PALESTRA versão final (5)

Prévia do material em texto

FUNDAMENTOS DA LEI GERAL DE 
PROTEÇÃO DE DADOS – LGPD e aspectos 
práticos
Antônio Carlos Franzmann
Advogado
CIPM CDPO/BR
PROTEÇÃO DE DADOS E PRIVACIDADE - ÂMBITOS DE PROTEÇÃO
EM UM PRIMEIRO MOMENTO, A PRIVACIDADE ESTAVA PAUTADA DA CONCEPÇÃO DE CONTROLE PELO 
INDIVÍDUO DE SUAS INFORMAÇÕES E DADOS PESSOAIS EM UMA LÓGICA DE "EXPOSIÇÃO/RECOLHIMENTO" 
DE SER "DEIXADO SÓ“ (ZERO-RELATIONSHIP); DE IMPOSSIBILITAR A "INTERFERÊNCIA DE TERCEIROS;
ATUALMENTE, ELA É ENTENDIDA COMO O DIREITO
"DE MANTER O CONTROLE SOBRE AS PRÓPRIAS INFORMAÇÕES E DE DETERMINAR AS MODALIDADES DE 
CONTRUÇÃO DA PRÓPRIA ESFERA PRIVADA" (STEFANO RODOTÀ)
CONSTITUIÇÃO FEDERAL, Art. 5º, X: "São invioláveis, a intimidade, a vida privada..."
CÓDIGO CIVIL, Art. 21: "A vida privada da pessoa natural é inviolável..."
A PROTEÇÃO DE DADOS É UMA GARANTIA EM SENTIDO AMPLO; ABARCA A INFORMAÇÃO, A CIRCULAÇÃO 
E O RESPECTIVO CONTROLE DOS DADOS DURANTE TODO O CICLO DE VIDA;
POSSUI CARÁTER INTRUMENTAL: AS LEIS DE PROTEÇÃO DE DADOS GARANTEM AOS TITULARES O 
EXERCÍCIO DE DIREITOS COMO ACESSO, CORREÇÃO, REVOGAÇÃO DO CONSENTIMENTO, ANONIMIZAÇÃO, 
EXCLUSÃO, ETC.
CONSTITUIÇÃO FEDERAL, Art. 5º, LXXIX: "É assegurado, nos termos da lei, o direito à proteção dos 
dados pessoais..."
ANTES DA ENTRADA EM VIGOR DA LGPD HAVIA UM SISTEMA DIFUSO DE PROTEÇÃO DE 
DADOS, PRESENTE DE FORMA ESPARSA NO ORDENAMENTO JURÍDICO, COMO NO CÓDIGO DE 
DEFESA DO CONSUMIDOR, LEI DE ACESSO À INFORMAÇÃO, MARCO CIVIL DA INTERNET, 
DENTRE OUTRAS LEIS.
COM O ADVENTO DA LGPD EM 2018, O BRASIL PASSOU A CONTAR COM UM SISTEMA 
UNIFICADO, QUE É COMPLEMENTADO POR NORMAS SETORIAIS (ex.: RESOLUÇÕES BACEN, 
CFM, SUSEP, ANEEL, ANATEL, etc.)
POR QUE PROTEGER DADOS PESSOAIS?
O DIREITO À PROTEÇÃO DE DADOS É ESSENCIAL À DIGNIDADE DAS PESSOAS, 
PRINCIPALMENTE NO CONTEXTO DE UMA ECONOMIA MOVIDA A DADOS.
A EXPRESSÃO "DATA DRIVEN ECONOMY" PODE SER DEFINIDA COMO UM ECOSISTEMA 
DIGITAL GLOBAL NO QUAL OS DADOS SÃO COLETADOS, ORGANIZADOS E COMPARTILHADOS 
POR REDES DE RELACIONAMENTO ENTRE EMPRESAS, INDIVÍDUOS E INSTITUIÇÕES COM O 
OBJETIVO DE GERAR VALORES ECONÔMICOS.
ENTRETANTO, COMO PONTUA LAURA S. MENDES, "A POTENCIALIDADE DOS DANOS À 
PERSONALIDADE RESIDE NO TRATAMENTO DOS DADOS EM SI E NA OBTENÇÃO DE INFORMAÇÕES 
QUE REPRESENTEM DE FORMA OBJETIVA O INDIVÍDUO PERANTE A SOCIEDADE, GERANDO 
CONSEQUÊNCIAS PARA A SUA VIDA".
NÃO RARO OS DADOS PESSOAIS SÃO LIVREMENTE UTILIZADOS POR PLAYERS ECONÔMICOS E 
GOVERNOS POSSIBILITANDO QUE ESTES SAIBAM TUDO SOBRE OS CIDADÃOS, ENQUANTO ESTES 
NADA SABEM SOBRE OS PRIMEIROS, SITUAÇÃO QUE LEVOU FRANK PASQUALE A CRIAR A EXPRESSÃO 
"ONE-WAY MIRROR".
"CAPITALISMO DE VIGILÂNCIA" É O TERMO CUNHADO POR SHOSHANA ZUBOFF PARA DESCREVER "A 
ORDEM ECONÔMICA QUE UTILIZA A EXPERIÊNCIA HUMANA COMO MATÉRIA-PRIMA GRATUITA PARA 
PRÁTICAS COMERCIAIS DISSIMULADAS DE EXTRAÇÃO, PREVISÃO E VENDA DE COMPORTAMENTO".
RISCO DE “DATIFICAÇÃO” DO SER HUMANO (DANIEL J. SOLOVE). CLASSIFICAÇÃO E SEGMENTAÇÃO 
DAS PESSOAS COM BASE EM SUAS INFORMAÇÕES PESSOAIS, QUE PODE RESULTAR EM 
ESTIGMATIZAÇÃO.
NESTE CENÁRIO GLOBAL EM QUE OS DADOS PESSOAIS FORAM TRANSFORMADOS EM COMMODITY
OS ESTADOS PASSARAM A REGULAR O TEMA ATRAVÉS DE LEIS E INSTITUIÇÃO DE AUTORIDADES 
REGULADORAS.
“Like oil, data is valuable...”
“But if unrefined it cannot really be used...” 
Clive Humby
LEI Nº 13.709, DE 14 DE AGOSTO DE 2018
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
(LGPD)
 COM A SANÇÃO DA LGPD EM 2018, O BRASIL SOMOU-SE AO GRUPO DE MAIS DE 130 PAÍSES QUE ADOTAM LEIS 
DE PROTEÇÃO DE DADOS;
 A LEI FOI INSPIRADA NO REGULAMANTO GERAL DE PROTEÇÃO DE DADOS DA UNIÃO EUROPEIA
(RGPD/GDPR), QUE É A LEI MAIS IMPORTANTE SOBRE O TEMA NA ATUALIDADE;
 A LGPD TRAZ MAIOR SEGURANÇA JURÍDICA E HARMONIZAÇÃO DE CONCEITOS;
 CONTRIBUI PARA O FORTALECIMENTO DAS RELAÇÕES COMERCIAIS E ATRAÇÃO DE INVESTIMENTOS;
 FOMENTA A CULTURA DE PROTEÇÃO DE DADOS;
 A LGPD É UMA LEI TRANSVERSAL. SUA OBSERVÂNCIA É OBRIGATÓRIA PARA TODOS OS AGENTES DE
TRATAMENTO, SEJAM ELES DO SETOR PÚBLICO, PRIVADO OU TERCEIRO SETOR.
O QUE É DADO PESSOAL?
É TODA INFORMAÇÃO RELACIONADA A PESSOA IDENTIFICADA OU IDENTIFICÁVEL (Art. 5º, I)
CONCEITO “ABERTO” DE DADO PESSOAL
 SOMENTE DADOS DE PESSOAS FÍSICAS;
 PESSOA IDENTIFICADA ex.: nome, RG, CPF, etc.
 PESSOA IDENTIFICÁVEL (mediante o cruzamento de informações) ex.: dados de geolocalização, 
endereço IP, etc.
DADO PESSOAL SENSÍVEL
Art. 5º, II: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a 
sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida 
sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural
ATIVIDADE DE TRATAMENTO
Art. 5º, X: toda operação realizada com dados pessoais, 
como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, 
transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou 
controle da informação, modificação, comunicação, transferência, difusão ou extração.
PRINCIPAIS ATORES NO TRATAMENTO DE DADOS PESSOAIS (LGPD)
 CONTROLADOR (Art. 5º, VI): pessoa natural ou jurídica, de direito público ou privado, que toma 
as decisões* referentes ao tratamento;
* Elementos essenciais para o cumprimento da finalidade do tratamento. Ex.: finalidade, 
natureza dos dados, duração do tratamento.
Obs.: O Controlador também pode tratar dados.
 OPERADOR (Art. 5º, VII): pessoa natural ou jurídica, de direito público ou privado, que realiza o 
tratamento de dados pessoais em nome do controlador;
* Ele só pode agir nos limites das finalidades determinadas pelo Controlador. Ele pode definir 
elementos não essenciais do tratamento. Ex.: medidas técnicas.
 AGENTES DE TRATAMENTO (Art. 5º, IX): o controlador e o operador;
 ENCARREGADO PELO TRATAMENTO DOS DADOS PESSOAIS (Art. 5º VIII e Art. 41): pessoa* indicada
pelo controlador e operador para atuar como canal de comunicação entre o controlador, os
titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
* O Encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de
natureza física ou jurídica.
 AUTORIDADE NACIONAL (Art. 5º, XIX): órgão da administração pública responsável por zelar,
implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
ATIVIDADES DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (ART. 41)
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem
tomadas em relação à proteção de dados pessoais;
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas
complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as
atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação,
conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
A Resolução CD/ANPD nº 18, de 16 de julho de 2024 “aprova o Regulamento sobre a atuação do 
encarregado pelo tratamento de dados pessoais”. (características do encarregado; atividades e 
atribuições; conflito de interesse)
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD)
 Criada pela MP Nº 869, de 27/12/2018, convertida na Lei Nº 13.853, de 14/08/2019
 Autarquia de natureza especial vinculada ao Ministério da Justiça e Segurança Pública
 É responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e
fiscalizar o cumprimento da LGPD
https://www.gov.br/anpd/pt-br
PRINCÍPIOS (Art. 6º)
I – FINALIDADE: realização do tratamento para propósitos legítimos, específicos, explícitos e
informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essasfinalidades;
Não pode haver tratamento de forma “ampla e irrestrita”; propósitos genéricos!
II – ADEQUAÇÃO: compatibilidade do tratamento com as finalidades informadas ao titular, de
acordo com o contexto do tratamento;
III - NECESSIDADE: limitação do tratamento ao mínimo necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às
finalidades do tratamento de dados;
IV – LIVRE ACESSO: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a
duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – QUALIDADE DOS DADOS: garantia, aos titulares, de exatidão, clareza, relevância e
atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu
tratamento;
PRINCÍPIOS (cont.)
VI - TRANSPARÊNCIA: garantia, aos titulares, de informações claras, precisas e facilmente
acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os
segredos comercial e industrial;
Aviso / Política de privacidade
VII - SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou difusão;
Segurança lógica e física (Normas ISO 27.000)
VIII - PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais;
Privacy by Design (Art. 46, §2º); Privacy by Default
IX – NÃO DISCRIMINAÇÃO: impossibilidade de realização do tratamento para fins discriminatórios
ilícitos ou abusivos;
X – RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: demonstração, pelo agente, da adoção de
medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção
de dados pessoais e, inclusive, da eficácia dessas medidas.
TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES
(Art. 14)
ENUNCIADO CD/ANPD Nº 1, DE 22 DE MAIO DE 2023
"O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas 
hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais 
(LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso 
concreto, nos termos do art. 14 da Lei.“
(primeira medida de caráter interpretativo-normativo da ANPD sobre o texto da LGPD)
Em meados do mês de agosto do corrente ano, a ANPD encerrou o prazo de coleta de subsídios 
da sociedade para a elaboração de futuras ações de normatização, tais como: coleta de dados 
pessoais em jogos e aplicações na internet; aferição da regularidade do tratamento de dados em 
plataformas digitais de ensino e por redes sociais, etc.
DIREITOS DOS TITULARES
(Art. 18)
o CONFIRMAÇÃO DA EXISTÊNCIA DE TRATAMENTO
o ACESSO AOS DADOS
o CORREÇÃO DE DADOS INCOMPLETOS, INEXATOS OU DESATUALIZADOS
o ANONIMIZAÇÃO, BLOQUEIO OU ELIMINAÇÃO DE DADOS DESNECESSÁRIOS, EXCESSIVOS OU
TRATADOS EM DESCONFORMIDADE COM A LEI
o PORTABILIDADE A OUTRO FORNECEDOR DE SERVIÇO OU PRODUTO, MEDIANTE REQUISIÇÃO
EXPRESSA, DE ACORDO COM A REGULAMENTAÇÃO DA ANPD
o ELIMINAÇÃO DOS DADOS PESSOAIS TRATADOS COM O CONSENTIMENTO DO TITULAR,
EXCETO NAS HIPÓTESES PREVISTAS NO ART. 16
o INFORMAÇÃO DAS ENTIDADES PÚBLICAS E PRIVADAS COM AS QUAIS O CONTROLADOR
RERALIZOU O USO COMPARTILHADO DE DADOS
o INFORMAÇÃO SOBRE A POSSIBILIDADE DE NÃO FORNECER CONSENTIMENTO E SOBRE AS
CONSEQUÊNCIAS DA NEGATIVA
o REVOGAÇÃO DO CONSENTIMENTO
o DIREITO DE PETIÇÃO CONTRA O CONTROLADOR PERANTE A ANPD
o DIREITO DE OPOSIÇÃO CONTRA TRATAMENTO REALIZADO COM FUNDAMENTO EM UMA
HIPÓTESE DE DISPENSA DE CONSENTIMENTO, EM CASO DE DESCUMPRIMENTO DA LEI
DIREITO À CONFIRMAÇÃO DE EXISTÊNCIA DE TRATAMENTO E ACESSO AOS DADOS
(Art. 19)
EM FORMATO SIMPLIFICADO: IMEDIATAMENTE.
POR MEIO DE DECLARAÇÃO COMPLETA (ORIGEM DOS DADOS, INEXISTÊNCIA DE REGISTRO, OS
CRITÉRIOS UTILIZADOS E A FINALIDADE DO TRATAMENTO): 15 DIAS CONTADOS DA DATA DE
REQUERIMENTO.
• No dia 04/03 do corrente ano a ANPD encerrou o período de tomada de subsídios para
a elaboração da norma sobre direito dos titulares (forma, prazos e operacionalização
de exercício)
Oportunidade de participação da sociedade nas ações regulatórias através do Sistema 
Participa + Brasil.
HIPÓTESES DE TRATAMENTO DOS DADOS PESSOAIS
(Arts. 7º e 11)
Art. 7º
I - fornecimento de consentimento pelo titular;
II - cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de
políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos
congêneres;
IV - para a realização de estudos por órgão de pesquisa;
V - quando necessário para a execução de contrato;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro; *
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.*
• Hipóteses não previstas no rol do Art. 11 (tratamento de dados pessoais sensíveis)
 A garantia prevista na alínea “g” do Art. 11 não figura no Art. 7º: “garantia da prevenção à fraude e à
segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos”
CICLO DE VIDA DOS DADOS PESSOAIS E HIPÓTESES DE TÉRMINO DO TRATAMENTO
ART. 15
 QUANDO A FINALIDADE FOR ALCANÇADA OU 
QUANDO OS DADOS DEIXAREM DE SER 
NECESSÁRIOS PARA ALCANÇAR A FINALIDADE
 FIM DO PERÍODO DE TRATAMENTO
 REVOGAÇÃO DO CONSENTIMENTO
 DETERMINAÇÃO DA ANPD QUANDO HOUVER 
VIOLAÇÃO DA LGPD
A LGPD admite a conservação dos dados pessoais em alguns casos, como o cumprimento de obrigação 
legal ou regulatória pelo controlador (Art. 16).
Ex.: Dados do FGTS- 30 anos; Prontuário Médico – 20 anos após o último registro, etc.
LGPD NOS PROCESSOS JUDICIAIS
 As normas da LGPD estão sendo usadas cada vez mais para basear decisões judiciais no Brasil;
 Em 2021 foram 274 decisões. Entre 2022 e 2023, esse número passou para 1.206;
 Os casos mais comuns que consideram a aplicação da LGPD são referentes ao Direito do
Consumidor, Direito Civil e Direito do Trabalho;
 Os problemas mais recorrentes são: incidentes de segurança; base legal (hipótese de
tratamento) e responsabilidade civil;
 Temas mais recorrentes em que a LGPD foi discutida de forma central nos casos analisados:
pedidos de provas digitais de geolocalização em ações trabalhistas; responsabilidade civil por
incidentes de segurança e vazamento de dados; inscrição indevida no SERASA; direito de
revisão no tratamento automatizado de dados.
Fonte: Painel LGPD nos Tribunais. Terceira Edição. Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa 
(IDP), Jus Brasil. Apoio: Programa das Nações Unidas para o Desenvolvimento (PNUD)
Disponível em: https://painel.jusbrasil.com.br/
CPNU 2024 BLOCO 6 TARDE PROVA 14 - GABARITO 1 - SETORES ECONÔMICOS
E REGULAÇÃO – FUNDAÇÃO CESGRANRIO
A Lei Geral de Proteção de Dados Pessoais (LGPD) dispõe sobre a elaboração de relatório
de impacto à proteção de dados pessoais. Trata-se de um documento com descrição dos
processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e
aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de
risco.
Nos termos da LGPD, a elaboração do relatório de impacto à proteção de dados pessoais
(A) deve ser requerida pelos titulares de dados tratados por uma entidade.
(B) é uma responsabilidade do encarregado de dados.
(C) é obrigatória quando houver tratamento de dados pessoais sensíveis.
(D) é obrigatória após a ocorrência de incidente de segurança envolvendo dados pessoais.
(E) pode ser determinada ao controladorpela autoridade nacional de proteção de dados.
GABARITO: E
LGPD, artigo 38: “A autoridade nacional poderá determinar ao controlador que elabore relatório de
impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de
tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial”.
Antônio Carlos Franzmann
CIPM CDPO / BR
acf.consultoriajuridica@gmail.com
(21) 99213-0993
Obrigado!
mailto:acf.consultoriajuridica@gmail.com