UNIVERSIDADE ESTADUAL DO SUDOESTE DA BAHIA – UESB

DEPARTAMENTO DE CIÊNCIAS SOCIAIS APLICADAS – DCSA

COLEGIADO DO CURSO DE DIREITO – CCD

IANA SANTOS RIBEIRO

PROTEÇÃO DE DADOS NO ORDENAMENTO JURÍDICO

BRASILEIRO:
SUFICIÊNCIA NORMATIVA EM TEMPOS DE SOCIEDADE DA
INFORMAÇÃO

MONOGRAFIA

VITÓRIA DA CONQUISTA
2021
 IANA SANTOS RIBEIRO

PROTEÇÃO DE DADOS NO ORDENAMENTO JURÍDICO

BRASILEIRO:
SUFICIÊNCIA NORMATIVA EM TEMPOS DE SOCIEDADE DA
INFORMAÇÃO

Monografia apresentada como requisito parcial

à obtenção do título de Bacharel em Direito, do
Departamento de Ciências Sociais Aplicadas,
da Universidade Estadual do Sudoeste da Bahia
- UESB.

Orientador: Prof. Dr. Carlos Alberto Maciel

Públio

VITÓRIA DA CONQUISTA
2021
 TERMO DE APROVAÇÃO

IANA SANTOS RIBEIRO

PROTEÇÃO DE DADOS NO ORDENAMENTO JURÍDICO BRASILEIRO:

SUFICIÊNCIA NORMATIVA EM TEMPOS DE SOCIEDADE DA INFORMAÇÃO

Esta Monografia foi julgada adequada e aprovada em sua forma final pelo Colegiado do
Curso de Direito da UESB em 09 de junho de 2021.

Professor Byron de Castro Muniz Teixeira

Coordenador do Colegiado do Curso de Direito

Apresentado à Banca Examinadora composta pelos professores

Dr. Carlos Alberto Maciel Públio

Professor Orientador

Dr. Edgard Larry Andrade Soares

Membro titular

Dra. Daniella Santos Magalhães

Membro titular
 “Dedico a presente monografia aos
meus pais, os dois maiores incentivadores para
que eu continuasse em busca das realizações
dos meus sonhos. A eles, a minha total
gratidão! ”
AGRADECIMENTOS
 Estou certa de que estes parágrafos não compreendem todas as pessoas que
contribuíram positivamente nessa importante fase de minha vida, mas elas podem estar certas
que fazem parte do meu pensamento e têm a minha gratidão.
Agradeço em especial ao meu orientador, o professor Carlos Públio, pela sabedoria,
pela presteza, pela serenidade e pela atenção com que me guiou nesta trajetória, não somente
na elaboração da monografia, mas também na condução do seu trabalho de professor em outras
disciplinas, sempre chamando à atenção para que desenvolvêssemos um olhar solidário,
compreensivo, e, sobretudo humano, ante as questões técnicas ou cotidianas que nos fossem
apresentadas no decorrer da carreira profissional.
Agradeço antecipadamente à banca examinadora pela oportunidade de demonstrar o
resultado da presente pesquisa, pela atenção e disponibilidade de apreciar o que foi produzido,
bem como pela avaliação feita, certa de que os critérios escolhidos por ela visam sempre à
superação e melhoria da qualidade da produção científica dos discentes.
Agradeço também à Laíza, colaboradora do Colegiado do Curso de Direito, pela sua
competência, boa vontade e humanidade, sempre disposta a atender e muito bem orientar sobre
os processos acadêmicos que precisei movimentar ao longo dos meus dez anos de permanência
na instituição.
Também não posso deixar de agradecer à Mychelle, colaboradora do Núcleo de Prática
Jurídica da Universidade, pela sua disponibilidade integral, sempre muito gentil, e pelo auxílio
prestado aos alunos estagiários do SAJU, em especial àqueles que sempre lhe apresentavam
alguma demanda peculiar, como foi o meu caso.
Agradeço também ao CARM, Gestão Alvorada (2019-2021), pelo belo trabalho
desenvolvido, sempre pregando o diálogo como arma fundamental para a construção da
democracia institucional, e, sobretudo pela cooperação nas demandas que lhe eram
apresentadas, cujo agradecimento destino especialmente para a pessoa do presidente, o discente
e colega de classe Roberto Cláudio.
Oportunamente, agradeço às equipes da Secretaria do Curso, do Departamento de
Ciências Sociais Aplicadas e também à equipe do Colegiado do Curso de Direito pela
cooperação.
Registro também o meu reconhecimento especial à minha família, especialmente aos
meus pais, Milton e Vanda, os quais eu nomeio como figuras fundamentais para o meu sucesso
até aqui, e também às minhas irmãs, Mirtes e Ivana, pelo apoio, pela confiança e por não me
deixarem desistir quando tudo parecia inalcançável. Digo obrigada também a meus colegas de
classe e amigos, Chirles e Daniel, pela parceria durante a jornada acadêmica.
Agradeço finalmente a Deus por ter me dado um grande presente, o meu filho Arthur,
o qual se tornou o principal motivo para que eu continuasse firme e forte na minha caminhada,
sempre me motivando a continuar batalhando em busca de uma melhor capacitação para que
pudesse oferecer o melhor do mundo para ele.
Enfim, agradeço a todos que por algum motivo contribuíram para a realização não
somente desta pesquisa, mas também de todos os estudos durante minha trajetória no curso de
Direito da Universidade Estadual do Sudoeste da Bahia.
“Meus dados, minhas regras! ”
Autor Desconhecido.
 RESUMO

O presente estudo teve como objetivo estudar e compreender o fenômeno da proteção de dados
que motivou o surgimento da Lei Geral de Proteção de Dados, Lei nº 13.709, de 14 de agosto
de 2018, cuja vigência se iniciou em agosto de 2020. Com a elaboração da pesquisa buscou-se
compreender se a edição da referida norma tratou de maneira eficaz os fatos envolvendo a
violação dos dados pessoais, a fim de evitar a exposição da intimidade das pessoas. Também
procurou-se conceber se a norma poderá evitar escândalos globais, como o da empresa
Facebook, e se nela há previsão de sanções administrativas para coibir abusos praticados pelas
empresas que coletam e tratam os dados das pessoas. Inicialmente, cogitava-se que a norma não
seria instrumento suficiente para frear os problemas envolvendo a violação de direitos básicos
dos usuários da rede. No entanto, concluiu-se que, no Brasil, o referido regramento traduziu um
grande avanço legislativo para a sociedade contemporânea dos dados, equiparando o
ordenamento brasileiro ao das outras nações que consideram os dados pessoais como direito
fundamental. A importância deste trabalho é justificada pelo rápido avanço da tecnologia da
informação na indústria, no governo e no meio acadêmico, a qual gera questões e problemas
desafiadores com relação à garantia dos novos direitos e à proteção de informações pessoais
que emergem a todo instante, fazendo-se necessários novos estudos e ampliação do debate
acerca do tema. A pesquisa foi do tipo teórica e qualitativa, cuja realização não excedeu a seis
meses.

Palavras-chave: Proteção De Dados. Privacidade. Violação. LGPD. Sociedade da Informação.

 ABSTRACT

The present study aimed to study and understand the data protection phenomenon that
motivated the emergence of the General Data Protection Law, Law No. 13,709, of August 14,
2018, which came into force in August 2020. With the elaboration the research sought to
understand whether the edition of the norm dealt effectively with information involving the
violation of personal data, in order to avoid exposing people's privacy. It is also known to
conceive if a standard can prevent global scandals, such as the company's Facebook, and if
there are administrative sanctions in it to prevent abuses practiced by companies that collect
and process people's data. Initially, it was thought that the standard would not be a sufficient
instrument to curb the problems involving the violation of basic rights of network users.
However, it was concluded that, in Brazil, the referred rule translated a great legislative advance
for the data society, equating the Brazilian order with that of other nations that consider personal
data as a fundamental right. The importance of this work is justified by the rapid advancement
of information technology in industry, government and academia, which generates challenging
questions and problems regarding the guarantee of new rights and the protection of personal
information that emerge at all times, making new study points and broadening of the debate on
the topic. The research was of the theoretical and qualitative type, accomplishment did not
exceed six months.

Keywords: Data Protection. Privacy. Violation. LGPD. GDPR. Information Society.

 SUMÁRIO

INTRODUÇÃO ..................................................................................................................... 11

1 PRIVACIDADE E DADOS PESSOAIS NA SOCIEDADE DA INFORMAÇÃO ....... 13

1.1 A PRIVACIDADE E O DIREITO DE PERSONALIDADE ........................................ 13

1.2 A SOCIEDADE DA INFORMAÇÃO .......................................................................... 15

1.3 OS DADOS PESSOAIS ................................................................................................ 17

1.3.1 Princípios Gerais Da Proteção De Dados ...................................................... 18
1.3.2 A Autodeterminação Informativa ................................................................. 19

1.4 O “BIG DATA” ............................................................................................................. 20

1.5 MONITORAMENTOS DA VIDA PRIVADA: PUBLICIDADE

COMPORTAMENTAL ....................................................................................................... 21

2 CENÁRIO INTERNACIONAL SOBRE PRIVACIDADE DOS DADOS .................... 23

2.1 ESTADOS UNIDOS: SNOWDEN; FACEBOOK E CAMBRIDGE ANALYTICA .... 23

2.1.1 Snowden: Denúncia de Violação da Privacidade com Impacto Global ..... 24
2.1.2 Escândalo do Facebook e a Empresa Cambridge Analytica ...................... 24

2.2 UNIÃO EUROPEIA - O GDPR .................................................................................... 25

2.2.1 Bases Legais Do GDPR .................................................................................. 26
2.2.1.1 O Poder do Consentimento .................................................................. 27
2.2.2 Os Dados Sensíveis .......................................................................................... 28
2.2.3 Outras Considerações sobre o GDPR ........................................................... 29

3 TUTELA DA PROTEÇÃO DE DADOS NO BRASIL ................................................... 30

3.1 HISTÓRICO NORMATIVO DA PROTEÇÃO DE DADOS ....................................... 30

3.1.1 Constituição De 1988 e Lei Do Habeas Data ................................................ 31
3.1.2 O Código De Defesa Do Consumidor ........................................................... 32
3.1.3 O Código Civil ................................................................................................ 33
3.1.4 Lei Do Cadastro Positivo ............................................................................... 33
3.1.5 Lei De Acesso À Informação E Lei Carolina Dieckmann .......................... 34
3.1.6 O Marco Civil Da Internet ............................................................................ 34

3.2 LEI GERAL DA PROTEÇÃO DE DADOS - LEI 13.709/18 ....................................... 35

3.2.1 A LGPD E O Direito do Consumidor ........................................................... 36
3.2.2 A Nova Ótica de Proteção e Tratamento de Dados Pessoais ...................... 36
3.2.2.1 Preocupação inicial com o tratamento mecanizado ............................. 37
3.2.2.2 O dado anônimo ou anonimizado ........................................................ 38
3.2.3 Estrutura Normativa E Fundamentação Da LGPD .................................... 39
 3.2.3.1 Princípios .............................................................................................. 40
3.2.3.2 Bases Legais ......................................................................................... 41
3.2.3.2.1 O Consentimento .......................................................................... 42
3.2.3.2.2 O cumprimento de obrigação legal ou regulatória por parte do
controlador ........................................................................................... 43
3.2.3.2.3 Tratamento pela administração pública para execução das
políticas públicas .................................................................................. 43
3.2.3.2.4 Quando necessária à execução de contratos ou de
procedimentos pré-contratuais ............................................................ 44
3.2.3.2.5 Para contrair o titular contrato de seu interesse ................. 45
3.2.3.2.6 Em virtude do exercício regular de direitos em processo
judicial, administrativo ou arbitral ...................................................... 45
3.2.3.2.7 Para proteção da vida ou da incolumidade física do titular ou
de terceiros ........................................................................................... 46
3.2.3.2.8 Para tutela da saúde ............................................................. 46
3.2.3.2.9 Para atender aos interesses legítimos do controlador ou de
terceiros ............................................................................................... 46
3.2.3.2.10 Para a proteção do crédito ................................................. 47
3.2.4 Os Dados Sensíveis ......................................................................................... 48
3.2.5 Dados de crianças e adolescentes .................................................................. 50
3.2.6 Personagens Da LGPD E Suas Atribuições ................................................. 51
3.2.6.1 Controlador .......................................................................................... 52
3.2.6.2 Operador .............................................................................................. 52
3.2.6.3 Encarregado ......................................................................................... 53
3.2.6.4 Atribuições dos agentes ....................................................................... 54
3.2.7 A ANPD ........................................................................................................... 55
3.2.7.1 O Relatório de Impacto à Proteção de Dados ...................................... 55
3.2.8 Responsabilidade Civil na Proteção de Dados ............................................. 57
3.2.8.1 O Processo Administrativo e Sanções Aplicáveis ............................... 60

3.3 CONSTITUCIONALIZAÇÕES DA PROTEÇÃO DE DADOS E A PEC 17/2019 ..... 61

3.4 A MP 954/2020 E O VOTO DA MINISTRA ROSA WEBER NA ADI 6.387 ............ 62

CONSIDERAÇÕES FINAIS ................................................................................................. 66

REFERÊNCIAS ..................................................................................................................... 69
 11

INTRODUÇÃO

É sabido que a garantia de proteção à privacidade e à intimidade da pessoa estão

disciplinadas em diversos instrumentos normativos a nível global, entre os quais está a
Declaração Universal dos Direitos Humanos. A esse respeito, aduz o referido diploma:
“Ninguém deverá ser submetido a interferências arbitrárias na sua vida privada, família,
domicílio ou correspondência, nem ataques à sua honra e reputação” (ORGANIZAÇÃO DAS
NAÇÕES UNIDAS, 1948, tradução nossa).
No Brasil, a título de ilustração, a proteção de dados constitui o seu embasamento legal
nos princípios constitucionais da dignidade da pessoa humana, do respeito à vida privada, do
respeito à privacidade e à liberdade da pessoa, traduzindo informações que visam à garantia da
sua intimidade. O valor atribuído à dignidade da pessoa humana limita o alcance de qualquer
regramento jurídico e justifica a existência e a proteção dos direitos da personalidade (BRASIL,
1988).
Tendo em vista a grande concentração das atividades baseadas em dados que são
produzidos incessantemente, principalmente no meio digital, estimulado pelo uso excessivo de
equipamentos eletrônicos, concebeu-se um vasto campo de responsabilidades e obrigações,
com a consequente necessidade de se criar um instrumento legislativo que pudesse disciplinar
tais comportamentos, fornecendo diretrizes para aqueles que lidam com os dados das pessoas.
Neste contexto, o ordenamento jurídico pátrio, à luz das modificações sociais e
tecnológicas decorrentes do novo modelo de sociedade, pautando-se nos princípios
fundamentais acima elencados, deve oferecer instrumentos e conceitos aptos à proteção de
dados, como é o caso do Marco Civil da Internet e da recente Lei de Geral de Proteção de Dados
(LGPD). Esta última se traduz como o cerne estrutural do presente estudo.
Com período de vigência recentemente iniciado, mais precisamente no mês de agosto
do ano de 2020, a LGPD coloca o Brasil em posição de igualdade com muitos países que já
possuem um tratamento bem definido sobre a proteção dos dados de pessoas naturais, cuja base
para a sua edição é a lei General Data Protection Regulation, da União Europeia (FOLLONE,
SIMÃO FILHO, 2020).
Ante o aludido, o que se busca elucidar, conforme planejamento inicialmente
apresentado é o seguinte questionamento: em que consiste, qual a sua aplicabilidade e quais
 12

regras são estabelecidas na LGPD? As garantias individuais apresentadas no primeiro artigo da

lei, como o direito à preservação da privacidade e o direito à liberdade, estarão de fato
protegidos?
Nesta esteira, a presente pesquisa se guiará na busca pela confirmação se a edição e
publicação da LGPD será método suficiente para frear a atuação das grandes empresas acerca
do tratamento dos dados de pessoas naturais titulares de direitos, como a coleta, armazenamento
e descarte dos dados.
Usando-se das palavras do presidente do presidente do Instituto Illuminante de
Inovação Tecnológica e Impacto Social, Gilberto Lima, em um debate promovido sobre o tema,
“a lei vem num momento mais do que oportuno, em que há um movimento global de redes
sociais, e a vida está cada vez mais digital” (SENADO NOTÍCIAS, 2019).
Pode-se dizer que, a visualização desse “problema” por parte da sociedade
informacional desencadeou na última década promissores debates a respeito da privacidade dos
usuários da rede, fomentando a necessidade de evolução normativa e doutrinária para a defesa
de direitos fundamentais, o que será pormenorizado neste estudo mais adiante.
A pesquisa realizada para a elaboração do presente escrito é do tipo teórica e
doutrinária, cuja instrumentação se dá através do estudo de artigos científicos e periódicos
publicados em plataformas digitais, bem como da leitura de livros e demais obras correlatas ao
tema consultado.
Sendo a pesquisa do tipo qualitativa, a revisão da literatura acontece a partir de uma análise
dos dados coletados, usando-se o método sistemático e sociológico, para, logo em seguida,
apresentar as considerações finais. Segundo Gonçalves (2019), a elaboração da monografia do
tipo bibliográfica requer um minucioso levantamento de dados para que se possa apresentar os
resultados da pesquisa e com isso demonstrar as contribuições sobre o tema existentes até então.
 13

CAPÍTULO 1 PRIVACIDADE E DADOS PESSOAIS NA SOCIEDADE DA

INFORMAÇÃO

A proteção da privacidade no Brasil está prevista na Carta Magna em seu artigo 5º,
incisos X, XI e XII (BRASIL, 1988). É oportuno mencionar que o estudo da privacidade das
pessoas e usuários da rede e dos titulares de dados, no atual contexto da vida humana, de acordo
com os autores Finkelstein e Finkelstein (2020), “é uma das matérias que se inserem entre as
mais importantes da Sociedade da Informação”.
Nesta perspectiva, optou-se pela contextualização, ainda que breve, de alguns pontos
centrais que são de suma importância para a compreensão do tema que será abordado ao longo
do presente estudo, como o conceito da privacidade; o conceito de sociedade da informação; o
conceito e apresentação sobre os dados pessoais juntamente com as justificativas para a sua
proteção e tutela; bem como uma explanação sobre o fenômeno do Big Data, como responsável
pela gigantesca materialização do direito fundamental à proteção de dados.

1.1 A PRIVACIDADE E O DIREITO DE PERSONALIDADE

Dworkin (2002) lecionava sobre a relevância de um sistema jurídico para a garantia

dos direitos individuais, inclusive nomeando esta como sua função mais importante. Estando à
frente dos direitos sociais e coletivos, os direitos individuais legitimam os objetivos
fundamentais da sociedade, entre os quais está inserido o contexto da personalidade.
Na ensinança do direito da personalidade de Telles, (apud DINIZ, 1982), ainda que o
autor não a conceba como um direito, mas como algo intrínseco ao ser:

A personalidade consiste no conjunto de caracteres próprios da pessoa. A

personalidade não é um direito [...] é que apoia os direitos e deveres que dela se
irradiam, é objeto de direito, é o primeiro bem da pessoa que lhe pertence como
primeira utilidade.
 14

Avançando na conceituação do tema personalidade, que em Finkelstein e Finkelstein

(2020) trata-se do meio pelo qual se permite garantir e preservar o desenvolvimento do
indivíduo ante as violações contra a sua autonomia e identidade física, moral e intelectual,
segue-se para o aprofundamento do estudo sobre a privacidade, a qual se mostrará como
ferramenta necessária para o alcance dessa proteção.
Na lição de Silva (2009), a privacidade pode ser definida como o rol de informações a
respeito de um indivíduo, que as mantém sob o seu domínio, escolhendo para quem, onde,
quando e o porquê de repassá-las, não havendo nenhuma interferência legal que o obrigue.
A inviolabilidade perpassa todas as expressões garantidas pela personalidade,
notadamente as manifestações nas esferas íntimas e privadas, como nas relações afetivas, nos
modos da vida doméstica, situações envolvendo fatos e hábitos da vida cotidiana além de
pensamentos, locais e planejamentos do indivíduo, tudo é abarcado no contexto da privacidade
(SILVA, 2009).
Na mesma esteira, Sarlet (2019, p. 460) defende o direito à privacidade como
expressão da liberdade pessoal, assim entendida como:

o direito a não ser impedido de levar sua vida privada conforme seu projeto existencial
pessoal e de dispor livremente das informações sobre os aspectos que dizem respeito
ao domínio da vida pessoal e que não interferem em direitos de terceiros.

Indo de encontro ao anteriormente exposto, Posner (1983, p. 271) afirma que o objeto
da privacidade é o exercício do direito individual de ocultação de fatos relacionados à pessoa,
sendo pois um comportamento egoísta. E ele completa:

quando as pessoas hoje vituperam a respeito da falta de privacidade, o que elas querem
é, essencialmente, algo bem diferente de isolamento; elas querem mais poder esconder
informações a seu respeito que outros poderiam usar para prejudicá-las.

Por outro lado,

o direito à privacidade consistiria em um direito subjetivo de toda pessoa – brasileira

ou estrangeira – residente ou transeunte, física ou jurídica – não apenas de constranger
os outros a respeitarem sua esfera privada, mas também de controlar suas informações
de caráter pessoal – sejam estas sensíveis ou não – resistindo às intromissões indevidas
provenientes de terceiros (VIEIRA, 2007, p. 30).
 15

A esse respeito, Vieira (2007) pontua que a privacidade se subdivide em cinco

modalidades, a saber: a privacidade física, que seria a proteção contra as violações não
justificadas ou não autorizadas do corpo; a privacidade do domicílio, na forma da
inviolabilidade do lar; a privacidade das comunicações, a qual se ramifica na forma de proteção
dos dados e foco central do presente estudo; a privacidade decisional, aquela voltada parava
para a defesa da autonomia; e por fim, a privacidade informacional ou autodeterminação
informativa.
Em que pese haver uma divisão pragmática da privacidade em Vieira (2007), Rodotà
(2008) e outros autores concebiam a privacidade como um direito único de ser deixado só,
direito esse que se perdeu na era da hiperconectividade.
Na visão mais moderna do autor, a privacidade ramificou-se de modo a também se
ocupar com os novos hábitos de vida do ser contemporâneo, preocupando-se precipuamente
com os novos fatos que envolvem a coleta e tratamento dos dados pessoais. Com isso, ele
defende a necessidade de uma reformulação conceitual do termo e o aprimoramento das normas
relacionadas (RODOTÀ, 2008).
Para os autores mais contemporâneos, como Doneda (2006, p. 1), a privacidade é “o
componente essencial da formação da pessoa”. Ou seja, compõe-se de tudo que ela quer ou não
tornar público, delimitando e resguardando o indivíduo em relação às demais pessoas com quem
esse se comunica.
E o ponto central entre os autores citados é o norte para a modernização das discussões
a respeito da privacidade que reivindica a uma disciplina jurídica especializada para a proteção
dos dados pessoais, sendo este o ponto de continuidade sobre o tema (MARTINS, 2014).

1.2 A SOCIEDADE DA INFORMAÇÃO

A explosão da revolução tecnológica a partir da quarta revolução industrial mapeou o

caminho da modernidade através da vasta disseminação de dados pela rede mundial de
computadores. Como bem colocou Bauman (apud FORMOSO, 2020, p. 23): “na era da
informação, a invisibilidade é equivalente à morte”, conferindo necessidade vital da internet
para a produção de conteúdo e a circulação de bens ou serviços por intermédio da publicidade.
 16

Verifica-se, pois, que os direitos da personalidade como originalmente concebidos não

coadunam com o novo contexto da sociedade da informação. Para Doneda (2006), a sociedade
da informação é a sociedade que se orienta a partir da produção de bilhões de dados pessoais,
movimentando a economia através do foco na conectividade a nível global. Esses dados são
considerados pessoais pois se referem aos atributos e signos de uma pessoa identificada ou
identificável, denominada pela doutrina como titular (DONEDA, 2010).
Também chamada de revolução do conhecimento, a evolução tecnológica, percebida
notadamente nos meios de comunicação, impactou sobremaneira a concepção sobre a
privacidade das pessoas. O estado de vigilância da vida íntima, como define Ruaro et al. (2020),
favorecido pelo surgimento de novos equipamentos, ainda que por vezes necessário, tem
dificultado a tutela dos direitos aqui debatidos. Constata-se, portanto, que muitos são os efeitos
na economia, na política, e também no direito (SOARES, 2018).
Entretanto, de acordo com Rodotà (2008, p. 129), "a preservação da privacidade é
precondição da cidadania na era eletrônica". Significa que, em tempos de redes sociais e internet
das coisas (IoT), é de suma importância que haja mais clareza e conscientização, tanto por parte
dos usuários quanto pelas empresas, sobre a produção e destinação desses dados, de forma a
proteger os titulares de vazamentos e demais atos de ilegalidade (ALMEIDA et al., 2019).
A respeito da inovação do mercado promovida pela internet, cada vez que o indivíduo
acessa a rede para aquisição de bens ou serviços verifica-se a necessidade de que sejam
informados os seus dados pessoais e/ou dados patrimoniais e suas preferências de consumo,
através do preenchimento de formulários virtuais.
Nesse diapasão, os sítios virtuais de comércio eletrônico acabam por armazenar gigantescos
bancos de dados cujos objetivos de utilização ainda não se encontram esclarecidos de forma
exata, nem ao menos para o poder público (FINKELSTEIN; FINKELSTEIN, 2020).
Com isso, Finkelstein e Finkelstein (2020) denunciam a existência de riscos de abusos
e outras práticas relacionadas ao manuseio indevido dos dados coletados através de
instrumentos e ferramentas de inteligência artificial e outros artifícios computadorizados.
Em suma, nos tempos da referida sociedade da informação, torna-se indispensável o
debate em torno da privacidade contextual, como o direito da personalidade e direito à
intimidade, cujo objetivo é conferir ao titular o pleno exercício de sua autodeterminação
informativa, para que este exerça um efetivo controle de seus dados (LISBOA, 2019).
 17

1.3 OS DADOS PESSOAIS

A revista americana The Economist (2017, n.p.), alertou a população através de uma
reportagem que se intitulava que "o recurso mais valioso do mundo não é o petróleo, mas os
dados”. Os dados passaram a ser concebidos como “o óleo da era digital”. A matéria revela
algumas empresas que estariam no cerne dessa definição, como a Amazon, a Alphabet, a
Microsoft e o Facebook, como as mais valiosas do mundo. Esta última (Facebook), inclusive,
protagonizou fatos relevantes acerca do tema, fomentando a urgência do debate a nível mundial.
Estes dados, de acordo com a definição doutrinária no contexto da sociedade digital,
são os sinais ou símbolos de mensagens que podem ser formalizadas, reproduzidas e
transportadas através de técnicas adequadas.
Para Hoffman-Riem (2018), isoladamente, os dados não têm significado. Entretanto,
podem transportar o que ele chamou de "informação codificada", a qual é produzida através do
processo de comunicação entre o remetente; e também pode ser gerada a partir da sua recepção
pelo destinatário. Tal processo ocorre tanto na comunicação entre humanos, entre máquinas ou
entre humanos e máquinas. Entretanto, a legislação geral não adota este como um conceito da
informação, conferindo-a como um direito à proteção da personalidade.
Na mesma esteira, a legislação europeia moderna conceitua os dados pessoais como
“toda a informação relativa a uma pessoa singular identificada ou identificável” (HOFFMANN-
RIEM, 2020, p. 438). Os termos “singular e identificável” são definidos através de um
identificador que pode ser um nome, um número, os dados de geolocalização, ou até mesmo os
dados que representem a identidade física, biológica ou social desse indivíduo singular
(HOFFMANN-RIEM, 2020).
Para Maciel (2019, p. 30), a definição de dado pessoal equivale àquela adotada pelo
regramento europeu, uma vez que esta seria “toda informação que pode identificar um indivíduo
ainda que não diretamente”, tendo como cerne da questão o termo “identificar”. Deste modo,
compõem-se deste rol, por exemplo, o número de identificação do empregado dentro de uma
organização, os números de Internet Protocol – IP que identificam os equipamentos em acesso
na rede, e também as características físicas de um indivíduo.
Representando atributo de alguém identificável, os dados pessoais, portanto, mantém
uma ligação viva e concreta com o titular, por vezes se confundindo com a própria pessoa, o
 18

que lhe confere um caráter personalíssimo. Então, por assim serem considerados, justifica-se o
uso do arcabouço jurídico voltado para a tutela da pessoa e não o modelo da livre disposição
contratual e apropriação dos dados, como por exemplo, o Direito das Coisas, ou seja, o ramo
de estudo jurídico das relações materiais (DONEDA, 2010).
Outro ponto de destaque citado por por Doneda (2010, p. 39) é a importância destinada
por outros ordenamentos jurídicos à proteção de dados, concebendo-a como um direito
fundamental, inclusive defendendo-a como merecedora de lugar de destaque nas Leis Maiores
como “uma verdadeira chave para efetivar a liberdade da pessoa nos meandros da Sociedade
da Informação” (DONEDA, 2010, p. 39).
Para contextualizar a proteção de dados no Brasil de modo breve - pois será este o
objeto de debate dos tópicos finais deste roteiro - convém apresentar que na Carta Política
vigente, a referida proteção de dados possui uma escrita mais rasa, seguindo pela linha da
inviolabilidade da intimidade da vida privada, o que pode ser verificado pela leitura do exposto
no art. 5º, incisos X, XII e LXXII (BRASIL, 1988).

1.3.1 Princípios Gerais Da Proteção De Dados

Conforme já demonstrado, a proteção de dados pessoais possui legitimidade para

figurar no plano principal de discussão de diversos autores. Doneda é um destes pesquisadores
que vêm se ocupando da função de elucidar alguns princípios que seriam fundamentais para a
compreensão do tema.
Em suas lições, Doneda (2019) destaca os cinco princípios basilares para o estudo da
proteção de dados, a saber:
O princípio da publicidade, que prega ser de interesse público o conhecimento sobre
os bancos de dados; o princípio da finalidade, que determina a necessidade de se observar os
objetivos do uso de informações pessoais pelo detentor dos dados com a sua devida indicação
ao titular; o princípio da exatidão, que prega o dever de fidelidade dos dados com a realidade,
podendo inclusive ser atualizados; o princípio da segurança física e lógica, que objetiva a
proteção dos dados ante a sua destruição, transmissão, modificação indevida e acesso não
autorizado; e o princípio do livre acesso, que assegura ao titular o direito de obter informações,
cópias e o controle dos dados armazenados (Doneda, 2019).
 19

1.3.2 A Autodeterminação Informativa

Bessa (2020) conceitua o direito à autodeterminação informativa como:

a faculdade que toda pessoa tem de exercer o controle sobre seus dados pessoais,
garantindo-lhe decidir se a informação pode ser objeto de tratamento por terceiros,
bem como acessar bancos de dados para exigir correção ou cancelamento de
informações (BESSA, 2020, n.p.).

Como se pode observar, o direito à privacidade faz conotação ao direito de

autodeterminação. Em Sarlet (2019, p. 201), “o conceito de autodeterminação refere-se à
capacidade de uma pessoa moldar sua vida de acordo com suas próprias ideias, bem como o
exercício real dessa habilidade e a forma de vida ideal”.
Em 1967, conforme Bessa (2020), o autor Alan Westin já advertia sobre as
necessidades para se manter a privacidade na era moderna, alertando que o indivíduo precisaria
ter o direito de escolher quando, quais e como as suas informações pessoais poderiam ser
repassadas a terceiros.
No entanto, apenas em 1983 que o termo autodeterminação informativa passou a ser
usado na denominação deste aspecto da privacidade, através de um julgado cautelar do Tribunal
Constitucional da Alemanha, “que declarou parcialmente inconstitucional uma lei, aprovada
pelo Parlamento em 1982, que disciplinava o censo populacional” (BESSA, 2020, n.p.).
A referida lei objetivava “a formação de banco de dados para posterior confronto com
outros já existentes em agências federais e estaduais, permitindo-se a correção de informações
armazenadas anteriormente”, de modo que “aquele que se recusasse a responder a todas as
perguntas teriam que arcar com pesadas multas'', gerando insegurança e suspeita de que “as
informações fossem utilizadas para controlar a atividade e comportamento dos cidadãos”
(BESSA, 2020, n.p.).
Nesta perspectiva, em Doneda (2010) o efetivo exercício da autodeterminação
informativa é promovido num contexto em que se verifica a solicitação de dados ao indivíduo
onde são obedecidos os meios de proteção, em cujas ocasiões há a violação da sua liberdade de
decidir livremente, em virtude de condicionantes negativas. Figura como vetor hermenêutico
de primeira instância no plano do “direito individual de escolher quais dados pessoais serão
usados, bem como os limites e o prazo de sua utilização” (DONEDA, 2006, p. 196).
 20

1.4 O "BIG DATA"

Compreender o fenômeno do Big Data é de fundamental importância para o avanço

nos estudos sobre a proteção de dados na era digital. Para Doneda (2010, p. 67), “o conceito de
Big Data se refere às gigantescas massas de dados que as modernas técnicas de comunicação
tornaram possível armazenar e processar, cuja análise é severamente dificultada justamente pelo
seu tamanho”.
Nas palavras de Hoffmann-Riem, o Big Data:

refere-se à dimensão e à diversidade dos dados que podem ser utilizados para a
aplicação das tecnologias digitais, bem como às várias possibilidades de as combinar,
avaliar e de as tratar pelas autoridades públicas e privadas em diferentes contextos. Os
megadados são utilizados para controlar comportamentos individuais e coletivos, para
registar tendências de desenvolvimento, para permitir novos tipos de produção e
distribuição, bem como tarefas do Estado, mas também para novas formas de
ilegalidade, especialmente o cibercrime. (HOFFMANN, 2020, p. 434).

Nessa esteira, é oportuno apontar as lições de Santos (2017, n. p.), para quem:

o Big Data é mais que um emaranhado de dados, pois é essencialmente relacional.

Isso não é novo - para a tristeza daqueles que acreditam que a internet mudou todas
as coisas. O que a internet fez foi dar uma nova dimensão a esse fenômeno,
transformando-o. Para bem entender essas transformações, precisamos compreender
que o Big Data somos nós.

Essencialmente, o termo Big Data traduz a utilização da inteligência artificial na forma

das possibilidades de acesso a grandes quantidades de dados digitais de diferentes tipos, por
meio de inúmeras formas de coleta, armazenamento e acesso em alta velocidade. Não obstante,
o Big Data é o cerne estrutural dos novos modelos de negócio, estando estreitamente
relacionado à valorização positiva das organizações modernas (HOFFMANN-RIEM, 2020).
Hoffmann-Riem (2020) ainda apresenta o modelo de coleta destes dados, cuja
unificação em um grande amontoado forma o Big Data, que é o rastreamento online. Usado em
particular como uma preparação para a criação de perfil do usuário, o rastreamento online
também atua na forma da vigilância eletrônica do comportamento digital de uma pessoa,
possibilitando a manipulação de mensagens publicitárias personalizadas a determinados
públicos específicos.
 21

1.5 O MONITORAMENTO DA VIDA PRIVADA: PUBLICIDADE COMPORTAMENTAL

Outro panorama de estudo fundamental para o desvendamento dos termos acerca da

violação de dados, com vistas a garantia de sua proteção, é o mecanismo da publicidade
comportamental a partir de um monitoramento da vida privada na era digital.
Sabidamente, a era do capitalismo e o surgimento da internet aumentaram em larga
escala a necessidade de aquisição de novas mercadorias para a adequação do ser humano aos
novos hábitos da vida moderna, o que estimulou o surgimento de novos padrões de consumo.
Nesse viés, é mister fazer algumas considerações sobre os novos modos de comportamento
humano promovidos em razão da virtualização do cotidiano das pessoas.
Acerca da comercialização de mercadorias pela internet, conforme aludido
anteriormente, destaca-se que os atos envolvendo a pesquisa até a aquisição de produtos online
“proporcionam a compilação de abundante informação sobre o consumidor, o que veio a
modificar o perfil do fluxo informacional entre fornecedor e consumidor” (DONEDA, 2010, p.
61).
Nesse diapasão, estudiosos investigavam o fenômeno da individualização do
consumidor, a qual possibilita uma abordagem direcionada especificamente a cada indivíduo
isolado. “O consumidor para a atividade de marketing não é mais o destinatário de informações,
mas a fonte destas que vão determinar a forma como ele poderá ser abordado e tratado”
(DONEDA, 2010, p. 61).
Doneda (2010), por sua vez, alerta sobre a necessidade de reflexão sobre os efeitos
dessa prática. Ainda que por um lado a internet tenha favorecido o aumento das informações
sobre os produtos, serviços e fornecedores à disposição do consumidor, verifica-se em paralelo
o aumento do fluxo de informações em sentido inverso. Ou seja, como moeda de troca pelo
bônus da informatividade, o mercado vem se munindo de dados individuais, na forma de
gigantescos recursos valiosos para o novo modelo de negócio.
Outro ponto que merece destaque é a natureza das informações que são coletadas. Para
Doneda (2010), a maioria destes dados não são produzidos e fornecidos de forma livre e
articulada pelos consumidores, como no caso das mensagens publicitárias que são direcionadas
pelos fornecedores, mas são informações agregadas a partir de registros de seu comportamento
cotidiano, como navegação na rede, pesquisas de mercadoria, e demais situações.
 22

Nessa perspectiva é que se extrai o conceito da publicidade comportamental, que se

origina a partir da extração de dados pessoais dos consumidores usando-se os métodos de
abordagem aprimorados pela tecnologia. Os efeitos dessa prática, além do desequilíbrio
informacional entre o fornecedor e consumidor, refletem uma “potencial discriminação entre
consumidores, na relativização da idéia de escolha livre” (DONEDA, 2010, p. 62).
Por fim, a visualização desse “problema” por parte da sociedade informacional
desencadeou na última década promissores debates a respeito da privacidade dos usuários da
rede, fomentando a necessidade de evolução normativa e doutrinária para a defesa de direitos
fundamentais, o que será pormenorizado no presente estudo.
 23

CAPÍTULO 2 CENÁRIO INTERNACIONAL SOBRE PRIVACIDADE DOS DADOS

Conforme explanação feita no capítulo anterior, o avanço da tecnologia na sociedade

da informação, ocorrido nas últimas décadas, possibilitou o aumento desenfreado na coleta,
tratamento e armazenamento de informações pessoais dos usuários da rede (DONEDA, 2010).
Soma-se a isso o fato de que a ampliação e desenvolvimento dos meios de
comunicação através da internet promoveram mutações sociais de impacto global, sobretudo
nos países desenvolvidos como os Estados Unidos e a União Europeia.
Desta forma, dedica-se o presente capítulo a abordar de forma sucinta alguns fatos
internacionais que contribuíram para o aprofundamento do estudo acerca da privacidade digital
e a proteção dos dados, bem como de importantes evoluções normativas e regulatórias que têm
influenciado positivamente diversos regramentos jurídicos ao redor do mundo, inclusive o
Brasil.

2.1 ESTADOS UNIDOS: SNOWDEN; FACEBOOK E CAMBRIDGE ANALYTICA

Em tempos de numerosa exposição da vida privada nas redes sociais, não é incomum
se verificar a existência de escândalos sobre a violação da privacidade. Um exemplo notório
dessa violação é o caso envolvendo a Agência Nacional de Segurança norte-americana, ou
National Security Agency (NSA), em 2013, a qual foi acusada de espionar e monitorar milhões
de pessoas ao redor do mundo, inclusive autoridades e representantes de algumas nações
(RUARO et al., 2020).
Outro fato de relevante destaque ocorrido em 2018, também sediado nos Estados
Unidos, foi promovido pela empresa Cambridge Analytica (C.A.), a qual foi palco de acusação
de monitoramento ilegal dos cidadãos estadunidenses, cuja “investigação escancarou como a
desproteção de dados pessoais impacta não só a vida de um cidadão em específico, mas da
coletividade e os alicerces do que se entende por democracia” (RODRIGUES; FERREIRA,
2019, p. 182-202).
 24

2.1.1 Snowden: Denúncia de Violação da Privacidade com Impacto Global

Em matéria publicada pelo jornal G1 no ano de 2013, verifica-se os detalhes da

denúncia envolvendo o ex-técnico da CIA Edward Snowden, a qual foi publicada originalmente
pelo renomado jornal britânico “The Guardian”, cujas informações teriam sido coletadas
enquanto Snowden prestava serviços terceirizados para a NSA no Havaí (ENTENDA, 2014).
Na ocasião, o jornal britânico publicou reportagem assinada pelo jornalista americano
Glenn Greenwald (2014) que a NSA coletava e armazenava diariamente dados de ligações,
fotos, e-mails, videoconferências e coordenadas de localização de usuários das plataformas
digitais de empresas como Google, Skype e Facebook, rastreando inclusive o acesso de líderes
mundiais, através de um sistema, o XKeyscore, que consegue supervisionar "quase tudo o que
um usuário típico faz na Internet" (THE GUARDIAN, 2013, n.p.).
A reportagem aponta que as motivações de Snowden se originaram de um sentimento
de “obrigação de denunciar ao mundo, mesmo a um custo pessoal alto, os descomunais poderes
de vigilância acumulados pelo governo dos EUA”, para que o público possa “decidir se esses
programas e políticas são certos ou errados" (THE GUARDIAN, 2013, n.p.).
O chefe da Direção de Inteligência Nacional dos EUA, James Clapperse, se resumiu a
requisitar a Snowden a devolução dos documentos apanhados da NSA, sob a lógica disso
caracterizar "uma grave ameaça" à segurança nacional. E após a repercussão mundial do caso
com a consequente necessidade de explicação por parte das autoridades americanas, o secretário
americano de Estado, John Kerry, concordou que a nação “foi longe demais” em alguns casos
de espionagem, “mas justificou as práticas de Inteligência e coleta de informações como parte
da luta contra o terrorismo e a prevenção de atentados” (ENTENDA, 2014, n.p.).

2.1.2 Escândalo do Facebook e a Empresa Cambridge Analytica (C.A.)

Outro caso sediado nos Estados Unidos e também publicado pelo “The Guardian”,
agora protagonizado pela empresa CA, escancara outra situação de violação da privacidade
através da vigilância digital. Diz a reportagem que a referida empresa atuou na campanha
eleitoral do ex-presidente Donald Trump, acessando sem permissão os perfis dos usuários da
rede social do Facebook (THE GUARDIAN, 2018).
 25

Hoffman-Riem (2020) cita outra reportagem publicada no portal BBC News, onde foi
dito que o fato representa um dos maiores vazamentos de dados pessoais da história da internet,
pois não se resumem a violação dos cliques dos usuários da rede mas também repercutem a
privacidade daqueles com quem este usuário havia se comunicado, multiplicando a cadeia de
pessoas envolvidas.
Rodrigues e Ferreira (2019) detalham o fato alegando que a empresa CA firmou
contrato comercial com o Facebook para que este a fornecesse os dados e cliques de seus
usuários, mas sem que houvesse o consentimento livre e expresso dessas pessoas autorizando
a transferência. Os usuários forneciam os seus dados sem serem cientificados acerca do objetivo
do Facebook em realizar a coleta e o tratamento das informações prestadas.
Conforme apontado pela imprensa americana e com fortes indícios que reforçam esses
fatos, com a posse dos dados, a C.A. definia o perfil psicológico e o perfil de comportamento
do eleitor estadunidense usuário da rede Facebook, possibilitando que o partido do ex-
presidente Donald Trump influenciasse o voto dos cidadãos americanos. Tal fato teve grande
relevância no pleito dos EUA de 2016 e ainda rende muitas discussões e controvérsias
(RODRIGUES; FERREIRA, 2019).

2.2 UNIÃO EUROPEIA - O GENERAL DATA PROTECTION REGULATION (GDPR)

Promulgado em 27 de abril de 2016 e em vigor desde 25 de maio de 2018, o General

Data Protection Regulation (GDPR), ou Regulamento Geral de Proteção de Dados em língua
vernácula, inovou o entendimento sobre a proteção de dados pessoais, cuja abrangência
transcende aos limites do território europeu. O foco principal da normativa é a sistematização
do tratamento de dados de pessoas individuais (FINKELSTEIN; FINKELSTEIN, 2019).
Reforçando essa ideia, nas palavras de Hoffmann-Riem (2020, p. 439), o GDPR refere-
se exclusivamente à “proteção das pessoas no que diz respeito ao tratamento de dados pessoais
e à livre circulação de tais dados”.
Para completar, Lovell e Foy (2018) argumentam que o GDPR exige que seja
transparente, adequado, equitativo e necessário o tratamento destes dados, cuja permissão de
recolhimento seja para fins específicos, legítimos e explícitos, não podendo ser usados para fins
 26

incompatíveis com a sua finalidade. Os referidos dados também não podem ser armazenados
por tempo maior que o previamente estabelecido e devem ser mantidos em absoluta segurança.
O supracitado regulamento foi elaborado em razão das constantes modernizações nos
meios de comunicação e novos hábitos e padrões de acesso à internet pelas redes sociais, além
da influência de fatos internacionais marcantes envolvendo violação da privacidade de dados.
Ante o exposto, viu-se necessário o debate e a reformulação do ordenamento jurídico
europeu para que abarcasse a tutela dos dados, prevenindo atos lesivos às pessoas singulares,
“por meio de uma adaptação dos princípios à sociedade da informação”; e penalizando as
empresas e organizações quando verificada a ocorrência de práticas abusivas (FINKELSTEIN;
FINKELSTEIN, 2019, p. 292).
O objeto da norma, nas lições de Hoffmann-Riem (2020, p. 466), é o “tratamento de
dados pessoais, ou seja, em particular, a coleta, armazenamento e outros usos”.
Nesta esteira, a lógica observada é restritiva, visto que a norma proíbe o tratamento,
permitindo-o apenas a partir da observação de algumas ressalvas. Esse tratamento pode
acontecer através de permissão legal, bem como a partir do consentimento do titular dos dados
(HOFFMANN-RIEM, 2020).

2.2.1 Bases Legais Do GDPR

Pela leitura do GDPR, pode-se verificar a existência de seis bases legais, ou seja, as
hipóteses em que o tratamento de dados é legitimado. No entanto, algumas bases se sobressaem
sobre as outras, como é o caso do consentimento.
A base legal do consentimento possui caráter preponderante sob as demais, podendo
inclusive ser arguida quando for verificada a ocorrência de choque entre duas bases durante o
tratamento. O consentimento será esmiuçado no próximo tópico.
Teffé e Viola (2020) apresentam o rol - ainda que haja previsão de sua ampliação por
meio de procedimento legislativo específico - das hipóteses de tratamento previstas no
regulamento europeu, reforçando ser condição essencial a constatação da ocorrência de ao
menos uma delas para que se configure a legalidade do tratamento. Assim se expressa a norma
traduzida pelos autores:
 27

a) o titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados
pessoais para uma ou mais finalidades específicas;
b) o tratamento for necessário para a execução de um contrato do qual o titular dos dados
seja parte ou para diligências pré-contratuais a pedido do titular dos dados;
c) o tratamento for necessário para o cumprimento de uma obrigação jurídica a que o
responsável pelo tratamento esteja sujeito;
d) o tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de
outra pessoa singular;
e) o tratamento for necessário ao exercício de funções de interesse público ou ao exercício
da autoridade pública de que está investido o responsável pelo tratamento; ou
f) o tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo
responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou
direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais,
em especial se o titular for uma criança.

2.2.1.2 O poder do consentimento

O consentimento é o cerne da autonomia do indivíduo que figura no plano principal

das hipóteses de autorização do GDPR, de modo que a sua conceituação se torna indispensável.
A definição adotada pela norma é de que o consentimento é “uma manifestação de vontade,
livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração
ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de
tratamento” (UNIÃO EUROPEIA, 2016, n. p.).
Nas lições de Piurcosky et al., (2019), para que o ato de consentir seja validado, o
titular deverá declará-lo expressamente, em formato escrito, eletrônico, ou oral. Essa declaração
deverá ser livre e voluntária, de modo que o titular possa recusar o tratamento sem ser
prejudicado. Na execução de um contrato, por exemplo, o consentimento não pode figurar como
obrigatório se de fato não for necessário para o tratamento (HOFFMANN-RIEM, 2020).
Hoffmann-Riem (2020) ainda apresenta outro requisito essencial previsto no GDPR
para tornar o consentimento legítimo: o titular deverá conhecer a identidade do responsável
pelo tratamento e as finalidades a que o tratamento se destina.
 28

2.2.2 Os Dados Sensíveis

Os dados sensíveis também são tutelados pelo regulamento europeu, encontrando-se

enumerados no caput do seu art. 9, sob a denominação de “categoria especial de dados”. Diz a
regra que são sensíveis os dados relacionados "à origem racial ou étnica, às opiniões políticas,
às convicções religiosas e filosóficas, ou à filiação sindical, os dados genéticos, os dados
biométricos, os dados relativos à saúde e à vida sexual ou orientação sexual de uma pessoa”
(UNIÃO EUROPEIA, 2016, n. p.).
O referido artigo também lista dez situações em que se permite o tratamento destes
dados, ainda que os Estados-Membros possam “manter ou impor novas condições, incluindo
limitações, no que diz respeito ao tratamento de dados genéticos, dados biométricos ou dados
relativos à saúde” (UNIÃO EUROPEIA, 2016, n. p.).
Teffé e Viola (2020, p. 32-33) interpretam no artigo “camada adicional de proteção
para que tais dados não sejam utilizados contra seus titulares, o que poderia lhes causar
restrições a bens e serviços ou mesmo ao exercício de direitos”. A seguir apresenta-se de forma
breve o rol das dez autorizações para o tratamento dos dados sensíveis:

1) quando há o consentimento explícito do titular, salvo se houver norma considerando

indisponível o direito de consentir;
2) quando necessário para o cumprimento de obrigações e para o exercício de direitos
trabalhistas, de proteção e de segurança social, tanto de quem trata quanto do tratador,
ressalvados os direitos fundamentais;
3) para proteger interesses vitais;
4) para atividades legítimas de entidades sociais, com essa finalidade, e de forma adequada,
desde que unicamente de seus membros;
5) quando os dados forem publicizados pelo titular;
6) para cumprimento de determinações de processos judiciais, quando necessárias;
7) na promoção do interesse público, observadas as condições de legitimidade,
proporcionalidade e segurança dos dados;
8) para cumprimento dos atos laborais pertinentes a saúde do trabalhador;
 29

9) a partir do interesse estatal da garantia da saúde pública, respeitados os direitos e

liberdades individuais e o sigilo profissional; e, por fim,
10) pelo interesse público da ciência e da história, em registros, arquivos e formulações
estatísticas, desde que seja respeitada a essência do direito à proteção dos dados
(UNIÃO EUROPEIA, 2016).

2.2.3 Outras Considerações sobre o GDPR

A transferência de dados entre organizações (UNIÃO EUROPEIA, 2016) também está

prevista no regulamento, desde que obedecido ao princípio do consentimento e que seja
implantado um setor responsável para a empresa se adequar ao GDPR e assim poder oferecer
respostas às autoridades de controle sobre questionamentos envolvendo eventuais incidentes de
segurança dos dados.
Na mesma seara, Piurcosky et al. (2019) orienta que esse procedimento pode favorecer
tanto a empresa que recebe os dados portabilizados, quanto pode favorecer o titular por este não
precisar se deslocar até a empresa destinatária e fornecer novamente as mesmas informações.
Indo de encontro ao anteriormente exposto, agora sob a ótica da privacidade, Borden
et al., (2019, apud PIURCOSKY et al., 2019) compreendem que o GDPR boicota o
compartilhamento em tempo real de descobertas envolvendo ameaças à Segurança da
Informação (SI). Ou seja, na ótica dos referidos autores, o GDPR, a partir da sua tutela
protecionista excessiva, proíbe que sejam notificados de prontidão os eventos de violação à SI,
o que pode aumentar as chances de ocorrências desses ataques.
Em suma, constata-se que o regulamento europeu disciplinou algumas situações
aparentando criar entraves para o exercício de atividades rotineiras de empresas e organizações,
ensejando a continuidade e aprofundamento do debate sobre o tema pela doutrina que se ocupa
do estudo da proteção de dados (PIURCOSKY et al., 2019).
Entretanto, não é questionável que o regramento desenvolvido pela União Europeia
seja considerado um marco normativo de grande relevância, fomentando o movimento
internacional, notadamente o Brasil, na busca pelo aprimoramento e evolução do escopo
legislativo da tutela dos novos direitos fundamentais emergentes da era digital.
 30

CAPÍTULO 3 TUTELA DA PROTEÇÃO DE DADOS NO BRASIL

Conforme explanado em passagem anterior, a proteção dos dados pessoais está

diretamente ligada à tutela da privacidade e demais direitos fundamentais inseridos
expressamente no texto constitucional. Vale ratificar que o art. 5º, in. X, da Carta Magna
determina que são invioláveis a intimidade, a honra, a imagem e a vida privada das pessoas
(BRASIL, 2018).
No tocante à disciplina legislativa da proteção de dados, esta ganhou maior ênfase na
sociedade da informação, notadamente nos métodos de abordagem aos consumidores em
decorrência de uma maior influência tecnológica no cotidiano das pessoas. Essa modernização
ensejou o estabelecimento de regras e, por conseguinte, uma maior atuação do Direito em defesa
dos usuários e de sua privacidade. "Neste sentido e em resposta a esta necessidade, veio a Lei
Geral de Proteção de Dados (LGPD)" (FINKELSTEIN; FINKELSTEIN, 2019, p. 290).
Reforçando o exposto, Mendes (2014, p. 172) destaca que a aclamação da proteção de
dados ao patamar de direito fundamental torna “efetivos os fundamentos e princípios do Estado
Democrático de Direito, na sociedade contemporânea da informação, conforme determina a
Constituição Federal”.

3.1 HISTÓRICO NORMATIVO DA PROTEÇÃO DE DADOS

Em estudo dedicado a organizar o contexto das leis que disciplinam a proteção de

dados, Mayer-Scönberger citado por Doneda (2010) identifica diferentes perspectivas
protetivas nas normas regulamentadoras, cujas leis ele classificou em gerações distintas.
A primeira remessa legislativa objetivava regulamentar os novos centros de
processamento de dados, que em sua maioria estavam relacionados à atividade estatal, os quais
compunham normas genéricas e abstratas pelo seu caráter desconhecido. Seus objetivos
centrais seriam: conceder as autorizações públicas para o sistema de armazenamento de dados
e conferir a legitimidade do seu controle pelo Estado (MENDES, 2014).
 31

Doneda (2010) complementa que as referidas leis não possuíam uma abordagem em
prol do titular dos dados e de sua privacidade, mas sim disciplinavam situações eminentemente
técnicas, com orientações voltadas estritamente às tecnologias da informática. Por oportuno,
em razão da evolução desenfreada de novas técnicas de tratamento de dados, tais leis se
tornaram ultrapassadas, fomentando o surgimento de uma segunda geração de normas.
Na década de 70 surge a segunda geração destas normas, originada pela globalização
de massivo processamento em grandes bancos de dados, entretanto seu enfoque passou a se
basear na "consideração da privacidade e na proteção dos dados pessoais como uma liberdade
negativa, a ser exercida pelo próprio cidadão" (DONEDA, 2010, p. 42).
Mais adiante, percebeu-se que as mudanças nos comportamentos sociais, alinhado
com o fornecimento constante de dados pelo indivíduo, constituíam fator necessário para sua
plena integração no contexto da sociedade moderna, o que estimulou ao surgimento de uma
terceira geração de leis que vislumbrava a efetiva liberdade do titular em dispor de suas
informações pessoais (DONEDA, 2010).
Reforçando o exposto, Mendes (2014) leciona que a terceira geração de leis
disciplinadoras da proteção de dados ratifica o poder de autodeterminação afirmativa do usuário
em todas as fases do processamento de informações pessoais, consagrando a participação
efetiva do titular na atividade de tratamento.
Mendes (2014) concebe ainda uma quarta geração de tutela dos dados voltada para a
disciplina dos dados sensíveis. Essas normas defendem uma especificidade de regras para o
tratamento de informações ligadas às particularidades das pessoas, tais como orientação sexual,
gênero, convicções políticas e filosóficas, origem social e étnica, religião, dados de saúde e
informações genéticas, dentre outras (BRASIL, 2018).

3.1.1 Constituição de 1988 e Lei do Habeas Data (Lei 9.507/97)

No Brasil, o debate sobre a privacidade de dados foi tratado inicialmente pela

Constituição de 1988, associado ao rol dos direitos fundamentais contidos no art. 5°, in. X, bem
como a partir do instituto do habeas data. Aduz o referido dispositivo:
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-
se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à
vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
[...]
 32

X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas,

assegurado o direito a indenização pelo dano material ou moral decorrente de sua
violação; (BRASIL, 1988).

A proteção prevista no instituto do Habeas Data (HB), por sua vez, conforme art. 5°,
in. LXXII da Carta de 1988, assegura que ao cidadão seja garantido o acesso aos seus dados
que estão sendo manipulados pela Administração Pública.
Mais adiante, em 1997, a Lei n° 9.507 positivou, em benefício do cidadão, o direito de
retificação dos seus dados. Não obstante, a previsão originária para uso deste remédio
constitucional se aplicava contra órgãos e entidades vinculadas ao poder público.
Além disso, a ação judicial do HB, na ótica de Doneda (2010, p. 51), é
"substancialmente um instrumento que proporciona uma tutela completamente anacrônica e
ineficaz à realidade das comunicações e tratamentos de dados pessoais na Sociedade da
Informação", o que tornou o referido mecanismo inoportuno para a disciplina dos novos
modelos da era digital.
Ante o exposto, concebeu-se a insuficiência normativa da Lei Maior para esgotar o
tema da privacidade dos dados, tornando necessários novos instrumentos legais para
regulamentar o conteúdo. Por conseguinte, passou-se a discutir e fixar novos paradigmas no
ordenamento jurídico brasileiro.

3.1.2 O Código de Defesa do Consumidor

Em 1990 foi promulgada a Lei 8.078, a qual instituiu o Código de Defesa do

Consumidor (CDC), cuja proposta ofertava maior preocupação acerca do direito do indivíduo
de ser informado sobre dados que as empresas tratavam a seu respeito.
Da leitura dos seus artigos 43 e 44 verifica-se o reiterado pela lei do HD de que ao
consumidor é garantido o direito de acesso e correção de informações pessoais registradas pelos
fornecedores, bem como de serem cientificados sobre o seu cadastramento em base de dados,
seja qual for o objetivo (BRASIL, 1990).
Consoante Doneda (2010, p. 51), o CDC “inevitavelmente se deparou com o problema
representado pela utilização abusiva da informação sobre consumidores em bancos de dados”',
preenchendo efetivamente, através de uma interpretação expansiva, lacunas legislativas até a
vigência da Lei Geral de Proteção de Dados.
 33

É oportuno salientar que, para Doneda (2010), o foco do legislador na elaboração do

CDC foi estabelecer limites no trato de informações pessoais pelo fornecedor, justificado pela
garantia de segurança nas transações mercadológicas, com vistas ao equilíbrio da relação de
consumo.
Reforça essa ideia os princípios consumeristas da finalidade e da boa-fé objetiva, que
vinculam a utilização dos dados do consumidor apenas para os fins que motivaram a sua coleta,
servindo de fundamento para vedar a sua comercialização (DONEDA, 2010).

3.1.3 O Código Civil

O Código Civil de 2002 associou a inviolabilidade da vida íntima e privada como

pressuposto do direito da personalidade, afastando de vez a ótica da materialidade de um direito
que serve de fundamento para a privacidade. Em suma, “a privacidade figura como gênero na
qual a intimidade atua como espécie” (FINKELSTEIN; FINKELSTEIN, 2019, p. 286).
Para Maciel (2019), a dissociação da privacidade ao direito de propriedade eleva a
proteção de direitos subjetivos, os quais vêm ganhando destaque no ordenamento jurídico
brasileiro, ainda que no aludido instrumento tenha sido positivado de forma genérica.
Cita-se como exemplos previstos no referido código, no Livro “Das Pessoas”: a
proteção de divulgação de escritos, a proteção contra a exposição ou utilização da imagem das
pessoas físicas ou jurídicas inclusive para uso comercial, e questões envolvendo fama, a honra
e a respeitabilidade dos indivíduos (BRASIL, 2002).

3.1.4 Lei do Cadastro Positivo

Nove anos mais tarde, já em 2011, entra em vigor a Lei do Cadastro Positivo (Lei
12.414/11) para disciplinar os banco de dados com histórico de crédito e adimplemento das
obrigações de pessoas físicas e jurídicas, porém dessa vez com o pressuposto imprescindível
do consentimento do titular, diferentemente das leis anteriores que também tratavam sobre o
armazenamento de informações pessoais.
Não obstante, a supracitada lei precisou ser retificada para se adequar à nova geração
protetiva dos dados, através da LC 166/2019. Essa alteração permitiu o cadastramento
 34

automático de pessoas físicas e jurídicas, dispensado o prévio consentimento. Todavia, em

respeito ao princípio da finalidade, permanece assegurado ao titular o direito de solicitar a sua
exclusão desses bancos de dados.

3.1.5 Lei de Acesso à Informação e Lei Carolina Dieckmann

Também em 2011 no contexto da proteção de dados se concebe a Lei de Acesso à

Informação (Lei 12.527/11), a qual, segundo Maciel (2019, p. 11), apresentou um conceito
moderado de Informação pessoal, que seria aquela relacionada à pessoa natural identificada ou
identificável, impondo ao poder público o dever da sua proteção, observando sua
“disponibilidade, autenticidade, integridade e eventual restrição de acesso".
No ano seguinte, um notório episódio envolvendo a atriz Carolina Dieckmann, a qual
teve fotos íntimas lançadas na internet após a invasão de criminosos aos seus arquivos digitais,
motivou a aprovação da Lei 12.737/12.
A referida lei elevou ao status de crime a invasão a dispositivos informáticos, tanto
para obtenção de vantagens ilegais, quanto para excluir ou alterar informações sem o
consentimento do titular, cuja pena poderá ser majorada se dessa invasão for obtido conteúdo
de natureza privada (BRASIL, 2012).

3.1.6 O Marco Civil da internet

Em razão do escândalo de espionagem ocorrido nos Estados Unidos em 2013, o qual

foi denunciado pelo agente da NSA Edward Snowden e cuja exposição acendeu alerta mundial
sobre a proteção de dados, a promulgação acelerada do Marco Civil da Internet (Lei 12.965/14)
ratificou a importância da matéria ao positivá-la no ordenamento jurídico pátrio (BIONI, 2018).
De acordo com Bioni (2018, n. p.), o referido instrumento representou um grande
avanço legislativo ao regular o espaço digital e garantir ao consumidor, usuário da rede e
também titular de dados:

o direito a informações claras sobre as etapas de coleta, uso, armazenamento,

tratamento e proteção de seus dados pessoais, dando claros contornos às condutas que
deveriam observar as empresas de tecnologia ao manipular tão massivo volume de
informações.
 35

No entanto, ainda que tenha se mostrado como opção mais viável para tutelar os
conflitos emergentes do meio virtual, para Bioni (2018) a norma não define especificamente os
termos e alcances da lei, ensejando a continuidade do debate pela doutrina e fundamentando a
elaboração da LGPD.

3.2 LEI GERAL DE PROTEÇÃO DE DADOS (LEI 13.709/18)

Conforme Bioni (2018), para que o Brasil pudesse se tornar membro da Organização
para Cooperação e Desenvolvimento Socioeconômico (OCDE), visto que o atraso normativo
brasileiro implicava em sérias perdas econômicas e de investimento, foi aprovada a LGPD.
Em outras palavras, com um objetivo inicialmente econômico, viu-se como necessária
a modernização do ordenamento brasileiro a fim de equiparar o país às outras nações que
resguardavam os dados pessoais como um direito independente e autônomo merecedor de tutela
específica. Também influenciaram o seu surgimento, de acordo com grande parte da doutrina,
dois eventos internacionais marcantes, um destes envolvendo violação e compartilhamento de
dados pessoais e o outro como notória e representativa disciplina da matéria.
O primeiro evento ocorreu nos Estados Unidos, sob o qual recaíram suspeitas de que
houve comercialização de dados do Facebook para a empresa Cambridge Analytica na
campanha do presidente Donald Trump em 2016, de modo a influenciar o resultado das
eleições. O segundo fato marcante foi a aprovação da promissora lei de regulamentação de
dados da União Europeia, o GDPR.
Sob outra perspectiva, a referida norma se originou em resposta aos anseios da
sociedade internacional por uma lei que abarcasse completamente a privacidade dos dados de
pessoas naturais, de modo a esgotar as possibilidades de proteção desse direito.
Nessa esteira, atendendo a uma demanda global que cobrava a positivação de um
sistema jurídico para a salvaguarda dos dados pessoais, em 2018 o legislador brasileiro editou
a LGPD. O aludido referencial, portanto, proveio para regulamentar o “tratamento de dados
pessoais, (...) com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade
e o livre desenvolvimento da personalidade da pessoa natural” (BRASIL, 2018).
 36

3.2.1 A LGPD e o Direito do Consumidor

A LGPD pressupõe um avanço para a proteção do consumidor da sociedade da

informação, tendo em vista que o tornou como principal agente nas decisões sobre o uso de
dados, fornecendo segurança jurídica ao mercado de consumo no processamento de
informações pessoais que tenham o intuito de personalização de produtos, serviços e marketing
(FOLLONE; SIMÃO FILHO, 2020).
É oportuno considerar que, na ótica de Follone e Simão Filho, a conexão entre o CDC
e LGPD objetiva respaldar o consumidor e seus dados na desequilibrada relação de consumo
proveniente da era digital, para lhe assegurar decisões autônomas, livres e conscientes.
Conforme Tasso (2020), também há comunicação entre ambos os microssistemas no
que concerne à responsabilidade civil do agente, ainda que haja divergência doutrinária a esse
respeito. Uma vez que para o CDC a responsabilidade é objetiva quando se trata de fato do
produto ou serviço, na LGPD a responsabilização deve seguir a mesma lógica quando há
violação de direito do titular de dados.
No tocante às diferenças, para Tasso (2020) ainda merece prosperar o debate que visa
elevar a proteção de dados pessoais ao patamar constitucional, tendo em vista que a Carta de
88 alçou a defesa do consumidor ao patamar de garantia fundamental e o primeiro ainda busca
a sua positivação no corpo na norma supralegal.
O autor ainda conclui sobre a importância de uma interpretação associada e
complementar dos instrumentos normativos no atual contexto legal, uma vez que, para ele, “a
relação entre os microssistemas não é de mera intersecção, mas de continência, na medida em
que a toda e qualquer violação de direito do consumidor deve-se atribuir (...) o que melhor
atenda à defesa [deste]” (TASSO, 2020, p. 113).

3.2.2 A Nova Ótica de Proteção e Tratamento de Dados Pessoais

Consoante esclarecido, o objetivo da LGPD é regular as operações de tratamento de

dados pessoais. Mister é apresentar o conceito de dado pessoal apontado pela referida norma.
Para a Lei, “dado pessoal é toda e qualquer informação relacionada à pessoa natural identificada
ou identificável”, conforme encontrado em seu art. 5º (BRASIL, 2018).
 37

A respeito do termo “tratamento” utilizado pela legislação, este se refere a todo e

qualquer procedimento realizado com os referidos dados, com a finalidade exclusivamente
econômica, notadamente as operações de coleta, armazenamento, transmissão, catalogação,
entre outras (BRASIL, 2018).
Também se verifica da leitura da norma a necessidade de observação da boa-fé como
pressuposto para legitimar a atividade sob os dados, bem como a garantia de liberdade de acesso
pelo titular de modo facilitado e gratuito. A esse respeito, a LGPD tratou de definir os objetos
tutelados pela norma, como os dados pessoais e os dados sensíveis; os princípios e as regras a
serem observadas; e os personagens que compõem a relação disciplinada pela Lei (BRASIL,
2018).
A LPGD, consoante o empregado no regramento europeu, também disciplina e
caracteriza o dado pessoal sensível, que seria o dado relacionado à origem racial ou étnica,
convicção religiosa, opinião política ou filosófica, dado referente à saúde ou à vida sexual, dado
biológico na forma de dado genético ou biométrico, desde que relacionados ao titular, pessoa
natural (BRASIL, 2018).
Na mesma esteira, é oportuno apresentar quem seria o titular de dados para a legislação
ora estudada. Maia (2019, p. 149) conceitua a titularidade como algo que representa não
somente o poder sobre um bem jurídico, mas principalmente “o sentido de atribuição do mesmo,
com regras claras disponíveis acerca de seus modos de utilização e disposição”. Sendo os dados
pessoais merecedores da tutela de bem jurídico, é perfeitamente adequado o legislador indicar
a quem pertencem.

3.2.2.1 Preocupação inicial com o tratamento mecanizado

Para Doneda (2010), o manuseio dos dados das pessoas não se resumia na simples
autorização ou não do titular ao uso de suas informações pessoais, ainda que houvesse a sua
participação em fases sucessivas do aludido processamento.
Não instante, ainda que houvesse a concepção sobre algumas garantias que eram
asseguradas ao indivíduo, em paralelo emergia a preocupação quanto ao desequilíbrio entre as
entidades manipuladoras de dados pessoais e o sujeito titular, que não exercia o seu pleno direito
à autodeterminação informativa (DONEDA, 2010).
 38

Naquele período, conforme Doneda (2010), a atividade de tratamento compreendia-se

a existência de uma “informação de base”, obtida diretamente de uma pessoa, e uma
“informação-resultado”, resultante do processamento da informação de base, de maneira a dar
utilidade desta para o agente tratador.
Destarte, evidenciou-se que o foco era justamente a diferenciação das informações,
que por sua vez causava “a perda de controle da pessoa sobre o que se sabe em relação a si
mesma – o que, em última análise, representa uma diminuição na sua própria liberdade”
(DONEDA, 2010, p. 36).

3.2.2.2 O dado anônimo ou anonimizado

Há que se ponderar que a norma não considera como dado pessoal o dado anônimo ou
anonimizado, assim considerado aquele em que o indivíduo “não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu
tratamento” (MACIEL, 2019, p. 30).
A aludida anonimização de dados é o procedimento cujo objetivo é desvincular um
dado do sujeito a quem ele pertence, ou seja, é a técnica de ofuscar o dado de modo que o titular
não seja identificado a partir do seu tratamento. A LGPD preceitua que o uso dos métodos de
anonimização tem o condão de reduzir riscos e danos envolvendo vazamento de dados
(ALMEIDA et al., 2019).
Noutras palavras, o dado anônimo é exatamente o oposto do conceito de dado pessoal
pela sua incapacidade de revelar a identidade de alguém. Pela própria lógica do termo “anônimo
seria aquele que não tem nome nem rosto”, sendo pois “fruto de um processo pelo qual é
quebrado o vínculo entre o(s) dado(s) e seu(s) respectivo(s) titular(es)”, através da aplicação
das técnicas de supressão, generalização, randomização e pseudoanonimização (BIONI, 2019,
p. 105).
A seu turno, Almeida (et al., 2019) alerta sobre o problema que pode surgir a partir da
associação de dois dados, que porventura são tratados na forma de anonimização. Para o autor,
os dados associados poderão levar a identificação da pessoa a quem se referem.
Em suma, reforça-se que o procedimento supracitado (anonimização) pode ocasionar
a desproteção de dados pessoais uma vez que o referido procedimento puder ser revertido. Deste
 39

modo, o mesmo dado deixaria de ser anônimo com a consequente exposição de seu titular
(MACIEL, 2019).

3.2.3 Estrutura Normativa e Fundamentação da LGPD

Para Mendes (2019), a estrutura da LGPD se divide em três grandes frentes. Na

primeira parte estão concebidos o rol principiológico e as bases legais autorizadoras do
tratamento de dados pessoais, os quais compõem as condições que conferem legitimidade ao
tratamento.
A segunda frente é percebida na previsão legal dos procedimentos essenciais para
tornar lícito o tratamento de dados, procedimentos estes que visam definir: os direitos do titular,
as obrigações dos agentes de tratamento, as regras de governança de dados e os códigos de
conduta (MENDES, 2019).
A última parte da LGPD, na didática de Mendes (2019), trata da responsabilidade em
decorrência da afronta às normas de proteção de dados, apontando sanções administrativas aos
agentes de tratamento que porventura vierem a causar danos ou deixarem de observar os
preceitos legais impostos pela norma.
Doneda (2018), também concebe a LGPD a partir de três pilares fundamentais que
evidenciam a generalidade do caráter protetivo da norma. São elas: amplo conceito de dado
pessoal; necessidade de que qualquer tratamento de dados tenha uma base legal; e o legítimo
interesse como hipótese autorizativa da atividade.
Nesse diapasão, é oportuno apresentar o art. 2° da mencionada lei que informa os
seguintes fundamentos: respeito à privacidade; à autodeterminação informativa; às liberdades
individuais; à inviolabilidade da intimidade, da honra e da imagem; os direitos humanos; a
defesa do consumidor; e o direito à personalidade, dignidade e cidadania das pessoas naturais
(BRASIL, 2018).
O enunciado também aponta como pressupostos da proteção de dados o
desenvolvimento da economia e da livre iniciativa, com vistas ao desenvolvimento industrial;
da livre concorrência, para favorecer o melhor desempenho de mercado; e da inovação
tecnológica nacional, a fim de estimular a modernização do setor em sede de evolução
globalizada (BRASIL, 2018).
 40

3.2.3.1 Princípios

Pode-se considerar que a LGPD é também uma norma principiológica, uma vez que
entre suas funções está o condão de instruir o intérprete acerca da sua aplicabilidade no tocante
à proteção de dados na Sociedade da Informação. Nesse contexto, a própria norma, em seu art.
6°, incisos I a X, define o rol de princípios a serem observados na atividade do tratamento,
incluindo a boa-fé (BRASIL, 2018).
Nessa perspectiva, a doutrina divaga sobre alguns princípios, no entanto essa
explanação não se faz de todo necessária uma vez que a própria lei se encarregou de nomear e
conceituar cada um. São eles: I - finalidade; II - adequação; III - necessidade; IV - livre acesso;
V - qualidade dos dados; VI - transparência; VII - segurança; VIII - prevenção; IX - não
discriminação; X - responsabilização e prestação de contas (ou acconuntability).
Na explicação de Doneda (2019), o princípio do livre acesso permite ao titular,
independente do modo e sem a imputação de ônus, consultar a finalidade, a forma, a duração e
sobre quais dos seus dados foi realizado o tratamento.
Como primado do princípio da adequação, Ruaro et al. (2020, p. 167) diz que "os
dados coletados deverão guardar referibilidade aos dados consentidos pelo cidadão, ficando
vetado o uso de meios suplementares não autorizados". Doneda (2019), também ensina que é
garantido ao titular o direito de requerer que seus dados sejam corrigidos, suprimidos ou
acrescentados, se verificada a sua inexatidão, impertinência ou incompletude.
Há autores que concebem com a mesma similitude o princípio da qualidade dos dados,
incluindo o direito do cidadão de retificar inclusive os dados indiretamente relacionados a ele
que poderão violar direito seu (RUARO et al., 2020).
A esse respeito Vainzof (apud MALDONADO, 2019, p. 149) complementa:

Qualquer imprecisão, seja um dado pessoal equivocado, seja desatualizado, pode ser
catastrófico ao titular, como ocasionar um erro de tratamento médico, recusa de
crédito, vedação de participação em concursos públicos, eliminação em processo
seletivo, ou, até mesmo, uma prisão injusta. [...] ao dado pessoal impreciso [não
sanado na fonte] o risco [de ser] tratado de forma permanentemente incorreta é
bastante elevado.

O princípio da necessidade implica, de acordo com o exposto na LGPD, a limitação

da coleta e processamento dos dados "ao mínimo necessário para a realização de suas
 41

finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação
às finalidades do tratamento de dados" (BRASIL, 2018).
No tocante ao princípio da finalidade, Ruaro et al. (2020) leciona que a partir dele se
determina que haja relação direta entre os dados e a finalidade da coleta. Para isso, dispõe o art.
37 da LGPD que o captador deve informar esses fins e manter registro das suas operações de
tratamento (BRASIL, 2018).
Não obstante, Oliveira (2020, p. 74), acompanhando o raciocínio anterior, argumenta
que a correlação a ser respeitada é entre “o tratamento dos dados e a finalidade informada”, as
quais também justificam os princípios da adequação e da necessidade previstos na LGPD.
A seu turno, o princípio da transparência indica o dever de accountability dos agentes
de tratamento, garantindo o compartilhamento de informações precisas, claras e acessíveis
sobre a manipulação e a segurança dos dados pessoais, resguardados os segredos comercial e
industrial (FERNANDES; OLIVEIRA, 2020).
Ademais, Fernandes e Oliveira (2020) explicam o princípio da não discriminação, o
qual proíbe o tratamento de dados com objetivos discriminatórios ou abusivos que visem
catalogar os indivíduos, o que justifica a necessidade de transparência no tratamento
automatizado a fim de evitar tais riscos.
Reforçando o exposto, o direito à explicação, em conjunto com a interpretação
integrada com outros dispositivos da norma como a ferramenta da prestação de contas,
possibilita a concretização dos princípios da prevenção de danos e da responsabilização dos
agentes, com vistas à persecução do objeto central definido nos termos da LGPD
(FERNANDES; OLIVEIRA, 2020).

3.2.3.2 Bases Legais

Chamadas de bases legais pela doutrina, o art. 7° da LGPD apresenta o rol de requisitos
para legitimar a manipulação dos dados. Noutras palavras, são as hipóteses em que a LGPD
autoriza o tratamento de dados pessoais, traduzindo as premissas para que os agentes tratadores
criem relações mais equilibradas com o titular (BRASIL, 2018).
Observar o preenchimento do dispositivo supracitado é fator preponderante para
validar a coleta e processamento das informações dos sujeitos titulares, de modo que as
 42

empresas que não utilizarem ao menos uma dessas hipóteses estarão manuseando os dados de
forma ilegal (BRASIL, 2018).
A seguir se apresentam as dez situações permissivas ao manejo dos dados, arroladas
no art. 7° da LGPD, entendendo-se, de acordo com a acepção de Teffé e Viola (2020), não
haver nenhuma base superior às demais, bem como a necessidade de se usar a base mais
adequada e segura para a situação concreta e a possibilidade de ser usada mais de uma delas
para o tratamento. São elas:

a) mediante o consentimento do titular;

b) para cumprimento de obrigação legal ou regulatória pelo controlador;
c) pela administração pública, para a execução de políticas públicas;
d) para a realização de estudos por órgão de pesquisa;
e) quando necessário para a execução ou elaboração de contrato;
f) para o exercício regular de direitos;
g) para a proteção da vida ou da incolumidade física;
h) para a tutela da saúde;
i) para atender aos interesses legítimos;
j) para a proteção do crédito.

3.2.3.2.1 O consentimento

O consentimento, de acordo com a definição extraída no art. 5°, in. XII da LGPD,
trata-se de "manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada;" (BRASIL, 2018).
Explicando os núcleos semânticos extraídos do conceito supracitado, a "manifestação
livre" representa o direito de escolha do titular; “informada” expressa a necessidade de
cientificar o titular acerca dos métodos de tratamento; por fim, pela "manifestação inequívoca”,
entende-se que o ato de consentir deve traduzir a expressão real do sujeito (TEPEDINO;
FRAZÃO; OLIVA, 2019).
Na lição de Ruaro et al. (2020), a autorização fundada no consentimento indica ser
imperiosa a concessão do titular para o tratamento de dados, independentemente de haver
controvérsias doutrinárias acerca da disposição de direitos fundamentais. Mulholland (2018, p.
 43

169) orienta que o consentimento "diz respeito a uma garantia [do tipo] preventiva e à criação
de políticas de proteção para que seja assegurado".
Bioni (2019) acrescenta que a liberdade de consentir importa a faculdade do titular de
recusar ou aceitar o tratamento de dados, inclusive afastando qualquer vício que possa invalidar
esse consentimento. Nesse diapasão, o autor faz crítica a essa liberdade apontando haver grande
desequilíbrio na relação entre o agente controlador e o usuário, pela assimetria informacional
que o torna mais vulnerável.
Em suma, ressalta-se que os titulares são os reais donos dos seus próprios dados e a lei
lhes concede inquestionavelmente o poder de deles dispor, podendo voltar atrás deste ato a
qualquer tempo, independente da forma em que foram manuseadas as suas informações, salvo
específicas disposições em contrário.

3.2.3.2.2 O cumprimento de obrigação legal ou regulatória por parte do controlador

A segunda base legal extraída do art. 7º da LGPD autoriza o tratamento de dados para
cumprimento de obrigação legal ou regulatória pelo controlador. Teffé e Viola (2020) citam
exemplos de situações em que se caracteriza esse cumprimento, como obrigações trabalhistas,
determinações da lei anticorrupção, a guarda de registros pelos provedores da internet, entre
outros. Os autores também citam o exemplo das seguradoras, ou instituições do mercado
financeiro.
As obrigações em cujo cumprimento se permite o manuseio de dados pessoais são
aquelas previstas em leis de qualquer espécie ou em qualquer outra determinação regulatória,
excluídas as do tipo contratual. Em razão da sua natureza necessária, tal hipótese dispensa o
dever de prévio consentimento pelo titular, uma vez que o ato se traduz no exercício de um
dever legal (TEFFÉ; VIOLA, 2020).

3.2.3.2.3 Tratamento pela administração pública

A LGPD também preceitua que à administração pública é permitido o tratamento de

dados dos cidadãos brasileiros, desde que objetivando a execução de políticas públicas e que o
 44

ato seja comprovadamente necessário. Do mesmo modo, a coleta deve ser previamente
autorizada e regulamentada por lei (BRASIL, 2028).
Nesse diapasão, vale apresentar a reserva específica do capítulo IV da lei para
disciplinar o tratamento de dados pelo poder público, cuja passagem evidencia a importância
destinada pela LGPD na regulação de condutas praticadas pelas entidades governamentais.
Dentre as imposições do recorte legislativo encontra-se o dever de designar um encarregado
para gerenciar a ação estatal (BRASIL, 2018).
A seu turno, Teffé e Viola (2020) destacam que, a administração pública, ao tratar
dados pessoais, deverá observar o atendimento do interesse público e obedecer aos seguintes
critérios: que sejam claramente informadas as hipóteses legais, a finalidade e os métodos
utilizados para a atividade do tratamento, divulgando tais informações em canais de fácil
acesso, preferencialmente no sítio digital ou homepage do respectivo órgão que fizer o
tratamento de dados.

3.2.3.2.4 Tratamento por órgãos de pesquisas

Também se autoriza o processamento de dados voltado para realização de estudos por

órgãos de pesquisas, consoante o art. 7°, in. IV da LGPD. Nesse contexto, é oportuno definir
quem são os autorizados a manusear dados pessoais levantando essa hipótese. A lei assim define
esses órgãos, em seu art. 5°, in. XVIII:

órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de

direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com
sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social
ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico,
tecnológico ou estatístico (BRASIL, 2018).

Não obstante, a atividade de manipulação dos dados deve, sempre que possível, buscar
a anonimização dos titulares. A anonimização é o procedimento aplicado a alguma informação
coletada com vistas a desassociá-la do seu titular, de modo que não seja possível identificar,
direta ou indiretamente, de quem seja o referido dado pessoal (TEFFÉ; VIOLA, 2020).
 45

3.2.3.2.5 A execução de contratos ou atos pré-contratuais

Outra hipótese permissiva ao tratamento de dados, de acordo com a LGPD, art. 7°, in.
V é para execução de contrato ou de procedimentos preliminares ao contrato quando necessário.
Vale considerar que, neste caso, não se dispensa o pedido ou participação do titular para
legitimar a atividade (BRASIL, 2028).
A esse respeito, Teffé e Viola (2020) apresentam alguns exemplos em que se aplica a
referida base: no fornecimento de dados para viabilizar a entrega de produtos adquiridos via e-
commerce; no caso de levantamentos realizados por entidades do sistema financeiro; na
solicitação de crédito pelo titular; entre outros.
Apesar de se parecer com a base legal, pautada no consentimento, é oportuno
diferenciar as hipóteses para conferir regularidade ao tratamento. Neste caso, o titular não
poderá revogar o ato de consentir uma vez que a lei autoriza que seus dados pessoais sejam
mantidos durante a execução do contrato. Por oportuno, explica-se que o consentimento aqui
relacionado diz respeito à autorização dada pelo titular para participar do contrato (TEFFÉ;
VIOLA, 2020).

3.2.3.2.6 Exercício regular de direitos

A base legal com vistas ao exercício regular de um direito está prevista no art. 7°, in.
VI da LGPD. É mister ponderar que, para Teffé e Viola (2020), tal garantia está vinculada ao
tratamento necessário em atos de demandas judiciais, processos administrativos ou processos
da justiça arbitral. Seu fundamento se verifica nas premissas constitucionais da inafastabilidade
da apreciação pelo Poder Judiciário e na garantia da ampla defesa e contraditório.
Vale dizer que, de acordo com a doutrina supramencionada, é perfeitamente
concebível que qualquer parte litigante possa se dispor de dados ou informações pessoais de
outrem, indispensáveis para viabilizar resultados positivos e a garantia de direitos em demandas
judiciais ou afins. Conforme o exposto, o objetivo da hipótese de tratamento é não cercear a
ampla defesa e o contraditório.
 46

3.2.3.2.7 Para a Proteção da vida ou da incolumidade física

A proteção da vida ou da incolumidade física do titular ou de terceiros também é base

de tratamento prevista na LGPD, no in. VII do art. 7°, cuja explanação não se faz de todo
imprescindível, tendo em vista a inquestionável relevância do direito à vida.
Maldonado (2019) apresenta um exemplo prático desse tratamento, a fim de elucidar
a sua aplicabilidade. Justifica-se, sob a alegação dessa permissão legal, o ato de rastrear a
localização de pessoas em situação de perigo com a finalidade exclusiva de sua proteção.
Outros autores também citam como hipótese de grande relevância para justificar o
tratamento pautado na aludida premissa a manipulação de dados fundamentais para conter o
avanço de epidemias ou pandemias, como a recente crise sanitária do coronavírus (TEFFÉ;
VIOLA, 2020).

3.2.3.2.8 Para tutela da saúde

No rol de possibilidades de tratamento previsto na lei dos dados tutela-se ainda o

manuseio de informações pessoais para a garantia da saúde (art. 7°, in. VIII), em procedimento
realizado por profissionais da área ou por entidades sanitárias, uma vez que alguns dados são
indispensáveis para guiar o trabalho da equipe técnica (BRASIL, 2018).
Teffé e Viola (2020) chamam a atenção acerca do cuidado necessário no tratamento
de dados sobre a saúde do titular, os quais são considerados dados sensíveis que possam
implicar em discriminação ou segregação de pessoas se utilizados de maneira inadequada,
conforme o previsto no art. 6°, in. IX.

3.2.3.2.9 Para atender aos interesses legítimos do controlador ou de terceiros

A penúltima base prevista no art. 7°, por sua vez, garante o tratamento de dados quando
necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto quando
confrontarem os direitos e liberdades fundamentais do titular. Para Teffé e Viola (2020), não
há pacificação doutrinária sobre a aplicabilidade da referida hipótese.
 47

De acordo com Rielli e Bioni (2021), a supracitada base legal exprime novidade no
ordenamento jurídico brasileiro, uma vez que até o advento da LGPD, não se verificava o
consentimento como hipótese permissiva para o tratamento de dados pessoais em contextos
específicos, como no exemplo do acesso à internet previsto no Marco Civil (Lei 12.965/14).
Diferente das outras hipóteses previstas na lei, o legislador dedicou o art. 10
exclusivamente para à disciplina do legítimo interesse, o qual contém a indicação de parâmetros
para a sua utilização (Brasil, 2018).
Rielli e Bioni (2021) explicam que, a prioridade legislativa se justifica uma vez que
prevê "uma estratégia para evitar que a relativa flexibilidade da base legal se traduza em um
‘cheque em branco’ na sua operacionalização prática". No entanto, a mesma doutrina entende
que a referida reserva legal enseja a formulação de questionamentos e de interpretações diversas
acerca dos referidos parâmetros.
Por outro lado, compreende-se a necessidade de que haja benefício real por parte do
controlador a fim de justificar o tratamento dos dados fundado no interesse legítimo, de modo
que situação adversa não respaldará a atividade.
Nesse diapasão, Teffé e Viola (2020) citam alguns exemplos de tratamento
fundamentados no legítimo interesse: para a prevenção e controle de fraudes; para garantia de
segurança nos sistemas de informação; para a melhoria de produtos e serviços; para a promoção
de ofertas personalizadas, entre outras.
Em suma, por ser apontada pela doutrina majoritária como a base legal mais flexível
da LGPD, é crível entender que o controlador deva adotar medidas de segurança e de
transparência, como a realização de estudos prévios e a elaboração de relatórios e pareceres
técnicos, com vistas a legitimar a ação de tratamento justificada apenas por seu interesse
(RIELLI; BIONI, 2021).

3.2.3.2.10 Para a proteção do crédito

Por último, está autorizado pelo art. 5°, in. X da LGPD, o processamento de dados
pessoais para proteção do crédito, observadas as disposições da Lei do Cadastro Positivo e o
Código de Defesa do Consumidor. O objetivo desse requisito, para Teffé e Viola (2020, p. 27)
é "facilitar a concessão de crédito, melhorar as análises de risco e impulsionar o mercado de
consumo".
 48

Outro exemplo da aplicação da aludida base legal é a criação de sistemas de pontuação

de crédito, chamados de credit scoring. A pontuação dos titulares é movimentada a partir do
adimplemento de obrigações de pagamento, cuja ausência poderá implicar nas decisões sobre
concessão de crédito por instituições financeiras e também impactar em situações
discriminatórias (TEFFÉ; VIOLA, 2020).

3.2.4 Os Dados Sensíveis

O conceito de dado sensível apresentado por Westin (1972) já expunha uma

preocupação sobre a exposição de dados que, se conhecidos e processados, poderiam ocasionar
algum tipo de discriminação ao seu sujeito titular. Ademais, o mesmo autor já relacionava que
seriam dados sensíveis aqueles relacionados à raça, orientação sexual, crença política ou
religiosa, prontuário médico ou dados genéticos de um indivíduo, similar à concepção
hodiernamente adotada.
Na ótica de Rodotà (2008), a concepção sobre dados sensíveis surge pela necessidade
de maior proteção da privacidade, dessa vez orientada pelo princípio da igualdade material. Não
é errôneo afirmar que o próprio rol destes dados está relacionado com a ideia de que a disposição
e publicização de algumas informações pessoais traduziam grande potencial lesivo aos seus
titulares.
Por conseguinte, novos métodos estatísticos e de análise de dados promoveram que
também informações pessoais genéricas (não sensíveis) pudessem desencadear tanto "um
tratamento discriminatório em si" como também "a dedução ou inferência de dados sensíveis
obtidos a partir de dados pessoais não-sensíveis", acarretando o fenômeno da discriminação a
partir do tratamento de dados pessoais (DONEDA, 2010, p. 27).
A esse respeito, Doneda (2010) cita exemplo prático de tratamento com consequência
discriminatória, como no caso dos testes de personalidade realizados em seleções de emprego.
Os referidos testes passaram a ser duramente criticados pela doutrina da proteção de dados, pois
revelariam ao empregador informações desnecessárias para a finalidade da contratação,
podendo incorrer em critérios discriminatórios entre os participantes.
No tocante à acepção moderna, os dados pessoais sensíveis, nos termos do art. 5, in. II
da LGBD são aqueles
 49

sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato
ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou
à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural
(BRASIL, 2018).

Sobre a atuação do titular em oferecer o seu consentimento para o trato de dados

sensíveis, Bioni (2019) levanta a preocupação sobre os termos escolhidos pelo legislador, onde
se verifica que o tratamento deve ser “específico e destacado”.
A seu turno, o autor faz a crítica dizendo que termo “expresso” seria o mais adequado
para definir o consentimento a ser demonstrado pelo titular, ao dizer:

[...] sob o ponto de vista de técnica legislativa, teria sido melhor que a LGPD tivesse
adotado o adjetivo expresso, tal como fez a GDPR [...]. Esse qualificador [...]
representaria melhor esse nível de participação mais intenso do cidadão no fluxo dos
dados. [No entanto] o que está em jogo é reservar um tipo de autorização singular em
situações igualmente singulares no que tange ao tratamento de dados (BIONI, 2019,
p. 203).

Corroborando o entendimento anterior, Finkelstein e Finkelstein (2019) também

lecionam acerca desse consentimento específico e destacado, o qual deve atender às finalidades
específicas ou determinações judiciais, como também pode servir aos órgãos de pesquisas,
desde que haja comprometimento destes com a não exposição dos titulares dos dados.
Para Teffé e Viola (2020), a referida “manifestação específica” deve ser compreendida
como a materialização da ciência do titular sobre os propósitos do controlador ao realizar o
tratamento de seus dados. O ato do consentimento, para os autores, deve anteceder à coleta e
processamento de qualquer dado sensível.
Acerca do vocábulo "destacado", a doutrina salienta que sua interpretação mais
coerente é a de que o titular deve ter prévio acesso ao documento onde constam destacados os
termos e condições do tratamento de dados, para então proceder, com a declaração de vontade
do ato de consentir, conferindo-lhe o recíproco destaque (TEFFÉ, VIOLA 2020).
Ademais, consoante disciplina a LGPD, são passíveis de tutela específica todo e
qualquer dado sensível ou que a ele possa ser equiparado salvo disposição em contrário, os
quais se erroneamente manipulados podem sujeitar a ocorrência de danos, aplicando-se ao
disposto no art. 11 da referida lei (BRASIL, 2018).
Nessa toada, cabe apontar que as hipóteses autorizadoras do tratamento de dados
sensíveis se assemelham às mesmas bases dedicadas à permissão do tratamento de dados não
 50

sensíveis, não sendo assim consideradas apenas as seguintes hipóteses: para a proteção do
crédito; para atendimento do legítimo interesse do controlador; e, para a realização de atos
contratuais ou pré-contratuais (BRASIL, 2018).
Por fim, cita-se outro exemplo de manipulação de dado sensível apresentado pela
doutrina, o qual pode caracterizar violação da privacidade e ensejar reparação de danos, qual
seja a análise do histórico de compras de uma pessoa em algum estabelecimento comercial ou
o acesso à fatura de cartão de crédito dela, visto que a partir dessas informações é possível obter
outras, como o seu estado de saúde, suas convicções políticas ou sua orientação sexual (TEFFÉ;
VIOLA, 2020).
Em suma, os dados sensíveis demandam de propósito uma tutela diferenciada, em
razão de o seu conteúdo apresentar especificamente questões íntimas dos titulares, cuja
publicização pode acarretar em sérios danos decorrentes do fator discriminatório se forem
manipulados fora da ótica protecionista aspirada pela lei. Ademais, dada a vulnerabilidade do
titular ante o controlador, justifica-se o cuidado especial com as informações que possam lhe
constranger (BIONI, 2019).

3.2.5 Dados de crianças e adolescentes

No que se refere ao processamento de dados pessoais de crianças e adolescentes, a

LGPD conferiu regramento especial, assegurando a esse público todas as garantias e direitos
fundamentais, notadamente o direito à intimidade, vida privada, imagem, nome, lazer e
informação, dentre outras previstas pela Carta Magna e na Convenção dos Direitos Humanos
(BORELLI, 2020).
Nessa esteira, Borelli (2020) ressalta que a lei tem como pressuposto a Doutrina da
Proteção Integral à Criança e ao Adolescente, levando em consideração sempre o interesse do
menor. Deste modo, o tratamento dos respectivos dados é exceção e não regra, com vistas a não
afastar este público das demandas impostas pela sociedade da informação.
Nesse diapasão, o art. 14, § 4º da lei, orienta que das crianças não será exigido o
fornecimento de dados além do necessário para ter sua participação em jogos, aplicações de
internet ou outras atividades, uma vez que pela sua inata condição de vulnerabilidade, é
impossível inferir que seus dados seriam oferecidos de acordo com as acepções de razoabilidade
impostas pela norma (BRASIL, 2018).
 51

Borelli (2020), por sua vez, confirma que todo e qualquer dado relacionado às crianças
e adolescentes deve necessariamente ser tutelado pela LGPD. Portanto, é imperioso que o
agente tratador adote métodos e técnicas adequadas para cada público alvo no tocante à
manipulação de dados, atuando em conformidade com a respectiva faixa etária do titular.
No que tange aos menores de 12 anos, ou seja, as crianças, a própria norma destaca
sobre a necessidade de transparência nos métodos empregados ao tratamento de seus dados, de
modo que se exige o prévio consentimento específico e destacado por pelo menos um dos pais
ou pelo responsável legal (BRASIL, 2018).
Por outro lado, a doutrina questiona sobre a validade do consentimento oferecido por
menor impúbere, cuja situação não foi prevista pela LGPD. Blum (2018) compreende que a
LGPD, ao ser omissa sobre o fato apontado, abre uma exceção à regra da nulidade da Lei Civil,
para a qual são considerados absolutamente incapazes para os atos da vida civil os menores de
16 anos.
Por fim, se faz oportuno apresentar as hipóteses de tratamento dos dados da aludida
categoria que dispensam o consentimento, sendo permitido processar tais informações somente
se necessárias para o atendimento das seguintes ocorrências: contatar os pais ou responsável
legal, cujos dados serão utilizados uma única vez, vedado o seu armazenamento; e para garantir
a proteção da criança, proibido o compartilhamento dos dados com terceiros (BORELLI, 2020).

3.2.6 Personagens da LGPD e suas Atribuições

A LGPD apresenta, em seu artigo 5º, incisos VI, VII, VIII e IX, os personagens
integrantes do fenômeno de coletar, processar, armazenar e administrar dados e informações
pessoais, quais sejam: o controlador, o operador e o encarregado (BRASIL, 2018).
Para Finkelstein e Finkelstein (2019), os agentes do tratamento são aqueles que
realizam manipulação de dados pessoais em qualquer meio, seja físico ou digital, podendo ser
organizações públicas ou privadas e pessoas físicas ou jurídicas. O controlador determina o
tratamento de dados; o operador efetiva o tratamento; e o encarregado é quem se apresenta
perante o órgão fiscalizador.
 52

Ambos, controlador e operador, são responsáveis por garantir a plena segurança das
informações coletadas e tratadas, devendo prevenir os incidentes que afetem a segurança e o
sigilo dos dados, assim como o acesso de terceiros não autorizados (BRASIL, 2018).
Ademais, “em caso de infrações à Lei, os agentes de tratamento poderão responder por
sanções administrativas, que podem variar de advertências a multas” (FINKELSTEIN;
FINKELSTEIN, 2019, p. 296).

3.2.6.1 Controlador

Pela leitura da legislação, considera-se controlador tanto o sujeito pessoa física quanto
a micro empresa ou organização de grande porte, pessoa jurídica de direito público ou privado,
desde que seja agente determinador de atividade de tratamento de dados (MATTOS et al.,
2019).
A seu turno, é a pessoa do controlador o principal tomador das decisões que envolvem
os dados pessoais, definindo os objetivos da coleta, como será feita a abordagem ao titular,
quais dados serão manipulados e quem serão os indivíduos. Conforme Mattos et al. (2019),
também é ele que define por quanto tempo os dados ficarão armazenados e quem poderá
acessá-los.
Sendo o "maior responsável por proteger os dados dos titulares e como consequência
direta, a maior parte das responsabilidades previstas na LGPD também incidirão sobre ele”, o
controlador é, portanto a figura central para onde se aponta as imposições da LGPD (MATTOS
et al., 2019, p. 78).

3.2.6.2 Operador

O operador, como o próprio nome sugere, é aquele que manipula literalmente os dados,
ainda que em nome do controlador, externalizando as condutas típicas regulamentadas pela
LGPD, como a coleta, processamento, armazenamento e guarda de informações pessoais. Para
exercer tal função a LGPD permite que seja pessoa natural ou jurídica, de direito público ou
privado (BRASIL, 2018).
 53

Conforme Mattos et al. (2019, p. 78), o supracitado personagem da LGPD “não

controla os dados e nem pode alterar a finalidade ou o seu uso, limitando-se ao processamento
daqueles em conformidade com as determinações e o propósito designado pelo controlador".
Noutras palavras, ao operador cabe apenas seguir estritamente o que for determinado
pelo agente controlador, uma vez que o exercício de suas atribuições, conforme concepção
extraída a partir de uma interpretação literal da LGPD, não se vislumbra a sua independência
funcional.

3.2.6.3 Encarregado

Por último, a pessoa do encarregado, que também pode ser pessoa física ou jurídica, é
o indicado pelo controlador para, nos termos do art. 41, §3º da LGPD, "atuar como canal de
comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção
de Dados (ANPD)" (MATTOS, et al., 2019, p. 77).
Para Mattos et al. (2019), o encarregado, equiparado ao Data Protection Officer (DPO)
no GDPR, possui a função de receber as manifestações dos sujeitos titulares, dando-lhes os
devidos esclarecimentos e suporte necessários, em obediência às regras e práticas adequadas da
proteção de dados.
Como responsável na comunicação direta com a ANPD, o encarregado deve
recepcionar as demandas e adotar as medidas solicitadas, assessorando e orientando as equipes
dos agentes sobre as recomendações impostas pelo órgão.
3.2.6.4 Atribuições dos agentes
Acerca das competências ou responsabilidades dos agentes de tratamento que estão
positivadas na LGPD, Mattos et al. (2019) menciona as seguintes:

a) observância dos princípios e da garantia dos direitos do titular (art. 7º, § 6º);
b) obter consentimento, quando necessário (art. 7°, § 5°; art. 8°, § 6°);
c) informar e prestar contas;
d) garantir a portabilidade (art. 9°; art. 18; art. 20);
e) garantir a transparência no tratamento por legítimo interesse (art. 10, § 2°);
f) registrar as operações, principalmente as de legítimo interesse (art. 37);
 54

g) elaborar o relatório de impacto à proteção de dados (art. 10; § 3°; art. 38);
h) indicar o encarregado pelo tratamento de dados (art. 41);
i) reparar danos causados por violação à lei (art. 42 e 44, parágrafo único);
j) adotar medidas de segurança, técnicas e administrativas (art. 46);
k) garantir a segurança da informação a respeito dos dados pessoais (art. 47);
l) comunicar a ocorrência de incidente de segurança (art. 48);
m) salvaguardar os direitos dos titulares, adotando providências (art. 48, § 2°);
n) formular regras de boas práticas e de governança no trato de dados (art. 50).

3.2.7 A Autoridade Nacional de Proteção de Dados

Editada em 28 de dezembro de 2018, a Medida Provisória n° 869/2018 instituiu a

Autoridade Nacional de Proteção de Dados (ANPD) cuja finalidade é implementar, resguardar
e fiscalizar o cumprimento dos ditames da LGPD. Tendo em vista a sua relevância, a referida
MP foi convalidada por processo legislativo no dia 03 de junho de 2019, do qual se originou a
Lei n° 13.853/2019.
Aprovada em resposta aos anseios da sociedade por um órgão deliberativo e
fiscalizador das regras ditadas pela LGPD, a Autoridade Nacional surge para equalizar o Brasil
às políticas públicas internacionais de proteção de dados pessoais e outras garantias vinculadas
ao direito à privacidade (FOLLONE; SIMÃO FILHO, 2019).
A seu turno, Bezerra (2019), Menezes et al. (2019) e Rihl (2020), asseveram que a
própria LGPD previu a implementação de um órgão em cujas atribuições figurasse: o dever de
concretizar as normas protecionistas de informações pessoais; a garantia da segurança dos
segredos comerciais e industriais; o sigilo dos dados; e, a autuação de agentes coatores, em caso
de inobservância da lei.
Follone e Simão Filho (2020) complementam o exposto apontando a contribuição do
órgão na persecução da segurança jurídica no que concerne aos atos envolvendo manipulação
de dados. Também se almejava, de acordo com outra doutrina, um ente que fornecesse as
diretrizes básicas para embasar a política nacional dos dados e também que apurasse as
reclamações de violação de suas normas (RIHL, 2020).
Conforme Câmara et al. (2019), vale ressaltar que também é imputado à ANPD o papel
de vistoriar o poder público, Nessa esteira, uma vez verificada a ocorrência de conduta ofensiva
 55

ao sistema de proteção de dados, o órgão deverá notificar a administração pública e adotar

medidas para cessar a prática.
Dentre as medidas está a solicitação para que o órgão violador proceda à confecção de
Relatórios de Impacto e também a sugestão de que sejam adotados padrões adequados para o
tratamento de dados, padrões estes que serão apontados pela Autoridade em sua atividade
regulamentar (CÂMARA, et al., 2019).
Ademais, Menezes et al. (2019) também compreende como uma das atribuições da
ANPD a função de colaborar com as autoridades de controle de proteção de dados de outras
nações, no que concerne à defesa e o exercício de plenos direitos de residentes no estrangeiro.
Como se pode notar, "a LGPD instituiu o órgão como elemento central e fundamental
na interpretação e fiscalização da lei", o qual desempenha o papel de "orientar, por meio de seu
corpo técnico especializado, todos os agentes da sociedade" (MENEZES et al., 2019, p. 86).
No que compete à autonomia do ente, a priori concebia-se pela necessidade de um
órgão independente e com personalidade jurídica própria. Não obstante, com a justificativa de
contenção de gastos, o representante do poder executivo federal concebeu a ANPD como órgão
da administração pública, integrante da Presidência da República, imputando-lhe apenas
autonomia técnica (MENEZES, et al., 2019).
Oportunamente, Rielli e Bioni (2021) apresentam o primeiro ato institucional
praticado pelo órgão em janeiro de 2021, qual seja a publicação da sua agenda regulatória para
os próximos dois anos, onde se apresenta a pauta regulatória do biênio e seus respectivos prazos
de implementação. Dentre os temas listados encontra-se a previsão de normatizar a
comunicação de incidentes de segurança e a elaboração de um guia de boas práticas sobre as
bases legais previstas na LGPD.
Em suma, o aludido órgão é o componente principal para a garantia da plena execução
da Política Nacional de Proteção de Dados Pessoais e da Privacidade, visto que sua função
compreende deliberar e normatizar preceitos elencados na LGPD, bem como fiscalizar e
penalizar agentes violadores da referida política.

3.2.7.1 O Relatório de Impacto à Proteção de Dados e sua obrigatoriedade

Conforme demonstrado anteriormente, a Autoridade Nacional poderá requisitar a

produção de documentos nos quais se registre a repercussão do processamento das informações
 56

pessoais, cuja necessidade se concebe a partir do risco apresentado pela atividade. Trata-se do
Relatório de Impacto à Proteção de Dados Pessoais (RIPDP), cuja definição encontra-se no art.
5°, in. XVII, da LGPD:

(...) documentação do controlador que contém a descrição dos processos de tratamento

de dados pessoais que podem gerar riscos às liberdades civis e aos direitos
fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco
(BRASIL, 2018).

De acordo com Bioni e Dias (2020), o referido relatório tem papel de destaque no
aprimoramento da política de privacidade dos dados, cuja utilização, segundo os autores, está
vinculada às atividades de tratamento que apresentem "alto risco", ainda que tal previsão possa
ocasionar a relativização da responsabilidade civil do agente.
Não obstante, a legislação protetiva de dados, em seu art. 10, § 3º, orienta que a ANPD
"(...) poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando
o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial
e industrial" (BRASIL, 2018, grifo nosso).
Noutras palavras, tendo em vista a hipótese de tratamento com requisito previsto no
art. 6°, in. VII, da LGPD, recomenda-se a produção antecipada dos RIPDP com vistas à garantia
do sigilo das informações (BIONI; DIAS, 2020).
Significa dizer que, pela omissão legislativa sobre o alcance da referida base legal,
justifica-se a realização de estudos preliminares sobre os possíveis impactos das ações de coleta,
processamento e armazenamento de dados pessoais, com a produção de relatórios onde sejam
demonstradas as consequências dessas atividades, a fim de diminuir os riscos de incidentes de
segurança da privacidade.
A seu turno, Leonardi (apud TEFFÉ; VIOLA, 2020), interpreta que o vocábulo
"poderá", constante no dispositivo supracitado, confere obrigatoriedade na redação do aludido
relatório nas ações de tratamento fundadas no legítimo interesse, facultando apenas à ANPD a
requisição para que os mesmos sejam publicizados.
Por outro lado, o art. 38 da mesma lei disciplina que a ANPD "poderá determinar ao
controlador que elabore" tal relatório, o que, segundo Teffé e Viola (2020), não torna sua
produção como ato vinculado a toda e qualquer modalidade de tratamento de dados, mas apenas
ao tratamento cuja base seja o interesse legítimo do controlador. Compreende-se, portanto, que
 57

sua aplicabilidade, assim como insuficiente na legislação, carece de apontamentos pela

doutrina.

3.2.8 Responsabilidade Civil

O instrumental de Direito Civil do ordenamento jurídico brasileiro leciona, em seu art.

186, que "Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar
direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito" (BRASIL,
2002).
Nessa esteira, é compreensível que se for verificada a ocorrência de ato ilícito, é justo
esperar pela responsabilidade do agente praticante. Acerca do tema, Venosa (2003, p. 1) aduz
que:

O termo responsabilidade é utilizado em qualquer situação na qual alguma pessoa,

natural ou jurídica, deva arcar com as consequências de um ato, fato ou negócio
danoso. Sob essa noção, toda atividade humana, portanto, pode acarretar o dever de
indenizar.

Diniz (2005), por sua vez, orienta que a De da responsabilidade civil "requer prejuízo
a terceiro, particular ou Estado, de modo que a vítima poderá pedir reparação do dano, traduzida
na recomposição do statu quo ante ou em uma importância em dinheiro" (DINIZ, 2005, p. 200).
A respeito da responsabilidade aplicada à proteção de dados, alguns autores
compreendem que as normas jurídicas devem ser interpretadas em conformidade com a nova
era do direito digital, mas também sistematizadas com o Código Civil vigente, que é fonte
irradiadora de princípios e regras do direito privado.
Nessa esteira, Novakoski e Naspolini (2020) defendem que deve ser aplicada à
proteção de dados disciplinada pela LGPD a teoria do risco da atividade de tratamento, sendo
pois, a responsabilidade civil objetiva a interpretação mais coerente com a norma.
Segundo os Moraes (2019), quem refuta a teoria do risco na LGPD o faz por temer as
consequências da modernização nas relações humanas. No entanto, este problema já havia sido
levantado na discussão de outros regramentos, como o CDC, e mesmo assim não fez recuar os
estímulos à inovação e ao desenvolvimento tecnológico, ao contrário, criou segurança jurídica
para a sociedade da informação.
 58

Sobre a teoria do risco na sociedade da informação, Tasso (2020) explica que a

concepção de reparação de danos pautada na culpa, até então aceita pela doutrina, passou a ser
insuficiente ante os anseios da sociedade por uma proteção maior a vítima, notadamente no
tocante ao seu direito fundamental de privacidade. Isso justifica a corrente doutrinária da
responsabilização civil objetiva na LGPD.
Outrossim, a literatura defende que o objeto central da norma seja justamente a
limitação da atividade de tratamento para o mínimo necessário, a fim de diminuir os riscos de
incidentes. Ademais, essas limitações, em conjunto com outras regras delimitadoras previstas
na lei, reforçam seu escopo moderador, embasando a acepção de uma responsabilidade objetiva
(MENDES; DONEDA, 2018).
Não obstante, Bruno (2019), que também compreende a responsabilidade objetiva
como forma mais adequada para reparação de danos decorrentes de violação a LGPD, assim o
faz se baseando no regime adotado pela legislação consumerista. Contudo, o autor indica
preocupação sobre essa dialógica entre os sistemas, a qual pode ocasionar a banalização do
instituto se toda e qualquer situação for categorizada como atividade de risco.
Em lado oposto, Bioni e Dias (2020) compreendem que o previsto na LGPD, cuja
redação foi gradualmente formulada até a versão final do texto, aponta algumas hipóteses
excludentes de responsabilidade civil. Segundo os autores, os projetos anteriores não definiam
com exatidão o ato ilícito praticado contra os ditames da proteção de dados, de modo que a
viabilizar a responsabilidade dos agentes.
Nesse diapasão, a própria legislação prevê, em seu art. 42, in. II, que o tratamento de
dados pode ser legitimado se este não ofender ao disposto na LGPD. Também se encontra no
dispositivo legal norma relativizando a violação da segurança dos dados, inclusive afastando a
responsabilidade do agente nos casos em que forem adotadas as medidas preventivas adequadas
(BRASIL, 2018).
Capanema (2020), Bioni e Dias (2020), indicam duas situações de responsabilidade
civil previstas na LGPD: a violação da legislação e a violação de normas técnicas. No entanto,
os autores entendem como desnecessária essa bifurcação, uma vez que ambas as situações têm
como consequência o dever de indenizar e ambas traduzem a ampla noção de tratamento
irregular.
Acerca do tratamento irregular, Bioni e Dias criticam essa dubiedade na redação da
lei, a qual se aproxima mais da violação da segurança, o que, para os autores, pode causar
 59

impactos materiais relevantes. Capanema (2020, p. 165), por sua vez, concebe a
responsabilidade somente se a afronta à norma técnica ou jurídica “ocasionar dano material ou
moral a um titular ou a uma coletividade”.
Ademais, Bioni e Dias (2020) reforçam a sua compreensão sobre a subjetividade
considerada pela norma se baseando no próprio instrumento normativo, elencando o princípio
da transparência, a indicação para confecção de relatórios e a capacitação de equipes com vistas
às boas práticas de governança de dados, como teses que dão embasamento à teoria do regime
subjetivo.
Acompanhando os autores supracitados, Tasso (2020) concorda que o sistema adotado
pela LGPD está amparado e em harmonia com a matriz principiológica civilista (Código Civil),
cuja regra geral é a responsabilidade subjetiva, salvo em situações de atividade de risco, assim
definidas por cláusula geral, como nos termos previstos pelo CDC.
Em termos de responsabilidade, a LGPD também contraria o previsto no CDC.
Segundo o autor, a seção III do capítulo VI da LGPD expressa clara diferença do sistema
consumerista, de modo que "positiva a existência de um regime próprio às relações jurídicas
que envolvem tratamento de dados". Corroborando o aludido, caso haja cumprimento de
deveres e de diligências impostas pela LGPD, exclui-se a responsabilidade civil (TASSO, 2020,
p. 113).
Conforme se pode demonstrar, parte da doutrina entende ser a responsabilidade civil
subjetiva a mais coerente, tendo em vista a concepção do elemento culpa para que seja imputada
sanção ao agente, e a atribuição de deveres pela norma, que implicam jurídica e logicamente na
avaliação subjetiva do agente de tratamento (GUEDES; MEIRELES, 2019).
Paralelamente, há quem conceba outro modelo de reparação adotado pela LGPD, que
segundo Moraes (2019), denomina-se de responsabilização ativa ou proativa. Esse modelo tem
em seu cerne não a reparação mas sim a prevenção eficaz de danos, traduzindo o conceito de
prestação de contas e accountability (transparência), sendo encontrado no in. X do art. 6° da
LGPD sob a determinação de, além da observância da lei, a adoção de medidas preventivas.
Em suma, como se pode notar, não há pacificação doutrinária acerca da categoria de
responsabilidade imposta pela norma, se do tipo objetiva, ou seja, aquela fundada na teoria do
risco da atividade praticada pelos controladores de dados; se do tipo subjetiva, aquela na qual
se leva em consideração o critério da culpa para que seja imputada a responsabilização do
 60

agente de tratamento; ou se do tipo ativa ou proativa, pautada principalmente na prevenção de

danos eventuais.

3.2.8.1 O Processo Administrativo e Sanções Aplicáveis

Para que apure o ato danoso ou ilícito ou qualquer afronta às normas da LGPD, se faz
necessária a abertura de processo administrativo, obedecidas as garantias constitucionais do
processo legal, da presunção de inocência, do direito à ampla defesa e ao contraditório, do
princípio da decisão motivada e do instituto da prescrição (BIONI; DIAS, 2020).
Nesse contexto, Bioni e Dias (2020) orientam que cabe ao titular, afetado por prática
ilícita, alegar e provar: que houve o tratamento de seus dados pessoais, que sofreu dano e que
esse dano aconteceu em decorrência do tratamento, ainda que não tenha sido feito pelo
controlador.
No tocante à comprovação dos fatos, a doutrina entende que caso se verifique
verossimilhança na alegação da vítima, ou seja constatada a hipossuficiência da parte lesada
para a produção de provas, ou ainda a apresentação dessas provas seja excessivamente onerosa,
o magistrado poderá aplicar a inversão do ônus probatório em relação à todas as situações aqui
elencadas (BIONI; DIAS, 2020).
Para Teixeira e Armelin (2020), a aferição da hipossuficiência é amplamente possível
na sociedade do Big Data, uma vez que há constante categorização de indivíduos pela massiva
e desnecessária coleta de seus dados. Como se pode notar, não há equilíbrio na relação uma vez
que o titular não seja cientificado sobre os métodos de processamento utilizados em seus dados
e qual a sua finalidade.
Deste modo, as empresas ou organizações, definidas pela lei como controladores e
operadores, independente do gerenciamento de dados ser físico ou digital, deverão se adequar
ao novo regramento estabelecido pela lei de dados, sob pena de lhes serem imputadas as
medidas expostas no art. 52 da LGPD, e aplicadas pela ANPD, conforme a seguir:

a) advertência, com a indicação de prazo para a adoção de medidas corretivas;

b) multa de até 2% do faturamento da pessoa jurídica, limitada a R$ 50 milhões;
c) multa diária até o limite de R$ 50 milhões;
d) publicização da infração;
 61

e) bloqueio e eliminação dos dados que motivaram a infração;

f) suspensão parcial do funcionamento e da atividade do banco de dados;
g) proibição parcial ou total da atividade de tratamento de dados.

É oportuno ressaltar que, de acordo com a LGPD, as referidas imposições podem ser
aplicadas cumulativamente dentro dos limites de razoabilidade e proporcionalidade ainda
pendentes de orientação pela doutrina. Outrossim, também caberá indenização ao titular de
dados se ocorrer violação da segurança destes por terceiros (BRASIL, 2018).
Deste modo, haverá responsabilidade solidária entre os agentes controladores e
operadores nas operações que o incorrerem em danos decorrentes de descumprimento das
regras da LGPD, notadamente às medidas de segurança e inadequação às boas práticas de
governança, previstas nos artigos 50 e 51 do instrumento legal (BIONI; DIAS, 2020).
Vale ratificar que, no que concerne à apuração do fato danoso e a interpretação e
aplicação das sanções acima elencadas, a LGPD apontou expressamente que tal competência é
atribuição exclusiva da ANPD, devendo ser realizada após o procedimento administrativo em
que sejam resguardadas as garantias constitucionais.

3.3 CONSTITUCIONALIZAÇÃO DA PROTEÇÃO DE DADOS E A PEC 17/2019

Conforme foi explanado no decorrer da presente pesquisa, o tratamento de dados

pessoais, especialmente através de processos automatizados, é uma atividade de risco que
justifica a necessidade de instrumentos que a regulamente. Não é atoa que se concebe a proteção
de dados como uma ferramenta indispensável para garantir e efetivar a liberdade das pessoas
na sociedade da informação (DONEDA, 2010).
Sarlet (2015, p. 199) leciona que, uma vez garantido ao titular o direito de ter acesso e
conhecimento acerca do processamento e armazenamento de suas informações pessoais em
bancos de dados, é coerente compreender o direito à proteção de dados como “um direito
fundamental implícito”.
 62

Na mesma esteira, Follone e Simão Filho (2020) argumentam que a inovação nos
padrões de relacionamento provocada pela tecnologia, somada com a consequente
supervalorização dos dados pessoais em virtude de novas formas de abordagem às pessoas nos
meios de comunicação, impactaram sobremaneira a concepção da privacidade em razão das
várias possibilidades de sua violação que foram surgindo.
Conforme os autores, a Lei Geral de Proteção de Dados foi editada e aprovada como
forma de regulamentar o novo modelo das relações sociais, cujo advento evidencia o status
positivo da proteção dos dados equiparando-a a tutela da dignidade da pessoa humana, a qual
deve ser garantida pelo Estado através da edição de normas e da promoção de políticas públicas
pertinentes (FOLLONE; SIMÃO FILHO, 2020).
Corroborando o mesmo raciocínio, que concebe a proteção de dados como direito
fundamental, foi elaborada e apresentada para votação a Proposta de Emenda Constitucional
(PEC 17/2019), cuja aprovação lhe condiciona digna de elevação ao patamar constitucional
mediante previsão explícita na Carta Magna.
A referida proposta, aprovada por unanimidade no Senado e pendente de votação na
Câmara dos Deputados, confirma a importância da LGPD e sugere acrescentar os incisos XII-
A e XXX aos arts. 5º e 22 respectivamente, incluindo a proteção de dados no rol de direitos
fundamentais e fixando a competência privativa da União para legislar sobre a matéria (TASSO,
2020).
A PEC 17/2019 é de autoria do Senador Eduardo Gomes e foi apresentada em março
de 2019 sob duas perspectivas, as quais foram listadas por Follone e Simão Filho (2020):
primeiramente pela necessidade de uniformização do ordenamento jurídico acerca da proteção
e tratamento de dados, dando maior relevância à LGPD; e também sob a ótica de prevenir os
problemas de compatibilidade e adequação por pluralidade de normas ao uniformizar o aplicado
por todos os entes, em virtude da sugerida privação da competência legislativa.

3.4 A MP 954/2020 E O VOTO DA MINISTRA ROSA WEBER NA ADI 6.387

Em 17 de Abril de 2020, a Presidência da República editou a Medida Provisória (MP)

954/2020, determinando às operadoras de telefonia o compartilhamento de dados pessoais de
 63

seus clientes ao Instituto Brasileiro de Geografia e Estatística (IBGE), como nomes, números
de telefone e endereços, a fim de possibilitar a realização de pesquisas relacionadas a
quarentena desencadeada pela crise global do novo coronavírus (BESSA, 2020).
A referida MP, não recepcionada pela comunidade, foi confrontada ao Supremo
Tribunal Federal (STF) por cinco Ações Direta de Inconstitucionalidade (ADI), promovidas
pelo Conselho Federal da Ordem dos Advogados do Brasil e alguns partidos políticos (PSDB,
PSB, Psol e PCdoB), as quais foram reunidas para julgamento na primeira ação proposta, a ADI
6.387, cujo sorteio definiu a Ministra Rosa Weber como relatora do caso (BRASIL, 2020).
A fim de introduzir o teor do julgamento, é imperioso apresentar um trecho da
sustentação oral realizada pela convidada como Amicus Curiae, a instituição Data Privacy
Brasil, representada pelo professor Bioni (2020), segundo o qual:

Este Supremo Tribunal Federal tem uma oportunidade histórica de extrair um novo
direito fundamental, o direito à proteção de dados pessoais. Esse novo direito pode
ser, sim, extraído do texto constitucional, mas para tanto é necessário localizá-lo
topograficamente e dogmaticamente de forma adequada no quadro de direitos
fundamentais do artigo 5º.

Em apreciação da Medida Cautelar, a relatora do caso identificou que a norma

impugnada não apresentou de forma clara o objeto, a finalidade e a amplitude das estatísticas
que seriam produzidas através da pesquisa realizada pelo IBGE (BRASIL, 2020).
O voto ratificado pela ministra em sessão plenária também ponderou que não ficou
demonstrada alguma justificativa que se relacionasse com a política de enfrentamento da
pandemia, nem tampouco se evidenciou interesse público que legitimasse o compartilhamento
dos dados dos usuários (PALHARES et al., 2020).
A Ministra constatou inclusive que não foram arroladas no texto da MP quais seriam
as técnicas de manuseio dos dados, de maneira que não foi possível aferir os requisitos de
adequação e necessidade do tratamento em conformidade com a finalidade pretendida
(BRASIL, 2020).
Oportunamente, percebeu-se a ausência de definição dos mecanismos garantidores da
segurança da Informação, visto que a Medida se resumiu a delegar a referida conduta ao
presidente do IBGE, restando omissa quanto às regras a serem observadas (BRASIL, 2020).
Rosa Weber também apontou a vacatio legis da LGPD como forma de corroborar a
decisão, uma vez que sua vigência possibilitaria que os agentes causadores de danos decorrentes
 64

do mau uso ou de vazamentos de informações confidenciais fossem responsabilizados, tendo

em vista haver previsão legal neste sentido (BRASIL, 2020).
Ademais, o parecer da Relatora citou a existência de inúmeras emendas para aprimorar
a MP, cuja redação original não previa o cumprimento de determinações básicas à manipulação
de dados, como a elaboração de relatórios, o dever de transparência nas atividades de tratamento
e a adoção de medidas preventivas de incidentes, o que só escancarou a inadequação e a
precariedade do instrumento normativo, cuja permissão atacaria direitos básicos dos indivíduos
(BRASIL, 2020).
Ao concluir o seu voto, a ministra também pontuou que não duvida da legitimidade e
relevância do trabalho realizado pelo IBGE. No entanto, ponderou que a elaboração de
instrumentos normativos e demais atos que versem sobre direitos fundamentais deve obedecer
aos requisitos mínimos de adequação constitucional, cujo fato “não pode ser lido como
embaraço à atividade estatal" (BRASIL, 2020).
Acompanhando a Relatora, o ministro Alexandre de Moraes destacou a inobservância
da proporcionalidade e razoabilidade na edição da MP. Luiz Roberto Barroso, por sua vez,
acrescentou a observação de não terem sido promovidos debates sobre o tema perante a
sociedade geral, antes da providência presidencial (IBET, 2020).
O Ministro Gilmar Mendes, aderindo à corrente pela invalidação da MP e cujo voto
ressaltou imperiosamente a proteção de dados, pontuou que o regulamento sanitário
internacional publicado pela Organização Mundial da Saúde (OMS), e integrado à lei brasileira
pelo Decreto 10.212/2020, "afasta a possibilidade de processamentos de dados desnecessários
e incompatíveis com o propósito de avaliação e manejo dos riscos à saúde" (IBET, 2020, n. p.).
Na oportunidade, também ratificaram a decisão preliminar os ministros Celso de
Mello, Cármen Lúcia, Edson Fachin, Luiz Fux, Ricardo Lewandowski, e o então presidente da
Corte, o ministro Dias Toffoli. O único a votar de maneira divergente foi o Ministro Marco
Aurélio, argumentando a ausência de apreciação da MP pelo Congresso Nacional, o qual
segundo o Ministro avaliaria a conveniência e oportunidade do exposto no ato emanado pelo
poder executivo (IBET, 2020).
Em suma, ao referendar a posição da Ministra Relatora, a Suprema Corte do Brasil
reconheceu a inconstitucionalidade da norma contestada e declinou pela manutenção da
suspensão de sua eficácia, decretada cautelarmente por Rosa Weber em seu julgamento
preliminar (BRASIL, 2020).
 65

Em outros termos, seguindo a corrente discursiva que pugna pela inviolabilidade da

intimidade, da vida privada, da honra e da imagem das pessoas como fundamento do indivíduo
para determinar e controlar, frente ao Estado, a utilização dos seus dados, o plenário do STF
conferiu legitimidade às ADIs ao reconhecer a tutela requerida pelas entidades postulantes
como direito autônomo e independente a ser garantido pela Constituição (BRASIL, 2020).
 66

CONSIDERAÇÕES FINAIS

Durante a elaboração do presente estudo, buscou-se compreender, por meio de análise

bibliográfica da revisão de literatura e da interpretação sistemática da lei, qual a proposta
normativa apresentada pela Lei Geral de Proteção de Dados (LGPD), a Lei nº 13.709/18.
Compreendeu-se que a referida norma condensou o poder do titular de dados, ratificando o seu
direito à autodeterminação informativa e compatibilizando as normas previstas pelo sistema
consumerista.
É oportuno apresentar que as supracitadas ações aumentaram a confiança da sociedade
no tratamento de seus dados pessoais, confiança esta que estava abalada em razão de alguns
escândalos internacionais envolvendo violação de dados. É mister ponderar que, apesar de ser
considerada atividade de risco para alguns autores, o processamento de dados pessoais ainda se
mostra necessário em algumas situações, cujas hipóteses de autorização foram arroladas e
disciplinadas pela lei.
No mesmo contexto, a LGPD uniformizou as regras jurídicas sobre a proteção de
dados pessoais, cujo conceito era deficiente no ordenamento jurídico. Ainda que fosse tratado
por leis esparsas e sistemas mais completos, como o Marco Civil e o CDC, a disciplina da
LGPD harmonizou os diplomas legais e ampliou a proteção não somente para o campo digital,
mas também para o meio off-line, através de regras transversais.
Por outro lado, a edição da norma promoveu a diplomacia e a cooperação internacional
do Brasil com outras nações mais avançadas em termos de proteção das garantias individuais,
em virtude de uma modernização legislativa que visa a proteção de direitos básicos e
cotidianamente expostos, como direito à privacidade.
Outrossim, notou-se a importância da lei ao ter sido levantada como fundamento em
votos exarados pelos Ministros do STF, no julgamento de ADI proposta por representantes de
classe e sociedade civil, após se constatar o risco de violação da privacidade em atividades
inicialmente categorizadas como de interesse público, como as pesquisas e elaboração de
estatísticas pelo IBGE.
Ademais, em virtude da vigência da lei ter se iniciado muito recentemente, observou-
se a disposição de poucas referências bibliográficas sobre alguns pontos da norma, o que
justifica necessidade de ampliar a discussão acadêmica sobre o tema. Também constatou-se
 67

haver preceitos jurídicos relevantes ainda pendentes de pacificação doutrinária - como a

definição e alcance da base legal do legítimo interesse - cujos debates estão em pauta para sejam
formados precedentes jurídicos legítimos, garantindo que a norma tenha sua aplicabilidade e
eficiência maximizadas.
Em suma, concebeu-se que a reafirmação de um direito fundamental à proteção de
dados, pela edição da LGPD e pelo precedente criado pela Suprema Corte, oferece a segurança
jurídica essencial nas relações entre pessoas e empresas na sociedade da Informação, atendendo
aos anseios do novo modelo do mercado de consumo.
Por fim, em razão do momento histórico o qual se vive a população mundial,
desencadeado pela pandemia do novo coronavírus, evidenciou-se os novos padrões de
relacionamento com novos modelos de interação social, decorrentes da necessidade de
isolamento das pessoas. Com isso, abriu-se um leque de possibilidades de estudos muito
relevantes, como por exemplo a realização de pesquisas sobre o impacto do isolamento social
relacionado com a maior exposição da vida íntima das pessoas e de seus dados na rede mundial
de computadores, e quais os mecanismos legais para prevenção de riscos e danos.
A repercussão da nova Lei ainda é incerta; a sua eficácia, da mesma maneira, é
desconhecida. Espera-se que, de fato, o papel de guarida à personalidade, em tempos de
prospecção e exploração exponencial de dados pessoais, possa ser por ela desempenhado. Isso,
contudo, somente o tempo e a aplicação constante dos enunciados normativos do referido
diploma legal poderão demonstrar. Notoriamente, deve-se considerar, ainda, não se tratar de
um microssistema de proteção de dados pessoais, mas, sim, de um roteiro normativo amplo, de
importância cabal e manifesta sobre a matéria, a ser interpretado e aplicado à luz da cláusula
geral da dignidade humana, e, da mesma forma, se assim for necessário, em conjunto com
outras leis específicas que envolvam a matéria, partindo sempre da axiologia central da
Constituição Federal e da tutela das situações existenciais no caso concreto.
É evidente, portanto, sob qualquer aspecto, a insuficiência dos termos do art. 21 do CC
para tutelar todos os matizes da tutela da privacidade, diante de um ,cenário atual de
desenvolvimento dos bancos de dados, das técnicas disruptivas de captação, catalogação e
tratamento de dados, propulsionadas por algoritmos específicos, por mecanismos de big data e
de análise preditiva de padrão de atuação no mercado de consumo, entre outros instrumentos
que se utilizam dos dados como combustível para seguir com a aceleração da atividade
 68

econômica. Mecanismos de tutela da privacidade tornam-se, portanto, a cada dia mais

relevantes.
Importante destacar, que, em que pese haver a partir de agosto de 2020 uma legislação
regulamentando o tema, o cidadão precisa ter ciência do valor de seus dados e da importância
que possuem para o mercado. Para tanto, são importantes ações de conscientização e ampla
divulgação da legislação, visando manter o cidadão informado. Toda mudança de paradigma
requer esforço. Para que haja resultado e que a legislação realmente seja adequadamente
aplicada e amplamente observada é imprescindível que haja uma mudança de cultura, onde
todos os envolvidos no processo de tratamento de dados pessoais se adequem à legislação e que
seus titulares acompanhem atentamente as mudanças, cientes de suas implicações em caso de
inobservância.
A privacidade e a proteção de dados pessoais têm ganhado cada vez mais tração no
debate jurídico no Brasil, seja na arena do Judiciário (cita-se, por exemplo, o julgamento
histórico do caso IBGE, em que se reconheceu a proteção de dados como direito fundamental
autônomo), por meio da produção acadêmica, ou, ainda, como um produto da prática jurídica
cotidiana de profissionais que buscam aplicar a Lei nº 13.709/18 (Lei Geral de Proteção de
Dados) e construir interpretações em torno de pontos que a norma deixou em aberto ou cujo
texto dá margem a diferentes leituras.
 69

REFERÊNCIAS

ALMEIDA, Ana Carolina Brito de; VERONA, Letícia Dias; CAMPOS, Maria Luiza Machado; BAIÃO,
Fernanda Araújo. LGPD em Ambientes de Bancos de Dados nas Organizações. VI Escola Regional de
Sistemas de Informação. Cap 3, p. 68-108. Rio de Janeiro: 2019. Disponível em:
https://sol.sbc.org.br/livros/index.php/sbc/catalog/view/39/163/333-1. Acesso em: 09 jan. 2021.

BEZERRA, Maria Ruth B. Autoridade Nacional de Proteção de Dados Pessoais: a importância do modelo
institucional independente para a efetividade da lei. Revista Caderno Virtual. IDP. V. 2, n. 44, abr/jun 2019.
Disponível em: https://www.portaldeperiodicos.idp.edu.br/cadernovirtual/article/view/3828. Acesso em: 28 fev.
2021.

BESSA, Leonardo Roscoe. A LGPD e o direito à autodeterminação informativa. 2020. Disponível em:
http://genjuridico.com.br/2020/10/26/lgpd-direito-autodeterminacao-informativa/. Acesso em: 27 fev. 2021.

BIONI, Bruno Ricardo. De 2010 a 2018: a discussão brasileira sobre uma lei geral de proteção de dados.
Jota. 02 jul. 2018. Disponível em: https://www.jota.info/opiniao-e-analise/colunas/agenda-da-privacidade-e-da-
protecao-de-dados/de-2010-a-2018-a-discussao-brasileira-sobre-uma-lei-geral-de-protecao-de-dados-02072018.
Acesso em: 26 fev. 2021.

BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro:
Forense, 2019.

BIONI, Bruno Ricardo. Bruno Bioni realiza sustentação oral no STF por ocasião do julgamento da ADI
6387. 2020. Disponível em: https://brunobioni.com.br/blog/namidia/bruno-bioni-realiza-sustentacao-oral-no-stf-
por-ocasiao-do-julgamento-da-adi-6387/. Acesso em: 11 abr. 2021.

BLUM, Renato Opice. Polêmica na proteção de dados de crianças e adolescentes. O Estadão. 19 dez. 2018.
Disponível em: https://bit.ly/37g86Mj. Acesso em: 25 fev. 2021.

BORELLI, Alessandra. O tratamento de dados de crianças e adolescentes no âmbito da Lei Geral de

Proteção de Dados brasileira. Cadernos Jurídicos: Direito Digital e proteção de dados pessoais, ano 21, n. 53,
São Paulo, jan./mar. 2020, p. 179-190. Disponível em:
http://www.tjsp.jus.br/download/EPM/Publicacoes/CadernosJuridicos/ii_8_o_tratamento_de_dados.pdf?d=6372
50348921212362. Acesso em: 12 jan. 2021.

BRASIL. Constituição da República Federativa do Brasil (1988). Disponível em:

http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 26 fev. 2021.

BRASIL. Lei do Habeas Data. Lei n. 9.507, de 12 de novembro de 1997. Disponível em:
http://www.planalto.gov.br/ccivil_03/leis/l9507.htm. Acesso em: 08 mar. 2021.

BRASIL. Lei Geral de Proteção de Dados. Lei n. 13.709, de 14 de agosto de 2018. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 28 fev. 2021.

BRASIL. Código Civil. Lei n. 10.406, de 10 de janeiro de 2002. Disponível em:

http://www.planalto.gov.br/ccivil_03/leis/2002/l10406.htm. Acesso em: 26 fev. 2021.

BRASIL. Código de Defesa do Consumidor. Lei n. 8.078, de 11 de setembro de 1990. Disponível em:
http://www.planalto.gov.br/ccivil_03/leis/l8078.htm. Acesso em: 26 fev. 2021.

BRASIL. Marco Civil da Internet. Lei n. 12.965, de 23 de abril de 2014. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 26 fev. 2021.
 70

BRASIL. MC ADI n. 6387. STF. 2020. Disponível em:

http://www.stf.jus.br/arquivo/cms/noticiaNoticiaStf/anexo/ADI6387MC.pdf. Acesso em: 02 mar. 2021.

BRASIL. Ministra Rosa Weber solicita informações ao IBGE e à Anatel sobre compartilhamento de
dados. STF. 2020. Disponível em:
http://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=441973&ori=1. Acesso em: 02 mar. 2021.

BRASIL. MP n. 869, de 27 de dezembro de 2018. Disponível em:

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Mpv/mpv869.htm. Acesso em: 05 mar. 2021.

BRASIL. PEC n. 17/2019. Disponível em: https://bit.ly/2RgVmzz. Acesso em: 04 fev. 2021.

BRASIL. MP n. 959, de 29 de abril de 2020. Disponível em:

http://www.in.gov.br/web/dou/-/medida-provisoria-n-959-de-29-de-abril-de-2020-254499639. Acesso em: 28
fev. 2021.

BRASIL. PL n. 1.179/2020. Disponível em:

https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2247564. Acesso em: 28 fev.
2021.

BRUNO, Marcos Gomes da Silva. Dos agentes de tratamento de dados pessoais. In: MALDONADO, Viviane
Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. São Paulo: Revista dos
Tribunais, 2019.

CÂMARA, Amália et al. Compartilhamento de dados pelo poder público para entidades privadas. Cap. 4.
Comissão de direito da tecnologia e da informação/OAB-PE. O que estão fazendo com os meus dados? A
importância da Lei Geral de Proteção de Dados. Recife: Serifa Fina, 2019. Disponível em:
https://oabpe.org.br/wp-content/uploads/2019/12/E-BOOK-LIVRO-DEBATE-OAB.pdf. Acesso em: 07 mar.
2021.

CAPANEMA, Walter Aranha. A responsabilidade civil na Lei Geral de Proteção de Dados. Cadernos
Jurídicos: Direito Digital e proteção de dados pessoais, ano 21, n. 53, São Paulo, jan./mar. 2020, p. 163-170.
Disponível em:
http://www.tjsp.jus.br/download/EPM/Publicacoes/CadernosJuridicos/ii_6_a_responsabilidade_civil.pdf?d=637
250347559005712. Acesso em: 22 jan. 2021.

DINIZ, Maria Helena. Curso de Direito Civil Brasileiro: Teoria Geral do Direito Civil. São Paulo: Saraiva,
1982.

DINIZ, Maria Helena. Dicionário jurídico. 2. ed. São Paulo: Saraiva, 2005.

DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006.

DONEDA, Danilo. A proteção de dados pessoais nas relações de consumo: para além da informação
creditícia. Brasília: SDE/DPDC, 2010.

DONEDA, Danilo; MENDES, Laura Schertel. Comentário à nova lei de proteção de dados (Lei
13.709/2018): o novo paradigma da proteção de dados no Brasil. v. 120, p. 555-587. São Paulo: Revista de
Direito do Consumidor, 2018.

DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei Geral de
Proteção de Dados. 2. ed. São Paulo: Thomson Reuters Brasil, 2019.

DWORKIN, Ronald. Levando os direitos a sério. São Paulo: Martins Fontes, 2002.
 71

ENTENDA o caso de Edward Snowden, que revelou espionagem dos EUA: procurado pelos Estados Unidos,
ex-técnico da CIA obteve asilo da Rússia. Caso gerou crise para o governo Obama e debate sobre
privacidade online. G1. São Paulo, 14 fevl. 2014. Disponível em:
http://g1.globo.com/mundo/noticia/2013/07/entenda-o-caso-de-edward-snowden-que-revelou-espionagem-dos-
eua.html. Acesso em: 20 mar. 2021.

FERNANDES, Micaela Barros Barcelos; OLIVEIRA, Camila Helena Melchior Baptista de. O artigo 20 da
LGPD e os desafios interpretativos ao direito à revisão das decisões dos agentes de tratamento pelos
titulares de dados. Revista de Direito e as Novas Tecnologias, vol. 8. Revista dos Tribunais, 2020. Disponível
em: https://www.revistadostribunais.com.br/maf/app/widget/delivery/document. Acesso em: 28 fev. 2021.

FINKELSTEIN, Maria Eugenia; FINKELSTEIN, Cláudio. Privacidade e lei geral de proteção de dados
pessoais. Revista de Direito Brasileira, v. 23, n. 9, Florianópolis, mai./ago. 2019, p. 284-301. Disponível em:
https://www.indexlaw.org/index.php/rdb/article/view/5343/4545. Acesso em: 06 jan. 2021.

FOLLONE, Renata Aparecida; SIMÃO FILHO, Adalberto. A conexão da LGPD e CDC: a proteção de dados
pessoais nas relações consumeristas e a sua concretização como direito fundamental. Anais do Congresso
Brasileiro de Processo Coletivo e Cidadania, n. 8, p. 937-959, 12 dez. 2020. Disponível em:
https://orcid.org/0000-0001-7441-8715. Acesso em: 28 fev. 2021.

FORMOSO, Paula da Rocha e Silva. Links patrocinados – concorrência e comércio eletrônico – análise
jurisprudencial das Câmaras Reservadas de Direito Empresarial. Cadernos Jurídicos: Direito Digital e
proteção de dados pessoais, ano 21, n. 53, São Paulo, jan./mar. 2020, p. 23-33. Disponível em:
http://www.tjsp.jus.br/download/EPM/Publicacoes/CadernosJuridicos/i_2_links_patrocinados.pdf?d=637250341
717679307. Acesso em: 08 mar. 2021.

GREENWALD, Glenn. Sem lugar para se esconder. Tradução de Fernanda Abreu. Rio de Janeiro: Sextante,
2014.

GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Vencelau. Término do Tratamento de Dados. In:
TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (org.). Lei Geral de Proteção de Dados Pessoais
e suas repercussões no Direito Brasileiro. São Paulo: Revista dos Tribunais, 2019.

GONÇALVES, Jonas Rodrigo. Manual de Monografia. Brasília: Processus, 2019.

HOFFMANN-RIEM, Wolfgang. Big data e inteligência artificial: desafios para o direito. Rei - Revista
Estudos Institucionais, [S.L.], v. 6, n. 2, p. 431-506, 23 set. 2020. Revista Estudos Institucionais. Disponível em:
http://dx.doi.org/10.21783/rei.v6i2.484. Acesso em: 15 mar. 2021.

IBET (São Paulo). STF suspende compartilhamento de dados de usuários de telefônicas com IBGE.
Instituto Brasileiro de Estudos Tributários. São Paulo, maio 2020. Notus. Disponível em:
https://www.ibet.com.br/stf-suspende-compartilhamento-de-dados-de-usuarios-de-telefonicas-com-ibge/. Acesso
em: 12 abr. 2021.

LISBOA, Roberto Senise. Boa-fé e confiança na Lei Geral de Proteção de Dados brasileira. Revista do
Advogado, n. 144, São Paulo, 2019.

LOVELL, M; FOY, Michael. General Data Protection Regulation (GDPR): how does it affect us? Bone e
Joint 360, 7(4), 41–42. Londres, 2018. Disponível em: https://doi. org/10.1302/2048-0105.74.360622. Acesso
em: 20 mar. 2021.

MACIEL, Rafael Fernandes. Manual Prático sobre a Lei Geral de Proteção de Dados Pessoais (Lei nº
13.709/18). 1ed. Goiânia: RM Digital Education, 2019.

MAIA, Roberta Mauro Medina. A titularidade dos dados pessoais prevista no art. 17 da LGPD. In:
TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei geral de proteção de dados
pessoais e suas repercussões no direito brasileiro. São Paulo: Revista dos Tribunais, 2019.
 72

MALDONADO, Viviane Nóbrega. BLUM, Renato Opice (Coord). LGPD: Lei Geral de Proteção de Dados
comentada. São Paulo: Thomson Reuters Brasil, 2019.

MARTINS, Guilherme Magalhães. Direito Privado e Internet. São Paulo: Atlas, 2014.

MATTOS, Bruna et al. Dos agentes de tratamento de dados pessoais. Cap. 8. Comissão de direito da tecnologia
e da informação/OAB-PE. O que estão fazendo com os meus dados? A importância da Lei Geral de
Proteção de Dados. Recife: Serifa Fina, 2019. Disponível em:
https://oabpe.org.br/wpcontent/uploads/2019/12/E-BOOK-LIVRO-DEBATE-OAB.pdf. Acesso em: 07 mar.
2021.

MENDES, Laura Schertel; DONEDA, Danilo. Reflexões iniciais sobre a nova Lei Geral de Proteção de Dados.
In: Revista de Direito do Consumidor. v. 120, bimestral. São Paulo: Revista dos Tribunais, 2018.

MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um
novo direito fundamental. São Paulo: Saraiva, 2014.

MENDES, Laura Schertel. Contexto internacional e economia de dados pessoais; histórico da

implementação da regulamentação europeia de proteção de dados (GPDR); Marco Civil da Internet,
Código de Defesa do Consumidor e Cadastro Positivo; Lei Geral de Proteção de Dados (LGPD) e Medida
Provisória 869/2018. São Paulo: Escola da Defensoria Pública, 2019.

MENEZES, Aline et al. Autoridade Nacional de Proteção de Dados (ANPD). Cap. 9. Comissão de direito da
tecnologia e da informação/OAB-PE. O que estão fazendo com os meus dados? A importância da Lei Geral de
Proteção de Dados. Recife: Serifa Fina, 2019. Disponível em:
https://oabpe.org.br/wpcontent/uploads/2019/12/E-BOOK-LIVRO-DEBATE-OAB.pdf. Acesso em: 07 mar.
2021.

MORAES, Maria Celina Bodin de. LGPD: um novo regime de responsabilização civil dito proativo. Revista
Civilistica, ano 8, n. 3, Rio de Janeiro, 2019. Disponível em: http://civilistica.com/lgpd-um-novo-regime/.
Acesso em: 28 fev. 2021.

MULHOLLAND, Caitlin Sampaio. Dados pessoais sensíveis e a tutela de direitos fundamentais: uma
análise à luz da lei geral de proteção de dados (Lei 13.709/18). Revista de Direitos e Garantias Fundamentais,
v. 19, n. 3, p. 159-180, dez. 2018. Disponível em:
http://sisbib.emnuvens.com.br/direitosegarantias/article/view/1603. Acesso em: 08 fev. 2021.

NOVAKOSKI, André Luis Mota; NASPOLINI, Samyra Haydêe dal Farra. Responsabilidade civil na LGPD:
problemas e soluções. Conpedi Law Review, Evento Virtual, v. 6, n. 1, p. 151-174, 18 dez. 2020. Disponível
em: https://www.indexlaw.org/index.php/conpedireview/article/view/7024. Acesso em: 01 mar. 2021.

OLIVEIRA, Marco Aurélio Bellizze. Os princípios norteadores da proteção de dados pessoais no Brasil e
sua otimização pela Lei 13.709/2018. In: Lei Geral de Proteção de Dados Pessoais e suas Repercussões no
Direito Brasileiro. 2 ed. São Paulo: Thomson Reuters Brasil, 2020.

ORGANIZAÇÃO DAS NAÇÕES UNIDAS. Declaração Universal dos Direitos Humanos, 1948. Disponível
em: <https://www.unicef.org/brazil/declaracao-universal-dos-direitos-humanos>. Acesso em: 12 jan. 2021.

PALHARES, Gabriela; SANTOS, Alessandro Santiago dos; ARIENTE, Eduardo Altomare; GOMES, Jeferson
de Oliveira. A privacidade em tempos de pandemia e a escada de monitoramento e rastreio. Estudos
Avançados. Vol. 34, n. 99. São Paulo May/Aug. 2020. Disponível em:
https://www.scielo.br/pdf/ea/v34n99/1806-9592-ea-34-99-175.pdf. Acesso em: 02 mar. 2021.

PIURCOSKY, Fabrício Peloso; COSTA, Marcelo Aparecido; FROGERI, Rodrigo Franklin; CALEGARIO,
Cristina Lelis Leal. A lei geral de proteção de dados pessoais em empresas brasileiras: uma análise de
 73

múltiplos casos. Suma de Negócios. 10(23), p. 89-99, julho-dezembro 2019. Disponível em:
http://dx.doi.org/10.14349/sumneg/2019.V10.N23.A2 Acesso em: 15 mar. 2021.

POSNER, Richard A. The economics of justice. Cambridge: Harvard University Press, 1983.

RIELLI, Mariana; BIONI, Bruno Ricardo. Legítimo interesse na LGPD Pano de fundo: conceito jurídico
indeterminado e a sua posição na agenda regulatória da ANPD. 2021. JOTA: AGENDA DA
PRIVACIDADE E DA PROTEÇÃO DE DADOS. Disponível em: https://www.jota.info/opiniao-e-
analise/colunas/agenda-da-privacidade-e-da-protecao-de-dados/lgpd-anpd-dados-01032021?amp=1. Acesso em:
11 abr. 2021.

RIHL, Rubens. A autoridade nacional de proteção de dados: evolução legislativa, composição e atuação.
Cadernos Jurídicos: Direito Digital e proteção de dados pessoais, ano 21, n. 53, São Paulo: jan./mar. 2020, p.
117-127. Disponível em:
http://www.tjsp.jus.br/download/EPM/Publicacoes/CadernosJuridicos/ii_2_autoridade_nacional_de_prote%C3%
A7%C3%A3o.pdf?d=637250344803704328. Acesso em: 12 jan. 2021.

RODOTÀ, Stefano. A vida na sociedade de vigilância: a privacidade hoje. Rio de Janeiro: Renovar, 2008.

RODRIGUES, Yuri Gonçalves dos Santos; FERREIRA, Keila Pacheco. A privacidade no ambiente virtual:
avanços e insuficiências da lei geral de proteção de dados no Brasil (Lei 13.709/18). In. Revista de Direito do
Consumidor, vol. 122, mar./abr. 2019.

RUARO, Regina Linden; BOTELHO, Ingrid Pereira Botelho; STEFFENS, Luana. A internet das coisas e o
direito fundamental à privacidade do cidadão. REPATS, Brasília, V.7, N.1 jan/jul, 2020. Disponível em:
https://portalrevistas.ucb.br/index.php/REPATS/article/view/12597/pdf. Acesso em: 08 mar. 2021.

SANTOS, Maike Wile dos. O Big Data somos nós: a humanidade de nossos dados. JOTA, 2017. Disponível
em: https://jota.info/colunas/agenda-da-privacidade-e-da-protecao-de-dados/o-big-data-somos-nos-a-
humanidade-de-nossos-dados-16032017. Acesso em: 25 jan. de 2021

SARLET, Ingo Wolfgang. A eficácia dos direitos fundamentais: uma teoria geral dos direitos fundamentais
na perspectiva constitucional. 12 ed. Porto Alegre: Livraria do Advogado, 2015.

SARLET, Ingo Wolfgang. Curso de direito constitucional. São Paulo: Saraiva, 2019.

SENADO NOTÍCIAS. País deve se preparar para Lei de Proteção de Dados Pessoais, aponta debate. Brasília,
DF, 08 ago. de 2019. Disponível em: www12.senado.leg.br/noticias/materias/2019/08/08/pais-deve-se-preparar-
para-lei-de-protecao-de-dados-pessoais-aponta-debate. Acesso em: 08 dez. 2020.

SILVA, José Afonso da. Curso de Direito Constitucional positivo. 19. ed. São Paulo: Malheiros, 2009.

SOARES, Matias Gonsales. A Quarta Revolução Industrial e seus possíveis efeitos no direito, economia e
política. MIGALHAS. 2018. Disponível em: https://www.migalhas.com.br/arquivos/2018/4/art2018042705.pdf.
Acesso em: 01 mar. 2021.

TASSO, Fernando Antônio. A responsabilidade civil na Lei Geral de Proteção de Dados e sua interface com
o Código Civil e o Código de Defesa do Consumidor. Cadernos Jurídicos: Direito Digital e proteção de dados
pessoais. São Paulo, ano 21, n. 53, São Paulo, jan./mar. 2020, p. 97-116. Disponível em:
http://www.tjsp.jus.br/download/EPM/Publicacoes/CadernosJuridicos/ii_1_interface_entre_a_lgpd.pdf?d=63725
0344175953621. Acesso em: 15 fev. 2021.

TEFFÉ, Chiara Spadaccini de; VIOLA, Mario. Tratamento de dados pessoais na LGPD: estudo sobre as
bases legais. civilistica.com, v. 9, n. 1, p. 1-38, 9 maio 2020. Disponível em:
https://civilistica.emnuvens.com.br/redc/article/view/510/384. Acesso em: 15 mar. 2021.
 74

TEIXEIRA, Tarcisio; ARMELIN, Ruth Maria Guerreiro da Fonseca. Responsabilidade e ressarcimento de

danos por violação às regras previstas na LGPD: um cotejamento com o CDC. In: LIMA, Cíntia Rosa
Pereira de (Coord.). Comentários à Lei Geral de Proteção de Dados. São Paulo: Almedina, 2020.

TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (org.). Lei Geral de Proteção de Dados
Pessoais e suas repercussões no Direito Brasileiro. São Paulo: Revista dos Tribunais, 2019.

THE GUARDIAN (EUA). Edward Snowden: o denunciante por trás das revelações de vigilância da NSA.
2013. Disponível em: https://www.theguardian.com/world/2013/jun/09/edward-snowden-nsa-whistleblower-
surveillance. Acesso em: 21 mar. 2021.

THE GUARDIAN (EUA). O que é Cambridge Analytica? A empresa no centro da violação de dados do
Facebook. 2018. Disponível em: https://www.theguardian.com/news/2018/mar/18/what-is-cambridge-analytica-
firm-at-centre-of-facebook-data-breach. Acesso em: 02 fev. 2021.

THE ECONOMIST. O recurso mais valioso do mundo não é mais petróleo, mas dados: Regulando os
gigantes da Internet. Londres, 06 maio 2017. Disponível em: https://econ.st/37geKlQ. Acesso em: 20 fev.
2021.

UNIÃO EUROPEIA. (2016). Regulamento Geral de Proteção de Dados. Jornal Oficial da União Europeia.
Disponível em: https://protecao-dados.pt/wp-content/uploads/2017/07/RegulamentoGeral-Proteção-Dados.pdf.
Acesso em: 15 mar. 2021.

VENOSA, Sílvio de Salvo. Direito Civil: responsabilidade civil. 8. ed. São Paulo: Atlas, 2003.

VIEIRA, Tatiana Malta. O direito à privacidade na sociedade da informação, efetividade desse direito
fundamental diante dos avanços da tecnologia da informação. Porto Alegre: Sergio Antonio Fabris Editor,
2007.