Liberdade, Privacidade e Livre Desenvolvimento
- EcoMetrologia

- 6 de jan.
- 11 min de leitura
Atualizado: 6 de jan.
Lei Geral de Proteção de Dados Pessoais (LGPD): Lei nº 13.709, de 14 de agosto de 2018

Em nosso artigo anterior, tratamos da Lei de Acesso à Informação (LAI - Lei nº 12.527/2011) onde demonstramos a relevância deste ordenamento jurídico para viabilizar não só o acesso, mas a disponibilização, a transparência e o controle social de dados pessoais ou públicos para particulares ou órgãos estatais.
No artigo de hoje, vamos tratar da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) que complementa a LAI. Entenda como a LGPD está associada à sua rotina pessoal e se prepare porque nos próximos artigos vamos articular estes dois ordenamentos jurídicos às práticas de Gestão de Negócios, principalmente no que tange ao Planejamento Estratégico e à manutenção de Sistemas de Gestão da Qualidade, de Riscos e Ambiental. Então, ative o sininho em nossas redes sociais, assine nosso canal no site e faça uma boa leitura!
Os fundamentos
A Lei Geral de Proteção de Dados (LGPD), promulgada em 2018 e em vigor a partir de 2020, surge com o objetivo central de proteger os direitos constitucionais de liberdade, de privacidade e de livre desenvolvimento dos cidadãos. Para tanto, este ordenamento assume como finalidade precípua regular as atividades de tratamentos de dados pessoais, tanto no meio físico (documentos físicos) quanto no meio digital (dados informatizados). A regulação do tratamento de dados se aplica às pessoas físicas ou jurídicas, de direito público ou privado, que realizam estas operações com dados pessoais de terceiros, como trataremos à frente. O foco central deste regulamento é garantir a segurança, a transparência e o controle das informações pessoais aos próprios titulares dos dados. No artigo 6º da LGPD são definidos os princípios norteadores do tratamento de dados e que balizam toda a aplicação da Lei nestas operações, sendo eles:
Finalidade: o tratamento de dados deve ter propósito legítimo, específico e informado ao titular, sem possibilidade de uso posterior incompatível com essa finalidade. Só se pode coletar e usar dados para uma finalidade clara, pré-definida e comunicada. É vedado o uso genérico ou por precaução. É o primeiro filtro da licitude do tratamento.
Adequação: o tratamento deve ser compatível com as finalidade informadas ao titular. O uso dos dados devem condizer com o propósito para o qual eles foram coletados. Mesmo que o dado tenha sido obtido legalmente, qualquer uso fora da finalidade original é irregular. NOTA: adequação é diferente de finalidade; a finalidade define o “por quê” e a adequação garante que o uso esteja de acordo com esse porquê.
Necessidade (minimização dos dados): limitar o tratamento ao mínimo necessário para atingir a finalidade proposta. Coletar apenas os dados estritamente relevantes de modo a reduzir o risco de vazamentos e abusos. O princípio é universal no direito europeu e foi adotado expressamente pela LGPD.
Livre acesso: o titular deve ter acesso facilitado e gratuito às informações sobre o tratamento de seus dados, inclusive sobre sua existência e forma de uso. O titular pode solicitar, a qualquer momento, confirmação, acesso e informações sobre seus dados. O controlador deve garantir meios simples e claros de acesso. Livre acesso não é “acesso livre”, aqui pressupõe uma transparência controlada, não a exposição pública dos dados.
Qualidade dos dados: garantir que os dados sejam exatos, claros, relevantes e atualizados. O controlador tem o dever de manter a informação correta e atualizada e o titular tem direito de corrigir erros. Este princípio está relacionado ao direito de retificação.
Transparência: o tratamento deve ser feito de modo claro, acessível e compreensível ao titular, com informações sobre os agentes, finalidades e formas de uso dos dados. O titular deve entender quem trata seus dados, por que e como. As políticas de privacidade devem ser redigidas em linguagem simples. Portanto, transparência pressupõe clareza sobre o tratamento, enquanto livre acesso, possibilidade de verificar seus próprios dados.
Segurança: adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, perdas, destruições, alterações ou divulgações indevidas. O controlador e o operador têm responsabilidade preventiva e devem garantir a confidencialidade, integridade e disponibilidade dos dados. Este princípio não elimina o dever de reparar dados em caso de falhas (disposto no art. 42 da LGPD).
Prevenção: adotar medidas para prevenir a ocorrência de danos em razão do tratamento de dados. É um princípio de governança e compliance. Portanto, prevenção pressupõe uma proteção organizacional e antecipatória, ao passo que segurança estabelece uma proteção técnica.
Não discriminação: os dados não podem ser tratados para fins discriminatórios, ilícitos ou abusivos. Ninguém pode ser prejudicado, excluído ou diferenciado com base em dados pessoais (como origem, gênero, religião). Tem vínculo direto com o art. 5º da CF/88: igualdade e dignidade da pessoa humana.
Responsabilização e prestação de contas: o agente de tratamento deve demonstrar que adota medidas eficazes e capazes de comprovar a observância da LGPD. Não basta cumprir, é preciso provar que cumpre, o que implica na produção de registros, auditorias, relatórios e políticas internas. Este é o único princípio com viés processual, obrigando à demonstração da conformidade legal durante o tratamento de dados (art. 6º, inc. 10 e art. 50).
A Tabela 1 sintetiza os 10 princípios que orientam a LGPD. Pontuamos que a Lei se aplica a qualquer operação de tratamento de dados realizada no território nacional, com oferta de bens e serviços para pessoas localizadas no país, ou que envolva dados de indivíduos localizados no Brasil.
Tabela 1: Síntese dos 10 Princípios da LGPD
Nº | Princípio | Essência | Palavra-Chave |
1 | Finalidade | Propósito legítimo e específico | “Por quê?” |
2 | Adequação | Compatibilidade com a finalidade | “Condiz?” |
3 | Necessidade | Minimização dos dados | “Somente o essencial” |
4 | Livre Acesso | Acesso gratuito e facilitado | “Ver meus dados” |
5 | Qualidade dos Dados | Exatidão e atualização | “Dados corretos” |
6 | Transparência | Clareza nas informações | “Linguagem simples” |
7 | Segurança | Proteção técnica e física | “Blindagem” |
8 | Prevenção | Ações antecipadas contra riscos | “Evitar danos” |
9 | Não Discriminação | Respeito e igualdade | “Sem preconceito” |
10 | Responsabilização | Provar conformidade | “Demonstrar que cumpre” |
É preciso ter em mente que existem casos de inaplicabilidade da LGPD (art. 4º). Isto ocorre quando: o tratamento é para fins exclusivamente pessoais e não econômicos; para segurança pública, defesa nacional e investigação criminal; para jornalismo, arte e literatura (liberdade de expressão); para pesquisa acadêmica, observadas as normas éticas e o processo de anonimização dos dados.
O tratamento de dados, os agentes que o realizam e os dados pessoais dos titulares
Para avançarmos é preciso compreender o que é tratamento de dados, quem são os agentes associados ao tratamento de dados, quem são os titulares destes dados e quais os tipos de dados enquadrados na Lei. Segundo o art. 5º da LGPD, tratamento de dados é qualquer operação realizada com dados fornecidos por pessoas físicas ou jurídicas a um terceiro, podendo ser uma outra pessoa (física ou jurídica), uma empresa pública ou privada ou órgãos de governo. O artigo demonstra que o tratamento de dados envolve a coleta, a produção, a recepção, a classificação, a utilização, o acesso, a reprodução, a transmissão, a distribuição, o processamento, o arquivamento, o armazenamento, a eliminação, a avaliação, o controle, a modificação, a comunicação, a transferência, a difusão ou a extração. Portanto, entende-se que tratamento representa qualquer ação realizada com dados pessoais, desde a coleta até o descarte.
No tratamento dos dados, figuram 3 personagens principais. O primeiro é o operador, profissional responsável pelo tratamento dos dados e que segue as ordens do controlador. O controlador, segunda figura envolvida no tratamento de dados, é o responsável sobre as decisões referentes ao tratamento de dados (direciona o processo de tratamento). A terceira figura envolvida é o encarregado, também reconhecido no mercado como DPO (Data Protection Officer, do inglês Oficial de Proteção de Dados), que é o canal de comunicação entre o controlador, os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD).
Em se tratando dos agentes envolvidos no tratamento de dados, os arts. 37 a 41 apresentam os deveres do controlador e do operador. Segundo a LGPD, são deveres do controlador: 1. Manter registro das operações de tratamento; 2. Adotar medidas de segurança e boas práticas; 3. Responder solidariamente pelos danos causados; 4. Indicar um encarregado de dados (DPO). Complementarmente, são deveres dos operadores: 1. Seguir as instruções dos controladores; 2. Adotar medidas de segurança; 3. Comunicar incidentes de segurança ao controlador.
Aditivamente, A ANPD (Agência Nacional de Proteção de Dados) é o órgão responsável por fiscalizar e regulamentar a LGPD e foi criada pela Lei nº 13.853/2019. No art. 55-J tem-se as principais funções da ANPD, que são: 1. Zelar pela aplicação da LGPD; 2. Fiscalizar e aplicar sanções; 3. Elaborar regulamentos e guias de boas práticas; 4. Promover cooperação internacional; 5. Estimular a cultura de proteção de dados.
Vale destacar que os titulares dos dados são pessoas naturais a quem se referem os dados tratados e que possuem direitos assegurados pela LGPD. Segundo o art. 18, o titular dos dados tem direito a:
Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários;
Portabilidade dos dados;
Eliminação dos dados tratados com consentimento;
Informação sobre compartilhamento de dados;
Revogação do consentimento;
Reclamar à ANPD;
Opor-se ao tratamento irregular.
Esses direitos são conhecidos como direitos ARCO (Acesso, Retificação, Cancelamento e Oposição). Esses direitos devem ser garantidos de forma gratuita e facilitada e o controlador tem até 15 dias para responder à solicitação do titular dos dados.
Considerando isto, é preciso compreender as diferentes tipologias de dados pessoais também expressas no art. 5º da Lei. De acordo com o regulamento, os dados pessoais se dividem em dois tipos principais: dados pessoais e dados pessoais sensíveis. Dados pessoais são informações relacionadas a pessoas naturais que são identificadas ou identificáveis, ou seja, que possuem um indivíduo associado à informação ou que podem ser associadas a determinado indivíduo. Complementarmente aos dados pessoais tem-se os dados pessoais sensíveis, os quais se referem a características particulares dos indivíduos, como origem racial, convicção religiosa, opinião política, saúde, vida sexual, biometria, genética, entre outras. Diante destas características é possível extrair que os dados pessoais sensíveis se referem a particularidades individuais que personificam os cidadãos e os enquadram dentro de nichos específicos na pluralidades das características socioculturais.
O tratamento de dados e suas diretrizes
Agora que percorremos os conceitos fundamentais da LGPD, podemos aprofundar na Lei e entender as diretrizes gerais para o tratamento de dados pessoais (TGP). As bases legais para o TGP estão expressas nos artigos 7 e 11 da LGPD, onde determina-se que o tratamento de dados só é permitido se houver fundamento legal e atendidas algumas das hipóteses a seguir:
· Para dados pessoais:
Consentimento do titular;
Cumprimento de obrigação legal ou regulatória;
Execução de políticas públicas;
Realização de estudos por órgãos de pesquisa;
Execução de contrato;
Exercício regular de direitos em processo judicial, administrativo ou arbitral;
Proteção da vida ou incolumidade física;
Tutela da saúde (profissionais ou serviços da área);
Interesse legítimo do controlador; 10. Proteção de crédito.
· Para dados sensíveis (art. 11), além do consentimento do titular, exige-se uma das seguintes bases:
Cumprimento de obrigação legal;
Execução de políticas públicas;
Estudos por órgãos de pesquisa;
Exercício de direitos;
Proteção da vida;
Tutela da saúde;
Garantia de prevenção à fraude e segurança do titular.
Acerca do consentimento dado pelo titular dos dados pessoais, os artigos 8º e 9º estabelecem como ele deve ser estruturado, determinando que o consentimento deve:
· Ser livre, informado e inequívoco;
· Ser concedido por escrito ou outro meio que demonstre manifestação de vontade;
· Deve ser específico para cada finalidade;
· O controlador deve comprovar que o titular consentiu;
· O titular pode revogar o consentimento a qualquer momento, mediante manifestação simples.
Nos mesmos artigos tem-se a indicação que é o nulo (invalido) o consentimento obtido através de engano, coerção, omissão e informação ou por meio de formulário confuso. Em se tratando da revogação e do término do TGP (art. 8º, parágrafo 5º, e no art. 16), o titular pode revogar o consentimento a qualquer tempo e o encerramento ocorre quando: a finalidade foi alcançada; os dados deixaram de ser necessário; o TGP foi proibido por Lei; o titular revogou o consentimento; a ANPD determinou o término do TGP.
O artigo 20 versa sobre a automatização do TGP e sobre as decisões tomadas através de algoritmos. Segundo o artigo, o titular dos dados tem direito de solicitar revisão de decisões tomadas unicamente com base em tratamentos automatizados, bem como de solicitar informações sobre os critérios usados nesses processos, de modo a evitar discriminação algorítmica e falta de transparência no TGP. A exemplo tem-se a análise de crédito e perfil.
Além disso, tem-se na LGPD a expressão dos casos de tratamento que envolvem dados anonimizados e pseudonimizados. O processo de anonimização envolve dado que não pode ser associado a um titular, nem por meios técnicos razoáveis; portanto, não se aplica a LGPD, salvo se houver a possibilidade de reversão. Em contrapartida, o processo de pseudonimização envolve dados substituídos por códigos, mas que são reversíveis mediante chave; neste caso, há aplicação direta da LGPD. A título exemplificativo, quando há remoção do nome e do CPF de uma base de dados, mas mantenimento de um código identificador interno, tem-se o que se classifica como pseudonimização.
Os arts. 23 a 30 abordam o TGP realizados pelo Administração Pública. De acordo com estes artigos, o poder público deve seguir os mesmos princípios da LGPD, podendo compartilhar os dados somente para fins legítimos e específicos, sendo vedado repassar dados a entes privados sem base legal ou consentimento dos titulares e garantindo a transparência no processo, em observância à Lei de Acesso à Informação - LAI (2011). Do mesmo modo que na iniciativa privada, cada órgão público deve indicar um encarregado de dados (DPO público). Há na LGPD uma exceção expressa de que o consentimento não é exigido para o tratamento de dados pelo poder público, desde que haja base legal ou finalidade pública clara para sua realização.
Os arts. 7º (parágrafo 5º), 33 e 34 versam sobre a comunicação e compartilhamento dos dados. Segundo a LGPD, comunicação refere-se à transferência de dados dentro do território nacional entre entidades públicas e privadas. Por outro lado, compartilhamento está associado a disponibilização de dados entre controladores distintos. Em ambos os casos as mesmas regras abordadas até aqui se aplicam, ou seja, ambos os procedimentos devem: 1. Ter finalidade legítima e base legal; 2. O titular deve ser informado sobre o compartilhamento; 3. O poder público só pode compartilhar para fins específicos e legítimos; 4. A transferência internacional só é permitida para países com nível de proteção adequado ou mediante autorização da ANPD. Em se tratando da transferência internacional de dados, os artigos 33 a 36 indicam que esta só é permitida quando: 1. O país destinatário garantir nível de proteção adequado; 2. Houver autorização da ANPD; 3. Existirem cláusulas contratuais específicas; 4. Mediante consentimento explícito do titular.
Por fim, os arts. 46 a 50 abordam aspectos relacionados à segurança e às boas práticas de tratamento de dados. De acordo com estes artigos, os agentes devem: 1. Adotar medidas técnicas e administrativas para proteger os dados; 2. Comunicar incidentes de segurança à ANPD e ao titular; 3. Implementar programas de governança em privacidade e auditorias periódicas.
Responsabilização administrativa na LGPD
As sanções administrativas determinadas pela LGPD estão relacionadas no artigo 52 da Lei e são aplicáveis aos agentes, aos órgãos e às empresas envolvidos no TGP. São penalidades determinadas pela Lei:
· Advertência: com prazo para adoção de medidas corretivas;
· Multa simples: até 2% do faturamento (limitada a R$ 50 milhões por infração);
· Multa diária: até atingir o limite legal;
· Publicização da infração: divulgação da violação;
· Bloqueio dos dados: suspensão temporária do uso;
· Eliminação dos dados pessoais: remoção definitiva;
· Suspensão ou proibição parcial/total das atividades de tratamento: nos casos mais graves.
Em complementariedade, os arts. 42 e 45 definem que controlador e operador respondem solidariamente por dados patrimoniais, morais, individuais ou coletivos causados por tratamentos de dados realizados de forma irregular ou em desconformidade com os princípios expressos na LGPD. Porém, os mesmo artigos indicam que os agentes podem eximir-se da responsabilidade se demonstrarem que não realizaram determinado TGP ou que o dano gerado não é fruto da ação de ambos e que eles agiram em conforme previsto na Lei Geral de Proteção de Dados.
Considerações finais
Após percorrer o percurso da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709, de 2018), conseguimos entender que ela se aplica tanto ao setor público quanto ao setor privado, assegurando o controle e a eficiência no tratamento de dados pessoais ou de dados pessoais sensíveis. Compreendemos os direitos associados aos titulares dos dados pessoais e como estes podem atuar frente aos agentes que realizam os tratamentos de dados, públicos ou privados. Por fim, verificamos que a LGPD surgiu para complementar a Lei de Acesso à Informação, assegurando a transparência, a eficiência e a segurança dos dados. Nos próximos artigos, abordaremos a implicação destes ordenamentos na Gestão Corporativa, pois, os dados são fontes vivas para a prospecção de empresas, para o planejamento estratégico, para a gestão da qualidade/ambiental/de riscos e para a manutenção dos seus históricos de atuação. Nos vemos em breve.




Comentários