GUIA COMPLETO

LEI GERAL DE

PROTEÇÃO DE

DADOS
POR

MARIANA DE TOLEDO
SOBRE A AUTORA
MARIANA DE TOLEDO
Olá, eu sou a Mariana de Toledo. Sou
advogada por formação e
empreendedora por propósito. Sou co-
fundadora e diretora de conteúdo do
Empreendedorismo Legal, e tenho como
propósito de carreira levar educação
jurídica para micro e pequenos
empreendedores. Acredito que
empreender transforma e que
segurança jurídica é necessária nessa
jornada. Acredito também em uma nova
forma de exercer o direito! Uma forma
mais leve, criativa, e fora dos padrões.
Escolhi ser uma profissional
multidisciplinar e utilizar o direito como
meio e não como fim. Por isso utilizo
minhas principais especialidades em
privacidade e proteção de dados, gestão
jurídica e direito empresarial, para
fomentar o desenvolvimento de uma
consciência empreendedora  unindo
sempre carreira à propósito.
1. Introdução:

Eu acredito que este e-book será útil para muita gente. Proteção de dados pessoais e a
Lei Geral de Proteção de Dados (“LGPD”) são assuntos que afetam todos nós e você,
aqui, vai descobrir como. Por um lado, ele serve para quem é empreendedor e está
preocupado com a aplicabilidade da LGPD em seu negócio. Por outro, ele serve para os
advogados e demais profissionais que querem atuar na área de proteção de dados como
consultores ou Data Protection Officer (“DPO"), ou almejam crescer dentro da empresa
em que trabalham.

Além disso, as estratégias que vou apresentar servem para uma infinidade de tipos de
empreendimentos, tais como saúde, marketing, customer success, educação, advocacia,
finanças, recursos humanos, contabilidade, e-commerce, varejo, e muitos outros.

Vou ficar muito feliz se você terminar este e-book conseguindo enxergar as múltiplas
oportunidades que a LGPD apresenta para o mercado, e sabendo por onde começar a
criar um programa de conformidade.
2. Porque precisamos falar sobre proteção de
dados pessoais?
Você deve estar se perguntando, porque uma Lei Geral sobre Proteção de Dados? E
porque minha empresa deve se preocupar com ela?

Para que você realmente absorva a importância desse tema, eu preciso que você se
esqueça de tudo que você ouviu falar sobre essa lei e foque seu olhar, agora, no que eu
vou te falar aqui.

Você consegue se lembrar de todos os locais que você distribuiu dados no mês passado?
Você consegue pensar em um só momento em que seus dados não estão sendo
coletados?

Já te pediram CPF em farmácias, lojas ou restaurantes? Você se preocupou em perguntar

o porquê da exigência daquele dado e qual era a finalidade da coleta?

E se eu te contar que algumas farmácias utilizam esses dados para para desenvolver um
mapeamento das suas doenças e vender para planos de saúde para que esses possam
aumentar o valor do seu plano?

E se eu te contar que algumas empresas verificam qual é o modelo do seu computador

para a partir de tal informação exercer precificação dinâmica, colocando preços maiores
para pessoas que têm computadores de marcas mais caras.

E se eu te contar que foi criada uma indústria de venda de mailing de clientes, e que seus
dados podem estar nessas listas.

E se eu e contar que o wi-fi público grátis não tem nada de grátis, que você troca internet
por dados pessoais utilizados para finalidades bem diversas à de te entregar acesso à
internet.
Com certeza você já foi perseguido por uma publicidade? Onde você entra está lá, aquela
publicidade te seduzindo e te perseguindo até que você de fato resolve ceder e comprar
determinado produto. Você gosta disso?

Dados pessoais são rastros da nossa personalidade e, além de nos identificar, podem
manipular nossas escolhas, podem afetar, inclusive, a democracia.

Não sei se você conhece, mas não posso deixar de falar do caso do Facebook e
Cambridge Analytica. Esse é um dos principais casos, se não for o principal, que
demonstra como a coleta de nossos dados pode levar à manipulação de nossas
escolhas, inclusive da escolha do nosso voto.

Ao mesmo tempo, dados pessoais são ativos de extrema importância para as empresas.
Tais dados são necessários porque correspondem ao quanto a empresa sabe sobre
aquele consumidor, e quanto mais ela sabe, maior ela fica, mais ela vende, e mais
lucrativa ela se torna.

É através da coleta de dados que a empresa proporciona ao seu cliente uma melhor
experiência, e hoje as empresas não vendem mais produtos ou serviços, elas vendem
experiência. E o cliente quer isso, ele gosta disso, porque ter serviços personalizados nos
poupam o nosso principal ativo, TEMPO.

Só que ao mesmo tempo que existem empresas sérias que valorizam os dados, existem
empresas que querem fazer com eles o que bem entenderem; e é aí que mora o perigo.

Além disso estamos vivendo a “era dos vazamentos de dados”. Toda semana nos
deparamos com a notícia “Empresa tem incidente de vazamento de dados”.

Se o cenário legislativo permanecesse da forma como estava, sem uma legislação

específica visando realmente a proteção de dados, e se de fato não parássemos para
discutir o tema, as pessoas iriam buscar meios de não mais distribuir seus dados, e o
mercado perderia sua principal matéria prima.

Nesse sentido, falar de proteção de dados pessoais é falar de inovação, de

empreendedorismo, e de desenvolvimento econômico.
E é nessa perspectiva que entra a LGPD, estabelecendo as regras do jogo, para que os
controladores possam continuar usando os dados como sua principal matéria prima, mas
priorizando a proteção dos direitos dos titulares, gerando confiança, mais eficiência, e
transparência no tratamento de dados.
3. Conhecendo a LGPD.

A Lei Geral de Proteção de Dados, Lei nº13.709/2018, legislação brasileira que regula as
atividades de tratamento de dados pessoais, foi sancionada em agosto de 2018 e entra
em vigor (ou seja passa a ser obrigatória) a partir de 14 de agosto de 2020.

Por tratamento entende-se todas as ações que são feitas com os dados pessoais desde
a sua coleta até a sua exclusão, tais como: coleta, processamento, arquivamento,
eliminação, avaliação, acesso, transferência, etc.

A LGPD possui uma função dupla:

1.Fomentar o desenvolvimento econômico e tecnológico;

2. Proteger direitos e liberdades fundamentais.

A Lei se aplica a qualquer operação de tratamento de dados pessoais realizada tanto por
pessoa natural quanto por pessoa jurídica (independente do porte da empresa); seja
realizada em território brasileiro, ou com dados coletados no território nacional, ou ainda
que tenha como titular pessoa localizada em território nacional, tanto no ambiente online
quanto no offline1 .

1 Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de

direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os
dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de
dados de indivíduos localizados no território nacional; ou (Redação dada pela Lei nº 13.853, de 2019)
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
A lei não se aplica ao tratamento de dados pessoais2 :

1 - realizado por pessoa natural para fins exclusivamente particulares e não

econômicos;

2 - realizado para fins exclusivamente jornalístico e artísticos ou acadêmicos;

3 - realizado para fins exclusivos de segurança pública; defesa nacional; segurança

do Estado; atividades de investigação e repressão de infrações penais;

4- provenientes de fora do território nacional e que não sejam objeto de

comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou
objeto de transferência internacional de dados com outro país que não o de proveniência,
desde que o país de proveniência proporcione grau de proteção de dados pessoais
adequado ao previsto na Lei.

2 Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:

I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados
com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de
proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto
nesta Lei.
4. O que são dados pessoais?

Dados pessoais são todas as informações que identificam ou possam identificar uma
pessoa natural3 .

Entenda por dados que identificam uma pessoa, aqueles convencionais, tais como: nome,
cpf, identidade, titulo de eleitor, e-mail, etc.

Quando falamos de dados que possam identificar você deve pensar em um mosaico, em
que um dado sozinho não é capaz de identificar uma pessoa, mas se for agrupado com
algum outro dado pode identificar a pessoa. Por exemplo:

Aposto que você logo pensou: Faustão. Percebe que mesmo eu não te dando o nome
dele, nem identidade, nem CPF, com apenas três dados você consegue identificar de

3 Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

quem eu estou falando? Então esses dados são considerados identificáveis e logo são
considerados dados pessoais.

O conceito de dados pessoais também compreende dados que possam sujeitar uma
pessoa individualizada a determinada atitude, ação, comportamento, sem que seja
necessário saber quem é aquela pessoa, mas de algum modo interferir nas suas
escolhas.

Dentro do gênero “dados pessoais”, temos a classe “dados pessoais sensíveis”, que são
dados que devido a sua sensibilidade natural, podem levar à atitudes discriminatórias
contra seus titulares, e por tal motivo precisam de uma atenção especial.

São considerados dados sensíveis4 : raça, etnia, opinião política, filiação a sindicatos,
orientação sexual, e os dados referentes à saúde ou à vida sexual, dados biométricos ou
genéticos.

Dados de criança e adolescente: tais dados também requerem uma atenção especial,
sendo necessário a coleta de consentimento específico do responsável.

Dados anonimizados: são dados que não permitem a identificação do titular através da
utilização de meio técnicos razoáveis. Tais dados não são considerados dados pessoais.

4 II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a

sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa natural;
5. Conhecendo os Atores da Lei
Titular: Pessoa natural a quem se referem os dados objeto de tratamento.

Controlador: Pessoa física ou jurídica a quem competem as decisões referentes ao

tratamento de dados pessoais.

Operador: pessoa física ou jurídica que realiza o tratamento de dados pessoais em

nome do controlador.

Autoridade Nacional de Proteção de Dados (“ANPD”): órgão da administração

pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.

Data Protection Officer ("DPO"), ou Encarregado de Dados: pessoa indicada pelo

controlador e operador para atuar como canal de comunicação entre o controlador,
os titulares dos dados e a Autoridade Nacional de Proteção de Dados, ou seja, ele será a
interface da organização no tocante ao tema de privacidade e proteção de dados. A Lei
não faz qualquer exigência sobre formação acadêmica, nem certificação para ocupação
desse cargo, sendo uma grande oportunidade de carreira para aqueles que desejam atua
na área. Destaco que é muito importante que aquele que deseje exercer esse cargo
conheça muito sobre a empresa, sobre a LGPD e a legislação sobre o tema ao redor do
mundo.
6. Um novo Mindset - introduzindo novos princípios
à cultura da organização
Um dos pontos mais relevantes da lei são seus princípios. Eles funcionam como base
para todo o desenvolvimento normativo e devem ser utilizados como parâmetro em
qualquer interpretação da norma. No direito, os princípios dão a cara da legislação; eles
que vão mostrar qual é a intenção da norma. Os princípios são a base fundante do
ordenamento jurídico e qualquer leitura da lei deve se dar tendo por base os princípios
por ela estabelecidos.

O acolhimento desses princípios como valores da empresa fazem com que de fato surja a
cultura de proteção de dados e com isso o olhar saia da lei e passe para o usuário,
criando assim um novo estágio de sucesso e experiência do cliente.

Os princípios são5 :

FINALIDADE NECESSIDADE

TRANSPARÊNCIA QUALIDADE DOS DADOS

NÃO DISCRIMINAÇÃO SEGURANÇA

ADEQUAÇÃO LIVRE ACESSO

PREVENÇÃO PRESTAÇÃO DE CONTAS

5 Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem
possibilidade de tratamento posterior de forma incompatível com essas finalidades;II - adequação: compatibilidade do
tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;III - necessidade: limitação
do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades do tratamento de dados;IV - livre acesso: garantia, aos
titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de
seus dados pessoais;V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI - transparência:
garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os
respectivos agentes de tratamento, observados os segredos comercial e industrial; VII - segurança: utilização de
medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII - prevenção: adoção de medidas
para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;IX - não discriminação:
impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X - responsabilização e
prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
 Finalidade:

É essencial que o tratamento de dados pessoais tenha uma finalidade específica que
deve ser informada para o titular;, e o tratamento daquele dado deve se restringir a tal
finalidade.

Necessidade:

A coleta daquele dado deve ser necessária para a finalidade ao qual ele se destina. É
uma questão de minimização, sempre coletar o mínimo de dados necessários, ou seja,
coletar apenas aqueles efetivamente necessários.

Transparência:

Assegurar aos titulares informações claras, precisas e de fácil acesso a seus dados.
Trata-se de criar uma relação de confiança entre empresa e titular, em que este sabe
exatamente o que a organização fará com seus dados.

Segurança:

É a utilização de medidas técnicas para garantir a segurança dos dados pessoais

evitando situações de incidentes de segurança.

Prevenção:

A necessidade de adoção de medidas para prevenir a ocorrência de danos aos titulares

dos dados pessoais.

Adequação:

O tratamento dos dados pessoais tem que ser compatível com a finalidade para qual eles
foram coletados.

Livre Acesso:

Permitir de forma simples e gratuita o acesso dos titulares aos dados coletados, bem
como a todas as informações sobre o tratamento de tais dados.
 Qualidade dos dados:

Garantir aos titulares a exatidão dos dados, mantendo esses sempre atualizados e
verídicos.

Não discriminação:

Garantir que o tratamento dos dados pessoais não terá finalidade discriminatória, abusiva
ou ilícita.

Prestação de contas:

Buscar todos os meios disponíveis para demonstrar a adoção de medidas para mitigação
dos riscos e cumprimento das normas de privacidade e proteção de dados.
7. O que me legitima a tratar dados pessoais?
A LGPD não tem como objetivo acabar com nenhum modelo de negócio. Muito pelo
contrário. Ela visa desenvolver o empreendedorismo e a inovação através de uma
autodeterminação informada do titular em relação ao que de fato é feito com seus dados.

Nesse sentido, a lei estabelece 10 (dez) hipóteses que autorizam o tratamento dos dados
pessoais. Ou seja, toda vez que houver o tratamento de dados pessoais, tal tratamento
deve estar legitimado e pautado em uma dessas dez hipóteses denominadas BASES
LEGAIS.

Para cada finalidade de tratamento dos dados o controlador deverá indicar uma base
legal como fundamento que legitima tal tratamento.

Cumpre destacar que em regra uma base legal não se sobrepõe a outra.

São as bases legais6 :

CONSENTIMENTO OBRIGAÇÃO LEGAL

EXERCÍCIO REGULAR DO DIREITO EM EXECUÇÃO DE CONTRATO

PROCESSO

TUTELA DA SAÚDE PROTEÇÃO DA VIDA

POLÍTICAS PÚBLICAS PROTEÇÃO AO CRÉDITO

PESQUISA LEGÍTIMO INTERESSE

6 Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o
fornecimento de consentimento pelo titular; II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas
públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres,
observadas as disposições do Capítulo IV desta Lei; IV - para a realização de estudos por órgão de pesquisa, garantida,
sempre que possível, a anonimização dos dados pessoais; V - quando necessário para a execução de contrato ou de
procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI - para o
exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de
23 de setembro de 1996 (Lei de Arbitragem) ; VII - para a proteção da vida ou da incolumidade física do titular ou de
terceiro; VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades
sanitárias; VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços
de saúde ou autoridade sanitária; IX - quando necessário para atender aos interesses legítimos do controlador ou de
terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados
pessoais; ou X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
 Consentimento:

É a coleta de permissão do titular de forma informada, livre, inequívoca e específica, para

a coleta de determinados dados pessoais. O conceito de consentimento trazido pela lei
ultrapassa aquele modelo atualmente utilizado de “li e concordo”, de cashbox já
marcados, e “coletamos dados para melhorar sua experiência”. As empresas terão que
fazer mais, ser mais eficientes e transparentes ao buscar o consentimento, utilizar da
criatividade para gerar eficiência e estar em conformidade com a legislação.

Obrigação legal :

É quando o tratamento de dados pessoais é necessário para o cumprimento de uma

obrigação legal ou regulatória pelo controlador, ou seja, existe uma lei ou regulação que
obriga o controlador a tratar aquele dado pessoal.

Processo Judicial ou exercício regular do direito:

A lei autoriza o tratamento de dados pessoais para atuação em processos judiciais,

administrativos ou arbitrais.

Execução de contrato:

É permitido o tratamento de dados pessoais para garantir a eficácia de um contrato, ou

seja para cumprir uma obrigação oriunda de um contrato, do qual seja parte o titular, a
pedido do titular dos dados. Ex: Aplicativo de entrega de alimentos, para ele entregar o
seu pedido, precisa compartilhar alguns dados seus com o restaurante, para que esse
possa preparar o pedido, bem como tem que compartilhar com o entregador, para que
este de fato possa te entregar aquilo que você contratou.

Pesquisa:

Dados pessoais poderão ser tratados para realização de pesquisas, mas somente por
órgãos de pesquisa. A lei determina, ainda, que nesses casos a anonimização deverá ser
utilizada sempre que possível.
 Políticas Públicas:

Base legal destinada à administração pública que legitima o tratamento de dados

pessoais para execução de políticas públicas previstas em leis e regulamentos ou
respaldadas em contratos, convênios ou instrumentos congêneres.

Proteção da vida:

É legitimo o tratamento de dados pessoais quando identificado estado de perigo ou risco

de vida do titular ou de terceiro, para que seja prestado socorro.

Tutela da saúde:

Legitima o tratamento de dados pessoais essenciais para prestação de serviços ligados à

saúde em procedimentos realizados por profissionais de saúde, serviços de saúde ou
autoridade sanitária.

Proteção ao crédito:

Permite o tratamento de dados visando a proteção do crédito, ou seja com o objetivo de

diminuir o risco de inadimplência em casos de concessão de crédito por instituições
financeiras. Vale destacar que essa base legal é exclusiva da legislação brasileira,
devendo ser aplicada com cautela devido à falta de parâmetro jurídico internacional
equivalente.

Legitimo interesse:

Poderá ocorrer o tratamento dos dados pessoais para atender interesses legítimos do
controlador ou de terceiros. Por interesse legitimo entende-se apoio à promoção das
atividades do controlador. Vale destacar que o legítimo interesse não pode ser
considerado uma carta coringa para coleta de dados, ele deve ser usado somente para
tratar os dados pessoais estritamente necessários para a finalidade pretendida, bem
como tem que ser realizada a validação de sua utilização através do Legitimate Interests
Assessment (LIA).
O LIA possui 4 fases, sendo elas:

1. Teste de legitimidade do interesse: verificar se o interesse de fato é legitimo; constatar

a existência de uma situação concreta, especificar o seu propósito com aquela coleta e
certificar se ele é de fato legítimo.

2. Teste de necessidade: verificar se não há outra base legal que você possa se valer,
bem como se aquele tipo de tratamento desejado é necessário para atingir a finalidade
almejada.

3. Teste de balanceamento: verificar se existe uma legítima expectativa do titular do dado

acerca da finalidade do seu tratamento; verificar se não há a possibilidade de um
impacto negativo, bem como se aquele tratamento não viola de alguma forma direitos
e liberdades fundamentais do titular que se sobreponham ao interesse legítimo ali
tratado.

4. Salvaguardas: Devem ser estabelecidos mecanismos de oposição ao titular para que

ele possa se opor àquele tratamento. Devem ser estabelecidos, também, mecanismos
para mitigação dos riscos, bem como deve haver o máximo de transparência possível
para o titular.

Quando se trata de dados sensíveis as bases legais se restringem, podendo ser apenas7:

Consentimento - obrigação legal - pesquisa - políticas púbicas - exercício regular do

direito em processo - proteção da vida - tutela da saúde - garantia de prevenção à fraude
e segurança do titular.

7 Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas
previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais
sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos
termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou
autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro
em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem
direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Além disso, para a categoria geral de dados pessoais, a LGPD estabeleceu o mesmo
peso, logo nenhuma base legal tem sobreposição à outra, sendo necessário verificar qual
a base legal mais adequada para aquela finalidade de tratamento. Já para os dados
sensíveis, a Lei deu mais importância ao consentimento, sendo esta a base legal “mãe”,
estabelecendo que a aplicação das demais deve se dar de forma subsidiária,
fundamentando um tratamento em caráter excepcional, somente para os casos em que a
coleta dos dados for indispensável à utilização daquela base legal.

Como definir qual a base legal adequada? Você precisa verificar 3 (três) coisas:

1. Origem do dado

2. Categoria do dado (geral, sensível, de criança ou adolescente)

3. Finalidade para a qual o dado pessoal será usado.

8. Direitos dos titulares
Os titulares de dados pessoais poderão, a qualquer tempo, solicitar do controlador,
mediante requisição:

1. Explicação: confirmação da existência de tratamento dos seus dados pessoais;

2. Acesso: acesso aos dados pessoais, resguardados os segredos comerciais do

controlador;

3. Retificação: correção de dados incompletos, inexatos ou desatualizados;

4. Cancelamento: engloba a situação em que a base legal utilizada para o tratamento foi o
consentimento e que o titular deseja revogar tal consentimento, e a hipótese em que o
titular solicita anonimização, bloqueio ou eliminação de dados;

5. Portabilidade: solicitação para que o controlador transfira os dados para um novo

controlador;

6. Revisão de decisões automatizadas: Revisão de processos totalmente automatizados;

7. Oposição: mecanismo utilizado quando a base legal utilizada não foi o consentimento.
Consiste no titular se opor ao tratamento daqueles dados.
9- Como adequar a minha empresa à LGPD?
A resposta para essa pergunta com certeza não é mudar política de privacidade e termos
de uso do site.

Colocar uma organização em conformidade com a LGPD é criar uma cultura de proteção
de dados através de um programa efetivo de Governança em Proteção de Dados.

O programa de governança em proteção de dados terá como objetivo estabelecer a

confiança entre organização e titular de dados, demonstrar comprometimento,
transparência, e elevar o nível de satisfação do cliente proporcionando a esse, de fato,
uma melhor experiência.

Mas por onde começar?

O ideal é estabelecer um projeto de conformidade em proteção de dados. Esse projeto

deverá ter, no mínimo, seis fases, podendo haver adaptações pelo porte da organização e
suas especificidades.

Vale destacar que esse projeto não é uma receita de bolo, e que cada empresa terá um
programa diferente, pois o programa deve ser pensado nas necessidades da empresa,
seus desafios e propósitos.

As fases do projeto consistem em:

Mas antes de adentrar de fato nas fases do projeto é necessário verificar o porte da sua
empresa, para detectar se será necessário criar um comitê interno de privacidade.
Quando se trata de empresa pequena, com poucos funcionários, o meu entendimento é
que a criação desse comitê é desnecessária, sendo importante apenas indicar quem será
o DPO.

Caso o porte da organização justifique a criação do comitê, indico que esse seja
multidisciplinar, com representação de todas as áreas da empresa, para que o comitê
possa ter uma visão global da organização e de seus processos ligados a dados
pessoais. Aí sim, após definir o seu time, você adentrará nas etapas do projeto de
conformidade.

Fase 1 | Conscientização:

O objetivo dessa fase é mostrar a importância da lei e sua aplicabilidade prática, tanto na
vida dos colaboradores, como consumidores e titulares de dados, quanto na vida da
empresa, sua rotina e seus processos. Realizar treinamentos e workshops, para todas as
áreas da empresa e todos os funcionários, desde a diretoria até o chão de fábrica. Para
disseminar uma cultura, TODOS, sem exceção devem entender a sua importância. E a
minha dica é: conquiste pelo amor, mostre que a LGPD pode ser bem mais que uma
obrigação legal, mas sim uma oportunidade para toda a empresa.

Crie muito bem sua estratégia de comunicação, encontre a melhor forma de persuasão e
de conexão com os colaboradores. Veja o que de fato desperta a atenção deles e em
quais temas a curiosidade e as dúvidas mais apareceram, e lembre-se de sempre
estimular a participação.

Caso você esteja atuando em consultoria externa, nessa fase você também deverá gastar
todo tempo que for necessário para conhecer a organização. Então, não se restrinja ao
mínimo de ler um e-mail com apresentação institucional. Converse com os funcionários,
acompanhe o dia-a-dia da empresa, entenda seu modelo de negócio, seus desafios,
propósito, missão, visão e valores.
 Fase 2 | Mapeamento:

O objetivo dessa fase é mapear os dados para que seja possível identificar as principais
exposições e contingências da empresa.

Nessa fase a empresa deverá descrever todo o seu fluxo de dados, respondendo
perguntas como:

De onde vem o dado, ou seja, qual é a sua fonte?

Qual a categoria daquele dado?

Qual a finalidade de tratamento daquele dado?

Ele é compartilhado com alguém? Se sim, quem? Porque ?

Qual o tempo de vida daquele dado, ou seja, qual o período de retenção?

Qual a base legal para tratamento daquele dado?

Qual a categoria do dado (comum, sensível, de criança ou adolescente)?

Onde o dado fica armazenado?

Quais colaboradores tem acesso àquele dado? Porque eles tem acesso?

Dentre outras perguntas que a empresa pode estabelecer.

Nessa fase é extremamente importante o contato e a entrevista com todos os

funcionários, para que o mapa fique o mais real e fidedigno possível.

Fase 3 | Gap Analysis:

O objetivo dessa fase é identificar os principais pontos de desconformidade com a

legislação, através do mapeamento de dados feito na fase anterior, e apontar as soluções
para mitigar ou minimizar os riscos. Uma grande dica nessa fase: seja criativo no
momento de indicar as soluções, pense em soluções que não inviabilizem o modelo de
negócio, mas que possibilitem à empresa sair de uma situação de desconformidade para
uma de legalidade.

Nessa fase você pode identificar a necessidade de fazer um relatório de impacto à

proteção de dados pessoais, que tem a finalidade de mensurar os riscos existentes no
tratamento de dados pessoais, e indicar as providências tomadas pelo controlador, as
salvaguardas e mecanismos para mitigação dos riscos.

Esse relatório está previsto no art.388 da lei e pode ser solicitado pela ANPD. A princípio,
pela leitura literal do artigo, entende-se que este não é obrigatório. Contudo, a Autoridade
Nacional de Proteção de Dados deverá editar regulamentos e procedimentos sobre a
produção desse relatório.

De acordo com a LGPD, deve constar no relatório, no mínimo:

1- descrição dos tipos de dados coletados;

2 - a metodologia utilizada para a coleta de dados;

3 - as medidas de segurança da informação adotada (ou das informações adotadas);

4- análise do controlador com relação às medidas, salvaguardas e mecanismos de

mitigação de risco adotados.

Fase 4 | Planejamento:

O objetivo dessa fase é planejar a forma de execução das soluções propostas na fase
anterior, criando um plano de ação e um cronograma de execução, priorizando as áreas
que contém um maior risco. Nessa fase é importante fazer o relatório do projeto de

8 Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados

pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de
regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos
de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise
do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
conformidade, detalhando as fases anteriores e os próximos passos para implementação
do programa de governança em proteção de dados.

Fase 5 | Implementação:

O objetivo dessa fase é colocar em prática o plano de ação estabelecido na fase anterior,
incluindo a elaboração de todos os documentos que se fizerem necessários. Trata-se de
fase de extrema relevância pois é neste momento que formatado o código de conduta em
proteção de dados, os aditivos contratuais, os novos modelos de cláusulas contratuais,
nova política de privacidade, restrição de acesso de funcionários a determinados dados,
cartilhas de boas práticas, revisão de processos automatizados, revisão na coleta de lead
no setor de marketing, dentre outras várias medidas que deverão ser colocadas em
prática.

Fase 6 | Monitoramento:

Essa fase tem o objetivo de manter um monitoramento constante do cumprimento das

diretrizes estabelecidas no programa de governança em proteção de dados, fazer as
atualizações que se fizerem necessárias, e garantir que a organização se mantenha em
conformidade.

Aqueles que não quiserem fazer só o mínimo podem se utilizar do projeto de

conformidade como um meio de rever seu modelo de negócio, vislumbrar novas
oportunidades de mercado, inovar, gerar valor para o seu cliente, além de poder criar uma
campanha de marketing voltada para os diferenciais que a organização oferece por estar
em conformidade.

Um programa efetivo de governança em proteção de dados não garante que sua empresa
não terá um incidente de segurança, pois é impossível garantir 100% que nada irá
ocorrer. Contudo, se o programa for efetivo e a organização tiver tomado todas as
providências, o gerenciamento de crise será muito mais eficaz, pois já estará estabelecido
dentro do programa.
Além disso, a existência do programa e a presença de uma cultura de proteção de dados
é levada em consideração pela ANPD no momento da aplicação de uma eventual sanção.

Desta forma, não é que o programa irá evitar a ocorrência de um incidente, mas o risco da
organização passa a ser controlado, gerando maior eficiência para a empresa.
10 - O que fazer em caso de incidentes?
Caso ocorra um incidente ligado a dados pessoais é necessário que o controlador tome
medidas para minimizar os danos. Além disso, é importante que seja feito o Data Breach
Notification, que consiste em informar tanto à Autoridade Nacional de Proteção de Dados,
quanto aos titulares, o ocorrido, os possíveis danos e as providências que estão sendo
tomadas para mitigar tais danos.

Neste documento deverá ser informado9 :

1 - a descrição da natureza dos dados pessoais afetados;

2 - as informações sobre os titulares envolvidos;

3 - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos

dados, observados os segredos comercial e industrial;

4 - os riscos relacionados ao incidente;

5 - os motivos da demora, no caso de a comunicação não ter sido imediata; e

6 - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do
prejuízo.

Você pode notificar o titular através do meio mais fácil de contato, e deve ser o mais
transparente possível, além de demonstrar a ele que todas as providências estão sendo
tomadas. Isso gera confiança, mostra que você está de fato preocupado em solucionar o
problema e não escondê-lo. Isso é cultura de proteção de dados.

9 Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que
possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no
mínimo: I - a descrição da natureza dos dados pessoais afetados; II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos
comercial e industrial; IV - os riscos relacionados ao incidente; V - os motivos da demora, no caso de a comunicação
não ter sido imediata; e VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do
prejuízo.
11. Privacy By Design
Entender e introduzir na organização o conceito de privacy by design é de extrema
importância como mecanismo de minimização de riscos e prevenção da ocorrência de
danos.

Privacy By Design nada mais é que uma metodologia na qual proteção de dados pessoais
é pensada desde a concepção do desenvolvimento dos produtos, serviços, sistemas,
projetos, ou qualquer outra solução que envolva tratamento de dados pessoais10.

O objetivo é prever situações que possam comprometer a privacidade e proteção de

dados, com o objetivo de minimizar os riscos, e adotar uma abordagem focada na
experiência do usuário e em sua segurança.

É uma ação totalmente preventiva e que gera muita eficiência para a empresa pois evita a
ocorrência de incidentes desde a concepção, gerando vantagem competitiva para a
empresa perante o mercado e aumentando a relação de confiança com o titular.

Nesse contexto, devem ser levadas em consideração a segurança da informação, com

utilização de mecanismos de segurança tais como a criptografia, a minimização na coleta
de dados, a utilização de anonimização sempre que possível, as políticas de descarte do
dado (tempo de vida útil), os direitos e liberdades dos titulares, o momento da coleta, a
transparência para com o usuário, e o foco no titular, na sua privacidade e proteção de
seus dados.

10Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger
os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito. § 2º As medidas de que trata o caput deste artigo
deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
12. Penalidades
O descumprimento das estipulações legais levará a aplicações das seguintes sanções:

1 - advertência, com indicação de prazo para adoção de medidas corretivas;

2 - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito
privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos,
limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

3 - multa diária, observado o limite total de R$50.000.000,00 (cinquenta milhões de reais);

4 - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

5 - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

6 - eliminação dos dados pessoais a que se refere a infração;

Para aplicação das sanções será levado em conta:

1 - a gravidade e a natureza das infrações e dos direitos pessoais afetados;

2 - a boa-fé do infrator;

3 - a vantagem auferida ou pretendida pelo infrator;

4 - a condição econômica do infrator;

5 - a reincidência;

6 - o grau do dano;

7 - a cooperação do infrator;
8 - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes
de minimizar o dano, voltados ao tratamento seguro e adequado de dados;

9 - a adoção de política de boas práticas e governança;

10- a pronta adoção de medidas corretivas; e

11- a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

13. Conclusão
Como diria aquele ditado: enquanto alguns choram outros vendem lenço. Tem muita
gente reclamando da LGPD e a vendo como um problema. Contudo, conforme
demonstrei aqui para vocês, ela pode ser muito mais que uma obrigação legal; ela pode
se tornar uma vantagem competitiva para sua empresa.

Se você conseguiu adquirir esse mindset, parabéns, você faz parte de um seleto time de
pessoas que sabem aproveitar as oportunidades, e vender lenços enquanto alguns
resolvem ficar só chorando e se lamentando.

O mantra agora é: Menos dados, mais transparência; não faça só o mínimo faça a
diferença.

E vamos juntos propagar uma cultura de proteção de dados pessoais.

 Todos os direitos reservados à
Empreendedorismo Legal
CNPJ: 33.869.342/0001-00
Belo Horizonte - MG
comercial@oempreendedorismolegal.com