1.../ 2 Com a aprovação da Lei Geral de Proteção de Dados no Brasil (“LGPD”), Lei nº 13.709, de 14 de agosto de 2018, o presente artigo se propõe a descrever o processo

Com a aprovaccedilatildeo da Lei Geral de Proteccedilatildeo de Dados no Brasil (ldquoLGPDrdquo) Lei nordm 13709 de 14 de agosto de 2018 o presente artigo se propotildee a descrever o processo e o resultado da criaccedilatildeo de uma estrutura normativa que busca harmonizar e ampliar o direito a proteccedilatildeo de dados pessoais no contexto regulatoacuterio brasileiro

Para isso analisaremos como o direito a proteccedilatildeo de dados pessoais surgiu no mundo e a maneira como gradativamente foi sendo desenvolvida na Uniatildeo Europeia e na Ameacuterica Latina Nosso escopo de anaacutelise se daraacute entre a LGPD e o Regulamento da Uniatildeo Europeia ndeg 2016679 popularmente conhecido como (ldquoGDPRrdquo) que entrou em vigor em 2018

Buscamos comparar a normatizaccedilatildeo europeia com a brasileira e compreender o contexto histoacuterico de 2010 a 2018 que culminou com a aprovaccedilatildeo da LGPD Assim pretendemos entender como esta lei dialogaraacute com as normas setoriais de proteccedilatildeo de dados jaacute existentes no paiacutes Abordaremos tambeacutem os principais pilares e pontos relevantes da LGPD a fim de esclarecer a sua importacircncia e seus impactos Por fim considerando que tambeacutem em 2018 entrou em vigor a GDPR abordaremos de forma superficial alguns pontos de contato entre ambas as normasCom a aprovaccedilatildeo da Lei Geral de Proteccedilatildeo de Dados no Brasil (ldquoLGPDrdquo) Lei nordm 13709 de 14 de agosto de 2018 o presente artigo se propotildee a descrever o processo e o resultado da criaccedilatildeo de uma estrutura normativa que busca harmonizar e ampliar o direito a proteccedilatildeo de dados pessoais no contexto regulatoacuterio brasileiro

Para isso analisaremos como o direito a proteccedilatildeo de dados pessoais surgiu no mun-do e a maneira como gradativamente foi sendo desenvolvida na Uniatildeo Europeia e Com a aprovaccedilatildeo da Lei Geral de Proteccedilatildeo de

AutoresRenato Leite Monteiro

Maria Ceciacutelia Oliveira Gomes

Adriane Loureiro Novaes

Gabriela Moribe

Dennys Eduardo Gonsales Camara

Pamela Michelena De Marchi Gherini

Ateacute alguns anos atraacutes o tema de proteccedilatildeo de dados era marginal agraves atividades das empresas Havia a preocupaccedilatildeo evidente mas natildeo existiam os riscos e exposiccedilotildees que hoje se multiplicam assim como as regulaccedilotildees nacionais que trazem penalidades cada vez mais severas Parte da nossa cultura sempre foi pensar agrave frente do nosso tempo tendo a inovaccedilatildeo como parte da nossa missatildeo institucional Aleacutem de trabalhar em temas de tecnologia e proteccedilatildeo de dados haacute mais de dez anos fomos um dos primeiros escritoacuterios full service a estruturar um time de Data Protection com conhecimento e experiecircncia reconhecida no mercado nacional e internacional muito antes da principais legislaccedilotildees sobre o tema como a GDPR e mais recentemente a LGPD Hoje o escritoacuterio conta com um time de especialistas jaacute preparados a assessorar empresas nacionais e internacionais nos processos mais complexos de conformidade com a lei assim como questotildees consultivas contratuais e litigiosas de diferentes setores da economia tais como aviaccedilatildeo logiacutestica sauacutede financeiro pagamentos seguros varejo publicidade digital e-commerce plataformas online mobilidade urbana data brokers entre outros Este estudo eacute uma pequena demonstraccedilatildeo de outra grande caracteriacutestica do nosso escritoacuterio Sempre fomos a favor democratizaccedilatildeo do conhecimento e amplo acesso a informaccedilatildeo Vaacuterias das nossas iniciativas corroboram essa nossa forma de ver o mundo (i) os inuacutemeros estudos compartilhados amplamente atraveacutes de nosso site (ii) Estruturaccedilatildeo de uma equipe de Pesquisa amp Desenvolvimento composta por advogados e estagiaacuterios focados em produccedilatildeo de conteuacutedo juriacutedico relevante para dentro e fora do escritoacuterio (iii) a criaccedilatildeo do Privacy Hub iniciativa colaborativa visando conscientizar sobre a importacircncia de proteccedilatildeo de dados para o mercado (iv) o Espaccedilo Startup que permite que empreendedores de todos os tamanhos possam ter acesso totalmente gratuito agrave documentos contratos estudos e conteuacutedo que normalmente seria cobrado por vezes inviabilizando o seu acesso e (v) as vaacuterias associaccedilotildees do mundo inteiro com as quais contribuiacutemos ativamente para fomentar o desenvolvimento de conhecimento Com isso em mente apresentamos este estudo elaborado pelas aacutereas de Proteccedilatildeo de Dados e de Pesquisa amp Desenvolvimento Nosso objetivo eacute contribuir para o entendimento sobre o desenvolvimento da proteccedilatildeo sobre dados pessoais elucidando sobre a Lei Geral de Proteccedilatildeo de Dados brasileira sua relaccedilatildeo com a legislaccedilatildeo europeia e tambeacutem as recentes modificaccedilotildees sofridas pela receacutem-publicada Medida Provisoacuteria Baptista Luz Advogados

Prefaacutecio

Com a aprovaccedilatildeo da Lei Geral de Dados no Brasil (ldquoLGPDrdquo) Lei nordm 13709 de 14 de agosto de 2018 o presente artigo se propotildee a descrever o processo e o resultado da criaccedilatildeo de uma estrutura normativa que busca harmonizar e ampliar o direito a proteccedilatildeo de dados pessoais no contexto regulatoacuterio brasileiro

Para isso analisaremos como o direito a proteccedilatildeo de dados pessoais surgiu no mundo e a maneira como gradativamente foi sendo desenvolvida na Uniatildeo Europeia e na Ameacuterica Latina Nosso escopo de anaacutelise se daraacute entre a LGPD e o Regulamento da Uniatildeo Europeia ndeg 2016679 popularmente conhecido como General Data Protection Regulation (ldquoGDPRrdquo) que entrou em vigor em 2018

Buscamos comparar a normatizaccedilatildeo europeia com a brasileira e compreender o contexto histoacuterico de 2010 a 2018 que culminou com a aprovaccedilatildeo da LGPD Assim pretendemos entender como esta lei dialogaraacute com as normas setoriais de proteccedilatildeo de dados jaacute existentes no paiacutes Abordaremos tambeacutem os principais pilares e pontos relevantes da LGPD a fim de esclarecer a sua importacircncia e seus impactos Por fim considerando que tambeacutem em 2018 entrou em vigor a GDPR abordaremos de forma superficial alguns pontos de contato entre ambas as normas

Resumo

Sumaacuterio

Introduccedilatildeo11 Os primeiros passos da Proteccedilatildeo de Dados no mundo

12 Da consulta puacuteblica agrave sanccedilatildeo presidencial (2010-2018)

13 Objetivo

Proteccedilatildeo de Dados a construccedilatildeo de um direito

21 Oito anos de debate resultou em uma boa lei

22 Como ficam as Leis Setoriais sobre Proteccedilatildeo de Dados no Brasil

O Escopo da Lei Geral de Proteccedilatildeo de Dados no Brasil 31 Dados Pessoais e Categoria de Dados

32 Bases Legais

33 Anonimizaccedilatildeo x Pseudonimizaccedilatildeo

34 Compartilhamento de dados

35 Hipoacuteteses de Exclusatildeo de Dados

36 Direitos dos Titulares

37 Transferecircncia internacional de dados

38 Comunicaccedilatildeo de incidente

39 Padrotildees de seguranccedila da informaccedilatildeo

310 Sanccedilotildees

311 Autoridade Nacional de Proteccedilatildeo de Dados

312 Relatoacuterio de Impacto agrave Proteccedilatildeo de Dados

GDPR x LGPD o que muda com a nova lei brasileira41 Bases legais

42 Data Protection Officer

43 Consentimento

44 Prazo de retenccedilatildeo

Conclusatildeo

introduccedilatildeo

11 Os primeiros passos da proteccedilatildeo de dados no mundo

Ainda que a privacidade seja um direito universal tratado inclusive no artigo 12 da Declaraccedilatildeo Universal dos Direitos Humanos1 o fato eacute que a privacidade do indiviacuteduo eacute um direito relacionado a sua esfera pessoal A ideia eacute proteger a vida privada destacando-a do contato com a esfera puacuteblica

1 ASSEMBLEIA GERAL DA ONU Resoluccedilatildeo 217 A (III) Paris 10 de dezembro de 1948 Declaraccedilatildeo Universal dos Direitos Humanos

Nesse sentido apoacutes o crescimento e desenvolvimento do cenaacuterio tecnoloacutegico computacional na deacutecada de 60 em 1970 foi instituiacuteda a primeira lei estadual de proteccedilatildeo de dados da histoacuteria no estado alematildeo de Hesse a chamada Hessisches Datenschutzgesetz O Ato de Proteccedilatildeo de Dados de Hesse2 foi criado tendo a vista a necessidade de tratar com maior cuidado as informaccedilotildees pessoais de indiviacuteduos armazenadas em meios eletrocircnicos A lei assim foi pioneira ao tratar da coleta e tratamento de dados de indiviacuteduos ainda que natildeo o fizesse de maneira objetiva e segmentada

Alguns anos mais tarde em 1973 foi aprovada na Sueacutecia a primeira lei nacional de proteccedilatildeo de dados da histoacuteria a Sw Datalagen ou o Ato de Dados Sueco3 Assim como a lei de Hesse a lei sueca tratava da proteccedilatildeo dos dados de maneira geneacuterica natildeo trazendo por exemplo em que situaccedilotildees a coleta de dados poderia ou natildeo ocorrer dispondo apenas que essa coleta deveria se dar com autorizaccedilatildeo da agecircncia governamental competente4 A lei tambeacutem natildeo trazia princiacutepios gerais do tratamento de dados pessoais algo recorrente nas leis modernas sobre o assunto No entanto a lei inovou ao trazer o tema da proteccedilatildeo de dados dos cidadatildeos para a agenda puacuteblica de governo

Seguindo esse movimento seis anos depois em 1979 diversas outras naccedilotildees europeias como Franccedila Alemanha e Dinamarca jaacute tinham suas proacuteprias legislaccedilotildees de proteccedilatildeo de dados Estas leis ainda que muito importantes eram geneacutericas assim como os textos sueco e alematildeo Cabe mencionar tambeacutem que Portugal Espanha e Aacuteustria chegaram inclusive a considerar a privacidade como um direito fundamental em suas Constituiccedilotildees ndash o que ilustra muito bem a importacircncia dada por essas naccedilotildees ao tema

2 ALEMANHA Hessisches Datenschutzgesetz de 7 jan 1999 Disponiacutevel em lt httpwwwess-koelndedokumen-te160151010084004Hessenpdf gt Acesso em 29 set 20183 OumlMAN Soumlren Implementing Data Protection in Law Dispo-niacutevel em lt httpwwwscandinavianlawsepdf47-18pdf gt Acesso em 18 ago 20184 Ibidem

ainda no final dos anos 705

No ano de 1981 o Conselho da Europa aprovou a Convenccedilatildeo 108 para a proteccedilatildeo das pessoas relativamente ao tratamento automatizado de dados de caraacuteter pessoal6 por considerar ldquodesejaacutevel alargar a proteccedilatildeo dos direitos e das liberdades fundamentais de todas as pessoas nomeadamente o direito ao respeito pela vida privada tendo em consideraccedilatildeo o fluxo crescente atraveacutes das fronteiras de dados de caraacutecter pessoal susceptiacuteveis de tratamento automatizadordquo Esse teria sido o primeiro marco legal transnacional sobre proteccedilatildeo de dados A convenccedilatildeo passou por um recente processo de atualizaccedilatildeo que culminou com a sua versatildeo modernizada conhecida como Convenccedilatildeo 108+7

Passadas duas deacutecadas e com a crescente evoluccedilatildeo do cenaacuterio tecnoloacutegico as leis de proteccedilatildeo de dados alcanccedilaram mais espaccedilo e comeccedilaram a ter um formato mais parecido com o das leis que temos hoje framework que se consolidou quando a Uniatildeo Europeia 25 anos depois da Lei de Hesse promulgou a Diretiva 9546CE8 em 1995 A norma foi um marco no campo da proteccedilatildeo de dados pois dispunha sobre o tratamento de dados e direitos dos usuaacuterios em todos os paiacuteses membros do bloco colocando todos sob a mesma legislaccedilatildeo A Diretiva aleacutem de

5 RUDGARD Sian Origins and Historical Context of Data Pro-tection Law Disponiacutevel em lthttpsiapporgmediapdfpu-blicationsEuropean_Privacy_Chapter_Onepdf gt Acesso em 18 ago 20186 Council of Europe Convention for the Protection of Individu-als with regard to Automatic Processing of PersonalData 10 jan1981 Disponiacutevel em lthttpswwwcoeintenwebconventionsfull-list-conventionstreaty108 gt Aces-so em 21 nov 20187Council of Europe Modernised Convention for the Protection of Individuals with Regard to the Processing of Personal Data 18 maio 2018 Disponiacutevel em lthttpssearchcoeintcmPagesresult_detailsaspxObjectId=09000016807c65bfgtAcesso em 21 nov 20188 PARLAMENTO EUROPEU Directiva 9546CE de 24 de ou-tubro de 1995 Relativa agrave proteccedilatildeo das pessoas singularesno que diz respeito ao o tratamento de dados pessoais eagrave livre circulaccedilatildeo desses dados Disponiacutevel em lt httpseur-lexeuropaeulegal-contentPTTXTPDFuri=CELEX31995L0046ampfrom=PT gt Acesso em 18 ago 2018

estabelecer como deveria ser feita a coleta e tratamento dos dados traz os princiacutepios que devem ser seguidos em tais operaccedilotildees dentre os quais destacam-se o da licitude do tratamento da limitaccedilatildeo dos propoacutesitos da adequaccedilatildeo da necessidade e da transparecircncia que visam frear possiacuteveis abusos por parte dos responsaacuteveis pelas mesmas A Diretiva 9546CE vigorou ateacute maio de 2018 quando foi substituiacuteda pelo Regulamento ndeg 2016679 de 27 abril de 2016 popularmente conhecido como General Data Protection Regulation (ldquoGDPRrdquo) a nova lei geral de proteccedilatildeo de dados da Uniatildeo Europeia9

A GDPR eacute enxergada por muitos como a mais completa legislaccedilatildeo de proteccedilatildeo de dados do mundo10 Trata-se de uma evoluccedilatildeo da Diretiva 9546EC fruto de um longo processo democraacutetico11 seu escopo de aplicaccedilatildeo inclui natildeo apenas dados de pessoais naturais localizados na Uniatildeo Europeia mas todo o fluxo de dados existente nos paiacuteses membros e nos paiacuteses ao redor do mundo que possuem pontos de contato com o mercado europeu12 Os principais avanccedilos da nova lei se datildeo na

9 Para uma visatildeo mais completa do histoacuterico de leis de prote-ccedilatildeode dados acesse httpsedpseuropaeudata-protectiondata-protectionlegislationhistory-general-data-protection--regulation_en10ALBRECHT Jan Philipp How the GDPR Will Change the World Disponiacutevel em lt httpsedpllexxioneudataarti-cle10073pdfedpl_2016_03-005pdf gt Acesso em 18 ago 201811 EUROPEAN DATA PROTECTION SUPERVISOR The History of the General Data Protection Regulation Disponiacutevel em lt ht-tpsedpseuropaeudata-protectiondata-protectionlegis-lationhistory-general-data-protection-regulation_engt Acesso em 18 ago 2018 12 EUROPEAN COMISSION Who does the data protection law apply to Disponiacutevel em lthttpseceuropaeuinfolawlaw--topicdata-protectionreformrules-business-and-organisa-tionsapplication-regulationwho-does-data-protection-law--apply_en gt Acesso em 19 ago 2018

ampliaccedilatildeo de direitos dos usuaacuterios13 e na maior responsabilizaccedilatildeo das organizaccedilotildees e empresas que realizam o processamento de dados14

Saindo do acircmbito europeu e ingressando no cenaacuterio da Ameacuterica do Sul verifica-se que dos 12 paiacuteses pertencentes ao continente apenas Argentina Chile Colocircmbia Peru Uruguai Paraguai e Guiana Francesa possuem leis gerais para a proteccedilatildeo dos dados dos titulares O Brasil passou a fazer parte deste rol com a aprovaccedilatildeo da Lei ndeg 13709 de 14 de agosto de 2018 tambeacutem conhecida como Lei Geral de Proteccedilatildeo de Dados (ldquoLGPDrdquo) Ainda dentro do contexto sul-americano vale ressaltar que o Equador15 Boliacutevia16 Venezuela17 e Guiana18 possuem tambeacutem leis setoriais sobre proteccedilatildeo de dados restando o Suriname como uacutenico paiacutes do continente que ainda natildeo possuiacute leis sobre o tema

13 Segundo a LGPD os direitos dos titulares de dados possuem fundamento em direitos fundamentais de liberdade intimida-de e privacidade previstos em nossa Constituiccedilatildeo e por isso sua aplicaccedilatildeo se daraacute sempre na maior medida possiacutevelAssim em termos gerais e que seratildeo aprofundados ao longo deste artigo satildeo direitos dos titulares de dados em relaccedilatildeo aos dados de quem forem titulares conhecimento da existecircncia de tratamento dos dados possibilidade de acesso e exclusatildeo de dados correccedilatildeo de dados incompletos inexatos ou desa-tualizados anonimizaccedilatildeo bloqueio ou eliminaccedilatildeo de dados desnecessaacuterios excessivos ou tratados em desconformidade com o disposto na LGPD portabilidade mediante requisiccedilatildeo expressa informaccedilatildeo das entidades puacuteblicas e privadas com as quais o controlador compartilhou os dados informaccedilatildeo sobre a possibilidade de natildeo fornecer consentimento e sobre as con-sequecircncias da negativa e revogaccedilatildeo do consentimento a qual-quer tempo para o tratamento de dados14 INFORMATION COMISSIONERrsquoS OFFICE Guide to the Gen-eral Data Protection Regulation (GDPR) Disponiacutevel em ltht-tpsicoorgukmediafor-organisationsguide-to-the-gene-ral-data-protection-regulation-gdpr-1-0pdf gt Acesso em 19 ago 201815 OEA Desarrollos Normativos por Paiacutes ndash Equador Disponiacute-vel em lt httpwwwoasorgessladdiproteccion_datos_personales_dn_ecuadorasp gt Acesso em 19 ago 201816 RED IBEROAMERICANA DE PROTECCION DE DATOS Legis-lacioacuten- Boliacutevia Disponiacutevel em lthttpwwwredipdorglegis-lacionbolivia-ides-idphpphpgt Acesso em 12 nov 201817 RED IBEROAMERICANA DE PROTECCION DE DATOS Le-gislacioacuten- Venezuela Disponiacutevel em lt httpwwwredipdorglegislacionvenezuela-ides-idphpphp gt Acesso em 12 nov 201818 A Guiana possuiacute leis setoriais de proteccedilatildeo de dados como o Statistics Act 1965 e o Access to Information Act 2011

Na Argentina a Ley de Proteccioacuten de los Datos Personales19 ou Lei de Proteccedilatildeo de Dados Pessoais de outubro de 2000 traz disposiccedilotildees e princiacutepios gerais relativos agrave proteccedilatildeo de dados Ela traz em seu corpo os direitos dos titulares dos dados a responsabilidade das organizaccedilotildees que realizam o tratamento dos mesmos sanccedilotildees aplicaacuteveis e medidas de proteccedilatildeo Cabe mencionar que a Argentina e o Uruguai satildeo hoje os uacutenicos paiacuteses sul-americanos considerados com niacuteveis adequados de proteccedilatildeo de dados pela Uniatildeo Europeia20 Como veremos adiante essa classificaccedilatildeo eacute importantiacutessima no contexto da GDPR Paiacuteses com tais ldquoniacuteveis adequadosrdquo podem mais facilmente realizar a transferecircncia internacional de dados para paiacuteses sob a jurisdiccedilatildeo da GDPR A Lei Argentina passa atualmente por um processo de modernizaccedilatildeo que iraacute aproximaacute-la com o regulamento europeu21

No Chile haacute a Ley de Proteccioacuten de Datos de Caraacutecter Personal22 ou Lei de Proteccedilatildeo de Dados de Caraacuteter Pessoal de agosto de 1999 O dispositivo garante direitos aos ldquotitularesrdquo dos dados tratados (as pessoas a quem os dados se referem) como o direito agrave correccedilatildeo e exclusatildeo dos dados assim como obrigaccedilotildees como a limitaccedilatildeo do uso dos dados coletados

19 ARGENTINA Ley Ndeg 25326 de 4 de outubro de 2000 Disposiciones Generales Principios generales relativos a la proteccioacuten de datos Derechos de los titulares de datosUsuarios y responsables de archivos registros y bancosde datos Control Sanciones Accioacuten de proteccioacuten de losdatos personales Disponiacutevel em lthttpwwwoasorgessladdidocsA720ley20protecciC3B3n20de20datospdfgt Acesso em 19 ago 201820 EUROPEAN COMISSION Adequacy of the protection ofpersonal data in non-EU countries Disponiacutevel em lt httpseceuropaeuinfolawlaw-topicdata-protectiondata-transfers-outside-euadequacy-protection-personal-data-non-eu-countries_en gt Acesso em 19 ago 201821 FERNANDEZ Diego Argentinarsquos new Bill on Personal Data Protection Disponiacutevel em lt httpsiapporgnewsaargen-tinas-new-bill-on-personal-data-protection gt Acesso em 19 ago 201822 CHILE Ley ndeg 19628 de 28 de agosto de 1999 Proteccion de datos de caracter personal Disponiacutevel em lt httpwwwoasorgessladdidocsCH320Ley201962820Protec-cion20de20Datos20de20CarC3A1cter20Perso-nalpdf gt Acesso em 19 ago 2018

ao propoacutesito informado pelo responsaacutevel por seu tratamento

Na Colocircmbia vigora a Ley Estatutaria ndeg 158123 de 2012 pela qual se ditam as disposiccedilotildees gerais de proteccedilatildeo de dados pessoais neste paiacutes Esta traz informaccedilotildees detalhadas acerca dos princiacutepios que regem o tratamento dos dados direitos dos titulares e responsabilidade das organizaccedilotildees responsaacuteveis por esse tratamento

No Peru desde julho de 2011 vigora a Ley de Proteccioacuten de Datos Personales24 A lei peruana assim como as outras leis mencionadas traz os princiacutepios do tratamento dos dados pessoais os direitos do titular as obrigaccedilotildees do titular e do responsaacutevel pelo tratamento o funcionamento dos bancos de dados e de uma autoridade de caraacuteter nacional para a proteccedilatildeo de dados assim como sanccedilotildees administrativas a serem aplicadas ao responsaacutevel pelo tratamento

No Uruguai entrou em vigor em 2011 a Ley de Protecciacuteon de Datos Personales y Acciacuteon de Habeas Data25 A lei que coloca o Uruguai como um dos uacutenicos paiacuteses sul-americanos a dispor de niacuteveis adequados de proteccedilatildeo de dados de acordo com a Comissatildeo Europeia26

23 COLOMBIA Ley Estatutaria Ndeg 1581 de 17 de Outubro de 2012 Por la cual se dictan disposiciones generales para la proteccioacuten de datos personales Disponiacutevel em lthttpwwwalcaldiabogotagovcosisjurnormasNorma1jspi=49981gt Acesso em 19 ago 201824 PERU Ley ndeg 29733 de 03 de julho de 2011 Ley de pro-

teccioacuten de datos personales Disponiacutevel em lthttpwwwoasorgessladdidocsP620Ley202973320de20protecciC3B3n20de20datos20personalespdfgt Acesso em 19 ago 201825URUGUAI Ley ndeg 18331 de 18 de agosto de 2008 Protec-cioacuten de datos personales y accioacuten de ldquohabeas datardquo Disponiacutevel em emlthttpwwwoasorgessladdidocsU420Ley201833120de20ProtecciC3B3n20de20Datos20Personales20y20AcciC3B3n20de20Habeas20Datapdfgt Acesso em 20 ago 201826 EUROPEAN COMISSION Adequacy of the protection of personal data in non-EU countries How the EU determines if a non-EU has an adequate level of protection Disponiacutevel em lthttpseceuropaeuinfolawlaw-topicdata-protectiondata-transfers-outside-euadequacy-protection-personal-da-ta-non-eu-countries_engt Acesso em 28 set de 2018

aleacutem da Argentina institui os princiacutepios que regem o tratamento de dados e direitos e deveres de titulares e responsaacuteveis pelo tratamento aleacutem de estabelecer a criaccedilatildeo de um oacutergatildeo de controle governamental

O Paraguai natildeo tem uma lei geral de proteccedilatildeo de dados como a dos outros paiacuteses jaacute listados contando apenas com um dispositivo geneacuterico sobre o tema A Ley ndeg 1682 que Reglamenta la Informacioacuten de Caraacutecter Privado27 aborda de maneira ampla quais dados podem ser tratados e como aleacutem de estabelecer sanccedilotildees para as organizaccedilotildees que descumpram tais disposiccedilotildees

12 Da consulta puacuteblica agrave sanccedilatildeo presidencial (2010-2018) Constatando a necessidade de ser construiacuteda uma agenda de debates sobre proteccedilatildeo de dados no Brasil o Ministeacuterio da Justiccedila redigiu um Anteprojeto de Lei de Proteccedilatildeo de Dados (ldquoAPLPDrdquo) e o ofereceu para consulta e comentaacuterios puacuteblicos no ano de 2010 quando foi criado um blog sobre proteccedilatildeo de dados e disponibilizado uma Consulta Puacuteblica sobre o tema ambos hospedados no site ldquoculturadigitalbrrdquo28

A consulta que teve duraccedilatildeo de 4 meses recebeu comentaacuterios de diferentes setores da sociedade formando assim um contingente multissetorial de contribuiccedilotildees Vale ressaltar que agrave eacutepoca este anteprojeto foi bastante associado agrave discussatildeo puacuteblica acerca do Marco Civil da Internet naquele momento ainda em processo de debate recebendo

27 PARAGUAI Ley ndeg 1682 de 16 de janeiro de 2001 Que reglamenta la informacioacuten de caraacutecter privado Acesso em lt httpwwwredipdorglegislacioncommonlegislacionpa-raguayLey_1682_de_2001pdfgt Acesso em 20 ago 201828 Link para acesso ao site httpculturadigitalbrdados-pessoaisblog20101215marco-normativo-de-privacida-de-e-protecao-de-dados-pessoais-esta-em-debate-participe

algumas vezes por esse motivo o nome de ldquoMarco Legal da Proteccedilatildeo de Dadosrdquo29 Com os primeiros comentaacuterios ao APLPD foi feito um esboccedilo do que viria a se tornar o futuro texto da LGPD 8 anos mais tarde

Dois anos depois dessa primeira consulta puacuteblica em 13 de junho de 2012 o Deputado Milton Monti propocircs na Cacircmara dos Deputados o Projeto de Lei ndeg 4060 de 201230 (ldquoPL 406012rdquo) que dispunha sobre o tratamento de dados pessoais e dava outras providecircncias tendo como fonte primaacuteria de inspiraccedilatildeo a proacutepria consulta puacuteblica promovida pelo Ministeacuterio da Justiccedila

O PL 406012 que foi protocolado na Cacircmara sem muito alarde soacute teve andamento em 201331 quando o analista de sistemas Edward Snowden denunciou uma seacuterie de irregularidades e praacuteticas de vigilacircncia em escala global promovidas pela Agecircncia Nacional de Seguranccedila (ldquoNSArdquo) oacutergatildeo vinculado ao governo norte americano32 A repercussatildeo do caso foi enorme e envolvia tanto vigilacircncia em massa de usuaacuterios das redes quanto a chefes de estado de outros paiacuteses ndash fato este que inclusive levou o Brasil a se pronunciar internacionalmente sobre o tema33 Diante desse cenaacuterio e sendo o PL 406012 o uacutenico sobre proteccedilatildeo de dados agrave eacutepoca existente no Paiacutes acabou sendo pautado para debate

29 CULTURA DIGITAL Diretrizespara a Discussatildeo sobre o Marco Normativo de Privacidadee Proteccedilatildeo de Dados Disponiacutevel em lt httpculturadigitalbrdadospessoaisdiretrizes-e-termos-de-uso gt Acesso em 20 ago 201830 BRASIL Cacircmara dos Deputados Projeto de Lei ndeg 4060 de 2012 Dispotildee sobre a proteccedilatildeo de dados pessoais e altera a Lei nordm 12965 de 23 de abril de 2014 Disponiacutevel em lthttpwwwcamaragovbrproposicoesWebfichadetramitacaoi-dProposicao=548066 gt Acesso em 20 ago 2018

31 Ibidem32 GIDDA Mirren Edward Snowden and the NSA files ndash time-line The Guardian 21 aug 2013 Disponiacutevel em lt httpswwwtheguardiancomworld2013jun23edward-snow-den-nsa-files-timeline gt Acesso em 20 ago 201833 NAKAGAWA Fernando GUIMARAtildeES Mariana Imprensa internacional destaca lsquoduro ataquersquo de Dilma agrave espionagem dos EUA O Estado de Satildeo Paulo 24 set 2013 Disponiacutevel em ltht-tpspoliticaestadaocombrnoticiasgeralimprensa-inter-nacional-destaca-duro-ataque-de-dilma-a-espionagem-dos--eua1078297 gt Acesso em 20 ago 2018

pela Comissatildeo Parlamentar de Inqueacuterito da Espionagem no Senado Federal34

Na Comissatildeo foram promovidas audiecircncias puacuteblicas sobre o tema35 indicando que essa era uma das formas de promover a privacidade e a proteccedilatildeo de dados dos cidadatildeos assim como uma maneira de evitar praacuteticas de vigilacircncia estatal praticadas por outros paiacuteses

Passado o ano de 2013 o tema de proteccedilatildeo de dados acabou natildeo avanccedilando de maneira significativa A retomada da pauta ocorreu em 2015 quando o Ministeacuterio da Justiccedila promoveu a segunda consulta puacuteblica sobre o anteprojeto da lei de proteccedilatildeo de dados tambeacutem na plataforma da ldquoculturadigitalbrrdquo36

Nesta segunda consulta houve um contingente muito maior de contribuiccedilotildees e sugestotildees de alteraccedilatildeo na redaccedilatildeo do texto pelos diferentes setores da sociedade37 A partir dessas recomendaccedilotildees o Ministeacuterio da Justiccedila proacuteximo ao teacutermino do primeiro mandato da presidenta Dilma Rousseff protocolaram o Projeto de Lei que recebeu entatildeo o nuacutemero 527616 (ldquoPL 527616rdquo)

34 BRASIL Senado Federal Disponiacutevel em lthttpslegissenadolegbrcomissoescomissaojsessionid=779DDBC-421C9E4637D209B70503093220ampcodcol=1682gt Acesso em 4 jan 201835 BRASIL Cacircmara dos Deputados Projeto de Lei ndeg 4060 de 2012 Dispotildee sobre a proteccedilatildeo de dados pessoais e altera a Lei nordm 12965 de 23 de abril de 2014 Disponiacutevel em lthttpwwwcamaragovbrproposicoesWebfichadetramitacaoi-dProposicao=548066 gt Acesso em 20 ago 201836 BRASIL Emanuelle Consulta puacuteblica seraacute base para pro-jeto de lei sobre proteccedilatildeo de dados pessoais Cacircmara dos De-putados 28 jan 2015 Disponiacutevel em lthttpwww2camaralegbrcamaranoticiasnoticiasADMINISTRACAO-PUBLICA480920-CONSULTA-PUBLICA-SERA-BASE-PARA-PROJETO-DE--LEI-SOBRE-PROTECAO-DE-DADOS-PESSOAIShtmlgt Acesso em 20 ago 201837 MONTEIRO Renato Leite Lei Geral de Proteccedilatildeo de Dados do Brasil anaacutelise contextual detalhada Jota 14 jul 2018 Dis-poniacutevel em lthttpswwwjotainfoopiniao-e-analisecolu-nasagenda-da-privacidade-e-da-protecao-de-dadoslgpd-a-nalise-detalhada-14072018 gt Acesso em 20 ago 2018

Por possuir um texto mais completo o PL 52761638 acabou avanccedilando mais rapidamente que os demais Essa completude se deu pelo volume de audiecircncias puacuteblicas realizadas para ouvir e debater o tema com representantes de todos os setores da sociedade brasileira bem como de atores internacionais convidados para expor sobre o tema Impulsionado pela entrada em vigor da GDPR no dia 25 de maio de 201839 a Cacircmara e o Senado decidiram unir forccedilas para que o texto do PL 527616 considerado o mais completo fosse apresentado como texto substitutivo ao PL 406012 Este no caso tinha prioridade de tramitaccedilatildeo na Cacircmara por ter sido proposto 4 anos antes do PL 527616 Uma vez apensados a nova versatildeo foi colocada em pauta no plenaacuterio da Cacircmara dos Deputados no dia 29 de maio de 2018 e foi aprovado em 20 minutos por unanimidade40 Apoacutes a aprovaccedilatildeo do texto na Cacircmara seguiu para o Senado Federal e laacute recebeu identificaccedilatildeo de Projeto de Lei da Cacircmara 53 de 2018 (ldquoPLC 532018rdquo)41

No dia 03 de julho de 2018 o texto foi colocado em pauta na Comissatildeo de Assuntos

38 BRASSCOM - ASSOCIACcedilAtildeO BRASILEIRA DAS EMPRESAS DE TECNOLOGIA DA INFORMACcedilAtildeO E COMUNICACcedilOtildeES Con-tribuiccedilotildees agrave Comissatildeo Especial ndash Dados Pessoais da Cacircmara dos Deputados sobre a Lei de Tratamento e Proteccedilatildeo de Dados Pessoais Jun 2017 Disponiacutevel em lthttpwww2camaralegbratividade-legislativacomissoescomissoes-temporariasespeciais55a-legislaturapl-4060-12-tratamento-e-protecao--de-dados-pessoaisdocumentosoutros-documentosBrass-compdf gt Acesso em 20 ago 201839 GOMES Helton Simotildees Lei da Uniatildeo Europeia que protege dados pessoais entra em vigor e atinge todo o mundo enten-da G1 25 maio 2018 Disponiacutevel em lthttpsg1globocomeconomiatecnologianoticialei-da-uniao-europeia-que-pro-tege-dados-pessoais-entra-em-vigor-e-atinge-todo-o-mundo--entendaghtml gt Acesso em 20 ago 201840 MENDES Laura Schertel DONEDA Danilo Lei de proteccedilatildeo de dados natildeo pode morrer na praia FOLHA Disponiacutevel em lt httpswww1folhauolcombropiniao201807laura-s-chertel-mendes-e-danilo-doneda-lei-de-protecao-de-dados--nao-pode-morrer-na-praiashtmlgt Acesso em 24 ago 201841 BRASIL Cacircmara dos Deputados Projeto de Lei da Cacircmara ndeg 53 de 2018 Dispotildee sobre a proteccedilatildeo de dados pessoais e altera a Lei nordm 12965 de 23 de abril de 2014 Disponiacutevel em lt httpswww25senadolegbrwebatividadematerias-materia133486 gt Acesso em 24 ago 2018

Econocircmicos (ldquoCAErdquo) do Senado Federal recebendo a relatoria do Senador Ricardo Ferraccedilo entatildeo relator do PLS 3302013 projeto de lei geral que tramitava em paralelo no Senado Federal42 Com alguns pedidos de emenda com poucas alteraccedilotildees substanciais ao texto foi considerado em boas condiccedilotildees para ser colocado em pauta para votaccedilatildeo Na mesma sessatildeo foi aprovado e recebeu requerimento de urgecircncia para ser incluiacutedo na pauta do plenaacuterio do Senado Federal43 Em 10 de julho de 2018 apoacutes forte pressatildeo da sociedade civil e de outros setores o PLC foi pautado no plenaacuterio do Senado Federal onde foi votado e aprovado por unanimidade44 Apoacutes isso foi encaminhado para sanccedilatildeo presidencial que se deu em 14 de agosto de 2018 com alguns vetos45 principalmente no que se refere aos artigos 55 a 59 que constituiacuteam e organizavam a Autoridade Nacional de Proteccedilatildeo de Dados (ldquoANPDrdquo) e o Conselho Nacional de Proteccedilatildeo de Dados Pessoais e da Privacidade sob a justificativa de que havia viacutecio de iniciativa ou seja a entidade natildeo poderia ser criada por uma lei de iniciativa do poder legislativo e sim teria que ser criada por iniciativa normativa oriunda do poder executivo

Por fim em 27 de dezembro de 2018 foi editada a Medida Provisoacuteria ndeg 869 (ldquoMP ndeg 86918rdquo) publicada no Diaacuterio Oficial da Uniatildeo em 28 de dezembro de 2018 que promoveu alteraccedilotildees no texto sancionado e tambeacutem criou a ANPD Medidas Provisoacuterias

42 BRASIL Senado Federal Projeto de Lei do Senado ndeg 330 de 2013 Dispotildee sobre a proteccedilatildeo o tratamento e o uso dos dados pessoais e daacute outras providecircncias Disponiacutevel em lthttpswww25senadolegbrwebatividadematerias-materia113947 gt Acesso em 24 ago 2018 43 BRASIL Senado Federal Senadores aprovam urgecircncia paraproposta que muda tributaccedilatildeo de aplicativos de transporteDisponiacutevel em lt httpswww12senadolegbrnoticiasma-terias20180523senadores-aprovam-urgencia-para-pro-posta-que-muda-tributacao-de-aplicativos-de-transporte gtAcesso em 24 ago 201844 MENDES Laura Schertel DONEDA Danilo Lei de proteccedilatildeo de dados natildeo pode morrer na praia FOLHA Disponiacutevel em lt httpswww1folhauolcombropiniao201807laura-s-chertel-mendes-e-danilo-doneda-lei-de-protecao-de-dados--nao-pode-morrer-na-praiashtmlgt Acesso em 24 ago 201845

tecircm aplicaccedilatildeo imediata mas dependem de aprovaccedilatildeo do Congresso Nacional para transformaccedilatildeo definitiva em lei e posterior sanccedilatildeo presidencial caso seu conteuacutedo seja alterado o que seraacute melhor desenvolvido adiante

Essa construccedilatildeo histoacuterica das leis de proteccedilatildeo de dados no mundo especificamente no continente europeu e sul-americano entre 1970 e 2018 demonstra alguns pontos importantes O primeiro eacute a trajetoacuteria do desenvolvimento de um direito especiacutefico para a proteccedilatildeo de dados dos titulares abrangendo meios online e offline e o segundo demonstra o volume de leis jaacute existentes bem como o fato de a primeira lei ter sido aprovada em 1970 na Alemanha evidenciando os quase 50 anos de atraso legislativo sobre o tema em solo brasileiro

Apoacutes 48 anos da existecircncia da primeira lei de proteccedilatildeo de dados no mundo o Brasil passa a ter a sua lei geral de proteccedilatildeo de dados Com a aprovaccedilatildeo da LGPD haacute forte expectativa de uma promoccedilatildeo maior de direitos e garantias para os cidadatildeos no meio online e offline de forma a espera-se resguardar direitos individuais e fomentar a inovaccedilatildeo por meio do estabelecimento de regras claras harmocircnicas e transparentes

13 Objetivo Para descrever o processo e o resultado da criaccedilatildeo de uma estrutura normativa no contexto brasileiro vamos analisar como a LGPD dialoga com as normas setoriais de proteccedilatildeo de dados jaacute existentes no paiacutes Abordaremos tambeacutem os principais pilares e pontos relevantes da LGPD a fim de esclarecer a sua importacircncia e no que ela gera impacto Por fim considerando que tambeacutem em 2018 entrou em vigor a GDPR abordaremos de forma superficial alguns pontos de contato entre ambas as normas

Proteccedilatildeo de Dados

a construccedilatildeo de um direito

Os 8 anos que separam a publicaccedilatildeo da primeira consulta puacuteblica e a aprovaccedilatildeo da LGPD foram marcados por intensos debates os quais contaram com a participaccedilatildeo de membros dos mais diversos setores da sociedade A preocupaccedilatildeo em aprimorar a lei pode ser observada diante do fato de que as discussotildees para o desenvolvimento da redaccedilatildeo dos textos dos PLs 406012 e 527616 contaram com 2 consultas puacuteblicas e 13 audiecircncias puacuteblicas46 Durante o mesmo periacuteodo tramitava um outro Projeto de Lei no Senado o PLS 33013 Este contou com apenas 2 audiecircncias puacuteblicas e acabou sendo arquivado posteriormente47

46 BRASIL Cacircmara dos Deputados PL 406012 - Tratamentoe Proteccedilatildeo de Dados Pessoais ndash Reuniotildees AnterioresDisponiacutevel em lthttpwww2camaralegbratividadelegislativacomissoescomissoes-temporariasespeciais55alegislaturapl-4060-12-tratamento-e-protecao-de-dadospessoaisgt Acesso em 23 jul 201847 BRASIL Senado Projeto de Lei do Senado ndeg 330 de 2013 Dispotildee sobre a proteccedilatildeo o tratamento e o uso dos dados pessoais e daacute outras providecircncias Disponiacutevel em lthttpswww25senadolegbrwebatividadematerias-mate-ria113947 gt Acesso em 24 ago 2018

Esses anos de debates e construccedilatildeo legislativa demonstram que todo esse percurso foi um grande processo de amadurecimento sobre a mateacuteria de proteccedilatildeo de dados no Brasil48 As audiecircncias puacuteblicas desempenharam um papel importante nesse cenaacuterio Tais eventos contaram com a participaccedilatildeo de acadecircmicos representantes do terceiro setor iniciativa privada governo e ateacute mesmo representantes da Uniatildeo Europeia os quais foram convidados para falar sobre suas experiecircncias no processo legislativo que culminou com a aprovaccedilatildeo da GDPR A presenccedila de tais representantes tornou possiacutevel que os parlamentares que eram responsaacuteveis pelos projetos de lei em questatildeo os conduzissem munidos de riquiacutessima informaccedilatildeo49

Tais discussotildees permitiram que os parlamentares produzissem diversos relatoacuterios sobre o tema aleacutem de emendas aos projetos de lei tratados (foram 11 emendas apenas ao PL 52761650) o que permitiu no geral uma lei bastante completa e a par dos altos padrotildees de qualidade tacitamente impostos pela discussatildeo internacional sobre o tema Contudo as alteraccedilotildees trazidas pela posterior MP ndeg 86918 podem ter enfraquecido determinados pontos da LGPD quando comparado aos padrotildees internacionais como veremos adiante

48 BIONI Bruno De 2010 a 2018 a discussatildeo brasileira so-bre uma lei geral de proteccedilatildeo de dados Jota Disponiacutevel em lthttpswwwjotainfoopiniao-e-analisecolunasagenda--da-privacidade-e-da-protecao-de-dadosde-2010-a-2018-a--discussao-brasileira-sobre-uma-lei-geral-de-protecao-de-da-dos-02072018gt Acessado em 23 jul 2018

49 CAcircMARA DOS DEPUTADOS PL 406012 - Tratamento e Proteccedilatildeo de Dados Pessoais ndash Reuniotildees Anteriores Disponiacutevel em lthttpwww2camaralegbratividade-legislativacomissoescomissoes-temporariasespeciais55a-legislaturapl-4060-12-tratamento-e-protecao-de-dados-pessoaisgt Acessado em 23 jul 201850 BRASIL Cacircmara dos Deputados Projeto de Lei ndeg 5276 de 2016 Dispotildee sobre o tratamento de dados pessoais para a garantia do livre desenvolvimento da personalidade e da dignidade da pessoa natural Disponiacutevel em lthttpwwwcamaragovbrproposicoesWebfichadetramitacaoidProposicao=2084378gt Acesso em 23 jul 2018

Com forte inspiraccedilatildeo na GDPR conforme constou em muitos dos diversos relatoacuterios apresentados durante a tramitaccedilatildeo do PL 406012 na Cacircmara e posteriormente no Senado51 o texto em seus 65 artigos tentou se aproximar a sua proacutepria maneira da legislaccedilatildeo europeia

A lei brasileira inova ao trazer para o cenaacuterio juriacutedico paacutetrio questotildees natildeo satisfatoriamente endereccediladas por outras leis setoriais de proteccedilatildeo de dados existentes no Brasil Citamos por exemplo uma definiccedilatildeo mais exata sobre o conceito de dados pessoais uma previsatildeo expressa das bases legais que autorizam o tratamento de tais dados uma previsatildeo de processamento de dados puacuteblicos a criaccedilatildeo de uma Autoridade Nacional de Proteccedilatildeo de Dados sanccedilotildees etc Nos itens seguintes detalharemos as principais inovaccedilotildees trazidas pela LGPD

22 Como ficam as leis setoriais sobre proteccedilatildeo de dados no Brasil A preocupaccedilatildeo com a privacidade e a proteccedilatildeo de dados no Brasil surge de forma embrionaacuteria com a entrada em vigor do Coacutedigo Penal em 1940 Em seu artigo 151 o coacutedigo prevecirc a proibiccedilatildeo de se violar correspondecircncia alheia Ainda que natildeo trate exatamente da proteccedilatildeo de dados o artigo eacute um marco por tratar pela primeira vez em texto legal do direito agrave privacidade

A Constituiccedilatildeo Federal de 1988 tambeacutem teve certa preocupaccedilatildeo com o tema ao prever em seu artigo 5ordm inciso X a inviolabilidade da intimidade e da vida

51 BRASIL Senado Projeto de Lei do Senado ndeg 4060 de 2012 Dispotildee sobre a proteccedilatildeo o tratamento e o uso dos dados pessoais e daacute outras providecircncias Disponiacutevel em lt httpwwwcamaragovbrproposicoesWebprop_mostrarintegra-codteor=1001750 gt Acesso em 26 set de 2018

privada assegurando ainda o direito a indenizaccedilatildeo pelo dano material ou moral decorrente de sua violaccedilatildeo A constituiccedilatildeo ainda garante a inviolabilidade das comunicaccedilotildees em tracircnsito que somente podem ser interceptadas por meio de ordem judicial

A primeira lei brasileira a de fato tratar da proteccedilatildeo de dados e direitos relativos a este eacute o Coacutedigo de Defesa do Consumidor Lei nordm 8078 de 11 de setembro de 1990 (ldquoCDCrdquo) O dispositivo regula as relaccedilotildees entre consumidores e fornecedores estabelecendo obrigaccedilotildees e direitos para ambos os lados Os dados consumeristas satildeo tema do artigo 43 que daacute aos consumidores o direito de ter acesso e a corrigir informaccedilotildees referentes a si mesmo entre outras disposiccedilotildees O CDC foi complementado pela Lei do Cadastro Positivo Lei 124142012 que criou um microssistema de proteccedilatildeo de dados no contexto das relaccedilotildees de consumo mais especificamente dados de adimplecircncia e modelagem de creacutedito e trata sobre temas como princiacutepio da finalidade necessidade e ateacute mesmo de revisatildeo de decisotildees automatizadas

Diversas leis setoriais que abordavam de alguma forma a proteccedilatildeo de dados foram criadas no legislativo brasileiro Tais leis tratam por exemplo de dados relacionados agrave sauacutede ao mercado financeiro ao direito penal e ateacute mesmo agraves atividades do setor puacuteblico

No campo da sauacutede destacam-se a Resoluccedilatildeo ndeg 182107 do Conselho Federal de Medicina que dispotildee sobre prontuaacuterio eletrocircnico e proteccedilatildeo de dados meacutedicos e a Resoluccedilatildeo da Agecircncia Nacional de Vigilacircncia Sanitaacuteria - ANVISA da Diretoria Colegiada ndeg 442009 que dispotildee sobre boas praacuteticas farmacecircuticas para prestaccedilatildeo desses serviccedilos inclusive o uso de dados

No mercado financeiro podem ser observadas a Lei Complementar ndeg 105 de 10 de janeiro de 2001 que trata do sigilo das operaccedilotildees de instituiccedilotildees financeiras e a Portaria ndeg 52002 da Secretaria de Direito Econocircmico do Ministeacuterio da Justiccedila que tornou abusivas as claacuteusulas em contratos de consumo que autorizam o envio de dados pessoais sem consentimento preacutevio

No acircmbito do Direito Penal o principal exemplo eacute a recente Lei ndeg 12737 de 30 de novembro de 2012 conhecida como Lei Carolina Dieckmann que tornou crime a invasatildeo de dispositivos informaacuteticos Outro importante exemplo eacute a Lei ndeg 9296 de 24 de julho de 1996 que tornou crime a interceptaccedilatildeo telefocircnica sem autorizaccedilatildeo judicial

Jaacute no setor puacuteblico o principal destaque eacute a Lei ndeg 12527 de 18 de novembro de 2011 (ldquoLei de Acesso agrave Informaccedilatildeordquo) de extrema importacircncia por garantir aos cidadatildeos o acesso a dados puacuteblicos nas trecircs esferas governamentais

No mundo online da Internet a Lei ndeg 12965 de 23 de abril de 2014 (ldquoMarco Civil da Internetrdquo) que estabelece princiacutepios garantias direitos e deveres para o uso da internet no Brasil eacute considerada junto com o Decreto 87712016 que a regulamentou um microssistema de proteccedilatildeo de dados no contexto de tratamento de dados por meio da Internet O Marco Civil traz por exemplo como base legal uacutenica a necessidade de consentimento expresso para o tratamento de dados pessoais os quais foram conceituados pelo decreto

Aleacutem de leis setoriais como as mencionadas jaacute existe no Brasil lei municipal e projetos de lei municipal especiacuteficos sobre proteccedilatildeo de dados O principal exemplo eacute a Lei Complementar ndeg 161 de 12 de julho de 2018 do municiacutepio de Vinhedo Satildeo Paulo mas tambeacutem haacute em Campinas e Satildeo Paulo

projetos de lei com o mesmo objetivo ndash garantir a proteccedilatildeo dos dados dos cidadatildeos desses municiacutepios

Com a entrada em vigor da Lei Geral de Proteccedilatildeo de Dados muito se questiona sobre a situaccedilatildeo de tais leis de proteccedilatildeo de dados no Brasil Nesse cenaacuterio a LGPD pode ser vista como uma diretiva geral para a proteccedilatildeo de dados no Brasil Isso significa que a nova lei busca natildeo substituir as que existem atualmente mas estabelecer regras e princiacutepios gerais para que as mesmas possam ser cumpridas de uma maneira mais beneacutefica para os titulares dos dados pessoais Naturalmente caso se verifiquem contradiccedilotildees entre essas leis e a LGPD as regras claacutessicas para decisatildeo entre contradiccedilotildees juriacutedicas deveratildeo ser aplicadas

O Escopo da Lei Geral de Proteccedilatildeo de Dados no Brasil

Apoacutes analisar o histoacuterico europeu e sul-americano de proteccedilatildeo de dados vamos explorar de maneira especiacutefica os institutos mais importantes presentes em nossa Lei Geral de Proteccedilatildeo de Dados

Assim em primeiro lugar importa ressaltar que a LGPD possui aplicaccedilatildeo extraterritorial52 ou seja ateacute mesmo entidades sem presenccedila fiacutesica no Brasil podem estar sujeitas a ela

Satildeo fatores que determinam a incidecircncia da LGPD como regra geral (i) que a operaccedilatildeo do tratamento se decirc em territoacuterio nacional ou (ii) que o intuito deste tratamento seja oferecer bens ou serviccedilos ou simplesmente se deem sobre dados de indiviacuteduos localizados no territoacuterio nacional ou por fim (iii) que os dados pessoais objeto do tratamento tenham sido coletados no territoacuterio nacional53

52 As exceccedilotildees estatildeo descritas nos incisos do artigo 4ordm da Lei 13709 de agosto de 201853 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 3ordm incisos I II e III

31 Dados pessoais e categoria de dados Nossa legislaccedilatildeo define dado pessoal como a ldquoinformaccedilatildeo relacionada agrave pessoa natural identificada ou identificaacutevel54rdquo Ou seja qualquer informaccedilatildeo que isolada ou associada a outras permite identificaccedilatildeo de uma pessoa natural A abrangecircncia da definiccedilatildeo eacute uma maneira de enquadrar mais informaccedilotildees nessa categoria aumentando o escopo de aplicaccedilatildeo da lei

Uma das categorias de dados presente na lei satildeo os dados pessoais sensiacuteveis A LGPD indica que dados pessoais sensiacuteveis satildeo aqueles sobre ldquoorigem racial ou eacutetnica convicccedilatildeo religiosa opiniatildeo poliacutetica filiaccedilatildeo a sindicato ou a organizaccedilatildeo de caraacuteter religioso filosoacutefico ou poliacutetico dado referente agrave sauacutede ou agrave vida sexual dado geneacutetico ou biomeacutetrico quando vinculado a uma pessoa natural55rdquo A nomenclatura ldquosensiacuteveisrdquo adveacutem do fato de que essas informaccedilotildees podem sujeitar os seus titulares agraves praacuteticas discriminatoacuterias e por isso o tratamento de tais dados deve observar bases legais mais restritivas e padrotildees de seguranccedila mais elevados

A terceira e uacuteltima categoria abordada pela lei eacute a dos dados anonimizados Tratam-se de dados sobre um titular ldquoque natildeo possa ser identificado utilizando-se meios teacutecnicos razoaacuteveis e disponiacuteveis na ocasiatildeo de seu tratamento56rdquo Dados anonimizados natildeo estariam sujeitos agraves regras da lei caso natildeo possam ser reidentificados57 incentivando inovaccedilotildees como internet das coisas e inteligecircncia artificial Mais adiante abordaremos com mais detalhes o processo de anonimizaccedilatildeo

54 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 5ordm Inciso I55 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 5ordm Inciso II56 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 5ordm Inciso III57 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 12 caput

32 Bases legais A LGPD possui 10 bases legais para a coleta e o processamento de dados Bases legais satildeo hipoacuteteses pelas quais a legislaccedilatildeo permite que seja realizado o tratamento de dados pessoais Antes no Brasil existiam poucas bases legais expressamente previstas em lei tais como consentimento interesse puacuteblico e obrigaccedilatildeo legal Com a LGPD o leque de bases legais aumentou tornando o tratamento de dados possivelmente mais flexiacutevel do que os realizados com base somente nas leis nacionais vigentes Para que seja realizado o tratamento dos dados pessoais de forma legiacutetima e liacutecita eacute preciso observar os princiacutepios gerais58 e bases legais especiacuteficas que dependem da categoria de dados em questatildeo

A LGPD apresenta 10 hipoacuteteses que permitem o tratamento dos dados pessoais sendo o consentimento do titular somente uma delas Esse consentimento deve ser fornecido por escrito ou por outro meio que demonstre a manifestaccedilatildeo de vontade do titular59 Tambeacutem vale destacar que em caso de consentimento escrito ele deveraacute constar em claacuteusula destacada no contrato60 e que

58 Os princiacutepios se encontram no caput e nos 10 incisos do artigo 6 da LGPD Eles seriam a boa-feacute a finalidade adequaccedilatildeo necessidade livre acesso qualidade dos dados transparecircncia seguranccedila prevenccedilatildeo natildeo discriminaccedilatildeo e responsabilizaccedilatildeo e prestaccedilatildeo de contas59 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 8ordm caput60 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 8ordm

o ocircnus da prova de consentimento cabe ao controlador61 Aleacutem disso o titular dos dados tem o direito de forma gratuita e facilitada de revogar o seu consentimento62

Assim no conjunto as bases legais satildeo (i) o consentimento do titular63 (ii) o cumprimento de obrigaccedilatildeo legal ou regulatoacuteria pelo controlador64 (iii) a execuccedilatildeo de poliacuteticas puacuteblicas65 (iv) a realizaccedilatildeo de estudos66 por oacutergatildeos de pesquisa67 (v) a execuccedilatildeo de contrato de qual seja parte o titular68 (vi) o exerciacutecio regular de direito em processo judicial administrativo ou arbitral69 (vii) a proteccedilatildeo da vida70 (viii) a tutela da sauacutede71 (ix) o legiacutetimo interesse72 e por fim (x) a proteccedilatildeo ao creacutedito73

Importante pontuar que o instituto do legiacutetimo interesse do controlador dos dados estaacute presente na legislaccedilatildeo Dessa forma o controlador poderaacute fundamentar o tratamento dos dados para finalidades legiacutetimas observadas em situaccedilotildees concretas independente do consentimento do titular uma vez que todas as bases legais satildeo independentes entre si e nenhuma

61 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 8ordm sect2ordm62 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 8ordm sect5ordm63 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso I64 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso II65 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso III66 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso IV67 A definiccedilatildeo de oacutergatildeo de pesquisa se encontra no artigo 5ordm XVII68 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso V69 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso VI70 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso VII71 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso VIII72 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso IX73 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso X

prepondera sobre a outra74

Para os dados pessoais sensiacuteveis as regras satildeo mais restritivas em comparaccedilatildeo aos dados pessoais ldquocomunsrdquo No caso do consentimento do titular ele deve ser feito de forma especiacutefica e destacada para as finalidades de tratamento descritas75 comportando exceccedilotildees para o seu tratamento sem consentimento apenas quando esse dado for indispensaacutevel para a execuccedilatildeo das atividades destacadas na lei76

Outra categoria de dados que possui base legal destacada satildeo os dados pessoais de crianccedilas assim categorizadas como aquelas cuja idade seja ateacute 12 anos O consentimento para tratamento deveraacute ser especiacutefico e em destaque e deveraacute ser realizado por um dos pais ou responsaacutevel legal77 O tratamento de dados pessoais de adolescentes ou seja agravequeles superiores agrave 12 anos tem que ser feito no seu melhor interesse respeitando as bases legais e os princiacutepios relativos agrave dados pessoais

33 Anonimizaccedilatildeo x Pseudonimizaccedilatildeo Outro ponto presente na LGPD eacute a diferenciaccedilatildeo entre dados anonimizados e os pseudonimizados Como jaacute observamos anteriormente os dados anonimizados satildeo aqueles que natildeo podem identificar o titular utilizando meios teacutecnicos razoaacuteveis e disponiacuteveis na eacutepoca de seu tratamento Por esse motivo eles natildeo satildeo considerados dados pessoais e essa impossibilidade de identificaccedilatildeo retira os dados anocircnimos do escopo da LGPD

Por outro lado os dados pseudonimizados satildeo aqueles sujeitos ao tratamento que

74 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 10 incisos I e II75 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 11 inciso I76 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 11 inciso II itens a b c d e f e g77 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 14 sect1ordm

satildeo aqueles sujeitos ao tratamento que impossibilita a associaccedilatildeo a um indiviacuteduo salvo pelo uso de informaccedilatildeo adicionalmente mantida em separado pelo controlador78 Em nossa LGPD os dados pseudonimizados soacute podem ser utilizados na realizaccedilatildeo de pesquisas em sauacutede puacuteblica observando as regras do artigo 13 e seus paraacutegrafos

Neste caso podemos pontuar que os dados anonimizados caso natildeo seja possiacutevel a sua reidentificaccedilatildeo atraveacutes de meios razoaacuteveis podem ser utilizados de maneira ampla enquanto os dados pseudonimizados soacute podem ser utilizados para fins cientiacuteficos bastante restritos

Aleacutem disso a lei natildeo obriga a anonimizaccedilatildeo mas sim apenas indica quando possiacutevel que isso seja feito isso significa que se ldquoArdquo eacute uma empresa que trabalha operando seus serviccedilos com bases em CPF e precisa desse identificador para poder gerar um target ou realizar enriquecimento de dados por exemplo ela natildeo poderaacute anonimizar a sua base de dados porque isso inviabilizaria os seus serviccedilos mas poderaacute tatildeo somente pseudonimizar e criptografar os dados a fim de mitigar riscos associados a possiacuteveis incidentes

Portanto eacute importante mensurar essa diferenccedila a fim de compreender tecnicamente e dentro do escopo da lei o contexto da base de dados de um oacutergatildeo puacuteblico ou empresa e assim traccedilar medidas de como implementar medidas teacutecnicas de pseudonimizaccedilatildeo

35 Compartilhamento de dados A LGPD define o uso compartilhado de dados como

78 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 13 sect4ordm

ldquocomunicaccedilatildeo difusatildeo transferecircncia internacional interconexatildeo de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por oacutergatildeos e entidades puacuteblicos no cumprimento de suas competecircncias legais ou entre esses e entes privados reciprocamente com autorizaccedilatildeo especiacutefica para uma ou mais modalidades de tratamento permitidas por esses entes puacuteblicos ou entre entes privadosrdquo79

Para o compartilhamento dos dados pessoais eacute preciso ter uma base legal adequada ao contexto do tratamento80 Eacute importante que o controlador tenha rastreabilidade dos dados pessoais que transfere aos seus parceiros pois os titulares possuem os direitos de saber com quem e para quais finalidades seus dados foram compartilhados81 assim como de que suas demandas por correccedilatildeo eliminaccedilatildeo anonimizaccedilatildeo ou bloqueio de dados sejam replicadas agravequeles que obtiveram os dados compartilhados

Importante pontuar que o Poder Puacuteblico possui maiores liberdades na seara de compartilhamento de dados entre oacutergatildeos da Administraccedilatildeo Puacuteblica Por exemplo maior liberdade para o compartilhamento de dados sensiacuteveis82 estruturaccedilatildeo de dados pessoais para uso compartilhado83 entre outros Contudo vale ressaltar que o Poder Puacuteblico soacute pode compartilhar dados mediante uma previsatildeo legal especiacutefica que apresente finalidades especiacuteficas para esse compartilhamento atendendo ao princiacutepio da finalidade e legalidade como eacute o caso das Lei de Lavagem de Dinheiro Lei de Combate

79 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 5ordm inciso XVI80 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm sect5ordm Apesar deste paraacutegrafo falar em consentimento especiacutefico e apoacutes em dispensa do consentimento aqui houve uma atecnia legislativa O compartilhamento pode ser feito com fundamen-to em qualquer uma das bases legais do referido artigo 81 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 9 incisos V e VII e artigo 18 inciso VII82 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 23 caput83 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 24 Paraacutegrafo Uacutenico

agraves Organizaccedilotildees Criminosas e Lei de Acesso agrave Informaccedilatildeo Sempre respeitando o princiacutepio da necessidade e da proporcionalidade no momento da coleta dos dados

Com a nova redaccedilatildeo dada agrave LGPD pela Medida Provisoacuteria nordm 86918 o compartilhamento de dados sensiacuteveis de sauacutede tambeacutem passa a ser possiacutevel para a prestaccedilatildeo de serviccedilos de sauacutede suplementar como operadoras de planos de sauacutede84

Por fim aleacutem das regras jaacute dispostas na LGPD a Autoridade Nacional de Proteccedilatildeo de Dados (a ldquoANPDrdquo) poderaacute estabelecer normas complementares sobre o uso compartilhado de dados pessoais85 Como seraacute melhor explicado nos itens 311 e 312 a ANPD teraacute como funccedilatildeo fiscalizar o cumprimento das disposiccedilotildees presentes na LGPD bem como aplicar as sanccedilotildees cabiacuteveis no caso de infraccedilatildeo de uma ou mais delas86

36 Hipoacuteteses de exclusatildeo de dados A ldquoeliminaccedilatildeordquo eacute um termo definido na LGPD como ldquoexclusatildeo de dado ou de conjunto de dados armazenados em banco de dados independentemente do procedimento empregadordquo87 Aleacutem disso o termo eliminaccedilatildeo eacute utilizado como uma modalidade de tratamento de dados88

Os titulares dos dados pessoais possuem o direito de exigir a qualquer momento e mediante requisiccedilatildeo a eliminaccedilatildeo de dados desnecessaacuterios excessivos ou

84 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 11 Paraacutegrafo 4ordm inciso II85 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 30 caput86 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 52 caput 87 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 5 inciso XIV 88 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 5 inciso X

em desconformidade com a LGPD89 podendo inclusive solicitar a eliminaccedilatildeo de dados tratados originalmente com seu consentimento90

Aleacutem disso os dados pessoais devem ser eliminados pelo controlador apoacutes o teacutermino de seu tratamento91 Esse teacutermino eacute observado nas seguintes hipoacuteteses taxativas dos incisos do artigo 21 da LGPD

rdquo I ndash verificaccedilatildeo de que a finalidade foi alcanccedilada ou de que os dados deixaram de ser necessaacuterios ou pertinentes ao alcance da finalidade especiacutefica almejadaII ndash fim do periacuteodo de tratamentoIII ndash comunicaccedilatildeo do titular inclusive no exerciacutecio de seu direito de revogaccedilatildeo do consentimento conforme disposto no sect 5ordm do art 14 desta Lei resguardado o interesse puacuteblico ouIV ndash determinaccedilatildeo da autoridade nacional quando houver violaccedilatildeo ao disposto nesta Leirdquo 92

O direito agrave exclusatildeo dos dados pessoais no entanto natildeo eacute absoluto A exclusatildeo ou cancelamento dos dados requerida pelo titular dos dados eacute baseada na revogaccedilatildeo de seu consentimento93 Caso exista uma outra base legal que natildeo o consentimento que autorize a manutenccedilatildeo dos dados a empresa poderaacute continuar o tratamento ateacute que a finalidade desta outra base legal seja atingida Ou seja uma vez que o armazenamento dos dados eacute uma hipoacutetese de tratamento destes eacute necessaacuterio ter uma base legal para ela seja o consentimento ou alguma outra das previstas na LGPD Outras exceccedilotildees que autorizam a manutenccedilatildeo dos dados pessoais satildeo sua utilizaccedilatildeo para o cumprimento da

89 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 18 inciso IV90 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 18 inciso VI91 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 1692 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 1593 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 15 inciso III

lei ou de regulaccedilatildeo para estudo por oacutergatildeo de pesquisa para transferecircncia a terceiros respeitando os dispositivos da LGPD e para uso exclusivo pelo controlador desde que os dados estejam anonimizados94

37 Direitos dos titulares A LGPD busca assegurar a toda pessoa natural a titularidade de seus dados pessoais aleacutem de garantir os seus direitos fundamentais de liberdade intimidade e privacidade95 Aleacutem disso haacute uma seacuterie de direitos especiacuteficos que estatildeo indicados ao longo dos artigos 18 e 20 da lei Dentre eles podemos classificar primeiramente os chamados ldquodireitos ARCOrdquo que garantem aos titulares (i) acesso (ii) retificaccedilatildeo (iii) cancelamento (chamado aqui de eliminaccedilatildeo) e (iv) oposiccedilatildeo ao processamento de seus dados pessoais (art 18 incisos II III VI e sect2ordm)

Aleacutem destes direitos a LGPD garante tambeacutem aos titulares a (v) confirmaccedilatildeo da existecircncia de tratamento (vi) anonimizaccedilatildeo bloqueio ou eliminaccedilatildeo de dados desnecessaacuterios excessivos ou tratados em desconformidade com o disposto na LGPD (vii) portabilidade dos dados (viii) informaccedilatildeo das entidades puacuteblicas e privadas com as quais o controlador realizou uso compartilhado de dados (ix) informaccedilatildeo sobre a possibilidade de natildeo fornecer consentimento e sobre as consequecircncias da negativa e (x) a revogaccedilatildeo do consentimento (art 18 I IV V VII VIII e IX)

Aleacutem desses direitos eacute possiacutevel inferir mais um no artigo 20 o qual trata sobre (xi) revisatildeo de decisatildeo automatizada que com as mudanccedilas trazidas pela MP ndeg 86918 na LGPD natildeo precisa ser realizada por

94 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 16 incisos I II III e IV95 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 17

pessoa natural96

Nesse sentido segue abaixo uma breve explicaccedilatildeo e exemplos sobre alguns desses direitos

Requisiccedilatildeo de acesso aos seus dados pessoais Este direito permite que o titular possa requisitar e receber uma coacutepia dos seus dados pessoais

Requisiccedilatildeo de retificaccedilatildeo dos dados pessoais Este direito permite que o titular a qualquer momento possa solicitar a correccedilatildeo eou retificaccedilatildeo dos seus dados pessoais caso ele identifique que alguns deles estatildeo incorretos

Requisiccedilatildeo de exclusatildeo dos dados pessoais Este direito permite que o titular possa solicitar a exclusatildeo dos seus dados pessoais Todos os dados coletados deveratildeo ser excluiacutedos salvo se houver qualquer outra razatildeo para a manutenccedilatildeo deles como eventual obrigaccedilatildeo legal de retenccedilatildeo de dados ou necessidade de preservaccedilatildeo destes para resguardo de direitos do operador ou controlador

Oposiccedilatildeo a um processamento de dados O titular tem o direito de contestar onde e em que contexto os agentes de tratamento estatildeo tratando os seus dados pessoais para diferentes finalidades E poderaacute se opor em relaccedilatildeo a uma finalidade ou todas Em alguns casos eacute possiacutevel demonstrar que os agentes possuem motivos legiacutetimos para processar os dados pessoais os quais podem se sobrepor aos direitos dos titulares jaacute que nesses casos podem ser essenciais para o fornecimento do produto eou serviccedilo

Restringir o processamento dos dados

96 Vale lembrar que a MP 86918 trouxe outras mudanccedilas significativas neste artigo 20 da LGPD retirando (i) a possi-bilidade do titular dos dados requisitar informaccedilotildees sobre os criteacuterios e os procedimentos utilizados para a decisatildeo automa-tizada e (ii) a possibilidade da ANPD realizar auditoria para verificar eventuais aspectos discriminatoacuterios realizados por processos algoriacutetmicos mudanccedilas que impactam diretamente no princiacutepio da transparecircncia e o direito agrave explicaccedilatildeo

pessoais Este direito permite que o titular peccedila aos agentes de tratamento para suspender o processamento de seus dados pessoais nos seguintes cenaacuterios (a) se o titular quiser que os agentes estabeleccedilam a precisatildeo dos dados (b) quando o titular precisar que sejam mantidos os dados mesmo se os agentes natildeo precisarem mais deles conforme necessaacuterio para estabelecer exercer ou defender reivindicaccedilotildees legais ou (c) nos caso em que o titular se opocircs ao uso de seus dados mas os agentes precisam verificar se tem motivos legiacutetimos para usaacute-los

Titular solicitar a portabilidade dos dados pessoais para ele ou para terceiros Ele permite que o titular requisite que seus dados sejam disponibilizados em um formato estruturado e interoperaacutevel que facilite a transferecircncia para outros fornecedores de produtos ou serviccedilos de forma similar como jaacute eacute feito entre as operadoras de telefonia no Brasil atraveacutes da Resoluccedilatildeo 4602007 da Anatel

Direito de retirar o consentimento a qualquer momento O titular tem o direito de retirar o seu consentimento no entanto isso natildeo afetaraacute a legalidade de qualquer processamento realizado antes disso acontecer Dependendo do contexto se o titular retirar o seu consentimento talvez natildeo seja possiacutevel aos agentes de tratamento fornecer determinados produtos e serviccedilos E se for este o caso eles precisam avisar o titular no momento em que isso ocorrer

Solicitaccedilatildeo por parte do titular de revisatildeo de decisotildees Outro importante direito dos titulares eacute o de solicitar a revisatildeo de decisotildees tomadas unicamente com base em tratamento automatizado de seus dados pessoais que afetem seus interesses incluiacutedas as decisotildees destinadas a definiccedilatildeo de perfis pessoais profissionais de consumo e de creacutedito eou

os aspectos de sua personalidade97 Com as mudanccedilas trazidas pela MP 86918 na LGPD tal revisatildeo natildeo precisa mais ser realizada por uma pessoa natural

38 Transferecircncia internacional de dados A transferecircncia internacional de dados eacute aquela na qual os dados pessoais satildeo transferidos para paiacutes estrangeiro ou organismo internacional do qual o paiacutes seja membro98 sendo tambeacutem a transferecircncia internacional uma forma de tratamento de dados pessoais99

A transferecircncia internacional soacute eacute permitida quando realizada para paiacuteses ou organismos internacionais que proporcionem grau de proteccedilatildeo de dados pessoais adequado100 A adequaccedilatildeo seraacute avaliada pela ANPD101 e levaraacute em consideraccedilatildeo por exemplo as normas gerais e setoriais da legislaccedilatildeo em vigor no local de destino a natureza dos dados a observacircncia dos princiacutepios e direitos dos titulares da LGPD a adoccedilatildeo de medidas de seguranccedila previstas em regulamento entre outras

Outra autorizaccedilatildeo de transferecircncia internacional se daacute quando o controlador oferecer e comprovar garantias de cumprimento dos princiacutepios direitos do titular e regime de proteccedilatildeo previstos na LGPD por diversas formas como claacuteusulas contratuais especiacuteficas ou padronizadas normas corporativas globais ou selos certificados e

97 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 20 caput98 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 5 inciso XV99 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 5 inciso X100 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 33 inciso I101 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 34 caput

coacutedigos de conduta102

A transferecircncia tambeacutem poderaacute ocorrer quando for necessaacuteria para cooperaccedilatildeo juriacutedica internacional importante para a proteccedilatildeo da vida do titular ou de terceiros autorizado pela ANPD por compromissos internacionais de cooperaccedilatildeo para execuccedilatildeo de poliacutetica puacuteblica fornecimento de consentimento especiacutefico para a transferecircncia internacional que deve se dar de forma destacada para o titular103 entre outras104

39 Comunicaccedilatildeo de incidente Na ocorrecircncia de algum incidente de seguranccedila com os dados pessoais que possa acarretar risco ou danos aos titulares tais como vazamento dos dados ou uso inadequado destes o controlador deveraacute comunica-los e agrave ANPD105

A ANPD iraacute estabelecer prazo razoaacutevel para comunicar o incidente que deveraacute conter no miacutenimo106

102 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 33 inciso II103 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 33 incisos de III ateacute VIII104 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 33 inciso IX e Artigo 7ordm incisos II V e VI105 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 48 caput106 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 48 sect1ordm

ldquoI ndash a descriccedilatildeo da natureza dos dados pessoais afetadosII ndash as informaccedilotildees sobre os titulares envolvidosIII ndash as medidas teacutecnicas e de seguranccedila utilizadas para a proteccedilatildeo dos dadosobservados os segredos comercial e industrialIV ndash os riscos relacionados ao incidenteV ndash os motivos da demora no caso de a comunicaccedilatildeo natildeo ter sido imediata eVI ndash as medidas que foram ou que seratildeo adotadas para reverter ou mitigar os efeitos do incidenterdquo

A ANPD levando em consideraccedilatildeo a gravidade do incidente poderaacute determinar ao controlador providecircncias como a ampla divulgaccedilatildeo do ocorrido ou adoccedilatildeo de medidas que mitiguem ou revertam o incidente107

310 Padrotildees de seguranccedila da informaccedilatildeo O Decreto nordm 8771 de 11 de maio de 2016 regulamenta o Marco Civil da Internet e apresenta em seu artigo 13 diretrizes para desenvolvimento de padrotildees de seguranccedila que devem ser observados por provedores de conexatildeo e aplicaccedilatildeo Essas diretrizes satildeo o estabelecimento de controle estrito sobre o acesso dos dados a previsatildeo de mecanismo de autenticaccedilatildeo de registros a criaccedilatildeo de inventaacuterio detalhado de acesso e o uso de teacutecnicas de inviolabilidade dos dados

A LGPD apresenta novas regras sobre padrotildees de seguranccedila da informaccedilatildeo Os agentes de tratamento devem adotar medidas de seguranccedila teacutecnica e administrativa para proteger os dados pessoais tratados108

107 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 48 sect2ordm 108 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 46 caput

Esses padrotildees devem ser adotados desde a fase inicial da concepccedilatildeo do produto ou serviccedilo O instituto do ldquoprivacy by designrdquo que internacionalmente se consagrou por meio da GDPR acaba encontrando por esse dispositivo sua concretizaccedilatildeo em nosso ordenamento juriacutedico

A ANPD desempenha funccedilotildees importantes nessa seara Ela poderaacute dispor sobre padrotildees miacutenimos de privacidade de acordo com a natureza das informaccedilotildees tratadas109 poderaacute dispor sobre padrotildees e teacutecnicas para o processo de anonimizaccedilatildeo110 sugerir a adoccedilatildeo de padrotildees e boas praacuteticas para tratamento de dados pessoais pelo Poder Puacuteblico111 entre outros

Importante mencionar que a iniciativa privada tambeacutem pode estabelecer boas praacuteticas e padrotildees de seguranccedila da informaccedilatildeo112 Ao desenvolver esses padrotildees a LGPD aponta os itens miacutenimos que devem ser observados determinando que quem queira apresentar iniciativas ldquoa) demonstre o comprometimento

do controlador em adotar processos

e poliacuteticas internas que assegurem o

cumprimento de forma abrangente

de normas e boas praacuteticas relativas

agrave proteccedilatildeo de dados pessoais

b) seja aplicaacutevel a todo o conjunto

de dados pessoais que estejam sob

seu controle independentemente do

modo como se realizou sua coleta

109 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 46 sect1ordm110 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 12 sect3ordm111 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 32 caput112 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 50

c) seja adaptado agrave estrutura agrave escala e ao

volume de suas operaccedilotildees bem como agrave

sensibilidade dos dados tratados

d) estabeleccedila poliacuteticas e salvaguardas

adequadas com base em processo de

avaliaccedilatildeo sistemaacutetica de impactos e

riscos agrave privacidade

e) tenha objetivo de estabelecer relaccedilatildeo

de confianccedila com o titular por meio de

atuaccedilatildeo transparente que lhe assegure

mecanismos de participaccedilatildeo

f) esteja integrado a sua estrutura geral

de governanccedila e estabeleccedila e aplique

mecanismos de supervisatildeo internos e

externos

g) conte com planos de resposta a

incidentes e remediaccedilatildeo e

h) seja atualizado constantemente com

base em informaccedilotildees obtidas a partir de

monitoramento contiacutenuo e avaliaccedilotildees

perioacutedicasrdquo

Deve-se lembrar que estes satildeo os requisitos miacutenimos Naturalmente as empresas podem adotar padrotildees mais rigorosos de seguranccedila ou mesmo procurarem estar de acordo com normas internacionais como a GDPR

311 Sanccedilotildees A LGPD prevecirc uma seacuterie de sanccedilotildees administrativas que devem ser aplicadas pela ANPD Elas seriam113

113 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 52

ldquoI ndash advertecircncia com indicaccedilatildeo de prazo para adoccedilatildeo de medidas corretivasII ndash multa simples de ateacute 2 (dois por cento) do faturamento da pessoa juriacutedica de direito privado grupo ou conglomerado no Brasil no seu uacuteltimo exerciacutecio excluiacutedos os tributos limitada no total a R$ 5000000000 (cinquenta milhotildees de reais) por infraccedilatildeoIII ndash multa diaacuteria observado o limite total a que se refere o inciso IIIV ndash publicizaccedilatildeo da infraccedilatildeo apoacutes devidamente apurada e confirmada a sua ocorrecircnciaV ndash bloqueio dos dados pessoais a que se refere a infraccedilatildeo ateacute a regularizaccedilatildeo daatividade de tratamento pelo controladorVI ndash eliminaccedilatildeo dos dados pessoais a que se refere a infraccedilatildeordquo

Para definiccedilatildeo da sanccedilatildeo aplicaacutevel a ANPD utilizaraacute como paracircmetro114 a gravidade e a natureza das infraccedilotildees e dos direitos pessoais afetados a boa-feacute do infrator a vantagem auferida ou pretendida pelo infrator a condiccedilatildeo econocircmica do infrator a reincidecircncia a extensatildeo do dano a cooperaccedilatildeo do infrator comprovaccedilatildeo de utilizaccedilatildeo de mecanismo capazes de miacutenima os danos a adoccedilatildeo de poliacuteticas de boas praacuteticas e governanccedila e a pronta adoccedilatildeo de medidas corretivas

Por fim a ANPD poderaacute por regulamento proacuteprio definir as metodologias que orientaratildeo o caacutelculo do valor-base das sanccedilotildees administrativas relativas a infraccedilotildees agrave LGPD que deveraacute ser objeto de consulta puacuteblica115

312 Autoridade Nacional de Proteccedilatildeo de Dados Como jaacute brevemente mencionado no projeto

114 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 52 sect1ordm incisos de I ateacute X115 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 53 caput

de lei aprovado pelo Congresso Nacional a ANPD seria uma autarquia vinculada ao Ministeacuterio da Justiccedila No entanto os artigos referentes a sua criaccedilatildeo116 presentes no PLC 532018 foram vetados na fase de sanccedilatildeo presidencial A justificativa central deste veto foi a de que a instituiccedilatildeo da ANPD atraveacutes da LGPD apresentaria viacutecio de iniciativa tendo em vista que sua criaccedilatildeo seria de competecircncia do Poder Executivo117 segundo Michel Temer118

Sendo assim em 27 de dezembro de 2018 o entatildeo Presidente Michel Temer editou a MP ndeg 86918 publicada no Diaacuterio Oficial da Uniatildeo em 28 de dezembro de 2018 que aleacutem de promover determinadas alteraccedilotildees no texto sancionado da LGPD tambeacutem criou a ANPD como sendo um oacutergatildeo da administraccedilatildeo puacuteblica federal direta e vinculado diretamente agrave Presidecircncia da Repuacuteblica119 120

De acordo com o texto da MP ndeg 86918 a ANPD seraacute composta por seis departamentos destacando-se o Conselho Diretor o Conselho Nacional de Proteccedilatildeo de Dados Pessoais e Privacidade o oacutergatildeo de assessoramento juriacutedico e as unidades especializadas121 que provavelmente iratildeo atuar de forma distribuiacuteda pelo paiacutes

O Conselho Diretor seraacute composto por cinco diretores dos quais um seraacute o Diretor Presidente122 Os membros do Conselho seratildeo nomeados diretamente pelo Presidente

116 BRASIL Cacircmara dos Deputados Projeto de Lei da Cacircmara ndeg 53 de 2018 Artigo 55 e seguintes117 Sancionada com vetos lei geral de proteccedilatildeo de dados Se-nado Notiacutecias 15 ago 2018 Disponiacutevel em lthttpswww12senadolegbrnoticiasmaterias20180815sancionada--com-vetos-lei-geral-de-protecao-de-dados-pessoaisgt118 Ibidem119 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 55-A120 A MP 8702019 que estabelece a organizaccedilatildeo baacutesica dos oacutergatildeos da Presidecircncia da Repuacuteblica e dos Ministeacuterios tambeacutem a ANPD como sendo um oacutergatildeo integrante da Presidecircncia da Repuacuteblica em seu artigo 2ordm inciso VI 121 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 55-B122 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 55-D caput

da Repuacuteblica para cargos de comissatildeo123 e selecionados por meio de meacutetricas objetivas124 Aleacutem disso o mandato dos membros do Conselho Diretor seraacute de 04 anos125 sendo certo que as primeiras nomeaccedilotildees teratildeo prazos diferenciados de acordo com o que for estabelecido no ato da nomeaccedilatildeo126

Jaacute o Conselho Nacional de Proteccedilatildeo de Dados Pessoais e Privacidade seraacute composta por 23 membros com composiccedilatildeo multissetorial127 Basicamente o Conselho Nacional seraacute um oacutergatildeo consultivo sem poder sancionatoacuterio ou investigativo acessoacuterio agrave ANPD que auxiliaraacute na elaboraccedilatildeo da Poliacutetica Nacional de Proteccedilatildeo de Dados Pessoais e na atuaccedilatildeo da ANPD O Conselho Nacional deveraacute elaborar relatoacuterios para averiguar as accedilotildees da Poliacutetica Nacional podendo tambeacutem elaborar estudos realizar debates e audiecircncias puacuteblicas sobre temas correlatos agrave privacidade e proteccedilatildeo de dados aleacutem de disseminar conhecimento para a populaccedilatildeo em geral128No que se refere agraves competecircncias da ANPD129 destacamos o zelo pela proteccedilatildeo de dados pessoais fiscalizar e aplicar sanccedilotildees entre diversas outras funccedilotildees citadas anteriormente130 Em resumo eacute um oacutergatildeo regulador com funccedilotildees regulamentares fiscalizatoacuterias sancionadora e disciplinadora que teraacute atuaccedilatildeo abrangente lidando com oacutergatildeos puacuteblicos e privados que realizem tratamento de dados pessoais

Por fim vale lembrar que as Medidas Provisoacuterias tecircm aplicaccedilatildeo imediata mas

123 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 55-D sect1ordm124 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 55-D sect 2ordm125 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 55-D sect 3ordm126 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 55-D sect4ordm127 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 58-A128 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 58-B incisos I a V 129 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 55-J incisos I a XVI130 A ANPD eacute citada em nossos itens de Transferecircncia Inter-nacional de Dados Comunicaccedilatildeo de Incidentes Padrotildees de Se-guranccedila da Informaccedilatildeo e Sanccedilotildees

dependem de aprovaccedilatildeo do Congresso Nacional para transformaccedilatildeo definitiva em lei e posterior sanccedilatildeo presidencial caso seu conteuacutedo seja alterado Desta forma tais alteraccedilotildees trazidas pela MP 86918 na LGPD podem perder a eficaacutecia se rejeitadas pelo Congresso Nacional ou perder a validade se passado seu prazo de vigecircncia sem aprovaccedilatildeo da conversatildeo em lei da MP pelo Congresso Nacional

313 Relatoacuterio de Impacto agrave Proteccedilatildeo de Dados e Processo de Conformidade O relatoacuterio de impacto agrave proteccedilatildeo de dados eacute conceituado na LGPD131 como o documento do controlador que tem por objetivo mapear todos os processos de tratamento de dados pessoais realizados pela organizaccedilatildeo que podem gerar riscos agraves liberdades civis e aos direitos fundamentais bem como medidas salvaguardas e mecanismos de mitigaccedilatildeo desses riscos

A LGPD dispotildee que a ANPD poderaacute solicitar ao controlador a elaboraccedilatildeo apresentaccedilatildeo e publicaccedilatildeo do relatoacuterio de impacto agrave proteccedilatildeo de dados em diferentes momentos132 133 E a partir da construccedilatildeo do relatoacuterio eacute possiacutevel visualizar o mapa de dados da empresa e identificar os riscos existentes no fluxo de dados Assim o documento se torna uma fase importante para o processo de demonstraccedilatildeo de conformidade com a Lei

Ocorre que diante da ausecircncia temporaacuteria de uma autoridade brasileira a qual muito aleacutem do papel fiscalizador tem por objetivo contribuir para a melhoria do ecossistema de proteccedilatildeo de dados no Brasil fica difiacutecil

131 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 5deg inciso XVII132 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 10 paraacutegrafo 3ordm e Artigo 38 paraacutegrafo uacutenico133 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 38

elaborar um relatoacuterio de impacto sem a proacutepria autoridade indicar quais satildeo as metodologias e padrotildees que deveriam ser utilizados no momento da elaboraccedilatildeo dele

Assim diante dessa ausecircncia de recomendaccedilotildees empresas e organizaccedilotildees que desejam iniciar o processo de conformidade com a LGPD podem se valer das metodologias aprovadas por legislaccedilotildees e autoridades de proteccedilatildeo de dados estrangeiras enquanto esse tema ainda natildeo eacute definido no Brasil Tendo em vista que a LGPD se inspirou e muito na legislaccedilatildeo europeia da GDPR eacute possiacutevel buscar metodologias e formatos jaacute adotados no cenaacuterio europeu como paracircmetro para estruturaccedilatildeo e aplicaccedilatildeo do relatoacuterio de impacto agrave proteccedilatildeo de dados

A ideia de se elaborar um relatoacuterio de impacto agrave proteccedilatildeo de dados emergiu na Diretiva da Uniatildeo Europeia de 1995 com o Privacy Impact Assessment (ldquoPIArdquo) O PIA buscava endereccedilar riscos e mitigadores relativos agrave privacidade dos indiviacuteduos contudo natildeo abordava algumas questotildees especiacuteficas de proteccedilatildeo de dados Isso mudou com a entrada em vigor da GDPR que introduziu o Data Protection Impact Assessment (ldquoDPIArdquo) trazendo metodologias e requisitos para a elaboraccedilatildeo do documento aleacutem de tornar obrigatoacuteria a sua elaboraccedilatildeo em diversas hipoacuteteses como no caso de processamento de dados em larga escala e quando haacute monitoramento de acessos puacuteblicos

Com a criaccedilatildeo e constituiccedilatildeo da ANPD o relatoacuterio de impacto agrave proteccedilatildeo de dados possivelmente ganharaacute forma e desenho a fim de estruturar metodologias definidas e estabelecer criteacuterios miacutenimos para a sua elaboraccedilatildeo Enquanto a ANPD natildeo eacute constituiacuteda ainda eacute preciso recorrer aos melhores modelos no cenaacuterio internacional para que seja possiacutevel fazer o assessment elaborar o relatoacuterio e demonstrar conformidade com a lei

Desta forma o DPIA se tornou um instrumento que permite uma fotografia do status de conformidade regulatoacuteria da instituiccedilatildeo as leis de proteccedilatildeo de dados incluindo a LGPD a GDPR e leis setoriais Apoacutes esta fotografia eacute possiacutevel identificar o que eacute preciso ser feito para atingir a conformidade Isso pode incluir a revisatildeo de processos elaboraccedilatildeo de poliacuteticas revisatildeo de contratos indicaccedilatildeo de times de supervisatildeo aleacutem de aplicaccedilatildeo de metodologias de proteccedilatildeo de dados desde a concepccedilatildeo conhecida como privacy by design

GDPR x LGPD o que muda com a nova lei brasileira

A comparaccedilatildeo entre a GDPR e a LGPD eacute uma questatildeo de grande valor praacutetico Vale destacar que a GDPR pode se aplicar agraves empresas brasileiras tendo em vista que seu escopo territorial abrange dados coletados de pessoais naturais que se encontram na Uniatildeo Europeia134 Portanto surge o questionamento eacute possiacutevel estar de acordo com ambas as leis

Para respondermos a essa pergunta se faz necessaacuteria a comparaccedilatildeo dos elementos principais de ambos os textos legais Afinal as legislaccedilotildees possuem normas inconciliaacuteveis ou eacute possiacutevel estar em conformidade com ambas as normativas

134 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 3deg

41 Bases legais A LGPD apresenta 10 bases legais135 para tratamento legiacutetimo dos dados pessoais enquanto que a GDPR se limita a 6136 Passaremos a comparar as bases previstas em ambas leis

O consentimento eacute uma base legal que se encontra em ambas as normativas137 138 Sobre esse ponto as normas apresentam algumas semelhanccedilas tais como o consentimento por escrito deveraacute constar em claacuteusula apartada das demais139 140 a prova do consentimento eacute um ocircnus do controladorresponsaacutevel141 142 entre outras Uma importante diferenccedila entre as normas eacute que a GDPR natildeo caracteriza como ldquolivrerdquo o consentimento quando este se mostra como um requisito para a prestaccedilatildeo de um serviccedilo143 enquanto a LGPD apenas destaca que o titular dos dados pessoais deve ser informado quando o tratamento de dados eacute condiccedilatildeo para obtenccedilatildeo de um produto ou serviccedilo144

Por sua vez o tratamento de dados pessoais para exerciacutecio de funccedilotildees de interesse

135 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7deg136 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 6deg137 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 6deg 1138 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso I139 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 7deg 2140 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 8ordm sect1ordm141 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 7deg 1 142 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 8ordm sect2ordm143 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 7deg IV144 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 9ordm sect3ordm

puacuteblico145 146 possui importantes diferenccedilas A primeira delas eacute que a GDPR em seu considerando 31147 afirma que o tratamento pautado nessa base legal natildeo implica que as autoridades possam compartilha-los entre si enquanto a LGPD permite tal compartilhamento no proacuteprio inciso que trata dessa base legal148 contanto que se atente agraves finalidades especiacuteficas de execuccedilatildeo de poliacuteticas puacuteblicas nos termos do artigo 26

Ainda com as alteraccedilotildees trazidas pela MP ndeg 86918 na LGPD o rol de exceccedilotildees ao compartilhamento de dados pessoais pelo Poder Puacuteblico com entes privados ficou ampliado sendo possiacutevel realizar tal transferecircncia quando149 (i) houver a execuccedilatildeo descentralizada de atividade puacuteblica que exija a transferecircncia (ii) o ente privado tiver indicado um encarregado (iii) quando houver previsatildeo legal ou em instrumentos juriacutedicos administrativos (iv) quando a transferecircncia for para fins de prevenccedilatildeo agrave fraude seguranccedila e integridade do titular dos dados e (v) dados forem publicamente acessiacuteveis

Outro ponto importante sobre esse assunto eacute que a LGPD permite que o tratamento de dados pela administraccedilatildeo puacuteblica pode estar respaldado em contratos convecircnios e instrumentos congecircneres dando uma abertura maior do que a GDPR

O legiacutetimo interesse do controlador eacute uma base legal presente em ambas as normas limitada pelos direitos e liberdades fundamentais

145 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 6deg 1 e) 146 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso III147 As consideraccedilotildees dentro de uma norma legal visam apre-sentar as prerrogativas para melhor interpretaccedilatildeo dos artigos de uma determinada lei148 Ainda sobre esse tema o artigo 25 da LGPD afirma que ldquoos dados pessoais tratados pelo Poder Puacuteblico deveratildeo ser mantidos em formado interoperaacutevel e estruturados para uso compartilha-dordquo BRASIL Lei nordm 13709 de 14 de agosto de 2018149 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 26 sect1ordm incisos I a VI

dos titulares dos dados150 151 No entanto tambeacutem haacute divergecircncias A LGPD natildeo permite o tratamento de dados sensiacuteveis de crianccedilas e a transferecircncia internacional fundamentada pelo legiacutetimo interesse Ainda a LGPD natildeo faz maiores consideraccedilotildees sobre se essa base legal poderia ser aplicada para ente puacuteblico no bojo de suas atividades natildeo havendo uma limitaccedilatildeo expressa como na GDPR152

Vale ressaltar que a LGPD apresenta algumas regras especiacuteficas sobre o tratamento com base em legiacutetimo interesse No caso os dados pessoais deveratildeo ser estritamente necessaacuterios para a finalidade pretendida quando tratados por meio de legiacutetimo interesse aleacutem de dever ser garantida a transparecircncia aos titulares para a utilizaccedilatildeo de dados por essa base legal153 Eacute necessaacuterio aplicar um teste de proporcionalidade que leva em consideraccedilatildeo a legitimidade da finalidade a possibilidade de existir uma outra base legal mais adequada aleacutem das expectativas do titular dos dados dentro do contexto de tratamento aleacutem da necessidade de aplicaccedilatildeo de salvaguardas que visem mitigar eventuais danos aos titulares

Sobre as bases legais a seguir natildeo haacute nenhuma diferenccedila substancial entre as normativas execuccedilatildeo de um contrato na qual o titular seja parte154 155 para cumprimento de obrigaccedilatildeo

150 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 6deg 1 f)151 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso IX152 ldquoO primeiro paraacutegrafo aliacutenea f) natildeo se aplica ao tratamen-to de dados efetuado por autoridades puacuteblicas na prossecuccedilatildeodas suas atribuiccedilotildees por via eletrocircnicardquo UNIAtildeO EUROPEIA Re-gulamento 2016679 do Parlamento Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 6deg153 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 10 sect1ordm e 2ordm154 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso V155 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 6ordm 1 b)

legal pelo controlador156 157 proteccedilatildeo de interesses vitais do titular ou de terceiros158 159

Esgotadas as bases legais presentes na GDPR ainda se faz necessaacuterio observar se ela de alguma forma remete agraves outras 4 bases legais presentes na LGPD quais sejam (i) a realizaccedilatildeo de estudos por oacutergatildeo de pesquisa (ii) exerciacutecio regular em processo judicialadministrativoarbitral (iii) para a tutela da sauacutede em procedimentos realizados por profissionais da sauacutede e sanitaacuterios e (iv) a proteccedilatildeo do creacutedito

No contexto da realizaccedilatildeo de estudos por oacutergatildeo de pesquisa a GDPR determina que os Estados-Membros devem conciliar as normas que garantem a liberdade de expressatildeo acadecircmica com o direito agrave proteccedilatildeo de dados pessoais podendo criar exceccedilotildees para garantir o equiliacutebrio desses direitos fundamentais160 A lei tambeacutem prevecirc que o titular tenha a possibilidade de limitar o seu consentimento a determinadas categorias ou projetos de pesquisa especiacuteficos161

A GDPR trata o exerciacutecio ou defesa de um direito em um processo judicial como uma hipoacutetese em que o tratamento dos dados pessoais pode ser menos restrito embora natildeo seja em si uma base legal Os direitos do titular de exigir que seus dados sejam apagados ou retificados ou que o seu tratamento seja limitado podem ser reduzidos se o tratamento for necessaacuterio para a defesa ou exerciacutecio

156 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso II157 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 6ordm 1 c)158 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 7ordm inciso VII 159 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 6ordm 1 d)160 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Considerando (153)161 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Considerando (33)

de direitos em um processo judicial162 Essa hipoacutetese tambeacutem pode permitir que dados pessoais sejam transferidos a paiacuteses terceiros ou organizaccedilotildees internacionais cujo niacutevel de proteccedilatildeo de dados natildeo seja assegurado pela Comissatildeo Europeia163

A GDPR natildeo considera a tutela da sauacutede em procedimentos realizados por profissionais da sauacutede e sanitaacuterios um fundamento legal para o tratamento de dados mas aborda o tema ao endereccedilar dados sensiacuteveis uma vez que os dados de sauacutede fazem parte de tal categoria especial de dados pessoais que como vimos exigem um padratildeo maior de seguranccedila Os Estados-Membros podem tambeacutem impor novos limites e condiccedilotildees para o tratamento de dados relativos agrave sauacutede164

Por fim natildeo haacute na GDPR consideraccedilotildees especiacuteficas sobre uma base legal que tenha por finalidade a proteccedilatildeo do creacutedito O lastro na legislaccedilatildeo europeia seria provavelmente o legiacutetimo interesse ou a execuccedilatildeo de contrato

42 Data Protection Officer O Data Protection Officer (ldquoDPOrdquo) na GDPR ou ldquoencarregadordquo na LGPD eacute a figura responsaacutevel por auxiliar o controlador no cumprimento das obrigaccedilotildees legais de proteccedilatildeo de dados por meio de monitoramento aconselhamento etc165 166 Tambeacutem vale destacar que ambas as normas possibilitam que as autoridades reguladoras apresentem novos regulamentos

162 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Considerando (65) e artigo 18ordm 2163 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 49ordm 1e)164 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 9ordm165 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 41 sect2ordm166 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 39ordm

sobre os encarregados167 168

Ainda apoacutes as alteraccedilotildees trazidas pela MP ndeg 86918 na LGPD o encarregado natildeo precisa mais ser uma pessoa natural abrindo espaccedilo para a possibilidade de indicaccedilatildeo de pessoas juriacutedicas ou comitecircs ou grupos de trabalho que podem exercer tais funccedilotildees Assim atualmente ambas as normas possibilitam que o DPO eou encarregado seja um empregado da empresa (pessoa natural) ou um terceiro prestador de serviccedilos (pessoa juriacutedica)169 170

Mesmo que a figura exista e exerccedila funccedilotildees similares em ambas as normativas vaacuterias diferenccedilas podem ser destacadas

A GDPR apresenta maior quantidade de tarefas para o DPO Por exemplo ele se manifestaraacute na notificaccedilatildeo de incidente171 172 no desenvolvimento do DPIA173 e nas consultas preacutevias realizadas perante a autoridade reguladora de proteccedilatildeo de dados174

Aleacutem disso a GDPR apresenta preocupaccedilotildees especiacuteficas com o papel do DPO dentro da governanccedila do controlador onde atua O DPO natildeo poderaacute receber instruccedilotildees sobre o exerciacutecio de suas funccedilotildees nem poderaacute ser destituiacutedo ou penalizado por conta delas O

167 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 41 sect3ordm168 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 47ordm 1 h)169 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 5ordm inciso VIII (Redaccedilatildeo dada pela MP 86918)170 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 37ordm171 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 13ordm 1 b) e artigo 14ordm 1 b)172 Na LGPD a identificaccedilatildeo do DPO eacute obrigatoacuteria nos termos do artigo 41 sect1ordm173 O DPIA se trata de um instituto presente na GDPR em seu artigo 35ordm Ele consiste em uma anaacutelise de quanto a implemen-taccedilatildeo de uma nova tecnologia de tratamento de dados pode im-plicar em risco para direitos e liberdades dos titulares A parti-cipaccedilatildeo do DPO nesse procedimento eacute prevista no artigo 35ordm 2174 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 36ordm 3 d)

DPO deveraacute reportar-se diretamente ao mais alto niacutevel de responsabilidade pelo tratamento de dados dentro da estrutura organizacional da empresa175

Por fim uma diferenccedila muito importante sobre as duas leis se trata da necessidade de um DPO Enquanto a GDPR aponta a diversas atividades que requerem a atuaccedilatildeo de um DPO na empresa176 a LGPD aponta que todo e qualquer controlador deve indicar um encarregado de maneira geneacuterica177 Assim enquanto a GDPR apresenta balizas mais claras de quando deve-se indicar um DPO a LGPD torna a obrigaccedilatildeo geneacuterica de forma que provavelmente seraacute aplicada para controladores de todos os tamanhos hipoacutetese que poderaacute ser alvo de regulaccedilatildeo posterior pela Autoridade Nacional de Proteccedilatildeo de Dados que poderaacute inclusive trazer situaccedilotildees de dispensa

43 Consentimento O consentimento eacute uma base legal presente em ambas as normativas178 179 sendo inclusive bem proacuteximas as definiccedilotildees utilizadas180 181 por cada uma delas

Outras caracteriacutesticas muito similares entre as normativas de forma que natildeo merecem

175 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 38ordm 3176 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 37177 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 41178 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 13 inciso I179 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 6ordm 1 a)180 ldquoConsentimentoraquo do titular dos dados uma manifestaccedilatildeo de vontade livre especiacutefica informada e expliacutecita pela qual o titu-lar dos dados aceita mediante declaraccedilatildeo ou ato positivo inequiacute-voco que os dados pessoais que lhe dizem respeito sejam objeto de tratamentordquo UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamento Europeu e do Conselho de 27 abril de 2016 Gene-ral Data Protection Regulation Artigo 4ordm 11181 ldquoXII - consentimento manifestaccedilatildeo livre informada e ine-quiacutevoca pela qual o titular concorda com o tratamento de seus dados pessoais para finalidade determinadardquo BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 5ordm inciso XII

maiores consideraccedilotildees satildeo o ocircnus do controlador na prova de consentimento do titular182 183 a necessidade do consentimento por escrito se encontrar em claacuteusula contratual destacada e especiacutefica184 185 o direito de retirada do consentimento186 187 o consentimento para o tratamento de crianccedilas e ser oferecido por seus responsaacuteveis188 189 e o consentimento ser uma das poucas bases legais para tratamento de dados pessoais sensiacuteveis190 191

Um ponto relevante apresentado pela GDPR se relaciona com as decisotildees individuais automatizadas Os titulares possuem o direito de natildeo ficarem sujeito agraves decisotildees tomadas exclusivamente com base no tratamento automatizado que o afetem de maneira significativa192 Essa regra natildeo se aplica quando o tratamento se der com base no consentimento do titular dos dados sobre esse tipo de tratamento em casos nos quais o tratamento seja necessaacuterio para a execuccedilatildeo de um contrato no qual o titular faccedila parte ou o tratamento for autorizado pelo Estado-

182 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 7ordm 1183 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 8ordm sect2ordm184 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 7ordm 2185 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 8ordm sect1ordm186 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 7ordm 3187 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 8ordm sect5ordm188 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 8ordm 1 189 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 14 sect1ordm190 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 9ordm 2 a) 191 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 11 inciso I192 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 22ordm caput

Membro da UE193

A LGPD por outro lado garante ao titular o direito de ter seus dados revisados quando tratados por meio automatizado194 independente da base legal que autorizar o tratamento - natildeo havendo as exceccedilotildees presentes na GDPR Vale ressaltar ainda que com as mudanccedilas trazidas pela MP ndeg 86918 agrave LGPD natildeo eacute mais necessaacuterio que a revisatildeo de decisotildees automatizadas se decirc por pessoa natural

44 Prazo de retenccedilatildeo Tanto a GDPR quanto a LGPD estabelecem limites e restriccedilotildees quanto ao armazenamento e tratamento de dados pessoais atrelados ao atingimento de sua finalidade

Na GDPR tais limites estatildeo presentes no Artigo 5ordm que estabelece que o tratamento dos dados seraacute limitado agrave finalidade para qual os mesmos foram coletados195 Quanto ao prazo maacuteximo de retenccedilatildeo a lei europeia natildeo faz menccedilatildeo a um periacuteodo especiacutefico deixando apenas claro que tal prazo deveraacute limitar-se ao tempo necessaacuterio para atingir a finalidade para a qual os dados foram coletados e estatildeo sendo processados

Assim como a GDPR a LGPD traz a preocupaccedilatildeo em limitar a retenccedilatildeo dos dados apenas agravequilo estritamente necessaacuterio para seu tratamento A LGPD tambeacutem natildeo traz um prazo fixo para a retenccedilatildeo dos dados tratados mas estabelece em seu Artigo 16 que os ldquodados pessoais seratildeo eliminados apoacutes o teacutermino de seu tratamento no acircmbito e nos limites teacutecnicos das atividadesrdquo Observa-se dessa forma que o prazo de retenccedilatildeo de dados na LGPD estaacute condicionado

193 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 22 2a) b) e c)194 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 20 caput e sect1ordm195 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamen-to Europeu e do Conselho de 27 abril de 2016 General Data Protection Regulation Artigo 5ordm 1 b)

agrave necessidade dos mesmos para a finalidade declarada pelo responsaacutevel pelo tratamento e que uma vez utilizados para tal finalidade devem ser excluiacutedos de seus servidores

Conclusatildeo

A construccedilatildeo histoacuterica das leis de proteccedilatildeo de dados pelo mundo (principalmente nos continentes europeu e sul-americano entre 1970 e 2018) demonstra que o desenvolvimento do direito especiacutefico para a proteccedilatildeo de dados natildeo eacute algo recente apesar de ter ganhado os noticiaacuterios apoacutes a aprovaccedilatildeo e entrada em vigor da GDPR Aleacutem disso eacute surpreendente o volume de leis jaacute existentes que foram criadas a partir de 1970 quando a primeira delas foi aprovada na Alemanha Isso demonstra que apesar do Brasil ter tomado um passo necessaacuterio com a aprovaccedilatildeo da LGPD o fez com quase 50 anos de atraso

Com esta aprovaccedilatildeo haacute forte expectativa de uma promoccedilatildeo maior de direitos e garantias para os cidadatildeos no meio online e offline de forma a espera-se resguardar direitos individuais e fomentar a inovaccedilatildeo por meio do estabelecimento de regras claras harmocircnicas e transparentes seguindo uma tendecircncia mundial de tutela destes direitos

Os 8 anos de debates e construccedilatildeo legislativa demonstram que todo esse percurso foi um grande processo de amadurecimento sobre a mateacuteria de proteccedilatildeo de dados no Brasil Tanto eacute que durante este periacuteodo foram avaliados vaacuterios projetos de lei distintos ateacute que optassem por dar sequecircncia ao que deu origem agrave LGPD

As audiecircncias puacuteblicas desempenharam um papel importante Tais eventos contaram com a participaccedilatildeo de acadecircmicos representantes do terceiro setor iniciativa privada governo e ateacute mesmo representantes da Uniatildeo Europeia os quais foram convidados para falar sobre suas experiecircncias no processo legislativo que culminou com a aprovaccedilatildeo da GDPR A presenccedila de tais representantes tornou possiacutevel que os parlamentares que eram responsaacuteveis pelos projetos de lei em questatildeo os conduzissem munidos de riquiacutessima informaccedilatildeo

A LGPD pode ser vista como uma diretiva geral para a proteccedilatildeo de dados no Brasil Isso significa que a nova lei busca natildeo substituir as que existem atualmente mas estabelecer regras e princiacutepios gerais para que as mesmas possam ser cumpridas de uma maneira mais beneacutefica para o cidadatildeo Naturalmente caso se verifiquem contradiccedilotildees entre essas leis e a LGPD as regras claacutessicas para decisatildeo entre contradiccedilotildees juriacutedicas deveratildeo ser aplicadas

A lei brasileira inovou ao trazer para o cenaacuterio juriacutedico nacional questotildees natildeo satisfatoriamente endereccediladas por outras leis setoriais de proteccedilatildeo de dados existentes no Brasil Um exemplo conforme abordamos eacute uma definiccedilatildeo mais exata sobre o conceito de dados pessoais uma previsatildeo expressa das bases legais para o processamento de dados uma previsatildeo de processamento de dados puacuteblicos sanccedilotildees e ateacute a criaccedilatildeo de uma Autoridade Nacional de Proteccedilatildeo de Dados que acabou sendo feita em momento posterior atraveacutes da ediccedilatildeo da MP ndeg 86918 publicada no Diaacuterio Oficial da Uniatildeo em 28 de

dezembro de 2018

A LGPD possui 10 bases legais para a coleta e o processamento de dados o que por si foi uma inovaccedilatildeo importante jaacute que antes no Brasil existiam poucas bases legais expressamente previstas em lei tais como consentimento interesse puacuteblico e obrigaccedilatildeo legal Com a LGPD o leque de bases legais aumentou e se tornou mais flexiacutevel do que outras leis gerais sobre proteccedilatildeo de dados no mundo

Outras inovaccedilotildees importantes satildeo por exemplo para que seja realizado o tratamento dos dados pessoais de forma legiacutetima e liacutecita eacute preciso observar princiacutepios gerais e bases legais especiacuteficas que dependem da categoria de dados em questatildeo Outro ponto presente na LGPD eacute a diferenciaccedilatildeo entre dados anonimizados e os pseudonimizados Assim podemos pontuar que os dados anonimizados possuem maior gama de utilizaccedilatildeo enquanto os dados pseudonimizados soacute podem ser utilizados para fins cientiacuteficos bastante restritos diferente do que ocorria anteriormente

Outro ponto relevante da norma eacute que a transferecircncia internacional de dados passa a ser autorizada quando realizada para paiacuteses organismos internacionais que proporcionem grau de proteccedilatildeo de dados pessoais adequado ou quando necessaacuterios para cooperaccedilatildeo judicial internacional Em outras situaccedilotildees eacute necessaacuterio observar o instrumento juriacutedico adequado para a transferecircncia especiacutefica

Por fim a comparaccedilatildeo entre a GDPR e a LGPD eacute uma questatildeo de grande valor praacutetico Vale destacar que a GDPR pode se aplicar a empresas brasileiras tendo em vista que seu escopo territorial abrange qualquer dado coletado de pessoais naturais que se encontram na Uniatildeo Europeia Portanto muitas das semelhanccedilas entre ambas as normas auxiliam no compliance das empresas que atuarem ao mesmo tempo no escopo da GDPR e da LGPD

A GDPR tem apenas 6 bases legais O fato da LGPD possuir um nuacutemero maior natildeo necessariamente significa que a proteccedilatildeo fornecida pela legislaccedilatildeo brasileira seja superior Inclusive apesar de muito da LGPD ter sido baseada na GDPR podemos afirmar a GDPR eacute mais completa e detalhista por possuir por exemplo um texto vestibular que auxilia na interpretaccedilatildeo mais profunda da norma

Apesar da LGPD soacute entrar em vigor 24 meses apoacutes a data de sua publicaccedilatildeo em 16 de agosto de 2020196 o nuacutemero de mudanccedilas que ela propotildee coloca um desafio importante para o setor no Brasil principalmente no que se refere a adequaccedilatildeo dos meios de coleta e tratamento de dados Aleacutem do aspecto eacutetico ligado agrave forma que empresas lidam com dados eacute importante ter em mente que as sanccedilotildees em caso de descumprimento da norma satildeo bastante altas demonstrando a importacircncia do bem juriacutedico sendo tutelado e a necessidade dos atores do setor se prepararem para uma nova realidade regulatoacuteria

Para auxiliar no processo de conformidade entidades puacuteblicas e privadas podem ser valer de vaacuterias metodologias dentre elas o Relatoacuterio de Impacto agrave Proteccedilatildeo de Dados tambeacutem conhecido por DPIA que apesar de ser um instrumento para mensuraccedilatildeo impacto de praacuteticas de tratamento de dados no titulares se tornou um instrumento que permite uma fotografia do status de conformidade regulatoacuteria da instituiccedilatildeo as leis de proteccedilatildeo de dados incluindo a LGPD a GDPR e leis setoriais Apoacutes esta fotografia eacute possiacutevel identificar o que eacute preciso ser feito para atingir a conformidade Isso pode incluir a revisatildeo de processos elaboraccedilatildeo de poliacuteticas revisatildeo de contratos indicaccedilatildeo de times de supervisatildeo aleacutem de aplicaccedilatildeo de

196 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Artigo 65 (Redaccedilatildeo dada pela MP 86918) Vale lembrar que no que se refere agrave ANPD a Lei somente entraraacute em vigor no dia 28 de dezembro de 2018

metodologias de proteccedilatildeo de dados desde a concepccedilatildeo conhecida como privacy by design

Aleacutem disso eacute possiacutevel encarar a adequaccedilatildeo a conformidade com a LGPD como um grande diferencial competitivo uma vez que uma das possiacuteveis consequecircncias do processo eacute o fortalecimento da confianccedila do titular dos dados com o ente que os trata Isso pode acarretar uma melhora na reputaccedilatildeo e na imagem da empresa perante o mercado e do ente puacuteblico perante a sociedade

Diante de tudo isso eacute possiacutevel afirmar que a Lei Geral de Proteccedilatildeo de Dados assim como a GDPR teraacute um impacto na sociedade como um todo como poucas leis antes tiveram devido a sua natureza horizontal e transversal Importante sempre lembrar que ao mesmo tempo que a lei visa garantir ao titular uma proteccedilatildeo maior no uso de seus dados pessoais ela visa tambeacutem fomentar o desenvolvimento econocircmico tecnoloacutegica e a inovaccedilatildeo Tais prismas devem orientar a interpretaccedilatildeo de lei por completo Somente desta forma a vontade do legislador e da sociedade seratildeo alcanccediladas

Sobre Baptista Luz Advogados Com mais de uma deacutecada de atuaccedilatildeo nossa especialidade

eacute apresentar soluccedilotildees efetivas e ideias inovadoras para

as questotildees juriacutedicas de nossos clientes parceiros e

empreendedores

Com profissionalismo e experiecircncia nosso escritoacuterio oferece

assessoria legal de alta qualidade por meio de atendimento

personalizado em que o cliente recebe todo o suporte

necessaacuterio com precisatildeo e clareza

Siga-nos nas redes sociais

BRASIL

Satildeo Paulo Rua Ramos Batista 444 2deg Andar Vila Oliacutempia Satildeo Paulo SP Brasil tel +55 11 3049 7950 Florianoacutepolis Rodovia SC 401 Km 4 Saco Grande Florianoacutepolis SC tel +55 48 3036 0294 USA

Miami 78 SW 7th Street Suite 500 Miami FL 33130 US tel +1 (786) 622 2002

Londrina Rua Ayrton Senna da Silva 300 Sala 1801 Torre 1 Gleba Palhano Londrina PR tel +55 43 3367 7050

Acesse nosso site enbaptistaluzcombr

RampD - DataProtection ProvF

RampD-Data-Protection-final-digital


RampD-Data-Protection-errata





Com a aprovaccedilatildeo da Lei Geral de Proteccedilatildeo de Dados no Brasil (ldquoLGPDrdquo) Lei nordm 13709 de 14 de agosto de 2018 o presente artigo se propotildee a descrever o processo e o resultado da criaccedilatildeo de uma estrutura normativa que busca harmonizar e ampliar o direito a proteccedilatildeo de dados pessoais no contexto regulatoacuterio brasileiro

Para isso analisaremos como o direito a proteccedilatildeo de dados pessoais surgiu no mundo e a maneira como gradativamente foi sendo desenvolvida na Uniatildeo Europeia e na Ameacuterica Latina Nosso escopo de anaacutelise se daraacute entre a LGPD e o Regulamento da Uniatildeo Europeia ndeg 2016679 popularmente conhecido como (ldquoGDPRrdquo) que entrou em vigor em 2018

Buscamos comparar a normatizaccedilatildeo europeia com a brasileira e compreender o contexto histoacuterico de 2010 a 2018 que culminou com a aprovaccedilatildeo da LGPD Assim pretendemos entender como esta lei dialogaraacute com as normas setoriais de proteccedilatildeo de dados jaacute existentes no paiacutes Abordaremos tambeacutem os principais pilares e pontos relevantes da LGPD a fim de esclarecer a sua importacircncia e seus impactos Por fim considerando que tambeacutem em 2018 entrou em vigor a GDPR abordaremos de forma superficial alguns pontos de contato entre ambas as normasCom a aprovaccedilatildeo da Lei Geral de Proteccedilatildeo de Dados no Brasil (ldquoLGPDrdquo) Lei nordm 13709 de 14 de agosto de 2018 o presente artigo se propotildee a descrever o processo e o resultado da criaccedilatildeo de uma estrutura normativa que busca harmonizar e ampliar o direito a proteccedilatildeo de dados pessoais no contexto regulatoacuterio brasileiro

Para isso analisaremos como o direito a proteccedilatildeo de dados pessoais surgiu no mun-do e a maneira como gradativamente foi sendo desenvolvida na Uniatildeo Europeia e Com a aprovaccedilatildeo da Lei Geral de Proteccedilatildeo de

AutoresRenato Leite Monteiro

Maria Ceciacutelia Oliveira Gomes

Adriane Loureiro Novaes

Gabriela Moribe

Dennys Eduardo Gonsales Camara

Pamela Michelena De Marchi Gherini

Prefaacutecio

Resumo

Sumaacuterio

13 Objetivo

32 Bases Legais

43 Consentimento

Conclusatildeo

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

Prefaacutecio

Resumo

Sumaacuterio

13 Objetivo

32 Bases Legais

43 Consentimento

Conclusatildeo

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

Resumo

Sumaacuterio

13 Objetivo

32 Bases Legais

43 Consentimento

Conclusatildeo

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

Sumaacuterio

13 Objetivo

32 Bases Legais

43 Consentimento

Conclusatildeo

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

pessoa natural96

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

externos

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

Membro da UE193

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

Conclusatildeo

dezembro de 2018

empreendedores

BRASIL

dezembro de 2018

empreendedores

BRASIL

empreendedores

BRASIL

empreendedores

BRASIL

Documents

1.../ 2 Com a aprovação da Lei Geral de Proteção de Dados no Brasil (“LGPD”), Lei nº 13.709, de 14 de agosto de 2018, o presente artigo se propõe a descrever o processo