</p><p>então, funciona como verdadeiro canal de comunicação do contro-</p><p>lador com a autoridade de controle e com os titulares de dados,</p><p>sendo de sua responsabilidade o processamento das reclamações</p><p>dos titulares de dados recebidas pelo controlador, bem como o rece-</p><p>bimento das comunicações dos titulares e da ANPD e a adoção das</p><p>providências cabíveis. Também é função do encarregado de dados</p><p>orientar os funcionários e contratados sobre as práticas e os proces-</p><p>sos adotados pela empresa quanto à proteção de dados pessoais,</p><p>além de executar as demais atribuições determinadas pelo controla-</p><p>dor ou estabelecidas em normas complementares. As funções a se-</p><p>rem desempenhadas pelo encarregado de dados são determinadas</p><p>pelo controlador, conforme a ordem de importância que entender</p><p>adequada para a sua realização.</p><p>A lei obriga a indicação do encarregado de dados para qualquer</p><p>pessoa que realize o tratamento de dados, indistintamente. No en-</p><p>tanto, o parágrafo 3º do artigo 41 da LGPD prevê que a ANPD poderá</p><p>complementar a definição e as atribuições do encarregado, inclusive</p><p>para dispensar a sua indicação de acordo com a natureza ou o porte</p><p>da empresa, ou, ainda, conforme o volume de dados que são objeto</p><p>de tratamento.</p><p>74 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Ao encarregado funcionário da empresa ou um terceiro con-</p><p>tratado especificamente para a função (DPO as a service), não há</p><p>vedação quanto à cumulação da função de encarregado em mais</p><p>de uma empresa, de modo que um único pode atender a várias</p><p>empresas simultaneamente. É recomendável que seja assegurada a</p><p>independência do encarregado para que desenvolva suas atividades</p><p>com liberdade, desvinculado das áreas tradicionais da empresa e</p><p>se reportando à alta diretoria. Por fim, a lei estabelece a obrigato-</p><p>riedade de divulgação, de maneira clara e objetiva, da identidade e</p><p>dos dados de contato do encarregado, preferencialmente no sítio</p><p>eletrônico do controlador.</p><p>3.7 Transferência internacional</p><p>de dados pessoais Vídeo</p><p>A transferência internacional de dados talvez seja o ponto da</p><p>LGPD que mais se aproxima da normativa europeia, ao menos pa-</p><p>rece ter sido essa a intenção do legislador. O parecer da Comissão</p><p>da Câmara dos Deputados, constituído quando do Projeto de Lei n.</p><p>4.060/2012 para a análise do tema, aponta que várias das soluções</p><p>legislativas adotadas pela lei brasileira eram similares àquelas do</p><p>modelo europeu, elevando o grau de proteção de dados pessoais,</p><p>como forma de apresentar um cenário de negócios mais atrativo</p><p>internacionalmente (BRASIL, 2012).</p><p>O artigo 33 da LGPD apresenta um rol taxativo de nove hipóteses</p><p>em que poderá acontecer a transferência internacional, a qual ocor-</p><p>re, pelo menos, em um dos seguintes casos:</p><p>I - para países ou organismos internacionais que proporcionem grau de proteção de</p><p>dados pessoais adequado ao previsto nesta Lei. (BRASIL, 2018)</p><p>O reconhecimento como adequado pela ANPD de um país afasta a</p><p>necessidade de cumprimento de outro requisito, bastando para justi-</p><p>ficar a transferência internacional de dados. O nível de adequação de</p><p>países estrangeiros deve ser balizado pelos requisitos postos em al-</p><p>guns incisos do artigo 34, a saber:</p><p>Lei Geral de Proteção de Dados 75</p><p>II - quando o controlador oferecer e comprovar garantias de cumprimento dos</p><p>princípios, dos direitos do titular e do regime de proteção de dados previstos nesta</p><p>Lei, na forma de:</p><p>a) cláusulas contratuais específicas para determinada transferência;</p><p>b) cláusulas-padrão contratuais;</p><p>c) normas corporativas globais; ou</p><p>d) selos, certificados e códigos de conduta regularmente emitidos. (BRASIL,</p><p>2018, grifos nossos)</p><p>Todas as garantias listadas devem ser especificadas pela ANPD, que</p><p>deve disciplinar acerca do conteúdo mínimo das cláusulas relativas à</p><p>transferência internacional de dados.</p><p>III - quando a transferência for necessária para a cooperação jurídica interna-</p><p>cional entre órgãos públicos de inteligência, de investigação e de persecução,</p><p>de acordo com os instrumentos de direito internacional. (BRASIL, 2018, grifos</p><p>nossos)</p><p>Essa disposição pretende salvaguardar os serviços de inteligência</p><p>internacional, as investigações e as atividades de cooperação jurídica</p><p>internacional, viabilizando sua realização. Vale anotar que a LGPD não</p><p>se aplica às atividades que tenham por finalidade exclusiva a segurança</p><p>pública, a defesa nacional, a segurança do Estado ou as atividades de</p><p>investigação e repressão de infrações penais (art. 4º, III, LGPD).</p><p>IV - quando a transferência for necessária para a proteção da vida ou da incolu-</p><p>midade física do titular ou de terceiro. (BRASIL, 2018, grifos nossos)</p><p>O direito à vida deve prevalecer sobre as questões relativas à limita-</p><p>ção de fluxo de dados pessoais.</p><p>V - quando a autoridade nacional autorizar a transferência. (BRASIL, 2018)</p><p>76 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Refere-se à possibilidade de que a ANPD autorize transferências</p><p>específicas.</p><p>VI</p><p>- quando a transferência resultar em compromisso assumido em acordo de</p><p>cooperação internacional. (BRASIL, 2018)</p><p>Trata-se da prevalência dos compromissos assumidos pelo Estado</p><p>em matéria de cooperação jurídica internacional, o que é justificável, já</p><p>que os acordos de cooperação internacional não podem ser contrários</p><p>à legislação brasileira.</p><p>VII - quando a transferência for necessária para a execução de política pública ou</p><p>atribuição legal do serviço público, sendo dada publicidade nos termos do inciso</p><p>I do caput do artigo 23 dessa Lei. (BRASIL, 2018, grifos nossos)</p><p>É uma hipótese restrita à atividade da Administração Pública, que</p><p>restringe e limita a transferência internacional de dados, apenas e tão</p><p>somente, quando for estritamente necessário para viabilizar a execução</p><p>de política de referência.</p><p>VIII - quando o titular tiver fornecido o seu consentimento específico e em des-</p><p>taque para a transferência, com informação prévia sobre o caráter internacional</p><p>da operação, distinguindo claramente esta de outras finalidade. (BRASIL, 2018,</p><p>grifos nossos)</p><p>Esse consentimento, específico e posto de modo destacado, tam-</p><p>bém deve observar todos os requisitos de validade para o consen-</p><p>timento. Assim, precisa ser livre, informado e inequívoco, além de</p><p>específico, destacado e vinculado à finalidade específica. Essa hipótese</p><p>parece de difícil concretização na prática, seja em razão dos requisitos</p><p>legais exigidos, seja diante da volatilidade do consentimento, que po-</p><p>derá ser revogado a qualquer tempo, para fundamentar transferência</p><p>internacional de dados.</p><p>IX - quando necessário para atender às hipóteses previstas nos incisos II, V e VI do</p><p>artigo 7º dessa Lei. (BRASIL, 2018, grifos nossos)</p><p>Lei Geral de Proteção de Dados 77</p><p>Essa hipótese de transferência decorre do princípio constitucional da</p><p>legalidade (Constituição Federal, art. 5º, inciso I), contemplando o cum-</p><p>primento das bases legais justificadas pelo cumprimento de obrigação</p><p>legal ou regulatória pelo controlador, quando necessário para a execu-</p><p>ção de contrato ou de procedimentos preliminares e, ainda, para o exer-</p><p>cício de direitos em processo judicial.</p><p>Conforme observa Leonardi (2021, p. 292),</p><p>não existe relação hierárquica entre os mecanismos de transfe-</p><p>rência. Aquele escolhido dependerá da finalidade e do contexto</p><p>da transferência e da natureza dos dados pessoais, sendo neces-</p><p>sário avaliar cuidadosamente cada caso concreto para se definir</p><p>qual o mecanismo de transferência mais apropriado.</p><p>O parágrafo único do artigo 33 da LGPD prevê, também, a hipótese de</p><p>que as pessoas jurídicas de direito público 7 , no âmbito de suas compe-</p><p>tências, possam requerer à ANPD uma avaliação acerca do nível de pro-</p><p>teção de dados pessoais conferido por país ou organismo internacional.</p><p>Ainda quanto à transferência internacional de dados, o artigo 35 da</p><p>LGPD estabelece que a ANPD realizará a definição de cláusulas contra-</p><p>tuais padrão, bem como a verificação de cláusulas contratuais especí-</p><p>ficas para transferência internacional concreta, normas corporativas</p><p>globais ou selos, certificados e códigos de conduta.</p><p>No parágrafo 1º do mesmo artigo, estão definidos alguns critérios</p><p>amplos a serem considerados pela ANPD, o que lhe confere certo grau</p><p>de discricionariedade para definir os conteúdos das cláusulas padrão.</p><p>No parágrafo 2º, garante-se a possibilidade de a ANPD solicitar infor-</p><p>mações suplementares acerca da operação de tratamento que envolva</p><p>a transferência internacional antes de deliberar sobre o conteúdo dos</p><p>documentos e das cláusulas a ela submetidos. O parágrafo 3º prevê a</p><p>possibilidade de designação pela ANPD de organismos de certificação,</p><p>subordinados a ela e sob a sua fiscalização, sendo que os atos pratica-</p><p>dos pela entidade certificadora poderão ser revistos ou anulados pela</p><p>ANPD, em caso de desconformidade com a lei. O parágrafo 4º prevê que</p><p>os atos realizados por organismos de certificação poderão ser revisados</p><p>pela ANPD, que, em caso de desconformidade com a LGPD, poderá re-</p><p>visá-los ou anulá-los. O parágrafo 5º prevê que, para além das questões</p><p>legais e contratuais, a ANPD, ao dirimir sobre a validade de uma transfe-</p><p>rência internacional de dados, considerará também as medidas técnicas</p><p>e organizacionais adotadas pelo operador.</p><p>Incluídas todas aquelas referidas</p><p>no artigo 1º da Lei n. 12.527, de</p><p>18 de novembro de 2011, a Lei de</p><p>Acesso à Informação, quais sejam:</p><p>União, estados, Distrito Federal e</p><p>municípios, os órgãos públicos</p><p>integrantes da administração</p><p>direta dos Poderes Executivo e</p><p>Legislativo, incluindo as Cortes de</p><p>Contas, e Judiciário e do Ministé-</p><p>rio Público, além das autarquias,</p><p>fundações públicas, empresas</p><p>públicas, sociedades de economia</p><p>mista e demais entidades contro-</p><p>ladas direta ou indiretamente pela</p><p>União, estados, Distrito Federal e</p><p>municípios (BRASIL, 2011b).</p><p>7</p><p>78 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Conforme o artigo 36 da LGPD, as eventuais alterações nas garantias,</p><p>provocadas pelo agente de tratamento, apresentadas em cumprimento</p><p>ao inciso II do artigo 33, deverão ser comunicadas à ANPD. Com isso,</p><p>pretende-se assegurar a manutenção dos direitos dos titulares no âm-</p><p>bito da transferência internacional de dados, diante da possibilidade de</p><p>revisão da alteração por parte do órgão de controle.</p><p>CONSIDERAÇÕES FINAIS</p><p>A Lei Geral de Proteção de Dados unifica normas que tratam do tema</p><p>da proteção de dados no Brasil, contribuindo para a consolidação de um</p><p>marco legal firme e em consonância com as legislações estrangeiras mais</p><p>desenvolvidas com relação ao tema.</p><p>A legislação brasileira é estruturada sobre forte base principiológica. A</p><p>compreensão dos seus conceitos e o controle dos princípios que norteiam</p><p>a proteção de dados são fundamentais para a aplicação dos preceitos ex-</p><p>pressos na lei. Tais princípios pautam os direitos assegurados ao titular de</p><p>dados, assim como os deveres impostos aos controladores de dados e aos</p><p>demais agentes de tratamento de dados, além das regras sobre transferên-</p><p>cia internacional de dados.</p><p>No Brasil, a Lei Geral de Proteção de Dados regulamenta de modo amplo</p><p>o tratamento de dados pessoais em sintonia com as principais legislações</p><p>protetivas presentes no direito comparado, favorecendo o desenvolvimen-</p><p>to econômico do país. A ausência de legislação interna sobre o tema pode-</p><p>ria significar verdadeira barreira para os negócios internacionais, em razão</p><p>do incremento do risco com relação às companhias brasileiras.</p><p>ATIVIDADES</p><p>Atividade 1</p><p>A quem se aplica a LGPD? Explane em sua resposta.</p><p>Atividade 2</p><p>Diferencie os agentes de tratamento de dados: controlador e operador.</p><p>Lei Geral de Proteção de Dados 79</p><p>Atividade 3</p><p>Quais são as características do consentimento referido na LGPD?</p><p>REFERÊNCIAS</p><p>ALVES, G. Ciclo de Vida dos Dados e LGPD. Xposition, 2021. Disponível em: https://www.</p><p>xpositum.com.br/ciclo-de-vida-dos-dados-e-lgpd. Acesso em: 14 maio 2021.</p><p>ARGENTINA. Constituição da Nação Argentina. Disponível em: https://siteal.iiep.unesco.</p><p>org/sites/default/files/sit_accion_files/ar_6000.pdf. Acesso em: 31 maio 2021.</p><p>ARTICLE 29. Data Protection Working Party. Opinion on 06/24 on the notion of legitimate</p><p>interests of the data controller under Arcicle 7 of Directive 95/46/EC. Disponível em: http://</p><p>ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/</p><p>wp217_en.pdf. Acesso em: 14 maio 2021.</p><p>BESSA, L. R.; NUNES, A. L. T. Instrumentos processuais de tutela individual e coletiva:</p><p>análise do art. 22 da LGPD. In: DONEDA, D. et al. Tratado de proteção de dados pessoais. Rio</p><p>de Janeiro: Forense, 2021.</p><p>BRASIL. Câmara dos Deputados. Projeto de Lei n. 4.060, de 2012. Brasília, DF: Câmara dos</p><p>Deputados, 2012. Disponível em: https://www.camara.leg.br/proposicoesWeb/prop_</p><p>mostrarintegra?codteor=1663305. Acesso em: 14 maio 2021.</p><p>BRASIL. Constituição Federal (1988). Diário Oficial da União, Poder Legislativo, Brasília, DF, 5</p><p>out. 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.</p><p>htm. Acesso em: 14 maio 2021.</p><p>BRASIL. Lei n. 8.069, de 13 de julho de 1990. Diário Oficial da União, Poder Legislativo,</p><p>Brasília, DF, 14 jul. 1990a. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/L8069.</p><p>htm. Acesso em: 14 maio 2021.</p><p>BRASIL. Lei n. 8.078, de 11 de setembro de 1990. Diário Oficial da União, Poder Legislativo,</p><p>Brasília, DF, 12 set. 1990b. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/</p><p>l8078compilado.htm. Acesso em: 14 maio 2021.</p><p>BRASIL. Lei n. 10.406, de 10 de janeiro de 2002. Diário Oficial da União, Poder Legislativo,</p><p>Brasília, DF, 11 jan. 2002. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/2002/</p><p>l10406.htm. Acesso em: 14 maio 2021.</p><p>BRASIL. Lei 12.414, de 9 de junho de 2011. Diário Oficial da União, Poder Executivo,</p><p>Brasília, DF, 10 jun. 2011a. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-</p><p>2014/2011/lei/l12414.htm. Acesso em: 14 maio 2021.</p><p>BRASIL. Lei 12.527, de 18 de novembro de 2011. Diário Oficial da União, Poder Legislativo,</p><p>Brasília, DF, 18 nov. 2011b. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-</p><p>2014/2011/lei/l12527.htm. Acesso em: 14 maio 2021.</p><p>BRASIL. Lei n. 12.965, de 23 de abril de 2014. Diário Oficial da União, Poder Legislativo,</p><p>Brasília, DF, 24 abr. 2014. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-</p><p>2014/2014/lei/l12965.htm. Acesso em: 14 maio 2021.</p><p>BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Diário Oficial da União, Poder Executivo,</p><p>Brasília, DF, 15 ago. 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-</p><p>2018/2018/lei/l13709.htm. Acesso em: 14 maio 2021.</p><p>BRASIL. Senado Federal. Proposta de Emenda à Constituição n. 17, de 2019. Brasília, DF:</p><p>Senado Federal, 2019. Disponível em: https://www25.senado.leg.br/web/atividade/</p><p>materias/-/materia/135594. Acesso em: 14 maio 2021.</p><p>https://www.xpositum.com.br/ciclo-de-vida-dos-dados-e-lgpd</p><p>https://www.xpositum.com.br/ciclo-de-vida-dos-dados-e-lgpd</p><p>http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf</p><p>http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf</p><p>http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf</p><p>https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=1663305</p><p>https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=1663305</p><p>http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm</p><p>http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm</p><p>https://www.planalto.gov.br/ccivil_03/leis/L8069.htm</p><p>https://www.planalto.gov.br/ccivil_03/leis/L8069.htm</p><p>http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm</p><p>http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm</p><p>https://www.planalto.gov.br/ccivil_03/leis/2002/l10406.htm</p><p>https://www.planalto.gov.br/ccivil_03/leis/2002/l10406.htm</p><p>https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12414.htm</p><p>https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12414.htm</p><p>https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm</p><p>https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm</p><p>https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm</p><p>https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm</p><p>https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm</p><p>https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm</p><p>https://www25.senado.leg.br/web/atividade/materias/-/materia/135594</p><p>https://www25.senado.leg.br/web/atividade/materias/-/materia/135594</p><p>80 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>BRASIL. Superior Tribunal de Justiça. Recurso Especial n. 1348532/SP. Relator: Min.</p><p>Luis Felipe Salomão, 10 out. 2017. Disponível em: https://stj.jusbrasil.com.br/</p><p>jurisprudencia/526809457/recurso-especial-resp-1348532-sp-2012-0210805-4. Acesso</p><p>em: 14 maio 2021.</p><p>BIONI, B. R. Proteção de dados pessoais: a função e os limites do consentimento. 2. ed. Rio de</p><p>Janeiro: Forense, 2020. [e-book]</p><p>CAVOUKIAN, A. Privacy by design: the 7 foundational principles. Ontario: PBD, 2009. Disponível</p><p>em: https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf.</p><p>Acesso em: 14 maio 2021.</p><p>DONEDA, D. C. M. Da privacidade à proteção de dados pessoais: elementos da formação da</p><p>Lei Geral de Proteção de Dados. 2. ed. São Paulo: Thomson Reuters Brasil, 2020. [e-book]</p><p>DONEDA, D. Princípios de proteção de dados pessoais. In: LUCCA N. de.; SIMÃO FILHO,</p><p>A.; LIMA, C. R. P. de. (org.). Direito e internet III: marco civil da internet. São Paulo: Quartier</p><p>Latin, 2015.</p><p>LEONARDI, M. Transferência internacional de dados pessoais. In: MENDES, L. S. et al.</p><p>Tratado de proteção de dados pessoais. Rio de Janeiro: Gen- Forense, 2021.</p><p>MEIRELLES, H. L. Mandado de segurança. 27. ed. São Paulo: Malheiros Editores, 2006.</p><p>MENDES, L. S. O direito fundamental à proteção de dados pessoais. Revista de Direito do</p><p>Consumidor, Porto Alegre, n. 20, v. 79, p. 75. jul-set. 2011.</p><p>NEVES, D. A. A. Ações constitucionais. 3. ed. Salvador: JusPodivm, 2017.</p><p>PINHEIRO, P. P. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). São</p><p>Paulo: Saraiva, 2020. [e-book]</p><p>PORTUGAL. Constituição da República de Portugal de 1976. Disponível em: https://www.</p><p>parlamento.pt/Legislacao/Paginas/ConstituicaoRepublicaPortuguesa.aspx. Acesso em: 31</p><p>maio 2021.</p><p>TEMER, M. Elementos de Direito Constitucional. 14. ed. São Paulo: Malheiros, 1998.</p><p>VAINZOIF, R. Lei 13.709, de 14 de agosto de 2018. In: MALDONADO, V. N.; BLUM, R. O.</p><p>(Org.). Lei Geral de Proteção de Dados comentada. 2. ed. São Paulo: Thomsom Reuters;</p><p>Revista dos Tribunais, 2019.</p><p>https://stj.jusbrasil.com.br/jurisprudencia/526809457/recurso-especial-resp-1348532-sp-2012-0210805-4</p><p>https://stj.jusbrasil.com.br/jurisprudencia/526809457/recurso-especial-resp-1348532-sp-2012-0210805-4</p><p>https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf</p><p>A Autoridade Nacional de Proteção de Dados e as sanções legais 81</p><p>4</p><p>A Autoridade Nacional</p><p>de Proteção de Dados</p><p>e as sanções legais</p><p>Rafaela Vialle Strobel Dantas</p><p>O sucesso da Lei Geral de Proteção de Dados (LGPD) está vin-</p><p>culado à atuação da Autoridade Nacional de Proteção de Dados</p><p>(ANPD), já que a lei possui inúmeros dispositivos que dependem de</p><p>regulamentação por parte desta.</p><p>Será a ANPD quem fará a orientação, a fiscalização e a apli-</p><p>cação de sanções relacionadas à proteção da privacidade de da-</p><p>dos pessoais. Como agente regulador do tema, é imprescindível</p><p>que tenha independência e autonomia, pois terá fundamental</p><p>papel no desenvolvimento da Lei Geral de Proteção de Dados</p><p>Pessoais, possibilitando ao Brasil chegar a elevados patamares</p><p>de proteção de dados, de respeito aos direitos humanos e de</p><p>desenvolvimento nacional.</p><p>Também é fundamental à ANPD que possua características pa-</p><p>recidas com aquelas exigidas pela legislação europeia de proteção</p><p>de dados. A experiência de outros países evidencia a importância</p><p>dela como um órgão forte e atuante, podendo servir como inspi-</p><p>ração ao Brasil as experiências das autoridades de proteção de</p><p>dados do Reino Unido, da Irlanda, de Portugal, dentre outras. Estar</p><p>em sintonia com os diversos sistemas de proteção de dados ao</p><p>redor do mundo facilita a comunicação de dados internacional e</p><p>traz grandes benefícios à economia e ao relacionamento entre as</p><p>entidades públicas e privadas.</p><p>82 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Assim, é evidente que o funcionamento pleno da ANPD é ex-</p><p>tremamente importante para o Brasil se posicionar internacio-</p><p>nalmente, em especial frente à Organização para a Cooperação</p><p>e Desenvolvimento Econômico (OCDE), organismo em relação ao</p><p>qual o Brasil vem buscando ingressar.</p><p>Portanto, para que se possa efetuar uma análise crítica sobre a</p><p>Autoridade Nacional de Proteção de Dados, é fundamental a com-</p><p>preensão de sua estrutura organizacional, de suas competências,</p><p>das sanções administrativas passíveis de serem aplicadas</p><p>em de-</p><p>corrência de eventual incidente envolvendo dados pessoais e da</p><p>responsabilidade dos envolvidos no sistema de proteção de dados.</p><p>4.1 Autoridade Nacional de Proteção</p><p>de Dados Pessoais Vídeo</p><p>A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) foi</p><p>criada pela Medida Provisória n. 869, de 27 de dezembro de 2018,</p><p>posteriormente convertida na Lei n. 13.853, de 14 de agosto de</p><p>2019, sem aumento de despesa, como órgão da Administração Pú-</p><p>blica federal, integrante da Presidência da República. Sua estrutura</p><p>regimental e o Quadro Demonstrativo dos Cargos em Comissão e</p><p>das Funções de Confiança da ANPD foram definidos pelo Decreto n.</p><p>10.474, de 26 de agosto de 2020, com entrada em vigor na data de</p><p>publicação da nomeação do Diretor-Presidente da ANPD no Diário</p><p>Oficial da União.</p><p>A missão institucional da ANPD é assegurar a mais ampla e corre-</p><p>ta observância da Lei Geral de Proteção de Dados (LGPD) no Brasil e,</p><p>nessa medida, garantir a devida proteção aos direitos fundamentais de</p><p>liberdade, de privacidade e de livre desenvolvimento da personalidade</p><p>da pessoa natural.</p><p>Apesar de ser um órgão da Administração Pública federal direta, a</p><p>ANPD possui algumas características institucionais que lhe conferem</p><p>independência, tais como a autonomia técnica e decisória e o mandato</p><p>fixo dos diretores.</p><p>A Autoridade Nacional de Proteção de Dados e as sanções legais 83</p><p>No relatório “A Caminho da Era Digital no Brasil”, divulgado pela OCDE</p><p>em 26 de outubro de 2020, é realizada a análise de desenvolvimentos</p><p>recentes na economia digital brasileira, são revisadas políticas relacio-</p><p>nadas à digitalização e são efetuadas recomendações para aumentar a</p><p>coerência das políticas nessa área. Contudo, dentre os pontos de des-</p><p>taque estão esforços para aumentar a confiança na economia digital,</p><p>com foco na segurança digital, na privacidade e na proteção do consu-</p><p>midor e, em especial, a problematização da independência da ANPD da</p><p>forma como atualmente é constituída. O relatório faz críticas quanto</p><p>a nossa estrutura de governança e de supervisão no ponto em que</p><p>analisa a autonomia técnica e decisória da ANPD em relação a outras</p><p>entidades do Poder Executivo (OCDE, 2020).</p><p>Deve-se observar que estruturas administrativas e legais que dei-</p><p>xam aberta uma possibilidade, ainda que pequena, de uma autoridade</p><p>responsável pela aplicação das leis de privacidade serem instruídas por</p><p>outro órgão administrativo quanto ao modo de exercerem suas fun-</p><p>ções não satisfazem o critério de independência (OCDE, 2020). Segue o</p><p>documento afirmando que</p><p>a independência pode não ser plenamente alcançada, nos ter-</p><p>mos do Artigo 55-A da Lei 13.853, se a ANPD: for um órgão de</p><p>administração pública federal; for integrante da Presidência da</p><p>República; tiver natureza jurídica transitória; ‘for transformada</p><p>pelo Poder Executivo em entidade da administração pública fe-</p><p>deral indireta, submetida a regime autárquico especial e vincu-</p><p>lada à Presidência da República’; não tiver verba garantida na lei</p><p>orçamentária anual. (OCDE, 2020, p. 128)</p><p>Ainda aponta que</p><p>a garantia da independência da ANPD, tem por finalidade asse-</p><p>gurar a efetividade e a confiabilidade do monitoramento, e do</p><p>cumprimento das disposições relativas à proteção de dados</p><p>pessoais, sendo assim, ela deve ser interpretada à luz dessa fi-</p><p>nalidade. Ela foi estabelecida não para conceder qualquer status</p><p>especial à autoridade em questão ou seus agentes, mas para re-</p><p>forçar a proteção aos indivíduos, e aos órgãos afetados por suas</p><p>decisões. Por conseguinte, a ANPD deve agir de maneira objeti-</p><p>va e imparcial no exercício de suas funções. Para atender esse</p><p>propósito, a ANPD precisa continuar livre de qualquer influência</p><p>interna ou externa. (OCDE, 2020, p. 135)</p><p>Concluindo que “no entanto, a ANPD está, atualmente, fortemente</p><p>vinculada ao executivo” (OCDE, 2020, p. 135).</p><p>84 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>A Organização para a Cooperação e Desenvolvimento Econô-</p><p>mico indica que o Brasil deve rever o disposto no artigo 55-A da</p><p>Lei n. 13.709/2018, com o objetivo de garantir independência à Au-</p><p>toridade Nacional de Proteção de Dados, devendo fixar regras claras,</p><p>justas, imparciais e fundamentadas no conhecimento técnico para a</p><p>nomeação do Conselho Diretor da ANPD e do Conselho Nacional de</p><p>Proteção de Dados Pessoais e da Privacidade (CNPD). Também desta-</p><p>ca a importância de regras claras sobre a administração das divergên-</p><p>cias quanto à solução de impasses no âmbito da ANPD e do Conselho</p><p>Diretor. Expõe, ainda, que será necessário alinhar a atuação estraté-</p><p>gica brasileira com relação à Inteligência Artificial, ao Marco Civil da</p><p>Internet e à Lei Geral de Proteção de Dados.</p><p>A LGPD define que a natureza jurídica da Autoridade Nacional de</p><p>Proteção de Dados será transitória em um primeiro momento, poden-</p><p>do ser transformada em entidade da Administração Pública federal</p><p>indireta, sob o regime autárquico especial em até dois anos após a en-</p><p>trada em vigor da lei. Essa modificação caberá ao Poder Executivo.</p><p>Nos termos do artigo 55-C da LGPD (Lei n. 13.709/2018) e do arti-</p><p>go 3º do Anexo I do Decreto n. 10.474/2020, a ANPD possui a seguin-</p><p>te composição:</p><p>Figura 1</p><p>Composição da ANPD</p><p>Em</p><p>Ba</p><p>Sy</p><p>/A</p><p>rto</p><p>s/</p><p>Sh</p><p>ut</p><p>te</p><p>rs</p><p>to</p><p>ck</p><p>Conselho Diretor,</p><p>considerado órgão</p><p>máximo de direção</p><p>Conselho Nacional de</p><p>Proteção de Dados Pessoais</p><p>e da Privacidade, que é órgão</p><p>consultivo formado por 23</p><p>representantes de órgãos</p><p>públicos, da sociedade civil, da</p><p>comunidade científica, do setor</p><p>produtivo e empresarial e do</p><p>setor laboral.</p><p>Órgãos de assistência direta e</p><p>imediata ao Conselho Diretor:</p><p>Secretaria-Geral; Coordenação-</p><p>Geral de Administração;</p><p>e Coordenação-Geral de</p><p>Relações Institucionais e</p><p>Internacionais.</p><p>Órgãos seccionais:</p><p>Corregedoria; Ouvidoria; e</p><p>Assessoria Jurídica.</p><p>Órgãos específicos singulares:</p><p>Coordenação-Geral de</p><p>Normatização; Coordenação-</p><p>Geral de Fiscalização; e</p><p>Coordenação-Geral de</p><p>Tecnologia e Pesquisa.</p><p>ANPD</p><p>Fonte: Elaborada pela autora com base em Brasil, 2018; 2020a.</p><p>A Autoridade Nacional de Proteção de Dados e as sanções legais 85</p><p>A LGPD determina que</p><p>o Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o</p><p>Diretor-Presidente. Os membros do Conselho Diretor da ANPD serão escolhidos</p><p>pelo Presidente da República e por ele nomeados, após aprovação pelo Senado</p><p>Federal, nos termos da alínea ‘f ’ do inciso III do art. 52 da Constituição Federal, e</p><p>ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superiores -</p><p>DAS, no mínimo, de nível 5. (Incluído pela Lei n.º 13.853, de 2019)</p><p>§ 2.º Os membros do Conselho Diretor serão escolhidos dentre brasileiros que te-</p><p>nham reputação ilibada, nível superior de educação e elevado conceito no campo</p><p>de especialidade dos cargos para os quais serão nomeados. (Incluído pela Lei n.º</p><p>13.853, de 2019) (BRASIL, 2018)</p><p>Dispõe também que “o mandato dos membros do conselho diretor</p><p>será de 4 (quatro) anos.” (BRASIL, 2018). Para assegurar uma renovação</p><p>gradual,</p><p>apenas os mandatos da primeira diretoria terão durações diferentes, “de 2 (dois),</p><p>de 3 (três), de 4 (quatro), de 5 (cinco) e de 6 (seis) anos, conforme estabelecido</p><p>no ato de nomeação. [...] Os membros do Conselho Diretor somente perderão seus</p><p>cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena</p><p>de demissão decorrente de processo administrativo disciplinar” (BRASIL, 2018).</p><p>A nomeação da primeira Diretoria da Autoridade Nacional de Prote-</p><p>ção de Dados, após sabatina realizada pelo Senado Federal no dia 20</p><p>de outubro, ocorreu em novembro do mesmo ano.</p><p>Já o Conselho Nacional de Proteção de Dados Pessoais e da Privaci-</p><p>dade tem como principais atribuições, como dispõe o artigo 58-B:</p><p>I – propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política</p><p>Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;</p><p>II – elaborar relatórios anuais de avaliação da execução das ações da Política Nacio-</p><p>nal de Proteção de Dados Pessoais</p><p>e da Privacidade;</p><p>III – sugerir ações a serem realizadas pela ANPD;</p><p>IV – elaborar estudos e realizar debates e audiências públicas sobre a proteção de</p><p>dados pessoais e da privacidade; e</p><p>V – disseminar o conhecimento sobre a proteção de dados pessoais e da privacida-</p><p>de à população. (BRASIL, 2018)</p><p>Você pode conferir a</p><p>releção dos nomeados no</p><p>portal da própria ANPD.</p><p>Disponível em: https://www.gov.</p><p>br/anpd/pt-br/composicao-1/</p><p>copy_of_conselho-diretor-1.</p><p>Acesso: 14 maio 2021.</p><p>Site</p><p>https://www.gov.br/anpd/pt-br/composicao-1/copy_of_conselho-diretor-1</p><p>https://www.gov.br/anpd/pt-br/composicao-1/copy_of_conselho-diretor-1</p><p>https://www.gov.br/anpd/pt-br/composicao-1/copy_of_conselho-diretor-1</p><p>86 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>De acordo com o artigo 58-A, inciso III, parágrafo 4º: “A participa-</p><p>ção no Conselho Nacional de Proteção de Dados Pessoais e da Priva-</p><p>cidade será considerada prestação de serviço público relevante, não</p><p>remunerada” (BRASIL, 2018). Ainda segundo o artigo 58-A, o CNPD é</p><p>composto por 23 representantes, titulares e suplentes, sendo cinco do</p><p>Poder Executivo federal (um da Casa Civil da Presidência da República,</p><p>que o presidirá; um do Ministério da Justiça e Segurança Pública; um</p><p>do Ministério da Economia; um do Ministério da Ciência, Tecnologia e</p><p>Inovações; e um do Gabinete de Segurança Institucional da Presidência</p><p>da República), além dos seguintes órgãos e entidades:</p><p>1 (um) do Senado Federal;</p><p>1 (um) da Câmara dos Deputados;</p><p>1 (um) do Conselho Nacional de Justiça;</p><p>1 (um) do Conselho Nacional do Ministério Público;</p><p>1 (um) do Comitê Gestor da Internet no Brasil;</p><p>3 (três) de entidades da sociedade civil com atuação relacionada a proteção de</p><p>dados pessoais;</p><p>3 (três) de instituições científicas, tecnológicas e de inovação;</p><p>3 (três) de confederações sindicais representativas das categorias econômicas</p><p>do setor produtivo;</p><p>2 (dois) de entidades representativas do setor empresarial relacionado à área de</p><p>tratamento de dados pessoais; e</p><p>2 (dois) de entidades representativas do setor laboral. (BRASIL, 2018)</p><p>Os membros do CNPD e respectivos suplentes serão designados</p><p>pelo Presidente da República. As indicações dos membros represen-</p><p>tantes dos órgãos do Poder Executivo, do Poder Legislativo, do Con-</p><p>selho Nacional de Justiça, do Conselho Nacional do Ministério Público</p><p>e do Comitê Gestor da Internet no Brasil, como dispõe o artigo 15, XV,</p><p>“serão submetidas pelos titulares dos órgãos que representam ao Mi-</p><p>nistro de Estado Chefe da Casa Civil da Presidência da República” (BRA-</p><p>SIL, 2020a). Com relação às demais indicações, estas poderão se dar</p><p>livremente pelo Conselho Diretor da ANPD e entidades representativas</p><p>no prazo de 30 dias do edital de convocação. O Conselho Diretor, após</p><p>receber essas indicações, deverá formalizar lista tríplice com a descri-</p><p>ção dos titulares e suplentes para encaminhar ao Ministro de Estado</p><p>A Autoridade Nacional de Proteção de Dados e as sanções legais 87</p><p>Chefe da Casa Civil da Presidência da República para posterior nomea-</p><p>ção pelo Presidente da República.</p><p>A participação da sociedade nos trabalhos da ANPD, nos termos da</p><p>LGPD, se dará pela oitiva dos agentes de tratamento e da sociedade</p><p>em matérias de interesse relevante, devendo a ANPD prestar contas</p><p>sobre suas atividades e planejamento. Importante ressaltar que, con-</p><p>forme previsão legal, todos os regulamentos e normas que vierem a</p><p>ser editados pela Autoridade Nacional de Proteção de Dados deverão</p><p>ser precedidas de consulta e audiência públicas, bem como de relatório</p><p>de Análise de Impacto Regulatório (AIR).</p><p>Interessante destacar que a AIR é uma ferramenta de verificação</p><p>da qualidade da regulação, recentemente introduzida no ordenamento</p><p>pelo artigo 6º da Lei n. 13.848/2019, que instituiu a obrigatoriedade da</p><p>realização da AIR sempre que houver alteração legislativa de interesse</p><p>geral dos agentes econômicos, consumidores ou usuários de serviços</p><p>no âmbito das Agências Reguladoras. Em razão da sua importância foi</p><p>estendida a sua obrigatoriedade aos órgãos ou entidades da Adminis-</p><p>tração Pública federal pela Lei n. 13.874/2019, artigo 5º, tendo sido re-</p><p>gulamentada pelo Decreto n. 10.411/2020.</p><p>Atuando como órgão central de interpretação da LGPD e do estabe-</p><p>lecimento de normas e diretrizes para a sua implementação, a ANPD</p><p>deverá se articular com outras entidades e órgãos públicos a fim de</p><p>garantir o cumprimento de sua missão institucional.</p><p>A legislação define que a Autoridade Nacional de Proteção de Dados</p><p>e os demais órgãos ou entidades públicas que sejam responsáveis por</p><p>regular setores da economia deverão coordenar as suas relações e ati-</p><p>vidades a fim de garantir o cumprimento de suas funções com maior</p><p>eficiência, garantindo o correto funcionamento dos setores regulados.</p><p>Destaca-se que as sanções previstas na Lei Geral de Proteção de Dados</p><p>competem exclusivamente à ANPD e a sua competência prevalecerá so-</p><p>bre as competências correspondentes das outras entidades e órgãos da</p><p>Administração Pública, no que se refere à proteção de dados pessoais.</p><p>Apenas a título ilustrativo e em consonância com o fato de que a</p><p>experiência internacional deve servir como parâmetro para a atua-</p><p>ção da nossa ANPD, é válido citar a experiência das autoridades</p><p>nacionais ao redor do mundo, em especial no Reino Unido e comu-</p><p>nidade europeia.</p><p>88 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>No Reino Unido, a autoridade nacional é denominada de Informa-</p><p>tion Commissioner's Office (ICO) e é responsável por garantir o respeito</p><p>à privacidade dos titulares, tanto no âmbito público quanto no âmbito</p><p>privado. Exerce ainda as funções de investigação, fiscalização e aplica-</p><p>ção de sanções, além do cadastro dos Data Protection Officers (DPOs)</p><p>escolhidos pelas organizações. Grande parte do orçamento anual da</p><p>autoridade do Reino Unido se constitui por taxas pagas pelas organi-</p><p>zações que tratam dados, que são as Data Protection Fees. Os valores</p><p>arrecadados com a aplicação de sanções não são reutilizados pela au-</p><p>toridade de proteção de dados, mas sim destinados a compor o tesouro</p><p>da rainha (Her Majesty’s Treasury). Pela análise dos endereços eletrô-</p><p>nicos da autoridade do Reino Unido, verifica-se que os três principais</p><p>assuntos levantados pelos titulares de dados pessoais dizem respeito:</p><p>(i) ao acesso a dados pessoais; (ii) à divulgação de dados pessoais; e</p><p>(iii) à restrição ao processamento de dados. A ICO se destaca pela sua</p><p>forte atuação na conscientização a respeito da legislação europeia de</p><p>proteção de dados, tendo elaborado e publicado diversos documentos</p><p>instrutivos e orientativos sobre a proteção de dados pessoais.</p><p>Por sua vez, na Irlanda, a autoridade de proteção de dados se cha-</p><p>ma Data Protection Commission (DPC) e supervisiona a aplicação da</p><p>legislação europeia de proteção de dados. Foi estabelecida pelo Data</p><p>Protection Act 2018. Essa autoridade se tornou muito conhecida em ra-</p><p>zão de estarem localizadas na Irlanda diversas empresas de tecnolo-</p><p>gia do Vale do Silício, tais como Apple, Facebook, Google, LinkedIn e</p><p>Twitter. Na Irlanda a orientação da autoridade é de que o titular efetue</p><p>a sua reclamação primeiro diretamente ao controlador do tratamento</p><p>de dados. Somente caso não haja uma solução direta entre as partes é</p><p>que a autoridade deverá ser acionada. Em regra, o tempo de resposta</p><p>da DCP é de um mês, possuindo um website muito didático e com di-</p><p>versas informações esclarecedoras ao público.</p><p>No caso de Portugal, chama a atenção por ter criado uma autorida-</p><p>de de proteção de dados mesmo antes da legislação europeia de pro-</p><p>teção de dados atual, e isso considerando que a tradição de proteger</p><p>dados pessoais na Europa já vem de longa data. A autoridade supervi-</p><p>sora se chama Comissão Nacional de Protecção de Dados e sua estrutura</p><p>é composta por sete membros eleitos pela Assembleia da República,</p><p>Governo, Conselho Superior do Ministério Público e o da Magistratura.</p><p>Pela sua composição interna, especula-se que é a autoridade menos</p><p>multidisciplinar em toda a Europa.</p><p>Os endereços eletrô-</p><p>nicos a seguir são das</p><p>autoridades nacionais</p><p>de proteção de dados</p><p>mencionadas no texto do</p><p>capítulo, para conhe-</p><p>cimento, visitação e</p><p>maiores informações:</p><p>Autoridade Nacional de Proteção de</p><p>Dados Brasileira: https://www.gov.</p><p>br/anpd/pt-br</p><p>Autoridade de Proteção de Dados do</p><p>Reino Unido: https://ico.org.uk/</p><p>Autoridade de Proteção de</p><p>Dados da Irlanda: https://www.</p><p>dataprotection.ie/</p><p>Autoridade de Proteção de Dados</p><p>de Portugal: https://www.cnpd.pt/.</p><p>Acessos em: 14 maio 2021.</p><p>Sites</p><p>https://www.gov.br/anpd/pt-br</p><p>https://www.gov.br/anpd/pt-br</p><p>https://www.cnpd.pt/</p><p>A Autoridade Nacional de Proteção de Dados e as sanções legais 89</p><p>4.2 Competências</p><p>Vídeo O artigo 55-J da LGPD estabelece as principais competências da</p><p>ANPD, dentre as quais se destacam as seguintes:</p><p>I - zelar pela proteção dos dados pessoais, nos termos da legislação</p><p>II - zelar pela observância dos segredos comercial e industrial [...];</p><p>III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da</p><p>Privacidade;</p><p>IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em des-</p><p>cumprimento à legislação, mediante processo administrativo que assegure o con-</p><p>traditório, a ampla defesa e o direito de recurso;</p><p>V - apreciar petições de titular contra controlador após comprovada pelo titular a</p><p>apresentação de reclamação ao controlador não solucionada no prazo estabelecido</p><p>em regulamentação;</p><p>VI - promover na população o conhecimento das normas e das políticas públicas</p><p>sobre proteção de dados pessoais e das medidas de segurança;</p><p>VII - promover e elaborar estudos sobre as práticas nacionais e internacionais de</p><p>proteção de dados pessoais e privacidade;</p><p>VIII - estimular a adoção de padrões para serviços e produtos que facilitem o exer-</p><p>cício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em</p><p>consideração as especificidades das atividades e o porte dos responsáveis;</p><p>IX - promover ações de cooperação com autoridades de proteção de dados pessoais</p><p>de outros países, de natureza internacional ou transnacional;</p><p>X - dispor sobre as formas de publicidade das operações de tratamento de dados</p><p>pessoais, respeitados os segredos comercial e industrial;</p><p>[...]</p><p>XII - elaborar relatórios de gestão anuais acerca de suas atividades;</p><p>XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e pri-</p><p>vacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para</p><p>os casos em que o tratamento representar alto risco à garantia dos princípios gerais</p><p>de proteção de dados pessoais previstos nesta Lei;</p><p>XIV - ouvir os agentes de tratamento e a sociedade em matérias de interesse rele-</p><p>vante e prestar contas sobre suas atividades e planejamento;</p><p>[...]</p><p>(Continua)</p><p>90 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de</p><p>fiscalização de que trata o inciso IV e com a devida observância do disposto no</p><p>inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos</p><p>agentes de tratamento, incluído o poder público;</p><p>XVII - celebrar, a qualquer momento, compromisso com agentes de tratamento</p><p>para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito</p><p>de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de</p><p>4 de setembro de 1942;</p><p>[...]</p><p>XIX - garantir que o tratamento de dados de idosos seja efetuado de maneira sim-</p><p>ples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei</p><p>nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);</p><p>XX - deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta</p><p>Lei, as suas competências e os casos omissos;</p><p>[...]</p><p>XXIII - articular-se com as autoridades reguladoras públicas para exercer suas</p><p>competências em setores específicos de atividades econômicas e governamentais</p><p>sujeitas à regulação; e</p><p>XXIV - implementar mecanismos simplificados, inclusive por meio eletrônico, para o</p><p>registro de reclamações sobre o tratamento de dados pessoais em desconformidade</p><p>com esta Lei. (BRASIL, 2018)</p><p>Segundo o artigo 55-J, parágrafo 1º, “ao impor condicionantes</p><p>administrativas ao tratamento de dados pessoais por agente de tra-</p><p>tamento privado, sejam eles limites, encargos ou sujeições, a ANPD</p><p>deve observar a exigência de mínima intervenção, assegurados os</p><p>fundamentos, os princípios e os direitos dos titulares” (BRASIL, 2018).</p><p>Também no artigo 30 da LGPD, ao dispor que a “autoridade</p><p>nacional poderá estabelecer normas complementares para as ati-</p><p>vidades de comunicação e uso compartilhado de dados pessoais”</p><p>(BRASIL, 2018), reforça-se o poder normativo da ANPD, em especial</p><p>no âmbito dessas atividades, as quais possuem elevado grau de sen-</p><p>sibilidade e muitas vezes estão relacionadas, segundo Tasso (2020),</p><p>ao objetivo de vantagem econômica.</p><p>Outro ponto importante relacionado ao poder normativo diz res-</p><p>peito à interpretação e ao esclarecimento de pontos obscuros da lei</p><p>ou que geram interpretação duvidosa. O conteúdo de trabalho da</p><p>A Autoridade Nacional de Proteção de Dados e as sanções legais 91</p><p>ANPD, segundo Andrei Gutierrez (2019), demandará grau sofisticado</p><p>e multidisciplinar de conhecimentos técnicos, dentre eles os relacio-</p><p>nados a direitos fundamentais, consumidor, desenvolvimento dos</p><p>ecossistemas digitais, transformação digital das tradicionais cadeias</p><p>globais de valor, segurança pública e nacional, desburocratização e</p><p>governo digital. Em pouco tempo da vigência da legislação, diversas</p><p>questões vêm surgindo e respondê-las será um desafio à ANPD pre-</p><p>visto dentre as suas competências.</p><p>Por sua vez, o artigo 58-B da LGPD estabelece as principais com-</p><p>petências do CNPD, dentre as quais se destacam:</p><p>I - propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política</p><p>Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;</p><p>II - elaborar relatórios anuais de avaliação da execução das ações da Política Nacio-</p><p>nal de Proteção de Dados Pessoais e da Privacidade;</p><p>III - sugerir ações a serem realizadas pela ANPD;</p><p>IV - elaborar estudos e realizar debates e audiências públicas sobre a proteção de</p><p>dados pessoais e da privacidade; e</p><p>V - disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade</p><p>à população. (BRASIL, 2018)</p><p>Para exercer com maestria as suas competências, orienta a dou-</p><p>trina que</p><p>é muito importante que os membros do Conselho sejam ex-</p><p>perts no tema de proteção de dados pessoais e também sobre</p><p>a sua aplicação nos diferentes setores da sociedade, visto que</p><p>há muitas particularidades que precisarão ser consideradas na</p><p>implementação da legislação e para o seu contínuo aperfeiçoa-</p><p>mento. [...] Quanto mais heterogêneo puder ser sua composição,</p><p>melhor, incluindo especialistas técnicos, jurídicos, econômicos,</p><p>cientistas de dados e comunicadores. (PINHEIRO, 2020, p. 143)</p><p>No âmbito de sua competência, a ANPD, no Dia Internacional de Pro-</p><p>teção de Dados (28 de janeiro), editou a Portaria n. 11/2021, que tornou</p><p>pública a agenda regulatória bianual da autoridade referente aos anos de</p><p>2021/2022, na qual foram estabelecidos dez itens prioritários que serão</p><p>objeto de estudo e tratamento, dando início à construção da Política Na-</p><p>cional de Proteção de Dados Pessoais e da Privacidade. A normativa é di-</p><p>vidida em três fases, de acordo com a prioridade estabelecida para cada</p><p>92 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>um dos temas e os semestres de 2021 e 2022, estabelecendo, desde já, a</p><p>forma de regulamentação de cada tema: se por meio de portaria, resolu-</p><p>ção ou mera orientação por guia de boas práticas. Semestralmente será</p><p>publicado relatório de acompanhamento das atividades, podendo haver</p><p>readequação das iniciativas e metas constantes da agenda caso haja ne-</p><p>cessidade. Dentre os temas destacam-se o Regimento Interno da ANPD,</p><p>previsto já para</p><p>o primeiro semestre de 2021, a regulamentação diferen-</p><p>ciada da proteção de dados e da privacidade para pequenas e médias</p><p>empresas, startups e pessoas físicas que tratam dados pessoais com fins</p><p>econômicos, que se dará por meio de resolução, e o estabelecimento</p><p>de normativos para a aplicação do artigo 52 e seguintes da Lei Geral de</p><p>Proteção de Dados Pessoais, que tratam sobre a fiscalização e aplica-</p><p>ção de sanções administrativas, dentre outros temas, todos eles real-</p><p>mente relevantes quanto à necessidade de pronunciamento por parte</p><p>da ANPD.</p><p>Em demonstração de que a ANPD está comprometida com o</p><p>cumprimento do cronograma proposto, iniciou logo em seguida</p><p>à edição da Portaria a tomada de subsídios sobre a regulamen-</p><p>tação da lei para microempresas e empresas de pequeno porte,</p><p>bem como iniciativas empresariais de caráter incremental ou dis-</p><p>ruptivo que se autodeclarem startups ou empresas de inovação e</p><p>pessoas físicas que tratam dados pessoais com fins econômicos,</p><p>cujo objetivo é receber contribuições da sociedade para posterior</p><p>regulamentação.</p><p>Também já houve a publicação do Planejamento Estratégico para 2021-</p><p>2023 pela ANPD, no qual foram divulgados o mapa estratégico, os indica-</p><p>dores a serem adotados e os objetivos da Autoridade no sentido de “(i)</p><p>promover o fortalecimento da cultura de proteção de dados pessoais; (ii) es-</p><p>tabelecer o ambiente normativo eficaz para a proteção de dados pessoais;</p><p>e (iii) aprimorar as condições para o cumprimento das competências legais”</p><p>(BRASIL, 2020b).</p><p>4.3 Sanções administrativas</p><p>Vídeo A não conformidade das operações de tratamento de dados à</p><p>LGPD e/ou o desrespeito aos direitos do titular dão azo à imposição</p><p>de sanções administrativas.</p><p>A Autoridade Nacional de Proteção de Dados e as sanções legais 93</p><p>Cabe lembrar que os dispositivos da LGPD que tratam de sanções</p><p>administrativas somente entram em vigor em 1º de agosto de 2021.</p><p>A partir dessa data, a ANPD, e somente a ANPD, em sua competên-</p><p>cia sancionatória, poderá aplicar, após procedimento administrativo</p><p>que possibilite a ampla defesa e o contraditório, diversas sanções</p><p>administrativas, dentre elas, como dispõe o artigo 52:</p><p>I - advertência, com indicação de prazo para adoção de medidas corretivas;</p><p>II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de</p><p>direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos</p><p>os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por</p><p>infração;</p><p>III - multa diária, observado o limite total a que se refere o inciso II;</p><p>IV - publicização da infração após devidamente apurada e confirmada a sua</p><p>ocorrência;</p><p>V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;</p><p>VI - eliminação dos dados pessoais a que se refere a infração;</p><p>[...]</p><p>X - suspensão parcial do funcionamento do banco de dados a que se refere a in-</p><p>fração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a</p><p>regularização da atividade de tratamento pelo controlador;</p><p>XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que</p><p>se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual</p><p>período;</p><p>XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento</p><p>de dados. (BRASIL, 2018)</p><p>A ANPD deverá editar regulamento próprio dispondo sobre as</p><p>sanções administrativas após a realização de consulta pública, no</p><p>qual deverão constar as metodologias que orientarão o cálculo do</p><p>valor-base das sanções de multa, fixando as circunstâncias e as con-</p><p>dições para a aplicação de multa simples ou diária. Tal metodologia</p><p>deverá ser publicada previamente para que todos os agentes de tra-</p><p>tamento tenham conhecimento com clareza e objetividade, definin-</p><p>do qual será a forma e a dosimetria da aplicação das penalidades</p><p>previstas na lei. A regulamentação deverá indicar a fundamentação</p><p>detalhada de todos os seus elementos, relacionando a necessidade</p><p>de observância dos parâmetros e critérios previstos na LGPD.</p><p>O Projeto de Lei</p><p>n. 500/2021 pretende</p><p>alterar o artigo 65 da</p><p>Lei n. 13.709/2018, para</p><p>postergar, até o dia 1º de</p><p>janeiro de 2022, as multas</p><p>administrativas pecuniá-</p><p>rias previstas na Lei Geral</p><p>de Proteção de Dados</p><p>Pessoais (LGPD).</p><p>Você pode conferir</p><p>detalhes desse processo</p><p>no portal da Câmara dos</p><p>Deputados por meio do</p><p>seguinte link: https://</p><p>www.camara.leg.br/</p><p>proposicoesWeb/ficha-</p><p>detramitacao?idProposi-</p><p>cao=2270533. Acesso em:</p><p>14 maio 2021.</p><p>Saiba mais</p><p>https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2270533</p><p>https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2270533</p><p>https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2270533</p><p>https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2270533</p><p>https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2270533</p><p>94 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Somente poderão ser aplicadas as sanções previstas na lei:</p><p>após procedimento administrativo que possibilite a oportunidade da ampla defesa,</p><p>de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso</p><p>concreto e considerados os seguintes parâmetros e critérios:</p><p>I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;</p><p>II - a boa-fé do infrator;</p><p>III - a vantagem auferida ou pretendida pelo infrator;</p><p>IV - a condição econômica do infrator;</p><p>V - a reincidência;</p><p>VI - o grau do dano;</p><p>VII - a cooperação do infrator;</p><p>VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos</p><p>capazes de minimizar o dano, voltados ao tratamento seguro e adequado de da-</p><p>dos, em consonância com o disposto no inciso II do § 2.º do art. 48 desta Lei;</p><p>IX - a adoção de política de boas práticas e governança;</p><p>X - a pronta adoção de medidas corretivas; e</p><p>XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção.</p><p>(BRASIL, 2018)</p><p>Para aplicação de multa diária, será necessário observar a gra-</p><p>vidade da infração e a extensão do prejuízo ou do dano que venha</p><p>a ser causado, devendo a intimação de aplicação da sanção ser de-</p><p>vidamente fundamentada pela autoridade nacional em documento</p><p>que contenha a descrição da obrigação, o prazo para o seu cumpri-</p><p>mento e o valor da multa a ser aplicada em caso de descumprimento</p><p>da intimação.</p><p>As sanções administrativas previstas na LGPD não substituem a</p><p>aplicação de sanções administrativas, civis ou penais definidas no</p><p>Código de Defesa do Consumidor, no Código Civil, no Código Penal</p><p>ou em outras legislações específicas.</p><p>Com exceção das multas, as demais sanções poderão ser aplica-</p><p>das às entidades e aos órgãos públicos, sem prejuízo da aplicação</p><p>das penalidades previstas no Estatuto do Servidor Público, da Lei de</p><p>Acesso à Informação (LAI) e da Lei de Improbidade Administrativa.</p><p>A Autoridade Nacional de Proteção de Dados e as sanções legais 95</p><p>As sanções de suspensão do funcionamento de banco de dados,</p><p>de suspensão do exercício da atividade de tratamento dos dados e</p><p>a proibição parcial ou total do exercício da atividade serão aplica-</p><p>das somente após já ter sido imposta ao menos uma das demais</p><p>sanções para o mesmo caso concreto; e em caso de controladores</p><p>submetidos a outros órgãos e entidades com competências sancio-</p><p>natórias, apenas após ouvidos esses órgãos.</p><p>Cumpre destacar que, apesar de a legislação expressamente pre-</p><p>ver que a sua aplicação se dará tanto no âmbito da pessoa jurídica</p><p>quanto física, a multa simples prevista usou como base de cálculo</p><p>o faturamento da pessoa jurídica, o que poderia, em uma primeira</p><p>análise, levar à conclusão de que não se aplicaria às pessoas físicas.</p><p>Contudo, segundo posição doutrinária, a princípio resta evidente</p><p>que o intuito da LGPD foi de estabelecer punibilidade pecuniária a</p><p>todos os destinatários da LGPD. E a fim de solucionar o impasse rela-</p><p>cionado à base de cálculo, tem-se proposto interpretação extensiva.</p><p>Como</p><p>afirma Fabricio da Mota Alves (2019, p. 367):</p><p>Uma proposta aqui formulada, considerando a autorização</p><p>doutrinária e jurisprudencial ao manejo da interpretação ex-</p><p>tensiva, seria, ainda, o suo do mesmo recurso, para se com-</p><p>preender o cálculo da multa sobre a receita auferida pela</p><p>pessoa natural, em decorrência da atividade de tratamento de</p><p>dados pessoais.</p><p>Esse é um dos pontos em relação ao qual se espera a interpreta-</p><p>ção da ANPD. Além dele, outro aspecto relevante diz respeito à ne-</p><p>cessidade de conciliação direta entre controlador e titular sobre os</p><p>vazamentos individuais ou os acessos não autorizados, para somen-</p><p>te então, caso não haja acordo, sujeitar-se o controlador à aplicação</p><p>das penalidades administrativas. Tal orientação encontra-se previs-</p><p>ta também dentre as competências da ANPD no sentido de que esta</p><p>deverá, como prescreve o artigo 55-J, V, “apreciar petições de titular</p><p>contra controlador após comprovada pelo titular a apresentação de</p><p>reclamação ao controlador não solucionada no prazo estabelecido</p><p>em regulamentação” (BRASIL, 2018).</p><p>É evidente que a ANPD, após o próprio controlador, é o órgão</p><p>mais capacitado para analisar questões envolvendo a proteção de</p><p>dados e a privacidade em virtude de se tratar de autoridade criada</p><p>com o fim específico de fiscalizar e regular a LGPD. Assim, deverá</p><p>96 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>ser o segundo filtro no sistema de solução de conflitos. Esse é um</p><p>mecanismo de garantia do acesso à justiça, protegendo-se a inafas-</p><p>tabilidade da jurisdição, mas coibindo a judicialização banalizada.</p><p>Nesse sentido é o entendimento da doutrina:</p><p>Em termos objetivos, para que o direito de ação seja exerci-</p><p>do, sem nenhuma afronta ao princípio da inafastabilidade da</p><p>jurisdição previsto no art. 5º, XXXV, da Constituição da Repú-</p><p>blica, é necessário que haja uma negativa da parte contrária</p><p>em satisfazer a pretensão da parte demandante; caso contrá-</p><p>rio, não lhe convém movimentar o Poder Judiciário. (BECKER;</p><p>CHIESI FILHO; ROJTENBERG, 2020)</p><p>Essa tem sido uma tendência que vem se consolidando no sentido</p><p>de enfatizar a importância da tentativa de conciliação ou mediação</p><p>como solução alternativa ao Poder Judiciário, que tem a exclusivi-</p><p>dade da aplicação contenciosa da lei ao caso concreto, partindo da</p><p>premissa de que os recursos públicos são escassos, sendo evidentes</p><p>as limitações de estrutura do Poder Judiciário.</p><p>Não é à toa que outra competência fixada à ANPD, a XXIV, é a de</p><p>“implementar mecanismos simplificados, inclusive por meio eletrô-</p><p>nico, para o registro de reclamações sobre o tratamento de dados</p><p>pessoais em desconformidade com [a LGPD]” (BRASIL, 2018). Nesse</p><p>caso um exemplo de sucesso é a plataforma de resolução de confli-</p><p>tos da Secretaria Nacional de Defesa do Consumidor, cujo objetivo</p><p>maior é o de se evitar o colapso do sistema judicial e o risco de invia-</p><p>bilização à atividade precípua de distribuição da justiça com qualida-</p><p>de, celeridade, economia e eficiência.</p><p>A mesmíssima postura deverá ser adotada pela ANPD quando</p><p>a disputa versar sobre proteção de dados pessoais e privacidade,</p><p>fomentando o uso de meios on-line por meio de plataformas que fa-</p><p>cilitam a instauração e institucionalização de métodos não judiciais</p><p>de solução de disputas de proteção de dados, como a conciliação e</p><p>a mediação.</p><p>Esses requisitos prévios fixados na LGPD vão de encontro com o</p><p>objetivo de se evitar a judicialização desenfreada de questões rela-</p><p>cionadas à proteção dos dados pessoais. Isso porque o que se esti-</p><p>ma é que esse novo microssistema de direitos tem potencial de levar</p><p>uma enxurrada de novos casos ao Poder Judiciário.</p><p>Você pode acessar a</p><p>plataforma de resolução</p><p>de conflitos da Secreta-</p><p>ria Nacional de Defesa</p><p>do Consumidor por</p><p>meio do seguinte link:</p><p>https://www.consumidor.</p><p>gov.br/pages/princi-</p><p>pal/?1620740039190.</p><p>Acesso em: 14 maio 2021.</p><p>Site</p><p>A Autoridade Nacional de Proteção de Dados e as sanções legais 97</p><p>Internacionalmente, tem-se percebido o aumento nas demandas</p><p>relativas à proteção de dados pessoais após a promulgação de le-</p><p>gislações protetivas. E não há razão para se esperar algo diferen-</p><p>te do Brasil, ainda mais considerando as peculiaridades do cenário</p><p>brasileiro.</p><p>O sistema de proteção de dados da Coreia do Sul foi um dos pio-</p><p>neiros na Ásia e prevê, paralelamente, três mecanismos de solução</p><p>de controvérsias: um mecanismo “informal” de mediação (o número</p><p>de telefone 118); um mecanismo formal de mediação (o Comitê de</p><p>Mediação de Disputas envolvendo Dados Pessoais); e o Judiciário. Na</p><p>prática, o mecanismo que recebe o maior número de reclamações</p><p>é o sistema “informal”. Nesse caso a agência serve apenas como in-</p><p>termediária, facilitando a mediação entre o agente de tratamento e</p><p>os titulares.</p><p>Como exemplos de criação de mecanismos alternativos de solu-</p><p>ção de controvérsias para dirimir problemas relacionados à prote-</p><p>ção dos dados pessoais, pode-se citar Cingapura, Austrália e Nova</p><p>Zelândia. Em Cingapura foram criadas câmaras de mediação e na</p><p>Austrália e Nova Zelândia foram instituídos meios externos de reso-</p><p>lução de conflitos.</p><p>Na Europa, o Regulamento Geral de Proteção de Dados Europeu</p><p>(GDPR) de 2018 não prescreve um mecanismo específico nem um</p><p>procedimento para solução de controvérsias não judiciais, mas dei-</p><p>xa isso a cargo dos países individualmente, os quais possuem em</p><p>seus sistemas internos, já desde a Diretiva 96/45 (que foi substituída</p><p>pela GDPR) mecanismos não judiciais para os titulares de dados fa-</p><p>zerem valer seus direitos.</p><p>O site Enforcement Tracker</p><p>contém uma lista e uma</p><p>visão geral das multas</p><p>e penalidades impostas</p><p>pelas autoridades de</p><p>proteção de dados na</p><p>União Europeia sob o</p><p>Regulamento Geral de</p><p>Proteção de Dados Euro-</p><p>peu (GDPR).</p><p>Disponível em: https://www.</p><p>enforcementtracker.com/. Acesso</p><p>em: 14 maio 2021.</p><p>Site</p><p>4.4 Responsabilidades jurídicas</p><p>Vídeo</p><p>A Lei Geral de Proteção de Dados criou um sistema de responsa-</p><p>bilidade civil alinhado com o Código Civil e com o Código de Defesa</p><p>do Consumidor para tratar da responsabilização dos agentes de tra-</p><p>tamento de dados pessoais. A interpretação dos institutos já conso-</p><p>lidados do direito em face das novas regulamentações de deveres</p><p>deve ser efetuada de maneira integrada, completa e harmônica, ca-</p><p>bendo à LGPD regulamentar essas novas hipóteses de responsabili-</p><p>dade civil de modo claro.</p><p>https://www.enforcementtracker.com/</p><p>https://www.enforcementtracker.com/</p><p>98 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Preliminarmente, convém destacar que o artigo 39 da lei prevê</p><p>que o operador deverá realizar o tratamento de dados segundo as</p><p>instruções fornecidas pelo controlador, que, por sua vez, deverá ga-</p><p>rantir que essas instruções seguem as diretrizes da Lei Geral de Pro-</p><p>teção de Dados.</p><p>O regime de responsabilidade civil e ressarcimento de danos apli-</p><p>cável aos agentes de tratamento quando da prática de atos irregulares</p><p>que violem a LGPD está previsto nos artigos 42 a 45 da LGPD.</p><p>Dispõe o artigo 42 da LGPD que “o controlador ou o operador que,</p><p>em razão do exercício de atividade de tratamento de dados pessoais,</p><p>causar a outrem dano patrimonial, moral, individual ou coletivo, em</p><p>violação à legislação de proteção de dados pessoais, é obrigado a</p><p>repará-lo” (BRASIL, 2018). Também na LGPD, no artigo 44, parágrafo</p><p>único: “Responde pelos danos decorrentes da violação da segurança</p><p>dos dados o controlador ou o operador que, ao deixar de adotar as</p><p>medidas de segurança previstas no art. 46 desta Lei, der causa ao</p><p>dano” (BRASIL, 2018).</p><p>O operador responde de maneira solidária ao controlador sem-</p><p>pre que descumprir as ordens dadas pelo controlador ou, ainda, caso</p><p>descumpra suas obrigações disciplinadas pela Lei Geral de Proteção</p><p>de Dados.</p><p>O artigo 43 trata das excludentes de responsabilidade, disciplinan-</p><p>do que controlador e operador somente não serão responsabilizados</p><p>por “danos decorrentes do tratamento de dados” (BRASIL, 2018) quan-</p><p>do comprovados que não realizaram o tratamento ou, quando por eles</p><p>de modo assertivo, incrementando a possibilidade de êxito da</p><p>indução do consumo, pois constitui ações construídas com base nas</p><p>ações dos titulares dos dados no mundo digital. Nesse sentido, Bioni</p><p>(2020, p. 17) exemplifica que</p><p>o mecanismo de buscas do Google, além de estabelecer uma</p><p>correlação entre as palavras buscadas pelo usuário à publicidade</p><p>direcionada, define que a contraprestação somente será devi-</p><p>da se o potencial consumidor clicar no correspondente anúncio</p><p>(Google AdWords).</p><p>As redes sociais, de maneira similar, permitem que sejam alcança-</p><p>dos os dados pessoais de seus usuários, sendo estes extraídos durante</p><p>o período de interação com os aplicativos. Também nas palavras de</p><p>Com o desenvolvi-</p><p>mento do aplicativo</p><p>thisisyourdigitallife, a</p><p>Cambridge Analytica con-</p><p>seguiu o “consentimento</p><p>informado” de milhares</p><p>de usuários do Facebook,</p><p>sob o pretexto de que</p><p>participariam de pesquisa</p><p>acadêmica. No entanto,</p><p>o aplicativo permitia a</p><p>coleta das informações</p><p>das pessoas que aderiram</p><p>à pesquisa, além das</p><p>informações de todos</p><p>os indivíduos conecta-</p><p>dos a esses usuários do</p><p>Facebook. As informações</p><p>recebidas foram utilizadas</p><p>para finalidade diversa</p><p>daquela para a qual foram</p><p>autorizadas, mormen-</p><p>te para adequação de</p><p>estratégias em campanhas</p><p>políticas que orientaram</p><p>os resultados das disputas</p><p>políticas em vários países,</p><p>a exemplo da eleição nor-</p><p>te-americana de 2016, que</p><p>elegeu Donald Trump.</p><p>Saiba mais</p><p>Técnica pela qual “dados</p><p>pessoais são tratados</p><p>com o auxílio de métodos</p><p>estatísticos e de técnicas</p><p>de inteligência artificial,</p><p>com o fim de se obter</p><p>uma ‘metainformação’, que</p><p>consistiria numa síntese</p><p>dos hábitos, preferências</p><p>pessoais e outros registros</p><p>da vida desta pessoa. O</p><p>resultado pode ser utilizado</p><p>para traçar um quadro</p><p>das tendências de futuras</p><p>decisões, comportamentos</p><p>e destino de uma pessoa ou</p><p>grupo” (DONEDA, 2020).</p><p>2</p><p>Privacidade na Sociedade da Informação 13</p><p>Bioni (2020, p. 17): “uma vez logado, o usuário passa a fornecer um rico</p><p>perfil de si, que é o que viabiliza o direcionamento da publicidade”.</p><p>Os dados pessoais dos usuários são, portanto, a peça-chave para</p><p>alimentar o marketing digital que se pauta pela atuação do mercado.</p><p>No entanto, da incessante busca por operações de negócio mais</p><p>eficientes pode derivar o quebrantamento dos direitos relacionados à</p><p>privacidade e proteção de dados pessoais, surgindo a necessidade da</p><p>criação de um marco regulatório específico, capaz de concretizar o di-</p><p>reito a essa proteção</p><p>Um exemplo de quebra ocorreu em janeiro de 2021, quando mais</p><p>de 223 milhões de pessoas tiveram seus CPFs expostos em decorrência</p><p>de um ataque creditado ao banco de dados da Serasa Experian. Outras</p><p>140 milhões tiveram divulgadas, além dos números de seus documen-</p><p>tos, informações como número de celular, fotos, salário e a pontuação</p><p>no score de inadimplência da empresa. O caso é considerado o mais</p><p>grave incidente envolvendo dados pessoais ocorrido no Brasil.</p><p>O avanço da tecnologia apresenta novos problemas quanto ao</p><p>tema da privacidade e proteção de dados pessoais. A Lei Geral de Pro-</p><p>teção de Dados (LGPD), por óbvio, não elimina por completo a pos-</p><p>sibilidade de que vazamentos de dados ocorram, porém permite a</p><p>responsabilização e punição dos envolvidos. Ela também determina</p><p>que sejam adotadas boas práticas quanto à segurança da informação,</p><p>bem como incentiva uma mudança cultural quanto ao tema da prote-</p><p>ção de dados.</p><p>O filme O Dilema das</p><p>Redes é um documentá-</p><p>rio que analisa o papel</p><p>das redes sociais e os</p><p>danos que elas causam à</p><p>sociedade.</p><p>Direção: Jeff Orlowski. Estados</p><p>Unidos: Netflix, 2020.</p><p>Filme</p><p>Sobre o megavazamento</p><p>ocorrido no banco de</p><p>dados da Serasa Experian,</p><p>leia a reportagem Procon</p><p>notifica Serasa por vaza-</p><p>mento de dados de 220 mi,</p><p>publicada pelo Portal R7.</p><p>Disponível em: https://noticias.</p><p>r7.com/economia/procon-notifica-</p><p>serasa-por-vazamento-de-dados-</p><p>de-220-mi-28012021. Acesso em:</p><p>14 maio 2021.</p><p>Leitura</p><p>1.3 Privacidade e proteção de dados pessoais</p><p>Vídeo Muito embora os conceitos de privacidade e proteção de dados</p><p>não se confundam, e não seja o direito à proteção de dados um mero</p><p>aspecto da tutela jurídica da privacidade, pensar sobre a proteção de</p><p>informações pessoais exige a compreensão dos fundamentos da priva-</p><p>cidade. Isso porque o desenvolvimento do raciocínio sobre proteção de</p><p>dados pessoais deriva da evolução do conceito de privacidade.</p><p>Primeiramente, é preciso ter em mente que o conceito de privacida-</p><p>de é dinâmico e se transforma com o passar do tempo, em concomitân-</p><p>cia com as mudanças sociais. Nesse sentido, determinar um conteúdo</p><p>para o direito à privacidade é necessidade real, decorrente do incrível</p><p>https://noticias.r7.com/economia/procon-notifica-serasa-por-vazamento-de-dados-de-220-mi-28012021</p><p>https://noticias.r7.com/economia/procon-notifica-serasa-por-vazamento-de-dados-de-220-mi-28012021</p><p>https://noticias.r7.com/economia/procon-notifica-serasa-por-vazamento-de-dados-de-220-mi-28012021</p><p>https://noticias.r7.com/economia/procon-notifica-serasa-por-vazamento-de-dados-de-220-mi-28012021</p><p>14 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>incremento no fluxo das informações em razão do desenvolvimento</p><p>tecnológico experimentado nas últimas décadas.</p><p>É possível considerar que a moderna doutrina do direito à privacida-</p><p>de recebeu forte incremento mediante o artigo de Warren e Brandeis</p><p>(1890), “The right to privacy”, no qual o conceito de privacidade foi arti-</p><p>culado sob a perspectiva do direito de estar só. O texto, considerado um</p><p>marco no desenvolvimento desse conceito, com base na técnica de pre-</p><p>cedentes aplicada na common law, identificou um direito à privacidade</p><p>de natureza pessoal independente da estrutura da tutela da privacidade.</p><p>A ideia desenvolvida pelos autores relacionava a privacidade ao di-</p><p>reito de ser deixado em paz, em um contexto individualista, definindo</p><p>uma separação entre o indivíduo e o mundo exterior. No desenvolvi-</p><p>mento do texto, os autores apontam uma série de hipóteses que pode-</p><p>riam perturbar essa condição, tendo em vista o avanço das invenções da</p><p>tecnologia até aquele momento. Nota-se que, à época em que o escrito</p><p>foi publicado, já se vislumbrava que os avanços da tecnologia represen-</p><p>tavam ferramentas passíveis de vulnerabilizar o direito à privacidade.</p><p>O direito de estar só, que imputa a terceiros a obrigação de não</p><p>ingressar na zona de privacidade de outrem, remete a um contexto in-</p><p>dividualista, representando nessa tutela um ideal burguês de proteção</p><p>patrimonial 3 , mais do que proteção existencial.</p><p>De acordo com Ferraz Júnior (1993), na doutrina brasileira, os es-</p><p>tudos voltados ao direito à privacidade parecem ter se alinhado ini-</p><p>cialmente a essa abordagem formal de um modelo negativo de não</p><p>intervenção, ou seja, à permissão de intervir. A aplicação imediata de</p><p>interpretação do direito à privacidade à função negativa de um direi-</p><p>to fundamental personalíssimo limitou o reconhecimento da proteção</p><p>constitucional do sigilo (artigo 5º, inciso XII), repercutindo diretamente</p><p>na jurisprudência do Supremo Tribunal Federal da época. São exem-</p><p>plos o Mandado de Segurança n. 21.729/DF e o Recurso Extraordinário</p><p>n. 418.416/SC (BRASIL, 2006).</p><p>Essa concepção, no entanto, foi apenas o marco inicial para a ideia</p><p>da privacidade como aspecto fundamental ao desenvolvimento da</p><p>personalidade da pessoa humana. Segundo Doneda (2020), o concei-</p><p>to de privacidade passou por profundas transformações ao largo do</p><p>século XX, em grande medida devido ao próprio avanço da tecnologia,</p><p>Nas palavras de Doneda</p><p>(2020): “a privacidade passa</p><p>a ser prerrogativa de uma</p><p>emergente classe burguesa</p><p>que, com seu forte compo-</p><p>nente individualista, dela</p><p>se utiliza para marcar sua</p><p>identidade na sociedade e</p><p>também para que o solitá-</p><p>rio burguês se isole dentro</p><p>de sua própria classe”.</p><p>3</p><p>Privacidade na Sociedade da Informação 15</p><p>que conduziu desde a reinvenção do conceito até o entendimento con-</p><p>sagrado na atualidade, em que é identificado como</p><p>realizado, não tiverem violado as regras legais, ou, ainda, quando a cul-</p><p>pa pelos danos sofridos puder ser atribuída exclusivamente ao titular.</p><p>Por sua vez, o artigo 44 prevê que o tratamento de dados é consi-</p><p>derado irregular quando deixar de observar as diretrizes da LGPD ou</p><p>não fornecer a segurança que o titular dele pode esperar, consideradas as circuns-</p><p>tâncias relevantes, entre as quais:</p><p>I - o modo pelo qual é realizado;</p><p>II - o resultado e os riscos que razoavelmente dele se esperam;</p><p>III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi</p><p>realizado. (BRASIL, 2018)</p><p>A Autoridade Nacional de Proteção de Dados e as sanções legais 99</p><p>Por fim, o artigo 45 estabelece que, em havendo violação do di-</p><p>reito do titular no âmbito das relações de consumo, serão aplicadas</p><p>as regras de responsabilidade previstas na legislação consumerista</p><p>(Código de Defesa do Consumidor).</p><p>A legislação ainda prevê no artigo 42, parágrafos 2º e 3º, de ma-</p><p>neira expressa, que</p><p>o juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados</p><p>quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de</p><p>produção de prova ou quando a produção de prova pelo titular resultar-lhe exces-</p><p>sivamente onerosa.</p><p>As ações de reparação por danos coletivos que tenham por objeto a responsabiliza-</p><p>ção, nos termos do caput deste artigo, podem ser exercidas coletivamente em juízo,</p><p>observado o disposto na legislação pertinente. (BRASIL, 2018)</p><p>Como regra, a responsabilidade civil por danos causados a ter-</p><p>ceiros em virtude do descumprimento contratual, em qualquer</p><p>contrato padrão, cabe à parte que ocasionou o dano, exceto nas hi-</p><p>póteses em que os contratos estabeleçam uma cláusula de isenção</p><p>de responsabilidade em sentido contrário. Nesse ponto, a previsão</p><p>legal de responsabilização solidária entre os agentes gera algumas</p><p>dúvidas que somente serão respondidas na prática, tais como: em</p><p>que medida se dará a responsabilidade proporcional quando do co-</p><p>metimento de ato ilícito ou descumprimento do contrato? E como</p><p>efetuar a demonstração de sua culpa? E se tal disposição de “respon-</p><p>sabilização solidária” acarreta a nulidade de cláusulas contratuais</p><p>firmadas entre controlador e operador que impliquem em isenção</p><p>de responsabilidade? E, ainda, como se dará o direito de regresso</p><p>perante o controlador de dados, imputando-lhe maior ou menor</p><p>grau de responsabilidade pela atividade de tratamento em questão?</p><p>O esclarecimento de tais questões será fundamental para a defi-</p><p>nição do nível de risco em que incorrem as empresas ao entrar em</p><p>contratos controlador-operador.</p><p>No mesmo sentido será necessária a regulação da interpretação</p><p>dos termos abertos empregados pela lei, delineando o que será con-</p><p>siderado pela ANPD, por exemplo, como envolvimento direto ou in-</p><p>direto do controlador (BRASIL, 2018) no tratamento de dados.</p><p>100 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Outro ponto que não resta claramente definido na lei é se a res-</p><p>ponsabilidade será subjetiva ou objetiva. A Lei Geral de Proteção de</p><p>Dados não é exatamente clara quanto à aplicabilidade da responsa-</p><p>bilidade subjetiva ou da objetiva.</p><p>O Código Civil estabelece que “aquele que, por ato ilícito (arts.</p><p>186 e 187), causar dano a outrem, fica obrigado a repará-lo” (BRASIL,</p><p>2002). Porém, em seguida, no artigo 927, faz a ressalva de que “ha-</p><p>verá obrigação de reparar o dano, independentemente de culpa, nos</p><p>casos especificados em lei, ou quando a atividade normalmente de-</p><p>senvolvida pelo autor do dano implicar, por sua natureza, risco para</p><p>os direitos de outrem” (BRASIL, 2002). Isto é, a regra de responsabi-</p><p>lização do Código Civil se dá pela demonstração de culpa do agente</p><p>na produção do dano, ou seja, por responsabilização subjetiva.</p><p>Assim, são excepcionais os casos de responsabilidade objetiva,</p><p>devendo ser determinados expressamente pela lei, a exemplo de</p><p>quando a atividade implicar em riscos ao direito de outrem em razão</p><p>de sua natureza. E isso porque não há na Lei Geral de Proteção de</p><p>Dados qualquer artigo que utilize a expressão independentemente de</p><p>culpa que seja capaz de indicar sem equívoco que o regime jurídico</p><p>adotado é o da responsabilidade objetiva.</p><p>Nesse sentido é o entendimento do Dr. Fernando Antonio Tasso,</p><p>Juiz de Direito no Estado de São Paulo:</p><p>A despeito dos embates doutrinários, verifica-se que a Lei</p><p>Geral de Proteção de Dados elegeu o sistema de responsabi-</p><p>lidade civil subjetiva em perfeito alinhamento com o Código</p><p>Civil, inserindo-se de forma harmoniosa no mosaico legisla-</p><p>tivo, o mesmo ocorrendo em relação ao Código de Defesa do</p><p>Consumidor que, dado o tratamento Constitucional da defesa</p><p>do consumidor, atrai para seu sistema de responsabilidade</p><p>objetiva os fatos jurídicos dessa natureza. (TASSO, 2020, p.</p><p>113)</p><p>Caberá, portanto, à ANPD regular esta questão quanto à defini-</p><p>ção específica do risco relacionado ao tratamento de dados.</p><p>Por fim, interessante destacar que, como dispõe o artigo 63: “a</p><p>autoridade nacional estabelecerá normas sobre a adequação pro-</p><p>gressiva de bancos de dados constituídos até a data de entrada em</p><p>vigor desta Lei, consideradas a complexidade das operações de tra-</p><p>tamento e a natureza dos dados” (BRASIL, 2018). Esse assunto está</p><p>O livro 1984, publicado</p><p>em 1949, trata de um fu-</p><p>turo imaginário em 1984,</p><p>em que as pessoas são</p><p>constantemente vigiadas</p><p>quanto aos seus dados</p><p>pessoais. É um tema clás-</p><p>sico que nos faz refletir</p><p>sobre a importância da</p><p>proteção desses dados.</p><p>ORWELL, G. São Paulo: Companhia</p><p>das Letras, 2009.</p><p>Livro</p><p>A Autoridade Nacional de Proteção de Dados e as sanções legais 101</p><p>inserido no item 10 dos temas prioritários da agenda regulatória</p><p>bianual da ANPD (Portaria n. 11/2021) previsto para a Fase 3 – 2º se-</p><p>mestre de 2022, que pretende, por meio da edição de Guia de Boas</p><p>Práticas, tratar das hipóteses legais de tratamento de dados, orien-</p><p>tando o público sobre diversos temas relacionados (BRASIL, 2021).</p><p>CONSIDERAÇÕES FINAIS</p><p>Este capítulo não tem a pretensão de esgotar o tema, nem de resol-</p><p>ver os grandes dilemas que envolvem a aplicação da Lei Geral de Prote-</p><p>ção de Dados, que certamente só serão do nosso total conhecimento</p><p>a partir do momento da efetiva aplicação da lei e atuação da ANPD. O</p><p>que se buscou no presente capítulo foi trazer um panorama geral do</p><p>tema relacionado à Autoridade Nacional de Proteção de Dados, ainda</p><p>em fase de estruturação nesse momento, e às sanções legais, que so-</p><p>mente passarão a ser exigíveis em agosto de 2021.</p><p>ATIVIDADES</p><p>Atividade 1</p><p>Discorra sobre a importância da ANPD.</p><p>Atividade 2</p><p>A Autoridade Nacional de Proteção de Dados Pessoais deverá se</p><p>articular com outras entidades e órgãos públicos no exercício das</p><p>suas competências? Justifique sua resposta.</p><p>Atividade 3</p><p>Há exigência de comprovação de conciliação prévia entre contro-</p><p>lador e titular para aplicação de sanção administrativa? Justifique</p><p>sua resposta.</p><p>REFERÊNCIAS</p><p>ALVES, F. da M. da Fiscalização. In: MALDONADO, V. N.; BLUM, R. O. (Coord.). LGPD: Lei</p><p>Geral de Proteção de Dados Comentada. 2. ed. São Paulo: Thompson Reuters Brasil,</p><p>2019.</p><p>102 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>BECKER, D.; CHIESI FILHO, H.; ROJTENBERG, N. Caminhos não violentos para a LGPD.</p><p>Jota, 3 out. 2020. Disponível em: https://www.jota.info/opiniao-e-analise/colunas/</p><p>regulacao-e-novas-tecnologias/caminhos-nao-violentos-lgpd-03102020. Acesso em: 14</p><p>maio 2021.</p><p>BRASIL. Decreto n. 10.474, de 26 de agosto de 2020. Diário Oficial da União, Poder</p><p>Executivo, Brasília, DF, 27 ago. 2020a. Disponível em: http://www.planalto.gov.br/</p><p>ccivil_03/_ato2019-2022/2020/decreto/D10474.htm. Acesso em: 14 maio 2021.</p><p>BRASIL. Lei n. 10.406, de 10 de janeiro de 2002. Diário Oficial da União, Poder Legislativo,</p><p>Brasília, DF, 11 jan. 2002. Disponível em: http://www.planalto.gov.br/ccivil_03/</p><p>leis/2002/L10406compilada.htm. Acesso em: 14 maio 2021.</p><p>BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Diário Oficial da União, Poder Executivo,</p><p>Brasília, DF, 15 ago. 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_</p><p>ato2015-2018/2018/lei/L13709.htm. Acesso em: 14 maio 2021.</p><p>BRASIL. Planejamento Estratégico 2021-2023. Brasília: ANPD, 2020b. Disponível em:</p><p>https://www.gov.br/anpd/pt-br/documentos-e-imagens/planejamento-estrategico/</p><p>planejamento-estrategico-2021-2023.pdf. Acesso em: 14 maio 2021.</p><p>BRASIL. Portaria n. 11, de 27 de janeiro de 2021. Diário Oficial da União, Poder Executivo,</p><p>Brasília, DF, 28 jan. 2021. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-</p><p>n-11-de-27-de-janeiro-de-2021-301143313. Acesso em: 14 maio 2021.</p><p>GUTIERREZ, A. In: MALDONADO, V. N.; BLUM, R. O. (Coord.). LGPD: Lei Geral de Proteção</p><p>de Dados Comentada. 2. ed. São Paulo: Thompson Reuters Brasil, 2019.</p><p>OCDE. A Caminho da Era Digital no Brasil. Paris: OECD Publishing, 2020. Disponível em:</p><p>https://www.oecd-ilibrary.org/docserver/45a84b29-pt.pdf?expires=1614688634&id</p><p>=id&accname=guest&checksum=8216725CD6412E4DE27293F88C74FD17.</p><p>Acesso em: 14 maio 2021.</p><p>PINHEIRO, P. P. Proteção de Dados Pessoais: Comentários à Lei n. 13.709/2018. 2. ed.</p><p>São Paulo: Saraiva Educação, 2020.</p><p>TASSO, F. A. A responsabilidade civil na Lei Geral de Proteção de Dados e sua interface</p><p>com o Código Civil e o Código de Defesa do Consumidor. Cadernos Jurídicos, São Paulo,</p><p>ano 21, n. 53, p. 97-115, jan.-mar. 2020.</p><p>https://www.jota.info/opiniao-e-analise/colunas/regulacao-e-novas-tecnologias/caminhos-nao-violentos-lgpd-03102020</p><p>https://www.jota.info/opiniao-e-analise/colunas/regulacao-e-novas-tecnologias/caminhos-nao-violentos-lgpd-03102020</p><p>http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/decreto/D10474.htm</p><p>http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/decreto/D10474.htm</p><p>http://www.planalto.gov.br/ccivil_03/leis/2002/L10406compilada.htm</p><p>http://www.planalto.gov.br/ccivil_03/leis/2002/L10406compilada.htm</p><p>http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm</p><p>http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm</p><p>https://www.gov.br/anpd/pt-br/documentos-e-imagens/planejamento-estrategico/planejamento-estrategico-2021-2023.pdf</p><p>https://www.gov.br/anpd/pt-br/documentos-e-imagens/planejamento-estrategico/planejamento-estrategico-2021-2023.pdf</p><p>https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313</p><p>https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313</p><p>https://www.oecd-ilibrary.org/docserver/45a84b29-pt.pdf?expires=1614688634&id=id&accname=guest&checksum=8216725CD6412E4DE27293F88C74FD17</p><p>https://www.oecd-ilibrary.org/docserver/45a84b29-pt.pdf?expires=1614688634&id=id&accname=guest&checksum=8216725CD6412E4DE27293F88C74FD17</p><p>Proteção de dados pessoais e governança corporativa 103</p><p>5</p><p>Proteção de dados pessoais</p><p>e governança corporativa</p><p>Anne Carolina Stipp Amador Kozikoski</p><p>O presente capítulo relaciona a proteção de dados pessoais</p><p>à governança corporativa diante das disposições insertas na Lei</p><p>Geral de Proteção de Dados (LGPD), que destaca a temática e</p><p>compele à adoção de medidas de boas práticas em gestão. É</p><p>oportuno, portanto, desenvolver uma visão geral acerca da go-</p><p>vernança corporativa difundida pela aplicação dos programas</p><p>de compliance ou programas de integridade, abordando seus</p><p>propósitos e pilares, de modo a facilitar a compreensão desses</p><p>conceitos e do valor que a implementação de tais programas</p><p>agrega às organizações. Isso porque a governança de dados ou</p><p>os programas de compliance integram esses conceitos, orientan-</p><p>do a adoção de boas práticas e políticas adequadas à privacida-</p><p>de e proteção de dados pessoais.</p><p>5.1 Governança corporativa</p><p>Vídeo É indiscutível a importância da informação no mercado atual,</p><p>bem como o valor que agrega às organizações, não apenas direta,</p><p>mas também indiretamente, uma vez que o acesso a ela possibilita</p><p>análises de mercados mais precisas, planejamento estratégico de</p><p>negócios, direcionamento e segmentação de marketing, acertamen-</p><p>to na prospecção de clientes, entre outras tantas possibilidades.</p><p>A LGPD surge exatamente nesse contexto e impõe um novo olhar</p><p>sobre a proteção de dados, considerando os impactos sociais derivados</p><p>da autuação empresarial. De um lado, almeja atender às demandas so-</p><p>ciais por mais privacidade, com a defesa dos direitos fundamentais do</p><p>indivíduo; de outro, busca o equilíbrio na proteção de dados dentro do</p><p>cenário global de maior preocupação corporativa.</p><p>104 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Nesse contexto, o tema da governança corporativa, em geral, e</p><p>da governança de dados, em específico, ganhou impulso com a Lei</p><p>Geral de Proteção de Dados, conectando o conceito amplamente di-</p><p>fundido no segmento empresarial, conhecido pela sigla em inglês</p><p>ESG (Enviormental, Social and Governance). Seu significado expressa</p><p>que, para além da regulação e da obrigação dos governos, há uma</p><p>responsabilidade corporativa global com relação ao meio ambiente,</p><p>às questões sociais e quanto à forma de organizar e realizar negó-</p><p>cios (governança).</p><p>O conceito ESG ganha impulso com o desenvolvimento de uma</p><p>consciência social relacionada ao consumo de produtos e serviços</p><p>que impactam diretamente o valor das companhias, de seus resul-</p><p>tados e até mesmo de sua reputação. Daí a crescente preocupação</p><p>do setor empresarial em pautar sua atividade em boas práticas de</p><p>gestão, voltadas ao desenvolvimento sustentável das atividades</p><p>empresariais.</p><p>Além disso, a expansão dos negócios digitais impõe novos de-</p><p>safios diante da infinidade de dados que se movem diariamente.</p><p>Assim, o alinhamento dessas boas práticas atreladas ao conceito</p><p>ESG alcança inequivocamente o universo digital, demandando ado-</p><p>ção de medidas e cuidados orientados à mitigação de riscos e gera-</p><p>ção de valores que, ao final, refletirão nos resultados concretos da</p><p>organização.</p><p>O tema da proteção de dados, nesse contexto, exige uma cone-</p><p>xão da atividade empresarial aos princípios expressos na LGPD, so-</p><p>bretudo com a observância dos pilares do tratamento responsável</p><p>de dados pessoais, de modo a preservar os direitos de seus titulares,</p><p>estimulando o desenvolvimento de uma relação responsável e que</p><p>atenda aos interesses do titular e do agente de tratamento.</p><p>O tema ainda dialoga com o conceito de compliance 1 , que, em</p><p>uma tradução livre para o vernáculo, significa estar em conformida-</p><p>de. Em inglês, o verbo to comply significa cumprir leis e regulamen-</p><p>tos, estar em concordância com o que é ordenado e com os ditames</p><p>legais. Desse modo, é um conceito que envolve uma relação de ade-</p><p>quação: estar em conformidade com determinada lei ou orientação.</p><p>De acordo com Zenker (2019), pode-se afirmar que o compliance</p><p>guarda pertinência com o ajustamento das condutas das pessoas</p><p>O relatório ESG de A a Z: Tudo</p><p>o que você precisa saber sobre</p><p>o tema, de Marcella Ungaretti,</p><p>contém noções gerais de ESG.</p><p>Disponível em: https://conteudos.</p><p>xpi.com.br/esg/esg-de-a-a-z-tudo-</p><p>o-que-voce-precisa-saber-sobre-o-</p><p>tema/. Acesso em: 14 maio 2021.</p><p>Leitura</p><p>Conforme aponta Saavedra</p><p>(2021, p. 729), trata-se de</p><p>um “conceito relacional, cujo</p><p>significado só acaba por ser</p><p>descoberto, assim, por meio de</p><p>uma análise do objeto com o</p><p>qual se relaciona, dado que, por</p><p>óbvio, quem está ‘em confor-</p><p>midade’ está ‘em conformidade’</p><p>com ‘algo’. Compliance estabelece</p><p>uma relação, portanto, entre</p><p>um ‘estado de conformidade’ e</p><p>uma determinada ‘orientação de</p><p>comportamento’”.</p><p>1</p><p>https://conteudos.xpi.com.br/esg/esg-de-a-a-z-tudo-o-que-voce-precisa-saber-sobre-o-tema/</p><p>https://conteudos.xpi.com.br/esg/esg-de-a-a-z-tudo-o-que-voce-precisa-saber-sobre-o-tema/</p><p>https://conteudos.xpi.com.br/esg/esg-de-a-a-z-tudo-o-que-voce-precisa-saber-sobre-o-tema/</p><p>https://conteudos.xpi.com.br/esg/esg-de-a-a-z-tudo-o-que-voce-precisa-saber-sobre-o-tema/</p><p>Proteção de dados pessoais e governança corporativa 105</p><p>envolvidas na observância das leis e dos regulamentos e, de modo</p><p>peculiar, com as regras estabelecidas em uma empresa ou organi-</p><p>zação social.</p><p>Difundido no cenário empresarial,</p><p>o conceito de compliance refe-</p><p>re-se ao gênero das práticas organizacionais aplicáveis às diversas</p><p>áreas jurídicas (compliance criminal, trabalhista e tributário) e que</p><p>objetiva o cumprimento da ordem jurídica, por meio do implemento</p><p>de boas práticas de governança que facilitem e viabilizem o seu cum-</p><p>primento, mitigando eventuais desvios e, caso ocorram, possibilite</p><p>sua pronta identificação e a adoção das medidas cabíveis de mitiga-</p><p>ção, além da adoção de providências compensatórias.</p><p>O sistema de compliance está estruturado em torno do seguin-</p><p>te tripé: prevenção, detecção e punição. O seu objetivo precípuo é</p><p>prevenir que algo errado venha a ocorrer, mas, quando isso não for</p><p>possível, que seja possível sua detecção e correção.</p><p>A Controladoria Geral da União (CGU), em seu guia titulado “Pro-</p><p>grama de Integridade – Diretrizes para empresas privadas”, des-</p><p>taca a diferença entre o denominado programa de compliance dos</p><p>programas de integridade. Com o advento do Decreto Federal n.</p><p>8.420/2015, é possível afirmar que o programa de integridade guar-</p><p>da como foco medidas anticorrupção adotadas pela empresa, espe-</p><p>cialmente aquelas dirigidas à prevenção, detecção e remediação dos</p><p>atos lesivos à Administração Pública, previstas na denominada Lei</p><p>Anticorrupção (Lei n. 12.846/2013). Empresas que já possuem pro-</p><p>grama de compliance devem trabalhar para que medidas anticorrup-</p><p>ção sejam integradas ao programa existente. Dito de outra forma,</p><p>pode-se afirmar que o compliance é o “gênero” do qual o programa</p><p>de integridade seria uma espécie.</p><p>Em linhas gerais, os programas de integridade objetivam disse-</p><p>minar o que é correto, indo um passo além dos modelos de com-</p><p>pliance. Isto é, fazer o certo representa muito mais do que buscar a</p><p>correção do que é errado, pois envolve a difusão de uma cultura da</p><p>integridade.</p><p>Ao tratar do tema, Zenker (2019) entende que um programa de</p><p>integridade engloba um conjunto de procedimentos internos de re-</p><p>gulação, auditoria e incentivo às denúncias de inconformidades ou</p><p>106 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>irregularidades. Envolve a aposta em torno da efetiva aplicação dos</p><p>códigos de conduta e das políticas e diretrizes da organização, mi-</p><p>rando prevenir, detectar e corrigir desvios, fraudes, irregularidades</p><p>e quaisquer outros atos ilícitos praticados pela pessoa jurídica. O re-</p><p>ferido autor postula, nesse sentido, que a prevenção constitui pilar</p><p>central desses programas, exatamente porque é a ferramenta mais</p><p>eficaz para alcançar o objetivo final de manter a organização livre</p><p>das práticas ilícitas.</p><p>Esse contexto de crescente valorização das boas práticas e go-</p><p>vernança repercutiu também na Lei Geral de Proteção de Dados, em</p><p>que o legislador expressamente previu uma seção orientada às suas</p><p>regras de cultivo que estimulam o desenvolvimento de uma cultura</p><p>de proteção de dados pessoais e que, embora incipiente no âmbito</p><p>nacional, integra o modelo que se almeja construir.</p><p>5.2 Marco legal</p><p>Vídeo No Brasil, a Lei n. 13.709/2018, Lei Geral de Proteção de Da-</p><p>dos, representa o marco regulatório que integrou a sistemática do</p><p>compliance em matéria de proteção de dados, nos moldes do que já</p><p>havia ocorrido no cenário europeu com a vigência do General Data</p><p>Protection Regulation (GDPR), legislação que inspirou fortemente o</p><p>legislador nacional e que orienta a implementação de mecanismos</p><p>de boas práticas em prol da proteção dos direitos subjetivos que</p><p>gravitam em torno do direito à proteção de dados pessoais.</p><p>A discussão sobre as boas práticas e a governança antecede o</p><p>GDPR, sendo oportuno destacar o guia publicado pela Organização</p><p>para a Cooperação e Desenvolvimento Econômico (OECD) em 1980</p><p>(revisado em 2013) acerca da proteção da privacidade e do fluxo</p><p>transnacional de dados pessoais, intitulado OECD Guidelines on the</p><p>Protection of Privacy and Transborder Flows of Personal Data (OECD,</p><p>2020). O referido guia já contemplava a ideia de que os agentes de</p><p>tratamento de dados pessoais devem se comprometer com a ado-</p><p>ção de medidas que confiram real efetividade às regras aplicáveis</p><p>(accountability principle), o que, na lei brasileira, corresponde ao</p><p>princípio de prestação de contas.</p><p>Guia de fácil compressão, estru-</p><p>turado no modelo de perguntas</p><p>e respostas e disponibilizado</p><p>pela autoridade do Reino Unido,</p><p>o Information Commissioner’s</p><p>Office (ICO) é voltado para a ade-</p><p>quação de práticas de agentes</p><p>de tratamento ao princípio da</p><p>accountability.</p><p>Disponível em: https://ico.org.uk/</p><p>for-organisations/guide-to-data-</p><p>-protection/guide-to-the-general-</p><p>-data-protection-regulation-gdpr/</p><p>accountability-and-governance/.</p><p>Acesso em: 14 maio 2021.</p><p>Leitura</p><p>https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/</p><p>https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/</p><p>https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/</p><p>https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/</p><p>https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/</p><p>Proteção de dados pessoais e governança corporativa 107</p><p>Igualmente, a Diretiva de 1995 da União Europeia sobre prote-</p><p>ção de dados previa obrigações em prol da efetivação dessa ideia, a</p><p>exemplo do dever de notificação das autoridades nacionais anterior-</p><p>mente ao processamento de determinadas atividades de tratamen-</p><p>to de dados pessoais.</p><p>O artigo 24 do regulamento europeu, por sua vez, consagra o</p><p>princípio de accountability 1 , como se pode ver a seguir.</p><p>Responsabilidade do responsável pelo tratamento</p><p>1. Tendo em conta a natureza, o âmbito, o contexto e as fina-</p><p>lidades do tratamento dos dados, bem como os riscos para</p><p>os direitos e liberdades das pessoas singulares, cuja proba-</p><p>bilidade e gravidade podem ser variáveis, o responsável pelo</p><p>tratamento aplica as medidas técnicas e organizativas que</p><p>forem adequadas para assegurar e poder comprovar que o</p><p>tratamento é realizado em conformidade com o presente re-</p><p>gulamento. Essas medidas são revistas e atualizadas consoan-</p><p>te as necessidades.</p><p>2. Caso sejam proporcionadas em relação às atividades de tra-</p><p>tamento, as medidas a que se refere o n.º 1 incluem a aplica-</p><p>ção de políticas adequadas em matéria de proteção de dados</p><p>pelo responsável pelo tratamento.</p><p>3. O cumprimento de códigos de conduta aprovados confor-</p><p>me referido no artigo 40.º ou de procedimentos de certifi-</p><p>cação aprovados conforme referido no artigo 42.º pode ser</p><p>utilizada como elemento para demonstrar o cumprimento</p><p>das obrigações do responsável pelo tratamento. (COMISSAO</p><p>EUROPEIA, 2016)</p><p>Impondo aos controladores a obrigação de programarem me-</p><p>didas técnicas e organizacionais para garantir e demonstrar que o</p><p>tratamento de dados por eles realizado está conforme as normas</p><p>vigentes no âmbito da União Europeia, o regulamento europeu tam-</p><p>bém orienta que tais medidas devem ser consideradas ainda quan-</p><p>do da concepção dos produtos e serviços desenvolvidos de modo a</p><p>atender às disposições da norma, conforme artigo 25.</p><p>Proteção de dados desde a concessão e por defeito</p><p>1. Tendo em conta as técnicas mais avançadas, os custos da sua</p><p>aplicação, e a natureza, o âmbito, o contexto e as finalidades do</p><p>tratamento dos dados, bem como os riscos decorrentes do tra-</p><p>tamento para os direitos e liberdades das pessoas singulares,</p><p>cuja probabilidade e gravidade podem ser variáveis, o responsá-</p><p>vel pelo tratamento aplica, tanto no momento de definição dos</p><p>O princípio da “accountability”,</p><p>ou Prestação de Contas, emergiu</p><p>como um tema crítico nas leis,</p><p>políticas e práticas globais de</p><p>privacidade. De acordo com esse</p><p>princípio, as organizações devem</p><p>ser responsáveis pela implemen-</p><p>tação dos requisitos aplicáveis de</p><p>privacidade e proteção de dados e</p><p>devem ser capazes de demonstrar</p><p>seus recursos de conformidade.</p><p>1</p><p>O guia OECD Guidelines on</p><p>the Protection of Privacy and</p><p>Transborder Flows of Perso-</p><p>nal Data aborda a necessi-</p><p>dade de adoção, por parte</p><p>dos agentes de tratamento</p><p>de dados, de boas práticas</p><p>de governança quanto aos</p><p>dados pessoais, que são</p><p>objeto de tratamento.</p><p>Disponível em: http://www.oecd.</p><p>org/digital/ieconomy/oecdguide-</p><p>linesontheprotectionofprivacya-</p><p>ndtransborderflowsofpersonaldata.</p><p>htm. Acesso em: 14 maio 2021.</p><p>Leitura</p><p>http://www.oecd.org/digital/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata</p><p>http://www.oecd.org/digital/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata</p><p>http://www.oecd.org/digital/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata</p><p>http://www.oecd.org/digital/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata</p><p>108 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>meios de tratamento como no momento do próprio tratamento,</p><p>as medidas técnicas e organizativas adequadas, como a pseu-</p><p>donimização, destinadas a aplicar com eficácia os princípios da</p><p>proteção de dados, tais como a minimização, e a incluir as garan-</p><p>tias necessárias no tratamento, de uma forma que este cumpra</p><p>os requisitos do presente regulamento e proteja os direitos dos</p><p>titulares dos dados.</p><p>2. O responsável pelo tratamento aplica medidas técnicas e or-</p><p>ganizativas para assegurar que, por defeito, só sejam tratados</p><p>os dados pessoais que forem necessários para cada finalidade</p><p>específica do tratamento. Essa obrigação aplica-se à quantidade</p><p>de dados pessoais recolhidos, à extensão do seu tratamento, ao</p><p>seu prazo de conservação e à sua acessibilidade. Em especial,</p><p>essas medidas asseguram que, por defeito, os dados pessoais</p><p>não sejam disponibilizados sem intervenção humana a um nú-</p><p>mero indeterminado de pessoas singulares.</p><p>3. Pode ser utilizado como elemento para demonstrar o cumpri-</p><p>mento das obrigações estabelecidas nos n.º 1 e 2 do presente</p><p>artigo, um procedimento de certificação aprovado nos termos do</p><p>artigo 42.º. (COMISSAO EUROPEIA, 2016)</p><p>No cenário nacional, o movimento para a concretização dos me-</p><p>canismos de boas práticas e governança recebeu forte impulso pelo</p><p>advento da Lei n. 12.846/2013, conhecida como Lei Anticorrupção,</p><p>que prevê a redução das penalidades administrativas eventualmen-</p><p>te oponíveis às de agentes infratores, desde que seja demonstrada a</p><p>existência de mecanismos e procedimentos internos de integridade</p><p>no âmbito da pessoa jurídica.</p><p>Já o Decreto Federal n. 8.420/2015 detalhou os parâmetros de</p><p>avaliação quanto aos programas de integridade relacionados. Cabe</p><p>mencionar ainda o guia lançado em 2016 pelo Conselho Administra-</p><p>tivo de Defesa Econômica (CADE), com orientações aos programas</p><p>de compliance e implementação de boas práticas e governança. De</p><p>acordo com esse documento, a adoção de programas de integrida-</p><p>de permite eventuais vantagens às empresas, que passam pela op-</p><p>ção por celebrar acordos de leniência em atos de corrupção, termos</p><p>de compromisso de cessação de ilicitudes, submissão de consultas</p><p>àquele órgão e, em casos de punição, a redução na dosimetria da</p><p>pena que venha a ser aplicada à parte infratora (CADE, 2016).</p><p>A Lei Geral de Proteção de Dados, portanto, surge em um momen-</p><p>to em que as medidas de boas práticas e governança são difundidas,</p><p>Vide artigos 18 a 20 da</p><p>Diretiva 95/46/CE do</p><p>Parlamento Europeu e</p><p>do Conselho, de 24 de</p><p>outubro de 1995, relativa</p><p>à proteção das pessoas</p><p>singulares no que diz</p><p>respeito ao tratamento de</p><p>dados pessoais e à livre</p><p>circulação desses dados.</p><p>Disponível em: https://eur-lex.</p><p>europa.eu/legal-content/PT/</p><p>LSU/?uri=CELEX:31995L0046.</p><p>Acesso em: 14 maio 2021.</p><p>Leitura</p><p>O artigo 7º, inciso VIII, da</p><p>Lei n. 12.846 detalha os as-</p><p>pectos que devem ser le-</p><p>vados em consideração na</p><p>aplicação das sanções: “a</p><p>existência de mecanismos</p><p>e procedimentos internos</p><p>de integridade, auditoria e</p><p>incentivo à denúncia de ir-</p><p>regularidades e a aplicação</p><p>efetiva de códigos de ética</p><p>e de conduta no âmbito da</p><p>pessoa jurídica” (BRASIL,</p><p>2013).</p><p>Para conferir a lei na íntegra,</p><p>visite a página do Planalto.</p><p>Disponível em: http://www.</p><p>planalto.gov.br/ccivil_03/_</p><p>ato2011-2014/2013/lei/l12846.</p><p>htm. Acesso em: 14 maio 2021.</p><p>Leitura</p><p>https://eur-lex.europa.eu/legal-content/PT/LSU/?uri=CELEX:31995L0046</p><p>https://eur-lex.europa.eu/legal-content/PT/LSU/?uri=CELEX:31995L0046</p><p>https://eur-lex.europa.eu/legal-content/PT/LSU/?uri=CELEX:31995L0046</p><p>http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12846</p><p>http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12846</p><p>http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12846</p><p>Proteção de dados pessoais e governança corporativa 109</p><p>representando uma verdadeira aposta em prol da autorregulação</p><p>da atividade empresarial.</p><p>As principais disposições que tratam do tema da governança de</p><p>dados estão compreendidas no Capítulo VII da LGPD (arts. 46 a 51),</p><p>o qual, por sua vez, está dividido em duas seções. A primeira trata</p><p>da segurança e do sigilo dos dados (arts. 46 a 49), e a segunda dis-</p><p>põe sobre as boas práticas e governança (arts. 50 a 51), conforme</p><p>se verá a seguir.</p><p>5.3 Programa de Integridade e</p><p>Segurança da Informação Vídeo</p><p>A LGPD, em seu artigo 46, impõe aos agentes de tratamento as se-</p><p>guintes incumbências: “devem adotar medidas de segurança, técnicas</p><p>e administrativas aptas a proteger os dados pessoais de acessos não</p><p>autorizados e de situações acidentais ou ilícitas de destruição, perda,</p><p>alteração, comunicação ou qualquer forma de tratamento inadequado</p><p>ou ilícito” (BRASIL, 2018).</p><p>Por sua vez, o inciso VII do artigo 6º da LGPD define Segurança da</p><p>Informação como “utilização de medidas técnicas e administrativas</p><p>aptas a proteger os dados pessoais de acessos não autorizados e de</p><p>situações acidentais ou ilícitas de destruição, perda, alteração, comuni-</p><p>cação ou difusão” (BRASIL, 2018). Dessa maneira, sob a ótica do legisla-</p><p>dor brasileiro, as medidas de segurança contemplam soluções técnicas</p><p>compatíveis e providências administrativas.</p><p>Tais medidas técnicas correspondem àquelas que estão disponíveis</p><p>no âmbito da Tecnologia da Informação, com o uso de recursos infor-</p><p>máticos adequados, como ferramentas de autenticação de acesso de</p><p>usuários a sistemas, mecanismos de segurança em softwares, controles</p><p>de redes, criptografias, segregação de servidores, instrumentos de de-</p><p>tecção de invasores, cópias de seguranças, entre outras possibilidades.</p><p>De outra parte, as medidas administrativas se relacionam às ativi-</p><p>dades gerenciais a cargo dos agentes de tratamento; por exemplo, as</p><p>políticas corporativas de proteção de dados, a política de privacidade, o</p><p>controle de acesso de usuários aos arquivos físicos etc.</p><p>A conformidade do agente de tratamento com as disposições da</p><p>LGPD passa, obrigatoriamente, pela adoção de soluções de natureza</p><p>110 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>multidisciplinar. O legislador foi contundente ao impor o dever de con-</p><p>formidade, evidenciado pelo verbo empregado devem (COTS; OLIVEIRA,</p><p>2018). A LGPD, ainda, impõe a adoção de um padrão de governança</p><p>que considere os riscos operacionais e implemente controles para a</p><p>sua mitigação ou eliminação (BRASIL, 2018).</p><p>Assim, os agentes de tratamento deverão adotar medidas técnicas</p><p>e administrativas voltadas para proteção dos dados pessoais sob sua</p><p>custódia, coibindo acessos não autorizados (por exemplo, aqueles pra-</p><p>ticados por hacker), bem como de situações acidentais ou ilícitas de</p><p>destruição, perda, alteração, comunicação ou qualquer forma de trata-</p><p>mento inadequado ou ilícito.</p><p>A Autoridade Nacional de Proteção de Dados (ANPD) poderá es-</p><p>tabelecer padrões técnicos mínimos para a adoção de medidas em</p><p>matéria de Segurança da Informação que se revelem aptos a proteger</p><p>os dados pessoais, coibindo acessos não autorizados e</p><p>situações aci-</p><p>dentais ou ilícitas. Tais medidas devem considerar: (i) a natureza da</p><p>informação tratada; (ii) as características específicas do tratamento de</p><p>dados; (iii) o estado atual da tecnologia; e (iv) o envolvimento (ou não)</p><p>de dados sensíveis.</p><p>A LGPD estabelece, ainda, que devem ser adotadas medidas de</p><p>precaução, desde a concepção do produto ou do serviço até a sua</p><p>execução (art. 46, § 2º), encontrando amparo na expressão privacy by</p><p>design, elaborada por Cavoukian (2009). Essa metodologia aplicada</p><p>ao momento da implementação do compliance de dados conside-</p><p>ra que a privacidade e a proteção de dados estão conectadas com</p><p>todo o ciclo de vida das tecnologias empregadas no tratamento dos</p><p>dados pessoais. Fundamentalmente, o enfoque pretendido pela au-</p><p>tora sugere que as organizações devem considerar a privacidade e</p><p>a proteção de dados pessoais na fase inicial do desenvolvimento de</p><p>seus projetos e produtos, de modo que a opção em prol da tecnolo-</p><p>gia aplicada resulte em um modelo de gestão conforme as melhores</p><p>práticas possíveis.</p><p>Conforme disposto no artigo 47 da LGPD, os agentes de tratamento</p><p>(controlador e operador), bem como qualquer outra pessoa que inter-</p><p>venha em uma das fases do tratamento, estão obrigados a zelar pela</p><p>Segurança da Informação “em relação aos dados pessoais, mesmo</p><p>após o seu término” (BRASIL, 2018).</p><p>Proteção de dados pessoais e governança corporativa 111</p><p>A Segurança da Informação é a disciplina voltada à proteção da infor-</p><p>mação, considerada um ativo do negócio (ou seja, aquilo que tem valor</p><p>para a entidade) dos diferentes tipos de ameaças internas e externas</p><p>(eventos que podem ter impactos negativos, como empregados mal-in-</p><p>tencionados, ataques cibernéticos, espionagem, concorrência desleal,</p><p>fraudes digitais etc.), para mitigar os riscos, aumentar o retorno sobre</p><p>os investimentos e garantir a continuidade do negócio (JIMENE, 2019).</p><p>Se a informação pode ser vista e quantificada como um ativo fi-</p><p>nanceiro, sua proteção é estratégica sob o ponto de vista do desen-</p><p>volvimento dos negócios, merecendo redobrada atenção, para além</p><p>da garantia da privacidade dos titulares de dados. A imposição aos</p><p>agentes de tratamento do dever de observância com relação às me-</p><p>didas de segurança (técnicas e administrativas), aptas a proteger os</p><p>dados pessoais, almeja alcançar os mesmos objetivos que sustentam</p><p>os pilares da Segurança da Informação (a confidencialidade, a dispo-</p><p>nibilidade e a integridade), incorporando a ideia de que a segurança</p><p>vai muito além da tecnologia.</p><p>Ocorrendo qualquer incidente de segurança que possa acarretar</p><p>risco ou dano aos titulares dos dados, a LGPD impõe ao controlador</p><p>a obrigação de comunicar a autoridade nacional e ao titular do dado</p><p>violado acerca da ocorrência do incidente, competindo-lhe fazer em</p><p>prazo razoável (art. 48 da LGPD). Em tais comunicações, o agente res-</p><p>ponsável deverá noticiar minimamente: (i) a descrição da natureza</p><p>dos dados pessoais afetados; (ii) as informações sobre os titulares</p><p>envolvidos; (iii) a indicação das medidas técnicas e de segurança uti-</p><p>lizadas para a proteção dos dados, ressalvados segredos comerciais</p><p>ou industriais; (iv) os riscos relacionados ao incidente; (v) os motivos</p><p>da demora, no caso da comunicação não ter sido imediata; e, por fim,</p><p>(vi) as medidas que foram ou que serão adotadas para reverter ou</p><p>mitigar os efeitos do prejuízo.</p><p>A depender da gravidade do incidente, salvaguardando os direitos</p><p>dos titulares, a Autoridade Nacional de Proteção de Dados poderá de-</p><p>terminar ao controlador a ampla divulgação do fato em meios de co-</p><p>municação, bem como a adoção de medidas para reverter ou mitigar</p><p>os efeitos do incidente.</p><p>Para a avaliação do juízo de gravidade do incidente, é necessário</p><p>comprovar que foram adotadas medidas técnicas adequadas para</p><p>tornar os dados pessoais ininteligíveis, no sentido de impossibilitar</p><p>112 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>sua compreensão por terceiros não autorizados, no âmbito e nos</p><p>limites técnicos de seus serviços.</p><p>Os sistemas informatizados utilizados para o tratamento de da-</p><p>dos pessoais devem ser dotados de estrutura que atenda aos requi-</p><p>sitos de segurança e boas práticas de governança, além de estarem</p><p>pautados nos princípios gerais previstos na LGPD e demais normas</p><p>regulamentares, conforme artigo 49.</p><p>5.4 Pilares da governança de dados</p><p>Vídeo Partindo-se da tríade prevenção, detecção e punição, a doutrina apoia</p><p>os programas de governança em pilares que podem ser variáveis, con-</p><p>forme o número de pilares, ou na descrição de cada elemento, manten-</p><p>do-se, porém, fundamentalmente o cerne da estruturação.</p><p>Zenker (2019) propõe um modelo que denomina dez elementos</p><p>fundamentais de um mecanismo de compliance, o qual compreende:</p><p>(i) comprometimento de suporte da alta administração (tone at the top);</p><p>(ii) definição formal e expressa das políticas e dos procedimento da em-</p><p>presa; (iii) comunicação interna e treinamento; (iv) canal de denúncias</p><p>(hotline); (v) investigações internas em torno de irregularidades e práti-</p><p>cas ilícitas; (vi) gerenciamento de riscos; (vii) due diligence 2 (diligência</p><p>prévia) de terceiros; (viii) monitoramento; e (ix) avaliação permanen-</p><p>te quanto à efetividade do programa, redundando no (x) processo de</p><p>aprimoramento contínuo do programa.</p><p>De outra parte, Giovanini (2018) propõe a estruturação sob sete ele-</p><p>mentos básicos: (i) comprometimento da alta administração; (ii) criação de</p><p>políticas; (iii) procedimentos e controles de referência para o compliance;</p><p>(iv) aplicação de um programa efetivo de comunicação, treinamento e sen-</p><p>sibilização; (v) avaliação, monitoramento e auditoria para assegurar a efe-</p><p>tividade do programa; (vi) aplicação adequada das medidas disciplinares;</p><p>e (vii) ações corretivas pertinentes, adequação da delegação das responsa-</p><p>bilidades e melhoria contínua do programa de integridade.</p><p>Já a Controladoria Geral da União (CGU, 2015), preservando os elemen-</p><p>tos já mencionados, relaciona o programa de integridade a cinco pilares</p><p>fundamentais: (i) comprometimento da alta administração; (ii) existência</p><p>de instância responsável pelo programa; (iii) análise de perfil da organiza-</p><p>ção e os riscos associados; (iv) regras e instrumentos de integridade; e, por</p><p>último, (v) monitoramento contínuo.</p><p>Due diligence refere-se à verifica-</p><p>ção detalhada de informações de</p><p>uma empresa alvo da negociação</p><p>ou de terceiros com quem se</p><p>relaciona com o objetivo de exitar</p><p>distorções relevantes decorrentes</p><p>de práticas empresariais.</p><p>2</p><p>Leitura</p><p>O documento Priva-</p><p>cy Seals on Privacy</p><p>Governance Procedures,</p><p>disponibilizado em inglês</p><p>pela autoridade francesa</p><p>Commission Nationale</p><p>de l’Informatique et des</p><p>Libertés (CNIL), cria uma</p><p>série de exigências para</p><p>a obtenção de um selo</p><p>de privacidade, sinalizan-</p><p>do a implementação efi-</p><p>ciente de uma política de</p><p>governança de proteção</p><p>de dados pessoais. Como</p><p>o texto está em inglês,</p><p>caso seja necessário, é</p><p>possível utilizar o recurso</p><p>de tradução disponível</p><p>nos próprios navegado-</p><p>res de internet.</p><p>Disponível em: https://www.cnil.fr/</p><p>sites/default/files/typo/document/</p><p>CNIL_Privacy_Seal-Governance-</p><p>EN.pdf. Acesso em: 14 maio 2021.</p><p>Proteção de dados pessoais e governança corporativa 113</p><p>Apesar das distinções quanto ao número de pilares e nomenclatura</p><p>empregada pelos diferentes critérios classificatórios, pode-se afirmar que</p><p>os elementos fundantes dos programas de compliance coincidem.</p><p>O apoio da alta administração é fundamental para o sucesso de</p><p>qualquer programa de integridade, posto que reflete a adesão e a cons-</p><p>cientização da importância da temática para aquela organização. O po-</p><p>sicionamento e a liderança conferem credibilidade cruciais para reforçar</p><p>uma cultura organizacional que esteja acorde com os valores e princípios</p><p>da proteção de dados. Aliás, tem-se afirmado que a orientação quanto à</p><p>adequação dos processos internos e a implementação das boas práticas</p><p>adotadas ocorre de cima para baixo (top down).</p><p>Nesse sentido, especificamente</p><p>no que toca ao tema da proteção de</p><p>dados, o engajamento da alta administração, no projeto de adequação</p><p>desenvolvido, reflete os valores considerados pela organização acerca do</p><p>tema e é determinante para o sucesso do projeto, bem como para a efeti-</p><p>vação das soluções propostas.</p><p>No panorama da LGPD, no caput do artigo 50 está disposto que os con-</p><p>troladores e operadores poderão formular regras de boas práticas e de</p><p>governança, enumerando uma série de atividades a serem possivelmente</p><p>desenvolvidas por eles para alcançar tal objetivo.</p><p>Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo</p><p>tratamento de dados pessoais, individualmente ou por meio de associações,</p><p>poderão formular regras de boas práticas e de governança que estabeleçam</p><p>as condições de organização, o regime de funcionamento, os procedimentos, in-</p><p>cluindo reclamações e petições de titulares, as normas de segurança, os padrões</p><p>técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as</p><p>ações educativas, os mecanismos internos de supervisão e de mitigação de riscos</p><p>e outros aspectos relacionados ao tratamento de dados pessoais. (BRASIL, 2018,</p><p>grifos nossos)</p><p>A escolha das medidas para a implementação de uma política de</p><p>boas práticas está longe de ser uma “lista de check boxes” (CARVALHO;</p><p>MATTIUZZO; PONCE, 2021), devendo, para que efetiva, ser proposta</p><p>conforme a realidade de cada empresa. Assim, as boas práticas apli-</p><p>cadas deverão refletir a estrutura, a escala, o volume de operações da</p><p>empresa e, ainda, considerar a sensibilidade dos dados tratados e a</p><p>probabilidade e a gravidade dos danos para os titulares dos dados, de</p><p>modo a dialogar com a realidade do negócio.</p><p>114 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Conforme aponta Jimene (2019, p. 356), “é fácil compreender que</p><p>não seria razoável estabelecer para uma padaria as mesmas nor-</p><p>mas de segurança que são estabelecidas para um hospital, ante a</p><p>complexidade dos tipos de operações e a diferença na natureza dos</p><p>dados tratados”.</p><p>É possível, portanto, entender como boas práticas de proteção de</p><p>dados, conforme pontua Giovanni Jr. (2019), são aquelas ações e os</p><p>processos que estejam ao alcance das empresas no desenvolvimento</p><p>de suas operações, voltadas a evitar a exposição dos dados pessoais</p><p>tratados e diretamente conectadas com sua cultura empresarial.</p><p>Não há, então, modelo rígido a ser seguido obrigatoriamente para</p><p>a implementação de um programa de conformidade (compliance) . No</p><p>entanto, o inciso I do artigo 50 da LGPD (BRASIL, 2018) estabelece que,</p><p>no mínimo, tal programa deverá:</p><p>Demonstrar o comprometimento do controlador em adotar</p><p>processos e políticas internas que assegurem o cumprimento,</p><p>de modo abrangente, de normas e boas práticas relativas à</p><p>proteção de dados pessoais.</p><p>Ser aplicável a todo o conjunto de dados pessoais que</p><p>estejam sob seu controle, independentemente do modo</p><p>como se realizou sua coleta.</p><p>Ser adaptado à estrutura, à escala e ao volume de suas</p><p>operações, bem como à sensibilidade dos dados tratados.</p><p>Estabelecer políticas e salvaguardas adequadas com base</p><p>em processo de avaliação sistemática de impactos e riscos à</p><p>privacidade;</p><p>Ter o objetivo de estabelecer relação de confiança com o</p><p>titular, por meio de atuação transparente e que assegure</p><p>mecanismos de participação do titular.</p><p>Proteção de dados pessoais e governança corporativa 115</p><p>Estar integrado à sua estrutura geral de governança e</p><p>estabelecer e aplicar mecanismos de supervisão internos e</p><p>externos.</p><p>Contar com planos de resposta a incidentes e remediação.</p><p>Ser atualizado constantemente com substrato em</p><p>informações obtidas pelo monitoramento contínuo e por</p><p>avaliações periódicas.</p><p>Além disso, a empresa deve ser capaz de, segundo a mesma lei</p><p>(BRASIL, 2018), demonstrar a efetividade de seu programa de gover-</p><p>nança de dados quando apropriado e, em especial, a pedido da Au-</p><p>toridade Nacional ou de outra entidade responsável por promover o</p><p>cumprimento de boas práticas ou códigos de conduta que, de modo</p><p>independente, promova o cumprimento da lei.</p><p>A possibilidade de demonstrar a adoção efetiva de políticas de boas</p><p>práticas e governança será considerada em caso de eventual sanção</p><p>administrativa aplicada em decorrência de eventual violação às dispo-</p><p>sições da LGPD (art. 52, IX).</p><p>5.5 Mapeamento e análise de riscos</p><p>Vídeo A etapa inicial dos processos de adequação à Lei Geral de Proteção</p><p>de Dados compreende o mapeamento de dados, fase que permite</p><p>acessar os diversos processos de tratamento realizados pela empre-</p><p>sa, subsidiando posterior análise quanto ao diagnóstico dos poten-</p><p>ciais riscos e vulnerabilidades.</p><p>O mapeamento de dados (data mapping) e a análise de riscos</p><p>(risk assessment) são de curial importância na estrutura do progra-</p><p>ma de compliance, representando etapa fundamental para a sua</p><p>implementação.</p><p>O mapeamento compreende o inventário e o registro de dados e</p><p>tem a função precípua de identificar o “trajeto” dos dados em toda</p><p>116 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>cadeia corporativa, identificando a fase de captação, como eles são</p><p>organizados, compartilhados, onde estão armazenados, uso de tec-</p><p>nologia digital ou arquivos documentais físicos etc. A categorização</p><p>das informações por áreas ou departamentos permite identificar os</p><p>tipos de dados gestionados pela empresa, assim como as hipóteses</p><p>de tratamento interno ou externo, permitindo-lhe o reconhecimento</p><p>e a mitigação de eventuais riscos.</p><p>O produto desse mapeamento é o mapa do fluxo de dados no âm-</p><p>bito da empresa, o que permite a identificação e a classificação dos</p><p>dados pessoais, bem como a forma de coleta, a finalidade e a hipó-</p><p>teses de tratamento, além de se prestar à identificação dos setores</p><p>internos responsáveis pelo tratamento, pela listagem dos receptores</p><p>dos dados pessoais, pela determinação do período de guarda, pela</p><p>forma de eliminação e pela identificação de eventuais medidas de se-</p><p>gurança adotadas.</p><p>Realizado o mapeamento, é possível passar a uma segunda etapa,</p><p>que consiste na análise da adequação das práticas de tratamento de</p><p>dados pessoais em relação à Lei Geral de Proteção de Dados. Passa-</p><p>-se à identificação dos eventuais riscos (Gap Analisys), relacionados ao</p><p>tratamento de dados pela norma de regência.</p><p>A gestão de riscos é o objeto central dos programas de complian-</p><p>ce e, por isso, a avaliação de riscos constitui etapa obrigatória para</p><p>concretização de um projeto de adequação. Nesse sentido, afirma</p><p>Saavedra (2021, p. 734) que “analisar e gerenciar riscos é a razão de</p><p>existência de sistema de gestão de compliance”.</p><p>Cada classe de dado pessoal tratado deve estar relacionada a uma</p><p>finalidade específica; deve-se considerar os direitos do titular e aten-</p><p>der aos princípios de tratamento expressos na lei. O cruzamento de</p><p>todas as informações levantadas permite delinear os riscos da ativida-</p><p>de, identificando potenciais vulnerabilidades, o que será útil para a fase</p><p>de implementação de boas práticas e medidas de governança. Quanto</p><p>mais graves os riscos identificados, maiores deverão ser as medidas</p><p>necessárias para a sua contenção ou mitigação.</p><p>A LGPD não elenca as formas de tratamento que podem ser con-</p><p>sideradas mais ou menos danosas, indicando a “probabilidade e a</p><p>gravidade dos riscos” como critério a ser considerado no desenvolvi-</p><p>mento de medidas de governança (art. 50, § 1º).</p><p>Proteção de dados pessoais e governança corporativa 117</p><p>5.6 Procedimentos internos</p><p>Vídeo Os códigos de ética e de conduta são documentos normativos inter-</p><p>nos que devem refletir os valores prezados pela empresa, constituindo</p><p>ferramentas importantes para auxiliar na construção e no desenvolvi-</p><p>mento da cultura ética no ambiente corporativo. A Lei Geral de Proteção</p><p>de Dados compele tais documentos a atenderem os valores e princípios</p><p>aplicados à privacidade e proteção de dados nela contidos.</p><p>Tradicionalmente, o código de ética corresponde ao documento que</p><p>se ocupa dos princípios e valores morais</p><p>adotados pela organização. O</p><p>código de conduta, por sua vez, estabelece as diretrizes para que as</p><p>pessoas ligadas à organização ajam de maneira especial diante de de-</p><p>terminadas situações específicas. Tais códigos de conduta representam</p><p>regras que regem as condutas dos colaboradores, acionistas, parceiros e</p><p>outros envolvidos, desvelando a cultura organizacional.</p><p>Ainda que mantida a distinção quanto à natureza das normas, já se</p><p>tem observado a unificação de tais documentos, com a integração das</p><p>regras, visando facilitar a comunicação das normas e ampliando sua efe-</p><p>tividade. Isso porque a comunicação das regras insertadas nos códigos</p><p>de ética e de conduta é fundamental para a sua efetividade.</p><p>A linguagem empregada na redação de tais documentos deve ser</p><p>acessível e adequada ao público a que se direciona, de modo a alcançar</p><p>a todos seus destinatários indistintamente.</p><p>As políticas e os controles internos são fundamentais para garan-</p><p>tir o correto funcionamento da organização. As políticas internas diri-</p><p>gem-se a orientar e regular os relacionamentos entre os funcionários</p><p>e a organização. O estabelecimento de controles internos permite a</p><p>padronização dos processos, por meio do desenvolvimento de ações</p><p>organizadas e integradas, elevando o grau de segurança e eficiência</p><p>da operação. Seu sentido é, portanto, dissipar dúvidas operacionais,</p><p>afastando eventuais erros.</p><p>Os controles internos podem ocorrer de várias formas, por meio do</p><p>estabelecimento de processos ajustados à realidade da empresa. Em</p><p>se tratando de governança de dados, o estabelecimento de processos</p><p>internos adequados pode evitar incidentes, como vazamento de dados</p><p>e fraudes envolvendo dados pessoais. Além disso, pode facilitar a res-</p><p>posta a eventuais demandas do titular ou da Autoridade Nacional de</p><p>Proteção de Dados.</p><p>O modelo atualmente adotado</p><p>pela Petrobras unificou os</p><p>códigos de ética e de conduta</p><p>como forma de simplificar a</p><p>comunicação das regras no</p><p>âmbito da empresa.</p><p>PETROBRAS. Código de Conduta</p><p>Ética. Disponível em: https://</p><p>petrobras.com.br/data/files/32/</p><p>E1/14/8E/1F103710FADC1F-</p><p>27D438E9C2/Codigo_de_Con-</p><p>duta_Etica29062020.pdf.</p><p>Acesso em: 14 maio 2021.</p><p>Saiba mais</p><p>https://petrobras.com.br/data/files/32/E1/14/8E/1F103710FADC1F27D438E9C2/Codigo_de_Conduta_Etica29062020.pdf</p><p>https://petrobras.com.br/data/files/32/E1/14/8E/1F103710FADC1F27D438E9C2/Codigo_de_Conduta_Etica29062020.pdf</p><p>https://petrobras.com.br/data/files/32/E1/14/8E/1F103710FADC1F27D438E9C2/Codigo_de_Conduta_Etica29062020.pdf</p><p>https://petrobras.com.br/data/files/32/E1/14/8E/1F103710FADC1F27D438E9C2/Codigo_de_Conduta_Etica29062020.pdf</p><p>https://petrobras.com.br/data/files/32/E1/14/8E/1F103710FADC1F27D438E9C2/Codigo_de_Conduta_Etica29062020.pdf</p><p>118 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>5.7 Instrumentos para a implementação</p><p>de boas práticas Vídeo</p><p>O cuidado quanto à proteção de dados pessoais se estende à rela-</p><p>ção com terceiros. Logo, torna-se fundamental proceder ao due diligence</p><p>deles. Tal verificação objetiva que o terceiro mantenha o mesmo nível</p><p>de segurança e proteção de dados adotado pelo agente de tratamento,</p><p>além de exigir-lhe atuação conforme a Lei Geral de Proteção de Dados.</p><p>Em consequência, é necessária a revisão dos contratos mantidos</p><p>com fornecedores e demais prestadores de serviços, de modo a inse-</p><p>rir cláusulas específicas relacionadas ao tratamento de dados pessoais.</p><p>Além dos contratos estabelecidos com terceiros, torna-se fundamental a</p><p>adequação de documentos em geral à Lei Geral de Proteção de Dados.</p><p>Em resumo, é altamente recomendável a revisão de contratos de traba-</p><p>lho, de instrumentos contratuais firmados com prestadores de serviços</p><p>e parceiros em geral, além das normas internas e de outros documentos.</p><p>É interessante, também, o desenvolvimento de minutas de docu-</p><p>mentos para a comunicação com os titulares e com a autoridade de con-</p><p>trole. Um desses documentos é o denominado Relatório de Impacto à</p><p>Proteção de Dados (RIPD), que, conforme previsto no artigo 38 da LGPD,</p><p>poderá ser solicitado a qualquer momento pela Autoridade Nacional de</p><p>Proteção de Dados: “A autoridade nacional poderá determinar ao con-</p><p>trolador que elabore relatório de impacto à proteção de dados pessoais,</p><p>inclusive de dados sensíveis, referente a suas operações de tratamento</p><p>de dados, nos termos de regulamento, observados os segredos comer-</p><p>cial e industrial” (BRASIL, 2018).</p><p>O RIPD é um documento elaborado com base no produto das etapas</p><p>de mapeamento e análise de riscos na implementação da governança e</p><p>deverá conter a descrição dos dados coletados, a metodologia utilizada</p><p>para a coleta e para a garantia das informações, bem como a análise</p><p>do controlador com relação às medidas, salvaguardas e mecanismos de</p><p>proteção de risco adotados, conforme consta no parágrafo único do ar-</p><p>tigo 38. Conforme considera Vainzof (2020, p. 155), a principal finalidade</p><p>do RIDP é “identificar e apontar riscos que possam existir em determi-</p><p>nado tratamento e como mitigá-los, enquanto o mapeamento dos re-</p><p>gistros de atividades se presta a documentá-los, avaliando justificativas</p><p>legais e potenciais gaps, como dados excessivos”.</p><p>Proteção de dados pessoais e governança corporativa 119</p><p>No artigo 35 do Regulamento Europeu de Proteção de Dados há pre-</p><p>visão semelhante, ao aludir ao denominado Data Protection Impact Asses-</p><p>sment (DPIA). A norma europeia, no entanto, descreveu com maior grau</p><p>de detalhe as hipóteses de requisição desse documento pela autoridade</p><p>de controle, além de precisar seu conteúdo mínimo obrigatório. No Bra-</p><p>sil, espera-se que esse detalhamento ocorra pela atividade da Agência</p><p>Nacional de Proteção de Dados.</p><p>A efetividade e o sucesso do programa de governança dependem,</p><p>em grande medida, do desenvolvimento de estratégias para fomentar a</p><p>cultura da privacidade, o que somente é viável por meio da efetividade</p><p>na comunicação do programa, decisiva para o engajamento em prol de</p><p>sua aplicação. Nesse sentido, a instrumentalização de soluções voltadas</p><p>à conscientização acerca da importância da proteção de dados pessoais</p><p>e do impacto derivado do inadequado gerenciamento de dados é de cru-</p><p>cial importância para a integridade do programa. Tais soluções se viabi-</p><p>lizam por meio da realização de treinamento orientado à compreensão</p><p>do programa aplicado.</p><p>As formas de realização são diversas, podendo ser on-line ou pre-</p><p>sencial, e devem ser adequadas, em conteúdo e profundidade, para o</p><p>público a que se dirige, podendo variar conforme a área de atuação e o</p><p>seu nível de exposição ao risco. Conforme bem consideram Rodrigues</p><p>e Vieira (2020, p. 19),</p><p>o conjunto de medidas adotadas pelas empresas para legitimar</p><p>a coleta e o tratamento de dados pessoais não será eficaz se</p><p>tanto empresas quanto titulares de dados não se conscientiza-</p><p>rem acerca da importância sobre as possibilidades e limitações</p><p>nas atividades exercidas pela empresa. Se o que almeja é uma</p><p>verdadeira mudança de cultura, não bastarão treinamentos</p><p>superficiais ou meros documentos escritos para que isso ocor-</p><p>ra; o processo de maturidade digital deve ser construído com</p><p>constância, utilizando as mais variadas formas de comunicação</p><p>para garantir a transparência e a segurança jurídicas necessá-</p><p>rias nesse assunto.</p><p>A dinamicidade dos modelos de negócio obriga a revisão constante</p><p>do programa de compliance e o treinamento continuado, para assegurar</p><p>a sua efetividade. Assim, as medidas adotadas para a implementação de</p><p>boas práticas e de governança no âmbito da organização devem ser sub-</p><p>metidas à revisão e ao monitoramento constantes, de modo a evitar o</p><p>enfraquecimento do programa. Medidas como a realização de auditorias</p><p>120 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>internas periódicas, para avaliar o cumprimento das regras no âmbito da</p><p>empresa, prestam-se a essa verificação.</p><p>A revisão dos processos internos pode conduzir à adoção de algumas</p><p>medidas, a exemplo do registro das atividades de tratamento de dados</p><p>pessoais realizadas pela organização, como providência</p><p>que viabiliza o</p><p>cumprimento dos direitos dos titulares, que permite o rastreamento das</p><p>atividades e facilita a elaboração dos relatórios de impacto à proteção de</p><p>dados pessoais.</p><p>Em se tratando de programa de compliance, é recomendável uma estru-</p><p>turação de setor ou indicação de pessoa responsável por executar e super-</p><p>visionar o desenvolvimento do programa. A LGPD traduz essa necessidade</p><p>na obrigação da indicação expressa do encarregado de dados, a quem</p><p>incumbe realizar a comunicação entre a organização, os titulares de dados</p><p>pessoais e a Agência Nacional de Proteção de Dados (art. 5º, VIII).</p><p>No artigo 41, § 2º, da LGPD, estão previstas atribuições legais ao en-</p><p>carregado, a saber: aceitar reclamações e comunicações dos titulares,</p><p>prestar esclarecimentos e adotar providências; receber comunicações</p><p>da autoridade nacional e adotar providências; orientar os funcionários</p><p>e os contratados da entidade a respeito das práticas a serem tomadas</p><p>com relação à proteção de dados pessoais; e executar as demais atribui-</p><p>ções determinadas pelo controlador ou estabelecidas em normas com-</p><p>plementares (BRASIL, 2018).</p><p>Para tanto, é necessária a criação de canais de comunicação com o</p><p>encarregado que, por um lado, permitam a comunicação de eventuais</p><p>incidentes, funcionando como verdadeiro canal de denúncias, e, de ou-</p><p>tro, assegurem ao titular o livre exercício dos direitos do titular.</p><p>Por último, em consonância com as disposições que determinam res-</p><p>posta a eventuais incidentes, é obrigatória a elaboração de um plano de</p><p>resposta a incidentes e remediação, de modo a preparar a empresa</p><p>para as hipóteses de vazamentos ou exposição de dados pessoais, sub-</p><p>sidiando a elaboração da resposta a eventuais incidentes. A preparação</p><p>da resposta contempla cinco etapas, conforme Marcos Bruno (2020). São</p><p>elas: (i) treinamento; (ii) elaboração de um plano formal de resposta; (iii)</p><p>conhecimento das pessoas-chave; (iv) acionamento das coberturas de</p><p>seguros, quando for o caso; e (v) gerenciamento de fornecedores que</p><p>podem ser parte do incidente.</p><p>Proteção de dados pessoais e governança corporativa 121</p><p>CONSIDERAÇÕES FINAIS</p><p>A criação de valores perceptíveis e reais reflete indiscutivelmente no de-</p><p>senvolvimento dos negócios e nos resultados alcançados pelas empresas.</p><p>A forma de organização e os valores éticos prezados por elas impactam</p><p>seus relacionamentos, o desenvolvimento e a preservação dos negócios,</p><p>além de agregar valor à marca.</p><p>Proteger dados pessoais é, em última análise, proteger as pessoas. A Lei</p><p>Geral de Proteção de Dados busca regulamentar o tratamento dos dados</p><p>pessoais, de modo a garantir os direitos dos indivíduos em relação às suas</p><p>informações pessoais. Portanto, o cumprimento das normas expressas nela,</p><p>para além de uma obrigação legal, constitui prática de respeito à pessoa. A</p><p>responsabilidade social na abordagem desse tema é fundamental para a</p><p>construção de uma relação de confiança não somente com as pessoas que</p><p>tenham seus dados tratados por determinada empresa, mas também para</p><p>com toda sua rede de relacionamento e seus parceiros de negócios.</p><p>A estruturação de um programa de governança de dados e privacidade</p><p>é de fundamental importância para comunicar os valores da organização e</p><p>o cumprimento com a ordem jurídica, bem como para prevenção e mitiga-</p><p>ção de incidentes envolvendo dados pessoais, além da adoção de medidas</p><p>de correção e/ou compensatórias.</p><p>ATIVIDADES</p><p>Atividade 1</p><p>Quais são as bases que sustentam o sistema de compliance? Comente.</p><p>Atividade 2</p><p>Entre os denominados pilares dos programas de governança, discorra sobre o papel</p><p>da alta administração, especialmente no que toca à governança de dados.</p><p>Atividade 3</p><p>Quais são os requisitos mínimos exigidos pela LGPD quanto à implementação de</p><p>um programa de conformidade? Comente.</p><p>122 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>REFERÊNCIAS</p><p>BRASIL. Decreto 8.420, de 18 de março de 2015. Diário Oficial da União, Poder Executivo.</p><p>Brasília, DF, 19 mar. 2015. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-</p><p>2018/2015/decreto/d8420.htm. Acesso em: 14 maio 2021.</p><p>BRASIL. Lei n. 12.846, de 1 de agosto de 2013. Diário Oficial da União, Poder Executivo, Brasília,</p><p>DF, 2 ago. 2013. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/</p><p>lei/l12846.htm. Acesso em: 14 maio 2021.</p><p>BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Diário Oficial da União. Brasília, DF, 15 ago.</p><p>2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.</p><p>htm. Acesso em: 14 maio 2021.</p><p>BRUNO, M. G. da Silva. Monitoramento do Programa de Privacidade. In: BLUM, R. O. Proteção</p><p>de dados. Desafios e soluções na adequação à lei. Rio de Janeiro: GEN Jurídico, 2020.</p><p>CARVALHO, V. M.; MATTIUZZO, M.; PONCE, P. P. Boas práticas e governança na LGPD. In:</p><p>MENDES, L. S. et al. Tratado de proteção de dados pessoais. Rio de Janeiro: Gen-Forense, 2021.</p><p>CAVOUKIAN, A. Privacy by design. The 7 foundationalprinciples. Ontário: Information</p><p>& Privacy, 2009. Disponível em: https://www.ipc.on.ca/wp-content/uploads/</p><p>resources/7foundationalprinciples.pdf. Acesso em: 14 maio 2021.</p><p>CGU. Programa de integridade – Diretrizes para Empresas Privadas. Brasília, DF: CGU,</p><p>2015. Disponível em: https://www.gov.br/cgu/pt-br/centrais-de-conteudo/publicacoes/</p><p>integridade/arquivos/programa-de-integridade-diretrizes-para-empresas-privadas.pdf.</p><p>Acesso: 14 maio 2021.</p><p>CADE. Guia programas de compliance. Orientações sobre estruturação e benefícios da</p><p>adoção dos programas de compliance concorrencial. Brasília, DF: CADE, 2016. Disponível</p><p>em: https://cdn.cade.gov.br/Portal/centrais-de-conteudo/publicacoes/guias-do-cade/guia-</p><p>compliance-versao-oficial.pdf. Acesso em: 14 maio 2021.</p><p>COMISSÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho,</p><p>de 27 de abril de 2016. Jornal Oficial Das Comunidades Europeias, 4 maio 2016a. Disponível</p><p>em: https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A32016R0679. Acesso em:</p><p>14 maio 2021.</p><p>COTS, M.; OLIVEIRA, R. Lei Geral de Proteção de Dados Pessoais comentada. São Paulo:</p><p>Thomson Reuters Brasil, 2018.</p><p>GIOVANNI JUNIOR, J. L. Governança de dados pessoais. In: MALDONADO, V. N. (Coord.). Lei</p><p>Geral de Proteção de Dados. Manual Implementação. São Paulo: Thomsom Reuters, 2019.</p><p>GIOVANINI, W. Programas de compliance e anticorrupção: importância e elementos</p><p>essenciais. In: PAULA, M. A. B. de.; CASTRO, R. P. A. de. (Coord.). Compliance, gestão de riscos</p><p>e combate à corrupção: integridade par o desenvolvimento. Belo Horizonte: Fórum, 2018.</p><p>JIMENE, C. do V. Da Segurança e das Boas Práticas. In: MALDONADO, V. N.; BLUM, R. O.</p><p>(Coord.). Lei Geral de Proteção de Dados Comentada. 2. ed. São Paulo: Thomsom Reuters,</p><p>2019.</p><p>OECD. A Caminho da Era Digital no Brasil. Paris: OECD Publishing, 2020. Disponível em: https://</p><p>www.oecd-ilibrary.org/docserver/45a84b29-pt.pdf?expires=1614688634&id=id&accname=-</p><p>guest&checksum=8216725CD6412E4DE27293F88C74FD17. Acesso em: 14 maio 2021.</p><p>RODRIGUES, P. M.; VIEIRA, A. B. Educação como um dos pilares para a conformidade. In:</p><p>BLUM, R. O. Proteção de dados. Desafios e soluções na adequação à lei. Rio de Janeiro: GEN</p><p>Jurídico, 2020.</p><p>SAAVEDRA, G. A. Compliance de dados. In: MENDES, L. S.; DONEDA, D.; SARLET, I. W.;</p><p>RODRIGUES JR., O. L. Tratado de proteção de dados pessoais. Rio de Janeiro: Gen-Forense,</p><p>2021.</p><p>VAINZOF, R. Relatório de Impacto à proteção de dados pessoais. In: BLUM, R. O. Proteção de</p><p>dados. Desafios e soluções na adequação à lei. Rio de Janeiro: GEN Jurídico, 2020.</p><p>ZENKER, M. Integridade Governamental e Empresarial: um aspecto da repressão da prevenção</p><p>à corrupção no Brasil e em Portugal. Belo Horizonte: Fórum, 2019.</p><p>https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/decreto/d8420.htm</p><p>https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/decreto/d8420.htm</p><p>http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12846.htm</p><p>http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12846.htm</p><p>http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm</p><p>http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm</p><p>https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf</p><p>https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf</p><p>https://www.gov.br/cgu/pt-br/centrais-de-conteudo/publicacoes/integridade/arquivos/programa-de-integridade-diretrizes-para-empresas-privadas.pdf</p><p>https://www.gov.br/cgu/pt-br/centrais-de-conteudo/publicacoes/integridade/arquivos/programa-de-integridade-diretrizes-para-empresas-privadas.pdf</p><p>https://cdn.cade.gov.br/Portal/centrais-de-conteudo/publicacoes/guias-do-cade/guia-compliance-versao-oficial.pdf</p><p>https://cdn.cade.gov.br/Portal/centrais-de-conteudo/publicacoes/guias-do-cade/guia-compliance-versao-oficial.pdf</p><p>https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A32016R0679</p><p>https://www.oecd-ilibrary.org/docserver/45a84b29-pt.pdf?expires=1614688634&id=id&accname=guest&checksum=8216725CD6412E4DE27293F88C74FD17</p><p>https://www.oecd-ilibrary.org/docserver/45a84b29-pt.pdf?expires=1614688634&id=id&accname=guest&checksum=8216725CD6412E4DE27293F88C74FD17</p><p>https://www.oecd-ilibrary.org/docserver/45a84b29-pt.pdf?expires=1614688634&id=id&accname=guest&checksum=8216725CD6412E4DE27293F88C74FD17</p><p>Tutela jurisdicional da proteção de dados pessoais 123</p><p>6</p><p>Tutela jurisdicional da</p><p>proteção de dados pessoais</p><p>Sandro M Kozikoski</p><p>Este capítulo objetiva a compreensão dos temas relacionados à</p><p>proteção constitucional da Lei Geral de Proteção de Dados (LGPD)</p><p>e dos aspectos procedimentais relacionados ao contingenciamen-</p><p>to de demandas judiciais envolvendo a matéria.</p><p>Para isso, impõe-se o entendimento da abordagem das dife-</p><p>rentes modalidades de tutela jurisdicional, individuais ou coletivas,</p><p>aplicáveis à proteção de dados.</p><p>6.1 Constituição Federal, remédios</p><p>constitucionais e LGPD Vídeo</p><p>A Lei Geral de Proteção de Dados nacional está em consonância</p><p>com os ditames constitucionais da proteção da privacidade e da vida</p><p>privada. Convém repisar que, em seu capítulo voltado à garantia dos</p><p>direitos individuais, a Constituição preleciona, no inciso X do artigo 5º,</p><p>que “são invioláveis a intimidade, a vida privada, a honra e a imagem</p><p>das pessoas, assegurado o direito a indenização pelo dano material ou</p><p>moral decorrente de sua violação” (BRASIL, 1988); além de dispor, no</p><p>inciso XII do artigo 5º, que “é inviolável o sigilo da correspondência e</p><p>das comunicações telegráficas, de dados e das comunicações telefôni-</p><p>cas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma</p><p>que a lei estabelecer para fins de investigação criminal ou instrução</p><p>processual penal” (BRASIL, 1988).</p><p>Assim, sob a perspectiva dos direitos fundamentais, é razoável que</p><p>o legislador ordinário possa dispor do poder de conformação, inclusive</p><p>124 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>sob a perspectiva de uma contínua expansão das medidas assecurató-</p><p>rias daquelas garantias fundamentais, atendendo às agendas exigidas</p><p>pela sociedade. O artigo 17 da LGPD corrobora com essa perspectiva ao</p><p>dispor que “toda pessoa natural tem assegurada a titularidade de seus</p><p>dados pessoais e garantidos os direitos fundamentais de liberdade, de</p><p>intimidade e de privacidade, nos termos desta Lei” (BRASIL, 2018).</p><p>Entretanto, não há vantagem em proclamar certos direitos sem</p><p>assegurá-los por meio de garantias específicas. Em lição clássica apli-</p><p>cável à matéria, Alfredo Buzaid (1961, p. 193) afirma que “conferir ga-</p><p>rantias constitucionais significa prover os direitos de remédios que</p><p>correspondem à sua grandeza, à sua dignidade e à sua importância”.</p><p>Por isso, para fins de distinguir direitos e garantias fundamentais, é</p><p>válido afirmar que aqueles estão albergados em preceitos normativos</p><p>descritivos ou enunciativos, enquanto estas, via de regra, estão aloca-</p><p>das em normas de caráter instrumental. Apenas para exemplificar,</p><p>pode-se afirmar que o direito constitucional de locomoção (art. 5º, XV)</p><p>não se confunde com a garantia ou remédio assecuratório do habeas</p><p>corpus (art. 5º, LXVIII). O mesmo ocorre com o direito à obtenção de</p><p>informação pessoal (art. 5º, XXXIII), que pode ser assegurado pelo re-</p><p>médio do habeas data (art. 5º, LXXII).</p><p>Em linhas gerais, as garantias fundamentais assumem a função</p><p>jurisdicional de assegurar determinados direitos fundamentais. Ape-</p><p>sar dessa distinção não ser absolutamente rígida, pois determinadas</p><p>normas constitucionais podem albergar um direito e prescrever simul-</p><p>taneamente uma garantia em proveito de sua efetivação, resulta evi-</p><p>dente o papel instrumental conferido a determinados institutos que</p><p>foram concebidos e nominados como remédios constitucionais.</p><p>Sendo assim, os remédios constitucionais estão enquadrados no rol</p><p>das ações constitucionais, mas não é suficiente que uma determina-</p><p>da ação esteja prescrita na Constituição Federal para que seja enqua-</p><p>drada como remédio constitucional. Afinal, a Constituição contempla</p><p>outras ações jurisdicionais que não recebem esse rótulo. Nesse senti-</p><p>do, a ação direta de inconstitucionalidade (ADI), a ação declaratória de</p><p>constitucionalidade (ADC) e a arguição de preceito fundamental (ADPF)</p><p>estão previstas na Constituição, porém não são consideradas propria-</p><p>mente remédios constitucionais. Esse status é conferido pelo objetivo</p><p>precípuo de proteção a certos direitos, exigindo-se ainda a observância</p><p>Tutela jurisdicional da proteção de dados pessoais 125</p><p>das seguintes condições, conforme Samuel Fonteles (2017): (i) natureza</p><p>jurídica de ação; (ii) previsão no texto constitucional; (iii) salvaguarda de</p><p>direitos fundamentais (individuais ou coletivos). Logo, são considera-</p><p>dos remédios constitucionais: (i) o mandado de segurança (individual</p><p>ou coletivo); (ii) o mandado de injunção; (iii) o habeas corpus; (iv) o ha-</p><p>beas data; e (v) a ação popular. Certos setores da doutrina ainda alu-</p><p>dem à ação civil pública, diante de sua finalidade e do alcance de sua</p><p>proteção. O conjunto desses remédios constitucionais substancia a tu-</p><p>tela constitucional das liberdades.</p><p>6.1.1 Do habeas data</p><p>Pela afinidade com o tema em desenvolvimento, cabe discorrer</p><p>sobre a figura do habeas data, instituído como verdadeiro remédio</p><p>constitucional para que qualquer interessado tenha acesso às próprias</p><p>informações pessoais contidas em bancos públicos de dados ou, ain-</p><p>da, em certas entidades particulares 1 . O parágrafo único do artigo 1º</p><p>da Lei n. 9.507/1997 dispõe que “considera-se de caráter público todo</p><p>registro ou banco de dados contendo informações que sejam ou que</p><p>possam ser transmitidas a terceiros ou que não sejam de uso privati-</p><p>vo do órgão ou entidade produtora ou depositária das informações”</p><p>(BRASIL, 1997).</p><p>Ou seja, será dado o emprego de habeas data em prol do acesso às</p><p>informações mantidas por cadastros públicos de dados ou, ainda que</p><p>estes não possuam natureza pública, que estes agentes de tratamento</p><p>venham a publicizar as informações por eles tratadas 2 .</p><p>Se as informações são mantidas em âmbito interno, sem divulgação</p><p>ou exteriorização ao público, não é possível cogitar do cabimento de ha-</p><p>beas data. Um exemplo é a exibição de extratos bancários solicitados</p><p>pelo correntista. Eis que a instituição financeira responsável pela custó-</p><p>dia e gestão das informações bancárias não os fornece para o público</p><p>em geral, mas apenas em proveito dos correntistas e contratantes dos</p><p>serviços bancários.</p><p>O Superior Tribunal de Justiça (STJ) reafirmou esse entendimento ao</p><p>decidir que</p><p>Segundo Neves (2017,</p><p>p. 275): “Não resta qual-</p><p>quer dúvida de que esses</p><p>cadastros contêm infor-</p><p>mações de natureza pú-</p><p>blica, não obstante sejam</p><p>de empresas privadas;</p><p>daí ser cabível o habeas</p><p>data em tal circunstância</p><p>pelo consumidor. Nesse</p><p>sentido, o art. 43, § 4º, da</p><p>Lei 8.078/1990, ao prever</p><p>que ‘os bancos de dados</p><p>e cadastros relativos a</p><p>consumidores, os serviços</p><p>de proteção ao crédito</p><p>e congêneres são con-</p><p>siderados entidades de</p><p>caráter público’”.</p><p>1</p><p>126 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>não ensejam habeas data os registros ou</p><p>bancos de dados não</p><p>compartilhados com terceiros, servindo as informações deles</p><p>constantes apenas para orientação da política interna de negó-</p><p>cios da própria entidade privada detentora, a qual somente dá</p><p>conhecimento deles internamente, ao próprio corpo de dirigen-</p><p>tes e empregados. (BRASIL, 2021)</p><p>Em outras palavras, o caráter público dos órgãos de tratamento diz</p><p>respeito à possibilidade de as informações tratadas se tornarem públi-</p><p>cas, sendo irrelevante perquirir a natureza jurídica do órgão responsá-</p><p>vel por seu armazenamento.</p><p>De qualquer sorte, com o implemento da LGPD e, ainda, com a dis-</p><p>seminação dos bancos de dados e cadastros públicos em geral, a figura</p><p>do habeas data assume relevante papel na tutela jurisdicional da prote-</p><p>ção de dados pessoais.</p><p>Tendo em vista que o legislador constituinte de 1988 idealizou</p><p>esse remédio constitucional, é oportuno traçar breve resenha do</p><p>habeas data, assegurado no inciso LXXII do artigo 5º da Constituição</p><p>Federal, na forma das alíneas a e b desse permissivo constitucional:</p><p>a) para assegurar o conhecimento de informações relativas à</p><p>pessoa do impetrante, constantes de registros ou bancos de</p><p>dados de entidades governamentais ou de caráter público;</p><p>b) para a retificação de dados, quando não se prefira fazê-lo por</p><p>processo sigiloso, judicial ou administrativo. (BRASIL, 1988)</p><p>Sob o ponto de sua concepção e finalidade, observa-se que o habeas</p><p>data foi instituído pela marcante e deletéria experiência histórica do</p><p>regime de exceção anterior à Constituição, pois em tal período eram</p><p>comuns os relatos de formação de dossiês, com coleta seletiva de in-</p><p>formações referentes a determinadas pessoas, com substrato, muitas</p><p>vezes, na chamada doutrina de segurança nacional.</p><p>Além disso, também é correto afirmar que alguns países estrangei-</p><p>ros passaram a contemplar figuras semelhantes ao habeas data, com</p><p>adoção de mecanismos legais voltados a franquear o acesso pessoal às</p><p>informações e dados constantes de entidades e órgãos do Poder Pú-</p><p>blico. Sem o propósito de exauri-los, é possível compilar alguns desses</p><p>institutos análogos, apresentando-os pelo aspecto cronológico de seu</p><p>respectivo advento:</p><p>“Ao prever que os res-</p><p>ponsáveis pela criação e</p><p>manutenção serão órgãos</p><p>governamentais ou de</p><p>caráter público, o próprio</p><p>art. 5º, LXXII, a, da CF/1988</p><p>sugere a interpretação de</p><p>que também órgãos de</p><p>direito privado possam</p><p>ser demandados por meio</p><p>do habeas data” (NEVES,</p><p>2017, p. 274).</p><p>2</p><p>Segundo Neves (2017, p.</p><p>273), "essas duas hipó-</p><p>teses de cabimento são</p><p>praticamente repetidas</p><p>pelos dois primeiros</p><p>incisos do art. 7º da Lei</p><p>9.507/1997, sendo que</p><p>no inciso III de referida</p><p>norma encontra-se uma</p><p>terceira hipótese de cabi-</p><p>mento: para a anotação,</p><p>nos assentamentos do</p><p>interessado, de contesta-</p><p>ção ou explicação sobre</p><p>dado verdadeiro, mas</p><p>justificável, e que esteja</p><p>sob pendência judicial ou</p><p>amigável".</p><p>Saiba mais</p><p>Tutela jurisdicional da proteção de dados pessoais 127</p><p>1974</p><p>1978</p><p>1983</p><p>Nos EUA, o Freedom of Information</p><p>Act, (alterado pelo Freedom of</p><p>Information Reform Act, de 1978)</p><p>objetivou assegurar ao particular</p><p>as informações constantes de</p><p>registros públicos ou mesmo de</p><p>natureza particular, desde que</p><p>franqueados ao público.</p><p>A Constituição espanhola</p><p>assegurou acesso dos cidadãos</p><p>aos arquivos e registros</p><p>administrativos.</p><p>A Constituição do Reino</p><p>dos Países Baixos também</p><p>concebeu expediente similar.</p><p>1976</p><p>1978</p><p>1994</p><p>A Constituição portuguesa tratou da</p><p>ciência do particular aos ficheiros e</p><p>registros informáticos respectivos.</p><p>A Lei sobre Informática e</p><p>Liberdades da França passou a</p><p>assegurar o direito ao cidadão</p><p>de acesso aos dados pessoais,</p><p>permitindo-lhe inclusive eventual</p><p>retificação.</p><p>Na Argentina foi instituído</p><p>instituto similar ao habeas data</p><p>na revisão constitucional de</p><p>1994, sob a forma de Acción</p><p>Expedita y Rápida de Amparo.</p><p>Tal disposição constitucional</p><p>foi regulamentada pela Lei</p><p>Federal argentina n. 25.326,</p><p>de 2000 (AUAD FILHO, 2010).</p><p>P</p><p>ix</p><p>M</p><p>ar</p><p>ke</p><p>t/</p><p>Sh</p><p>ut</p><p>te</p><p>st</p><p>oc</p><p>k</p><p>Como é de se notar, a experiência profícua desses países, convergin-</p><p>do com a redemocratização da sociedade brasileira, serviu de inspira-</p><p>ção para a instituição da figura do habeas data.</p><p>6.1.2 Habeas data e direito de petição</p><p>O habeas data não pode ser confundido com a figura do direito de</p><p>petição, previsto no inciso XXXIII do artigo 5º da Constituição da Re-</p><p>pública, que garante ao cidadão o acesso a informações de seu inte-</p><p>resse particular ou mesmo “de interesse coletivo ou geral, que serão</p><p>prestadas no prazo da lei, sob pena de responsabilidade, ressalvadas</p><p>128 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>aquelas cujo sigilo seja imprescindível à segurança da sociedade e do</p><p>Estado” (BRASIL, 1988).</p><p>Para que não pairem dúvidas, no habeas data, a informação requi-</p><p>sitada diz respeito à pessoa do requisitante, mais precisamente àquela</p><p>constante de arquivos ou bancos de dados, enquanto o direito de peti-</p><p>ção possui um escopo mais amplo, “abrangendo outras espécies de in-</p><p>formações que, apesar de interessarem ao requerente de um eventual</p><p>pedido, não dizem respeito a seus dados pessoais” (NEVES, 2017, p. 272).</p><p>Na hipótese de manuseio e impetração do habeas data, o interessado</p><p>(nominado como impetrante dessa medida judicial) não precisa sequer</p><p>cogitar da motivação pela qual busca conhecer informações armazena-</p><p>das a seu respeito ou, ainda, a necessidade de retificação delas.</p><p>Embora também não se faça necessário justificar o acesso às infor-</p><p>mações de interesse coletivo ou de caráter geral, no caso do direito de</p><p>petição é acertado afirmar que o seu emprego passa a servir, inclusive,</p><p>como meio de participação do cidadão na fiscalização dos atos emana-</p><p>dos do Poder Público. Ou seja, o direito de petição pode ser manejado</p><p>para fins de obtenção de informação desejada pelo particular, bastan-</p><p>do para tanto sua especificação, na forma assegurada pelo artigo 10 da</p><p>Lei Federal n. 12.527/2011 (Lei da Transparência): “Qualquer interes-</p><p>sado poderá apresentar pedido de acesso a informações aos órgãos e</p><p>entidades referidos no art. 1o desta Lei, por qualquer meio legítimo, de-</p><p>vendo o pedido conter a identificação do requerente e a especificação</p><p>da informação requerida” (BRASIL, 2011). Portanto, apesar de o direito</p><p>de petição servir como meio para o particular acessar informações arma-</p><p>zenadas por órgãos ou entidades públicas, por certo o seu manuseio não</p><p>se presta à proteção de dados pessoais.</p><p>6.1.3 Natureza jurídica e regulamentação</p><p>infraconstitucional</p><p>O habeas data comporta enquadramento como uma ação perso-</p><p>nalíssima, podendo ser utilizado por pessoas físicas ou jurídicas. Em</p><p>reforço a esse aspecto, o Superior Tribunal de Justiça decidiu que esse</p><p>remédio constitucional “não se presta a obtenção de informações em</p><p>processo administrativo que visa à apuração de eventuais irregularida-</p><p>des cometidas por terceiro” (BRASIL, 2006). Contudo, a interpretação</p><p>jurisprudencial em prol do emprego do habeas data sofreu uma mu-</p><p>Tutela jurisdicional da proteção de dados pessoais 129</p><p>tação no âmbito do Supremo Tribunal Federal (STF), conforme agravo</p><p>regimental, para fins de se autorizar sua impetração pelo cônjuge so-</p><p>brevivente ou supérstite ou herdeiros do falecido, com o propósito de</p><p>preservar a memória do titular dos dados armazenados em cadastros</p><p>públicos:</p><p>HABEAS DATA – DADOS DE CÔNJUGE FALECIDO – LEGITIMIDADE DO</p><p>SUPÉRSTITE.</p><p>Conforme alcance do artigo 5º, inciso LXXII, alínea “a” da Constituição</p><p>Federal, é assegurado ao cônjuge supérstite o conhecimento de infor-</p><p>mações relativas ao falecido, constantes de registros ou bancos de</p><p>dados de entidades governamentais ou de caráter público. (BRASIL,</p><p>2014)</p><p>Assim, é correto afirmar que o inciso LXXII do artigo 5º da Cons-</p><p>tituição trata tão somente das hipóteses de cabimento do habeas</p><p>data, ficando ao encargo da Lei Federal n. 9.507/1997 a regulamen-</p><p>tação infraconstitucional de seu procedimento. Apesar disso, o in-</p><p>ciso III do artigo 7º do referido diploma</p><p>direito à personali-</p><p>dade e fundamentado no direito civil e constitucional.</p><p>O marco que identifica a reformulação do conceito do direito à</p><p>privacidade coincide com o desenvolvimento do conceito de autode-</p><p>terminação informacional, desenvolvido pelo Tribunal Constitucional</p><p>alemão no ano de 1983.</p><p>No paradigmático caso que declarou a inconstitucionalidade da de-</p><p>nominada Lei do Censo 4 alemã (Volkszählungsgesetz), a qual permitia</p><p>que o Estado realizasse o cruzamento de informações sobre os cida-</p><p>dãos para mensurar estatisticamente a distribuição espacial e geográ-</p><p>fica da população, o Tribunal Constitucional redefiniu os contornos do</p><p>direito à proteção de dados pessoais, identificando-o como projeção de</p><p>um direito geral de personalidade, semelhante ao entendimento aco-</p><p>lhido atualmente.</p><p>O Tribunal reconheceu a existência de um direito constitucio-</p><p>nal de personalidade orientado à proteção do poder do indivíduo</p><p>de decidir sobre a divulgação de seus dados pessoais em todos os</p><p>seus aspectos, tanto com relação ao tempo e à forma de divulgação</p><p>quanto a quem seria dado esse conhecimento. No caso concreto, o</p><p>Tribunal Alemão entendeu que o processamento automatizado dos</p><p>dados, como possibilitava a Lei do Censo, colocaria em risco o poder</p><p>do indivíduo de ter controle sobre as suas informações pessoais. O</p><p>cruzamento de dados que a referida lei possibilitava e a ausência de</p><p>finalidade específica para aplicação dos dados pessoais coletados – a</p><p>lei fazia referência à finalidade genérica de execução de atividades</p><p>administrativas – não permitiam aos sujeitos dirimir sobre as suas</p><p>informações privadas.</p><p>O direito à autodeterminação informativa, pautado pela sentença</p><p>do Tribunal Alemão, orienta o tema da proteção de dados pessoais na</p><p>Alemanha e em diversos países (entre os quais se inclui o Brasil), que</p><p>reconhecem esse direito como um fundamento da disciplina de prote-</p><p>ção de dados pessoais e como direito fundamental, na medida em que</p><p>permite ao indivíduo controlar as informações a seu respeito.</p><p>O julgado tornou-se, portanto, paradigmático, redefinindo o concei-</p><p>to de privacidade e destacando-o da dicotomia entre as esferas pública</p><p>e privada. Consoante aponta Doneda (2020), a sentença exarada pelo</p><p>Esta lei previa que o</p><p>cidadão deveria responder</p><p>a 160 perguntas, as quais</p><p>posteriormente seriam</p><p>submetidas a tratamento</p><p>informatizado.</p><p>4</p><p>16 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Tribunal Alemão influenciou fortemente a proteção de dados pessoais,</p><p>desmistificando a noção de que o tratamento de certos tipos de infor-</p><p>mações pessoais seria irrelevante para a privacidade:</p><p>Não se pode levar em consideração somente a natureza das in-</p><p>formações; são determinantes porém, a sua necessidade e uti-</p><p>lização. Estas dependem em parte da finalidade para a qual a</p><p>coleta de dados é destinada, e de outra parte, da possibilidade</p><p>de elaboração e de conexão próprias da tecnologia da informa-</p><p>ção. Nesta situação, um dado que, em si, não aparenta possuir</p><p>nenhuma importância, pode adquirir um novo valor; portanto,</p><p>nas atuais condições do processamento automático de dados</p><p>não existe mais um dado ‘sem importância’.</p><p>A significância dos dados pessoais vem marcada pelo risco de seu</p><p>processamento, e não mais pelo tipo dos dados per se 5 . Assim, a prote-</p><p>ção desenvolvida por meio da autodeterminação informacional corres-</p><p>ponde à possibilidade de processamento ou transmissão de dados,</p><p>não cabendo falar em dados insignificantes.</p><p>Isso porque o entendimento expresso na decisão referida transfere</p><p>o escopo específico do direito à proteção de dados pessoais ao titular</p><p>de dados. O objeto relevante é, portanto, o dado pessoal. Assim, não</p><p>importa se eles se tratam de dados de natureza pública ou privada; o</p><p>fator a ser considerado são os riscos derivados da análise e do pro-</p><p>cessamento dos dados por terceiros.</p><p>Nesse exato sentido, a corte alemã argumenta que a atividade de</p><p>processamento de dados pessoais deve ter limites, sendo necessá-</p><p>ria a imposição de “precauções organizacionais e processuais que</p><p>combatam o perigo de uma violação do direito da personalidade”</p><p>(MARTINS, 2005, p. 239).</p><p>Portanto, mesmo se não houver privacidade no sentido da publici-</p><p>dade dos dados, segue havendo proteção de dados pessoais. A deci-</p><p>são transpõe a dicotomia entre público e privado, já que a informação</p><p>pessoal repercute na projeção de direito da personalidade. Nesse con-</p><p>texto, Queiroz (2019, p. 19) observa que</p><p>ao contrário do direito à privacidade, o direito à proteção de</p><p>dados não faz, em princípio, um filtro substantivo sobre a quali-</p><p>dade do dado para decidir se ele está ou não em seu escopo: se</p><p>é dado pessoal, interessa ao direito da proteção de dados pes-</p><p>soais, ainda que não seja sensível à privacidade do titular. Quan-</p><p>do muito, poderá ter uma proteção incrementada (na qualidade</p><p>Conforme pondera</p><p>Mendes (2020), é decisivo</p><p>para a concepção do</p><p>direito à autodetermina-</p><p>ção “o princípio segundo</p><p>o qual não mais existem</p><p>dados insignificantes nas</p><p>circunstâncias moder-</p><p>nas do processamento</p><p>automatizado dos dados”,</p><p>de modo que “o risco do</p><p>processamento de dados</p><p>residiria mais na finalidade</p><p>do processamento e nas</p><p>possibilidades de proces-</p><p>samento do que no tipo</p><p>dos dados mesmos (ou no</p><p>fato que quão sensíveis ou</p><p>íntimos eles são)”.</p><p>5</p><p>Privacidade na Sociedade da Informação 17</p><p>de “dado pessoal sensível”), embora nem mesmo essa informa-</p><p>ção seja necessariamente sensível à privacidade do sujeito (como</p><p>raça ou nacionalidade).</p><p>Desse modo, a informação, mesmo sendo pública, interessa ao di-</p><p>reito à proteção de dados pessoais, porque está relacionada ao indiví-</p><p>duo (identificado ou identificável). Nesse sentido, Queiroz (2019) cita</p><p>como exemplo os dados sobre processos judiciais não protegidos por</p><p>sigilo, que são disponibilizados em diários oficiais eletrônicos gratuita-</p><p>mente e acessíveis na internet e que não são facilmente enquadráveis</p><p>sobre o manto da privacidade. Nesse sentido, é possível “garimpar ne-</p><p>les dados sensíveis sobre a saúde de pessoas determinadas, coletando</p><p>e tratando informação sobre autores de ações contra secretarias de</p><p>saúde para obtenção de medicamentos e tratamentos não custeados</p><p>pelo sistema público de saúde” (QUEIROZ, 2019, p. 19).</p><p>Em definitivo, a abordagem proposta com base no conceito de</p><p>autodeterminação informacional constitui ponto central para a inter-</p><p>pretação da proteção de dados pessoais como direito fundamental da</p><p>pessoa humana, sendo uma manifestação direta da personalidade. A</p><p>sentença alemã utilizou a expressão autodeterminação informativa para</p><p>designar a opção de os indivíduos decidirem sobre si próprios, no senti-</p><p>do de assegurar o direito à governança, transparência e sindicabilidade</p><p>do tratamento de dados compreendidos em acepção abrangente.</p><p>Outra teoria sobre o assunto é a dos círculos concêntricos. Ela re-</p><p>mete ao raciocínio de interseção de três esferas, nas quais o círculo</p><p>maior é a zona de privacidade, isto é, a zona permeável, na perspec-</p><p>tiva de que o indivíduo pode abrir mão de parcelas da sua zona de</p><p>privacidade, permitindo que outros a acessem de maneira comedida</p><p>e controlada. Já o círculo mediano representa a zona de intimidade,</p><p>impermeável, em que não há permissividade, ou seja, o indivíduo não</p><p>deseja compartilhar com os outros sua intimidade; ao contrário, dese-</p><p>ja preservá-la. Por fim, a circunferência menor representa o segredo, o</p><p>mais profundo aspecto da privacidade, na qual estão guardadas infor-</p><p>mações mais íntimas do ser humano, geralmente não compartilhadas</p><p>com outros indivíduos e que ninguém tem o direito de invadir.</p><p>A classificação proposta pela teoria dos círculos concêntricos per-</p><p>mite entender como esse direito fundamental surgiu. Em um primei-</p><p>ro momento, vislumbra-se um impacto entre proteção de dados e a</p><p>Vale anotar que o conceito</p><p>de autodeterminação</p><p>informativa já está presen-</p><p>te na doutrina norte-</p><p>-americana de Alan Westin</p><p>(1967).</p><p>Atenção</p><p>18 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>privacidade.</p><p>legal concebeu uma nova</p><p>hipótese de cabimento do habeas data, dissociada de exata confor-</p><p>mação constitucional. Desse modo, conforme outros incisos desse</p><p>artigo, irá conceder habeas data:</p><p>I – para assegurar o conhecimento de informações relativas à</p><p>pessoa do impetrante, constantes de registro ou banco de dados</p><p>de entidades governamentais ou de caráter público;</p><p>II – para a retificação de dados, quando não se prefira fazê-lo por</p><p>processo sigiloso, judicial ou administrativo;</p><p>III – para a anotação nos assentamentos do interessado, de con-</p><p>testação ou explicação sobre dado verdadeiro mas justificável</p><p>e que esteja sob pendência judicial ou amigável. (BRASIL, 1997)</p><p>Oportuno acrescentar que o procedimento legal concebido pela Lei</p><p>Federal n. 9.507/1997 não prevê instrução probatória para o habeas</p><p>data, ficando o seu uso à mercê da exibição de prova documental pré-</p><p>-constituída. Nesse particular, torna-se imprescindível demonstrar a</p><p>prévia tentativa de acesso à informação desejada, com a demonstra-</p><p>ção da recusa da autoridade em fornecê-la. Também, a Súmula n. 2</p><p>do Superior Tribunal de Justiça assinala que: “não cabe o habeas data</p><p>se não houve recusa de informações por parte da autoridade admi-</p><p>nistrativa” (BRASIL, 1990b).</p><p>Segundo Neves (2017,</p><p>p. 286), essa perspectiva</p><p>deve ser entendida por</p><p>meio do artigo 17 da lei</p><p>em questão "ao prever</p><p>que, no caso de habeas</p><p>data de competência</p><p>originária dos tribunais,</p><p>caberá ao relator a</p><p>instrução do processo.</p><p>Só se pode entender que</p><p>essa 'instrução' seja na</p><p>realidade a prática dos</p><p>atos preparatórios para o</p><p>julgamento, de forma que</p><p>caberá ao relator da ação</p><p>a notificação da autorida-</p><p>de coatora, a cientificação</p><p>da pessoa jurídica de</p><p>direito público e a intima-</p><p>ção do Ministério Público</p><p>como fiscal da lei."</p><p>Saiba mais</p><p>130 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Nesse aspecto, o artigo 8º da Lei n. 9.507/1997 prevê que:</p><p>Art. 8. A petição inicial deverá ser instruída com prova:</p><p>I – da recusa ao acesso às informações ou do decurso de mais</p><p>de dez dias sem decisão;</p><p>II – da recusa em fazer-se a retificação ou do decurso de mais de</p><p>quinze dias, sem decisão; ou</p><p>III – da recusa em fazer-se a anotação a que se refere o § 2º</p><p>do art. 4º ou do decurso de mais de quinze dias sem decisão.</p><p>(BRASIL, 1997)</p><p>Em termos práticos, considera-se presumida a recusa por parte da</p><p>autoridade administrativa diante do decurso dos prazos fixados no dis-</p><p>positivo citado, podendo ser sintetizado conforme o Quadro 1:</p><p>Quadro 1</p><p>Prazos para ser presumida recusa ao habeas data</p><p>Direito tutelado Hipótese legal Cabimento</p><p>Acesso Recusa 10 dias</p><p>Retificação Recusa 15 dias</p><p>Fazer anotação para con-</p><p>frontação de dados</p><p>Recusa 15 dias</p><p>Fonte: elaborado pelo autor.</p><p>Outra questão de índole prática que fomenta o emprego do habeas</p><p>data diz respeito à isenção de custas e emolumentos, na forma do</p><p>inciso LXXVII do artigo 5º da Constituição: “são gratuitas as ações de</p><p>habeas-corpus e habeas-data, e, na forma da lei, os atos necessários</p><p>ao exercício da cidadania” (BRASIL, 1988), hipótese reafirmada pelo</p><p>artigo 21 da Lei n. 9.507/1997.</p><p>O artigo 13 da Lei n. 9.507/1997 dispõe que, procedente o pedido</p><p>formulado pelo impetrante do habeas data, o juiz marcará data e ho-</p><p>rário para que a autoridade coatora: (i) apresente ao impetrante as in-</p><p>formações a seu respeito, constantes de registros ou bancos de dados</p><p>(inciso I do artigo 13 da Lei n. 9.507/1997); ou (ii) apresente em juízo a</p><p>prova da retificação ou da anotação feita nos assentamentos do impe-</p><p>trante (inciso II do artigo 13 da mesma lei).</p><p>Por fim, diversamente do regime legal aplicável à figura do manda-</p><p>do de segurança, a Lei n. 9.507/1997 não especificou prazo decadencial</p><p>para o emprego do habeas data, situação que guarda relevante implica-</p><p>ção prática, porque os cadastros e bancos de dados possuem caráter</p><p>perene, projetando seus efeitos temporalmente.</p><p>A respeito do cabimento</p><p>do habeas data com vistas</p><p>à retificação de informa-</p><p>ções, o Tribunal de Justiça</p><p>do Estado do Paraná</p><p>(TJPR) decidiu pela ade-</p><p>quação de seu manejo,</p><p>com vistas à correção de</p><p>informações do cadastro</p><p>nacional de condenações</p><p>cíveis.</p><p>Para ter acesso ao</p><p>inteiro teor do acór-</p><p>dão, visite: https://tj-pr.</p><p>jusbrasil.com.br/juris-</p><p>prudencia/837583688/</p><p>habeas-data-h-</p><p>d-15699808-pr-</p><p>-1569980-8-acordao/</p><p>inteiro-teor-837583689.</p><p>Acesso em: 14 maio 2021.</p><p>Leitura</p><p>https://tj-pr.jusbrasil.com.br/jurisprudencia/837583688/habeas-data-hd-15699808-pr-1569980-8-acordao/inteiro-teor-837583689</p><p>https://tj-pr.jusbrasil.com.br/jurisprudencia/837583688/habeas-data-hd-15699808-pr-1569980-8-acordao/inteiro-teor-837583689</p><p>https://tj-pr.jusbrasil.com.br/jurisprudencia/837583688/habeas-data-hd-15699808-pr-1569980-8-acordao/inteiro-teor-837583689</p><p>https://tj-pr.jusbrasil.com.br/jurisprudencia/837583688/habeas-data-hd-15699808-pr-1569980-8-acordao/inteiro-teor-837583689</p><p>https://tj-pr.jusbrasil.com.br/jurisprudencia/837583688/habeas-data-hd-15699808-pr-1569980-8-acordao/inteiro-teor-837583689</p><p>https://tj-pr.jusbrasil.com.br/jurisprudencia/837583688/habeas-data-hd-15699808-pr-1569980-8-acordao/inteiro-teor-837583689</p><p>https://tj-pr.jusbrasil.com.br/jurisprudencia/837583688/habeas-data-hd-15699808-pr-1569980-8-acordao/inteiro-teor-837583689</p><p>Tutela jurisdicional da proteção de dados pessoais 131</p><p>6.1.4 LGPD: análise do artigo 22</p><p>Por sua vez, em matéria de tutela jurisdicional de direitos, a LGPD</p><p>limitou-se a afirmar, em seu artigo 22, que</p><p>a defesa dos interesses e dos direitos dos titulares de dados poderá ser</p><p>exercida em juízo, individual ou coletivamente, na forma do disposto na le-</p><p>gislação pertinente, acerca dos instrumentos de tutela individual e coletiva.</p><p>(BRASIL, 2018)</p><p>Resulta claro que o preceito legal em questão contemplou norma ge-</p><p>nérica para salvaguarda dos direitos dos titulares de dados. Aliás, nem</p><p>poderia ser diferente em face da garantia constitucional de inafastabili-</p><p>dade da tutela jurisdicional (Constituição Federal, art. 5º, XXXV). Ao dis-</p><p>por que a defesa dos interesses dos titulares de dados se dará na forma</p><p>da legislação pertinente, tem-se reafirmada a possibilidade de adoção</p><p>de medidas compensatórias e ressarcitórias, mas também a tutela de</p><p>remoção do ilícito, com vistas ao afastamento de eventuais desconfor-</p><p>midades praticadas pelos agentes de tratamento. Portanto, quando não</p><p>for possível a tutela jurisdicional na forma específica e condizente com</p><p>o afastamento do ilícito, será feita a tutela pelo equivalente monetário,</p><p>com apuração do valor da lesão imposta ao titular dos dados.</p><p>Ademais, não fica descartada ainda a possibilidade de emprego das</p><p>medidas preventivas na forma de tutela inibitória, pois, conforme pre-</p><p>leciona Luiz Guilherme Marinoni (2004, p. 153), a mais importante das</p><p>tutelas específicas é aquela que se destina a impedir ou a remover o</p><p>ato contrário ao direito; nesse caso,</p><p>trata-se da tutela anterior ao dano, e que assim é capaz de dar</p><p>efetiva proteção ao direito, seja quando o ato contrário ao direito</p><p>ainda não foi praticado (tutela inibitória), seja quando o ato con-</p><p>trário ao direito já ocorreu, mas, diante de sua eficácia continua-</p><p>da, é preciso removê-lo para evitar a produção de danos (tutela</p><p>de remoção do ilícito).</p><p>Levando isso em consideração, em matéria de proteção dos direitos</p><p>da personalidade, o artigo 12 do Código Civil vigente dispõe que “pode-</p><p>-se exigir que cesse a ameaça, ou a lesão, a direito da personalidade, e</p><p>reclamar perdas e danos, sem prejuízo de outras sanções previstas em</p><p>lei” (BRASIL, 2002). Desse modo, a tutela dos dados pessoais não está</p><p>adstrita à efetiva ocorrência de dano.</p><p>adstrita: condicionada.</p><p>Glossário</p><p>132 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Portanto, em matéria de proteção dos dados pessoais, sob o prisma</p><p>classificatório e para salvaguarda de situações concretas, é possível cogi-</p><p>tar o emprego da tutela jurisdicional de natureza preventiva (inibitória),</p><p>visando simplesmente afastar práticas desconformes dos agentes de</p><p>tratamento. Um passo</p><p>adiante, em caso de consumação do ilícito ocasio-</p><p>nador de danos (por exemplo, vazamento de dados pessoais), pode-se</p><p>cogitar ainda da tutela específica em prol da remoção da ilicitude ou mi-</p><p>nimização do ato lesivo. Não sendo possível a hipótese da tutela jurisdi-</p><p>cional específica pela remoção do ilícito, ou simplesmente preferindo o</p><p>titular dos dados a via compensatória, resulta assegurada em favor dos</p><p>lesados essa modalidade ressarcitória pelo equivalente monetário.</p><p>Por fim, apesar de os instrumentos de tutela jurisdicional tra-</p><p>dicionalmente focarem na proteção dos interesses individuais, a</p><p>norma do artigo 22 da LGPD autoriza o emprego das ferramentas</p><p>de coletivização em prol da tutela jurisdicional dos dados pessoais.</p><p>Afinal de contas, conforme anotado por Rafael A. F. Zanatta (2019),</p><p>parece inexorável que o eixo da proteção de dados deixe de gra-</p><p>vitar no entorno do paradigma clássico do “controle dos fluxos de</p><p>dados”, para fins de abrir espaço ao uso crescente das ferramentas</p><p>e estruturas de tutela coletiva.</p><p>As leis de dados pessoais estão passando por uma transforma-</p><p>ção estrutural significativa. Inicialmente concebidas a partir de</p><p>uma moldura liberal clássica de ‘direitos individuais’ – o acesso</p><p>aos meus dados, a proteção dos meus direitos e a reparação indi-</p><p>vidual por danos –, a guinada dada pela General Data Protection</p><p>Regulation (GDPR) e por novas legislações, como a brasileira e</p><p>a indiana (ainda em fase de discussão), colocou em evidência a</p><p>necessidade de pensar a proteção de dados pessoais por uma</p><p>perspectiva de ‘direitos coletivos’ – a avaliação do impacto à co-</p><p>munidade, a proteção dos nossos direitos fundamentais e a repa-</p><p>ração coletiva por violações éticas e aos valores da sociedade.</p><p>(ZANATTA, 2019, p. 202, grifos do original)</p><p>A crítica é bastante válida, pois não se pode imaginar que os</p><p>titulares de dados pessoais tenham plena consciência de seus atos</p><p>ao abdicar de seus direitos em situações de tratamento e transfe-</p><p>rência massiva de dados pessoais, pois na maioria das vezes, nas</p><p>situações corriqueiras, eles não são cedidos, mas sim tomados. Por</p><p>isso, é absolutamente válida a previsão do artigo 22 da LGPD em</p><p>proveito da tutela jurisdicional coletiva.</p><p>Sobre os dados serem</p><p>tomados, Zanatta (2019,</p><p>p. 2020, grifos do original)</p><p>explica que “a maioria</p><p>dos dados que movem</p><p>a economia digital não</p><p>é cedida, como dados</p><p>cadastrais (nome, RG, CPF,</p><p>endereço, e-mail), mas</p><p>são dados tomados dos</p><p>dispositivos (device I.D.,</p><p>GPS, I.P.) ou são dados</p><p>inferidos (padrões de mo-</p><p>vimentação, definição de</p><p>atividade física/não física,</p><p>engajamento em ação de</p><p>consumo, emoção etc.”.</p><p>Saiba mais</p><p>Tutela jurisdicional da proteção de dados pessoais 133</p><p>6.2 Tutelas: ressarcitória, de remoção</p><p>do ilícito e inibitória Vídeo</p><p>Em matéria de tratamento, resulta claro que o titular dos dados</p><p>pessoais dispõe da prerrogativa de exigir adequação quanto ao uso de-</p><p>les. Ou seja, o interesse prático eventualmente perseguido pelo titular</p><p>dos dados pode se dar apenas em prol de assegurar as boas práticas</p><p>de governança, buscando propiciar a estrita observância e finalidade</p><p>do tratamento informado, na forma da política de armazenagem re-</p><p>passada pelo agente.</p><p>6.2.1 Tutela preventiva e tutela de remoção do ilícito</p><p>Como visto anteriormente, é possível cogitar as modalidades de tu-</p><p>telas ditas preventivas (ou inibitórias). Porém, em outras situações con-</p><p>cretas, o titular dos dados pode estar interessado apenas em zelar pela</p><p>atualização de suas informações coletadas e, caso isso não tenha sido</p><p>garantido nas vias extrajudiciais (com apelo ao encarregado de dados,</p><p>com os canais competentes etc.), é assegurada a chamada tutela jurisdi-</p><p>cional específica da obrigação. Portanto, o interesse prático perseguido</p><p>pelo titular de dados determinará a modalidade de tutela jurisdicional</p><p>aplicável ao caso concreto.</p><p>É certo que o artigo 18 da LGPD (BRASIL, 2018) assegura ao titular dos</p><p>dados pessoais a possibilidade de exigir do controlador: (i) a confirmação</p><p>da existência de tratamento; (ii) o acesso aos dados pessoais; (iii) a corre-</p><p>ção de informações incompletas, inexatas ou desatualizadas; (iv) anoni-</p><p>mização, bloqueio ou eliminação de dados desnecessários, excessivos ou</p><p>tratados em desconformidade com a lei; (v) portabilidade em prol de ou-</p><p>tro fornecedor de serviço ou produto; (vi) eliminação dos dados pessoais</p><p>tratados com o consentimento do titular; (vii) informação das entidades</p><p>públicas e privadas com as quais o controlador realizou compartilhamen-</p><p>to; (viii) informação sobre a possibilidade de não fornecimento do consen-</p><p>timento e consequências da negativa; e (ix) revogação do consentimento.</p><p>Portanto, resulta questionável se o acesso à justiça para efetivação de tais</p><p>direitos pressupõe ou não o exaurimento da via extrajudicial.</p><p>Dito de outra forma, cabe indagar se há interesse processual de agir</p><p>por parte do particular nos casos de judicialização direta das situações</p><p>nominadas anteriormente. Nota-se que, no caso específico do habeas</p><p>Sobre a tutela jurisdicional</p><p>específica da obrigação,</p><p>Tamer (2020, p. 217) expli-</p><p>ca: “que o titular de dado</p><p>pessoal tem o interesse</p><p>[...] de fazer valer judicial-</p><p>mente" o tratamento dos</p><p>dados:</p><p>• com finalidade</p><p>informada;</p><p>• adequado e compatível</p><p>com a finalidade.</p><p>• estritamente necessá-</p><p>rios (dados pessoais).</p><p>Além disso, há o direito</p><p>• à qualidade dos dados;</p><p>• à transparência;</p><p>• ao tratamento seguro</p><p>dos dados pessoais (se-</p><p>gurança e prevenção);</p><p>• à não utilização para</p><p>fins discriminatórios</p><p>ilícitos ou abusivos (não</p><p>discriminação); e</p><p>• à responsabilização e</p><p>prestação de con-</p><p>tas pelo agente de</p><p>tratamento.</p><p>Saiba mais</p><p>134 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>data, o enunciado 2 da súmula da jurisprudência dominante do STJ</p><p>consolidou o entendimento no sentido do seu não cabimento “se não</p><p>houve recusa de informações por parte da autoridade administrativa”</p><p>(BRASIL, 1990b). Em contrapartida, cabe a ressalva no sentido de que</p><p>a jurisprudência nacional consolidou inúmeras hipóteses de proteção</p><p>consumerista, dispensando um exame mais rigoroso do interesse pro-</p><p>cessual de agir (Código de Processo Civil, 2015, art. 17) em várias situa-</p><p>ções concretas de judicialização de direitos. Por isso, impõe-se atenção</p><p>ao padrão jurisprudencial que venha a se desenhar em proveito do</p><p>exercício dos direitos assegurados ao titular dos dados pessoais, com</p><p>a perquirição ou não do interesse processual de agir nos casos em que</p><p>o interessado não invocou o exercício de seus direitos diretamente pe-</p><p>rante o agente controlador (Lei n. 13.709/2018, art. 18).</p><p>6.2.2 Tutela ressarcitória em matéria de reparação</p><p>de danos e regime de responsabilidade civil</p><p>A partir das distinções prévias e classificações supracitadas envol-</p><p>vendo as diferentes formas de tutela jurisdicional, é possível concluir</p><p>que a Seção III (“Da Responsabilidade e do Ressarcimento de Da-</p><p>nos”) inserida no Capítulo VI (“Dos Agentes de Tratamento de Dados</p><p>Pessoais”) da Lei n. 13.709/2018 tratou apenas e tão somente da mo-</p><p>dalidade jurisdicional ressarcitória, corroborando o dever de reparação</p><p>de danos por parte do controlador ou operador que venha causar pre-</p><p>juízo a outrem, seja de índole patrimonial, seja de natureza moral, em</p><p>suas vertentes individual ou coletiva.</p><p>Art. 42. O controlador ou o operador que, em razão do exercício de atividade</p><p>de tratamento de dados pessoais, causar a outrem dano patrimonial, moral,</p><p>individual ou coletivo, em violação à legislação de proteção de dados pes-</p><p>soais, é obrigado a repará-lo.</p><p>§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:</p><p>I - o operador responde solidariamente pelos danos causados pelo tra-</p><p>tamento quando descumprir as obrigações da legislação de proteção de</p><p>dados ou quando não tiver seguido as instruções lícitas do controlador,</p><p>hipótese em que o operador equipara-se ao controlador, salvo nos casos de</p><p>exclusão previstos no art. 43 desta Lei;</p><p>II - os controladores que estiverem diretamente</p><p>envolvidos no tratamento</p><p>do qual decorreram danos ao titular dos dados respondem solidariamente,</p><p>salvo nos casos de exclusão previstos no art. 43 desta Lei. (BRASIL, 2018)</p><p>Tutela jurisdicional da proteção de dados pessoais 135</p><p>Oportuno salientar que o preceito do parágrafo 1º do artigo 42 da</p><p>LGPD instituiu regime de solidariedade passiva entre os agentes de tra-</p><p>tamento no tocante à responsabilidade pelos prejuízos ocasionados a</p><p>terceiros, fazendo-o com o propósito de assegurar efetiva indenização</p><p>em proveito do titular lesado que veio a sofrer dano patrimonial ou mo-</p><p>ral. Por sua vez, o parágrafo 4º do artigo 42 instituiu a via regressiva em</p><p>favor daquele agente que efetivamente veio a reparar o dano sofrido</p><p>pelo titular dos dados, assegurando-lhe o direito de regresso contra os</p><p>demais responsáveis.</p><p>Atenta-se, contudo, que a leitura do caput do artigo 42 da LGPD</p><p>não permite concluir aprioristicamente que a responsabilidade civil</p><p>do agente de tratamento ocorre na modalidade subjetiva ou objeti-</p><p>va. A ausência de indicação explícita no tratamento legal dispensado</p><p>à matéria tem sido objeto de crítica de diversos doutrinadores. No-</p><p>ta-se que, em determinados diplomas legais protetivos, o legislador</p><p>categoriza a responsabilidade objetiva com a expressão independen-</p><p>temente da existência de culpa (BRASIL, 1990a). Entretanto, mesmo</p><p>a despeito da ausência desse tipo de locução, o parágrafo único do</p><p>artigo 44 da LGPD parece sugerir hipótese de responsabilidade obje-</p><p>tiva do controlador ou do operador 3 . Por outro lado, Guedes e Mei-</p><p>reles (2019, p. 232-233) afirmam que a instituição de uma agenda de</p><p>cuidados variados a serem observados pelos agentes de tratamento</p><p>sugere a opção pela responsabilidade civil subjetiva:</p><p>tudo isso está a indicar que, na sistemática da lei, o modelo ado-</p><p>tado foi o da responsabilidade subjetiva, pelo menos como regra</p><p>geral. Afinal, por qual razão o legislador teria imposto tantos de-</p><p>veres e fixado um padrão de conduta se fosse para responsabi-</p><p>lizar os agentes, independentemente de terem esses agido ou</p><p>não com culpa?</p><p>Mas não se pode ignorar também que o artigo 45 da LGPD pre-</p><p>leciona que “as hipóteses de violação do direito do titular no âm-</p><p>bito das relações de consumo permanecem sujeitas às regras de</p><p>responsabilidade previstas na legislação pertinente” (BRASIL, 2018).</p><p>Ou seja, o dispositivo em questão chancela uma profunda conexão</p><p>entre a proteção dos dados pessoais e a confluência da legislação</p><p>consumerista, cujo liame é a defesa do consumidor. A norma em</p><p>questão desperta inclusive uma conexão direta com as hipóteses de</p><p>responsabilidade objetiva prescritas no Código de Defesa do Consu-</p><p>midor, como trazem Bessa e Nunes (2021, p. 670):</p><p>136 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>a LGPD em vários de seus dispositivos inspira-se claramente</p><p>no Código de Defesa do Consumidor. Além disso, remete à</p><p>Lei 8.078/1990 a disciplina relativa da responsabilidade civil</p><p>e respectivos aspectos processuais, quando a violação ao di-</p><p>reito do titular de dados ocorrer no ‘âmbito das relações de</p><p>consumo’.</p><p>No caso do parágrafo único do artigo 44 da LGPD, a norma</p><p>em comento preleciona que “responde pelos danos decorrentes</p><p>da violação da segurança dos dados o controlador ou o operador</p><p>que, ao deixar de adotar as medidas de segurança previstas no art.</p><p>46 desta Lei, der causa ao dano” (BRASIL, 2018). Ou seja, a norma</p><p>extraída do texto legal desse parágrafo único pode ser interpre-</p><p>tada no sentido de que, caso o agente de tratamento não adote</p><p>nenhum padrão de segurança, responderá objetivamente pelos</p><p>danos causados ao titular dos dados em hipóteses de vazamentos</p><p>e demais incidentes a que tenha dado causa. Porém, se o agente</p><p>de tratamento adotou eventuais medidas de segurança, a respon-</p><p>sabilidade civil deve ser perquirida na modalidade subjetiva, com o</p><p>sopesamento das circunstâncias dos incisos do artigo 44 da LGPD,</p><p>de modo a se perquirir inclusive o resultado esperado e os riscos</p><p>a serem protegidos, as técnicas de tratamento disponíveis à época</p><p>de sua realização etc.</p><p>Dito de outra forma, é de se esperar que todo e qualquer agente de</p><p>tratamento esteja comprometido com a segurança dos dados pessoais</p><p>coletados. No entanto, é absolutamente desproporcional exigir que pe-</p><p>quenos comércios disponham de padrões de segurança cibernéticos e</p><p>medidas protetivas compatíveis com aqueles que, por exemplo, fazem</p><p>captação massiva de dados. Uma vez demonstrado que o agente de</p><p>tratamento adotou padrões mínimos de segurança, a responsabilidade</p><p>civil deve ser aquilatada em sua vertente subjetiva.</p><p>Por fim, nota-se que as normas extraídas da LGPD, de caráter es-</p><p>pecial, prevalecem em relação ao regime geral de responsabilidade</p><p>subjetiva imposta pelo artigo 186 do Código Civil brasileiro. Portanto,</p><p>conclui-se que a LGPD prescreve hipóteses de responsabilidade civil</p><p>subjetiva que, por sua vez, convivem com situações pontuais de res-</p><p>ponsabilidade objetiva, fundada sobre o próprio risco (o que, aliás, foi</p><p>referido pelo inciso II do artigo 44 do referido diploma legal).</p><p>aquilatada: "que ou o</p><p>que avalia, aprecia, atribui</p><p>valor a (alguém ou algo)"</p><p>(HOUAISS, 2009).</p><p>Glossário</p><p>Tutela jurisdicional da proteção de dados pessoais 137</p><p>6.2.3 Questões práticas atinentes à tutela jurisdicional</p><p>Em matéria de tutela ressarcitória pelo equivalente monetário, é</p><p>válido acrescentar que o artigo 43 da LGPD versa sobre as hipóteses</p><p>excludentes de ilicitude, a fim de excluir a responsabilidade civil dos</p><p>agentes de tratamento nos casos ali assinalados:</p><p>I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;</p><p>II - que, embora tenham realizado o tratamento de dados pessoais que lhes</p><p>é atribuído, não houve violação à legislação de proteção de dados; ou</p><p>III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de</p><p>terceiro. (BRASIL, 2018)</p><p>O exame atento desse dispositivo legal permite antever que o</p><p>inciso I do artigo 43 da LGPD envolve verdadeira hipótese de nega-</p><p>ção de autoria, exigindo que o agente de tratamento demonstre que</p><p>não realizou o tratamento de dados pessoais que ensejou ocorrên-</p><p>cia de dano patrimonial ou moral. O inciso II do mesmo artigo diz</p><p>respeito às situações em que o tratamento de dados pessoais não</p><p>é negado pelo agente, aplicando-se aos casos em que o suposto in-</p><p>frator apresentará sua defesa alegando não ter ocorrido violação à</p><p>legislação de proteção de dados. Por último, o inciso III do artigo 43</p><p>da LGPD envolve os casos em que o agente de tratamento invocará</p><p>defesas indiretas.</p><p>Em termos práticos, essa terceira e última hipótese versada pelo</p><p>inciso III pode envolver também a alegação de ilegitimidade passiva ad</p><p>causam. Isto é, a situação fática pode exigir que o agente de tratamento</p><p>invoque sua ilegitimidade passiva para figurar em determinada deman-</p><p>da individual ou coletiva. Porém, ao invocar sua ilegitimidade passiva ad</p><p>causam suscitando responsabilidade de terceiros, convém atentar para</p><p>o disposto nos artigos 338 e 339 do Código de Processo Civil (BRASIL,</p><p>2015), que assinalam competir ao interessado, sempre que possível,</p><p>indicar o verdadeiro legitimado para responder pelos danos invocados</p><p>pelo particular, sob pena de incidência das cominações processuais do</p><p>Código de Processo Civil (CPC).</p><p>Além disso, em prol de uma tutela jurisdicional adequada, chama</p><p>atenção ainda a regra do parágrafo 2º do artigo 42 da LGPD, ao dis-</p><p>Você pode ler na íntegra</p><p>os artigos 338 e 339 do</p><p>CPC por meio do seguinte</p><p>link: http://www.planalto.</p><p>gov.br/ccivil_03/_ato2015-</p><p>2018/2015/lei/l13105.</p><p>htm. Acesso em: 14 maio</p><p>2021.</p><p>Leitura</p><p>http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/lei/l13105.htm</p><p>http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/lei/l13105.htm</p><p>http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/lei/l13105.htm</p><p>http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/lei/l13105.htm</p><p>138 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>por que “o juiz, no processo civil, poderá</p><p>inverter o ônus da prova</p><p>a favor do titular dos dados quando, a seu juízo, for verossímil a</p><p>alegação, houver hipossuficiência para fins de produção de prova</p><p>ou quando a produção de prova pelo titular resultar-lhe excessiva-</p><p>mente onerosa” (BRASIL, 2018). Ainda que a locução do texto legal</p><p>faça menção à inversão do ônus da prova em favor do titular dos da-</p><p>dos, parece aceitável que isso também ocorra no caso do manuseio</p><p>das tutelas coletivas, em que a legitimação ativa é extraordinária ou</p><p>anômala. Todavia, em qualquer das hipóteses, a inversão do ônus</p><p>probatório fica sujeita à demonstração da hipossuficiência para fins</p><p>de produção da prova, atrelada à verossimilhança das alegações.</p><p>Cabe distinguir a situação extraída do parágrafo 2º do artigo 42</p><p>da LGPD com a hipótese dedutível do parágrafo 2º do artigo 8º e,</p><p>ainda, com o disposto no caput do artigo 43 do mesmo diploma le-</p><p>gal, pois, nesses dois casos, a inversão probatória é automática e</p><p>decorre de disposição legal (ope legis). Para as demais hipóteses que</p><p>não estejam em discussão o ônus da prova acerca da obtenção do</p><p>consentimento do titular dos dados (§ 2º do art. 8º da LGPD) ou de</p><p>excludentes de responsabilidade civil (art. 43 da LGPD), a inversão</p><p>será feita por meio de decisão judicial expressa (ope judicis). Com</p><p>relação a esse tema, acompanhando Tamer (2020, p. 224), a práxis</p><p>processual tem revelado “a inversão do ônus da prova na maioria</p><p>dos casos que envolvem relações de consumo. Embora nem todo</p><p>tratamento de dados pessoais tenha tal característica, é natural e es-</p><p>perado que o processamento de demandas dessa natureza replique</p><p>modelos estabelecidos historicamente no País”.</p><p>Segundo Bessa e Nunes</p><p>(2021, p. 668): “A LGPD</p><p>não se limita a prever</p><p>apenas a inversão ope</p><p>judicis em seu texto. O</p><p>art. 8º, § 2º, e o art. 43,</p><p>caput, e incisos, tratam de</p><p>hipóteses de inversão ope</p><p>legis , ou seja, decor-</p><p>rente de determinação</p><p>legal. Nesses casos, a</p><p>inversão/distribuição está</p><p>previamente definida</p><p>pela lei: sua incidência é</p><p>automática. Não cabe ao</p><p>juiz a análise da presença</p><p>ou não de requisitos”</p><p>Importante</p><p>6.3 Tutela coletiva em matéria</p><p>de reparação de danos Vídeo</p><p>Como já foi visto, o artigo 22 da LGPD remete ao exame de outros</p><p>diplomas legais responsáveis por assegurar a tutela dos direitos me-</p><p>taindividuais. Conforme anotado por Bessa e Nunes (2021, p. 672),</p><p>no Brasil, a preocupação normativa com a tutela dos direitos co-</p><p>letivos ocorre principalmente a partir da década de 1980, quando</p><p>se constata especial atenção do legislador – constituinte e ordi-</p><p>nário – na instituição e disciplina de instrumentos processuais</p><p>para tutela dos direitos metaindividuais (processo civil cole-</p><p>tivo). A par de importantes referências constitucionais (art. 5º,</p><p>Tutela jurisdicional da proteção de dados pessoais 139</p><p>LXX, e art. 129, III e § 1º), a preocupação com a proteção judicial</p><p>dos direitos coletivos (em sentido amplo) refletiu-se na edição</p><p>de diversos diplomas legais, entre os quais: Lei 4.717/1965 (Lei</p><p>da Ação Popular), Lei 7.347/1965 (Lei da Ação Civil Pública) e a</p><p>Lei 8.078/1990 (Código de Defesa do Consumidor).</p><p>A conjugação desses diplomas legais compõe o que se convencio-</p><p>nou nominar como microssistema de tutela coletiva brasileira. Portanto,</p><p>apesar de o titular dos dados pessoais dispor de legitimidade ativa ad</p><p>causam para exercício de seus direitos individuais, figurando o agente</p><p>de tratamento (controlador ou operador) como legitimado passivo em</p><p>demandas intersubjetivas, não está afastada a possibilidade de empre-</p><p>go das técnicas de coletivização, com o emprego da legitimidade ex-</p><p>traordinária ou anômala conferida legalmente a certos legitimados. Em</p><p>matéria de tutela coletiva, o artigo 5º da Lei n. 7.347/1985 dispõe que:</p><p>Art. 5o Têm legitimidade para propor a ação principal e a ação</p><p>cautelar:</p><p>I - o Ministério Público;</p><p>II - a Defensoria Pública;</p><p>III - a União, os Estados, o Distrito Federal e os Municípios;</p><p>IV - a autarquia, empresa pública, fundação ou sociedade de eco-</p><p>nomia mista;</p><p>V - a associação que, concomitantemente:</p><p>a) esteja constituída há pelo menos 1 (um) ano nos termos da</p><p>lei civil;</p><p>b) inclua, entre suas finalidades institucionais, a proteção ao</p><p>patrimônio público e social, ao meio ambiente, ao con-</p><p>sumidor, à ordem econômica, à livre concorrência, aos</p><p>direitos de grupos raciais, étnicos ou religiosos ou ao pa-</p><p>trimônio artístico, estético, histórico, turístico e paisagísti-</p><p>co. (BRASIL, 1985)</p><p>Nesse aspecto sobressai a legitimidade conferida ao Ministério Pú-</p><p>blico e, ainda, às associações civis de defesa consumerista e proteção</p><p>de dado, que poderão assumir, concomitantemente, um papel prota-</p><p>gônico numa agenda de tutela coletiva dos dados pessoais.</p><p>Em tal hipótese de legitimação extraordinária, reafirma-se aqui a</p><p>possibilidade de utilização das diferentes modalidades de tutela juris-</p><p>dicional, assegurando aos legitimados extraordinários a prerrogativa</p><p>de se valer de tutelas preventivas, tutelas de remoção do ilícito e, por</p><p>fim, a vertente ressarcitória, eis que não estão descartadas as hipó-</p><p>teses de danos difusos ou coletivos stricto sensu, como afirma Tamer</p><p>(2020, p. 219):</p><p>Sobre a legitimidade con-</p><p>ferida ao Ministério Públi-</p><p>co (MP), Zanatta (2019, p.</p><p>206) ressalta: “É evidente</p><p>que tanto o MP quanto as</p><p>associações civis poderão</p><p>ajuizar ações civis públicas</p><p>para proteção de dados</p><p>pessoais para proteção de</p><p>direitos difusos, como já</p><p>tem ocorrido em diversos</p><p>exemplos, como no caso</p><p>da pioneira ação do Insti-</p><p>tuto Brasileiro de Defesa</p><p>do Consumidor contra</p><p>a ViaQuatro (caso das</p><p>Portas Interativas Digitais,</p><p>que não será aprofunda-</p><p>do aqui) (RINALDI, 2018)</p><p>ou na ação do MPDFT</p><p>contra o Banco Inter</p><p>(incidente de segurança)</p><p>(PAYÃO, 2018)".</p><p>Saiba mais</p><p>140 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>não se ignora a possibilidade de caracterização de danos difusos</p><p>ou coletivos stricto sensu em decorrência do tratamento de dados</p><p>pessoais. Os direitos difusos como direitos de indeterminação</p><p>absoluta dos sujeitos (não têm titular individual e a ligação entre</p><p>os vários titulares difusos decorre de mera circunstância de fato)</p><p>e indivisíveis (não podem ser satisfeitos nem lesados senão em</p><p>forma que afete a todos os possíveis titulares), e os direitos co-</p><p>letivos stricto sensu como de determinação relativa dos titulares</p><p>(não têm titular individual e a ligação entre os vários titulares co-</p><p>letivos decorre de uma relação jurídica-base) e indivisíveis.</p><p>Não por outra razão, o parágrafo 3º do artigo 42 da LGPD dispõe</p><p>que “as ações de reparação por danos coletivos que tenham por objeto</p><p>a responsabilização nos termos do caput deste artigo podem ser exer-</p><p>cidas coletivamente em juízo, observado o disposto na legislação perti-</p><p>nente” (BRASIL, 2018).</p><p>Conclui-se, assim, com o acompanhamento de Zanatta (2019,</p><p>p. 205), que “a LGPD absorveu parte da tradição de tutela coletiva no</p><p>Brasil, abrindo espaço para que a proteção dos direitos assegurados na</p><p>legislação seja feita de forma coletiva, ao lado das múltiplas formas de</p><p>proteção individual dos direitos”.</p><p>Com efeito, as hipóteses de tratamento massivo de dados conver-</p><p>gem, nesse aspecto, com a atuação jurisdicional por meio de processos</p><p>coletivos. Sem prejuízo de os titulares de dados invocarem tutelas ju-</p><p>risdicionais de natureza individual, as ações coletivas podem se revelar</p><p>ferramentas importantes para a proteção dos cidadãos, contribuindo,</p><p>ainda, para o desafogamento do Poder Judiciário.</p><p>CONSIDERAÇÕES FINAIS</p><p>Como é de se observar, a legislação processual brasileira dispõe de</p><p>remédios eficazes em prol da tutela da proteção de dados, que, por sua</p><p>vez, estão em conformidade com o princípio constitucional da inafasta-</p><p>bilidade da tutela jurisdicional, segundo artigo 5º, inciso XXXV, da Consti-</p><p>tuição (1988).</p><p>Em matéria de tratamento de dados, resta claro que o titular dispõe</p><p>da prerrogativa de exigir a adequação em seu uso e manuseio, fazendo-o</p><p>pelas vias extrajudiciais, com apelo ao encarregado de dados,</p><p>https://stf.jusbrasil.com.br/jurisprudencia/25253546/agreg-no-recurso-extraordinario-re-589257-df-stf/inteiro-teor-136638138</p><p>https://www.revistas.usp.br/rfdusp/article/view/66387</p><p>https://jus.com.br/artigos/14810/habeas-data-instrumento-constitucional-em-defesa-da-cidadania</p><p>https://jus.com.br/artigos/14810/habeas-data-instrumento-constitucional-em-defesa-da-cidadania</p><p>https://jus.com.br/artigos/14810/habeas-data-instrumento-constitucional-em-defesa-da-cidadania</p><p>Gabarito 143</p><p>GABARITO</p><p>1 Privacidade na Sociedade da Informação</p><p>1. Não. O direito à proteção de dados pessoais deriva da funcionalização</p><p>da proteção da privacidade. Nesse sentido, a proteção de dados</p><p>contempla os pressupostos intrínsecos da privacidade, com autonomia</p><p>própria, relacionando os interesses ligados à personalidade aos</p><p>valores e direitos fundamentais, caracterizando um novo direito da</p><p>personalidade.</p><p>2. Muito embora a concepção desenvolvida pelos autores citados tenha</p><p>impacto na moderna doutrina do direito à privacidade, pode-se</p><p>considerá-la superada. Isso porque, o conceito de privacidade por eles</p><p>articulado parte da perspectiva do direito de estar só, considerando</p><p>em um contexto individualista. Tal concepção, no entanto, pode ser</p><p>entendida como ponto de partida do direito à privacidade como</p><p>aspecto fundamental ao desenvolvimento da personalidade humana.</p><p>O amadurecimento do conceito, pautado em grande medida pela</p><p>decisão do Supremo Tribunal Alemão de 1983, está marcado pelo</p><p>respeito à liberdade de escolhas pessoais, no sentido de conferir ao</p><p>titular o controle sobre a determinação de suas informações pessoais,</p><p>por meio de mecanismos que permitam preservar suas escolhas.</p><p>Portanto, o conceito de privacidade apoiava-se no eixo “pessoa-</p><p>informação-segredo”, mas, essa compreensão evoluiu para a visão em</p><p>torno da diretriz “pessoa-informação-circulação-controle”.</p><p>3. Sim, a revolução tecnológica experimentada nas últimas décadas</p><p>intensificou o processamento e o fluxo de informações e de dados</p><p>pessoais. Se por um lado as tecnologias disponíveis hoje permitem</p><p>o acesso facilitado à informação a baixo custo e de maneira rápida</p><p>e eficiente, por outro, podem criar situações de vulnerabilidade</p><p>envolvendo os titulares de dados pessoais.</p><p>4. A expressão cunhada pelo matemático britânico Clive Humby enfatiza</p><p>o poder dos dados para a economia atual, inserida no contexto da</p><p>sociedade da informação. Os dados constituem ativos valiosos à</p><p>medida que revelam informações que permitem o direcionamento</p><p>das estratégias de negócio com maior eficiência e acertabilidade.</p><p>O direcionamento da publicidade, as estratégias de negócios,</p><p>o mapeamento de perfil do público-alvo, a evitação de gargalos</p><p>144 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>decorrentes de processos ineficazes, a previsibilidade de tendências,</p><p>entre outras atividades, podem ser potencializadas por meio da análise</p><p>de dados. A expressão “data is the new oil” indica, portanto, a relevância</p><p>econômica dos dados na economia atual como valor estratégico para</p><p>as empresas.</p><p>2 Antecedentes normativos, Direito comparado e</p><p>marcos legais</p><p>1. A Diretiva 95/46/CE, conforme a nomenclatura original sugere, traçava</p><p>as diretrizes quanto ao tema de proteção de dados pessoais que</p><p>deveriam ser internalizadas pelos Estados-membros da União, a</p><p>quem competia legislar sobre o tema internamente, incorporando</p><p>as orientações da Diretiva comunitária, de modo que a efetivação da</p><p>normativa interna dependia da atividade legislativa de cada Estado-</p><p>-membro, possibilitando que diferentes níveis de proteção de dados</p><p>pessoais fossem adotados. O Regulamento Europeu de Proteção</p><p>de Dados (GDPR), que revogou a Diretiva 95, diferentemente, tem</p><p>aplicação direta, não dependendo de transposição. Assim, propõe</p><p>a uniformização do direito à proteção de dados pessoais em toda</p><p>Europa, orientando a proteção de dados de modo coerente e com nível</p><p>equivalente de proteção nos países que integram o bloco europeu.</p><p>2. Sim. As regras contidas no Regulamento Europeu de Proteção de Dados</p><p>não excluem os direitos dos Estados-membros de dirimir acerca de</p><p>situações específicas. Os Estados-membros podem emitir leis setoriais</p><p>quanto a situações específicas, apontando regras próprias no que diz</p><p>respeito ao tratamento de categorias especiais de dados pessoais,</p><p>a exemplo dos dados considerados sensíveis. Não se pode perder</p><p>de vista que os direitos fundamentais comportam expansão, sendo</p><p>aceitável os Estados-membros estabelecerem marcos normativos</p><p>ainda mais protetivos quanto a informações de dados pessoais. Tal</p><p>previsão assegura um nível de proteção equiparado e coerente às</p><p>soluções legislativas adotadas pelos Estados-membros, evitando que</p><p>eventuais divergências constituam óbice à livre circulação de dados</p><p>pessoais e garantindo a segurança jurídica no mercado europeu.</p><p>3. Em conformidade com o artigo 3º do GDPR, o Regulamento é aplicável</p><p>quando o “tratamento de dados pessoais efetuado no contexto das</p><p>atividades de um estabelecimento responsável pelo tratamento ou de</p><p>um subcontratante situado no território da União, independentemente</p><p>de o tratamento ocorrer dentro ou fora da União” (COMISSÃO</p><p>Gabarito 145</p><p>EUROPEIA, 2016a). O critério considerado, portanto, corresponde ao</p><p>exercício efetivo e real da atividade no contexto da União Europeia,</p><p>independentemente do local de processamento dos dados. Aplica-</p><p>se o Regulamento quando existe o tratamento de dados pessoais</p><p>de titulares residentes no território da União Europeia realizado por</p><p>um responsável ou subcontratante não estabelecido em território</p><p>europeu, ou quando as atividades de tratamento estejam relacionadas</p><p>à oferta de bens ou serviços a titulares de dados na União Europeia.</p><p>Caso sejam oferecidos bens e serviços a titulares de dados que se</p><p>encontrem fisicamente no território da União Europeia, ocorre a</p><p>incidência do GDPR.</p><p>3 Lei Geral de Proteção de Dados</p><p>1. A toda pessoa natural ou jurídica que realize qualquer operação de</p><p>tratamento de dados pessoais (LGPD, art. 3º); pessoa jurídica de direito</p><p>público ou de direito privado. Assim, independente do meio em que</p><p>ocorra o tratamento de dados (se manual ou eletrônico) e do país</p><p>em que esteja localizada a sede ou que estejam localizados os dados,</p><p>desde que a operação de tratamento seja realizada em território</p><p>nacional, contanto que a atividade de tratamento tenha por objetivo</p><p>a oferta ou o fornecimento de bens ou serviços ou o tratamento de</p><p>dados de indivíduos localizados no território nacional, ou os dados</p><p>pessoais objeto do tratamento tenham sido coletados em território</p><p>nacional.</p><p>2. Controlador corresponde à pessoa natural ou jurídica a quem compete</p><p>as decisões referentes ao tratamento de dados pessoais, a quem a lei</p><p>impõe deveres e responsabilidades. Já o operador pode ser identificado</p><p>como a pessoa natural ou jurídica que realize o tratamento de dados</p><p>pessoais em nome do controlador, segundo as instruções fornecidas</p><p>por ele, mediante a observância das próprias instruções e das normas</p><p>de regência sobre a matéria, sem ingerência para realizar qualquer</p><p>operação diversa daquela que lhe foi solicitada.</p><p>3. No contexto da LGPD, para que seja válido, o consentimento deve ser</p><p>livre, informado e inequívoco. O titular de dados deve ser livre para</p><p>decidir acerca do tratamento de suas informações pessoais, livre de</p><p>qualquer vício de consentimento. Além disso, precisa estar informado,</p><p>no sentido de que o titular de dados, no momento de sua outorga, deve</p><p>conhecer sobre o que está consentido, isto é, devem ser esclarecidas</p><p>as características do tratamento dispensado às suas informções</p><p>146 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>pessoais, bem como a finalidade para a qual está orientado. Por fim,</p><p>deve ser inequívoco, de modo que a manifestação de vontade deve ser</p><p>expressa de maneira clara e inequívoca.</p><p>4 Autoridade Nacional de Proteção de Dados e as</p><p>sanções legais</p><p>1. A missão institucional da ANPD é assegurar a mais ampla e correta</p><p>observância da</p><p>LGPD no Brasil e, nessa medida, garantir a devida</p><p>proteção aos direitos fundamentais de liberdade, privacidade e livre</p><p>desenvolvimento da personalidade da pessoa natural.</p><p>Será essa Autoridade quem fará a orientação, a fiscalização e a</p><p>aplicação de sanções relacionadas à proteção da privacidade de</p><p>dados pessoais. Como agente regulador do tema, é imprescindível</p><p>que tenha independência e autonomia, pois terá fundamental papel</p><p>no desenvolvimento da Lei Geral de Proteção de Dados Pessoais,</p><p>possibilitando, assim, que o Brasil alcance um patamar elevado de</p><p>proteção aos direitos humanos e de desenvolvimento enquanto nação.</p><p>2. Sim. A ANPD deve se articular com outras entidades e órgãos públicos</p><p>a fim de garantir o cumprimento de sua missão institucional. A LGPD</p><p>determina que a autoridade e os órgãos e as entidades públicas</p><p>responsáveis por regulamentar setores específicos precisarão atuar</p><p>em coordenação, objetivando uma maior eficiência de atuação nos</p><p>setores regulados.</p><p>A Autoridade Nacional de Proteção de Dados deve, como dispõe o artigo</p><p>55-J, inciso XXI, “comunicar às autoridades competentes as infrações</p><p>penais das quais tiver conhecimento” (BRASIL, 2018). É importante</p><p>destacar também que, como dispõe o artigo 55-K: “a aplicação das</p><p>sanções previstas nesta Lei compete exclusivamente à ANPD, e suas</p><p>competências prevalecerão, no que se refere à proteção de dados</p><p>pessoais, sobre as competências correlatas de outras entidades ou</p><p>órgãos da administração pública” (BRASIL, 2018).</p><p>3. Sim. Há necessidade de conciliação direta entre controlador e titular</p><p>sobre os vazamentos individuais ou os acessos não autorizados, para</p><p>somente então, caso não haja acordo, sujeitar-se o controlador à</p><p>aplicação das penalidades administrativas. Tal orientação encontra-</p><p>se prevista dentre as competências da ANPD no sentido de que esta</p><p>deverá, como dispõe o artigo 55- J, inciso V, “apreciar petições de titular</p><p>contra controlador após comprovada pelo titular a apresentação de</p><p>reclamação ao controlador não solucionada no prazo estabelecido em</p><p>regulamentação” (BRASIL, 2018).</p><p>Gabarito 147</p><p>5 Proteção de dados pessoais e governança</p><p>corporativa</p><p>1. O sistema de compliance está estruturado em torno do tripé prevenção,</p><p>detecção e punição. O seu objetivo principal é a prevenção, voltada à</p><p>evitação de procedimentos incorretos ou ilícitos, de modo a prevenir</p><p>que algo errado venha a ocorrer, mas, quando isso não for possível,</p><p>que seja possível sua detecção e correção. A detecção das condutas</p><p>desvirtuadas e a forma como a organização responde a tais incidentes</p><p>são fundamentais para a efetividade do sistema.</p><p>2. O apoio da alta administração é fundamental para o sucesso de</p><p>qualquer programa de integridade. O posicionamento e a liderança</p><p>conferem credibilidade ao programa de integridade que se pretende</p><p>implementar e é crucial para reforçar uma cultura organizacional</p><p>acorde com os valores da organização. Por isso, a orientação quanto à</p><p>adequação dos processos internos e implementação das boas práticas</p><p>adotadas ocorre de cima para baixo (top down).</p><p>Quanto ao tema da proteção de dados, o engajamento da alta</p><p>administração no projeto de adequação desenvolvido reflete os</p><p>valores considerados pela organização e seu comprometimento com a</p><p>proteção dos dados pessoais nas atividades de tratamento que realiza,</p><p>sendo fundamental para o sucesso do projeto e para a efetivação das</p><p>soluções propostas.</p><p>3. O inciso I do artigo 50 da LGPD (BRASIL, 2018) estabelece que um</p><p>programa de governança em privacidade deverá contemplar no</p><p>mínimo: i) demonstrar o comprometimento do controlador em adotar</p><p>processos e políticas internas que assegurem o cumprimento, de</p><p>modo abrangente, de normas e boas práticas relativas à proteção de</p><p>dados pessoais; ii) ser aplicável a todo o conjunto de dados pessoais</p><p>que estejam sob seu controle, independentemente do modo como se</p><p>realizou sua coleta; iii) ser adaptado à estrutura, à escala e ao volume</p><p>de suas operações, bem como à sensibilidade dos dados tratados; iv)</p><p>estabelecer políticas e salvaguardas adequadas com base em processo</p><p>de avaliação sistemática de impactos e riscos à privacidade; v) ter o</p><p>objetivo de estabelecer relação de confiança com o titular, por meio</p><p>de atuação transparente e que assegure mecanismos de participação</p><p>do titular; vi) estar integrado a sua estrutura geral de governança e</p><p>estabelecer e aplicar mecanismos de supervisão internos e externos;</p><p>vii) contar com planos de resposta a incidentes e remediação; e (viii) ser</p><p>148 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>a atualizado constantemente com substrato em informações obtidas</p><p>com base em monitoramento contínuo e em avaliações periódicas.</p><p>Não há modelo rígido a ser seguido, porém, para que efetivo, a</p><p>empresa deverá ser capaz de demonstrar a efetividade do programa</p><p>implementado, em especial quando questionada pela Autoridade</p><p>Nacional de Proteção de Dados.</p><p>6 Tutela jurisdicional da proteção de dados pessoais</p><p>1. A matéria é controversa. Parece válido afirmar que a LGPD prescreve</p><p>hipóteses de responsabilidade civil subjetiva para os atos praticados</p><p>pelos agentes de tratamento de dados que, por sua vez, convivem</p><p>com situações pontuais de responsabilidade objetiva, fundada sobre</p><p>o próprio risco (o que, aliás, foi referido pelo inciso II do artigo 44 do</p><p>referido diploma legal).</p><p>2. Os diversos legitimados estão aptos à propositura de ações coletivas</p><p>que possuam o mesmo objeto. Assim, por exemplo, tanto o MP quanto</p><p>as associações civis poderão ajuizar ações civis públicas para proteção</p><p>de direitos difusos em matéria de proteção de dados pessoais.</p><p>3. Não. Em vários de seus dispositivos, a LGPD sugere ter buscado</p><p>inspiração no Código de Defesa do Consumidor. Além disso, a Lei</p><p>Geral de Proteção de Dados reporta-se à Lei n. 8.078/1990 em matéria</p><p>de responsabilidade civil e, ainda, no tocante a determinadas questões</p><p>processuais. Por exemplo, o artigo 45 da LGPD preleciona que “as</p><p>hipóteses de violação do direito do titular no âmbito das relações</p><p>de consumo permanecem sujeitas às regras de responsabilidade</p><p>previstas na legislação pertinente” (BRASIL, 2018).</p><p>CARREGANDO...</p><p>SANDRO M KOZIKOSKI</p><p>ANNE CAROLINA STIPP AMADOR KOZIKOSKI</p><p>RAFAELA VIALLE STROBEL DANTAS</p><p>Código Logístico</p><p>59865</p><p>ISBN 978-65-5821-029-0</p><p>9 7 8 6 5 5 8 2 1 0 2 9 0</p><p>LGPD -</p><p>Lei Geral de Proteção de Dados Pessoais</p><p>SANDRO M</p><p>KOZIKOSKI / ANNE CAROLINA STIPP AM</p><p>ADOR KOZIKOSKI / RAFAELA VIALLE STROBEL DANTAS</p><p>LGPD</p><p>LEI GERAL DE PROTEÇÃO</p><p>de dados pessoais</p><p>A primeira era entendida como um desdobramento da</p><p>segunda. Porém, o conceito de proteção de dados não está limitado</p><p>a um aspecto do de privacidade, consolidando-se como direito fun-</p><p>damental. No Brasil, no momento de redação deste texto (em 2021),</p><p>está em tramitação o Projeto de Emenda à Constituição para inserir,</p><p>no bojo do artigo 5º da Constituição da República, a proteção de da-</p><p>dos pessoais. Portanto, ainda que não formalmente inserido no texto</p><p>constitucional no rol dos direitos fundamentais, o direito à proteção de</p><p>dados pessoais alcança status constitucional.</p><p>O recorte dado pela sentença do Tribunal Alemão de 1983 também</p><p>apontava o desenrolar da tecnologia informática utilizada no processa-</p><p>mento de dados como fator determinante a ser considerado, uma vez</p><p>que, conforme dito anteriormente, o desenvolvimento tecnológico au-</p><p>menta significativa e exponencialmente a potencialidade dos danos</p><p>eventualmente causados à personalidade.</p><p>Nesse sentido, cumpre observar que, em todos os momentos em</p><p>que há um avanço de uma revolução industrial, há um desafio notável</p><p>de privacidade, porque as ferramentas se intensificam. Atualmente, vi-</p><p>ve-se sob os influxos de novos saltos tecnológicos, com o surgimento</p><p>de modernas ferramentas de gestão de dados e, por essa razão, novos</p><p>desafios se apresentam. Em caráter exemplificativo, a disseminação da</p><p>inteligência artificial em diferentes processos é um fator que potencia-</p><p>liza o tratamento massivo de informações, trazendo a necessidade de</p><p>regulação de alguns de seus aspectos.</p><p>A ampliação do conceito de privacidade ocorreu, em grande parte,</p><p>em conjunto com o avanço da tecnologia. A evolução das formas de</p><p>divulgação e apreensão de dados pessoais desafiou o mais profundo</p><p>aspecto da privacidade. Com ferramentas mais modernas, que permi-</p><p>tem a maior capacidade computacional de armazenamento e o livre</p><p>fluxo dos dados (free data flow), a quantidade de informação passível</p><p>de ser armazenada por terceiros em bancos de dados digitais cresceu</p><p>exponencialmente, de modo que, segundo Queiroz (2019), os dados</p><p>não são mais necessariamente íntimos ou sigilosos, mas sim pessoais.</p><p>Nesse contexto, é possível entender o direito da privacidade articula-</p><p>do com base nas informações pessoais em posse de terceiros, de modo</p><p>a ter o controle sobre os dados, impedindo a circulação indesejada.</p><p>Segundo Espiñeira (2021),</p><p>a PEC n. 77/2019, de ini-</p><p>ciativa do Senado Federal,</p><p>propõe acrescentar o</p><p>inciso XII-A ao artigo 5º, e</p><p>o inciso XXX ao artigo 22</p><p>da Constituição Federal.</p><p>A intenção é incluir a pro-</p><p>teção de dados pessoais</p><p>entre os direitos funda-</p><p>mentais do cidadão e fixar</p><p>a competência privativa</p><p>da União para legislar</p><p>sobre a matéria.</p><p>Para conhecer mais sobre</p><p>essa proposta, visite o</p><p>portal do Senado Federal.</p><p>Disponível em: https://www25.</p><p>senado.leg.br/web/atividade/</p><p>materias/-/materia/136803. Acesso</p><p>em: 14 maio 2021.</p><p>Saiba mais</p><p>https://www25.senado.leg.br/web/atividade/materias/-/materia/136803</p><p>https://www25.senado.leg.br/web/atividade/materias/-/materia/136803</p><p>https://www25.senado.leg.br/web/atividade/materias/-/materia/136803</p><p>Privacidade na Sociedade da Informação 19</p><p>O direito à privacidade, entendido inicialmente, assim como propos-</p><p>to por Warren e Brandeis (1890), como o direito de ser deixado só, está</p><p>superado. Assim, pode-se afirmar contemporaneamente que o ama-</p><p>durecimento do conceito, pautado em grande medida pela decisão do</p><p>Supremo Tribunal alemão referida, não é mais visto somente como di-</p><p>reito de não ser molestado, uma vez que também conduz ao respeito à</p><p>liberdade de escolhas pessoais de caráter existencial, dando ao titular</p><p>o controle sobre a determinação de seus dados privados.</p><p>Nesse sentido, três concepções diferentes sobre o direito à privaci-</p><p>dade merecem ser reportadas:</p><p>• o direito de ser deixado só (the right of privacy), concepção indivi-</p><p>dualista original do conceito de privacidade, que remete ao ideal</p><p>burguês;</p><p>• o direito de ter controle sobre a circulação de seus dados pes-</p><p>soais, isto é, a autodeterminação informativa, estabelecendo</p><p>prerrogativas ao titular dos dados pessoais (acesso, correção,</p><p>compartilhamento e exclusão);</p><p>• o direito à liberdade das escolhas pessoais de caráter existencial,</p><p>representando a ligação entre a autonomia existencial do indiví-</p><p>duo e a construção de sua identidade pessoal por meio da prote-</p><p>ção de seus dados sensíveis (dignidade).</p><p>Vê-se, portanto, que o conceito de privacidade evoluiu nas úl-</p><p>timas décadas, incorporando importantes mudanças. Conforme</p><p>aponta Rodotà (1995), o direito à privacidade não mais se estrutu-</p><p>ra em torno do eixo “pessoa-informação-segredo”, mas sim no eixo</p><p>“pessoa-informação-circulação-controle”.</p><p>A mudança de perspectiva quanto ao conceito de privacidade pro-</p><p>põe uma lógica de proteção dinâmica dos dados pessoais de maneira</p><p>positiva, de modo a proporcionar ao indivíduo o controle sobre as suas</p><p>informações pessoais por meio de mecanismos que permitam conso-</p><p>lidar uma esfera privada própria, preservando suas escolhas pessoais,</p><p>por mais paradoxal que isso possa ser.</p><p>Conforme assinala Doneda (2020), “essa força expansiva” marca</p><p>igualmente a evolução do tratamento da privacidade pelo ordenamen-</p><p>to jurídico, sendo “o maior ponto de referência sua caracterização como</p><p>um direito fundamental”. O autor considera, ainda, que a necessidade</p><p>de funcionalização da proteção da privacidade levou a seu desdobra-</p><p>20 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>mento, originando a disciplina da proteção de dados pessoais, que</p><p>compreende pressupostos ontológicos da privacidade, podendo-se</p><p>dizer “que a proteção de dados pessoais é a sua ‘continuação’ por</p><p>outros meios” (DONEDA, 2020). Porém, na continuidade, a proteção</p><p>de dados pessoais assume características próprias, relacionando-</p><p>-se aos interesses ligados à personalidade e aos valores e direitos</p><p>fundamentais.</p><p>O desdobramento do conceito de privacidade decorre da sua</p><p>abordagem no texto da Carta de Direitos Fundamentais da União</p><p>Europeia (2000), que, em seu artigo 7º, relacionou o direito ao “res-</p><p>peito pela vida familiar e privada” e, em seu artigo 8º, consignou</p><p>expressamente a “proteção dos dados pessoais”. Dessa forma, os</p><p>interesses que se referem à privacidade restaram fracionados para,</p><p>em um primeiro momento, tutelar o indivíduo de intromissões ex-</p><p>teriores e, posteriormente, ocupar-se da tutela integral e dinâmica</p><p>dos dados pessoais, consolidada na dignidade da pessoa humana.</p><p>A noção tradicional de privacidade deveria conviver com essa sua</p><p>nova dimensão, plasmada no direito à proteção. Esse fato, consoan-</p><p>te alerta Bioni (2020), não significa dizer que o direito à proteção</p><p>de dados pessoais deveria ser reduzido a uma mera evolução do</p><p>direito à privacidade; ao contrário, ele tem autonomia própria. “É um</p><p>novo direito da personalidade” (BIONI, 2020, p. 58), que não pode</p><p>ser amarrado a uma categoria específica. Demanda, portanto, a am-</p><p>pliação normativa que funcione como um “norte que facilita a sua</p><p>interpretação e aplicação para não empolar a compreensão de seus</p><p>conceitos basilares” (BIONI, 2020, p. 58).</p><p>Os direitos da personalidade integram uma cláusula geral de</p><p>proteção de tutela e promo��ão da pessoa humana, cuja principal</p><p>característica é a elasticidade 6 . Assim, os direitos da personalida-</p><p>de elencados no Código Civil Brasileiro constituem numerus apertus</p><p>(termo jurídico usado para se referir ao “rol” de interpretação de</p><p>uma lei), não se esgotando nas hipóteses relacionadas nos artigos</p><p>11 e 21 e abrindo caminho para o reconhecimento da proteção de</p><p>dados pessoais como direito da personalidade.</p><p>A inserção dos dados pessoais como direitos da personalidade</p><p>guarda coerência como projeção da identidade do titular daquelas</p><p>informações, o que justifica que sejam assegurados direitos da per-</p><p>Vale lembrar do Enuncia-</p><p>do 274 da IV Jornada de</p><p>Direito Civil, o qual você</p><p>pode consultar no link a</p><p>seguir:</p><p>Disponível em: https://</p><p>www.cjf.jus.br/enuncia-</p><p>dos/enunciado/219. Aces-</p><p>so em:</p><p>10 maio 2021.</p><p>Lembrete</p><p>Nas palavras de Tepedino</p><p>(2008, p. 55): “mais ainda,</p><p>a tutela da personalidade,</p><p>como bem se acentuou</p><p>na doutrina alienígena,</p><p>é dotada do atributo</p><p>da elasticidade, não se</p><p>confundindo, todavia,</p><p>tal característica com a</p><p>elasticidade do direito de</p><p>propriedade. No caso da</p><p>pessoa humana, elasti-</p><p>cidade significa a abran-</p><p>gência de tutela, capaz</p><p>de incidir a proteção do</p><p>legislador e, em particular,</p><p>o ditame constitucional de</p><p>salvaguarda da dignidade</p><p>humana a todas as situa-</p><p>ções, previstas ou não,</p><p>em que a personalidade,</p><p>entendida como valor</p><p>máximo do ordenamento,</p><p>seja o ponto de referência</p><p>objetivo”.</p><p>6</p><p>Privacidade na Sociedade da Informação 21</p><p>sonalidade, como o direito do indivíduo de que seus dados pessoais</p><p>sejam retificados quando incorretos, de modo a preservar sua proje-</p><p>ção precisa, extrapolando os contornos da privacidade. Nessa linha,</p><p>Bioni (2020, p. 58) aponta que</p><p>seria contraproducente e até mesmo incoerente pensar a pro-</p><p>teção de dados pessoais somente sob as lentes do direito à</p><p>privacidade. O eixo da privacidade está ligado ao controle de</p><p>informações pessoais do que seja algo íntimo ou privado do</p><p>sujeito. A proteção dos dados pessoais não se satisfaz com</p><p>tal técnica normativa, uma vez que a informação pode estar</p><p>sob a esfera pública, discutindo-se, apenas, a sua exatidão,</p><p>por exemplo.</p><p>Os direitos da personalidade têm sentido no contexto de uma</p><p>sociedade, diante da perspectiva relacional ou social do indivíduo.</p><p>Dessa forma, os dados pessoais não se conformam com o mero pro-</p><p>longamento da pessoa, mas também constituem instrumentos que</p><p>permitem o relacionamento social e intersubjetivo, dando suporte</p><p>ao desenvolvimento da personalidade dos indivíduos inseridos no</p><p>contexto social.</p><p>Sendo assim, alguns representantes da doutrina moderna op-</p><p>taram por utilizar a terminologia simplificada de proteção de dados</p><p>pessoais para adaptar o sistema de tutela da pessoa humana, já que</p><p>da expressão genérica inclui os conceitos de privacidade e informa-</p><p>ção desprendidos do viés patrimonial, podendo evitar-se, com isso,</p><p>eventuais imprecisões conceituais (DONEDA, 2020).</p><p>Superado o direito à privacidade de caráter patrimonialista, o di-</p><p>reito à proteção de dados pessoais situa-se entre os direitos da per-</p><p>sonalidade – orientando-se à tutela dos interesses da pessoa humana</p><p>na dimensão relacional e social – como um direito fundamental.</p><p>Foi exatamente nesse sentido a decisão exarada pelo Supremo</p><p>Tribunal Federal no âmbito da Ação Direita de Inconstitucionalidade</p><p>n. 6.387, do Distrito Federal, que questionava o compartilhamento</p><p>de dados pessoais dos usuários do serviço telefônico fixo e móvel</p><p>pelas empresas prestadoras com o Instituto Brasileiro de Geografia</p><p>e Estatística (IBGE).</p><p>Vale trazer à colação trecho do voto da Ministra Rosa Weber, que</p><p>traduz a essência do julgado:</p><p>22 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Entendo que as condições em que se dá a manipulação de dados pessoais</p><p>digitalizados, por agentes públicos ou privados, consiste em um dos maio-</p><p>res desafios contemporâneos do direito à privacidade.</p><p>A Constituição da República confere especial proteção à intimidade, à vida</p><p>privada, à honra e à imagem das pessoas ao qualificá-las como invioláveis,</p><p>enquanto direitos fundamentais da personalidade, assegurando indeniza-</p><p>ção pelo dano material ou moral decorrente de sua violação (art. 5º, X). O</p><p>assim chamado direito à privacidade (right to privacy) e os seus consectá-</p><p>rios direitos à intimidade, à honra e à imagem emanam do reconhecimento</p><p>de que a personalidade individual merece ser protegida em todas as suas</p><p>manifestações.</p><p>A fim de instrumentalizar tais direitos, a Constituição prevê, no art. 5º, XII,</p><p>a inviolabilidade do “sigilo da correspondência e das comunicações telegrá-</p><p>ficas, de dados e das comunicações telefônicas, salvo, no último caso, por</p><p>ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de</p><p>investigação criminal ou instrução penal;</p><p>[...]</p><p>Tais informações, relacionadas à identificação – efetiva ou potencial – de</p><p>pessoa natural, configuram dados pessoais e integram, nessa medida, o</p><p>âmbito de proteção das cláusulas constitucionais assecuratórias da liber-</p><p>dade individual (art. 5º, caput), da privacidade e do livre desenvolvimento</p><p>da personalidade (art. 5º, X e XII). Sua manipulação e tratamento, desse</p><p>modo, hão de observar, sob pena de lesão a esses direitos, os limites deli-</p><p>neados pela proteção constitucional.</p><p>Decorrências dos direitos da personalidade, o respeito à privacidade e à</p><p>autodeterminação informativa foram positivados, no art. 2º, I e II, da Lei</p><p>nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), como funda-</p><p>mentos específicos da disciplina da proteção de dados pessoais. (BRASIL,</p><p>2020, p. 7-8, grifos do original)</p><p>É de se notar que, muito embora a decisão referida no bojo da</p><p>ADI n. 6.387 tenha sido exarada antes da vigência da Lei Geral de</p><p>Proteção de Dados Pessoais (Lei n. 13.709/2018), ela incorpora em</p><p>sua fundamentação os conceitos e valores próprios da proteção de</p><p>dados pessoais – por exemplo, a autodeterminação informativa –,</p><p>utilizando como base legal os preceitos constitucionais elencados</p><p>Privacidade na Sociedade da Informação 23</p><p>nos artigos 5º, 10 e 12 da Constituição da República, notadamente</p><p>o direito à intimidade e à vida privada, que é genericamente identi-</p><p>ficado como direito de privacidade, no sentido da não intromissão</p><p>do Estado ou de qualquer outra pessoa na esfera da vida privada</p><p>do indivíduo.</p><p>Restou consignado o reconhecimento da proteção de dados</p><p>pessoais e a autodeterminação informativa, enquanto decorrências</p><p>do direito da personalidade como direito fundamental autônomo</p><p>extraído da garantia da inviolabilidade da intimidade e da vida priva-</p><p>da e, consectariamente, do princípio da dignidade da pessoa huma-</p><p>na, agora positivados na Lei n. 13.709/2018 (Lei Geral de Proteção</p><p>de Dados Pessoais).</p><p>CONSIDERAÇÕES FINAIS</p><p>A informação e os dados pessoais alcançam na Sociedade da Informa-</p><p>ção destacada relevância diante do valor econômico que podem repre-</p><p>sentar. Essa nova dinâmica, atrelada à monetização dos dados pessoais,</p><p>propõe uma mudança de paradigma com relação ao tema da privacidade</p><p>e da proteção dos dados pessoais, no sentido de que as informações pes-</p><p>soais sobre o indivíduo têm que ser consideradas com base no contexto</p><p>social no qual está inserido, já que interferem em sua esfera relacional.</p><p>Nesse sentido, o direito à proteção de dados pessoais, derivado da funcio-</p><p>nalização da proteção à privacidade, merece, conforme propõe a constru-</p><p>ção dogmática moderna, proteção autônoma, como direito fundamental</p><p>do indivíduo, demandando, para tanto, normatização específica.</p><p>ATIVIDADES</p><p>Atividade 1</p><p>É correto interpretar a proteção de dados pessoais como um</p><p>aspecto do direito à privacidade? Justifique sua resposta.</p><p>Atividade 2</p><p>O conceito de privacidade consoante a concepção de Warren e</p><p>Brandeis está superado? Comente.</p><p>24 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Atividade 3</p><p>É correto afirmar que a necessidade de leis direcionadas à</p><p>proteção de dados pessoais decorre do desenvolvimento das</p><p>tecnologias, as quais facilitam o tratamento de dados pessoais e</p><p>fluxo de informações?</p><p>Atividade 4</p><p>O que se pode depreender da expressão cunhada por Clive</p><p>Humby: “data is the new oil”?</p><p>REFERÊNCIAS</p><p>BIONI, B. Proteção de dados pessoais: a função e os limites do consentimento. Rio de</p><p>Janeiro: Forense, 2020. [e-book]</p><p>BRASIL. Supremo Tribunal Federal. RE n. 418.486/SC. Diário da Justiça, 19 dez. 2006.</p><p>Disponível em: https://jurisprudencia.stf.jus.br/pages/search/sjur92577/false. Acesso em:</p><p>31 maio 2021.</p><p>BRASIL. Supremo Tribunal Federal. ADI n. 6.387/DF. Diário da Justiça, 11 nov. 2020.</p><p>Disponível em: http://www.stf.jus.br/arquivo/cms/noticiaNoticiaStf/anexo/ADI6387MC.</p><p>pdf. Acesso em: 14 maio 2021.</p><p>Carta dos Direitos Fundamentais da União Europeia. (2000/C 364/ 01), de 18 de dezembro</p><p>de 2000. Disponível em: https://www.europarl.europa.eu/charter/pdf/text_pt.pdf.</p><p>Acesso</p><p>em: 3 fev. 2021.</p><p>DONEDA, D. C. M. Da privacidade à proteção de dados pessoais. 2. ed. São Paulo: Thomposon</p><p>Reuters Brasil, 2020. [e-book]</p><p>ESPIÑEIRA, A. A proteção de dados pessoais como um direito fundamental: papel dos</p><p>estados e municípios. Brasília, DF: LAPIN/Unb, 2021. Disponível em: https://www2.camara.</p><p>leg.br/atividade-legislativa/comissoes/comissoes-temporarias/especiais/56a-legislatura/</p><p>pec-017-19-dados-pessoais-direitos-fundamentais/apresentacoes-em-eventos/</p><p>AmandaPROTEODEDADOSPESSOAIS.pdf. Acesso em: 14 maio 2021.</p><p>FERRAZ JÚNIOR, T. S. Sigilo de dados: o direito à privacidade e os limites da função</p><p>fiscalizadora do estado. Revista da Faculdade de Direito da Universidade de São Paulo, v. 88,</p><p>p. 430-459, 1993.</p><p>MARTINS, L. Introdução à jurisprudência do Tribunal Constitucional Federal Alemão. In:</p><p>MARTINS, L. (Org.). Cinquenta anos de jurisprudência do Tribunal Constitucional Federal</p><p>Alemão. Montevidéu: Fundação Konrad Adenauer, 2005.</p><p>MENDES, L. S. Autodeterminação informativa: a história de um conceito. Pensar, Fortaleza,</p><p>v. 25, n. 4, p. 1-18, out./dez. 2020. Disponível em: https://periodicos.unifor.br/rpen/article/</p><p>download/10828/pdf. Acesso em: 14 maio 2020.</p><p>MENDES, L. S. No Prelo. Apud. Acórdão STF, ADI n. 6.387/DF, Rel. Min. Rosa Weber. DJE em</p><p>12 nov. 2020 – ata n. 192/2020, DJE n. 270, divulgado em 11 nov. 2020.</p><p>QUEIROZ, R. M. R. Direito à privacidade e proteção de dados pessoais: aproximações e</p><p>distinções. Revista do Advogado, São Paulo, n. 144, p. 15-20, 2019.</p><p>RODOTÀ, S. Tecnologie e diritti. Bologna: Il Mulino, 1995. [e-book]</p><p>TEPEDINO, G. Temas de direito civil. 4. ed. Rio de Janeiro: Renovar, 2008.</p><p>WARREN, S. D.; BRANDEIS, L. D. The right to privacy. Harvard Law Review, v. 4. n. 5, dez.</p><p>1890.</p><p>WESTIN, A. Privacy and freedom. Nova Iorque: Atheneum, 1967.</p><p>http://www.stf.jus.br/arquivo/cms/noticiaNoticiaStf/anexo/ADI6387MC.pdf</p><p>http://www.stf.jus.br/arquivo/cms/noticiaNoticiaStf/anexo/ADI6387MC.pdf</p><p>https://www2.camara.leg.br/atividade-legislativa/comissoes/comissoes-temporarias/especiais/56a-legislatura/pec-017-19-dados-pessoais-direitos-fundamentais/apresentacoes-em-eventos/AmandaPROTEODEDADOSPESSOAIS.pdf</p><p>https://www2.camara.leg.br/atividade-legislativa/comissoes/comissoes-temporarias/especiais/56a-legislatura/pec-017-19-dados-pessoais-direitos-fundamentais/apresentacoes-em-eventos/AmandaPROTEODEDADOSPESSOAIS.pdf</p><p>https://www2.camara.leg.br/atividade-legislativa/comissoes/comissoes-temporarias/especiais/56a-legislatura/pec-017-19-dados-pessoais-direitos-fundamentais/apresentacoes-em-eventos/AmandaPROTEODEDADOSPESSOAIS.pdf</p><p>https://www2.camara.leg.br/atividade-legislativa/comissoes/comissoes-temporarias/especiais/56a-legislatura/pec-017-19-dados-pessoais-direitos-fundamentais/apresentacoes-em-eventos/AmandaPROTEODEDADOSPESSOAIS.pdf</p><p>https://periodicos.unifor.br/rpen/article/download/10828/pdf</p><p>https://periodicos.unifor.br/rpen/article/download/10828/pdf</p><p>Antecedentes normativos, Direito comparado e marcos legais 25</p><p>2</p><p>Antecedentes normativos,</p><p>Direito comparado</p><p>e marcos legais</p><p>Anne Carolina Stipp Amador Kozikoski</p><p>O presente capítulo objetiva aproximar os antecedentes</p><p>normativos relacionados ao tema da privacidade e proteção</p><p>de dados pessoais, especialmente no tocante ao marco legal</p><p>vigente na Europa, modelo que inspirou fortemente a legisla-</p><p>ção brasileira. Nesse sentido, é de fundamental importância o</p><p>estudo comparado para aprofundamento do tema bem como</p><p>para compreensão dos princípios e conceitos derivados do</p><p>Regulamento Europeu de Proteção de Dados Pessoais, incorpo-</p><p>rados pela lei brasileira.</p><p>2.1 Contexto europeu</p><p>Vídeo O Regulamento Geral de Proteção de Dados, ou General Data Pro-</p><p>tection Regulation (GDPR), representa uma normativa oriunda do Par-</p><p>lamento Europeu e do Conselho da União Europeia, estabelecendo</p><p>regras sobre privacidade e proteção de dados pessoais de cidadãos da</p><p>União Europeia. Aplicável ao espaço econômico europeu, corresponde</p><p>à legislação atualmente vigente naquele continente.</p><p>A primeira proposta para a edição desse regulamento ocorreu em</p><p>janeiro de 2012, tendo o fim das negociações parlamentares aconte-</p><p>cido em dezembro de 2015, o que culminou com a assinatura do Re-</p><p>gulamento vigente em janeiro de 2016. Porém, sua entrada em vigor</p><p>ocorreu apenas em 25 de maio de 2018.</p><p>26 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>O GDPR, sigla pela qual ficou conhecido o referido Regulamento,</p><p>é aplicável para todos os países integrantes da União Europeia, de</p><p>modo que as regras nele dispostas se aplicam a qualquer organi-</p><p>zação que realize tratamento de dados pessoais de cidadãos euro-</p><p>peus, independentemente do país em que esteja localizado o agente</p><p>de tratamento.</p><p>A norma europeia objetiva fortalecer e unificar a proteção de da-</p><p>dos pessoais, conciliando as leis de privacidade de dados vigentes nos</p><p>diversos países-membros da União Europeia além de proteger e em-</p><p>poderar os titulares de dados pessoais, que tiveram estabelecidos os</p><p>direitos e garantias, assim como instituídos mecanismos de controle</p><p>sobre o tratamento dispensado a eles. Desse modo, a norma refor-</p><p>mula o modo como as organizações abordam o tema da privacidade</p><p>de dados.</p><p>O Regulamento Europeu de Proteção de Dados absorveu normas le-</p><p>gais previamente existentes em países-membros relativas à privacida-</p><p>de e proteção de dados pessoais. Teve o principal condão de consolidar</p><p>as normas até então vigentes.</p><p>Oportuno ressalvar que a primeira legislação europeia a tratar do</p><p>tema da privacidade e proteção de dados pessoais foi a Convenção</p><p>Europeia de Direitos Humanos, adotada pelo Conselho da Europa em</p><p>4 de novembro de 1950, vigorando em 1953. Em seu artigo 8º, a Con-</p><p>venção estabeleceu o respeito à vida privada e familiar:</p><p>Artigo 8.º</p><p>(Direito ao respeito pela vida privada e familiar)</p><p>Qualquer pessoa tem direito ao respeito da sua vida privada e fa-</p><p>miliar, do seu domicílio e da sua correspondência.</p><p>Não pode haver ingerência da autoridade pública no exercício deste</p><p>direito senão quando esta ingerência estiver prevista na lei e consti-</p><p>tuir uma providência que, numa sociedade democrática, seja neces-</p><p>sária para a segurança nacional, para a segurança pública, para o</p><p>bem-estar econômico do país, a defesa da ordem e a prevenção das</p><p>infracções penais, a proteção da saúde ou da moral, ou a proteção</p><p>dos direitos e das liberdades de terceiros. (OEA, 1950, grifos nossos)</p><p>Por sua vez, a Convenção 108, de 1981, representa o primeiro di-</p><p>ploma legal internacional, juridicamente vinculante, adotado no domí-</p><p>nio da proteção de dados pessoais. Esse documento é nominado como</p><p>Convenção para a Proteção das Pessoas Singulares no que diz respeito</p><p>Para obter informações</p><p>relacionadas à proteção</p><p>de dados pessoais na</p><p>forma de opiniões legais,</p><p>documentos de trabalho,</p><p>cartas, entre outros do-</p><p>cumentos, antecedentes</p><p>ao GDPR, recomenda-se</p><p>a leitura de documentos</p><p>produzidos entre os anos</p><p>de 1997 a 2016 pelo Gru-</p><p>po de Trabalho do Artigo</p><p>29 – Article 29, Working</p><p>Party (art. 29 WP), que</p><p>existiu até 25 de maio de</p><p>2018.</p><p>Disponível em: https://</p><p>ec.europa.eu/justice/article-29/</p><p>documentation/index_en.htm.</p><p>Acesso em: 14 maio. 2021.</p><p>Leitura</p><p>Nos infográficos GDPR</p><p>IN NUMBERS e GDPR at</p><p>One Year: What We Heard</p><p>from Leading European</p><p>Regulators, divulgados pe-</p><p>las autoridades europeias</p><p>de proteção de dados, há</p><p>informações organizadas</p><p>sobre a proteção de</p><p>dados na Europa, obtidas</p><p>em razão de pesquisas</p><p>e entrevistas realizadas</p><p>após a entrada em vigor</p><p>da legislação GDPR.</p><p>GDPR IN NUMBERS</p><p>Disponível em: https://ec.europa.</p><p>eu/info/sites/default/files/</p><p>infographic-gdpr_in_numbers.pdf</p><p>GDPR at One Year: What We Heard</p><p>from Leading European Regulators.</p><p>https://iapp.org/media/pdf/</p><p>resource_center/GDPR_at_One_</p><p>IAPPWhitePaper.pdf</p><p>Acesso em: 14 maio 2021.</p><p>Leitura</p><p>https://ec.europa.eu/justice/article-29/documentation/index_en.htm</p><p>https://ec.europa.eu/justice/article-29/documentation/index_en.htm</p><p>https://ec.europa.eu/justice/article-29/documentation/index_en.htm</p><p>https://ec.europa.eu/info/sites/default/files/infographic-gdpr_in_numbers.pdf</p><p>https://ec.europa.eu/info/sites/default/files/infographic-gdpr_in_numbers.pdf</p><p>https://ec.europa.eu/info/sites/default/files/infographic-gdpr_in_numbers.pdf</p><p>https://iapp.org/media/pdf/resource_center/GDPR_at_One_IAPPWhitePaper.pdf</p><p>https://iapp.org/media/pdf/resource_center/GDPR_at_One_IAPPWhitePaper.pdf</p><p>https://iapp.org/media/pdf/resource_center/GDPR_at_One_IAPPWhitePaper.pdf</p><p>Antecedentes normativos, Direito comparado e marcos legais 27</p><p>ao tratamento automatizado de dados pessoais. Ao dispor sobre seus</p><p>objetivos e finalidades, previu em seu artigo 1º que:</p><p>Artigo 1º</p><p>Objetivos e finalidades.</p><p>A presente convenção destina-se a garantir, no território de cada</p><p>Parte, a todas as pessoas singulares, seja qual for a sua naciona-</p><p>lidade ou residência, o respeito pelos seus direitos e liberdades</p><p>fundamentais, e especialmente pelo seu direito à vida privada</p><p>face ao tratamento automatizado dos dados de caráter pessoal que</p><p>lhes digam respeito (“proteção dos dados”). (COMISSÃO EUROPEIA,</p><p>1981, tradução nossa, grifos nossos)</p><p>Do preâmbulo dessa Convenção, constam quatro “consideradas”, das</p><p>quais é possível depreender que a proteção que se institui compreende a</p><p>expansão do respeito à vida privada, o que se justifica diante da evolução</p><p>tecnológica já experimentada até aquele quadrante e, consequentemen-</p><p>te, diante do crescente tratamento automatizado de dados pessoais.</p><p>Por sua vez, a Diretiva 95/46/CE do Parlamento Europeu e do Con-</p><p>selho, que vigorou de 24 de outubro de 1995 até 25 de maio de 2018,</p><p>antecedendo o Regulamento Europeu de Proteção de Dados, e por ele</p><p>revogado, também dispunha sobre o tratamento e a livre circulação</p><p>dos dados pessoais. O seu texto legal desenvolveu as bases principio-</p><p>lógicas incorporadas pelo Regulamento Geral de Proteção de Dados</p><p>Pessoais, erigindo a proteção de dados pessoais como direito funda-</p><p>mental. Para tanto, estabeleceu limites estritos para o tratamento de</p><p>dados pessoais, orientando que cada Estado-membro instituísse um</p><p>órgão nacional independente, encarregado de supervisionar as ativida-</p><p>des relacionadas ao tratamento de dados pessoais.</p><p>A Diretiva 95/46/CE tinha por objetivo harmonizar os direitos e liber-</p><p>dades fundamentais das pessoas físicas quanto ao tratamento de seus</p><p>dados pessoais e, assim, assegurar a livre circulação dos dados entre os</p><p>países que conformam a União Europeia.</p><p>Em seu artigo 1º estava previsto:</p><p>Artigo 1º</p><p>Objecto da directiva</p><p>Os Estados-membros assegurarão, em conformidade com a</p><p>presente diretiva, a protecção das liberdades e dos direitos fun-</p><p>damentais das pessoas singulares, nomeadamente do direito à</p><p>vida privada, no que diz respeito ao tratamento de dados pessoais.</p><p>A relevância da Convenção</p><p>108 para a proteção de dados</p><p>pessoais é tamanha que a data</p><p>de 28 de janeiro foi escolhida</p><p>pelo Conselho da Europa, em</p><p>26 de abril de 2006, como o Dia</p><p>Internacional da Proteção de</p><p>Dados Pessoais.</p><p>Curiosidade</p><p>28 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>Os Estados-membros não podem restringir ou proibir a livre cir-</p><p>culação de dados pessoais entre Estados-membros por razões</p><p>relaticvas à protecção assegurada por força do nº 1. (COMISSÃO</p><p>EUROPEIA, 1995, grifos nossos)</p><p>Ao contrário do que sucede com a norma europeia atualmente em vigor,</p><p>a Diretiva 95, como a própria nomenclatura legal sugeria, traçava diretrizes</p><p>quanto ao tema da proteção de dados pessoais que deveriam ser internali-</p><p>zadas pelos Estados-membros da União, a quem competiria legislar sobre o</p><p>tema em seus domínios nacionais, incorporando as orientações emanadas</p><p>da Diretiva Comunitária. Como é de se concluir, a sua efetivação no âmbito</p><p>nacional interno dependia da atividade legiferante de cada Estado-mem-</p><p>bro, permitindo diferentes níveis de proteção dos dados pessoais, fato par-</p><p>cialmente explicado pelas disparidades na sua execução e aplicação.</p><p>Posteriormente, no ano 2000, foi promulgada a Carta dos Direitos</p><p>Fundamentais da União Europeia, que reafirmou a proteção de dados</p><p>pessoais no rol dos direitos fundamentais.</p><p>Artigo 8º</p><p>Protecção de dados pessoais</p><p>Todas as pessoas têm direito à protecção dos dados de carácter</p><p>pessoal que lhes digam respeito.</p><p>Esses dados devem ser objeto de um tratamento leal, para fins</p><p>específicos e com o consentimento da pessoa interessada ou</p><p>com outro fundamento legítimo previsto por lei. Todas as pes-</p><p>soas têm o direito de aceder aos dados coligidos que lhes digam</p><p>respeito e de obter a respectiva rectificação.</p><p>O cumprimento destas regras fica sujeito a fiscalização por parte</p><p>de uma autoridade independente. (COMISSÃO EUROPEIA, 2000,</p><p>grifos do original)</p><p>Importa também considerar o Tratado de Funcionamento da União</p><p>Europeia (TFUE), que, em seu artigo 16, estabeleceu que todas as</p><p>pessoas têm direito à proteção de dados pessoais.</p><p>Artigo 16º</p><p>(ex-artigo 286.o TCE)</p><p>Todas as pessoas têm direito à proteção dos dados de caráter</p><p>pessoal que lhes digam respeito.</p><p>O Parlamento Europeu e o Conselho, deliberando de acordo com</p><p>o processo legislativo ordinário, estabelecem as normas relativas</p><p>à proteção das pessoas singulares no que diz respeito ao trata-</p><p>mento de dados pessoais pelas instituições, órgãos e organis-</p><p>mos da União, bem como pelos Estados-Membros no exercício</p><p>Antecedentes normativos, Direito comparado e marcos legais 29</p><p>de atividades relativas à aplicação do direito da União, e à livre</p><p>circulação desses dados. A observância dessas normas fica sujei-</p><p>ta ao controlo de autoridades independentes.</p><p>As normas adotadas com base no presente artigo não prejudi-</p><p>cam as normas específicas previstas no artigo 39.o do Tratado da</p><p>União Europeia. (COMISSÃO EUROPEIA, 2016b)</p><p>O retrospecto histórico dos diversos atos normativos que trataram</p><p>da proteção de dados pessoais no contexto europeu permite concluir</p><p>que as normas presentes no atual Regulamento Geral (GDPR) conso-</p><p>lidaram regras e diretrizes anteriormente existentes quanto a essa</p><p>temática. Tais normas evoluíram conforme as necessidades de atuali-</p><p>zação legislativa, impulsionada, em grande medida, pelo avanço tecno-</p><p>lógico experimentado nas últimas décadas.</p><p>O Regulamento Geral Europeu de Proteção de Dados (Regulamento</p><p>n. 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de</p><p>2016) propõe a uniformização do direito à proteção de dados pessoais</p><p>em toda a Europa, orientando a instituição de um nível de proteção</p><p>coerente, elevado e equivalente em todos os países integrantes da</p><p>União Europeia e a três outros que conformam o Espaço Econômico</p><p>Europeu (Noruega, Islândia e Liechtenstein).</p><p>Em que pese as regras estabelecidas no Regulamento Europeu, não</p><p>se exclui os direitos dos Estados-membros a dirimir sobre situações</p><p>específicas, inclusive para prever regras mais gravosas quanto a certas</p><p>ilicitudes a respeito do tratamento de dados pessoais. Nesse sentido,</p><p>os Estados-membros podem emitir leis setoriais quanto a situações</p><p>específicas, apontando regras próprias quanto ao “tratamento de ca-</p><p>tegorias especiais de dados pessoais” (“dados sensíveis”) (COMISSÃO</p><p>EUROPEIA, 2016a) 1 . Não se pode perder de vista que os direitos funda-</p><p>mentais comportam expansão, sendo aceitável que determinados Es-</p><p>tados-membros estabeleçam marcos normativos ainda mais protetivos</p><p>das informações e dados pessoais.</p><p>O objetivo precípuo de assegurar um nível de proteção equipara-</p><p>do e coerente dos dados pessoais no âmbito da União Europeia busca</p><p>ainda evitar que eventuais divergências importem em obstáculos para</p><p>a circulação de dados pessoais no mercado interno (free data flow).</p><p>Garante-se, com isso, segurança jurídica e transparência para os ope-</p><p>radores econômicos, instituindo o mesmo nível de proteção judicial,</p><p>Consoante consta do apartado</p><p>4 do artigo 9º: “Os Estados-</p><p>-Membros podem manter</p><p>ou impor novas condições,</p><p>incluindo limitações, no</p><p>que respeita ao tratamento</p><p>de dados genéticos, dados</p><p>biométricos ou dados relativos</p><p>à saúde” (COMISSÃO EUROPEIA,</p><p>2016a).</p><p>1</p><p>free data flow: expressão que</p><p>caracteriza a livre circulação de</p><p>dados pessoais.</p><p>Glossário</p><p>30 LGPD</p><p>– Lei Geral de Proteção de Dados Pessoais</p><p>obrigações e responsabilidades aos responsáveis pelo tratamento de</p><p>dados pessoais, além de estabelecer sanções equivalentes aplicáveis</p><p>por todos os Estados-membros. Além disso, a instituição de normas</p><p>semelhantes e coesas facilita a efetiva cooperação entre as autoridades</p><p>de controle de cada Estado-membro.</p><p>Nesse sentido, é importante destacar os itens (2) e (13) das conside-</p><p>rações iniciais do Regulamento Europeu de Proteção de Dados Pessoais:</p><p>(2) Os princípios e as regras em matéria de proteção das pessoas</p><p>singulares relativamente ao tratamento dos seus dados pessoais</p><p>deverão respeitar, independentemente da nacionalidade ou do</p><p>local de residência dessas pessoas, os seus direitos e liberdades</p><p>fundamentais, nomeadamente o direito à proteção dos dados</p><p>pessoais. O presente regulamento tem como objetivo contribuir</p><p>para a realização de um espaço de liberdade, segurança e justiça</p><p>e de uma união económica, para o progresso económico e social,</p><p>a consolidação e a convergência das economias a nível do merca-</p><p>do interno e para o bem-estar das pessoas singulares.</p><p>[...]</p><p>(13) A fim de assegurar um nível coerente de proteção das pessoas</p><p>singulares no conjunto da União e evitar que as divergências cons-</p><p>tituam um obstáculo à livre circulação de dados pessoais no merca-</p><p>do interno, é necessário um regulamento que garanta a segurança</p><p>jurídica e a transparência aos operadores económicos, incluindo as</p><p>micro, pequenas e médias empresas, que assegure às pessoas sin-</p><p>gulares de todos os Estados-Membros o mesmo nível de direitos</p><p>suscetíveis de proteção judicial e imponha obrigações e responsabi-</p><p>lidades iguais aos responsáveis pelo tratamento e aos seus subcon-</p><p>tratantes, que assegure um controlo coerente do tratamento dos</p><p>dados pessoais, sanções equivalentes em todos os Estados-Mem-</p><p>bros, bem como uma cooperação efetiva entre as autoridades de</p><p>controlo dos diferentes Estados-Membros. O bom funcionamento</p><p>do mercado interno impõe que a livre circulação de dados pessoais</p><p>na União não pode ser restringida ou proibida por motivos relacio-</p><p>nados com a proteção das pessoas singulares no que respeita ao</p><p>tratamento de dados pessoais. Para ter em conta a situação parti-</p><p>cular das micro, pequenas e médias empresas, o presente regula-</p><p>mento prevê uma derrogação para as organizações com menos de</p><p>250 trabalhadores relativamente à conservação do registo de ativi-</p><p>dades. Além disso, as instituições e os órgãos da União, e os Esta-</p><p>dos-Membros e as suas autoridades de controlo, são incentivados</p><p>a tomar em consideração as necessidades específicas das micro,</p><p>pequenas e médias empresas no âmbito de aplicação do presente</p><p>regulamento. A noção de micro, pequenas e médias empresaster</p><p>Antecedentes normativos, Direito comparado e marcos legais 31</p><p>em conta deverá inspirar-se do artigo 2.o do anexo da Recomenda-</p><p>ção 2003/361/CE da Comissão. (COMISSÃO EUROPEIA, 2016a)</p><p>A leitura do artigo 1º do Regulamento indica sua aplicação à pro-</p><p>teção de dados de pessoas naturais considerando a livre circulação</p><p>desses dados. Isso indica a intenção em disciplinar o tratamento dos</p><p>dados pessoais de modo a não restringir ou proibir a sua circulação</p><p>no âmbito da União Europeia, o que poderia repercutir negativamente</p><p>naqueles mercados.</p><p>Nesse sentido vale a observação de Caio César Carvalho Lima: “é</p><p>relevante a atenção que se teve na elaboração do GDPR, de evitar dis-</p><p>posições que pudessem negativamente impactar ‘o progresso econô-</p><p>mico e social, a consolidação e a convergência das economias ao nível</p><p>do mercado interno’, conforme se depreende da Consideranda 2 do</p><p>Regulamento” (LIMA, 2018, p. 24).</p><p>A integração econômica e social derivada da integração dos merca-</p><p>dos europeus provocou o aumento significativo dos fluxos de dados</p><p>pessoais, que, aliados à contínua evolução tecnológica e ao fenômeno</p><p>da globalização, criaram novos desafios quanto à matéria. Essa escala-</p><p>da evolutiva exigiu uma resposta mais sólida e coerente por parte da</p><p>União, seja para assegurar os direitos dos titulares de dados pessoais no</p><p>cenário europeu, seja para proporcionar a necessária segurança para o</p><p>desenvolvimento da economia digital nos diversos mercados internos.</p><p>Conforme delimitado no apartado 1 do artigo 2º, o GDPR aplica-se</p><p>“ao tratamento de dados pessoais por meios total ou parcialmente</p><p>automatizados, bem como ao tratamento por meios não automati-</p><p>zados de dados pessoais contidos em ficheiros ou a eles destinados”</p><p>(COMISSÃO EUROPEIA, 2016a), indicando a ampla aplicação do Regula-</p><p>mento. Por sua vez, no apartado 2 do artigo 2º, são indicadas as situa-</p><p>ções às quais o Regulamento não se aplica (não incidência).</p><p>Assim, excluem-se do âmbito de aplicação do GDPR: (i) as atividades</p><p>não sujeitas à aplicação do direito da União Europeia; (ii) o exercício das</p><p>atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2</p><p>do Tratado da União Europeia, que contempla disposições relativas à</p><p>segurança e política externa; (iii) ao tratamento efetuado por pessoa</p><p>natural no exercício de suas atividades exclusivamente pessoais ou</p><p>domésticas; (iv) ao tratamento efetuado por autoridades competentes</p><p>para efeitos de prevenção, investigação, detecção e repressão de infra-</p><p>32 LGPD – Lei Geral de Proteção de Dados Pessoais</p><p>ções penais ou da execução de sanções penais, incluindo a salvaguarda</p><p>e a prevenção de ameaças à segurança pública, sendo que tais ques-</p><p>tões são reguladas pela Diretiva 2016/680, relativa à proteção de dados</p><p>pessoais quando utilizados pelas autoridades policiais e judiciárias.</p><p>A aplicação territorial do Regulamento Geral Europeu de Proteção</p><p>de Dados ocorre, conforme disposto no artigo 3º do GDPR, quando “tra-</p><p>tamento de dados pessoais [for] efetuado no contexto das atividades</p><p>de um estabelecimento de um responsável pelo tratamento ou de um</p><p>subcontratante situado no território da União, independentemente de</p><p>o tratamento ocorrer dentro ou fora da União” (COMISSÃO EUROPEIA,</p><p>2016a). Portanto, considera-se o critério do exercício efetivo e real de</p><p>atividade no contexto da União Europeia, independentemente do local</p><p>de processamento dos dados. O GDPR também resulta aplicável quan-</p><p>do existe a possibilidade de que o tratamento de dados pessoais de</p><p>titulares residentes no território da União seja realizado por um res-</p><p>ponsável pelo tratamento ou subcontratante não estabelecido na União</p><p>Europeia, ou quando as atividades de tratamento se relacionem à oferta</p><p>de bens ou serviços a titulares de dado na União. Assim, no caso de em-</p><p>presas que ofereçam bens e serviços a titulares de dados que se encon-</p><p>trem fisicamente no território da União Europeia, ainda que não haja</p><p>contrapartida financeira para tanto, ocorre a incidência do GDPR.</p><p>O Regulamento também é aplicável quando a atividade de trata-</p><p>mento esteja relacionada ao controle do seu comportamento, desde</p><p>que este tenha lugar no âmbito da União. Conforme se depreende da</p><p>Consideranda 24, para determinar se uma atividade de tratamento</p><p>pode ser entendida como “controle de comportamento” dos titulares</p><p>dos dados, deverá determinar se essas pessoas são seguidas e/ou mo-</p><p>nitoradas na internet e a potencial aplicação de técnicas de tratamen-</p><p>to de dados pessoais para definir o perfil de uma pessoa, de modo a</p><p>orientar a tomada de decisões em relação a ela, analisando suas prefe-</p><p>rências, comportamentos e atitudes.</p><p>Assim, caso o tratamento dos dados pessoais realizado a partir da</p><p>coleta de informações de titulares, que se encontram no território da</p><p>União, venha a tornar possível a definição de perfis (profiling), conforme</p><p>definido no artigo 4º do GDPR, de maneira a antecipar as atitudes do</p><p>usuário, entender suas preferências ou comportamentos, tais hipóte-</p><p>ses atraem a incidência da norma europeia (GDPR).</p><p>Antecedentes normativos, Direito comparado e marcos legais 33</p><p>A aplicação extraterritorial do Regulamento Geral Europeu também</p><p>se estende aos casos em que o responsável pelo tratamento de dados</p><p>não estabelecido na União</p>https://stf.jusbrasil.com.br/jurisprudencia/25253546/agreg-no-recurso-extraordinario-re-589257-df-stf/inteiro-teor-136638138
https://www.revistas.usp.br/rfdusp/article/view/66387
https://jus.com.br/artigos/14810/habeas-data-instrumento-constitucional-em-defesa-da-cidadania
https://jus.com.br/artigos/14810/habeas-data-instrumento-constitucional-em-defesa-da-cidadania
https://jus.com.br/artigos/14810/habeas-data-instrumento-constitucional-em-defesa-da-cidadania
Gabarito 143
GABARITO 
1 Privacidade na Sociedade da Informação
1. Não. O direito à proteção de dados pessoais deriva da funcionalização 
da proteção da privacidade. Nesse sentido, a proteção de dados 
contempla os pressupostos intrínsecos da privacidade, com autonomia 
própria, relacionando os interesses ligados à personalidade aos 
valores e direitos fundamentais, caracterizando um novo direito da 
personalidade.
2. Muito embora a concepção desenvolvida pelos autores citados tenha 
impacto na moderna doutrina do direito à privacidade, pode-se 
considerá-la superada. Isso porque, o conceito de privacidade por eles 
articulado parte da perspectiva do direito de estar só, considerando 
em um contexto individualista. Tal concepção, no entanto, pode ser 
entendida como ponto de partida do direito à privacidade como 
aspecto fundamental ao desenvolvimento da personalidade humana. 
O amadurecimento do conceito, pautado em grande medida pela 
decisão do Supremo Tribunal Alemão de 1983, está marcado pelo 
respeito à liberdade de escolhas pessoais, no sentido de conferir ao 
titular o controle sobre a determinação de suas informações pessoais, 
por meio de mecanismos que permitam preservar suas escolhas. 
Portanto, o conceito de privacidade apoiava-se no eixo “pessoa-
informação-segredo”, mas, essa compreensão evoluiu para a visão em 
torno da diretriz “pessoa-informação-circulação-controle”.
3. Sim, a revolução tecnológica experimentada nas últimas décadas 
intensificou o processamento e o fluxo de informações e de dados 
pessoais. Se por um lado as tecnologias disponíveis hoje permitem 
o acesso facilitado à informação a baixo custo e de maneira rápida 
e eficiente, por outro, podem criar situações de vulnerabilidade 
envolvendo os titulares de dados pessoais. 
4. A expressão cunhada pelo matemático britânico Clive Humby enfatiza 
o poder dos dados para a economia atual, inserida no contexto da 
sociedade da informação. Os dados constituem ativos valiosos à 
medida que revelam informações que permitem o direcionamento 
das estratégias de negócio com maior eficiência e acertabilidade. 
O direcionamento da publicidade, as estratégias de negócios, 
o mapeamento de perfil do público-alvo, a evitação de gargalos 
144 LGPD – Lei Geral de Proteção de Dados Pessoais
decorrentes de processos ineficazes, a previsibilidade de tendências, 
entre outras atividades, podem ser potencializadas por meio da análise 
de dados. A expressão “data is the new oil” indica, portanto, a relevância 
econômica dos dados na economia atual como valor estratégico para 
as empresas.
2 Antecedentes normativos, Direito comparado e 
marcos legais
1. A Diretiva 95/46/CE, conforme a nomenclatura original sugere, traçava 
as diretrizes quanto ao tema de proteção de dados pessoais que 
deveriam ser internalizadas pelos Estados-membros da União, a 
quem competia legislar sobre o tema internamente, incorporando 
as orientações da Diretiva comunitária, de modo que a efetivação da 
normativa interna dependia da atividade legislativa de cada Estado- 
-membro, possibilitando que diferentes níveis de proteção de dados 
pessoais fossem adotados. O Regulamento Europeu de Proteção 
de Dados (GDPR), que revogou a Diretiva 95, diferentemente, tem 
aplicação direta, não dependendo de transposição. Assim, propõe 
a uniformização do direito à proteção de dados pessoais em toda 
Europa, orientando a proteção de dados de modo coerente e com nível 
equivalente de proteção nos países que integram o bloco europeu.
2. Sim. As regras contidas no Regulamento Europeu de Proteção de Dados 
não excluem os direitos dos Estados-membros de dirimir acerca de 
situações específicas. Os Estados-membros podem emitir leis setoriais 
quanto a situações específicas, apontando regras próprias no que diz 
respeito ao tratamento de categorias especiais de dados pessoais, 
a exemplo dos dados considerados sensíveis. Não se pode perder 
de vista que os direitos fundamentais comportam expansão, sendo 
aceitável os Estados-membros estabelecerem marcos normativos 
ainda mais protetivos quanto a informações de dados pessoais. Tal 
previsão assegura um nível de proteção equiparado e coerente às 
soluções legislativas adotadas pelos Estados-membros, evitando que 
eventuais divergências constituam óbice à livre circulação de dados 
pessoais e garantindo a segurança jurídica no mercado europeu.
3. Em conformidade com o artigo 3º do GDPR, o Regulamento é aplicável 
quando o “tratamento de dados pessoais efetuado no contexto das 
atividades de um estabelecimento responsável pelo tratamento ou de 
um subcontratante situado no território da União, independentemente 
de o tratamento ocorrer dentro ou fora da União” (COMISSÃO 
Gabarito 145
EUROPEIA, 2016a). O critério considerado, portanto, corresponde ao 
exercício efetivo e real da atividade no contexto da União Europeia, 
independentemente do local de processamento dos dados. Aplica-
se o Regulamento quando existe o tratamento de dados pessoais 
de titulares residentes no território da União Europeia realizado por 
um responsável ou subcontratante não estabelecido em território 
europeu, ou quando as atividades de tratamento estejam relacionadas 
à oferta de bens ou serviços a titulares de dados na União Europeia. 
Caso sejam oferecidos bens e serviços a titulares de dados que se 
encontrem fisicamente no território da União Europeia, ocorre a 
incidência do GDPR.
3 Lei Geral de Proteção de Dados
1. A toda pessoa natural ou jurídica que realize qualquer operação de 
tratamento de dados pessoais (LGPD, art. 3º); pessoa jurídica de direito 
público ou de direito privado. Assim, independente do meio em que 
ocorra o tratamento de dados (se manual ou eletrônico) e do país 
em que esteja localizada a sede ou que estejam localizados os dados, 
desde que a operação de tratamento seja realizada em território 
nacional, contanto que a atividade de tratamento tenha por objetivo 
a oferta ou o fornecimento de bens ou serviços ou o tratamento de 
dados de indivíduos localizados no território nacional, ou os dados 
pessoais objeto do tratamento tenham sido coletados em território 
nacional.
2. Controlador corresponde à pessoa natural ou jurídica a quem compete 
as decisões referentes ao tratamento de dados pessoais, a quem a lei 
impõe deveres e responsabilidades. Já o operador pode ser identificado 
como a pessoa natural ou jurídica que realize o tratamento de dados 
pessoais em nome do controlador, segundo as instruções fornecidas 
por ele, mediante a observância das próprias instruções e das normas 
de regência sobre a matéria, sem ingerência para realizar qualquer 
operação diversa daquela que lhe foi solicitada.
3. No contexto da LGPD, para que seja válido, o consentimento deve ser 
livre, informado e inequívoco. O titular de dados deve ser livre para 
decidir acerca do tratamento de suas informações pessoais, livre de 
qualquer vício de consentimento. Além disso, precisa estar informado, 
no sentido de que o titular de dados, no momento de sua outorga, deve 
conhecer sobre o que está consentido, isto é, devem ser esclarecidas 
as características do tratamento dispensado às suas informções 
146 LGPD – Lei Geral de Proteção de Dados Pessoais
pessoais, bem como a finalidade para a qual está orientado. Por fim, 
deve ser inequívoco, de modo que a manifestação de vontade deve ser 
expressa de maneira clara e inequívoca.
4 Autoridade Nacional de Proteção de Dados e as 
sanções legais
1. A missão institucional da ANPD é assegurar a mais ampla e correta 
observância daLGPD no Brasil e, nessa medida, garantir a devida 
proteção aos direitos fundamentais de liberdade, privacidade e livre 
desenvolvimento da personalidade da pessoa natural.
Será essa Autoridade quem fará a orientação, a fiscalização e a 
aplicação de sanções relacionadas à proteção da privacidade de 
dados pessoais. Como agente regulador do tema, é imprescindível 
que tenha independência e autonomia, pois terá fundamental papel 
no desenvolvimento da Lei Geral de Proteção de Dados Pessoais, 
possibilitando, assim, que o Brasil alcance um patamar elevado de 
proteção aos direitos humanos e de desenvolvimento enquanto nação.
2. Sim. A ANPD deve se articular com outras entidades e órgãos públicos 
a fim de garantir o cumprimento de sua missão institucional. A LGPD 
determina que a autoridade e os órgãos e as entidades públicas 
responsáveis por regulamentar setores específicos precisarão atuar 
em coordenação, objetivando uma maior eficiência de atuação nos 
setores regulados.
A Autoridade Nacional de Proteção de Dados deve, como dispõe o artigo 
55-J, inciso XXI, “comunicar às autoridades competentes as infrações 
penais das quais tiver conhecimento” (BRASIL, 2018). É importante 
destacar também que, como dispõe o artigo 55-K: “a aplicação das 
sanções previstas nesta Lei compete exclusivamente à ANPD, e suas 
competências prevalecerão, no que se refere à proteção de dados 
pessoais, sobre as competências correlatas de outras entidades ou 
órgãos da administração pública” (BRASIL, 2018).
3. Sim. Há necessidade de conciliação direta entre controlador e titular 
sobre os vazamentos individuais ou os acessos não autorizados, para 
somente então, caso não haja acordo, sujeitar-se o controlador à 
aplicação das penalidades administrativas. Tal orientação encontra-
se prevista dentre as competências da ANPD no sentido de que esta 
deverá, como dispõe o artigo 55- J, inciso V, “apreciar petições de titular 
contra controlador após comprovada pelo titular a apresentação de 
reclamação ao controlador não solucionada no prazo estabelecido em 
regulamentação” (BRASIL, 2018).
Gabarito 147
5 Proteção de dados pessoais e governança 
corporativa
1. O sistema de compliance está estruturado em torno do tripé prevenção, 
detecção e punição. O seu objetivo principal é a prevenção, voltada à 
evitação de procedimentos incorretos ou ilícitos, de modo a prevenir 
que algo errado venha a ocorrer, mas, quando isso não for possível, 
que seja possível sua detecção e correção. A detecção das condutas 
desvirtuadas e a forma como a organização responde a tais incidentes 
são fundamentais para a efetividade do sistema.
2. O apoio da alta administração é fundamental para o sucesso de 
qualquer programa de integridade. O posicionamento e a liderança 
conferem credibilidade ao programa de integridade que se pretende 
implementar e é crucial para reforçar uma cultura organizacional 
acorde com os valores da organização. Por isso, a orientação quanto à 
adequação dos processos internos e implementação das boas práticas 
adotadas ocorre de cima para baixo (top down).
Quanto ao tema da proteção de dados, o engajamento da alta 
administração no projeto de adequação desenvolvido reflete os 
valores considerados pela organização e seu comprometimento com a 
proteção dos dados pessoais nas atividades de tratamento que realiza, 
sendo fundamental para o sucesso do projeto e para a efetivação das 
soluções propostas.
3. O inciso I do artigo 50 da LGPD (BRASIL, 2018) estabelece que um 
programa de governança em privacidade deverá contemplar no 
mínimo: i) demonstrar o comprometimento do controlador em adotar 
processos e políticas internas que assegurem o cumprimento, de 
modo abrangente, de normas e boas práticas relativas à proteção de 
dados pessoais; ii) ser aplicável a todo o conjunto de dados pessoais 
que estejam sob seu controle, independentemente do modo como se 
realizou sua coleta; iii) ser adaptado à estrutura, à escala e ao volume 
de suas operações, bem como à sensibilidade dos dados tratados; iv) 
estabelecer políticas e salvaguardas adequadas com base em processo 
de avaliação sistemática de impactos e riscos à privacidade; v) ter o 
objetivo de estabelecer relação de confiança com o titular, por meio 
de atuação transparente e que assegure mecanismos de participação 
do titular; vi) estar integrado a sua estrutura geral de governança e 
estabelecer e aplicar mecanismos de supervisão internos e externos; 
vii) contar com planos de resposta a incidentes e remediação; e (viii) ser 
148 LGPD – Lei Geral de Proteção de Dados Pessoais
a atualizado constantemente com substrato em informações obtidas 
com base em monitoramento contínuo e em avaliações periódicas.
Não há modelo rígido a ser seguido, porém, para que efetivo, a 
empresa deverá ser capaz de demonstrar a efetividade do programa 
implementado, em especial quando questionada pela Autoridade 
Nacional de Proteção de Dados.
6 Tutela jurisdicional da proteção de dados pessoais
1. A matéria é controversa. Parece válido afirmar que a LGPD prescreve 
hipóteses de responsabilidade civil subjetiva para os atos praticados 
pelos agentes de tratamento de dados que, por sua vez, convivem 
com situações pontuais de responsabilidade objetiva, fundada sobre 
o próprio risco (o que, aliás, foi referido pelo inciso II do artigo 44 do 
referido diploma legal).
2. Os diversos legitimados estão aptos à propositura de ações coletivas 
que possuam o mesmo objeto. Assim, por exemplo, tanto o MP quanto 
as associações civis poderão ajuizar ações civis públicas para proteção 
de direitos difusos em matéria de proteção de dados pessoais.
3. Não. Em vários de seus dispositivos, a LGPD sugere ter buscado 
inspiração no Código de Defesa do Consumidor. Além disso, a Lei 
Geral de Proteção de Dados reporta-se à Lei n. 8.078/1990 em matéria 
de responsabilidade civil e, ainda, no tocante a determinadas questões 
processuais. Por exemplo, o artigo 45 da LGPD preleciona que “as 
hipóteses de violação do direito do titular no âmbito das relações 
de consumo permanecem sujeitas às regras de responsabilidade 
previstas na legislação pertinente” (BRASIL, 2018).
CARREGANDO...
SANDRO M KOZIKOSKI 
ANNE CAROLINA STIPP AMADOR KOZIKOSKI 
RAFAELA VIALLE STROBEL DANTAS
Código Logístico
59865
ISBN 978-65-5821-029-0
9 7 8 6 5 5 8 2 1 0 2 9 0
LGPD -
 Lei Geral de Proteção de Dados Pessoais
SANDRO M
 KOZIKOSKI / ANNE CAROLINA STIPP AM
ADOR KOZIKOSKI / RAFAELA VIALLE STROBEL DANTAS
LGPD
LEI GERAL DE PROTEÇÃO
de dados pessoais