Responsabilização dos Agentes de Tratamento

Prévia do material em texto

Unidade IV
Responsabilização dos 
Agentes de Tratamento
Lei Geral de 
Proteção de 
Dados Pessoais
Diretor Executivo 
DAVID LIRA STEPHEN BARROS
Gerente Editorial 
CRISTIANE SILVEIRA CESAR DE OLIVEIRA
Projeto Gráfico 
TIAGO DA ROCHA
Autoria 
RAIANNY LIMA BARROS INTERAMINENSE
SILVIA CRISTINA DA SILVA
 
AUTORIA
Raianny Lima Barros Interaminense
Silvia Cristina da Silva 
Olá. Somos Raianny Lima Barros Interaminense e Silvia Cristina da Silva. 
Eu, Raianny, sou formada em Direito pela Universidade de Ciências 
Sociais Aplicadas (Unifacisa) e especialista em Direito Tributário pelo Ins-
tituto Brasileiro de Estudos Tributários (IBET). Atualmente sou professora 
conteudista e advogada. Como jurista, atuo na área de Direito Tributário. 
Antes de me dedicar integralmente à advocacia privada, tive experiência 
na área de direito público, em virtude do período de estágio na Procura-
doria da Fazenda Nacional e no Ministério Público Estadual. Sou apaixo-
nada e entusiasta pelo direito e adoro transmitir minha experiência de vida 
àqueles que estão iniciando em suas profissões. 
Eu, Silvia, sou mestre interdisciplinar em Educação, Ambiente e 
Sociedade – UNIFAE e tenho participação docente e discente no mestrado 
em Análise do Discurso - Universidade Federal de Buenos Aires. Sou 
especialista em Investigação de Antecedentes em instituições públicas e 
privadas; especialista em Docência do Ensino Superior e Direito e Educação 
pela Faculdade Campos Elíseos; pós-graduanda em EAD pela Faculdade 
Campos Elíseos e graduada em Ciências Jurídicas e Sociais – UNIFEOB. 
Atuo como vice-diretora acadêmica na Agência Nacional de Estudos em 
Direito ao Desenvolvimento (ANEDD); docente e conteudista em diversas 
instituições educacionais para cursos de graduação e pós-graduação; 
elaboradora de questões para concursos públicos em várias organizadoras; 
degravadora, redatora, tradutora e intérprete da língua espanhola.
Por isso, fomos convidadas pela Editora Telesapiens a integrar seu 
elenco de autores independentes. Estamos muito felizes em poder ajudar 
você nesta fase de muito estudo e trabalho. Conte conosco!
ICONOGRÁFICOS
Olá. Esses ícones irão aparecer em sua trilha de aprendizagem toda vez 
que:
INTRODUÇÃO:
para o início do 
desenvolvimento de 
uma nova compe-
tência;
DEFINIÇÃO:
houver necessidade 
de se apresentar um 
novo conceito;
NOTA:
quando forem 
necessários obser-
vações ou comple-
mentações para o 
seu conhecimento;
IMPORTANTE:
as observações 
escritas tiveram que 
ser priorizadas para 
você;
EXPLICANDO 
MELHOR: 
algo precisa ser 
melhor explicado ou 
detalhado;
VOCÊ SABIA?
curiosidades e 
indagações lúdicas 
sobre o tema em 
estudo, se forem 
necessárias;
SAIBA MAIS: 
textos, referências 
bibliográficas e links 
para aprofundamen-
to do seu conheci-
mento;
REFLITA:
se houver a neces-
sidade de chamar a 
atenção sobre algo 
a ser refletido ou dis-
cutido sobre;
ACESSE: 
se for preciso aces-
sar um ou mais sites 
para fazer download, 
assistir vídeos, ler 
textos, ouvir podcast;
RESUMINDO:
quando for preciso 
se fazer um resumo 
acumulativo das últi-
mas abordagens;
ATIVIDADES: 
quando alguma 
atividade de au-
toaprendizagem for 
aplicada;
TESTANDO:
quando o desen-
volvimento de uma 
competência for 
concluído e questões 
forem explicadas;
SUMÁRIO
A responsabilidade civil na Lei Geral de Proteção de Dados 
Pessoais ..........................................................................................................10
Tratamento irregular ...................................................................................................................... 10
Reparação de danos e responsabilidade civil ........................................................... 12
Excludentes de responsabilidade....................................................................................... 18
Fiscalização ....................................................................................................21
Autoridade Nacional de Proteção de Dados Pessoais ........................................ 21
Funções da autoridade nacional ......................................................................25
Do Conselho Nacional de Proteção de Dados Pessoais e da 
Privacidade .......................................................................................................................29
Boas práticas e governança ...................................................................33
Sanções administrativas ..........................................................................43
Parâmetros e critérios para a aplicação das sanções ..........................................47
Regulamento ..................................................................................................................................... 50
7
UNIDADE
04
Lei Geral de Proteção de Dados Pessoais
8
INTRODUÇÃO
O uso de dados nos negócios e políticas públicas se tornou 
imprescindível. Em vista disso, a Lei Geral de Dados Pessoais estabeleceu 
regras para as operações de tratamento de dados pessoais, com o afã de 
proteger a privacidade das pessoas. Do mesmo modo, a legislação trouxe 
exigência de medidas capazes de trazer mais segurança aos titulares dos 
dados pessoais. 
Ocorre que é possível que haja descumprimento da norma e, de 
algum modo, o titular venha a ser lesado por algum ato ilícito ou incidente 
de segurança. Nesse caso, quem irá responder pelo dano causado? Como 
a LGPD pode responsabilizar e exigir ressarcimento? Existirá fiscalização? 
Caso positivo, quem a realizará? Quais são as penalidades aplicadas? 
Todos esses questionamentos serão respondidos nesta unidade, uma 
vez que iremos navegar pela forma de responsabilização, fiscalização, 
boas práticas e governança, além das sanções estabelecidas pela Lei. 
Preparado? Vamos juntos embarcar nesse conhecimento!
Lei Geral de Proteção de Dados Pessoais
9
OBJETIVOS
Olá. Seja muito bem-vinda (o). Nosso propósito é auxiliar você no 
desenvolvimento das seguintes objetivos de aprendizagem até o término 
desta etapa de estudos:
1. Identificar e mensurar a repercussão da responsabilidade civil na 
proteção de dados;
2. Identificar as autoridades responsáveis pela fiscalização do uso 
inapropriado dos dados alheios;
3. Aplicar as regras e boas práticas de governança, que podem ser 
implementadas pelos agentes de tratamento;
4. Entender as hipóteses de sanções administrativas em caso de 
descumprimento da LGPD. 
Então? Preparado para uma viagem sem volta rumo ao conhecimento? 
Ao trabalho! 
Lei Geral de Proteção de Dados Pessoais
10
A responsabilidade civil na Lei Geral de 
Proteção de Dados Pessoais 
INTRODUÇÃO:
Ao término deste capítulo você será capaz de identificar 
e mensurar a responsabilidade civil apresentada pela Lei 
Geral de Proteção de Dados Pessoais. Esse conhecimento 
é essencial para compreender as hipóteses em que haverá 
responsabilização e ressarcimento de danos. E então? 
Motivado para desenvolver essa competência? Então, 
vamos lá. Avante!
Tratamento irregular
A Lei Geral de Proteção de Dados Pessoais, visando salvaguardar os 
direitos dos titulares, estabeleceu a responsabilidade do controlador e do 
operador nos casos em que o tratamento for considerado irregular e gerar 
danos. Veja o que dispõe o seu artigo 44.
Art. 44. O tratamento de dados pessoais será irregular quando 
deixar de observar a legislação ou quando não fornecer a 
segurança que o titular dele pode esperar, consideradas as 
circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à 
época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da 
violação da segurança dos dados o controlador ou o operador 
que, ao deixar de adotar as medidas de segurança previstas 
no art. 46 desta Lei, der causaao dano. (BRASIL, 2018)
Lei Geral de Proteção de Dados Pessoais
11
Como se vê, toda vez que os agentes de tratamento não aplicarem 
a LGPD aos tratamentos de dados ou não aplicarem as medidas de 
segurança exigidas pela Lei, será irregular, conforme se verifica na figura 1. 
Figura 1 - Efeitos do descumprimento da LGPD
Responsabilidade 
das partes
Inobservância da 
norma
Fonte: Elaborado pelas autoras com base em Brasil, 2018.
Logo, havendo dano em virtude da ausência de técnicas de 
segurança obrigatórias, o controlador e o operador irão responder por 
esses danos. 
Sobre o tratamento irregular, Mello é certeiro ao pontuar que se 
trata de “tratamento ilícito, toda operação que não corresponde com as 
expectativas do titular, levando em consideração um rol de circunstâncias 
que envolvem um cerne comum: práticas éticas e medidas de segurança” 
(MELLO, 2019, p. 209).
Nesse ponto, cumpre ressaltar a importância de os agentes de 
tratamento efetuarem o registro de todas as operações de dados que 
realizarem, conforme determinação do art. 37 da LGPD, uma vez que irá 
facilitar a demonstração de todos os aspectos do tratamento, de modo 
a contribuir com a fiscalização, ao mesmo tempo em que auxilia na 
comprovação do atendimento às normas da LGPD por parte dos agentes 
(BRASIL, 2018).
IMPORTANTE:
A responsabilização dos agentes de tratamento é 
reflexo da aplicação dos princípios da segurança e da 
prevenção, constantes no art. 6º, VII e VIII da LGPD, eis 
que estes determinam a adoção de medidas técnicas e 
administrativas de segurança para casos acidentais ou 
ilícitos e a antecipação dos riscos, com o fito de proteger os 
dados pessoais (BRASIL, 2018).
Lei Geral de Proteção de Dados Pessoais
12
Percebe-se, portanto, que “o controlador deve ter da primazia à 
preservação da privacidade do titular por meio de medidas técnicas 
eficazes”, sob pena de ser responsabilizado pelos danos decorrentes do 
descumprimento dessa obrigação (MELLO, 2019, p. 210).
Além desta hipótese de responsabilização dos agentes de 
tratamento dos dados pessoais, há previsão de reparação dos danos 
causados aos titulares. Vamos aprender?
Reparação de danos e responsabilidade civil
Os agentes de tratamento, controlador ou o operador serão 
responsáveis por reparar o dano causado a terceiro, nos termos do art. 
42 da Lei Geral de Proteção de Dados Pessoais. Observe o que dispõe o 
dispositivo.
Art. 42. O controlador ou o operador que, em razão do exercício 
de atividade de tratamento de dados pessoais, causar a outrem 
dano patrimonial, moral, individual ou coletivo, em violação 
à legislação de proteção de dados pessoais, é obrigado a 
repará-lo. (BRASIL, 2018)
Fica claro, portanto, que no âmbito das operações de dados 
pessoais se houver dano causado a terceiro, em virtude de desobediência 
das normas contidas na LGPD, o controlador ou o operador devem reparar 
o dano a que deram causa, conforme é possível verificar na figura 2. 
Figura 2 - Reparação dos danos
Operações de 
dados pessoais
Danos causados a 
terceiros
Reparação dos 
danos pelo 
operador
Fonte: Elaborado pelas autoras com base em Brasil, 2018.
Vale salientar que se está diante de um caso de responsabilidade 
civil. Com efeito, sobre o conceito em questão, Mello (2019) esclarece que:
A responsabilidade civil surge quando ocorre uma violação de 
norma jurídica preexistente, podendo ser tal norma contratual 
ou extracontratual. A violação do direito gera a possibilidade 
Lei Geral de Proteção de Dados Pessoais
13
para o ofendido requerer uma indenização por parte do ofen-
sor, sendo que a ofensa pode ocorrer na modalidade patrimo-
nial ou moral. (MELLO, 2019, p. 211-212)
Infere-se que o artigo 42 da Lei nº 13.709/2018 trouxe esse tipo 
de responsabilidade para o controlador e o operador, em razão das 
obrigações que esses agentes possuem de proteger os dados pessoais 
através da aplicação integral das normas da Lei.
ACESSE:
A responsabilidade civil, como dito, pode ser contratual ou 
extracontratual. Para saber mais sobre essas espécies, leia 
os artigos 389 e seguintes; e art. 186 e seguintes do Código 
Civil, os quais abordam a responsabilidade contratual e 
extracontratual, respectivamente. Clique aqui para acessar. 
Quanto ao tema, você sabe dizer quando se configura a responsa-
bilidade civil?
De início, cumpre mencionar que há discussão acerca dos elementos 
necessários para a caracterização da responsabilidade civil. É que parte 
da doutrina defende que a culpa seria um requisito indispensável para a 
configuração da responsabilidade (TARTUCE, 2020).
Por outro lado, há quem defenda que a culpa não é um pressuposto 
da responsabilidade civil e que para a sua caracterização bastam três 
elementos, quais sejam (MELLO, 2019, p. 212):
1. Conduta humana.
2. Nexo de causalidade.
3. Dano.
Em síntese, a responsabilidade civil pode ser dividida em objetiva, 
quando a culpa não é analisada; e subjetiva, no caso em que a culpa é 
requisito para a obrigação de indenizar. 
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm
14
Figura 3 - Responsabilidade civil 
Objetiva
Responsabilidade 
civil
Subjetiva
Fonte: Elaborado pelas autoras com base em Mello, 2019, p. 12.
No caso da Lei Geral de Proteção de Dados Pessoais, o seu artigo 42 
não faz menção à culpa do agente, de modo que se pode concluir que a 
Lei optou por estabelecer a responsabilidade civil objetiva (MELLO, 2019).
IMPORTANTE:
Para Mello (2019), a justificativa da responsabilidade civil 
objetiva se encontra no art. 927, parágrafo único do Código 
Civil, que dispõe sobre a obrigação de reparação de dano 
independente de culpa, sempre quando for especificado 
em lei ou quando a atividade realizada significar riscos 
para terceiros, como é o caso do tratamento dos dados 
(BRASIL, 2002).
Pois bem, vimos que tanto o controlador, quanto o operador serão 
responsabilizados em caso de dano causado a terceiro pela atividade de 
tratamento de dados pessoais, mas e o encarregado?
Sobre o questionamento, temos as precisas lições de Mello (2019).
O inciso III do art. 43 menciona que quando terceiros (qualquer 
pessoa fora da relação entre agentes de tratamento e titular) 
forem os responsáveis pelo dano causado, existe uma 
hipótese de excludente de responsabilidade dos agentes, 
recaindo tal responsabilidade sobre o encarregado se for o 
terceiro envolvido, mas também pode ser atinente a um cyber 
criminoso (o que será demasiadamente difícil de comprovar). 
(MELLO, 2019, p. 213)
Lei Geral de Proteção de Dados Pessoais
15
Nesse ponto, cumpre recordar que o encarregado é responsável 
pela comunicação entre os titulares, o controlador e a autoridade nacional 
de proteção de dados pessoais, conforme disposição expressa do art. 5º, 
VIII da LGPD (BRASIL, 2018).
É induvidoso, mercê de tudo isso, que é possível que o encarregado 
cometa um erro na comunicação, que acarrete o dano ao terceiro, logo, 
pode, nesse caso, ser responsabilizado.
Outrossim, o §1º do art. 42 da LGPD trouxe a hipótese da responsa-
bilidade solidária, senão, veja-se:
§ 1º A fim de assegurar a efetiva indenização ao titular dos 
dados:
I - o operador responde solidariamente pelos danos causados 
pelo tratamento quando descumprir as obrigações da legis-
lação de proteção de dados ou quando não tiver seguido as 
instruções lícitas do controlador, hipótese em que o operador 
equipara-se ao controlador, salvo nos casos de exclusão pre-
vistos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos 
no tratamento do qual decorreram danos ao titular dos dados 
respondem solidariamente, salvo nos casos de exclusão 
previstos no art. 43 desta Lei. (BRASIL, 2018)
Portanto, caso o operador não siga as ordens do controlador ou 
atue em desconformidade com a LGPD, responderá solidariamente 
pelos danos causados. Além do mais, na hipótese de existirmais de um 
controlador realizando o tratamento, estes responderão solidariamente.
IMPORTANTE:
A responsabilidade solidária consiste no fato de a pessoa 
prejudicada poder exigir a indenização de qualquer um 
dos envolvidos, sem existir nenhuma ordem de preferência 
(MELLO, 2019).
Lei Geral de Proteção de Dados Pessoais
16
Por seu turno, o §2º do art. 42 da LGPD apresenta a possibilidade de 
inversão do ônus da prova. Leia com atenção o parágrafo.
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova 
a favor do titular dos dados quando, a seu juízo, for verossímil 
a alegação, houver hipossuficiência para fins de produção de 
prova ou quando a produção de prova pelo titular resultar-lhe 
excessivamente onerosa. (BRASIL, 2018)
Ao que se vê, sempre que houver alguma dificuldade em uma das 
partes conseguir a prova, é possível que haja a inversão do ônus da prova, 
ou seja, sua flexibilização.
Cumpre registrar que essa disposição já existe no Código de 
Processo Civil, em seu art. 373, §1º, observe-se:
Art. 373. O ônus da prova incumbe:
1º Nos casos previstos em lei ou diante de peculiaridades 
da causa relacionadas à impossibilidade ou à excessiva 
dificuldade de cumprir o encargo nos termos do  caput  ou 
à maior facilidade de obtenção da prova do fato contrário, 
poderá o juiz atribuir o ônus da prova de modo diverso, desde 
que o faça por decisão fundamentada, caso em que deverá 
dar à parte a oportunidade de se desincumbir do ônus que lhe 
foi atribuído. (BRASIL, 2015)
Outrossim, a Lei Geral de Proteção de Dados Pessoais determinou 
o seguinte em seu §3º do art. 42:
§ 3º As ações de reparação por danos coletivos que tenham 
por objeto a responsabilização nos termos do  caput  deste 
artigo podem ser exercidas coletivamente em juízo, observado 
o disposto na legislação pertinente. (BRASIL, 2018)
Nessa perspectiva, cabe ressaltar que os direitos coletivos se 
dividem entre direitos essencialmente coletivos e direitos acidentalmente 
coletivos, segundo Mello (2019), conforme se verifica na figura 4 
apresentada a seguir.
Lei Geral de Proteção de Dados Pessoais
17
Figura 4 - Direitos coletivos
Acidentalmente 
coletivos
Direitos coletivos
Essencialmente 
coletivos
Fonte: Elaborado pelas autoras com base em Mello, 2019, p. 213.
Mas o que significa isso?
A respeito dos direitos essencialmente coletivos, precisas são as 
lições de Mello (2019):
(i) difusos, (os transindividuais, de natureza indivisível, de 
que sejam titulares pessoas indeterminadas e ligadas 
por circunstâncias de fato) e (ii) coletivos stricto sensu (os 
transindividuais, de natureza indivisível de que seja titular grupo, 
categoria ou classe de pessoas ligadas entre si ou com a parte 
contrária por uma relação jurídica base). (MELLO, 2019, p. 214)
Já o direito acidentalmente coletivo é aquele individual que se trata 
de maneira coletiva. Logo, falar em “tutela coletiva de direitos significa 
dizer que os direitos são individuais, porém tutelados de maneira coletiva” 
(MELLO, 2019, p. 214).
Existem legislações que devem ser observadas, eis que tratam da 
tutela coletiva de direitos. É o caso do mandado de segurança coletivo, 
previsto no art. 5º, LXX da CF (BRASIL, 1988); Lei da Ação Civil Pública (Lei 
nº 7.347/1985) e a Lei de Ação Popular (Lei nº 4.717/1965), de acordo com 
Mello (2019).
Por seu turno, o §4º do art. 42 estabelece a possibilidade de ação 
de regresso com os demais responsáveis solidários. Ora, não seria justo 
que duas pessoas sejam igualmente responsáveis e apenas uma sofra o 
encargo financeiro de reparação de dano, não é mesmo?
Lei Geral de Proteção de Dados Pessoais
18
Leia com atenção o referido dispositivo:
§ 4º Aquele que reparar o dano ao titular tem direito de 
regresso contra os demais responsáveis, na medida de sua 
participação no evento danoso. (BRASIL, 2018)
O mesmo direito de regresso está previsto no art. 934 do Código 
Civil, veja-se: “Art. 934. Aquele que ressarcir o dano causado por outrem 
pode reaver o que houver pago daquele por quem pagou, salvo se 
o causador do dano for descendente seu, absoluta ou relativamente 
incapaz” (BRASIL, 2002).
Ademais, o art. 45 da Lei Geral de Proteção de Dados Pessoais 
estabelece o seguinte:
Art. 45. As hipóteses de violação do direito do titular no âmbito 
das relações de consumo permanecem sujeitas às regras de 
responsabilidade previstas na legislação pertinente. (BRASIL, 
2018)
Depreende-se, portanto, que o referido artigo representa a 
efetivação do princípio da especialidade, em que a lei específica prevalece 
em detrimento da lei geral (MELLO, 2019).
Após conhecer as hipóteses de responsabilidade dos agentes 
de tratamento, em virtude do dano causado a terceiro no âmbito das 
operações de dados pessoais, passa-se a analisar as causas de exclusão 
de responsabilidade.
Excludentes de responsabilidade
A Lei Geral de Proteção de Dados Pessoais trouxe hipóteses de 
exclusão de responsabilidade dos agentes de tratamento em relação ao 
dano causado a terceiro, em seu art. 43. Observe o que dispõe o artigo:
Art. 43. Os agentes de tratamento só não serão responsabilizados 
quando provarem:
I - que não realizaram o tratamento de dados pessoais que 
lhes é atribuído;
Lei Geral de Proteção de Dados Pessoais
19
II - que, embora tenham realizado o tratamento de dados 
pessoais que lhes é atribuído, não houve violação à legislação 
de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos 
dados ou de terceiro. (BRASIL, 2018)
A primeira hipótese, constante no inciso I, se refere ao fato de que 
os agentes não realizaram o tratamento, logo, não deram causa ao dano 
sofrido em razão dessa operação. 
Por seu turno, a segunda hipótese (inciso II) está ligada ao fato de 
que, em que pese existir dano a terceiro causado pelo tratamento de 
dados pessoais, este foi realizado em conformidade com todas as normas 
da LGPD.
Trata-se, em verdade, de exercício regular de direito, previsto 
também no art. 188, I do Código Civil e afasta a responsabilidade, pelo 
simples fato de que o agente não desrespeitou a lei em nenhum momento, 
logo, não deve sofrer o encargo de reparar os danos sofridos por terceiro 
(MELLO, 2019).
Ora, não seria justo que uma pessoa respeitando todas as regras 
seja responsabilizado pelos danos de terceiros, não é mesmo?
Por fim, a LGPD determinou como hipótese de exclusão de 
responsabilidade os casos em que o dano foi causado exclusivamente 
pelo terceiro ou titular dos dados, conforme inciso III do art. 43 da Lei 
(BRASIL, 2018).
Lei Geral de Proteção de Dados Pessoais
20
RESUMINDO:
E então? Gostou do que lhe mostramos? Aprendeu tudo? 
Agora, só para termos certeza de que você realmente 
entendeu o tema de estudo deste capítulo, vamos resumir 
tudo o que vimos. Você deve ter aprendido que o tratamento 
irregular de dados se configura pela não obediência à 
Lei Geral de Proteção de Dados Pessoais, bem como 
pela não adoção das medidas técnicas e administrativas 
de segurança exigidas pela Lei. Portanto, você viu que 
nos casos em que os agentes de tratamento deixarem 
de adotar medidas de segurança e, por esse motivo, 
causarem danos a terceiros, os agentes irão responder por 
esses danos. Ademais, você deve ter aprendido que os 
agentes irão responder pelos danos patrimoniais, morais, 
individuais ou coletivos causados pela violação da LGPD 
no tratamento de dados pessoais. Viu que essa disposição 
legal consiste na responsabilidade civil, que ocorre 
pela violação de norma contratual ou extracontratual. 
Sobre os pressupostos da responsabilidade civil, alguns 
autores entendem que deve ser incluída a culpa, outros 
defendem que são apenas três: conduta humana, nexo 
de causalidade e dano. Você aprendeu também que a 
LGPD, por não fazer menção ao elemento da culpa, traz 
a figura da responsabilidade objetiva. Viu também que o 
encarregado pode ser responsabilizado apenas nos casosem que causar exclusivamente o dano. Viu, ainda, que a 
responsabilidade é solidária, uma vez que se pode exigir 
a reparação tanto do controlador quanto do operador, ou 
de qualquer um dos controladores, sem ordem correta. 
Há, nesse caso, direito de regresso daquele que pagou o 
encargo contra o outro responsável. Você também deve ter 
aprendido que há na LGPD previsão de inversão do ônus 
da prova quando houver dificuldades de uma das partes 
conseguir. Ademais, em prol do princípio da especialidade, 
nos casos de violação de tratamento de dados relacionado 
com o consumo, deve-se observar a legislação pertinente 
à área. Por fim, você viu que são três as hipóteses de 
exclusão da responsabilidade: quando os agentes não 
realizarem o tratamento; quando os agentes obedecerem 
à LGPD e quando o dano for causado exclusivamente por 
terceiro ou pelo titular dos dados.
Lei Geral de Proteção de Dados Pessoais
21
Fiscalização
INTRODUÇÃO:
A fiscalização de uma norma é de suma importância para 
garantir o seu fiel cumprimento, bem como penalizar 
aqueles que não a estiverem cumprindo. Neste capítulo, 
iremos identificar os agentes competentes por realizar a 
fiscalização do tratamento dos dados pessoais. Pronto? 
Vamos lá.
Autoridade Nacional de Proteção de Dados 
Pessoais
Inicialmente, cabe destacar que a Autoridade Nacional de Proteção 
de Dados Pessoais (ANPD) é responsável pela fiscalização da Lei Geral de 
Proteção de Dados Pessoais (LGPD), conforme previsão do inciso XIX, art. 
5º da LGPD (BRASIL, 2018).
Mas o que é a autoridade nacional? A ANPD é um órgão da 
administração pública federal, veja:
Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade 
Nacional de Proteção de Dados (ANPD), órgão da administração 
pública federal, integrante da Presidência da República.
§ 1º A natureza jurídica da ANPD é transitória e poderá 
ser transformada pelo Poder Executivo em entidade da 
administração pública federal indireta, submetida a regime 
autárquico especial e vinculada à Presidência da República.
§ 2º A avaliação quanto à transformação de que dispõe o § 1º 
deste artigo deverá ocorrer em até 2 (dois) anos da data da 
entrada em vigor da estrutura regimental da ANPD.
§ 3º O provimento dos cargos e das funções necessários à 
criação e à atuação da ANPD está condicionado à expressa 
Lei Geral de Proteção de Dados Pessoais
22
autorização física e financeira na lei orçamentária anual e à 
permissão na lei de diretrizes orçamentárias.
Art. 55-B. É assegurada autonomia técnica e decisória à ANPD. 
(BRASIL, 2018)
Fica claro, portanto, que não haverá oneração do Estado com a 
criação da autoridade nacional, uma vez que serão utilizados cargos de 
órgãos e entidades já existentes, de acordo com o que dispões o art. 55-H 
da LGPD (BARROS; FERREIRA, 2019).
A autoridade nacional é o “órgão da administração pública respon-
sável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo 
o território nacional”, conforme art. 5º, XIX da LGPD (BRASIL, 2018).
A composição da ANPD se dará da seguinte maneira:
Art. 55-C. A ANPD é composta de:
I - Conselho Diretor, órgão máximo de direção;
II - Conselho Nacional de Proteção de Dados Pessoais e da 
Privacidade;                     
III – Corregedoria;
IV - Ouvidoria;  
V - Órgão de assessoramento jurídico próprio; e
VI - Unidades administrativas e unidades especializadas 
necessárias à aplicação do disposto nesta Lei. (BRASIL, 2018)      
No que se refere ao Conselho Diretor, tem-se a seguinte previsão 
do art. 55-D:           
Art. 55-D. O Conselho Diretor da ANPD será composto de 5 
(cinco) diretores, incluído o Diretor-Presidente.      
§ 1º Os membros do Conselho Diretor da ANPD serão 
escolhidos pelo Presidente da República e por ele nomeados, 
após aprovação pelo Senado Federal, nos termos da alínea 
‘f’ do inciso III do art. 52 da Constituição Federal, e ocuparão 
Lei Geral de Proteção de Dados Pessoais
23
cargo em comissão do Grupo-Direção e Assessoramento 
Superiores - DAS, no mínimo, de nível 5.
§ 2º Os membros do Conselho Diretor serão escolhidos dentre 
brasileiros que tenham reputação ilibada, nível superior de 
educação e elevado conceito no campo de especialidade dos 
cargos para os quais serão nomeados.                
§ 3º O mandato dos membros do Conselho Diretor será de 4 
(quatro) anos.        
§ 4º Os mandatos dos primeiros membros do Conselho Diretor 
nomeados serão de 2 (dois), de 3 (três), de 4 (quatro), de 5 (cinco) 
e de 6 (seis) anos, conforme estabelecido no ato de nomeação.                  
§ 5º Na hipótese de vacância do cargo no curso do mandato 
de membro do Conselho Diretor, o prazo remanescente será 
completado pelo sucessor. (BRASIL, 2018)                 
Ao que se vê, o mandato dos membros do Conselho Diretor 
apresenta prazo de duração diferentes, logo pode-se concluir que a 
substituição não será simultânea (BARROS; FERREIRA, 2019).
Cumpre registrar que esses membros poderão perder o cargo nas 
seguintes hipóteses elencadas pelo art. 55-E da LGPD (BRASIL, 2018):
1. Renúncia.
2. Condenação judicial transitada em julgado.
3. Pena de demissão decorrente de processo administrativo disciplinar.
Figura 5 - Pressupostos para a perda de cargos
Renúncia
Condenação 
judicial
Pressuposto para 
a perda de cargos
Processo 
administrativo 
disciplinar
Fonte: Elaborado pelas autoras com base em Mello, 2019, p. 213.
Lei Geral de Proteção de Dados Pessoais
24
Cumpre registrar que o processo administrativo disciplinar será 
instaurado pelo Ministro de Estado Chefe da Casa Civil da Presidência da 
República e “conduzido por comissão especial constituída por servidores 
públicos federais estáveis”, conforme preceitua o §1º do art. 55-E da LGPD 
(BRASIL, 2018).
Além disso, é o Presidente da República que irá decidir acerca 
do PAD, bem como determinar o afastamento preventivo do membro, 
quando recomendado pela comissão especial, nos moldes do §2º do art. 
55-E da LGPD (BRASIL, 2018).
Após o exercício do cargo, nos termos do art. 55-F da LGPD, os 
membros do Conselho Diretor observaram o disposto no art. 6º da Lei 
nº 12.813/2013, que trata sobre as hipóteses de conflito de interesse, que 
pode ser configurada como improbidade administrativa (BRASIL, 2018). 
ACESSE:
Para conhecer as hipóteses de conflito de interesse após 
o exercício do cargo ou emprego, leia o art. 6º da Lei nº 
12.813/2013. Clique aqui para acessar. 
Outrossim, a estrutura regimental da autoridade nacional será 
decidida pelo Presidente da República, recebendo a ANPD apoio técnico 
e administrativo da Casa Civil da Presidência da República, conforme art. 
55-G, §1º da LGPD (BRASIL, 2018).
IMPORTANTE:
O regimento interno da autoridade nacional de proteção de 
dados será feito pelo Conselho Diretor, o qual também será 
responsável pela indicação das pessoas para os cargos em 
comissão e das funções de confiança da ANPD, nomeadas 
pelo diretor presidente, nos termos do §2º do art. 55-G e art. 
55-I da LGPD (BRASIL, 2018).
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12813.htm
25
Funções da autoridade nacional
A autoridade nacional de proteção de dados pessoais possui 
funções extremamente importantes para o bom funcionamento das 
operações com dados. Nesse contexto, Barros e Ferreira (2019) elencam 
como funções da ANPD as seguintes apresentadas na figura 6 a seguir:
Figura 6 - Funções da autoridade nacional
Integrativa Interpretação
Fiscalização Legislativa
Fonte: Elaborado pelas autoras com base em Barros e Ferreira, 2019, p. 21.
Acerca das competências da autoridade nacional, elucidativas são 
as lições de Barros e Ferreira (2019):
(i) editar normas e procedimentos sobre a proteção de dados 
pessoais, (ii) requisitar informações, a qualquer momento, aos 
controlares e operadores de dados pessoais que realizem 
operações de tratamento de dados pessoais, (iii) fiscalizar e 
aplicarsanções na hipótese de tratamento de dados realizado 
em descumprimento à legislação, mediante processo 
administrativo que assegure o contraditório, a ampla defesa 
e o direito de recurso, (iv) promover ações de cooperação 
com autoridades de proteção de dados pessoais de outros 
países, de natureza internacional ou transacional. (BARROS; 
FERREIRA, 2019, p. 263)
Depreende-se do disposto que a autoridade nacional é responsável 
pela regulamentação do tratamento dos dados pessoais, desde a 
elaboração de normas, sua interpretação, solicitação de informações dos 
agentes de tratamento, fiscalização e promoção de cooperação.
Lei Geral de Proteção de Dados Pessoais
26
ACESSE:
Para conhecer todas as funções da autoridade nacional de 
proteção de dados, leia o art. 55-J da Lei Geral de Proteção 
de Dados Pessoais. Clique aqui para acessar. 
Assim é que se pode afirmar que a autoridade nacional possui grande 
relevância no âmbito administrativo do tratamento de dados pessoais, eis 
que além de regulamentar a operação, interpreta as normas contidas na 
LGPD, a fim de nortear a aplicação da Lei (BARROS; FERREIRA, 2019).
Especificadamente à função de fiscalização, a ANPD irá poder 
realizá-la através da solicitação de informações dos agentes de tratamento, 
bem como por informações fornecidas pelos órgãos e entidades da 
administração pública.
Outrossim, em temas de relevante interesse público, a ANPD pode 
realizar consultas e audiências públicas, a fim de sanar possíveis dúvidas. 
Sobre o tema, pontuam Barros e Ferreira (2019):
Confere à ANPD o dever de consultar e se articular aos 
demais órgãos e autarquias especializados, como agências 
reguladoras, na tentativa de corrigir falhas de mercado, 
sempre no interesse público. Essa articulação é relevante no 
momento em que confere maior legitimidade e tecnicidade ao 
processo regulatório. (BARROS; FERREIRA, 2019, p. 264-265)
Como se vê, a autoridade nacional pode entrar em contato com 
entidades ou órgãos da administração pública para elucidar determinados 
assuntos. Nesse ponto, cumpre destacar que a ANPD lidará com diversos 
temas, eis que atuará em todo e qualquer tipo de tratamento de dados 
pessoais, o que resulta no contato com uma gama de setores da economia.
Nessa linha, observe o que dispõe os §§3º e 4º do art. 55-J da LGPD:
§ 3º A ANPD e os órgãos e entidades públicos responsáveis 
pela regulação de setores específicos da atividade econômica 
e governamental devem coordenar suas atividades, nas 
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
27
correspondentes esferas de atuação, com vistas a assegurar 
o cumprimento de suas atribuições com a maior eficiência e 
promover o adequado funcionamento dos setores regulados, 
conforme legislação específica, e o tratamento de dados 
pessoais, na forma desta Lei.
§ 4º A ANPD manterá fórum permanente de comunicação, 
inclusive por meio de cooperação técnica, com órgãos 
e entidades da administração pública responsáveis pela 
regulação de setores específicos da atividade econômica e 
governamental, a fim de facilitar as competências regulatória, 
fiscalizatória e punitiva da ANPD. (BRASIL, 2018)
Ressalte-se que as consultas e audiências públicas são exigidas 
quando a ANPD for elaborar os regulamentos e as normas editadas, em 
virtude do disposto no §2º, do art. 55-J, da LGPD (BRASIL, 2018).
Por sua vez, também é requisito para a edição de normas e 
regulamento pela autoridade nacional, as análises de impacto regulatório, 
por expressa previsão do §2º, do art. 55-J da Lei nº 13.709/2018.
Retomando o assunto da fiscalização, caso a autoridade nacional 
verifique descumprimento da Lei Geral de Proteção de Dados Pessoais, 
poderá no mesmo momento aplicar a sanção cabível, sendo garantido 
o processo administrativo, oportunidade em que será garantido o 
contraditório e a ampla defesa (BARROS; FERREIRA, 2019).
Nessa perspectiva, poderá ser interposto recurso contra a decisão 
administrativa, e caso esta não seja reconsiderada, será encaminhada à 
autoridade superior, conforme previsão contida no artigo 56, §1º da Lei nº 
9.784/1999. 
IMPORTANTE:
Barros e Ferreira atestam que “devido à autonomia técnica 
da ANPD, não é possível interpor recurso hierárquico 
impróprio em razão das decisões proferidas pelo órgão. 
No entanto, o controle judicial dos atos da autoridade é 
possível” (BARROS; FERREIRA, 2019, p. 266).
Lei Geral de Proteção de Dados Pessoais
28
Partindo da premissa que a atividade de fiscalização por parte da 
ANPD poderá acarretar identificação de descumprimento da Lei Geral de 
Proteção de Dados Pessoais e, por consequência, a adoção de sanções, 
o art. 55-K da LGPD trouxe a seguinte determinação:
Art. 55-K. A aplicação das sanções previstas nesta Lei compete 
exclusivamente à ANPD, e suas competências prevalecerão, 
no que se refere à proteção de dados pessoais, sobre as 
competências correlatas de outras entidades ou órgãos da 
administração pública.
Parágrafo único. A ANPD articulará sua atuação com outros ór-
gãos e entidades com competências sancionatórias e normati-
vas afetas ao tema de proteção de dados pessoais e será o ór-
gão central de interpretação desta Lei e do estabelecimento de 
normas e diretrizes para a sua implementação. (BRASIL, 2018)
Ao que se depreende, a Lei determinou a proibição do bis in idem, 
que consiste em aplicar mais de uma sanção para um mesmo fato 
(BARROS; FERREIRA, 2019).
Por outro lado, a autoridade nacional tem a função integrativa, ou 
seja, deve promover “atividades integrativas, que possibilitem a difusão 
de conhecimento na sociedade sobre as normas e políticas públicas de 
proteção de dados pessoais e sobre as medidas de segurança” (BARROS; 
FERREIRA, 2019, p. 267).
Figura 7 - Função integrativa
Fonte: Elaborado pelas autoras com base em Barros e Ferreira, 2019, p. 268.
Lei Geral de Proteção de Dados Pessoais
29
Cabe destacar que, por se tratar de um órgão da administração 
pública, a ANPD não possui patrimônio e receita próprios, o que reduz sua 
autonomia e dificulta sua atuação.
Para Barros e Ferreira (2019) há “risco de sofrer ruptura por agentes 
do mercado, ou, ainda, se tornar refém de contingenciamentos ou 
restrição de recursos” (BARROS; FERREIRA, 2019, p. 267).
SAIBA MAIS:
As receitas da ANPD estão discriminadas no art. 55-L da Lei 
nº 13.709/2018. Clique aqui para acessar.
Do Conselho Nacional de Proteção de Dados 
Pessoais e da Privacidade
O Conselho Nacional de Proteção de Dados Pessoais e da 
Privacidade (CNPD) integra a estrutura da ANPD e é “responsável pela 
elaboração de estudos e realização de debates e audiências públicas, 
e também pela indicação, com caráter sugestivo, de ações a serem 
realizadas pela autoridade de dados” (BARROS; FERREIRA, 2019, p. 267).
A composição do CNPD será a seguinte:
Art. 58-A. O Conselho Nacional de Proteção de Dados 
Pessoais e da Privacidade será composto de 23 (vinte e três) 
representantes, titulares e suplentes, dos seguintes órgãos:
I - 5 (cinco) do Poder Executivo Federal:
II - 1 (um) do Senado Federal;
III - 1 (um) da Câmara dos Deputados;
IV - 1 (um) do Conselho Nacional de Justiça;
V - 1 (um) do Conselho Nacional do Ministério Público;
VI - 1 (um) do Comitê Gestor da Internet no Brasil;
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
30
VII - 3 (três) de entidades da sociedade civil com atuação 
relacionada a proteção de dados pessoais;
VIII - 3 (três) de instituições científicas, tecnológicas e de 
inovação;
IX - 3 (três) de confederações sindicais representativas das 
categorias econômicas do setor produtivo;
X - 2 (dois) de entidades representativas do setor empresarial 
relacionado à área de tratamento de dados pessoais; e
XI - 2 (dois) de entidades representativas do setor laboral.
Ao que se depreende, existe uma maior representatividadecivil no 
Conselho, sendo de grande valia mencionar que se busca promover a 
transparência do tratamento de dados, a fim de “garantir a accountability – 
ou prestação de contas – do órgão decisional” (BARROS; FERREIRA, 2019, 
p. 268).
Os representantes das entidades de sociedade civil com atuação 
na proteção de dados; instituições científicas, tecnológicas e de inovação; 
entidades representativas do setor empresarial ligado ao tratamento de 
dados e entidade representativas do setor laboral, serão indicados por 
regulamento e não podem compor o Comitê Gestor da Internet (CGI), 
conforme §3º do art. 58-A da LGPD (BRASIL, 2018).
REFLITA:
Caso fosse possível a indicação dos membros ao Comitê 
Gestor da Internet “poderia gerar distorções significativas no 
modelo proposto pela medida provisória”, não é mesmo? 
(BARROS; FERREIRA, 2019, p. 268).
O art. 58-B determina as funções do Conselho Nacional de Proteção 
de Dados Pessoais. Observe a dicção do artigo:
Art. 58-B. Compete ao Conselho Nacional de Proteção de 
Dados Pessoais e da Privacidade:
Lei Geral de Proteção de Dados Pessoais
31
I - propor diretrizes estratégicas e fornecer subsídios para 
a elaboração da Política Nacional de Proteção de Dados 
Pessoais e da Privacidade e para a atuação da ANPD;
II - elaborar relatórios anuais de avaliação da execução das 
ações da Política Nacional de Proteção de Dados Pessoais e 
da Privacidade;
III - sugerir ações a serem realizadas pela ANPD; 
IV - elaborar estudos e realizar debates e audiências públicas 
sobre a proteção de dados pessoais e da privacidade; e
V - disseminar o conhecimento sobre a proteção de dados 
pessoais e da privacidade à população. (BRASIL, 2018)
Fica claro, portanto, que o CNPD deve promover segurança aos 
titulares de dados e prestar orientação no âmbito dos tratamentos de 
dados pessoais, implementando a Política Nacional de Proteção de Dados 
Pessoais e da Privacidade (BARROS; FERREIRA, 2019).
Ademais, o CNPD irá fomentar o equilíbrio entre o desenvolvimento 
econômico através da possibilidade de utilização dos dados e a proteção 
dos direitos individuais pela regulamentação da proteção de dados.
Por fim, o Conselho será “responsável pela expansão do 
conhecimento da população no que se refere à proteção de dados 
pessoais” (BARROS; FERREIRA, 2019, p. 271).
Lei Geral de Proteção de Dados Pessoais
32
RESUMINDO:
Você aprendeu neste capítulo que a Autoridade Nacional de 
Proteção de Dados (ANPD) é responsável pela fiscalização 
do tratamento de dados pessoais e consiste em um órgão da 
administração pública federal indireta, que utiliza cargos de 
órgãos e entidades já existentes. Viu que a ANPD é composta 
por conselho diretor; conselho nacional de proteção de dados 
pessoais e de privacidade; corregedoria; ouvidoria; órgão de 
assessoramento jurídico próprio e unidades administrativas 
e unidades especializadas. Você aprendeu também que o 
conselho diretor é formado por cinco diretores escolhidos pelo 
presidente, dentre os brasileiros, com reputação ilibada, nível 
superior de educação e elevado conhecimento no campo da 
especialidade do cargo. Ainda, viu que esses membros podem 
perder o cargo por renúncia, condenação judicial transitada em 
julgado e pena decorrente de processo administrativo disciplinar. 
Além do mais, você viu que a estrutura regimentar da ANPD é 
escolhida pelo Presidente e que as funções da autoridade são a 
de fiscalizar, elaborar normas, interpretar e integrativa. Outrossim, 
viu que para a ANPD editar normas e regulamentos deve realizar 
consultas e audiências públicas, bem como análise de impacto 
regulatório. No âmbito da fiscalização, caso encontre alguma 
irregularidade, a autoridade pode aplicar sanção, devendo existir 
processo administrativo prévio. A LGPD também determinou a 
impossibilidade do bis in idem, ou seja, aplicar mais de uma sanção 
para um mesmo fato. A ANPD deverá realizar atividades integrativas 
para promover conhecimento da população sobre a proteção de 
dados. Por fim, viu que a autoridade nacional não possui patrimônio 
e receita próprios. Ademais, você aprendeu que o Conselho 
Nacional de Proteção de Dados e de Privacidade integra a ANPD 
e é composto por 23 representantes, em que cinco são do Poder 
Executivo Federal; um do Senado; um da Câmara dos Deputados; 
um do Conselho Nacional de Justiça; um do Conselho Nacional 
do Ministério Público; um do Comitê de Gestão da Internet; três 
da sociedade civil; três de instituições científicas, de tecnologia 
e inovação; três da Confederação Sindical representativas das 
categorias do setor produtivo, três de entidades representativas 
do setor empresarial e três das entidades representativas do setor 
laboral. Por fim, viu que o CNPD deve manter o equilíbrio entre o 
desenvolvimento econômico e a proteção dos direitos individuais, 
bem como promover o conhecimento da população.
Lei Geral de Proteção de Dados Pessoais
33
Boas práticas e governança 
INTRODUÇÃO:
Neste capítulo, você irá aprender as regras de boas práticas 
e governança e os agentes responsáveis por criá-las, no 
âmbito da proteção de dados pessoais. Esse conhecimento 
possui elevado valor para a manutenção do cumprimento 
da LGPD. Então? Está pronto para desenvolver essa 
competência? Vamos lá! 
A Lei Geral de Proteção de Dados Pessoais é a primeira 
legislação específica aplicável às operações com dados, logo, se trata 
da regulamentação dos tratamentos dos dados pessoais, com o fito 
de assegurar os direitos e as garantias individuais daqueles envolvidos 
nessas atividades, tendo em vista o risco dessas operações.
Nesse cenário, a LGPD se preocupou em fixar a criação das regras 
de boas práticas e governança, a fim de fomentar o controle das entidades 
sobre pessoas, processos e sistemas relacionados ao cumprimento da 
proteção de dados.
Mas o que se pode entender por “boas práticas” e “governança”?
A governança consiste no “ato diretivo a partir do qual são regidas 
empresas e demais instituições”, ao passo que as boas práticas são 
o “conjunto de princípios e ações voltado ao atingimento de metas, 
desenvolvimento da organização e manutenção da credibilidade do 
público em relação a esta” (LOPES, 2019b, p. 229-330).
Logo, as boas práticas e a governança nada mais são do que 
parte da estrutura organizacional de uma empresa, ligada às regras 
institucionais, alinhadas com a política interna de cada estabelecimento e 
ao cumprimento das normas.
Lei Geral de Proteção de Dados Pessoais
34
Figura 8 - Boas práticas e governança
Regras 
institucionais
Estrutura de uma 
empresa
Fonte: Elaborado pelas autoras com base em Lopes, 2019b, p. 229-330.
Ao lado dessas expressões está o compliance, muito comentando 
na atualidade, visto que se refere à conformidade de determinada pessoa 
jurídica às leis e regulamentos (LOPES, 2019b).
Sobre a importância das boas práticas e governança no âmbito da 
proteção de dados pessoais, Bioni (2019) explana:
Leis de proteção de dados pessoais compõem necessariamente 
esse arranjo de governança, na medida em que suas normas 
abraçam todo e qualquer processamento de dados que 
sujeite um indivíduo ou uma coletividade a uma decisão 
automatizada. Pouco importa se tal tratamento se centra em 
uma informação isolada ou agregada e que não revele uma 
pessoa direta ou indiretamente (dados anonimizados), desde 
que ele impacte a sua vida e, portanto, o livre desenvolvimento 
da sua personalidade. (BIONI, 2019, p. 113)
Dessa forma, a governança relacionada à LGPD revela sua essen-
cialidade para assegurar tanto o livre desenvolvimento da personalidade 
da pessoa humana quanto outros direitos fundamentais que a Lei busca 
proteger.
Logo, o incentivo para a adoção de boas práticas dentro de uma 
organização é a de fomentar internamente a realização de tratamento de 
dados pessoais seguros e adequados com a legislação pertinente.
Para Lopes (2019b), “a finalidade de tais regramentos seria a de 
assegurarmecanismos internos de controle e supervisão, bem como 
mitigar possíveis riscos, de forma a resguardar a empresa e inspirar 
confiabilidade do público” (LOPES, 2019b, p. 231).
Lei Geral de Proteção de Dados Pessoais
35
Note que a adoção de boas práticas e governança também é 
importante para as empresas, pois gera a confiança das pessoas em 
fornecer seus dados pessoais para o tratamento desta. 
Ora, se uma organização se mostra estruturada e preocupada com 
a proteção das informações e cumprimento da Lei, é de se concluir que é 
seguro disponibilizar dados para ela, não é mesmo?
Partindo dessa premissa, a Lei Geral de Proteção de Dados Pessoais 
fixou a competência dos agentes de tratamento, controlador e operador, 
para formular as regras de boas práticas e governança. Sobre o tema, 
observe o que dispõe o art. 50 da Lei:
Art. 50. Os controladores e operadores, no âmbito de 
suas competências, pelo tratamento de dados pessoais, 
individualmente ou por meio de associações, poderão formular 
regras de boas práticas e de governança que estabeleçam as 
condições de organização, o regime de funcionamento, os 
procedimentos, incluindo reclamações e petições de titulares, 
as normas de segurança, os padrões técnicos, as obrigações 
específicas para os diversos envolvidos no tratamento, as 
ações educativas, os mecanismos internos de supervisão 
e de mitigação de riscos e outros aspectos relacionados ao 
tratamento de dados pessoais. (BRASIL, 2018)
Como se vê, as regras podem ser elaboradas de forma individual 
ou coletiva, através de associações. Além do mais, deverão abordar todos 
os aspectos das atividades de tratamento de dados pessoais, com o fito 
de salvaguardar as operações como um todo, não dando margem para 
dúvidas sobre a forma de atuação.
Por seu turno, os agentes de tratamento, ao formular as 
mencionadas regras devem considerar “a natureza, o escopo, a finalidade 
e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes 
de tratamento de dados do titular”, conforme §1º do art. 50 da LGPD 
(BRASIL, 2018).
Lei Geral de Proteção de Dados Pessoais
36
SAIBA MAIS:
O incentivo da LGPD e as regras de boas práticas e 
governança estão em conformidade com os princípios 
gerais da segurança e da prevenção, de acordo com o §2º 
do art. 50 da Lei. Para recordar esses princípios, leia o art. 6º, 
VII e VIII da LGPD. Clique aqui para acessar.
Assim é que o §2º do art. 50 da Lei Geral de Proteção de Dados Pes-
soais determina que o controlador deve se atentar para as especificidades 
dos tratamentos em que opera, para formular as regras de boas práticas 
e governança de forma correta (BRASIL, 2018).
VOCÊ SABIA?
A GDPR apresenta como forma de governança os códigos 
de conduta “que são documentos a serem elaborados com 
o fito de harmonizar a correta aplicação da regulamentação 
com as especificidades e necessidades de cada setor” 
(LOPES, 2019b, p. 232).
Cumpre destacar que a LGPD tomou o cuidado de fixar requisitos 
mínimos para o programa de governança a ser elaborado pelo controlador, 
a fim de impedir a ausência de regramento acerca de algum ponto das 
operações de tratamento de dados pessoais.
Para que não haja dúvida, leia com atenção o §2º do art. 50 da LGPD:
§ 2º Na aplicação dos princípios indicados nos incisos VII e 
VIII do  caput  do art. 6º desta Lei, o controlador, observados 
a estrutura, a escala e o volume de suas operações, bem 
como a sensibilidade dos dados tratados e a probabilidade 
e a gravidade dos danos para os titulares dos dados, poderá:
I - implementar programa de governança em privacidade que, 
no mínimo:
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
37
a) demonstre o comprometimento do controlador em adotar 
processos e políticas internas que assegurem o cumprimento, 
de forma abrangente, de normas e boas práticas relativas à 
proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que 
estejam sob seu controle, independentemente do modo 
como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas 
operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base 
em processo de avaliação sistemática de impactos e riscos à 
privacidade;
e) tenha o objetivo de estabelecer relação de confiança com 
o titular, por meio de atuação transparente e que assegure 
mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e 
estabeleça e aplique mecanismos de supervisão internos e 
externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações 
obtidas a partir de monitoramento contínuo e avaliações 
periódicas;
II - demonstrar a efetividade de seu programa de governança 
em privacidade quando apropriado e, em especial, a pedido 
da autoridade nacional ou de outra entidade responsável 
por promover o cumprimento de boas práticas ou códigos 
de conduta, os quais, de forma independente, promovam o 
cumprimento desta Lei. (BRASIL, 2018)
Fica claro, portanto, que o legislador optou por descrever minucio-
samente cada aspecto do tratamento de dados pessoais que devem ser 
considerados para fins da implementação do programa de governança 
em privacidade.
Lei Geral de Proteção de Dados Pessoais
38
Em outras palavras, o controlador terá plena orientação para as 
escolhas do regramento de governança, relacionadas à demonstração 
de interesse deste nos processos e nas políticas públicas voltadas ao 
cumprimento da LGPD, conforme inciso I, a do art. 50 (BRASIL, 2018).
Além disso, devem ser aplicadas as regras a todos os tratamentos 
em que o controlador opera (art. 50, I, b), ao passo que se deve atentar 
para as particularidades de cada atividade e dado, a fim de adequar o 
programa (art. 50, I, c) (BRASIL, 2018).
Especificadamente acerca da segurança das operações, o contro-
lador deve adotar medidas de antecipação dos riscos (art. 50, I, d) e de 
solução para os casos de incidentes (art. 50, I, g) (BRASIL, 2018).
Do mesmo modo, o controlador deve manter a relação de confiança 
com o titular de dados, pautando sua comunicação com transparência 
(art. 50, I, e). Além do mais, deve manter atualização e monitoramento das 
atividades (art. 50, I, h) e realizar supervisões externas e internas (art. 50, I, 
f) (BRASIL, 2018).
ACESSE:
O §2º do art. 50 da Lei Geral de Proteção de Dados Pessoais 
toma como base diversos princípios gerais da disciplina da 
proteção dos dados pessoais. Logo, a fim de recordar todos 
esses princípios, leia o artigo 6º da LGPD. 
Clique aqui para acessar. 
Por fim, o controlador terá obrigação de demonstrar que seu 
programa de governança em privacidade é efetivo para quem for 
responsável pela fiscalização e cumprimento das normas da Lei Geral de 
Proteção de Dados Pessoais, conforme previsão do inciso II do art. 50 da 
Lei (BRASIL, 2018).
Nessa linha, precisas são as lições de Lopes (2019b):
Por fim, observa-se que a LGPD, em clara alusão ao espírito 
consagrado pelo GDPR, buscou dar a esse campo, através 
da possibilidade de autorregulamentação, a autonomia 
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
39
necessária para viabilizar o livre desenvolvimento, porém sem 
negligenciar os direitos fundamentais dos sujeitos tutelados. 
(LOPES, 2019b, p. 232)
Ao que se depreende, há nítida abertura para que cada pessoa 
jurídica possa criar suas regras internas, de acordo com as particularidades 
de suas operações, sem, contudo, deixar de observar as diretrizes 
estabelecidas pela LGPD.
O §3º do art. 50 da LGPD apresenta a determinação de publicidade 
e atualização das regras de boas práticas e governança, ressaltando a 
possibilidade da autoridade nacional de dados reconhecê-las e divulgá-las (BRASIL, 2018).
Outrossim, a ANPD será responsável por incentivar as boas práticas 
e governança, devendo estimular “a adoção de padrões técnicos que 
facilitem o controle pelos titulares dos seus dados pessoais”, de acordo 
com o disposto no art. 51 da LGPD (BRASIL, 2018).
Sobre a finalidade da Lei Geral de Proteção de Dados Pessoais em 
promover as boas práticas e a governança, Lopes (2019b) atesta:
Estimular a adoção de uma nova cultura organizacional e 
aprimorar a inteligência corporativa por parte de organizações 
responsáveis pelo tratamento de dados pessoais, com vistas 
ao desenvolvimento de um ambiente seguro e confiável. 
(LOPES, 2019b, p. 232)
Como se vê, a Lei procurou estabelecer a responsabilidade de 
organização e regramentos específicos para as empresas que atuam com 
os tratamentos de dados pessoais, a fim de incentivar o desenvolvimento 
econômico sem deixar de assegurar a proteção dos direitos individuais 
envolvidos.
Lei Geral de Proteção de Dados Pessoais
40
ACESSE:
Para saber mais sobre as etapas do programa de 
governança em privacidade, leia o Guia de Elaboração 
de Programa de Governança em Privacidade, que possui 
o intuito de orientar órgãos e entidades da Administração 
Pública Federal, autárquica e fundacional. 
Clique aqui para acessar. 
Ressalte-se que “uma boa governança corporativa digital traz mais 
agilidade, transparência e autonomia, portanto, está diretamente ligada 
à utilização da plataforma digital para fluxo de trabalho, preservação de 
conteúdo e tomada de decisões” (ATHENIENSE, 2020, p. 272).
Noutros termos, pode-se concluir que a digitalização da governança 
tornará o processo de organização ainda mais célere e transparente, 
sendo de grande valia ressaltar que o uso da tecnologia não prejudicará o 
conteúdo e as decisões das organizações.
IMPORTANTE:
Em verdade, “o desafio está em arquitetar processos 
de governança que impeçam a ocorrência de efeitos 
indesejados ao se introjetar tais tecnologias nos circuitos 
decisórios do nosso cotidiano” (BIONI, 2019, p.113).
É indiscutível, portanto, que a governança traz o controle das 
operações às empresas, principalmente no que se refere à tomada de 
decisões, eis que assegura o conhecimento sobre as operações, bem 
como promove meios para supervisão. 
Acerca da relevância das políticas de privacidade, Lopes (2019b) 
defende:
Dessa forma, é fortemente recomendável que as empresas, 
à luz da LGPD, reformulem suas políticas de privacidade, 
elaborem planos de contingência e garantam meios de 
Lei Geral de Proteção de Dados Pessoais
https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdf
41
fiscalização periódica e contínua, a exemplo do fortalecimento 
dos procedimentos de auditoria. Nessa toada, interessante que 
se apure todo o processo de tratamento realizado, sobretudo no 
tocante à natureza e ao volume dos dados tratados, bem como 
a quem possui acesso a eles e quais técnicas de segurança são 
aplicadas para sua proteção. (LOPES, 2019b, p. 233)
Fica claro, portanto, que a adoção de regras de boas práticas e 
de governança são essenciais para o conhecimento das organizações 
acerca de todos os aspectos de suas operações com os dados pessoais, 
ganhando relevo no que concerne ao controle dos processos e resultados 
das atividades.
Do mesmo modo, tornar clara a política interna das empresas sobre 
a proteção de dados pessoais é de suma importância para a manutenção 
do cumprimento das normas trazidas pela Lei Geral de Proteção de Dados 
Pessoais.
Segundo Atheniense (2020), a governança promove o equilíbrio 
entre o desenvolvimento econômico e a justiça social e proteção de 
direitos individuais.
Logo, é incontroverso que a LGPD não foi criada com o intuito de 
proibir o uso de dados pessoais com objetivo econômico, mas sim para 
regulamentar essa atividade, incentivando a inovação e a economia, sem 
deixar de lado a proteção necessária aos direitos individuais envolvidos no 
tratamento de dados pessoais.
Lei Geral de Proteção de Dados Pessoais
42
RESUMINDO:
Ao final deste capítulo você deve ter aprendido que a 
governança é um ato diretivo que irá reger as empresas 
e entidades, ao passo que as boas práticas consistem 
nos princípios e ações voltados para a organização, 
comprometimento, confiança e metas de uma empresa. 
Você aprendeu que o controlador e o operador são 
responsáveis por formular as regras de boas práticas e de 
governança, devendo observar as particularidades de cada 
operação de tratamento e respeitar os princípios gerais da 
segurança e da prevenção. Viu também que a Lei Geral 
de Proteção de Dados Pessoais confere ao controlador 
a possibilidade de implementação de programa de 
governança em privacidade, desde que se observe as 
características mínimas de adoção de políticas internas que 
visem o cumprimento da LGPD e das boas práticas; aplicação 
do programa para todas as operações de tratamento em 
que o controlador atua; adaptação do programa conforme 
o tratamento e o tipo de dado; aplicação de medidas sobre 
impacto e riscos; assegurar a relação de confiança com 
o titular por meio da transparência; utilização de medidas 
para supervisões externas e internas; plano de resposta a 
incidentes e remediação; atualização e monitoramento. 
Ainda, você aprendeu que a pedido da ANPD ou outra 
entidade competente, o controlador deve demonstrar a 
efetividade do programa. Por sua vez, viu que deve haver 
publicidade e atualização das regras de boas práticas e 
governança e a ANPD pode reconhecê-las e divulgá-las. 
Por fim, você aprendeu que a autoridade nacional deve 
incentivar a adoção de medidas técnicas que possibilitem 
o controle do titular dos dados pessoais.
Lei Geral de Proteção de Dados Pessoais
43
Sanções administrativas 
INTRODUÇÃO:
Neste capítulo você irá entender as hipóteses de sanções 
administrativas nos casos de descumprimento das normas 
da Lei Geral de Proteção de Dados Pessoais. Pronto para 
desenvolver essa importante competência? Avante!
Com o objetivo de punir aqueles que descumpram as normas da 
LGPD, a referida Lei elencou as sanções administrativas aplicáveis a esses 
casos em seu art. 52, veja:
Art. 52. Os agentes de tratamento de dados, em razão das 
infrações cometidas às normas previstas nesta Lei, ficam 
sujeitos às seguintes sanções administrativas aplicáveis pela 
autoridade nacional:  
I - advertência, com indicação de prazo para adoção de 
medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da 
pessoa jurídica de direito privado, grupo ou conglomerado no 
Brasil no seu último exercício, excluídos os tributos, limitada, 
no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por 
infração;
III - multa diária, observado o limite total a que se refere o 
inciso II;
IV - publicização da infração após devidamente apurada e 
confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até 
a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
X - suspensão parcial do funcionamento do banco de dados 
a que se refere a infração pelo período máximo de 6 (seis) 
Lei Geral de Proteção de Dados Pessoais
44
meses, prorrogável por igual período, até a regularização da 
atividade de tratamento pelo controlador;  
XI - suspensão do exercício da atividade de tratamento dos 
dados pessoais a que se refere a infração pelo período máximo 
de 6 (seis) meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades 
relacionadas a tratamento de dados. (BRASIL, 2018)
Ao que se depreende, a autoridade nacional detém a competência 
para aplicar as sanções administrativas trazidas pela LGPD, devendo 
analisar, de acordo com cada caso concreto, qual deve ser aplicada.
No inciso I, tem-se a figura da advertência, que é uma forma de 
punição mais leve, uma vez que consiste em chamar a atenção doinfrator 
sobre seu ato irregular e dar a ele a oportunidade de correção, estipulando 
um prazo para tanto (LOPES, 2019a).
Figura 9 - Aspectos da advertência
Punição leve
Oportunidade de 
correção 
Advertência
Prazo 
prescricional
Fonte: Elaborado pelas autoras com base em Lopes, 2019a, p. 34.
Por seu turno, a LGPD estabeleceu as hipóteses de multa para 
os casos de descumprimento das normas, podendo ser multa simples, 
prevista no inciso II, ou multa diária, constantes no inciso III do art. 52.
A priori, cumpre registrar que ambas apresentam um limite 
monetário de aplicação de R$ 50.000.000,00 (cinquenta milhões de reais) 
por infração.
No que se refere à multa simples, esta poderá chegar até 2% (dois por 
cento) do faturamento das empresas no último exercício, devendo haver 
Lei Geral de Proteção de Dados Pessoais
45
exclusão do encargo tributário para a apuração da receita. A referida sanção 
é “arbitrada por critério global, e não temporal” (LOPES, 2019a, p. 239).
Por sua vez, a multa diária, como o próprio nome diz, será aplicada 
todos os dias em que persistir o descumprimento da norma de proteção 
de dados pessoais apontada.
Cabe frisar que caso a ANPD não possua o valor do faturamento 
do ramo ou este seja incompleto ou inidôneo, poderá considerar o 
faturamento total da empresa ou grupo de empresas, nos termos do §4º 
do art. 52 da LGPD (BRASIL, 2018).
Além do mais, a receita arrecadada pela autoridade nacional com 
a aplicação das multas irá para o Fundo de Defesa de Direitos Difusos, 
previsto na Lei nº 7.347/1985 e Lei nº 9.007/1995, conforme §5º do art. 52 
da LGPD (BRASIL, 2018).
Outrossim, tem-se a possibilidade de tornar pública a infração, 
servindo como uma punição para o infrator, eis que as pessoas irão saber 
desse fato e, provavelmente, diminuir a confiança na empresa. Ademais, 
servirá para dar conhecimento dos envolvidos na infração, como titulares 
dos dados (LOPES, 2019a).
IMPORTANTE:
“Por se tratar de medida apta a causar transtornos relevantes 
à reputação da empresa sancionada, em respeito à garantia 
constitucional do devido processo legal, é imprescindível 
que a sanção seja implementada somente após a devida 
apuração e confirmação da autoria e materialidade da 
infração sob análise” (LOPES, 2019a, p. 240).
Nesse ponto, cabe destacar que a Lei Geral de Proteção de Dados 
Pessoais não indicou quem seria o responsável pela divulgação da 
infração e se há meios específicos para a publicidade.
Outra sanção que pode ser aplicada é a de bloqueio dos dados 
pessoais envolvidos na infração até a regularização da situação ensejadora 
da punição, conforme inciso V, do art. 52 da LGPD (BRASIL, 2018).
Lei Geral de Proteção de Dados Pessoais
46
Da mesma forma, foi fixada a sanção de eliminação dos dados 
pessoais relacionados à infração, prevista no inciso VI do art. 52 da LGPD 
(BRASIL, 2018).
O bloqueio consiste na “suspensão temporária de qualquer 
operação de tratamento, mediante guarda do dado pessoal ou do banco 
de dados”, de acordo com o inciso XIII do art. 5º da LGPD, ao passo que a 
eliminação é a “exclusão de dado ou de conjunto de dados armazenados 
em banco de dados, independentemente do procedimento empregado”, 
nos termos do inciso XIV do art. 5º da LGPD (BRASIL, 2018).
Ademais, tem-se as sanções de suspensão parcial do uso do 
banco de dados relacionado à infração e de suspensão do exercício do 
tratamento dos dados alusivos à infração, ambas com limite de 6 (seis) 
meses, podendo haver prorrogação por mais 6 (seis) meses, nos termos 
dos incisos X e XI do art. 52 da LGPD (BRASIL, 2018).
Por fim, existe a possibilidade de se proibir parcial ou totalmente as 
operações referentes ao tratamento de dados pessoais, conforme inciso 
X do art. 52 da LGPD (BRASIL, 2018).
No que se refere-se às sanções de suspensão parcial do uso do 
banco de dados e do exercício do tratamento e proibição parcial ou total 
das operações só poderão ser aplicadas nos seguintes casos:
§ 6º As sanções previstas nos incisos X, XI e XII do caput deste 
artigo serão aplicadas: 
I - somente após já ter sido imposta ao menos 1 (uma) das 
sanções de que tratam os incisos II, III, IV, V e VI do caput deste 
artigo para o mesmo caso concreto; e
II - em caso de controladores submetidos a outros órgãos e 
entidades com competências sancionatórias, ouvidos esses 
órgãos. (BRASIL, 2018)
Isso porque essas sanções são extremamente severas, uma vez 
que vão da suspensão do tratamento de dados à sua proibição, o que 
acarretaria um enorme impacto econômico para as empresas envolvidas 
na infração.
Lei Geral de Proteção de Dados Pessoais
47
IMPORTANTE:
Frise-se que a aplicação das sanções administrativas pela 
LGPD não impossibilita as demais sanções civis, penais ou 
administrativas de outras legislações pertinentes, conforme 
§2º do art. 52 da Lei (BRASIL, 2018).
De mais a mais, “excetuado o arbitramento de multas, o §3º do art. 
52 permite a aplicação das demais sanções administrativas às entidades 
e órgãos públicos, sem prejuízo da legislação específica” (LOPES, 2019a, 
p. 240).
Outrossim, é autorizada a conciliação entre controlador e titular 
dos dados nos casos de vazamento individual ou acesso não autorizado. 
Porém, se não houver acordo, será aplicada a sanção administrativa 
normalmente, conforme preceitua o §7º do art. 52 da LGPD (BRASIL, 2018).
Pois bem, agora que já identificamos todas as sanções administrativas 
trazidas pela Lei Geral de Proteção de Dados Pessoais, vamos estudar os 
parâmetros e as diretrizes legais para a aplicação delas.
Parâmetros e critérios para a aplicação 
das sanções
Como visto, as sanções administrativas variam entre punições mais 
brandas e mais severas. Em vista disso, a Lei Geral de Proteção de Dados 
Pessoais, em seu art. 52, §1º, trouxe os parâmetros e critérios a serem 
observados para a escolha da sanção a ser aplicada ao caso concreto.
Observe com atenção o que dispõe o referido parágrafo:
§ 1º As sanções serão aplicadas após procedimento 
administrativo que possibilite a oportunidade da ampla defesa, 
de forma gradativa, isolada ou cumulativa, de acordo com as 
peculiaridades do caso concreto e considerados os seguintes 
parâmetros e critérios:
Lei Geral de Proteção de Dados Pessoais
48
I - a gravidade e a natureza das infrações e dos direitos 
pessoais afetados;
II - a boa-fé do infrator;
III - a vantagem auferida ou pretendida pelo infrator;
IV - a condição econômica do infrator;
V - a reincidência;
VI - o grau do dano;
VII - a cooperação do infrator;
VIII - a adoção reiterada e demonstrada de mecanismos e 
procedimentos internos capazes de minimizar o dano, voltados 
ao tratamento seguro e adequado de dados, em consonância 
com o disposto no inciso II do § 2º do art. 48 desta Lei;
IX - a adoção de política de boas práticas e governança;
X - a pronta adoção de medidas corretivas; e
XI - a proporcionalidade entre a gravidade da falta e a 
intensidade da sanção. (BRASIL, 2018)
Depreende-se do dispositivo que a infração deve ser confirmada 
através de um procedimento administrativo, oportunizando a ampla 
defesa, para que seja possível aplicar as sanções administrativas.
Isso porque a LGPD busca assegurar as garantias constitucionais 
e processuais, de modo que mesmo que haja descumprimento de suas 
normas, deve ser dada a oportunidade do suspeito se defender (LOPES, 
2019a).
Frise-se que, no que for pertinente, será aplicável a lei que regula 
o processo administrativo no âmbito da Administração Pública Federal, a 
Lei nº 9.784/1999, em virtude da natureza da LGPD (LOPES, 2019a).
Lei Geral de Proteção de Dados Pessoais
49
IMPORTANTE:
“A autoridade nacional, ao exercer dita competência, deverá 
obedecer, além da expressa ampla defesa, a princípios 
gerais como o da legalidade, finalidade, motivação, 
razoabilidade, proporcionalidade, moralidade, contraditório, 
segurança jurídica, interesse público e eficiência”(LOPES, 
2019a, p. 244).
Como se vê, deve-se levar em consideração para a escolha da 
sanção, a gravidade da infração, sua natureza, direitos das pessoas 
envolvidas, se houve boa-fé do infrator, se existiu vantagem para o infrator 
e, em caso positivo, qual foi. 
Figura 10 - Escolhendo a sanção
Gravidade da 
infração
Escolha da 
sanção
Natureza
Direitos das 
pessoas 
envolvidas
Fonte: Elaborado pelas autoras com base em Lopes, 2019, p. 244.
Ademais, é importante observar se houve reincidência, qual a capacidade 
econômica do infrator, o grau do dano e se o infrator está colaborando com a 
investigação, a fim de verificar qual a punição mais adequada.
Vale salientar que alguns parâmetros se referem à adoção de 
medidas de segurança, boas práticas, governança, corretivas e de 
minimização do dano, em consonância com os princípios gerais da 
segurança e da prevenção.
Sobre o tema, elucidativas são as lições de Lopes (2019a):
Nota-se que a adoção de medidas de prevenção e segurança, 
conforme explicitado no capítulo anterior, é decisiva para resguardar 
os agentes de tratamento da aplicação de sanções mais graves e 
Lei Geral de Proteção de Dados Pessoais
50
onerosas. A verificação da existência de políticas de boas práticas 
e governança corporativa, como critério para o arbítrio punitivo, 
demonstra clara intenção do legislador em estimular no mercado 
o exercício de comportamento ético e precavido no tocante ao 
cuidado com dados pessoais. (LOPES, 2019a, p. 243)
Ora, se a empresa adotou todas as medidas de segurança, 
prevenção, boas práticas e governança exigidas pela Lei Geral de Proteção 
de Dados Pessoais, podem-se concluir que a referida entidade estava, 
pelo menos nesse ponto, em conformidade com a proteção de dados.
Por fim, a LGPD fixou como parâmetro a proporcionalidade entre a 
infração e a sanção aplicada, a fim de que não haja excesso ou escassez 
punitiva, conforme dispõe o inciso XI do §1º do art. 52 da Lei (BRASIL, 2018). 
“Em atenção ao princípio do non bis in idem, o qual veda que 
um mesmo fato seja punido mais de uma vez, há que se respeitar a 
compatibilidade entre as penalidades e a natureza de cada uma” (LOPES, 
2019a, p. 244).
Após entendermos os parâmetros e critérios para a aplicação das 
sanções administrativas, passa-se a estudar o regulamento destas.
Regulamento
A Lei Geral de Proteção de Dados Pessoais fixou a competência da 
autoridade nacional para estabelecer as diretrizes acerca do cálculo do 
valor-base das sanções de multa em seu art. 53, veja: 
Art. 53. A autoridade nacional definirá, por meio de regulamento 
próprio sobre sanções administrativas a infrações a esta Lei, 
que deverá ser objeto de consulta pública, as metodologias 
que orientarão o cálculo do valor-base das sanções de multa.  
§ 1º As metodologias a que se refere o  caput  deste artigo 
devem ser previamente publicadas, para ciência dos agentes 
de tratamento, e devem apresentar objetivamente as formas 
e dosimetrias para o cálculo do valor-base das sanções de 
multa, que deverão conter fundamentação detalhada de 
todos os seus elementos, demonstrando a observância dos 
critérios previstos nesta Lei.
Lei Geral de Proteção de Dados Pessoais
51
§ 2º O regulamento de sanções e metodologias correspondentes 
deve estabelecer as circunstâncias e as condições para a 
adoção de multa simples ou diária. (BRASIL, 2018)
Ao que se vê, é através de um regulamento, o qual deverá ser 
objeto de consulta pública, que a ANPD irá estipular as metodologias que 
deverão ser utilizadas para o cálculo do valor-base das sanções de multa.
Cumpre registrar que o referido regulamento serve para completar 
as lacunas da LGPD, ou seja, regular sobre questões pendentes ou 
genéricas (LOPES, 2019a).
Especificadamente, os §§ 1º e 2º determinam que o documento 
deve abordar as formas e dosimetria para o cálculo do valor-base das 
multas, devidamente fundamentadas, bem como as condições para 
aplicação das multas simples e diária (BRASIL, 2018).
A respeito do tema, Lopes (2019a) pontua:
Portanto, por se tratar essas de disposições suplementares, as 
diretrizes basilares da LGPD podem, desde já, ser interpretadas, 
de forma sistemática, em favor da proteção de dados pessoais e 
com o objetivo declarado de resguardar os direitos fundamentais 
de liberdade, privacidade e o livre desenvolvimento da 
personalidade. Logo, editado o regulamento de que trata o 
presente art. 53, caberá aos operadores da lei verificar eventual 
conflito com outras disposições normativas e harmonizar a 
implementação de seus termos. (LOPES, 2019a, p. 246)
Fica claro, portanto, após a edição do regulamento, verificar se 
existe alguma incompatibilidade com as normas da Lei Geral de Proteção 
de Dados Pessoais.
“Caso a infração seja cometida por empresa estrangeira, o art. 
61 da LGPD determina que a intimação acerca dos atos ora previstos 
seja efetuada na pessoa do responsável pela filial, agência, sucursal, 
estabelecimento ou escritório instalado no Brasil, independentemente de 
procuração ou disposição contratual ou estatutária” (LOPES, 2019a, p. 240).
Por fim, cumpre ressaltar que o valor da multa diária deve ser 
proporcional ao dano causado, e sua intimação deve apresentar a 
Lei Geral de Proteção de Dados Pessoais
52
descrição da obrigação, o prazo para seu cumprimento e o valor diário 
cobrado, conforme art. 54 da LGPD (BRASIL, 2018).
RESUMINDO:
Vamos revisar o que estudamos neste capítulo? Você viu 
que caso haja infração à LGPD, serão aplicadas sanções 
administrativas aos agentes de tratamento, que podem ser: 
advertência; multa simples de até 2% do faturamento da 
empresa, limitada a 50 milhões de reais por infração; multa 
diária, também limitada ao valor de 50 milhões de reais por 
infração; publicização da infração; bloqueio e eliminação 
de dados relacionados à infração; além das sanções que 
só poderão ser aplicadas quando já tiver sido imposta pelo 
menos uma punição pelo mesmo fato ou o controlador 
estar submetido a outro órgão, quais sejam: suspensão do 
funcionamento do banco de dados relacionado à infração, 
por no máximo seis meses, prorrogável por igual período; 
suspensão do exercício da atividade de tratamento de 
dados, a que se refere a infração, por no máximo seis 
meses, prorrogável por igual período, e proibição parcial 
ou total do exercício de atividade relacionada a tratamento 
de dados pessoais. Você aprendeu também que todas 
as sanções, com exceção das multas, são aplicáveis aos 
órgãos e entidades públicas. Ademais, viu que pode haver 
conciliação direta entre controlador e titular nos casos 
de vazamento individual ou acesso não autorizado. Você 
também aprendeu que a LGPD fixou parâmetros e critérios 
a serem observados na aplicação das sanções, como 
ampla defesa, gravidade e natureza da infração, direito das 
pessoas afetadas, boa-fé, condição econômica do infrator, 
reincidência, grau do dano, cooperação do infrator, adoção 
de medidas que visem minimizar os danos, adoção de 
regras de boas práticas e governança, adoção de medidas 
corretivas e proporcionalidade entre a gravidade da 
infração e a sanção aplicada. Por fim, viu que a ANPD será 
responsável por elaborar um regulamento, com consulta 
pública prévia, para orientar o cálculo do valor-base das 
sanções de multa, contendo os critérios a serem utilizados 
e a dosimetria da multa.
Lei Geral de Proteção de Dados Pessoais
53
REFERÊNCIAS
ATHENIENSE, A. A importância da governança digital na advocacia. 
In: GROSSI, Bernardo Menicucci (org.). Lei Geral de Proteção de Dados: 
Uma análise preliminar da Lei 13.709/2018 e da experiência de sua 
implantação no contexto empresarial. Porto Alegre: Editora Fi, 2020.
BARROS, R. S. P.; FERREIRA, G. G. L. Autoridade Nacional de 
Proteção de Dados Pessoais (ANPD) e Conselho Nacional de Proteção 
de Dados Pessoais e da Privacidade. In: FEIGELSON, B.; SIQUEIRA, A. H. A. 
Comentários à lei geral de proteção dedados pessoais: Lei 13.709/2018. 1. 
ed. São Paulo: Thomson Reuters, 2019.
BIONI, B. R. Proteção de dados pessoais: a função e os limites do 
consentimento. 2. ed. rev. atual. e reform. Rio de Janeiro: Forense, 2019.
BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Código Civil. 
Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/
l10406compilada.htm. Acesso em: 09 jan. 2021.
BRASIL. Lei nº 13.105, de 16 de março de 2015. Código de Processo 
Civil. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2015/lei/l13105.htm. Acesso em: 24 jan. 2021.
BRASIL. Guia de elaboração de programa de governança em 
privacidade. 2020. Disponível em: https://www.gov.br/governodigital/pt-
br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdf. 
Acesso em: 20 jan. 2021.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção 
de Dados Pessoais, 2018. Disponível em: http://www.planalto.gov.br/
ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 13 dez. 2020.
BRASIL. Lei nº 9.874/1999. Disponível em: http://www.planalto.gov.
br/ccivil_03/leis/l9784.htm. Acesso em: 24 jan. 2021.
BRASIL. Lei nº 12.813/2013. Disponível em http://www.planalto.gov.
br/ccivil_03/_ato2011-2014/2013/lei/l12813.htm Acesso em: 18 jan. 2021.
Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm
http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/lei/l13105.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/lei/l13105.htm
https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdf
https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdf
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
http://www.planalto.gov.br/ccivil_03/leis/l9784.htm
http://www.planalto.gov.br/ccivil_03/leis/l9784.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12813.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12813.htm
54
LOPES, M. L. Fiscalização. In: FEIGELSON, B.; SIQUEIRA, A. H. A. 
Comentários à lei geral de proteção de dados pessoais: Lei 13.709/2018. 1. 
ed. São Paulo: Thomson Reuters, 2019a.
LOPES, M. L. Segurança e boas práticas. In: FEIGELSON, B.; 
SIQUEIRA, A. H. A. Comentários à lei geral de proteção de dados pessoais: 
Lei 13.709/2018. 1. ed. São Paulo: Thomson Reuters, 2019b.
MELLO, L. M. Agentes de tratamento de dados pessoais. In: 
FEIGELSON, B.; SIQUEIRA, A. H. A. Comentários à lei geral de proteção de 
dados pessoais: Lei 13.709/2018. 1. ed. São Paulo: Thomson Reuters, 2019.
TARTUCE, F. Manual de direito civil: volume único. 10. ed. Rio de 
Janeiro: Forense; São Paulo: Método, 2020.
Lei Geral de Proteção de Dados Pessoais
	A responsabilidade civil na Lei Geral de Proteção de Dados Pessoais 
	Tratamento irregular
	Reparação de danos e responsabilidade civil
	Excludentes de responsabilidade
	Fiscalização
	Autoridade Nacional de Proteção de Dados Pessoais
	Funções da autoridade nacional
	Do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
	Boas práticas e governança 
	Sanções administrativas 
	Parâmetros e critérios para a aplicação das sanções
	Regulamento