Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/2018 Introdução e Fundamentos Constitucionais A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, é o marco regulatório brasileiro que estabelece regras para a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tanto em meios físicos quanto digitais. Inspirada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), a LGPD visa proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade das pessoas naturais (art. 1º). A proteção de dados pessoais foi elevada ao status de direito fundamental explícito pela Emenda Constitucional nº 115, de 10 de fevereiro de 2022, que incluiu o inciso LXXIX no art. 5º da Constituição Federal, assegurando "nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais". A mesma emenda foi além da simples positivação do direito: acrescentou o inciso XXVI ao art. 21 (competência material da União para organizar e fiscalizar a proteção de dados) e o inciso XXX ao art. 22 (competência legislativa privativa da União sobre o tema). Antes mesmo da EC 115/2022, o STF já havia reconhecido a proteção de dados como direito fundamental implícito, extraído da cláusula geral de privacidade (art. 5º, X e XII, da CF). 1.1. Objeto e Âmbito de Aplicação Nos termos do art. 1º, a LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. O art. 3º estabelece as hipóteses de incidência da lei, adotando o princípio da extraterritorialidade. A LGPD aplica-se sempre que: A operação de tratamento seja realizada no território nacional; A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou Os dados pessoais objeto do tratamento tenham sido coletados no território nacional. 1.2. Exceções (art. 4º) A LGPD não se aplica ao tratamento de dados pessoais: Realizado por pessoa natural para fins exclusivamente particulares e não econômicos; Realizado para fins exclusivamente jornalísticos, artísticos ou acadêmicos; Realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado com agentes de tratamento brasileiros ou objeto de transferência internacional de dados. Atenção: mesmo nas hipóteses do art. 4º, I a III, a futura disciplina legal específica desses tratamentos (quando editada) deverá observar princípios gerais e a proteção dos dados, conforme determina o art. 4º, § 1º, evitando-se uma exceção em branco. Conceitos Fundamentais (art. 5º) Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (ex.: nome, CPF, e-mail, endereço IP). Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a uma pessoa natural. Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado, como regra, sai do escopo de aplicação da LGPD (art. 12). Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Encarregado (Data Protection Officer – DPO): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Tratamento de dados: toda operação realizada com dados pessoais, incluindo coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração. Os Dez Princípios do Tratamento de Dados (art. 6º) O tratamento de dados pessoais deve observar a boa-fé e os seguintes princípios: Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos. Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais. Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos. Responsabilização e prestação de contas (accountability): demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais. Bases Legais para o Tratamento de Dados Pessoais (art. 7º) O tratamento de dados pessoais somente é lícito nas seguintes hipóteses (rol taxativo): Consentimento do titular; Cumprimento de obrigação legal ou regulatória pelo controlador; Execução de políticas públicas pela administração pública (arts. 23 a 32); Realização de estudos por órgão de pesquisa (garantida, sempre que possível, a anonimização); Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; Exercício regular de direitos em processo judicial, administrativo ou arbitral; Proteção da vida ou da incolumidade física do titular ou de terceiro; Tutela da saúde, exclusivamente em procedimento realizado por profissionais da saúde ou por entidades sanitárias; Interesse legítimo do controlador ou de terceiro (salvo quando prevalecerem direitos fundamentais do titular); Proteção do crédito. Para dados sensíveis (art. 11), as bases legais são mais restritas, não existindo a hipótese de legítimo interesse ou de proteção do crédito. Direitos do Titular (art. 18) O titular tem direito a obter do controlador, em relação aos dados por ele tratados, a qualquer momento e mediante requisição: Confirmação da existência de tratamento; Acesso aos dados; Correção de dados incompletos, inexatos ou desatualizados; Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; Portabilidade dos dados a outro fornecedor de serviço ou produto; Eliminação dos dados pessoais tratados com o consentimento do titular (salvo exceções de conservação legal); Informação sobre entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa; Revogação do consentimento. Tratamento de Dados pelo Poder Público (arts. 23 a 32) O tratamento de dados pessoais pelos órgãos e entidades públicas deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. Os órgãos públicos devem informar as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas. O uso compartilhado de dados entre órgãos do poder público é permitido para finalidades específicas de execução de políticas públicas. Contudo, é vedada a comunicação ou o uso compartilhado de dados pessoais tratados pela administração pública com entidades privadas, salvo em casos de execução descentralizada de atividade pública, previsão legal expressa ou para a prevenção de fraudes. Os serviços notariais e de registro (cartórios) são equiparados a entes públicos para efeitos de tratamento de dados nos termos da lei (art. 23, § 4º). Atenção (pegadinha de prova): empresas públicas e sociedades de economia mista, embora integrem a Administração Pública indireta, atuam sob regime de direito privado e, conforme o art. 24, submetem-se ao regime das pessoas jurídicas de direito privado quando estiverem em concorrência com o setor privado, salvo quando estiverem operando em regime de monopólio ou prestando serviço público. Transferência Internacional de Dados (arts. 33 a 36) A LGPD só permite a transferência internacional de dados pessoais nas hipóteses do art. 33, entre as quais se destacam: transferência para países ou organismos internacionais que proporcionem grau de proteção adequado (a ser reconhecido pela ANPD); quando o controlador oferecer garantias de cumprimento dos princípios da lei por meio de cláusulas contratuais específicas, cláusulas-padrão contratuais, normas corporativas globais ou selos e certificados; quando necessária para a cooperação jurídica internacional; ou quando necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro. A ANPD é o órgão competente para regulamentar e fiscalizar essas hipóteses (art. 34 a 36). Encarregado e Relatório de Impacto à Proteção de Dados (arts. 37 a 41) O controlador deve indicar um Encarregado (art. 41), cujas atribuições incluem aceitar reclamações e comunicações dos titulares, orientar funcionários sobre boas práticas e executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Para pequenas situações de tratamento de baixo risco, a ANPD pode estabelecer normas simplificadas de indicação do encarregado. A ANPD pode determinar ao controlador a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) (art. 38), documento que descreve os processos de tratamento de dados capazes de gerar riscos às liberdades civis e aos direitos fundamentais, contendo a descrição dos tipos de dados coletados, a metodologia de coleta, a garantia de segurança e as medidas de mitigação de risco adotadas. Autoridade Nacional de Proteção de Dados (ANPD) A ANPD é o órgão incumbido de zelar pela proteção de dados pessoais e por fiscalizar o cumprimento da lei. Criada originalmente vinculada à Presidência da República, foi transformada em autarquia de natureza especial pela Lei nº 14.460, de 25 de outubro de 2022 (conversão da Medida Provisória nº 1.124/2022), mantendo a estrutura organizacional e as competências previstas na LGPD. Essa transformação conferiu ao órgão autonomia técnica, administrativa, decisória e financeira, com patrimônio próprio, assegurando independência em relação à Administração Pública direta. Em fevereiro de 2023, a ANPD editou a Resolução CD/ANPD nº 4/2023, que estabeleceu o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, classificando as infrações em leve, média e grave e definindo os parâmetros (faturamento, gravidade do dano, agravantes e atenuantes) para o cálculo do valor-base das multas. Sanções Administrativas e a Exceção do Poder Público (art. 52) Os agentes de tratamento de dados que infringirem as normas da LGPD ficam sujeitos às seguintes sanções aplicadas pela ANPD: Advertência, com indicação de prazo para adoção de medidas corretivas; Multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no último exercício, excluídos os tributos, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; Multa diária, observado o limite total acima; Publicização da infração, após devidamente apurada e confirmada a sua ocorrência; Bloqueio dos dados pessoais a que se refere a infração, até a sua regularização; Eliminação dos dados pessoais a que se refere a infração; Suspensão parcial do funcionamento do banco de dados por até 6 meses, prorrogável por igual período; Suspensão do exercício da atividade de tratamento de dados pessoais por até 6 meses, prorrogável por igual período; Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Atenção para o Poder Público (Art. 52, § 3º): apenas as sanções dos incisos I (advertência), IV (publicização), V (bloqueio) e VI (eliminação) podem ser aplicadas às entidades e aos órgãos públicos, sem prejuízo da Lei nº 8.112/1990 (Estatuto do Servidor), da Lei nº 8.429/1992 (Improbidade Administrativa) e da Lei nº 12.527/2011 (Lei de Acesso à Informação). Em outras palavras, as multas (simples e diária) não podem ser aplicadas às pessoas jurídicas de direito público da Administração Direta, autarquias e fundações públicas. Já as empresas públicas e sociedades de economia mista, por atuarem sob regime de direito privado, podem ser multadas normalmente. Jurisprudência Relevante 11.1. STF – ADI 6.387/DF e ações conexas (Reconhecimento do Direito Fundamental à Proteção de Dados) No julgamento conjunto das medidas cautelares nas ADIs 6.387, 6.388, 6.389, 6.390 e 6.393, o Plenário do STF suspendeu a eficácia da Medida Provisória nº 954/2020, que impunha às empresas de telefonia fixa e móvel o dever de compartilhar com o IBGE os nomes, números de telefone e endereços de seus consumidores, para fins de produção estatística durante a pandemia de Covid-19. O Tribunal reconheceu a existência de um direito fundamental autônomo à proteção de dados pessoais, extraído da interpretação conjunta da inviolabilidade da intimidade e da vida privada (art. 5º, X, CF), do princípio da dignidade da pessoa humana (art. 1º, III, CF) e da garantia do habeas data (art. 5º, LXXII, CF) — reconhecimento que antecedeu a positivação expressa promovida pela EC 115/2022. 11.2. STJ – Vazamento de dados pessoais comuns não gera dano moral in re ipsa No julgamento do AREsp 2.130.619/SP, de relatoria do Ministro Francisco Falcão, a Segunda Turma do STJ, por unanimidade (julgado em 7/3/2023), firmou o entendimento de que o vazamento de dados pessoais comuns (como nome, CPF, RG, data de nascimento e endereço), embora configure falha indesejável no tratamento de dados, não gera, por si só, dano moral presumido (in re ipsa). Segundo a Corte, o rol do art. 5º, II, da LGPD, que define os dados sensíveis, é taxativo, e os dados de natureza meramente cadastral não são acobertados por sigilo capaz de violar, automaticamente, direitos da personalidade. Assim, o titular deve comprovar o efetivo prejuízo decorrente da exposição das informações. 11.3. STJ – Vazamento de dados sensíveis gera dano moral presumido Em sentido distinto, no REsp 2.121.904/SP, relatado pela Ministra Nancy Andrighi (Terceira Turma), o STJ decidiu que o vazamento de dados sensíveis fornecidos para a contratação de seguro de vida (informações de saúde, por exemplo) expõe o titular, por si só, a riscos relevantes à honra, à imagem, à intimidade e à segurança pessoal, configurando hipótese de dano moral presumido, dada a natureza objetiva da responsabilidade do agente de tratamento nesses casos. 11.4. STJ – Disponibilização indevida de dados cadastrais a terceiros sem consentimento No REsp 2.201.694/SP, também relatado pela Ministra Nancy Andrighi, a Terceira Turma decidiu que o gestor de banco de dados que disponibiliza a terceiros, em desacordo com a legislação (fora das hipóteses da Lei nº 12.414/2011), informações cadastrais ou de adimplemento do consumidor sem o devido consentimento deve responder objetivamente, configurando-se dano moral presumido em razão da forte sensação de insegurança experimentada pelo titular. Síntese da distinção: a jurisprudência do STJ não trata todo incidente de privacidade da mesma forma. Vazamento de dados comuns, por falha de segurança, exige prova do dano. Vazamento ou divulgação indevida de dados sensíveis, ou disponibilização de dados a terceiros fora das hipóteses legais de compartilhamento, autorizam a presunção do dano moral. Síntese para a Prova Constitucionalização: Proteção de dados é direito fundamental explícito desde a EC 115/2022 (art. 5º, LXXIX, CF), com competência legislativa privativa da União (art. 22, XXX) e competência material para organizar e fiscalizar (art. 21, XXVI). Dados Sensíveis: Possuem rol taxativo (art. 5º, II) e bases legais restritas; não admitem tratamento fundado em legítimo interesse ou proteção do crédito. Agentes de Tratamento: O Controlador (quem toma as decisões) e o Operador (quem executa as ordens do controlador). O DPO (Encarregado): Faz a ponte de comunicação entre a empresa/órgão, os titulares e a ANPD. Autonomia da ANPD: É uma autarquia de natureza especial desde a Lei nº 14.460/2022 (autonomia técnica, decisória, administrativa e financeira). Pegadinha das Multas: A ANPD pode aplicar multas de até R$ 50 milhões por infração, mas essas multas não se aplicam aos entes da Administração Direta, autarquias e fundações públicas — embora se apliquem normalmente a empresas públicas e sociedades de economia mista. Jurisprudência do STJ sobre vazamento de dados: dados comuns → exige prova do dano (AREsp 2.130.619/SP); dados sensíveis ou divulgação indevida fora das hipóteses legais → dano moral presumido (REsp 2.121.904/SP e REsp 2.201.694/SP). STF e o direito fundamental implícito: já em 2020, antes da EC 115/2022, o STF reconheceu a proteção de dados como direito fundamental implícito ao suspender a MP 954/2020 (ADIs 6.387 e conexas). Exercícios: Qual é a base legal que permite o tratamento de dados pessoais pela administração pública para a execução de políticas públicas, conforme a Lei Geral de Proteção de Dados (LGPD)? De acordo com a LGPD, qual dos seguintes dados é classificado como dado pessoal sensível? Qual é o papel do encarregado (DPO) conforme mencionado na LGPD? Quando a transferência internacional de dados pessoais é permitida de acordo com a LGPD? Qual dos seguintes direitos do titular de dados pessoais, estabelecido pela LGPD, confere ao titular a possibilidade de solicitar a eliminação de dados tratados com seu consentimento? Qual é a sanção prevista na LGPD que pode ser aplicada pela ANPD em caso de infração à lei?