1 Apostila_Lei Geral de Proteção de Dados

Prévia do material em texto

INTRODUÇÃO À LEI GERAL DE 
PROTEÇÃO DE DADOS 
 
 
CÁSSIUS DUNK DALOSTO 
 
 
 
 
Superintendência da Escola de Governo 
Revisão e distribuição: Gerência de Desenvolvimento 
Profissional Capa e Diagramação: Gerência de 
Desenvolvimento Profissional 
 
 
 
Esta obra é publicada e registrada junto ao Creative 
Commons, sob licença “atribuição-não comercial 4.0 
internacional”, sendo então permitida a utilização e 
citação, atribuindo os devidos créditos, desde que o 
material não seja utilizado para fins lucrativos. 
 
 
 
 
 
 
 
 
DADOS INTERNACIONAIS DE CATALOGAÇÃO NA PUBLICAÇÃO (CIP) 
(RESPONSÁVEL: ADRIANA COSTA– CRB 1/3478) 
 
 
 
D148i 
 
Dalosto, Cássius Dunk. 
Introdução à Lei Geral de Produção de Dados [recurso eletrônico] 
/ Cássius Dunk Dalosto. – Goiânia: Diretoria Executiva da Escola de 
Governo, 2021. 
60 p. ; il. 
 
 
 
1. Lei Geral de Proteção de Dados. 2. LGPD. 3. Fundamentos. I. 
Título. 
CDU: 340 
 
 
 
 
Sumário 
1 A PROTEÇÃO DA PERSONALIDADE E A SUA RELAÇÃO COM OS DADOS PESSOAIS ............................... 5 
2 OBJETIVOS E FUNDAMENTOS DA LEI GERAL DE PROTEÇÃO DE DADOS ............................................ 10 
3 O QUE É DADO PESSOAL? ............................................................................................................... 11 
3.1 Dado pessoal anônimo utilizado para criação de perfis comportamental ...................................... 13 
3.2 Dado físico e digital ..................................................................................................................... 14 
3.3 Dados pessoais sensíveis.............................................................................................................. 14 
4 O QUE É TRATAMENTO DE DADO PESSOAL? ................................................................................... 15 
4.1 Tratamento de dados pessoais de crianças e adolescentes ........................................................... 16 
5 A QUEM SE APLICA A LGPD? ........................................................................................................... 17 
6 PRINCÍPIOS DA LGPD ...................................................................................................................... 18 
6.1 Noções sobre princípios ............................................................................................................... 18 
6.2 Princípios da LGPD ....................................................................................................................... 20 
6.3 Exemplos de tratamento de dados em desconformidade com os princípios da LGPD ................... 21 
7 DIREITOS DO TITULAR DOS DADOS PESSOAIS .................................................................................. 22 
7.1 Exercício dos direitos dos titulares perante a administração pública ............................................. 23 
8 HIPOTESES DE TRATAMENTO E CICLO DE VIDA DOS DADOS PESSOAIS ............................................. 25 
8.1 Identificação da hipótese de tratamento aplicável ....................................................................... 26 
8.2 Hipóteses Legais de Tratamento .................................................................................................. 26 
8.3 Tratamento de dados pessoais sensíveis ...................................................................................... 31 
8.4 Ciclo de vida do tratamento do dado pessoal ............................................................................... 31 
9 AGENTES DE TRATAMENTO ............................................................................................................ 33 
9.1 Controlador e operador ............................................................................................................... 34 
9.2 Controladoria conjunta e controladoria singular .......................................................................... 36 
9.3 Suboperador ............................................................................................................................... 37 
9.4 Relação entre controlador e operador ......................................................................................... 37 
9.5 Obrigações do controlador .......................................................................................................... 38 
10 ENCARREGADO ............................................................................................................................. 39 
10.1 Condições de trabalho e requisitos para uma boa atuação como encarregado ........................... 40 
11 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS ....................................................................... 41 
12 COMPARTILHAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA ............................... 43 
13 TRANSFERÊNCIA INTERNACIONAL DE DADOS ................................................................................ 44 
14 INCIDENTE DE SEGURANÇA .......................................................................................................... 45 
14.1 O que comunicar à ANPD nos casos de incidentes de segurança? ............................................... 47 
14.2 Plano de resposta a incidentes de pronto emprego .................................................................... 48 
14.3 Como comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados? 
. ........................................................................................................................................................48 
15 RESPONSABILIDADE POR INFRAÇÕES À LGPD ................................................................................49 
15.1 Responsabilidade civil dos agentes de tratamento .....................................................................50 
15.2 Responsabilidade administrativa dos agentes de tratamento .....................................................51 
15.3 Responsabilidade administrativa dos servidores públicos que atuam com tratamento de dados 
pessoais ............................................................................................................................................52 
15.4 Responsabilidade civil dos servidores públicos que atuam com tratamento de dados pessoais. 54 
16 A LEI DE ACESSO À INFORMAÇÃO E A LGPD ..................................................................................54 
REFERÊNCIAS ....................................................................................................................................57 
ANEXO I ............................................................................................................................................58 
1 A PROTEÇÃO DA PERSONALIDADE E A SUA RELAÇÃO COM OS DADOS 
PESSOAIS 
Atualmente vivemos na sociedade da informação e cada vez mais repassamos os nossos dados 
pessoais para empresas e para o governo. 
Não é exagero dizer que não há mais a possibilidade de uma vida adequada/digna em nossa 
atual sociedade sem a utilização da internet e dos meios eletrônicos de comunicação. 
 
Cada vez mais protestamos, nos comunicamos, fiscalizamos a administração pública, 
realizamos compras, contratamos serviços, oferecemos produtos e serviços por meios 
eletrônicos, em especial a internet. A administração pública não está alheia a esse processo e 
tem investido na digitalização de seus serviços, garantindo mais qualidade, agilidade e 
eficiência, como é o caso do portal expresso do Estado de Goiás (clique aqui). 
Todavia, para uma efetiva utilização destas novas formas de relacionamento e comunicação 
mostra-se cada vez mais necessário que disponibilizemos para terceiros nossas informações 
pessoais como nome, CPF, endereço, idade etc., seja para pessoas físicas, empresas, ou o 
próprio governo. 
 
A enxurrada de dados pessoais que disponibilizamos nos novos meios de comunicação 
potencializou e aumentoude dados pessoais que 
podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e 
mecanismos de mitigação de risco (artigo 5°, inciso XVII), tendo como conteúdo mínimo a descrição dos tipos de 
dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise 
do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados (artigo 38, 
parágrafo único)” (AGR, 2021?, p. 41). 
Hipótese que dispensa o consentimento. 
Hipótese exclusiva para proteção do crédito, devendo ser seguida a legislação aplicável. 
 
Um exemplo seria inscrever indivíduo na dívida ativa e informar essa inscrição nos órgãos de 
proteção de crédito. 
8.3 Tratamento de dados pessoais sensíveis 
Conforme já dito, os dados pessoais sensíveis são aqueles que podem sujeitar o titular a algum 
tipo de discriminação uma vez que estão relacionados origem racial ou étnica, convicção 
religiosa, a condição de saúde, a vida sexual, convicção política ou filosófica, entre outros 
casos. 
Com relação aos dados sensíveis, conforme tabela 3, são previstas as mesmas hipóteses de 
tratamento que os dados pessoais “comuns”, com exceção das seguintes hipóteses: 
 
1) para a execução ou preparação de contrato; 
2) legítimo interesse do controlador; 
3) proteção do crédito. 
Além disso, há uma hipótese de tratamento específica para os dados sensíveis, que é aquela 
destinada “garantia da prevenção à fraude e à segurança do titular, nos processos de 
identificação e autenticação de cadastro em sistemas eletrônicos”. 
 
Um exemplo nesta última hipótese de tratamento é a utilização de digital para acessar 
determinado cadastro ou o envio de foto do indivíduo para fins de autenticação da identidade. 
Com relação as hipóteses de tratamento de dados sensíveis, é importante ressaltar que no 
caso de tratamento baseado no consentimento, este deve ser específico, inequívoco, expresso 
e com finalidades determinadas. Sugere-se que o consentimento neste caso seja feito em 
cláusula destacada. 
Especificamente com relação a dados sensíveis relacionados a saúde, a LGPD veda a 
comunicação e uso compartilhado com objetivo de obter vantagem econômica, exceto nas 
hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de 
assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos 
interesses dos titulares de dados. Ou seja, o tratamento de dados sensíveis de saúde apenas 
pode ser feito em benefício do titular e nunca com o objetivo de obter lucro. 
 
8.4 Ciclo de vida do tratamento do dado pessoal 
Conforme já indicado, os dados pessoais apenas podem ser tratados atendendo a uma 
finalidade específica, utilizando-se dados adequados e necessários. Cumprida a finalidade 
indicada ao titular, como regra geral, os dados devem ser eliminados ou anonimizados. 
O art. 15 da LGPD prevê as situações em que ocorre o término do tratamento de dados 
pessoais: 
Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes 
hipóteses: 
I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de 
ser necessários ou pertinentes ao alcance da finalidade específica almejada; 
II - fim do período de tratamento; 
III - comunicação do titular, inclusive no exercício de seu direito de revogação do 
consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o 
interesse público; ou 
IV - determinação da autoridade nacional, quando houver violação ao disposto 
nesta Lei. 
 
Todavia, há situações em que o dado deve ser armazenado, como nas situações de 
necessidade de cumprimento de dever legal ou execução de políticas públicas. Além disso, 
a Administração Pública, para além da legislação de dados pessoais, ainda precisa observar a 
legislação de arquivos, que deve ser considerada conjuntamente com a LGPD. 
No Estado de Goiás a Lei estadual n. 16.226/2008 dispõe sobre os arquivos públicos no âmbito 
Estadual, sendo regulamentado pela Instrução Normativa n. 004/2013 da antiga SEGPLAN. 
Sobre a questão, ainda há a Lei de Acesso à Informação (Lei federal n. 12.527/2011) e a Lei de 
Acesso à Informação do Estado de Goiás (Lei estadual n. 18.025/2013) que apresentam regras 
sobre o recolhimento de documento à guarda permanente. 
 
A figura a seguir representa o ciclo de vida do tratamento do dado pessoal (BRASIL, 2020a, p. 
45): 
 
 
Coleta: obtenção, recepção ou produção de dados pessoais independente do 
meio utilizado (documento em papel, documento eletrônico, sistema de 
informação, etc.). 
Retenção: arquivamento ou armazenamento de dados pessoais independente do 
meio utilizado (documento em papel, documento eletrônico, banco de dados, 
arquivo de aço, etc.). 
Processamento: qualquer operação que envolva classificação, utilização, 
reprodução, processamento, avaliação ou controle da informação, extração e 
modificação de dados pessoais. 
Compartilhamento: qualquer operação que envolva transmissão, distribuição, 
comunicação, transferência, difusão e compartilhamento de dados pessoais. 
Eliminação: qualquer operação que visa apagar ou eliminar dados pessoais. Esta 
fase também contempla descarte dos ativos organizacionais nos casos necessários 
ao negócio da instituição (BRASIL, 2020a, p. 45) (grifos originais). 
No tocante ao ciclo de vida do documento conforme a regulamentação arquivista, o ciclo de 
vida do documento é pautado por três fases, sendo elas: 1) produção; 2) utilização e 3) 
destinação final, que pode resultar na eliminação ou guarda permanente. 
 
(BRASIL, 2020a, p. 46) 
 
Portanto, considerando a legislação arquivista, mesmo um documento que tenha dados 
pessoais que já cumpriu a sua finalidade de tratamento e em tese poderia ser eliminado pela 
Administração Pública, caso esse dado pessoal esteja em documento considerado como de 
grande valor histórico e que lhe seja atribuída a guarda permanente, o documento não será 
excluído, mantendo-se, por consequência, a guarda do dado pessoal por prazo 
indeterminado. 
 
9 AGENTES DE TRATAMENTO4 
A LGPD prevê 2 agentes de tratamento, sendo eles o controlador e o operador, podendo ser 
pessoas físicas ou jurídicas de direito público ou privado. 
 
Tanto o controlador como o operador devem ser caracterizados de forma institucional, ou 
seja, quando o tratamento de dados estiver relacionado a uma pessoa jurídica não deve ser 
considerado controlador ou operador os indivíduos isolados (funcionários, servidores, 
equipes etc.) que atuam na pessoa jurídica nas atividades que envolvem o tratamento do 
dado pessoal, mas sim a própria pessoa jurídica como instituição com personalidade jurídica 
própria. 
 
Portanto, um professor da UEG que trata dados pessoais de alunos não será considerado 
como controlador ou operador, mas sim a própria UEG, tendo em vista que se trata de 
autarquia com personalidade jurídica própria. 
 
Já no caso de tratamento de dados por servidor vinculado à governadoria, secretarias e seus 
respectivos órgãos do Estado de Goiás (administração direta), o controlador ou operador dos 
dados pessoais será o próprio Estado de Goiás como pessoa jurídica de direito público. 
AGU Explica - Administração Pública Direta e Indireta 
https://www.youtube.com/watch?v=2bWA8fyXvQw 
 
 
 
 
4 O presente tópico teve como embasamento o Guia Orientativo para Definições dos Agentes de Tratamento de 
Dados Pessoais e do Encarregado (BRASIL, 2021a). 
É importante relembrar que os órgãos são subdivisões de competência sem personalidade 
jurídica. Portanto, não será o órgão o controlador ou operador, já que não possui 
personalidade jurídica, apesar de poder ter competência para tratar dados pessoais. 
Nesta situação aplica-se a teoria da imputação volitiva, no qual os atos realizados pelos 
agentes de tratamento de um ente público são atribuídos ao próprio ente, seja o próprio ente 
federativo (administração direta) ou uma entidade da administração indireta. 
Teoriado Órgão 
https://www.youtube.com/watch?v=cMTuGZX_VNY 
 
A mesma lógica vale para as pessoas jurídicas de direito privado, ou seja, quando os 
funcionários de uma empresa realizam o tratamento de dados pessoais será considerado 
como controlador ou operador a própria empresa e não os referidos funcionários. 
 
9.1 Controlador e operador 
Nos termos do art. 5º, VI, da LGPD, é considerado controlador: “Pessoa natural ou jurídica, de 
direito público ou privado, a quem competem as decisões referentes ao tratamento de dados 
pessoais”. 
 
Portanto, o controlador, como o nome sugere, é aquele responsável por tomar as 
“principais” decisões referentes ao tratamento de dados pessoais, como a natureza dos 
dados pessoais a serem tratados, a duração do tratamento, com quem o dado será 
compartilhado, além da definição da finalidade do tratamento. 
Já o operador, nos termos do art. 5º, X é a: “Pessoa natural ou jurídica, de direito público ou 
privado, que realiza o tratamento de dados pessoais em nome do controlador”. Portanto, é 
o agente responsável por realizar o tratamento de dados pessoais em nome do controlador e 
conforme a finalidade por este delimitada, conforme art. 39 da LGPD: 
Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas 
pelo controlador, que verificará a observância das próprias instruções e das 
normas sobre a matéria. 
 
A partir dos conceitos acima apresentados fica clara que a diferença entre controlador e 
operador é o poder de decisão no qual o controlador possui o poder de decisão das questões 
“essenciais” ou “principais” enquanto o operador só pode agir no limite das finalidades 
determinadas pelo controlador. 
 
O operador também possui capacidade decisória que, todavia, essa capacidade é reduzida 
e no geral está limitada a decisões de natureza operacional ou técnica, como qual software 
será utilizado, quais serão as técnicas e medidas de segurança nas ações de tratamento, entre 
outras. 
Exemplo 1 – A Secretaria de Saúde quer reunir informações para planejar uma 
política pública de saúde para a população de uma comunidade tradicional 
desassistida. Neste sentido, ficou definido que a coleta das informações seria feita 
mediante questionário a ser aplicado diretamente na população afetada e que a 
aplicação do questionário seria feita por uma empresa terceirizada. 
Nesta situação, o Estado de Goiás seria é o controlador dos dados pessoais, pois 
definiu a finalidade, quais dados seriam tratados e a forma do tratamento (como 
analisar, armazenar, quem terá acesso) etc. Relembra-se que a Secretaria de 
Saúde não pode ser considerada como controladora dos dados por não possuir 
personalidade jurídica, apesar de, provavelmente, ser o órgão responsável pelo 
tratamento. 
 
Já a empresa que irá aplicar o questionário é uma operadora, já que irá realizar 
tratamento de dados pessoais (coleta, armazenamento, transmissão etc.) 
conforme a finalidade e ordens do Estado de Goiás, tendo poder decisório 
reduzido a questões operacionais e técnicas. 
 
Exemplo 2 – A UEG, por meio do seu Núcleo de Seleção, oferece o serviço de 
realização de concursos e processos seletivos. Necessitando realizar um concurso, 
o Município X contrata a UEG para a realização do certame, no qual define os 
cargos, a remuneração, a vagas, as etapas do concurso etc. Nesta situação, o 
controlador dos dados será o Município X e a UEG será meramente a operadora 
dos dados, pois realiza o tratamento conforme a finalidade e ordens da 
contratante do serviço decidindo apenas sobre questões técnicas e de segurança. 
Diante do já explanado, verifica-se que o agente de tratamento, se controlador ou operador, 
se dá para cada operação de tratamento podendo a mesma organização ser tanto 
controladora como operador de acordo com a operação de tratamento realizada como no 
caso da UEG que é controladora dos dados pessoais dos seus alunos, por exemplo, e 
operadora dos dados dos candidatos de um concurso que foi contratada para realizar. 
 
Considerando que o critério de definição do controlador e do operador depende do poder 
decisório sobre a atividade de tratamento realizada pouco importa a qualificação que 
determinada pessoa ou entidade (pública ou privada) dá para si, sendo que sempre 
prevalecerá para definição o poder decisório. Portanto, se uma empresa se intitula como 
operadora de dados pessoais, mas, na verdade, possui poderes decisórios de controlador esta 
será considerada como controladora. 
 
Os conceitos de controlador e operador possuem importância prática tendo em vista que o 
controlador possui responsabilidades específicas como a de elaboração de relatório de 
impacto de proteção de dados pessoais (art. 38), de comprovar a legalidade do consentimento 
obtido (art. 8º, § 2º) e a de comunicar a ANPD sobre a ocorrência de incidentes de segurança 
(art. 48). Além disso, no geral, os direitos dos titulares dos dados são exercidos em face do 
controlador (art. 18) e há diferenças entre o controlador e o operador na atribuição de 
responsabilidade por danos causados em decorrência do tratamento de dados pessoais (arts. 
42 a 45). 
9.2 Controladoria conjunta e controladoria singular 
O art. 42, §1º, II estabelece que é possível que haja uma controladoria conjunta de dados 
pessoais, respondendo, nesta situação, de forma solidária5 com relação a qualquer dano 
causado pelo tratamento de dados em desconformidade com a LGPD. 
 
A LGPD não traz o conceito de controladoria conjunta, sendo que o art. 26 da RGPD apresenta 
o seguinte conceito (BRASIL, 2021a, p. 12): 
 
Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente 
as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos 
pelo tratamento. Estes determinam, por acordo entre si e de modo transparente 
as respectivas responsabilidades pelo cumprimento do presente regulamento, 
nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados 
e aos respetivos deveres de fornecer as informações referidas nos artigos 13º e 
14º, a menos e na medida em que as suas responsabilidades respectivas sejam 
determinadas pelo direito da União ou do Estado-Membro a que se estejam 
sujeitos. O acordo pode designar um ponto de contacto para os titulares dos 
dados. 
 
A partir deste conceito da legislação europeia, a controladoria conjunta ocorrera quando há 
“participação conjunta” na determinação de “finalidades de tratamento” de forma comum ou 
convergente. Será comum a finalidade de tratamento se as decisões forem tomadas em 
conjunto. Serão convergentes quando as decisões forem distintas, mas complementares de 
forma que o tratamento não seria possível sem a participação de ambos os controladores. 
É importante ressaltar que utilizar a mesma base de dados não configura, por si só, 
controladoria conjunta. Caso as finalidades ou os objetivos do tratamento forem distintos 
estaremos diante de controladorias singulares, apesar de utilizar a mesma base de dados. 
Exemplo de controladoria conjunta 
O Estado de Goiás firma convênio com o Município de Goiânia para a execução conjunta de 
política pública de saúde no qual foi definida também de forma conjunta a finalidade e a 
extensão dos dados, a forma de tratamento e com quem os dados seriam compartilhados. 
 
Nesta situação há participação conjunta na delimitação da finalidade de tratamento sendo 
que o interesse é mutuo e as decisões são comuns. 
Exemplo de utilização da mesma base de dados mas com decisões autônomas 
 
5 “Responsabilidade solidária - havendo pluralidade de devedores, o credor pode cobrar o total da dívida de 
todos ou apenas do que achar que tem mais probabilidade de quitá-la. A dívida não precisa ser cobrada em 
partes iguais para cada um. Todos os devedores são responsáveis pela totalidade da obrigação. O devedor que 
pagar o total deve receber dos demais a parte que pagou por eles. Esse tipo de responsabilidade não pode ser 
presumido, suas hipóteses estão previstas em lei, ou podem serpactuadas entre as partes em contratos ou 
outros tipos de negociações”. Clique aqui para acessar o link no qual está contida esta definição. 
Considerando o exemplo apresentado anteriormente, imagine que a base de dados criada na 
execução do convênio seja utilizada de forma isolada pelo Estado de Goiás e pelo Município 
de Goiânia para formular outras políticas públicas de forma isolada. 
Nesta situação as decisões são autônomas e não são comuns ou convergentes, havendo, 
portanto, controladoria singular, apesar de utilizarem a mesma base de dados. 
9.3 Suboperador 
Apesar de formalmente não existir na LGPD o conceito de suboperador, na prática, a 
existência dessa figura pode ocorrer sem qualquer ilegalidade. 
Considerando o conceito de operador, pode-se definir o suboperador como “aquele 
contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome 
do controlador” (BRASIL, 2021a, p. 19). Nesta circunstância o suboperador está subordinado 
ao operador e não ao controlador. 
O operador e o suboperador possuem as mesmas responsabilidades no tocante ao tratamento 
de dados pessoais, sendo ambos considerados “operadores” e passíveis de sofrerem as 
mesmas sanções, de forma solidária. 
 
9.4 Relação entre controlador e operador 
Conforme já explicitado, o operador realiza tratamento de dados pessoais conforme as 
instruções do controlador, com baixo poder decisório. 
Neste sentido, apesar de não ser uma exigência expressa na LGPD, é extremamente 
importante que o controlador e o operador firmem um instrumento jurídico (contrato, 
convênio etc.) no qual claro o objeto, a duração, a natureza e a finalidade do tratamento dos 
dados, os tipos de dados pessoais envolvidos e os direitos e obrigações e responsabilidades 
relacionados ao cumprimento da LGPD. 
 
Além disso, no próprio instrumento jurídico firmado deve estar previsto autorização 
genérica ou específica autorizando ou desautorizando o operador a contratar 
suboperadores e, em caso positivo, quais as condições exigidas. 
Como veremos, os atos realizados pelos operadores podem acarretar em responsabilização 
do controlador, razão pela qual a relação entre ambos é de confiança, o que torna 
extremamente importante a regulação sobre a possibilidade ou não da existência de 
suboperadores. 
Exemplo: O Estado de Goiás contrata uma empresa X que oferece serviços de segurança da 
informação e serviço de armazenamento de dados na nuvem. Com o passar do tempo a 
empresa X verifica que não terá capacidade para armazenar a quantidade de dados utilizados 
pelo Estado de Goiás, razão pela qual contrata a empresa Y para que ela forneça mais espaço 
para armazenamento de informações na nuvem. 
Nesta situação a empresa X é uma operadora de dados do Estado de Goiás e a empresa Y é 
uma suboperadora. 
Caso a empresa Y não possua a mesma segurança que a empresa X incidentes de segurança 
podem ocorrer e, por consequência, acarretar na responsabilização do Estado de Goiás na 
condição de controlador dos dados. 
9.5 Obrigações do controlador 
O controlador, por ser responsável pelos dados pessoais, possui uma série de obrigações, 
sendo as principais delas6: 
1) Obter consentimento específico do titular para fim próprio quando houver, por 
parte do controlador, a necessidade de comunicar ou compartilhar dados 
pessoais com outros controladores, exceto em caso de o titular dos dados tê-los 
tornado manifestamente públicos. (Art. 7, § 4º e 5º) 
2) Provar que o consentimento foi obtido em conformidade com a Lei. (Art. 8º, §2º) 
 
3) Nas hipóteses em que o consentimento for requerido, se houver mudança da 
finalidade para o tratamento de dados pessoais não compatíveis com o 
consentimento original, o controlador deverá informar previamente o titular 
sobre as mudanças de finalidade. Nesse momento, o titular poderá optar por 
renovar o consentimento ou revoga-lo. (Art. 9, §2º) 
4) Tratar somente dados pessoais estritamente necessários para a finalidade 
pretendida e adotar medidas para garantir a transparência do tratamento 
baseado no legítimo interesse. (Art.10, caput, § 1º e 2º) 
5) Manter pública a informação sobre tratamento de dados pessoais de crianças e 
adolescentes tais com os tipos de dados coletados, a forma de sua utilização e os 
procedimentos para o exercício dos direitos dos titulares. (Art.14, §2º) 
 
6) Conservar dados pessoais não eliminados, quando encerrado o período de 
tratamento, para cumprimento de obrigação legal ou regulatória. Também 
poderá fazer uso exclusivo desses dados, desde que anonimizados, sendo seu 
acesso por terceiros expressamente vedado na Lei. (Art. 16, IV) 
 
7) Confirmar a existência ou providenciar o acesso a dados pessoais, mediante 
requisição do titular, em formato simplificado, imediatamente, ou por meio de 
declaração clara e completa, que indique a origem dos dados, a inexistência de 
registro, os critérios utilizados e a finalidade do tratamento, observados 
segredos comercial e industrial, fornecida no prazo da legislação, contados da 
data do requerimento do titular. (Art. 19) 
 
6 Informação disponível em: https://www.tre-mg.jus.br/o-tre/lei-geral-de-protecao-de-dados-pessoais-2013- 
lgpd/obrigacoes-dos-controladores. Acesso em: 24 ago. 2021. 
8) Nas decisões automatizadas o controlador deverá fornecer, sempre que 
solicitadas, as informações claras e adequadas a respeito dos critérios e 
procedimentos para a decisão automatizada, observados os segredos comercial 
e industrial. (Art. 20 §1º) 
9) Oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do 
titular e do regime de proteção de dados na forma da LGPD, nos casos de 
transferência internacional de dados pessoais. (Art. 33) 
10) Manter registro das operações de tratamento de dados pessoais que realize, 
podendo a autoridade nacional determinar que seja elaborado relatório de 
impacto à proteção de dados (pessoais ou sensíveis) referente às suas operações. 
(Art. 37 e 38) 
 
11) Fornecer instruções para o operador realizar o tratamento de dados pessoais, 
devendo o operador verificar a observância das próprias instruções e normas 
sobre a matéria. (Art.39) 
12) Indicar o encarregado pelo tratamento dos dados pessoais, divulgando 
publicamente, de forma clara e objetiva, preferencialmente no seu sítio 
eletrônico, a identidade do encarregado e suas informações de contato. (Art. 23 
e Art. 41) 
 
13) Reparar, solidariamente com o operador ou não, se, em razão do exercício de 
atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, 
moral, individual ou coletivo, em violação ou descumprimento à legislação de 
proteção de dados. (Art. 42) 
 
14) Adotar medidas de segurança, técnicas e administrativas aptas a proteger os 
dados pessoais de acessos não autorizados e de situações acidentais ou lícitas de 
destruição, perda, alteração, comunicação ou qualquer forma de tratamento 
inadequado ou ilícito. (Art.46) 
15) Comunicar à autoridade nacional e ao titular a ocorrência de incidente de 
segurança que possa acarretar risco ou dano relevante aos titulares. (Art. 48) 
 
16) Formular regras de boas práticas e de governança que estipulem condições de 
organização, procedimentos, normas de segurança, padrões técnicos, 
obrigações específicas, mecanismos internos de supervisão e mitigação de riscos, 
bem como outros aspectos relacionados ao tratamento de dados pessoais, desde 
que respeitadas suas competências. (Art. 50) 
 
10 ENCARREGADO 
Conforme art. 41 da LGPD, todo controlador de dados deverá indicar um encarregado pelo 
tratamento de dados pessoais. 
Atualmente toda organização deve indicar um encarregado, todavia, o § 3º do art. 41 da LGPD 
prevê que a ANPD poderá normatizar hipóteses de dispensa da indicação de um encarregado 
conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados 
pessoais. 
Na legislação europeia o encarregado é denominado como Data Protection Officer (DPO), 
termo que é comumente utilizadopara se referir ao encarregado. 
O Encarregado é o responsável por garantir que o tratamento de dados pessoais na instituição, 
pública ou privada, está em conformidade com a LGPD. Além disso, o art. 41, §2º estabelece: 
 
Art. 41. (...) 
(...) 
§ 2º As atividades do encarregado consistem em: 
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e 
adotar providências; 
II - receber comunicações da autoridade nacional e adotar providências; 
III - orientar os funcionários e os contratados da entidade a respeito das práticas 
a serem tomadas em relação à proteção de dados pessoais; e 
IV - executar as demais atribuições determinadas pelo controlador ou 
estabelecidas em normas complementares. 
O Encarregado poderá ser pessoa física ou jurídica. Poderá ser funcionário/servidor da 
instituição ou agente externo. Portanto, as entidades poderão contratar para atuar como 
encarregado uma empresa especializada (pessoa jurídica) ou um prestador de serviço externo 
(pessoa física). Além disso, poderão contratar um funcionário ou designar um servidor para 
atuar na função. 
 
No caso da administração pública, caso o encarregado seja servidor, recomenda-se que haja 
um ato administrativo formalizando a indicação do mesmo para a função de encarregado. 
 
10.1 Condições de trabalho e requisitos para uma boa atuação como 
encarregado 
As boas práticas recomendam que o encarregado tenha liberdade na realização de suas 
atribuições. 
 
Como parâmetro para o nível estadual, a Instrução Normativa SGD/ME n. 117, de 19 de 
novembro de 2020, estabelece que o encarregado (BRASIL, 2020b, p. 1): 
Art. 1º (...) 
§ 1º (...) 
I - deverá possuir conhecimentos multidisciplinares essenciais à sua atribuição, 
preferencialmente, os relativos aos temas de: privacidade e proteção de dados 
pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à 
informação no setor público; e 
II - não deverá se encontrar lotado nas unidades de Tecnologia da Informação ou 
ser gestor responsável de sistemas de informação do órgão ou da entidade 
A separação física e de atribuições com relação ao setor de tecnologia é recomendado uma 
vez que não seria producente o encarregado fiscalizar o seu próprio trabalho ou da equipe ao 
qual componha de forma direta. 
Além disso, o Art. 3º da referida instrução normativa indica que o encarregado deverá ter 
assegurado pela autoridade máxima do órgão ou entidade ao qual está vinculado, em especial 
que seja garantido: 
 
1) Acesso à alta administração; 
2) Pronto apoio das unidades administrativas no atendimento das solicitações 
feitas pelo encarregado. 
Não há qualquer impedimento que o encarregado seja apoiado por uma equipe. 
 
No quesito qualificação, não há formação específica exigida, sendo recomendado que tenha 
experiência e conhecimentos básicos da legislação, proteção de dados e segurança da 
informação em níveis necessários para atender às necessidades da instituição. 
Os dados de contato do encarregado devem estar facilmente acessíveis, conforme art. 41, 
§1º, sendo recomendada a divulgação no sitio da internet do órgão. 
11 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS 
 
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão vinculado à Presidência da 
República e tem como principal papel ser o principal órgão de proteção de dados pessoais no 
país. 
1. Elaborar normatizações complementares à LGPD; 
2. Fiscalizar o cumprimento da LGPD; 
3. Sancionar os agentes de tratamento que tratarem dados em desconformidade 
com a LGPD; 
Além dessas atribuições bem delimitadas no sentido regulatório, fiscalizatório e 
sancionatório, a ANPD possui papel muito mais importante de ser um órgão educacional e 
informativo da aplicação da LGPD, buscando sempre a melhoria do engajamento do setor 
público e privado com a proteção de dados além de ser o órgão responsável pela articulação 
com outras entidades similares nos casos de transferência internacional de dados pessoais. 
 
A constituição da ANPD como órgão vinculado diretamente a Presidência da República foi 
muito criticada em razão da existência de subordinação hierárquica ao presidente, o que 
poderia afetar a sua independência e finalidade eminentemente técnica. Apesar da 
subordinação, a LGPD prevê que a ANPD terá autonomia técnica e decisória (art. 55-B). 
 
O art. 55-J traz todas as atribuições da ANPD: 
Art. 55-J. Compete à ANPD: 
I - zelar pela proteção dos dados pessoais, nos termos da legislação; 
II - zelar pela observância dos segredos comercial e industrial, observada a 
proteção de dados pessoais e do sigilo das informações quando protegido por lei 
ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei; 
III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da 
Privacidade; 
IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em 
descumprimento à legislação, mediante processo administrativo que assegure o 
contraditório, a ampla defesa e o direito de recurso; 
V - apreciar petições de titular contra controlador após comprovada pelo titular a 
apresentação de reclamação ao controlador não solucionada no prazo 
estabelecido em regulamentação; 
VI - promover na população o conhecimento das normas e das políticas públicas 
sobre proteção de dados pessoais e das medidas de segurança; 
VII - promover e elaborar estudos sobre as práticas nacionais e internacionais de 
proteção de dados pessoais e privacidade; 
VIII - estimular a adoção de padrões para serviços e produtos que facilitem o 
exercício de controle dos titulares sobre seus dados pessoais, os quais deverão 
levar em consideração as especificidades das atividades e o porte dos 
responsáveis; 
IX - promover ações de cooperação com autoridades de proteção de dados 
pessoais de outros países, de natureza internacional ou transnacional; 
X - dispor sobre as formas de publicidade das operações de tratamento de dados 
pessoais, respeitados os segredos comercial e industrial; 
XI - solicitar, a qualquer momento, às entidades do poder público que realizem 
operações de tratamento de dados pessoais informe específico sobre o âmbito, a 
natureza dos dados e os demais detalhes do tratamento realizado, com a 
possibilidade de emitir parecer técnico complementar para garantir o 
cumprimento desta Lei; 
XII - elaborar relatórios de gestão anuais acerca de suas atividades; 
XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e 
privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais 
para os casos em que o tratamento representar alto risco à garantia dos princípios 
gerais de proteção de dados pessoais previstos nesta Lei; 
XIV - ouvir os agentes de tratamento e a sociedade em matérias de interesse 
relevante e prestar contas sobre suas atividades e planejamento; 
XV - arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se 
refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e 
despesas; 
XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de 
fiscalização de que trata o inciso IV e com a devida observância do disposto no 
inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado 
pelos agentes de tratamento, incluído o poder público; 
XVII - celebrar, a qualquer momento, compromisso com agentes de tratamento 
para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito 
de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, 
de 4 de setembro de 1942; 
XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, 
inclusive quanto aos prazos, para que microempresas e empresas de pequeno 
porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que 
se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei; 
XIX - garantir que o tratamento de dados de idosos seja efetuado de maneira 
simples, clara, acessível e adequadaao seu entendimento, nos termos desta Lei e 
da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso); 
XX - deliberar, na esfera administrativa, em caráter terminativo, sobre a 
interpretação desta Lei, as suas competências e os casos omissos; 
XXI - comunicar às autoridades competentes as infrações penais das quais tiver 
conhecimento; 
XXII - comunicar aos órgãos de controle interno o descumprimento do disposto 
nesta Lei por órgãos e entidades da administração pública federal; 
XXIII - articular-se com as autoridades reguladoras públicas para exercer suas 
competências em setores específicos de atividades econômicas e governamentais 
sujeitas à regulação; e 
XXIV - implementar mecanismos simplificados, inclusive por meio eletrônico, para 
o registro de reclamações sobre o tratamento de dados pessoais em 
desconformidade com esta Lei. 
Especificamente sobre a parte regulatória, a ANPD possui uma agenda regulatória (BRASIL, 
2021b) no qual estão previstos para os anos de 2021 e 2022 a discussão e aprovação de 
diversos regulamentos. 
 
Clique aqui para acessar a página de publicações da ANPD. 
12 COMPARTILHAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO 
PÚBLICA 
A LGPD permite que a Administração Pública realize o compartilhamento e a transmissão de 
dados entre entes de direito público, desde que vise: 
a) atender a finalidades específicas de execução de políticas públicas; e 
b) cumprir atribuição legal pelos órgãos e pelas entidades públicas, respeitados os 
princípios de proteção de dados pessoais elencados no art. 6° da Lei. 
 
Mas há situações em que a Administração Pública precisa compartilhar dados pessoais com 
pessoas jurídicas de direito privado. Nestas situações há restrições. Será possível o 
compartilhamento de dados, desde que: 
 
a) os dados sejam acessíveis publicamente; 
b) haja previsão legal ou a transferência for respaldada em contratos, convênios 
ou instrumentos congêneres; 
c) a transferência dos dados objetive exclusivamente a prevenção de fraudes e 
irregularidades, ou vise à proteção e resguardo da segurança e da integridade do 
titular dos dados, vedado o tratamento para outras finalidades; e 
d) seja caso de execução descentralizada de atividade pública que exija a 
transferência, exclusivamente para esse fim específico e determinado; (PARÁ, 
2020a, p. 41-42) 
No tocante as empresas públicas e as sociedades de economia mista, por serem pessoas 
jurídicas de direito privado, aplicam-se as mesmas regras das pessoas jurídicas não vinculadas 
à Administração Pública, ou seja, em primeiro plano há vedação no compartilhamento de 
dados pessoais, exceto se estiverem atuando na execução de políticas públicas, situação no 
qual o compartilhamento de dados é permitida exclusivamente para esta finalidade. 
 
O que são empresas públicas e sociedades de economia mista? 
youtube.com/watch?v=G2IZDQa1qV0 
Exemplo: a Caixa Econômica Federal é uma empresa pública e é a instituição financeira 
responsável pelo repasse dos valores do bolsa família aos beneficiários. Nesta situação e para 
a execução desta política pública, o Governo Federal poderá repassar dados pessoais dos 
beneficiários para a CAIXA para ser possível operacionalizar os pagamentos. 
Fora da exceção acima exposta, caso a Administração Pública ainda julgue necessário o 
compartilhamento de dados pessoais com pessoas jurídicas de direito privado ou pessoas 
físicas esta deverá: 
 
a) obter o consentimento expresso do titular do dado; 
b) comunicar a ANPD do compartilhamento. 
 
Em todas as situações acima expostas a Administração Pública apenas pode compartilhar 
dados pessoais perseguindo o interesse público e o bem comum, não podendo agir buscando 
fins não contemplados na legislação. 
13 TRANSFERÊNCIA INTERNACIONAL DE DADOS 
Ocorre a transferência internacional de dados pessoais quando o dado é transferido para país 
estrangeiro ou organismo internacional do qual o Brasil seja membro (ONU, OCDE, BRICS, 
OEA). 
 
É importante lembrar que nem sempre a transferência internacional de dados é tão evidente, 
como é o caso de uma pessoa que chama um carro em um aplicativo de transporte. Nesta 
situação os seus dados são transferidos para servidores internacionais ocorrendo, portanto, a 
transferência internacional de dados (MALANGA, 2020). 
Soluções de armazenamento de dados em nuvem também são exemplos de situações em que 
os dados são transferidos para servidores internacionais sem que fique evidente essa 
transferência. 
Para que a transferência internacional seja adequada devem ser cumpridos os seguintes 
requisitos: 
Art. 33. A transferência internacional de dados pessoais somente é permitida nos 
seguintes casos: 
I - para países ou organismos internacionais que proporcionem grau de proteção 
de dados pessoais adequado ao previsto nesta Lei; 
II - quando o controlador oferecer e comprovar garantias de cumprimento dos 
princípios, dos direitos do titular e do regime de proteção de dados previstos nesta 
Lei, na forma de: 
a) cláusulas contratuais específicas para determinada transferência; 
b) cláusulas-padrão contratuais; 
c) normas corporativas globais; 
d) selos, certificados e códigos de conduta regularmente emitidos; 
III - quando a transferência for necessária para a cooperação jurídica internacional 
entre órgãos públicos de inteligência, de investigação e de persecução, de acordo 
com os instrumentos de direito internacional; 
IV - quando a transferência for necessária para a proteção da vida ou da 
incolumidade física do titular ou de terceiro; 
V - quando a autoridade nacional autorizar a transferência; 
VI - quando a transferência resultar em compromisso assumido em acordo de 
cooperação internacional; 
VII - quando a transferência for necessária para a execução de política pública ou 
atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I 
do caput do art. 23 desta Lei; 
VIII - quando o titular tiver fornecido o seu consentimento específico e em 
destaque para a transferência, com informação prévia sobre o caráter 
internacional da operação, distinguindo claramente esta de outras finalidades; ou 
IX - quando necessário para atender as hipóteses previstas nos incisos II (obrigação 
legal), V (execução de contrato) e VI (exercício regular de processo judicial ou 
arbitral) do art. 7º desta Lei. 
14 INCIDENTE DE SEGURANÇA7 
Os agentes de tratamento possuem o dever legal de adotar medidas de segurança, técnicas e 
administrativas, para proteger os dados pessoais de qualquer incidente de segurança, sejam 
acidentais ou ilícitos (art. 46 da LGPD). 
 
Conforme definição da ANPD8: 
 
Um incidente de segurança com dados pessoais é qualquer evento adverso 
confirmado, relacionado à violação na segurança de dados pessoais, tais como 
acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, 
 
7 As principais informações deste tópico e subtópicos estão disponíveis no site https://www.gov.br/anpd/pt- 
br/assuntos/incidente-de-seguranca. 
8 Definição disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acesso em 26 
ago. 2021. 
alteração, vazamento ou ainda, qualquer forma de tratamento de dados 
inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades 
do titular dos dados pessoais. 
Portanto, apesar das medidas de segurança estabelecidos pelo controlador ou operador, 
incidentes de segurança podem ocorrer, sendo dever a comunicar a ANPD e aos titulares 
dos dados qualquer incidente que possa acarretar risco ou dano relevante. 
 
 
Portanto, após a ocorrência do incidente de segurança o controlador deverá9: 
1) Avaliar internamente o incidente – natureza, categoria e quantidade de 
titulares de dados afetados, categoria e quantidade dos dados afetados, 
consequências concretas e prováveis; 
2) Comunicar ao encarregado (Art. 5º, VIII da LGPD); 
3) Comunicar ao controlador, se você for o operador, nos termos da LGPD; 
4) Comunicar à ANPD e ao titular de dados, em caso de riscoou dano relevante 
aos titulares (Art. 48 da LGPD); e 
5) Elaborar documentação com a avaliação interna do incidente, medidas 
tomadas e análise de risco, para fins de cumprimento do princípio de 
responsabilização e prestação de contas (Art. 6º, X da LGPD). 
 
Conforme o art. 48 da LGPD, é responsabilidade do controlador dos dados avaliar se o 
incidente de segurança, efetivamente, possa acarretar risco ou dano relevante aos titulares 
dos dados. 
Não há definição legal ou da ANPD definindo o que seria uma situação de “risco ou dano 
relevante”, devendo tal circunstância ser analisada caso a caso. De qualquer forma, presume- 
se que a probabilidade de risco ou dano relevante para os titulares será maior: 
 
9 Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acesso em 26 ago. 2021. 
1. nas situações que envolvam dados sensíveis e indivíduos em situação de 
vulnerabilidade, incluindo crianças e adolescentes; 
2. tiver o potencial de causar danos materiais ou morais (discriminação, violação 
do direito de imagem e à reputação), fraudes financeiras e roubo de identidade. 
3. quando o volume de dados afetados for considerável. 
Segundo a ANDP, recomenda-se cautela nesta análise e sugere que a comunicação do 
incidente se dê mesmo nas situações em que há dúvidas sobre se a situação se enquadra na 
situação “ter a capacidade de causar risco ou dano relevante”. A cautela se justifica uma vez 
que caso fique comprovado que houve “subavaliação” dos riscos e danos por parte do 
controlador e a comunicação não for feita o controlador pode ser punido pela ANPD em razão 
do descumprimento da legislação de proteção de dados. 
 
O operador, possui o dever legal de comunicar incidentes de segurança? Não. O no caso de 
incidentes de segurança que envolvam o operador é dever deste comunicar imediatamente o 
controlador para que ele, portanto, realize os trâmites legais necessário. 
Todavia, excepcionalmente a ANPD poderá analisar comunicações de incidentes 
encaminhados por operadores. 
 
14.1 O que comunicar à ANPD nos casos de incidentes de segurança? 
Conforme § 1º do art. 48 da LGPD e formulário de comunicação de incidentes de segurança 
da ANPD, recomenda-se a apresentação das seguintes informações10: 
 Identificação e dados de contato de: 
 Entidade ou pessoa responsável pelo tratamento. 
 Encarregado de dados ou outra pessoa de contato. 
 Indicação se a notificação é completa ou parcial. Em caso de comunicação 
parcial, indicar que se trata de uma comunicação preliminar ou de uma 
comunicação complementar. 
 
 Informações sobre o incidente de segurança com dados pessoais: 
 Data e hora da detecção. 
 Data e hora do incidente e sua duração. 
 Circunstâncias em que ocorreu a violação de segurança de dados pessoais, 
por exemplo, perda, roubo, cópia, vazamento, dentre outros. 
 Descrição dos dados pessoais e informações afetadas, como natureza e 
conteúdo dos dados pessoais, categoria e quantidade de dados e de 
titulares afetados 
 Resumo do incidente de segurança com dados pessoais, com indicação da 
localização física e meio de armazenamento. 
 
 
10 Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acesso em 26 ago. 2021. 
 Possíveis consequências e efeitos negativos sobre os titulares dos dados 
afetados. 
 Medidas de segurança, técnicas e administrativas preventivas tomadas 
pelo controlador de acordo com a LGPD. 
 Resumo das medidas implementadas até o momento para controlar os 
possíveis danos. 
 Possíveis problemas de natureza transfronteiriça. 
 Outras informações úteis às pessoas afetadas para proteger seus dados ou 
prevenir possíveis danos. 
Considerando que a comunicação deve ser feita em tempo razoável, que conforme a ANPD 
seria o prazo de 2 dias úteis, é possível realizar comunicações preliminares e incompletas, com 
a complementação das informações o mais rápido possível. Ressalta-se que a ANPD não 
definiu que o prazo é de 2 dias úteis, mas sugere que a comunicação seja feita neste prazo. 
Pode ser que, a depender da situação concreta, outro prazo seja aceito e considerado como 
“razoável”. 
 
Em qualquer circunstância, após a comunicação de incidente, a ANPD poderá requerer 
informações adicionais. 
A partir da comunicação a ANPD, a depender da gravidade do incidente, poderá determinar a 
adoção de medidas para salvaguarda dos direitos dos titulares tais como determinar a ampla 
divulgação do fato em meios de comunicação e exigir a realização de medidas para reverter 
ou mitigar os efeitos do incidente (art. 48, § 2º). 
14.2 Plano de resposta a incidentes de pronto emprego 
É considerada um item mínimo de governança de gestão de dados pessoais a elaboração de 
um plano de resposta de incidente de pronto emprego (Art. 50, § 2º, I, “g” da LGPD) no qual 
aborde: 
1) especificação dos procedimentos e responsabilidades; 
2) indicação clara dos canais e/ou pessoas a serem acionadas; 
3) atualização, testes e treinamento pertinentes; 
4) homologação prévia de fornecedores externos (sistemas e equipes de apoio de 
resposta, perícia forense computacional, etc); 
5) entre outros 
Maiores informações sobre implementação da LGPD nos órgãos estarão disponíveis em outro 
módulo. 
 
14.3 Como comunicar um incidente de segurança para a Autoridade Nacional 
de Proteção de Dados? 
Para comunicar a ocorrência de incidente com dados pessoais o controlador deverá preencher 
o formulário eletrônico disponibilizado pela ANDP (clique aqui para baixar) e enviá-lo por meio 
do Peticionamento Eletrônico – Usuário Externo no seguinte link: 
https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico 
15 RESPONSABILIDADE POR INFRAÇÕES À LGPD 
Antes de discutir as possíveis punições que podem ser aplicadas pela ANPD aos agentes de 
tratamento em razão do descumprimento da LGPD é importante esclarecer quais são os níveis 
de responsabilização existentes em nosso sistema jurídico 
 
No direito brasileiro, são possíveis punições nas searas civil, penal, administrativa e política. 
Cada uma dessas searas são independentes e podem ocorrer ao mesmo tempo. Portanto, é 
possível que alguém cometa um crime que também é visto como um ilícito administrativo e 
que cause dano a alguém, devendo haver o devido ressarcimento. Nesta situação teremos 
responsabilizações independentes nas searas penal, administrativa e civil. 
Exemplo: Um servidor se apropria de valores da Administração Pública. Além de ser um crime, 
tal ato também é uma infração administrativa. Após os devidos trâmites, se comprovada a 
ocorrência do fato, o servidor poderá ser condenado na seara penal (prisão, restrição de 
direitos etc.), na seara administrativa (demissão, suspensão etc.) e na seara civil (ressarcir a 
Administração Pública pelos valores apropriados). 
 
AGU Explica - Responsabilidade Civil 
https://www.youtube.com/watch?v=S35DfaK6T_I 
A LGPD prevê em seu texto responsabilizações no âmbito civil e administrativo, que são 
previstas expressamente. Todavia, o fato de não haver previsões de punições penais ou 
políticas no seu texto não quer dizer que não possa haver responsabilização penal (caso o ato 
realizado também seja considerado um crime ou contravenção penal) ou responsabilização 
política (caso o ato realizado seja qualificado como improbidade) uma vez que há diversos 
outros textos legais no qual o ato do indivíduo poderá ser enquadrado. 
A própria LGPD deixa claro que os direitos previstos na LGPD não afastam outros previstos no 
ordenamento jurídico brasileiro (art. 64) e que possíveis infrações administrativas não anulam 
outras infrações previstas no Código de Defesa do Consumidor, nos regimes disciplinas dos 
servidores públicos ou no código civil (art. 52, §§ 2º e 3º). 
 
Cabe ainda diferenciar as possíveis punições administrativas que podem ser aplicadas pela 
ANPD contra os agentes de tratamento (pessoa física ou jurídica) e as punições administrativas 
decorrentes do Poder Disciplinar da AdministraçãoPública contra seus agentes públicos caso 
atuem em desconformidade com a LGPD. No primeiro caso a punição terá como base legal a 
própria LGPD, já no segundo caso a punição poderá decorrer de ato que infrinja a LGPD mas 
a base legal para punição estará na legislação que rege o cargo/emprego público do punido. 
No caso do Estado de Goiás as regras gerais sobre direito disciplinar estão dispostas no 
estatuto do servidor público do Estado de Goiás (Lei estadual n. 20.756/2020), em seus títulos 
V e VI (artigos 192 a 262). 
Nesta perspectiva, primeiro serão analisadas as possíveis responsabilizações administrativas 
e civis sobre os agentes de tratamento e posteriormente possíveis responsabilizações do 
servido público estadual que descumprir a LGPD, no âmbito do Poder Disciplinar e civil. 
15.1 Responsabilidade civil dos agentes de tratamento 
O tratamento de dado será considerado irregular quando deixar de observar a legislação ou 
não fornecer a segurança que o titular pode esperar conforme as técnicas de tratamento de 
dados pessoais disponíveis na época em que foi realizado o tratamento (art. 44). 
Quando ocorrer um incidente de segurança, o que engloba também o tratamento irregular de 
dados pessoais, o controlador e o operador estão obrigados a reparar os danos patrimoniais, 
morais, individuais ou coletivos causados em razão do tratamento de dados pessoais (art. 42), 
que pode ser solidária11 entre o controlador e o operador. Trata-se, neste caso, de 
responsabilidade civil. 
No caso da responsabilidade civil não é a ANPD que irá exigir a responsabilização, que poderá 
ser feita pelo próprio titular lesado, de forma individual, ou pelo Ministério Público, 
Defensoria Pública ou outros órgãos legitimados para tanto, de forma coletiva. 
 
O operador será responsabilizado “quando descumprir as obrigações da legislação de 
proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese 
em que o operador equipara-se ao controlador” (art. 42, §1º, I). 
Os controladores serão responsabilizados quando estiverem diretamente envolvidos no 
tratamento de dados do qual decorreram danos ao titular (art. 42, §1º, II). 
Os agentes de tratamento só não serão responsabilizados civilmente quando provarem (art. 
43): 
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído; 
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é 
atribuído, não houve violação à legislação de proteção de dados; ou 
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. 
O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, 
a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova 
ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa (art. 42, § 
2º). Portanto, é muito importante que os agentes de tratamento mantenham registros 
precisos e atualizados sobre os tratamentos realizados e das medidas de segurança realizadas, 
de forma que estejam preparados caso haja a inversão do ônus da prova no processo judicial. 
 
 
11 “Responsabilidade solidária - havendo pluralidade de devedores, o credor pode cobrar o total da dívida de 
todos ou apenas do que achar que tem mais probabilidade de quitá-la. A dívida não precisa ser cobrada em 
partes iguais para cada um. Todos os devedores são responsáveis pela totalidade da obrigação. O devedor que 
pagar o total deve receber dos demais a parte que pagou por eles. Esse tipo de responsabilidade não pode ser 
presumido, suas hipóteses estão previstas em lei, ou podem ser pactuadas entre as partes em contratos ou 
outros tipos de negociações”. Clique aqui para acessar o link no qual está contida esta definição. 
Além disso, a LGPD previu o direito de regresso no caso de responsabilização solidária contra 
o outro corresponsável pelo dano, na medida da sua responsabilidade. Ou seja, se duas 
entidades foram responsáveis por danos civis a uma pessoa em decorrência do tratamento 
irregular de dados ou incidentes de segurança e uma delas pagar integralmente a indenização, 
essa poderá exigir da outra o valor correspondente à sua responsabilidade no dano. 
15.2 Responsabilidade administrativa dos agentes de tratamento 
Além da responsabilidade civil, o art. 52 da LGPD prevê punições administrativa para os 
agentes de tratamento, sendo elas: 
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às 
normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas 
aplicáveis pela autoridade nacional: 
I - advertência, com indicação de prazo para adoção de medidas corretivas; 
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de 
direito privado, grupo ou conglomerado no Brasil no seu último exercício, 
excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de 
reais) por infração; 
III - multa diária, observado o limite total a que se refere o inciso II; 
IV - publicização da infração após devidamente apurada e confirmada a sua 
ocorrência; 
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; 
VI - eliminação dos dados pessoais a que se refere a infração; 
VII - (VETADO); 
VIII - (VETADO); 
IX - (VETADO). 
X - suspensão parcial do funcionamento do banco de dados a que se refere a 
infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até 
a regularização da atividade de tratamento pelo controlador; 
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que 
se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual 
período; 
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento 
de dados. 
 
No caso específico da Administração Pública, a LGPD já previu que as punições de multa 
simples e multa diária NÃO SÃO APLICÁVEIS as entidades públicas (art. 52, § 3º), podendo, 
portanto, serem aplicadas as seguintes punições administrativa: 
a) advertência, com indicação de prazo para adoção de medidas corretivas; 
b) publicização da infração após devidamente apurada e confirmada a sua 
ocorrência; 
c) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; 
d) eliminação dos dados pessoais a que se refere a infração; 
e) suspensão parcial do funcionamento do banco de dados a que se refere a 
infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até 
a regularização da atividade de tratamento pelo controlador; 
f) suspensão do exercício da atividade de tratamento dos dados pessoais a que se 
refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual 
período; 
g) proibição parcial ou total do exercício de atividades relacionadas a tratamento 
de dados. 
No caso de possíveis punições administrativas a serem aplicadas pela ANPD mostra-se 
obrigatório a existência de um processo administrativo no qual se dê oportunidade defesa 
ao agente de tratamento investigado. 
 
Em todas as circunstâncias, para aplicar as punições previstas no art. 52, a ANPD deverá 
observar (art. 52, § 1º): 
I - a gravidade e a natureza das infrações e dos direitos pessoais afetados; 
II - a boa-fé do infrator; 
III - a vantagem auferida ou pretendida pelo infrator; 
IV - a condição econômica do infrator; 
V - a reincidência; 
VI - o grau do dano; 
VII - a cooperação do infrator; 
VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos 
capazes de minimizar o dano, voltados ao tratamento seguro e adequado de 
dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei; 
IX - a adoção de política de boas práticas e governança; 
X - a pronta adoção de medidas corretivas; e 
XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção. 
Em caso de vazamento de dados ou acessos não autorizados, será possível a conciliação entre 
o controlador e o titular dosdados, conforme autoriza o §7º do art. 52. Contudo, se não 
houver acordo, o controlador fica sujeito às penalidades do art. 52. 
 
A ANPD ainda poderá solicitar do agente de tratamento a publicação de relatório de impacto 
à proteção de dados pessoais e sugerir a adoção de padrões de boas práticas para o 
tratamento de dados pessoais pelo Poder Público (art. 32). 
 
15.3 Responsabilidade administrativa dos servidores públicos que atuam com 
tratamento de dados pessoais 
Conforme já citado anteriormente, os servidores públicos que realizam atividades de tratamento de 
dados pessoais podem sofrer punições disciplinares caso atuem em desconformidade com a legislação 
e com a probidade, boa-fé e eficiência esperada. 
 
Com relação aos servidores públicos do Estado de Goiás, considerando apenas sanções disciplinares 
previstas no Estatuto do Servidor Público do Estado de Goiás (Lei estadual n. 20.756/2020), nos termos 
do art. 202, o servidor pode ser punido: 
XVI - deixar, culposamente, de observar prazos legais, administrativos ou judiciais: 
penalidade: advertência ou suspensão de até 30 (trinta) dias; 
- Por exemplo, o servidor era responsável por realizar o cancelamento ou anonimização de dados 
pessoais requisitado por um indivíduo e não o fez no prazo legal. 
 
XIX - descumprir, desrespeitar ou retardar, culposa ou intencionalmente, o cumprimento de 
qualquer ordem legítima, administrativa ou judicial, lei ou regulamento: 
 
penalidade: advertência ou suspensão de até 30 (trinta) dias, se a conduta foi praticada culposamente, 
ou suspensão de 31 (trinta e um) a 60 (sessenta) dias, se a conduta foi praticada dolosamente; 
- Enquadra-se nesta situação qualquer tratamento de dados pessoais realizado em desconformidade 
com a LGPD uma vez que se estaria descumprindo a legislação. 
 
XXIX - divulgar ou permitir a divulgação de imagem, áudio ou informação de ocorrência ou de local 
de crime, sem a devida autorização da autoridade competente: 
 
penalidade: suspensão de 31 (trinta e um) a 60 (sessenta) dias; 
 
- Imagem e áudio de indivíduos são considerados como dados pessoais sensíveis pelo simples fato de 
estarem ligados a dados biométricos do indivíduo. Além disso, qualquer informação relacionada a 
crime pode também ser considerado dado pessoal sensível por ser passíveis de gerar discriminações 
ou perseguições. 
- Apesar de o tratamento de dados pessoais para fins de investigação ou persecução penal não esteja 
no âmbito de proteção da LGPD, o tratamento desses dados para finalidade diversa caracteriza 
tratamento de dados pessoais e é protegida pela LGPD. 
 
LXIV - retirar, modificar, extinguir, acrescentar ou substituir indevidamente qualquer registro, com 
o fim de alterar a verdade dos fatos ou facilitar que outrem o faça: 
 
penalidade: suspensão de 61 (sessenta e um) a 90 (noventa) dias ou demissão; 
 
- Nesta situação é possível que dados pessoais sejam modificados ou alterados. 
 
LXV - usar recursos de tecnologia da informação da administração pública para violar sistemas ou 
disseminar vírus ou programas nocivos: 
 
penalidade: suspensão de 61 (sessenta e um) a 90 (noventa) dias ou demissão; 
- Nesta hipótese a violação de dados pessoais pode ser tanto de dados tratados pela Administração 
Pública como para violar dados de outros controladores, mas utilizando a infraestrutura e tecnologia 
da Administração Pública. 
 
LXVI - permitir ou facilitar o acesso de pessoa não autorizada, mediante atribuição ou fornecimento 
de senha ou qualquer outro meio, a sistemas de informações, banco de dados da administração 
pública ou a locais de acesso restrito: 
 
penalidade: suspensão, de 61 (sessenta e um) a 90 (noventa) dias ou demissão; 
- O controlador dos dados é responsável pela segurança dos dados que estão sob a sua guarda. 
Portanto, alguém permitir ou facilitar que terceiras tenham acesso aos dados pessoais representa uma 
falha na segurança dos dados e pode acarretar em danos aos titulares. 
LXVII - usar conhecimentos e informações para violar ou tornar vulneráveis a segurança, os sistemas 
de informática, sítios eletrônicos ou qualquer outra rotina ou equipamento da repartição: 
 
penalidade: suspensão de 61 (sessenta e um) a 90 (noventa) dias ou demissão; 
 
- Trata-se de outra hipótese em que a segurança dos dados pessoais dos indivíduos estaria em risco 
em razão de falhas no processo de proteção dos dados. 
OBS: As condutas indicadas como infração administrativa acima apontadas não representam todas as 
possíveis condutas infracionais possíveis de serem aplicadas em situações de tratamento inadequado 
de dados pessoais, podendo, a depender do caso concreto, outros tipos serem utilizados para fins de 
punição disciplinar. 
 
15.4 Responsabilidade civil dos servidores públicos que atuam com tratamento 
de dados pessoais 
No caso de responsabilidade civil de servidor público em razão de tratamento de dados 
pessoais em desconformidade com a LGPD não há regra específica, seguindo o previsto no § 
6º do art. 37 da Constituição Federal, que assim diz: 
Art. 37 (...) 
(...) 
§ 6º As pessoas jurídicas de direito público e as de direito privado prestadoras de 
serviços públicos responderão pelos danos que seus agentes, nessa qualidade, 
causarem a terceiros, assegurado o direito de regresso contra o responsável nos 
casos de dolo ou culpa. 
 
Inicialmente a responsabilidade civil será da própria Administração Pública e será objetiva, ou 
seja, independente de culpa, garantido o direito de regresso contra o servidor que causou o 
dano. 
Um ponto importante é que a responsabilidade do servidor público, nesta circunstância, é 
subjetiva, ou seja, é dever da Administração Pública provar que houve dolo, negligência, 
imprudência ou imperícia para responsabilidade o servidor pelo dano causado, garantindo-se 
o direito ao contraditório e ampla defesa. 
 
16 A LEI DE ACESSO À INFORMAÇÃO E A LGPD 
Com a entrada em vigor da LGPD muitos questionamentos surgiram com relação a sua 
compatibilidade com a Lei de Acesso à Informação, uma vez que, em tese, a primeira protege 
a privacidade dos dados pessoais e a segunda privilegiaria a publicidade de tais informações. 
Ocorre que esta é uma percepção errada sobre as duas legislações que não são antagônicas, 
mas sim complementares. Ambas preveem que os dados pessoais devem ser protegidos, 
conforme pode ser visto no art. 31 da LAI. 
Lei de Acesso à Informação: 
Art. 31. O tratamento das informações pessoais deve ser feito de forma 
transparente e com respeito à intimidade, vida privada, honra e imagem das 
pessoas, bem como às liberdades e garantias individuais. 
§ 1º As informações pessoais, a que se refere este artigo, relativas à intimidade, 
vida privada, honra e imagem: 
I - terão seu acesso restrito, independentemente de classificação de sigilo e pelo 
prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes 
públicos legalmente autorizados e à pessoa a que elas se referirem; e 
II - poderão ter autorizada sua divulgação ou acesso por terceiros diante de 
previsão legal ou consentimento expresso da pessoa a que elas se referirem. 
§ 2º Aquele que obtiver acesso às informações de que trata este artigo será 
responsabilizado por seu uso indevido. 
§ 3º O consentimento referido no inciso II do § 1º não será exigido quando as 
informações forem necessárias: 
I - à prevenção e diagnóstico médico, quando a pessoa estiver física ou legalmente 
incapaz, e para utilização única e exclusivamente para o tratamento médico; 
II - à realização de estatísticas e pesquisas científicas de evidente interesse público 
ou geral, previstos em lei, sendo vedada a identificação da pessoa a que as 
informações se referirem; 
III - ao cumprimento de ordem judicial; 
IV - à defesa de direitos humanos; ou 
V - à proteção do interesse público e geral preponderante. 
§ 4º A restrição de acesso à informação relativa à vida privada, honra e imagem 
de pessoa não poderá ser invocada com o intuito de prejudicar processode 
apuração de irregularidades em que o titular das informações estiver envolvido, 
bem como em ações voltadas para a recuperação de fatos históricos de maior 
relevância. 
§ 5º Regulamento disporá sobre os procedimentos para tratamento de 
informação pessoal. 
Portanto, para a LAI os dados pessoais são de acesso restrito e possuem sigilo por 100 anos, 
com algumas exceções no qual o consentimento do titular não é necessário para a divulgação 
desses dados. 
No geral as exceções de divulgação de dados pessoais da LAI estão abarcadas em situações no 
qual o tratamento de dados pessoais é possível sem o consentimento do titular. A principal 
diferença se dá na possibilidade de divulgação de dados pessoais quando houve a necessidade 
de proteção do interesse público e geral preponderante. 
 
A “proteção do interesse público geral e preponderante” é um conceito jurídico 
indeterminado e, portanto, deve ser avaliado em cada caso e tem como pressuposto, assim 
como toda a informação disponibilizada por meio da LAI, garantir aos cidadãos: 
1. Direito constitucional à transparência; 
2. Controle social da Administração Pública; 
3. O dever da Administração Pública de prestar contas ao cidadão 
Portanto, o acesso à informação é essencial para o Estado Democrático de Direito e está 
vinculado à ideia de que o interesse público é superior ao interesse individual. Há diversas 
situações em que, efetivamente, será necessária a divulgação de dados pessoais em prol do 
interesse público, privilegiando-se, nesta situação, os princípios da publicidade e do interesse 
público em face dos princípios da privacidade do indivíduo. 
 
Por exemplo, mostra-se essencial que a sociedade saiba exatamente quem foi o ganhador de 
uma licitação para fins de controle social da regularidade do processo licitatório e para 
controle futuro do serviço a ser prestado. Se o ganhador da licitação for pessoa física os seus 
dados estão protegidos pela LGPD, mas mais importante ainda é a publicidade do vencedor. 
 
Mostra-se essencial, também, que seja dada publicidade dos dados pessoais relativos a 
servidores punidos administrativamente. 
O STF já se pronunciou que a divulgação dos vencimentos dos servidores públicos no portal 
transparência é legítimo e atende ao interesse público. 
 
Fora essas situações, há diversas ações possíveis para garantir o máximo de privacidade de 
dados pessoais sem ferir o princípio da publicidade, como “riscar” as informações pessoais de 
pessoas de documentos públicos, preservando-se os dados pessoais sem prejudicar a 
publicidade. 
 
Concluindo, não há contrariedade entre a LGPD e a LAI, mas sim complementariedade, sendo 
que nos casos concretos, a depender da situação, poderá ser necessário realizar a ponderação 
de valores sobre se dados pessoais tratados pela administração pública podem ou não ser 
divulgados. 
Tratamento da informação pessoal em face da LAI e da LGPD 
https://www.youtube.com/watch?v=Hez48u4zuTs 
REFERÊNCIAS 
 
AGR. Agência Goiana de Regulação. Manual de Boas Práticas para a Implementação da Lei 
Geral de Proteção de Dados (LGPD). Goiânia: AGR, 2021?. 
 
BRASIL. Guia de boas práticas: Lei Geral de Proteção de Dados (LGPD). Brasília: Comitê Central 
de Governança de Dados, 2020a. Disponível em: https://www.gov.br/governodigital/pt- 
br/seguranca-e-protecao-de-dados/guia-boas-praticas-lgpd. Acesso em 18 ago. 2021. 
BRASIL. Instrução Normativa SGD/ME n. 117, de 19 de novembro de 2020. Diário Oficial da 
União, Brasília, DF, 20 novembro 2020b. Edição 222, Seção 1, página 92. 
 
BRASIL. Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definições dos 
Agentes de Tratamento de Dados Pessoais e do Encarregado. 2021a. Disponível em: 
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/outros- 
documentos-externos/anpd_guia_agentes_de_tratamento.pdf. Acesso em: 23 ago. 2021. 
 
BRASIL. Autoridade Nacional de Proteção de Dados. Portaria n. 11, de 27 de janeiro de 2021. 
Diário Oficial da União, Brasília, DF, 28 janeiro 2021b. Edição 19, Seção 1, p. 3. 
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. 
2. ed. Rio de Janeiro: 2020. 
 
DINIZ, Maria Helena. Curso de direito civil brasileiro. 22 ed. São Paulo: Saraiva, 2007. 
 
LEFREVE, Letícia. O tratamento de dados pessoais de crianças e adolescentes. In: OAB-SP. 
Comissão de Direito Digital, Tecnologia e Inteligência Artificial. Comentários à Lei Geral de 
Proteção de Dados. 2020. Disponível em: https://bit.ly/2tR13vn?trk=organization- 
update_share-update_update-text. Acesso em: 31 ago. 2021. 
 
LENZA, Pedro. Direito Constitucional Esquematizado. 22. ed. São Paulo: Saraiva, 2018. 
 
MALANGA, Viviane Corrocher. Da Transferência Internacional de Dados. In: OAB-SP. Comissão 
de Direito Digital, Tecnologia e Inteligência Artificial. Comentários à Lei Geral de Proteção de 
Dados. 2020. Disponível em: https://bit.ly/2tR13vn?trk=organization-update_share- 
update_update-text. Acesso em: 31 ago. 2021. 
 
OAB-SP. Comissão de Direito Digital, Tecnologia e Inteligência Artificial. Comentários à Lei 
Geral de Proteção de Dados. 2020. Disponível em: https://bit.ly/2tR13vn?trk=organization- 
update_share-update_update-text. Acesso em: 31 ago. 2021. 
PARÁ. PROCURADORIA GERAL DO ESTADO. LGPD – Lei Geral de Proteção de Dados: manual 
de aplicação na administração pública. 2021. Disponível em: 
https://www.pge.pa.gov.br/sites/default/files/upload/ebook_lgpd_pge_gov_pa_2021_a5_b 
_10fev.pdf. Acesso em 20 ago. 2021 
ANEXO I 
 
DETALHAMENTO DAS LEIS (ARTIGOS, INCISOS E PARÁGRAFOS) RELATIVOS A PROTEÇÃO DE 
DADOS PESSOAIS (EXCETO A LGPD) 
 
CONSTITUIÇÃO FEDERAL 
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos 
brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, 
à igualdade, à segurança e à propriedade, nos termos seguintes: 
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o 
direito a indenização pelo dano material ou moral decorrente de sua violação; 
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das 
comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma 
que a lei estabelecer para fins de investigação criminal ou instrução processual penal; 
LXXII - conceder-se-á "habeas-data": 
a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, 
constantes de registros ou bancos de dados de entidades governamentais ou de caráter 
público; 
b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou 
administrativo; 
CÓDIGO DE DEFESA DO CONSUMIDOR 
Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações 
existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre 
ele, bem como sobre as suas respectivas fontes. 
§ 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em 
linguagem de fácil compreensão, não podendo conter informações negativas referentes a 
período superior a cinco anos. 
§ 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser 
comunicada por escrito ao consumidor, quando não solicitada por ele. 
§ 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir 
sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a 
alteração aos eventuais destinatários das informações incorretas. 
§ 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao 
crédito e congêneres são considerados entidades de caráter público. 
§ 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão 
fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que 
possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores. 
LEIDO CADASTRO POSITIVO 
Art. 3º Os bancos de dados poderão conter informações de adimplemento do cadastrado, 
para a formação do histórico de crédito, nas condições estabelecidas nesta Lei. 
§ 1º Para a formação do banco de dados, somente poderão ser armazenadas informações 
objetivas, claras, verdadeiras e de fácil compreensão, que sejam necessárias para avaliar a 
situação econômica do cadastrado. 
LEI DE ACESSO À INFORMAÇÃO 
 
Art. 4º Para os efeitos desta Lei, considera-se: 
IV - informação pessoal: aquela relacionada à pessoa natural identificada ou identificável; 
Art. 31. O tratamento das informações pessoais deve ser feito de forma transparente e com 
respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e 
garantias individuais. 
§ 1º As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, 
honra e imagem: 
I - terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo 
máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente 
autorizados e à pessoa a que elas se referirem; 
II - poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou 
consentimento expresso da pessoa a que elas se referirem. 
§ 2º Aquele que obtiver acesso às informações de que trata este artigo será responsabilizado 
por seu uso indevido. 
§ 3º O consentimento referido no inciso II do § 1º não será exigido quando as informações 
forem necessárias: 
I - à prevenção e diagnóstico médico, quando a pessoa estiver física ou legalmente incapaz, e 
para utilização única e exclusivamente para o tratamento médico; 
II - à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, 
previstos em lei, sendo vedada a identificação da pessoa a que as informações se referirem; 
III - ao cumprimento de ordem judicial; 
IV - à defesa de direitos humanos; ou 
V - à proteção do interesse público e geral preponderante. 
§ 4º A restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não 
poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em 
que o titular das informações estiver envolvido, bem como em ações voltadas para a 
recuperação de fatos históricos de maior relevância. 
§ 5º Regulamento disporá sobre os procedimentos para tratamento de informação pessoal. 
 
MARCO CIVIL DA INTERNET 
 
Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios: 
II - proteção da privacidade; 
III - proteção dos dados pessoais, na forma da lei; 
Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados 
os seguintes direitos: 
I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano 
material ou moral decorrente de sua violação; 
II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem 
judicial, na forma da lei; 
III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem 
judicial; 
VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de 
acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou 
nas hipóteses previstas em lei; 
VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e 
proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: 
a) justifiquem sua coleta; 
b) não sejam vedadas pela legislação; e 
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de 
aplicações de internet; 
IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados 
pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais; 
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de 
internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses 
de guarda obrigatória de registros previstas nesta Lei; 
	1 A PROTEÇÃO DA PERSONALIDADE E A SUA RELAÇÃO COM OS DADOS PESSOAIS
	2 OBJETIVOS E FUNDAMENTOS DA LEI GERAL DE PROTEÇÃO DE DADOS
	3 O QUE É DADO PESSOAL?
	3.1 Dado pessoal anônimo utilizado para criação de perfis comportamental
	3.2 Dado físico e digital
	3.3 Dados pessoais sensíveis
	Figura 1 – Informações, dados pessoais e dados pessoais sensíveis
	4 O QUE É TRATAMENTO DE DADO PESSOAL?
	4.1 Tratamento de dados pessoais de crianças e adolescentes
	5 A QUEM SE APLICA A LGPD?
	6 PRINCÍPIOS DA LGPD
	6.1 Noções sobre princípios
	Desta forma, os princípios são “mandamentos de otimização” e representam “condensação de valores fundamentais de um sistema”. Os princípios jurídicos são elementos nucleares e nos auxiliam a compreender de forma adequada todas as outras normas de um d...
	6.2 Princípios da LGPD
	6.3 Exemplos de tratamento de dados em desconformidade com os princípios da LGPD
	CASO POKÉMON GO
	CASO MERCEDES BENZ
	CASO DO RECONHECIMENTO FACIAL PELAS PORTAS INTERATIVAS DIGITAIS PELA EMPRESA CONCESSIONÁRIA DE LINHA DO METRÔ DE SÃO PAULO
	7 DIREITOS DO TITULAR DOS DADOS PESSOAIS
	7.1 Exercício dos direitos dos titulares perante a administração pública
	8 HIPOTESES DE TRATAMENTO E CICLO DE VIDA DOS DADOS PESSOAIS
	8.1 Identificação da hipótese de tratamento aplicável
	8.2 Hipóteses Legais de Tratamento
	I – mediante o fornecimento de consentimento pelo titular
	Portanto, são irregulares consentimentos genéricos e imprecisos. Da mesma forma, são nulos os consentimentos obtidos caso as informações fornecidas ao titular sejam enganosas, abusivas ou falsas.
	II – para o cumprimento de obrigação legal ou regulatória pelo controlador
	III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou
	IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais
	V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados
	VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem)
	VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro
	VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
	IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais
	X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente
	8.3 Tratamento de dados pessoais sensíveis
	Além disso, há uma hipótese de tratamento específica para os dados sensíveis, que é aquela destinada “garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos”.
	8.4 Ciclo de vida do tratamento do dado pessoal
	9 AGENTES DE TRATAMENTO4
	AGU Explica - Administração Pública Direta e Indireta https://www.youtube.com/watch?v=2bWA8fyXvQw
	Teoria do Órgão https://www.youtube.com/watch?v=cMTuGZX_VNY
	9.1 Controlador e operador
	9.2 Controladoria conjunta e controladoria singular
	Exemplo de controladoria conjunta
	Exemplo de utilização da mesma base de dados mas com decisões autônomas
	9.3 Suboperador
	9.4 Relação entre controlador e operador
	9.5 Obrigações do controlador
	10 ENCARREGADO
	10.1 Condições de trabalho e requisitos para uma boa atuação como encarregado
	11 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
	12 COMPARTILHAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA
	O que são empresas públicas e sociedades de economia mista?
	13 TRANSFERÊNCIA INTERNACIONAL DE DADOS
	14 INCIDENTEa dimensão de problemas já existentes como o roubo/vazamento 
de dados pessoais, a aplicação de golpes, a divulgação de informações falsas, o aumento da 
vigilância pública e privada, entre outros. 
NOTÍCIA – Em 2017 a cada 16 segundos algum consumidor é vítima de alguma 
tentativa de fraude (1,8 milhões de tentativas). – clique aqui 
NOTÍCIA – Megavazamento de dados de 223 milhões de brasileiros – Clique aqui 
 
NOTÍCIA – 8 Maiores vazamentos de dados de 2020 – clique aqui 
 
As novas formas de relacionamento e comunicação também acarretaram no surgimento de 
novas questões sociais relevantes como a existência de perfis falsos, a criação de algoritmos 
para predição de ações, criação de perfis de consumo identificação de padrões, o garimpo de 
dados no Big Data. 
Efetivamente, os dados pessoais passaram a ser um dos ativos mais importantes e rentáveis 
das empresas, sendo utilizado como elemento para o planejamento de novos produtos, 
reestruturação de produtos já existentes, organização da cadeia produtiva e publicidade 
direcionada. No caso das empresas privadas os dados pessoais são comparados como o novo 
petróleo, em razão de sua capacidade de gerar inovação e lucros (BIONI, 2020). 
 
Imagem disponível em: https://i.ytimg.com/vi/JbzsXRjOY9c/maxresdefault.jpg. Acesso em: 
12/08/2021. 
 
Da mesma forma, os dados pessoais são essenciais para o funcionamento da Administração 
Pública, sendo elemento necessário para a realização e, também, para o planejamento de 
políticas públicas (PARÁ, 2021). 
Apesar de parecer inofensivo, a posse e utilização de nossos dados pessoais podem acarretar 
em consequenciais sociais consideráveis, de larga escala e profundas. 
 
No âmbito privado, as redes sociais possuem um poder de enorme de influência sobre o 
consumo e sobre o conteúdo que acessado pelos indivíduos, sendo capazes, por exemplo, de 
definir o gênero, opção sexual, cor e preferência política apenas a partir das curtidas dadas 
(BIONI, 2020). Quem assistiu o documentário O dilema das redes, disponível na Netflix, possui 
uma noção da dimensão do poder das redes sociais sobre o conteúdo acessado e produtos 
oferecidos. 
 
No âmbito público, a posse e utilização de dados pessoais podem acarretar na vigilância e 
controle exacerbado da população, como a criação de sistemas de reconhecimento facial e o 
monitoramento da vida privada do indivíduo. 
 
NOTÍCIA – O plano chinês para monitorar – e premiar – o comportamento de seus 
cidadãos - clique aqui 
 
Há outros dilemas/problemas sociais concretos decorrentes das predições, construções e 
perfis criados pelos algoritmos a partir de dados pessoais. Um exemplo é racismo algorítmico, 
que ocorre quando o algoritmo acaba atuando de forma racista. Abaixo são apresentados 
algumas situações reais de racismo algorítmico1: 
 
1 Disponível em: https://www.brasildefato.com.br/2019/12/03/artigo-or-o-racismo-que-estrutura-as- 
tecnologias-digitais-de-informacao-e-comunicacao. Acesso em: 18 ago. 2021. 
• Sistemas do Google que permitem empresas exibirem anúncios sobre crime 
especificamente a afro-americanos; 
• Resultados no Google Imagens que apresentam conteúdos hiper-sexualizados 
para buscas como “garotas negras”; 
• Marcação de fotos de jovens negros com a tag “gorila” pelo Google Photos; 
• Robôs conversacionais de startups que não encontram face de mulher negra e 
sistemas de visão computacional que erram gênero e idade de mulheres negras; 
• Mecanismos de busca de bancos de imagens que invisibilizam famílias e 
pessoas negras; 
• Aplicativos que transformam selfies e equiparam beleza à brancura; 
• Interfaces de Programação de Aplicativos de visão computacional que 
confundem cabelo negro com perucas; 
• Ferramentas de processamento de linguagem natural que possuem vieses 
contra linguagem e temas negros; 
• Análise facial de emoções que associa categorias negativas a atletas negros. 
 
Há situações mais graves, como a das tecnologias de reconhecimento facial de criminosos no 
qual os alertas recaem, principalmente, sobre pessoas negras, reforçando o pensamento 
racista que existe em nossa sociedade de que as pessoas negras são “normalmente” mais 
criminosas. 
TEXTO DE APOIO – O que é racismo algorítmico - clique aqui 
 
NOTÍCIA – Algoritmo do Twitter é acusado de ser racista - clique aqui 
 
Como se observa, a proteção dos dados pessoais possui como objetivo proteger questões 
muito mais profundas do que apenas a privacidade, possíveis propagandas no e-mail ou 
fraudes em bancos e outras instituições. A utilização irregulada dos dados pessoais pode 
acarretar em consequência que afetem (BIONI, 2020): 
1) a integridade física e/ou psicológica do indivíduo (imagine alguém ser preso 
indevidamente por um reconhecimento facial falho); 
2) influenciar na vida financeira (o indivíduo pode ter acesso ao crédito negado 
em razão dos seus dados pessoais); 
3) a seleção de pessoas em processos de recrutamento de empresas; 
4) a estipulação de prêmios em contratos securatórios; 
5) formação da própria personalidade do indivíduo (informações sobre 
preferências e consumo que são analisados por algoritmos e que “controla” o 
conteúdo visto por adultos, crianças e adolescentes nas redes sociais). 
 
Um exemplo de como os dados pessoais influenciam diretamente a vida financeira do 
indivíduo é o score criado pela empresa Serasa Experian. Neste sistema, quando maior a sua 
nota você é considerado um “melhor pagador”, o que pode te garantir crédito (cartão de 
crédito, financiamentos, empréstimos) com melhores condições e vice e versa. 
Outro caso real que minimamente criou uma situação constrangedora mas que, a depender 
da situação, poderia causar danos psicológicos graves foi de uma empresa que enviou por 
correio para uma residência um catálogo de produtos para bebês direcionado para a filha dos 
responsáveis, que era adolescente. O pai, furioso, se dirigiu a empresa questionando por qual 
motivo eles estavam incentivando a filha dele a engravidar sem saber que a adolescente já 
estava grávida. Posteriormente o pai descobriu a gravidez da filha. A empresa se apropriou de 
informações sobre pesquisas realizadas pela adolescente para oferecer produtos acarretando 
na situação constrangedora no ambiente familiar (BIONI, 2020; LEFREVE, 2020). 
Portanto, pode-se afirmar que a proteção dos dados pessoais está intimamente ligada a 
proteção dos direitos de personalidade do indivíduo, influenciando no conteúdo, acesso, 
serviços e produtos oferecidos, maior ou menor vigilância entre outras situações (BIONI, 2020; 
AGR, 2021?) 
 
CONCEITO 1 - Personalidade significa as “características ou o conjunto de 
características que distingue uma pessoa” da outra. Com base nessa abordagem 
semântica, os direitos da personalidade seriam os caracteres incorpóreos e 
corpóreos que conformam a projeção da pessoa humana. Nome, honra, 
integridade física e psíquica seriam apenas alguns dentre uma série de outros 
atributos que dão forma a esse prolongamento (BIONI, 2020, p. 77) 
CONCEITO 2 – Direito de Personalidade são direitos subjetivos da pessoa de 
defender o que lhe é próprio, ou seja, a sua integridade física (vida, alimentos, 
próprio corpo vivo ou morto, corpo alheio vivo ou morto, partes separadas do 
corpo vivo ou morto); a sua integridade intelectual (liberdade de pensamento, 
autoria científica, artística e literária); e a sua integridade moral (honra, recato, 
segredo profissional e doméstico, identidade pessoal, familiar e social) (DINIZ, 
2007, p. 43) 
 
Diante deste cenário, diversos países no mundo passaram a criar legislações para 
regulamentar o tratamento de dados pessoais, visando dar autonomia e maior controle sobre 
os seus dados pessoais. 
INFORMAÇÃO DE APOIO - Grau de adequação dos países à proteção de dados 
pessoais, conforme o Serviço de Processamento de Dados (Serpro) do Governo 
Federal – clique aqui 
 
A principal legislação sobre proteção de dados pessoais é a General Data Protection 
Regulation – GDPR (Regulamento GeralDE SEGURANÇA7
	14.1 O que comunicar à ANPD nos casos de incidentes de segurança?
	14.2 Plano de resposta a incidentes de pronto emprego
	14.3 Como comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?
	15 RESPONSABILIDADE POR INFRAÇÕES À LGPD
	AGU Explica - Responsabilidade Civil
	15.1 Responsabilidade civil dos agentes de tratamento
	15.2 Responsabilidade administrativa dos agentes de tratamento
	15.3 Responsabilidade administrativa dos servidores públicos que atuam com tratamento de dados pessoais
	15.4 Responsabilidade civil dos servidores públicos que atuam com tratamento de dados pessoais
	16 A LEI DE ACESSO À INFORMAÇÃO E A LGPD
	Lei de Acesso à Informação:
	Tratamento da informação pessoal em face da LAI e da LGPD
	REFERÊNCIAS
	ANEXO I
	CÓDIGO DE DEFESA DO CONSUMIDOR
	LEI DO CADASTRO POSITIVO
	LEI DE ACESSO À INFORMAÇÃO
	MARCO CIVIL DA INTERNETde Proteção de Dados), da União Europeia, que foi 
aprovada em 2016 e entrou em vigor em 2018. Uma das exigências previstas na lei europeia 
é a de que as empresas podem sofrer punições caso realizem o compartilhamento de dados 
pessoais com empresas que infrinjam a regulamentação europeia. 
 
Essa exigência prevista no GDPR com certeza foi um dos principais impulsionadores da 
discussão sobre a proteção de dados no parlamento brasileiro. Como o risco de sofrer perdas 
diplomáticas e econômicos por possível veto das empresas/países europeias em razão da falta 
de uma legislação e da falta de uma cultura de proteção de dados no Brasil era grande, houve 
uma pronta reação do legislativo brasileiro para a aprovação de uma lei de proteção de dados 
no Brasil, que acarretou na aprovação da Lei Federal nº 13.709/2018, também conhecida 
como Lei Geral de Proteção de Dados (LGPD). 
Com a LGPD passou a existir no Brasil uma lei com proteção específica dos dados pessoais dos 
indivíduos em conformidade com as melhores práticas adotadas internacionalmente. 
Desde a sua primeira versão, que foi publicada no Diário Oficial da União em 14 de agosto de 
2018, diversas alterações ocorreram no tocante ao seu prazo de vacância (prazo em que a lei 
ainda não é aplicável). 
 
TABELA 1 – ALTERAÇÕES NA VACÂNCIA DA LGPD2 
TEXTO LEGAL 
DATA DA 
PUBLICAÇÃO 
ALTERAÇÃO NO PRAZO DE VACÂNCIA 
Lei nº 
13.709/2018 
14/08/2018 
Texto original (vacância prevista de 18 meses). 
Lei nº 
13.853/2019 
08/07/2019 
- Criou a Autoridade Nacional de Proteção de Dados (ANPD). 
- aumentou o prazo de vacância para 24 meses. 
Lei nº 
14.010/2020 
10/06/2020 
- Prorrogou o prazo de vacância das punições administrativas até 
30/07/2021, ou seja, as punições administrativas previstas na LGPD 
passariam a vigorar apenas em 1º/08/2021. 
 
 
Medida 
Provisória nº 
959/2020 
posteriormente 
convertida em 
Lei nº 
14.058/2020 
 
 
25/08/2020 
(publicação da 
Medida 
Provisória) 
18/09/2020 
(publicação da 
Lei) 
- A Medida Provisória nº 959/2020 havia prorrogado o prazo de vacância 
da lei até 31/12/2020. 
- Após a análise na Câmara dos Deputados, a parte que se referia a 
alteração do prazo de vacância da LGPD não foi apreciada pelo Senado, 
voltando, portanto, ao prazo originalmente previsto na Lei n. 
13.853/2019 de 24 meses de vacância, que havia terminado em 
14/08/2020. 
- Como a medida provisória convertida em lei só foi publicada no Diário 
Oficial da União no dia 18/09/2020 apenas nesta data a LGPD entrou em 
vigor, com exceção das punições administrativas, que apenas entraram 
em vigor em 1º/08/2021, conforme Lei n. 14.010/2020. 
 
O fato de não existir uma Lei específica de proteção de dados pessoais no Brasil até então não 
significada que não havia qualquer proteção jurídica aos dados pessoais. Ocorre que a 
legislação até então existente era esparsa e genérica, conferindo uma proteção fraca para o 
indivíduo. 
 
 Constituição Federal 1988 
 1990 Código de Defesa do Consumidor 
 Lei do Cadastro Positivo 
2011 
 Lei de Acesso à Informação 
 2014 Marco Civil da Internet 
 Lei Geral de Proteção de dados 2018 
 
 
 
 
2 Informações disponíveis em: https://www.compugraf.com.br/linha-do-tempo-da-lgpd/. Acesso em 10 set. 
2021. 
Tabela 2 - Evolução da legislação de proteção de dados pessoais no Brasil 
No anexo I deste material são apresentados, de forma mais específica, os artigos, incisos e 
parágrafos das legislações acima apresentadas no tocante à proteção dos dados pessoais 
(exceto a LGPD). 
Ressalta-se que há outras legislações específicas voltadas à proteção de dados pessoais para 
o setor financeiro ou de telecomunicações, por exemplo, que não são citadas. 
 
2 OBJETIVOS E FUNDAMENTOS DA LEI GERAL DE PROTEÇÃO DE DADOS 
A LGPD reconhece de forma expressa que possui como objetivos a proteção da liberdade, da 
privacidade e do livre desenvolvimento da personalidade do indivíduo. 
 
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios 
digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, 
com o objetivo de proteger os direitos fundamentais de liberdade e de 
privacidade e o livre desenvolvimento da personalidade da pessoa natural. 
Para alcançar estes objetivos, em seu art. 2º, a LGPD estabelece os fundamentos sobre os 
quais todo o tratamento de dados deve se pautar, sendo eles: 
 
1) o respeito à privacidade (já garantida na constituição e reforçada neste texto 
normativo); 
2) a liberdade de expressão, de informação, de comunicação e de opinião; 
3) o desenvolvimento econômico e tecnológico e a inovação; 
4) a livre iniciativa, livre concorrência e a defesa do consumidor; 
5) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e 
o exercício da cidadania; 
6) a autodeterminação informativa. 
Como se percebe, a LGPD reconhece a importância e a necessidade de utilização de dados 
pessoais para o desenvolvimento econômico e tecnológico, assim como para a inovação. 
Todavia, resguarda que a utilização desses dados não pode ser de qualquer forma, trazendo 
balizas para essa utilização com vistas a proteger a pessoa natural (pessoa física) detentora 
dos dados (BIONI, 2020). 
 
Do outro lado, além de reforçar direitos básicos já garantidos em outros textos normativos, a 
LGPD garante a autodeterminação informativa para o indivíduo, que, de forma resumida 
pode ser entendida como “[...] quais dados pessoais estão sendo coletados e qual a finalidade” 
(PARÁ, 2021, p. 6). 
De forma mais completa, podemos dizer que autodeterminação informativa é: 
1) Decidir quando e como compartilhar os seus dados pessoais; 
2) Ter ciência sobre quais dados pessoais estão sendo tratados, mesmo nas 
situações em que o tratamento não depende do consentimento do titular; 
3) Saber a finalidade do tratamento dos dados; 
4) Solicitar a interrupção do tratamento e exclusão ou anonimização dos dados 
pessoais, exceto nas situações em que a lei permite a manutenção do dado 
pessoal independente do consentimento. 
Portanto, a LGPD empodera as pessoas físicas, conferindo autonomia e poderes sobre os seus 
dados pessoais, e regulamenta a utilização dos dados pessoais por parte dos chamados 
“agentes de tratamento”, buscando equilibrar o interesse social de desenvolvimento 
econômico e tecnológico com a proteção do indivíduo. 
 
3 O QUE É DADO PESSOAL? 
Vimos que a LGPD busca proteger os dados pessoais das pessoas naturais (pessoas físicas), 
garantindo às mesmas a autodeterminação informativa. Mas, afinal, o que é DADO PESSOAL? 
Nos termos do art. 5º, I da LGPD dado pessoal é toda informação relacionada à pessoa natural 
(pessoa física) identificada ou identificável. O conceito é aberto e, em tese, abarca toda e 
qualquer informação vinculada ao indivíduo, como: nome, CPF, idade, cor, endereço, e-mail, 
telefone, placa de carro, peso, altura, nome da mãe, nome do pai, preferência política... etc. 
 
Adota-se no Brasil a teoria expansionista, ou seja, será considerado dado pessoal as 
informações que se refiram a pessoa que possa ser identificada, mesmo que indeterminada, 
ou seja, mesmo uma informação indireta, imprecisa ou inexata que mediante cruzamento de 
dados possa identificar o indivíduo será considerado como dado pessoal. 
Bioni (2020) explica que toda informação que de alguma forma se relacionada a um indivíduo, 
em tese, seria um dado pessoal, mesmo que apenas remotamente possa identificar um 
indivíduo. Isso se dá em razão de, atualmente, existirem algoritmos que utilizando diversas 
bases de dados são capazes de identificar dados indiretos e imprecisos e identificar indivíduos. 
Portanto, caso levado ao extremo a teoria expansionista, toda informação que de alguma 
forma se relacionada a um indivíduo seria dado pessoal. 
 
O legislador, preocupado com as consequências de equiparar qualquer informação sobre um 
indivíduo como um dado pessoal, criou, então, limitações à teoria expansionista, no qual foi 
estabelecidoo critério da razoabilidade para delimitar o que é ou não um dado pessoal. Se 
para identificar uma pessoa mediante uma informação se demandar um esforço razoável 
considerando as técnicas razoáveis e disponíveis na ocasião do tratamento do dado não 
estamos diante de um dado pessoal, mas sim de um dado anônimo (art. 5º, III da LGPD). 
Art. 5º (...) 
(...) 
III - dado anonimizado: dado relativo a titular que não possa ser identificado, 
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de 
seu tratamento; 
(...) 
Art. 12. Os dados anonimizados não serão considerados dados pessoais para os 
fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos 
for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços 
razoáveis, puder ser revertido. 
§ 1º A determinação do que seja razoável deve levar em consideração fatores 
objetivos, tais como custo e tempo necessários para reverter o processo de 
anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva 
de meios próprios. 
A delimitação sobre o que é “esforço razoável” para identificação do indivíduo mediante 
cruzamento de dados deve levar em consideração fatores objetivos como custo e tempo 
necessários para reverter a anonimização conforme meios técnicos razoáveis e disponíveis na 
ocasião de seu tratamento. Não se deve utilizar como critério a expertise ou o conhecimento 
do indivíduo ligado ao tratamento, mas sim os meios técnicos razoáveis disponíveis, mesmo 
que em determinado órgão os servidores responsáveis não saibam utilizar esses “meios 
técnicos razoáveis” uma vez que, no caso de vazamento, outro indivíduo melhor instruído 
poderá saber utilizar esses meios técnicos e reverter o processo de anonimização. 
 
Abaixo segue o exemplo hipotético de anonimização de dados pessoais de uma turma de 
ensino superior. 
 
 
Danos pessoais 
João – 20 anos 
Cássius – 30 anos 
Pedro – 18 anos 
José – 21 anos 
Maria – 33 anos 
Luísa – 17 anos 
Bruna – 17 anos 
Turma A (ensino superior) 
Dados anonimizados 
- 7 alunos na turma A. 
- 4 do gênero masculino e 3 do gênero feminino. 
 
- 2 alunos na faixa de 30 a 40 anos; 3 alunos na faixa de 18 a 29 anos; 2 alunos abaixo 
de 18 anos 
OBS: é importante alertar que no exemplo acima a existência de poucos alunos pode dificultar 
o processo de anonimização. Por exemplo, se houvesse apenas um homem seria 
relativamente fácil descobrir de qual turma se trata os dados e, desta forma, identificar o 
indivíduo ao qual o dado supostamente anonimizados se refere uma vez que pode ser a única 
turma na instituição com apenas um aluno homem. 
 
Ainda está pendente a regulamentação sobre padrões e técnicas para a anonimização de 
dados pessoais e não está no horizonte da agenda regulatória do órgão a discussão deste 
assunto até 2022 conforme agenda regulatória da Autoridade Nacional de Proteção de Dados 
(ANPD) (BRASIL, 2021b). 
 
Portanto, o dado anônimo não é considerado um dado pessoal pela LGPD e pode ser tratado 
sem qualquer limitação, uma vez que resguarda a identidade do indivíduo. 
Ocorre que há situações em que acredita-se que houve uma anonimização dos dados mas o 
titula dos dados mantem em sua posse outra base de dados ou ferramenta que possibilita a 
reversão da anonimização. Tal situação é denominada de pseudoanomização e não 
descaracteriza o dado como pessoal para fins de tratamento. Nos termos do § 4º do art. 13 
da LGPD “(...) a pseudoanomização é o tratamento por meio do qual um dado perde a 
possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação 
adicional mantida separadamente pelo controlador em ambiente controlado e seguro”. 
Ou seja, na pseudoanomização o controlador da informação utiliza técnicas para proteger o 
dado em caso de possível vazamento mas mantem consigo ferramenta que possa reverter o 
processo de anonimização e identificar novamente o indivíduo. 
Exemplo 1: Em um banco de dados guarda-se os dados pessoais que podem identificar o 
indivíduo ao qual é atribuído um número identificador e em outro banco de dados guarda-se 
as informações que não são capazes de identificar o indivíduo. 
 
Dados coletados 
Nome: Cássius 
CPF: 000.000.000-00 
Gênero: Masculino 
Profissão: professor 
Banco de dados 1 - Dados 
pseudoanonimizados 
Identificador: 111-0 
Gênero: masculino 
Profissão: professor 
Banco de dados 2 – contém os dados 
passíveis de identificar a pessoa 
Identificador: 111-0 
Nome: Cássius 
CPF: 000.000.000-00 
 
Exemplo 2: Dado armazenado ou transmitido protegido por criptografia. 
Portanto, a pseudoanonimização não descaracteriza o dado como dado pessoal, sendo 
protegido pela LGPD. Neste sentido, numa situação em que uma base de dados é 
compartilhada com vários indivíduos (físicas ou jurídicas), caso algum deles possua capacidade 
de reverter a anonimização dos dados estaremos diante de dados pseudoanonimizados, 
mesmo que originalmente não seja quem realizou o processo de anonimização. Pode ocorrer, 
por exemplo, que uma empresa X, de posse de outra base de dados, consiga realizar o 
cruzamento de dados e reverter a anonimização feita pela empresa Y. 
 
3.1 Dado pessoal anônimo utilizado para criação de perfis comportamental 
Nos termos do § 2º do art. 12 da LGPD poderá ser considerado como dado pessoal o dado 
anônimo que for utilizado para a formação de perfil comportamental de pessoa natural. 
 
Art. 12. (...) 
(...) 
§ 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta 
Lei, aqueles utilizados para formação do perfil comportamental de determinada 
pessoa natural, se identificada. 
Conforme BIONI (2020), este artigo, junto com os artigos, 2º, VIII, 5º, I e 20 estabelecem uma 
exceção à exclusão do dado anonimizado do âmbito da LGPD, ou seja, quando o dado, 
anônimo ou não, for utilizado por algoritmos para a formação de perfil comportamental e de 
alguma forma puder influenciar na personalidade do indivíduo (como nos casos já indicados 
de seleções, créditos, seguros, conteúdos), esses dados seriam considerados dados pessoais. 
 
Nesta perspectiva, busca-se proteger, além da possível identificação do indivíduo em si, a 
própria personalidade das pessoas em razão das consequências que as predições de perfis 
acarretam na sociedade. Ou seja, busca-se proteger a sociedade das consequências que essas 
predições acarretar. 
Ressalta-se que tal posicionamento parte de uma interpretação sistêmica da LGPD e pode ser 
contestada se considerado que a parte final do § 2º do art. 12 restringe para “pessoa 
identificada”. 
 
3.2 Dado físico e digital 
A LGPD protege o dado pessoal coletado ou armazenado em meio físico ou digital. 
Neste sentido, a LGPD não se aplica apenas a dados digitais, aplicando-se também para DADOS 
coletados e armazenados em suportes físicos, como em papeis. 
 
3.3 Dados pessoais sensíveis 
Além do conceito de dado pessoal, é importante também saber o conceito de “dado pessoal 
sensível”, que são os dados capazes de gerar discriminação (BIONI, 2020; BRASIL, 2020a; 
PARÁ, 2021). 
Art. 5º Para os fins desta Lei, considera-se: 
(...) 
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção 
religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, 
filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou 
biométrico, quando vinculado a uma pessoa natural; 
Imaginem uma situação no qual um órgão público do poder executivo passe a exigir que os 
servidores informem se são filiados a algum partido político. Tal situação poderia levar a 
perseguições políticas no sentido de punir/perseguir os servidores de agremiações partidárias 
“contrarias” ao do atual titular do executivo. 
 
Como é possível observar, os dados sensíveis podem ser motivos para perseguições ou atos 
que ferem a dignidade do indivíduo, razão pela qual a lei considera que são dados cujo o 
tratamento é mais restrito,como será melhor em outro momento do curso. 
Figura 1 – Informações, dados pessoais e dados pessoais sensíveis 
Imagem disponível em: https://brasilpaisdigital.com.br/os-dados-pessoais-sensiveis-no-ordenamento-juridico-brasileiro/. Acesso 14 ago 
2021. 
 
4 O QUE É TRATAMENTO DE DADO PESSOAL? 
Agora que vimos o que é um dado pessoal, precisamos saber o que é tratamento de dados 
pessoais. 
Art. 5º (...) 
(...) 
X - tratamento: toda operação realizada com dados pessoais, como as que se 
referem a coleta, produção, recepção, classificação, utilização, acesso, 
reprodução, transmissão, distribuição, processamento, arquivamento, 
armazenamento, eliminação, avaliação ou controle da informação, modificação, 
comunicação, transferência, difusão ou extração; 
 
Como se observa, foram elencadas na legislação uma série de ações caracterizadoras do 
tratamento de dados pessoais. Portanto, pode-se afirmar que qualquer atividade que envolva 
dados pessoais será considerada como tratamento. 
São as principais hipóteses de tratamento de dados pessoais: 
 
“ACESSO - ato de ingressar, transitar, conhecer ou consultar a informação, bem 
como possibilidade de usar os ativos de informação de um órgão ou entidade, 
observada eventual restrição que se aplique; 
ARMAZENAMENTO - ação ou resultado de manter ou conservar em repositório 
um dado; 
ARQUIVAMENTO - ato ou efeito de manter registrado um dado em qualquer das 
fases do ciclo da informação, compreendendo os arquivos corrente, intermediário 
e permanente, ainda que tal informação já tenha perdido a validade ou esgotado 
a sua vigência; 
AVALIAÇÃO - analisar o dado com o objetivo de produzir informação; 
CLASSIFICAÇÃO - maneira de ordenar os dados conforme algum critério 
estabelecido; 
COLETA - recolhimento de dados com finalidade específica; 
COMUNICAÇÃO - transmitir informações pertinentes a políticas de ação sobre os 
dados; 
CONTROLE - ação ou poder de regular, determinar ou monitorar as ações sobre o 
dado; 
DIFUSÃO - ato ou efeito de divulgação, propagação, multiplicação dos dados; 
DISTRIBUIÇÃO - ato ou efeito de dispor de dados de acordo com algum critério 
estabelecido; 
ELIMINAÇÃO - ato ou efeito de excluir ou destruir dado do repositório; 
EXTRAÇÃO - ato de copiar ou retirar dados do repositório em que se encontrava; 
MODIFICAÇÃO - ato ou efeito de alteração do dado; 
PROCESSAMENTO - ato ou efeito de processar dados visando organizá-los para 
obtenção de um resultado determinado; 
PRODUÇÃO - criação de bens e de serviços a partir do tratamento de dados; 
RECEPÇÃO - ato de receber os dados ao final da transmissão; 
REPRODUÇÃO - cópia de dado preexistente obtido por meio de qualquer 
processo; 
TRANSFERÊNCIA - mudança de dados de uma área de armazenamento para outra, 
ou para terceiro; 
TRANSMISSÃO - movimentação de dados entre dois pontos por meio de 
dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, 
pneumáticos, etc.; 
UTILIZAÇÃO - ato ou efeito do aproveitamento dos dados”. (BRASIL, 2020a, p. 11) 
(grifos originais). 
 
Todavia, a própria LGPD estabelece exceções à regra acima exposta, indicando o que não é 
considerado tratamento de dado pessoal (art. 4º): 
 
1) Tratamento de dado feito por pessoa física sem interesse econômico. 
 
Exemplo: uma pessoa anota o nome completo, o telefone e data de nascimento 
de um amigo na sua agente para poder manter contato e lembrar da data do 
aniversário. 
2) Tratamento de dados para fins de segurança pública, segurança nacional ou 
atividades de investigação e repressão de infrações penais. 
 
3) Tratamento realizado para fins exclusivamente jornalístico e artísticos ou 
acadêmicos. 
 
4) Tratamento de dados provenientes de fora do território nacional e que não 
sejam objeto de comunicação, uso compartilhado de dados com agentes de 
tratamento brasileiros ou objeto de transferência internacional de dados com 
outro país que não o de proveniência, desde que o país de proveniência 
proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. 
Além das situações acima previstas que estão expressas especificamente no art. 4º da LGPD, 
a partir de uma leitura sistêmica da Lei também não será considerado tratamento de dados 
pessoais: 
 
1) Tratamento de dados de pessoas falecidas; 
 
2) Tratamento de dados pessoa jurídica (empresas, associações, fundações etc.); 
 
4.1 Tratamento de dados pessoais de crianças e adolescentes 
No caso de dados pessoais de crianças (0 a 11 anos incompletos) e adolescentes (12 a 18 anos 
incompletos), o tratamento de dados apenas poderá ocorrer no melhor interesse da criança 
e adolescente e com consentimento específico e destacado pelo menos um dos pais ou 
responsáveis legais. 
Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser 
realizado em seu melhor interesse, nos termos deste artigo e da legislação 
pertinente. 
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o 
consentimento específico e em destaque dado por pelo menos um dos pais ou 
pelo responsável legal. 
O consentimento para tratamento de dados de criança e adolescente é exigido ainda que se 
trate de execução de políticas públicas, o que não é exigido no caso de maiores de 18 anos 
(BRASIL, 2020a; PARÁ, 2021). 
 
Outro ponto importante é cabe à administração pública utilizar todos os recursos disponíveis 
para verificar se o consentimento foi dado efetivamente pelos pais ou responsável legal, 
considerando as tecnologias disponíveis. Um exemplo seria formular uma pergunta que 
apenas os pais pudessem responder (LEFREVE, 2020). 
 
Observação: Caso a administração pública desenvolva jogos, aplicações de internet ou outras 
atividades semelhantes voltadas ao público infanto-juvenil, a coleta de dados pessoais dos 
jovens deverá restringir-se ao estritamente necessário à atividade proposta sendo que, se 
possível, o ideal é oferecer a aplicação sem coleta de dados. 
Outro ponto importante que toda e qualquer informação direcionada diretamente a criança 
e adolescente deve ser adaptada para ser facilmente acessível, usando linguagem clara e 
objetiva, valer-se da utilização de recursos audiovisuais, levando-se em conta as 
características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, de 
forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao 
entendimento da criança quando adequado (LEFREVE, 2020). 
 
Existe a possibilidade de coleta de dados sem o consentimento expresso do responsável legal, 
mas apenas para localizar os responsáveis legais e para proteger a vida da criança: 
Art. 14. (...) 
(...) 
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que 
se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais 
ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para 
sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o 
consentimento de que trata o § 1º deste artigo. 
Nas situações acima expostas os dados poderão ser utilizados uma vez, vedado o 
armazenamento, e não poderão ser repassados a terceiros. 
5 A QUEM SE APLICA A LGPD? 
É obrigado a cumprir a LGPD toda pessoa física ou jurídica que faz tratamento de dado pessoal, 
podendo ser: 
1) Pessoa natural (pessoa física); 
Exemplo1: advogado que coleta dados pessoais de clientes. 
Exemplo2: pessoa que contrata uma empregada doméstica (coleta nome, 
endereço, CPF, conta bancária, PIS etc. para assinar a carteira de trabalho). 
 
2) Pessoa jurídica de direito privado (empresas, associações, fundações, etc.); 
3) Pessoa jurídica de direito público (entidades políticas como União, estados, DF 
e município e entidades administrativas como autarquias). 
 
Além da aplicação no Brasil, a LGPD possui aplicação extraterritorial, ou seja, alcança pessoas 
e empresas fora do país. 
 
Será obrigada a cumprir a LGPD empresa estrangeira: 
 
1) que tiver filiar no Brasil; 
2) oferecer serviçosno mercado nacional; 
3) coletar e tratar dados de pessoas naturais localizadas no Brasil. 
Os estrangeiros também estão protegidos pela LGPD? Sim, estrangeiros também são 
protegidos pela LGPD caso: 
 
1) os seus dados pessoais sejam coletados no território nacional, mesmo não 
sendo brasileiros; 
2) tenham os seus dados coletados no exterior e tratados no Brasil. 
 
6 PRINCÍPIOS DA LGPD 
6.1 Noções sobre princípios 
 
No atual desenvolvimento jurídico cada vez mais os princípios ganham espaço no 
ordenamento jurídico, sendo elementos centrais para a correta compreensão e aplicação do 
fenômeno jurídico. 
 
O Direito pauta-se em normas (regras de comando e de organização) que podem ser de duas 
espécies: 1) regras e 2) princípios (LENZA, 2018). 
 
NORMA JURÍDICA 
 REGRA 
PRINCÍPIO 
As regras são normas que disciplinam uma ou poucas situações. Elas são precisas no seu 
comando e no seu conteúdo e de fácil verificação da condição fática necessária para a sua 
aplicação (LENZA, 2018). 
Um exemplo de regra é a que prevê que os servidores públicos possuem direito a um adicional 
de 1/3 da remuneração nas férias. Outro exemplo é o prazo para responder aos pedidos de 
acesso à informação feitos com base na Lei de Acesso à Informação. 
A grande maioria das normas jurídicas são regras. No caso de conflitos entre duas regras que 
em tese se aplicam a mesma situação aplica-se a lógica do tudo ou nada. 
Por exemplo. O Estatuto do Servidor Público do Estado de Goiás (Lei estadual n. 20.756/2020 
estabelece que o “padrão” da jornada de trabalho dos servidores públicos do Estado de Goiás 
é de 40 horas semanais e 200 horas mensais, com 8 horas diárias. Ocorre que alguns cargos 
possuem regras específicas de cumprimento de jornada de trabalho e horários de 
cumprimento. Nesta situação, em tese, as duas normas se aplicam a mesma situação. Todavia, 
considerando que as leis específicas se sobrepões as normas gerais, como é o caso do Estatuto 
do Servido Público que é norma geral, a única regra a ser aplicada é a norma específica da 
categoria. Ou seja, ou aplica-se uma regra ou aplica-se outra (tudo ou nada). 
 
Já os princípios possuem uma “morfologia” diversa, uma vez que são enunciações 
normativas de valor e conteúdo genérico e no qual é impossível definir de forma clara e 
exata o seu conteúdo. É possível definir de forma clara e precisa o princípio da eficiência? De 
forma abstrata é impossível definir o conteúdo e extensão deste princípio (LENZA, 2018). 
Neste caso, qual é a utilidade dos princípios dentro do sistema jurídico? Apesar de parecer 
contraditório, essa indefinição de conteúdo e extensão é o elemento que tornam os princípios 
tão importantes no sistema jurídico, uma vez que tudo dependerá da situação concreta sobre 
o qual o princípio será aplicado. 
 
Desta forma, os princípios são “mandamentos de otimização” e representam “condensação 
de valores fundamentais de um sistema”. Os princípios jurídicos são elementos nucleares e 
nos auxiliam a compreender de forma adequada todas as outras normas de um 
determinado sistema. 
No caso específico da LGPD, os princípios que serão estudados a seguir devem sempre ser 
levados em consideração e são essenciais para que tenhamos uma interpretação adequada 
sobre como a LGPD deve ser aplicada, inclusive as regras previstas na lei, ou seja, a 
interpretação das regras (além dos princípios) deve levar em consideração o que os princípios 
nos dizem já que são condensações de valores fundamentais desse sistema específico de 
proteção de dados. 
A LGPD é considerada uma norma principiológica, ou seja, com uma grande quantidade de 
princípios e que não busca delimitar e descrever todas as situações e como os tratamentos de 
dados pessoais devem ser feitos. E esta opção legislativa se mostra acertada uma vez que é 
bem provável que as formas de tratamento de dados pessoais mudem nas suas formas e em 
pouco espaço de tempo. Caso houvessem muitas regras, essas logo estariam defasadas e 
não seriam mais aplicáveis ou seriam um obstáculo para o desenvolvimento das relações 
sócias. Como a regra é principiológica, ela “se adapta” as novas situações pois prevê os 
mandamentos nucleares, mantendo o texto normativo “jovem e aplicável” por muito mais 
tempo. 
Portanto, é muito importante um estudo cuidadoso dos princípios de qualquer temática 
jurídica, pois representa a base de interpretação e aplicação de todas as demais regras 
existentes. 
6.2 Princípios da LGPD 
Nos termos do art. 6º da LGPD, são princípios a serem observados no tratamento de dados 
pessoais: 
1) Finalidade – o tratamento de dados pessoais deve ser adstrito aos propósitos 
legítimos, específicos, explícitos e informados ao titular, sem possibilidade de 
tratamento posterior de forma incompatível com essas finalidades. É abusiva a 
política de privacidade ou o consentimento que não informa a finalidade que 
será dada ao dado tratado. 
2) Adequação – o dado coletado deve ser adequado à finalidade indicada ao 
titular do dado. Portanto, a coleta de informações que em nada se relacionam 
com a finalidade mostra-se sem adequação. 
 
Exemplo: para utilizar um aplicativo de gestão financeira pede-se que a pessoa 
indique a sua orientação sexual. Neste exemplo, mesmo que se peça o 
consentimento específico do titular, não há adequação entre a finalidade e a 
informação coletada uma vez que não faz sentido saber a orientação sexual 
para oferecer serviços de gestão financeira. 
3) Necessidade – além de adequado, os dados tratados devem se restringir ao 
mínimo necessário para a realização da finalidade informada. Certo dado 
pessoal pode ser até adequado para a finalidade explicitada, mas se há outros 
que já são suficientes para o cumprimento da finalidade proposta coletar dados 
a mais mostra-se desnecessário. 
4) Livre acesso – o titular do dado pessoal deve ter livre acesso a integralidade 
dos dados pessoais e também da finalidade do tratamento, não podendo ser 
sonegadas informações. 
 
5) Qualidade dos dados – os dados coletados e tratados devem ser “de 
qualidade”, ou seja, os dados devem ser exatos. 
 
6) Transparência – devem ser fornecidas informações claras, precisas e 
facilmente acessíveis sobre a realização de toda a cadeia de tratamento e os 
respectivos agentes de tratamento envolvidos, observados os segredos 
comercial e industrial. Toda a cadeia de tratamento de dados deve ser 
informada pelo controlador ou operador do dado, de forma de completa. O 
titular do dado possui o direito de saber como o dado foi coletado, que tipo de 
tratamento foi dado, com quem foi compartilhado, quando e como o dado foi 
excluído, anonimizado etc. Essas informações deverão ser apresentadas ao 
titular caso solicitado. 
7) Segurança – as empresas deverão, continuamente, adotar as medidas técnicas 
e administrativas de segurança para proteção dos dados de acessos não 
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, 
comunicação ou difusão. Conforme já dito, a segurança deve ser garantida para 
dados no formato físico ou digital. 
Exemplo de medida técnica: contratação de serviço de firewall. 
Exemplo de medida administrativa: treinamento dos servidores sobre a LGPD. 
 
8) Prevenção - É dever do agente controlador ou operador do dado tomar as 
medidas técnicas e administrativas necessárias de prevenção de danos 
decorrentes de dados pessoais. A prevenção não está relacionada apenas à 
segurança do dado, mas também ao tratamento de dados em desconformidade 
com a LGPD. 
9) Não-discriminação – As decisões tomadas com base nos dados pessoais 
tratados não podem ser discriminatórias. Ressalta-se que há “discriminações 
positivas” previstas na própria lei e que são lícitas, como no caso das cotas 
sociais ou para pessoas negras. Não são permitidas discriminações sem base 
legal ou abusivas, em especial nas decisões automatizadas tomadas por 
algoritmos. 
 
10) Responsabilização – tanto o controlador como o operador de dados pessoais 
sãoresponsáveis pelos dados que tratam, havendo ainda o dever de prestar 
contas as autoridades administrativas, em especial a Autoridade Nacional de 
Proteção de Dados (ANPD), respondendo por possíveis danos causados à 
terceiros. 
6.3 Exemplos de tratamento de dados em desconformidade com os princípios 
da LGPD 
CASO POKÉMON GO 
 
- Em 2016, antes da entrada em vigor da LGPD, o jogo Pokémon Go, de forma compulsória, 
podia acessar fotos, mídias e arquivos do dispositivo; contatos; tirar fotos e gravar vídeos. 
Além disso poderia acessar informações de e-mail, facebook e Google, nome, país, língua, IP 
etc. entre várias outras informações pessoais. Além disso, a política de privacidade penas 
exigia o consentimento dos pais para menores de 13 anos e considerava todas essas 
informações como “ativo” da empresa, podendo ser transferidos para outras empresas no 
caso de compra ou fusão. 
 
TEXTO DE APOIO – Sobre a política de privacidade do jogo Pokémon GO – clique 
aqui 
É evidente que a política de privacidade seria considerada abusiva pela LGPD uma vez que 
além da finalidade indicada não ser legítima, os dados coletados mostram-se inadequados. 
CASO MERCEDES BENZ 
 
- Em 2019 foi noticiado que a empresa de carros Mercedes Benz admitiu que rastreava a 
localização do veículo dos compradores inadimplentes mediante acesso dos dados do GPS. 
- Em sua defesa, a empresa alegou que aqueles que assinam contrato de financiamento de 
veículos com a empresa consente em ter os seus dados de geolocalização acessados no caso 
de inadimplência e evasão das tentativas de contato feitas. 
 
- Em tese, a inadimplência não é motivo para acessar localização, o que pode ser considerado 
abusivo em razão da finalidade não ser legítima. 
NOTÍCIA – Mercedes admite uso de rastreador para recuperar carro com parcela 
atrasada – clique aqui 
CASO DO RECONHECIMENTO FACIAL PELAS PORTAS INTERATIVAS DIGITAIS PELA EMPRESA 
CONCESSIONÁRIA DE LINHA DO METRÔ DE SÃO PAULO 
Conforme narrado em análise (clique aqui para ler), na linha do metrô sob responsabilidade 
da empresa Via Quatro, foram instaladas “portas interativas” que acabavam por realizar a 
leitura da face dos indivíduos, da seguinte forma: 
 
Por intermédio dos sensores, as Portas Interativas reconheciam a presença 
humana e, pelas expressões faciais e da estatura, identificavam as emoções de 
raiva, alegria, surpresa e neutralidade, o gênero e a faixa etária das pessoas 
posicionadas em frente ao sistema, dados estes que, uma vez levantados, ficavam 
atrelados à localização e horário de captação. Ao mesmo tempo, nas telas, eram 
veiculados anúncios e publicidades para que a identificação da emoção ocorresse 
no momento em que o passageiro olhasse para eles, possibilitando captar os 
efeitos que produziam sobre a população em geral. 
Considerando que os dados da face são dados biométricos é evidente que o tratamento de 
dados feito é abusivo em razão da ausência de informação clara sobre o funcionamento e a 
finalidade do sistema de sensores instalados nas portas do metrô e também pela a ausência 
de consentimento prévio e informado por parte dos passageiros que tiveram seus dados 
coletados. 
 
7 DIREITOS DO TITULAR DOS DADOS PESSOAIS 
Conforme já citado, os titulares do dado pessoal possuem diversos direitos que podem ser 
exercidos em face de todos aqueles que tratam seus dados pessoais, sendo eles: 
 
1) Acesso – o titular pode solicitar que lhe seja encaminhado arquivo com a 
exportação de cópia dos dados coletados e tratados. Além disso, o titular pode 
pedir informações sobre o modo de coleta e armazenamento dos dados, além de 
saber com quem os seus dados foram compartilhados (arts. 9º e 18, II). 
2) Cancelamento – o titular possui o direito de requisitar a exclusão, 
anonimização ou boqueio de seus dados pessoais (art. 18, IV, VI e IX). 
 
- Ressalta-se que o direito de cancelamento dos dados não é absoluto. A depender 
da hipótese de tratamento, o controlador possui o direito ou dever de manter o 
tratamento dos dados, como no caso de cumprimento de obrigação legal. Nesta 
situação prevalece o dever de cumprir o dever legal sobre o direito de requerer a 
exclusão, anonimização ou boqueio do dado pessoal 
 
3) Oposição – o titular, a qualquer momento, pode revogar o consentimento de 
tratamento de dado feito anteriormente (art. 18, IX). 
4) Retificação – o titular possui o direito à atualização e conserto dos dados já 
coletados caso estejam incorretos ou desatualizados (art. 18, III) 
5) Explicação – o titular possui o direito de explicação para entender qualquer 
decisão automática feita com base em seus dados pessoais, respeitados os 
segredos comercial e industrial (art. 20, § 1º). 
6) Portabilidade – os titulares de dados poderão transferir seus dados pessoais de 
um controlador para outro, da mesma forma que é feita pelas companhias 
telefônicas, de plano de saúde, de empréstimos de bancos, etc. (art. 18, V). Há 
ainda dúvidas sobre se a portabilidade acarretará na exclusão, anonimização ou 
bloqueio das informações pessoais do portador originário ou se será lítico manter 
o arquivo dos dados transferidos. 
 
7) Revisão de decisões automatizadas – O titular de dado pessoal possui o direito 
de revisão das decisões automatizadas feitas por algoritmos (art. 20). 
Exemplo: Se você pediu aumento do limite do seu cartão de crédito e houve uma 
resposta automática você possui o direito que essa decisão seja revista, mas sem 
garantia de que será modificada. Não há obrigação de que a revisão seja feita por 
uma pessoa, podendo ser feita, novamente, por algoritmo. 
 
8) Prestação de informação sobre os dados tratados pela Administração Pública 
– o titular possui o direito de ser informado sobre a utilização dos dados pela 
administração pública para os fins autorizados pela lei e para a realização de 
estudos por órgão de pesquisa (Art. 7º, III e IV c/c art. 7º, § 1º) 
 
7.1 Exercício dos direitos dos titulares perante a administração pública 
A administração pública, para cumprir efetivamente os direitos dos titulares e garantir meios 
adequados de comunicação, deve atuar (BRASIL, 2020a): 
1) com transparência ativa, que pode ser conceituado como: “[...] o dever de 
divulgação de informações públicas de interesse coletivo ou geral e obriga as suas 
indicações nos sítios eletrônicos de cada um dos órgãos e entidades da 
Administração Pública” (AGR, 2021?, p. 25). 
2) meios de acesso à informação em transparência passiva, que representa a 
prestação de informações ao cidadão quando provocada por meio de pedidos de 
acesso à informação feitos por qualquer meio idôneo; e 
3) meios de manifestação e petição perante a administração pública, quando 
requisitando o cumprimento de direitos do titular ou requerendo o cumprimento 
da legislação nas ações de tratamento. 
 
É importante lembrar que a LGPD não estabelece um prazo específico para a administração 
pública dar resposta às solicitações e manifestações feitas pelos usuários, sendo que o art. 23, 
§ 3º estabeleceu que os prazos de manifestação deverão seguir a legislação específica. 
As principais leis específicas que versam sobre prazos para prestação de informações ou 
análise de requerimentos dos titulares são: 
1) Lei federal n. 12.527/2011 (Lei de Acesso à Informação); 
2) Lei estadual n. 18.025/2013 (Lei de Acesso à Informação do Estado de Goiás); 
 
3) Lei federal n. 13.460/2017 (Código de Defesa dos Usuários de Serviços 
Públicos); 
4) Lei estadual n. 13.800/2001 (Lei do Processo Administrativo). 
 
As manifestações e petições dos titulares sobre os seus direitos devem ser respondidas com 
agilidade, clareza e completude, sob pena de o titular representar contra o responsável pela 
Autoridade Nacional de Proteção de Dados (ANPD). Na impossibilidade de atendimento 
imediato, o responsável deverá apresentar as razões de fato e de direito que impedem a 
adoção da providência de forma imediata. 
Ressalta-se que a representação à ANPD está condicionada ao acionamentoprévio do agente 
de tratamento responsável, ou seja, a ANPD poderá atuar apenas caso não haja resposta ou a 
resposta seja incompleta ou inadequada. 
 
No tocante à transparência ativa, conforme artigo 23, I, é dever dos órgãos e entidade que 
realizam o tratamento de dados disponibilizar “(...) informações claras e atualizadas sobre a 
previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas 
atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos”. 
 
Nesta situação garante-se o direito de informação sobre o tratamento de dados pessoais 
feitos pela Administração Pública. 
8 HIPOTESES DE TRATAMENTO E CICLO DE VIDA DOS DADOS PESSOAIS 
A LGPD busca garantir autonomia informacional para o indivíduo. Neste sentido, todo 
tratamento de dado pessoal deveria estar pautado no consentimento livre e esclarecido do 
titular do dado. 
 
Todavia, a própria legislação reconhece que há situações que o tratamento dos dados 
pessoais deve ocorrer independente do consentimento, sob pena de engessar o 
desenvolvimento social, o exercício regular do direito e impossibilitar a atuação de empresas 
e da própria administração pública. 
Neste sentido, além do consentimento, há outras 9 hipóteses legais para tratamento de dados 
pessoais, totalizando 10 hipóteses. No caso de dados pessoais sensíveis há 8 hipóteses 
autorizadoras do tratamento de dados pessoais, conforme será apresentado. 
 
TABELA 3 - Hipóteses de tratamento (BRASIL, 2020a, p. 23) 
 
 
HIPÓTESE DE TRATAMENTO 
DISPOSITIVO LEGAL 
PARAO TRATAMENTO 
DEDADOS PESSOAIS 
DISPOSITIVO LEGAL PARA 
O TRATAMENTO DE 
DADOSPESSOAIS 
SENSÍVEIS 
Hipótese 1: Mediante consentimento do titular LGPD, art. 7º, I LGPD, art. 11, I 
Hipótese 2: Para o cumprimento de obrigação 
legal ou regulatória 
LGPD, art. 7º, II LGPD, art. 11, II, “a” 
Hipótese 3: Para a execução de políticas públicas LGPD, art. 7º, inciso III LGPD, art. 11, II, “b” 
Hipótese 4: Para a realização de estudos e 
pesquisas 
LGPD, art. 7º, inciso IV LGPD, art. 11, II, “c” 
Hipótese 5: Para a execução ou preparação de 
contrato 
LGPD, art. 7º, inciso V Não se aplica 
Hipótese 6: Para o exercício de direitos em 
processo judicial, administrativo ou arbitral 
LGPD, art. 7º, inciso VI LGPD, art. 11, II, “d” 
Hipótese 7: Para a proteção da vida ou da 
incolumidade física do titular ou de terceiro 
LGPD, art. 7º, inciso VII LGPD, art. 11, II, “e” 
Hipótese 8: Para a tutela da saúde do titular LGPD, art. 7º, inciso VIII LGPD, art. 11, II, “f” 
Hipótese 9: Para atender interesses legítimos do 
controlador ou de terceiro 
LGPD, art. 7º, inciso IX Não se aplica 
Hipótese 10: Para proteção do crédito LGPD, art. 7º, inciso X Não se aplica 
Hipótese 11: Para a garantia da prevenção à 
fraude e à segurança do titular 
Não se aplica LGPD, art. 11, II, “g” 
 
No caso específico da Administração Pública, o art. 23 da LGPD determina que o tratamento 
de dados pessoais deve ser feito unicamente para o atendimento de sua finalidade pública, 
na persecução do interesse público, com o objetivo de executar as competências legais ou 
cumprir as atribuições legais do serviço público, desde que as hipóteses de tratamento sejam 
informadas ao titular. 
É importante lembrar que o tratamento de dados pessoais apenas poderá ocorrer caso 
respeitados os princípios da LGPD e os direitos do titular do dado pessoal. Ou seja, não basta 
o enquadramento do tratamento do dado em alguma das hipóteses acima elencadas, há a 
necessidade de conjugar o tratamento com os princípios e direitos da LGPD. 
Outro ponto de extrema importância é pensar no clico de vida do tratamento do dado pessoal, 
que se inicia com a coleta e pode culminar no armazenamento, eliminação ou anonimização. 
Portanto, não basta pensar nas hipóteses de tratamento, há a necessidade de pensar no ciclo 
de vida do tratamento uma vez que fere os princípios da LGPD realizar atividades de 
tratamento além do necessário, como será discutido. 
8.1 Identificação da hipótese de tratamento aplicável 
Na grande maioria dos casos, para a Administração Pública, o tratamento de dados se dará 
com base nas hipóteses “para o cumprimento de obrigação legal ou regulatória” e “para a 
execução de políticas públicas”. Todavia, há situações em que outras hipóteses de tratamento 
devem e podem ser utilizadas, como o consentimento, tutela da saúde do titular, garantia da 
prevenção à fraude e à segurança do titular e execução ou preparação de contrato. 
Portanto, quando a Administração Pública realizar o tratamento de dados pessoais sempre 
deve identificar, de antemão, um ou mais hipóteses legais para o tratamento. 
 
Um ponto importante é que, sempre que possível, a Administração Pública deve pautar o 
tratamento de dados pessoais em algumas das hipóteses em que há dispensa do 
consentimento, uma vez que cabe ao controlador, neste caso a Administração Pública, realizar 
prova de que obteve o consentimento do titular e garantir que esse consentimento possa ser 
revogado a qualquer momento. 
 
8.2 Hipóteses Legais de Tratamento 
Os Artigos 7º e 11 da LGPD preveem as hipóteses que autorizam o tratamento de dados 
pessoais. 
 
Além da hipótese do consentimento, há outras em que o tratamento é permitido 
independente do consentimento do titular. 
Todavia, nas situações em que o tratamento é feito sem o consentimento mostra-se 
obrigatório estar disponível a informação sobre a finalidade do tratamento e, também, para 
quem os dados serão compartilhados. 
 
Abaixo serão apresentadas todas as hipóteses legais de tratamento. 
I – mediante o fornecimento de consentimento pelo titular 
 
Quando não for cabível outra hipótese de tratamento que não exija o consentimento, para 
tratar dados pessoais a Administração Pública deverá obter o consentimento que deve ser: 
a) livre e inequívoco; e 
b) formado mediante o conhecimento de todas as informações necessárias como 
finalidade, eventual compartilhamento. 
Portanto, são irregulares consentimentos genéricos e imprecisos. Da mesma forma, são 
nulos os consentimentos obtidos caso as informações fornecidas ao titular sejam 
enganosas, abusivas ou falsas. 
Caso a administração pública necessite utilizar esta hipótese legal, sugere-se que se faça de 
forma destacada das outras cláusulas que compõem contratos, convênios ou outros 
instrumentos congêneres. 
É extremamente importante que os dados tratados mediante consentimento se deem 
estritamente para o cumprimento da finalidade específicas e determinadas e que o 
compartilhamento só ocorra caso aceito no consentimento. Qualquer alteração na finalidade 
ou o compartilhamento de dados exige a renovação do consentimento. 
 
Cabe a Administração Pública o ônus da prova de que obteve o consentimento do titular, 
sendo proibido o tratamento de dados com vício de consentimento. 
O consentimento pode ser dispensando quando os dados forem tornados manifestamente 
públicos pelo titular. O §4° do Art. 7°: “É dispensada a exigência do consentimento previsto 
no caput deste artigo para os dados tornados manifestamente públicos pelo titular, 
resguardados os direitos do titular e os princípios previstos nesta Lei.” 
Dados manifestamente públicos são aqueles publicados e compartilhados abertamente pelo 
titular, como é o caso de dados pessoais disponibilizados em redes sociais. 
 
O “dado manifestamente público” difere-se do “dado pessoal de acesso público”, que é o dado 
pessoal divulgado pela Administração Pública com vistas a atender o interesse público, como 
é o caso dos dados pessoais divulgados pela LAI ou a divulgação de dados pessoais do 
vencedor de uma licitação. 
 
De qualquer forma, tanto o “dado manifestamente público” como o “dado pessoal de acesso 
público” apenas podem ser tratados com finalidade específica e que atenda a boa-fé e o 
interesse público. 
II – para o cumprimento de obrigação legal ou regulatória pelo controlador 
Nesta hipótese há dispensa de consentimento e visa evitar conflitosentre a LGPD e 
regulamentações específicas ou obrigações legais a serem cumpridas. 
 
Parte-se da lógica de que o interesse público previsto em lei é superior ao interesse privado 
de autodeterminação informacional. 
 
Exemplo típico é o encaminhamento da ficha funcional para órgãos de controle para fins de 
investigação de possível irregularidade administrativa. 
 
III - pela administração pública, para o tratamento e uso compartilhado de dados 
necessários à execução de políticas públicas previstas em leis e regulamentos ou 
respaldadas em contratos, convênios ou instrumentos congêneres, observadas as 
disposições do Capítulo IV da Lei. 
É hipótese que dispensa o consentimento do titular. 
 
Deve estar pautado em finalidade específica prevista em lei ou ato administrativo (decretos, 
instruções, contratos, convênios, portarias etc.). 
Todas as regras previstas nos artigos 23 a 30 da LGPD devem ser observadas pela 
Administração Pública, em especial informar as hipóteses em que, no exercício de suas 
competências, o órgão respalda o tratamento de dados pessoais, fornecendo informações 
claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas 
utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente 
em seus sítios eletrônicos (Art. 23, I). 
 
Exemplo: A competência da UEG está prevista no art. 53 da Lei estadual n. 20.491/2019. Além 
da competência legal, há ainda o Estatuto da UEG (Decreto estadual n. 9.593/2020) e diversas 
outras normas internas que “esmiúçam” o cumprimento de política pública de ensino 
superior. Os titulares deverão estar cientes destes textos legais e, também, a quem os dados 
podem ser compartilhados, como é o caso do (Instituto Nacional de Estudos e Pesquisas 
Educacionais Anísio Teixeira) INEP, quando realiza o censo do ensino superior. 
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a 
anonimização dos dados pessoais 
 
Hipótese que dispensa o consentimento do titular do dado. Utilização estrita para realização 
de estudos por órgão de pesquisa público ou privado sem fins lucrativos. 
 
Nos termos do art. 5º, XVIII, é considerado órgão de pesquisa: 
“órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica 
de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, 
com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo 
social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, 
tecnológico ou estatístico”. 
 
A LGPD estabelece, ainda, as seguintes regras sobre essa forma de tratamento: 
a) desnecessidade de consentimento do titular do dado; 
b) a divulgação dos resultados ou excertos do estudo ou pesquisa não poderá 
revelar dados pessoais; 
c) o órgão de pesquisa será responsável pela segurança da informação e não 
poderá transferir os dados obtidos a terceiros; 
d) na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter 
acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do 
órgão e estritamente para a finalidade de realização de estudos e pesquisas e 
mantidos em ambiente controlado e seguro, conforme práticas de segurança 
previstas em regulamento específico e que incluam, sempre que possível, a 
anonimização ou pseudonimização dos dados, bem como considerem os devidos 
padrões éticos relacionados a estudos e pesquisas; e 
e) o acesso a dados pessoais pelos órgãos de pesquisa para fins de realização de 
estudos em saúde pública será objeto de regulamentação pela ANPD (Autoridade 
Nacional de Proteção de Dados) e das autoridades da área de saúde e sanitárias 
no âmbito de suas competências” (PARÁ, 2021, p. 14). 
V - quando necessário para a execução de contrato ou de procedimentos preliminares 
relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados 
 
Hipótese que dispensa o consentimento. 
 
Além do tratamento de dados para celebração do contrato em si, abarca também outros atos 
relacionado a sua execução como enviar comunicado, notificação ou processar pagamento. 
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse 
último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) 
Hipótese que dispensa o consentimento. 
 
Busca garantir o exercício regular do direito, seja na condição de demandante ou demandado. 
Portanto, a LGPD não compromete o direito que as partes têm de produzir provas uma contra 
as outras, seja no âmbito judicial, administrativo ou arbitral. 
 
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro 
 
Hipótese que dispensa o consentimento. 
Busca resguardar o bem maior de qualquer pessoa que é a vida e incolumidade física. 
Exemplo: tratamento de dado pessoal feito pela Defesa Civil para cadastrar pessoas que 
moram em área de risco. 
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais 
de saúde, serviços de saúde ou autoridade sanitária 
 
Hipótese que dispensa o consentimento. Nessa hipótese, além da dispensa de consentimento, 
também é dispensado o Poder Público do dever de informar o titular do dado acerca do 
tratamento realizado. 
 
Essa hipótese legal apenas pode ser utilizada por agentes específicos: profissionais da saúde, 
serviços de saúde ou autoridade sanitária. 
 
Ressalta-se que a saúde a ser tutelada pode ser de terceiro e não apenas do titular do dado. 
Exemplo: Autoridade sanitária identifica indivíduo com doença infectocontagiosa e coleta 
dados de pessoas que tiveram contato com esse indivíduo para imposição de quarentena. 
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, 
exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a 
proteção dos dados pessoais 
Hipótese que dispensa o consentimento, todavia há a obrigatoriedade de que o titular seja 
informado sobre o tratamento realizado com base no legítimo interesse. 
O legítimo interesse é a base legal de tratamento com maior indefinição uma vez que a ANPD 
ainda não consolidou um entendimento sobre o assunto, razão pela qual deve haver cautela 
na utilização dessa base legal, que deve ser sempre subsidiária, ou seja, apenas quando não 
for possível utilizar outra base legal prevista na LGPD. 
 
O art. 10 assim versa sobre o legítimo interesse: 
 
Art. 10. O legítimo interesse do controlador somente poderá fundamentar 
tratamento de dados pessoais para finalidades legítimas, consideradas a partir de 
situações concretas, que incluem, mas não se limitam a: 
I - apoio e promoção de atividades do controlador; e 
II - proteção, em relação ao titular, do exercício regular de seus direitos ou 
prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele 
e os direitos e liberdades fundamentais, nos termos desta Lei. 
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, 
somente os dados pessoais estritamente necessários para a finalidade pretendida 
poderão ser tratados. 
 
São exemplos de legítimo interesse: 
 
1) A coleta de informações para detectar ou prevenir fraudes; 
2) A captura dos cliques de consumidores em seu site para melhoria da sua 
experiência on-line; 
3) Monitoramento do deslocamento de servidores em viagens a trabalho; 
4) Coleta de informações sobre frequência, forma de utilização e funcionalidades 
obsoletas em sistemas administrativos. 
 
Por fim, a ANPD poderá solicitar, a qualquer momento, relatório de impacto à proteção de 
dados pessoais3, razão pela qual deve haver cautela na utilização desta hipótese legal. 
 
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente 
 
3 “De acordo com a LGPD, o relatório [de Impacto à Proteção de Dados Pessoais] conceitua-se como a 
documentação do controlador que contém a descrição dos processos de tratamento