LGPD — Direitos do Titular, Bases Legais e Tratamento por Entes Públicos Introdução A Lei Geral de Proteção de Dados Pessoais não se limita a estabelecer regras para o tratamento de dados; ela cria um verdadeiro Estatuto do Titular, conferindo aos indivíduos direitos subjetivos que podem ser exercidos contra qualquer controlador ou operador. O artigo 18 da LGPD enumera os direitos dos titulares em rol taxativo, enquanto os artigos 7º a 17 estabelecem as condições em que o tratamento pode ser realizado, isto é, as chamadas bases legais. Compreender esse binômio — direitos do titular e bases legais — é fundamental para entender como a LGPD equilibra a proteção do indivíduo com as necessidades operacionais de tratamento de dados. A matéria de tratamento pelo poder público recebe tratamento especial nos artigos 23 a 32, reconhecendo que órgãos públicos possuem finalidades distintas das pessoas jurídicas privadas e que o tratamento deve atender ao interesse público, não ao interesse comercial. Por fim, a Autoridade Nacional de Proteção de Dados (ANPD) constitui o órgão fiscalizatório responsável por zelar pela aplicação da lei e impor sanções em caso de violação. Os Direitos do Titular dos Dados Pessoais O artigo 18 da LGPD estabelece, em seu caput, que o titular dos dados pessoais tem direito a obter do controlador, em relação aos dados tratados, todas as informações listadas nos incisos do artigo. Trata-se de direitos subjetivos que podem ser exercidos a qualquer tempo, independentemente de justificativa, e cujo descumprimento pelo controlador ou operador configura infração à lei, sujeitando-os às sanções previstas no artigo 52. Confirmação da Existência de Tratamento O titular tem direito de obter do controlador a confirmação de que existe tratamento de seus dados pessoais. Este é um direito básico e inicial, pois sem saber que existe tratamento, o titular não pode exercer os demais direitos. A confirmação pode ser simples — uma declaração de que existe tratamento — sem que o controlador precise revelar todos os detalhes nessa etapa inicial. O controlador deve responder em prazo razoável e de forma clara. Na prática, este direito é exercido por meio de solicitações à central de atendimento da empresa ou por canais específicos de privacidade. Bancos, operadoras de telefonia, empresas de comércio eletrônico e quaisquer outros controladores devem disponibilizar canais para que o titular possa obter essa confirmação. Acesso aos Dados O direito de acesso permite ao titular obter todos os dados pessoais que estão sendo tratados a seu respeito. Este direito vai além da simples confirmação: o titular pode obter uma cópia completa de seus dados, incluindo informações sobre a origem dos dados, as finalidades do tratamento, os prazos de conservação e as entidades com quem os dados foram compartilhados. O artigo 18, §2º estabelece que o controlador deve fornecer os dados de forma simplificada ou, se o titular preferir, por meio de declaração completa. O acesso deve ser fornecido de forma gratuita e em prazo razoável, que a LGPD fixa como 15 dias a contar da solicitação. Este prazo pode ser prorrogado mediante justificativa fundamentada, mas deve respeitar o princípio da não discriminação e da boa-fé. Correção de Dados O titular pode solicitar a correção de dados incompletos, inexatos ou desatualizados. Este direito conecta-se diretamente ao princípio da qualidade dos dados (art. 6º, V) e impõe ao controlador o dever de manter os dados corretos e atualizados. A correção pode incluir a complementação de dados incompletos, a retificação de dados incorretos e a atualização de dados desatualizados. Um exemplo prático: se um cliente cadastrou incorretamente seu endereço em uma plataforma de comércio eletrônico, pode solicitar a correção. Da mesma forma, se um banco possui informações desatualizadas sobre o estado civil de um correntista, este pode exigir a correção. O controlador deve realizar a correção sem demora injustificada. Anonimização, Bloqueio ou Eliminação de Dados O artigo 18, VI garante ao titular três alternativas em relação a dados que considere problemáticos: a anonimização, o bloqueio ou a eliminação. A diferença entre os três institutos é fundamental: A anonimização consiste em aplicar técnicas que tornem o dado irreversivelmente incapaz de identificar o titular, eliminando-o do conceito de dado pessoal. A anonimização forte é aquela em que não há possibilidade técnica de reversão, considerando os meios disponíveis. O bloqueio suspende temporariamente o tratamento, mantendo os dados armazenados mas impedindo qualquer operação sobre eles. O bloqueio é útil quando há necessidade de preservar os dados para eventual comprovação de direitos, mas o titular não deseja que sejam utilizados no momento. A eliminação é a exclusão definitiva dos dados, sem possibilidade de recuperação. A LGPD exige que a eliminação seja realizada de forma segura, assegurando que os dados não possam ser recuperados por meios indevidos. O titular pode exercer esse direito quando os dados forem desnecessários, excessivos ou tratados em desconformidade com a LGPD. Dados desnecessários são aqueles que não são estritamente necessários para a finalidade declarada. Dados excessivos são aqueles coletados em quantidade maior do que o necessário. Dados tratados em desconformidade são aqueles cujo tratamento viola os princípios da lei. Portabilidade dos Dados O direito de portabilidade permite ao titular obter seus dados em formato interoperável, para que possam ser transferidos a outro controlador. A LGPD estabelece que o titular pode requisitar a portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa. A portabilidade deve contemplar os dados fornecidos pelo próprio titular, não aqueles derivados de tratamentos realizados pelo controlador. Este direito é especialmente relevante no contexto de serviços digitais, permitindo que o usuário que deseja trocar de plataforma possa levar consigo seus dados. A portabilidade conecta-se ao princípio da livre concorrência e impede que os controladores mantenham os usuários presos por meio da retenção de dados. A Resolução CD/ANPD nº 19/2024 detalhou os procedimentos para o exercício do direito à portabilidade, estabelecendo padrões técnicos de interoperabilidade. Eliminação dos Dados Tratados com Consentimento O artigo 18, VII garante especificamente o direito à eliminação dos dados pessoais tratados com fundamento no consentimento do titular. Este direito é uma consequência lógica do direito de revogação do consentimento: se o consentimento pode ser revogado, é natural que o titular possa exigir a eliminação dos dados que foram coletados com base nesse consentimento. A eliminação deve ser realizada em prazo razoável, considerando a complexidade técnica da operação e os sistemas envolvidos. O controlador deve informar sobre a eliminação ao titular, mediante solicitação. Informação sobre Entidades com as Quais Houve Uso Compartilhado O titular tem direito de ser informado sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados. Este direito conecta-se ao princípio da transparência e permite ao titular conhecer o fluxo de seus dados, verificando se o compartilhamento foi realizado de forma adequada e em conformidade com as bases legais invocadas. O controlador deve manter registro das operações de uso compartilhado e deve ser capaz de informar ao titular, quando solicitado, quais são as entidades que receberam seus dados e para quais finalidades. Informação sobre a Possibilidade de Não Fornecer Consentimento O artigo 18, IX garante ao titular o direito de ser informado sobre a possibilidade de não fornecer consentimento e as consequências da negativa. Este direito é fundamental para o exercício do consentimento informado: o titular só pode consentir validamente se conhecer as consequências de sua escolha. Na prática, este direito implica que os controladores devem informar claramente, antes de solicitar o consentimento, quais dados serão coletados, para quais finalidades serão utilizados, e quais são as consequências de não fornecer o consentimento. Em muitos casos, a negativa de consentimento impede o acesso a determinados serviços, mas o titular deve ser informado dessa limitação previamente. Revogação do Consentimento O direito de revogação do consentimento está previsto no artigo 8º, §5º da LGPD, que estabelece que o titular pode revogar o consentimento a qualquer momento, mediante manifestação expressa. A revogação opera efeitos prospectivos: os tratamentos realizados antes da revogação permanecem válidos, mas todos os tratamentos futuros com base naquele consentimento devem cessar. Este direito conecta-se ao princípio do livre acesso e da autodeterminação informativa: o indivíduo deve poder mudar de ideia a qualquer momento. A revogação deve ser tão fácil quanto a outorga do consentimento, conforme estabelece o princípio da facilidade. As Bases Legais para Tratamento de Dados Pessoais O artigo 7º da LGPD estabelece que o tratamento de dados pessoais somente é lícito nas hipóteses que enumera. Trata-se de um rol taxativo: se o tratamento não se enquadrar em uma das bases legais previstas, será ilegal. As bases legais funcionam como autorizações para o tratamento, legitimando operações que, de outra forma, configurariam violação aos direitos do titular. Consentimento do Titular O consentimento constitui a base legal mais intuitiva e mais utilizada. Refere-se à manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para finalidades determinadas. O consentimento deve ser específico para cada finalidade e deve ser destacado das demais cláusulas contratuais, conforme exige o artigo 8º. O consentimento validamente prestado legitima todo o tratamento posterior, desde que observados os princípios da lei. Contudo, o consentimento pode ser revogado a qualquer momento, e o controlador deve cessar o tratamento em prazo razoável após a revogação. Cumprimento de Obrigação Legal ou Regulatória O artigo 7º, II estabelece que o tratamento pode ser realizado para o cumprimento de obrigação legal ou regulatória pelo controlador. Esta base legal abrange todas as hipóteses em que uma norma jurídica exige ou permite o tratamento de dados. Exemplos incluem: instituições financeiras que precisam reportar transações suspeitas ao Coaf; empresas que devem manter registros contábeis pelo prazo legal; empregadores que devem fornecer dados de funcionários à Receita Federal. O tratamento com base nesta base legal não exige o consentimento do titular, pois há norma legal que legitima a coleta e o tratamento. Execução de Políticas Públicas pela Administração Pública O artigo 7º, III estabelece base legal específica para a administração pública: o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. Esta base legal é exclusiva do poder público e não pode ser utilizada por entidades privadas. A base do inciso III não autoriza o compartilhamento de dados com entidades privadas, salvo nas hipóteses de execução descentralizada de políticas públicas (como convênios com organizações sociais) ou quando expressamente previsto em lei. Esta restrição foi estabelecida pelo STF na ADI 6.649. Estudos por Órgão de Pesquisa O artigo 7º, IV autoriza o tratamento para a realização de estudos por órgão de pesquisa, desde que sejam observados os princípios da LGPD e sejam adotadas medidas para anonimização dos dados. Esta base legal busca equilibrar a proteção de dados com o desenvolvimento científico e tecnológico. Os estudos devem ser realizados por órgãos de pesquisa formalmente constituídos, e os resultados podem ser publicados, desde que os dados sejam anonimizados de forma irreversível. Execução de Contrato ou Procedimentos Preliminares O artigo 7º, V autoriza o tratamento necessário à execução de contrato do qual seja parte o titular, bem como a procedimentos preliminares relacionados a esse contrato. Esta base legal abrange situações como a contratação de serviços, a abertura de conta bancária, a compra de produtos. A base legal não exige consentimento específico para cada operação que seja necessária ao cumprimento do contrato. Contudo, operações além das necessárias para o contrato devem ter base legal própria. Exercício Regular de Direitos em Processo Judicial, Administrativo ou Arbitral O artigo 7º, VI autoriza o tratamento para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Esta base legal é especialmente relevante para advogados, defensorias públicas, Ministério Público e órgãos públicos que atuam em processos. O tratamento para fins de litígio pode incluir a coleta de dados da contraparte, a organização de documentação e a preparação de peças processuais. A base legal justifica o tratamento mesmo sem consentimento do titular, quando necessário para a defesa de direitos. Proteção da Vida e da Incolumidade Física O artigo 7º, VII autoriza o tratamento para a proteção da vida ou da incolumidade física do titular ou de terceiro. Esta base legal justifica medidas de emergência e de salvaguarda, mesmo quando o titular esteja impossibilitado de consentir (como em situações de inconsciência). Exemplos incluem: atendimento médico de emergência; comunicação de riscos iminentes a terceiros potencialmente afetados; ações de defesa civil em situações de calamidade. Tutela da Saúde O artigo 7º, VIII estabelece base legal específica para o tratamento de dados de saúde: a tutela da saúde, exclusivamente para fins de procedimentos de prevenção, saúde e repressão sanitária. Esta base legal complementa o artigo 7º, VII, com foco específico na área de saúde. A base legal abrange desde atendimentos médicos emergenciais até programas de saúde pública, campanhas de vacinação e monitoramento de epidemias. Profissionais de saúde, hospitais, laboratórios e órgãos de saúde pública podem invocar esta base legal para legitimar suas operações de tratamento. Interesses Legítimos do Controlador ou de Terceiro O artigo 7º, IX autoriza o tratamento para atender aos interesses legítimos do controlador ou de terceiro, desde que respeitados os direitos fundamentais do titular. Esta é a base legal mais flexível e mais sujeita a debates interpretativos. O conceito de interesse legítimo não está definido na LGPD, mas a ANPD tem orientado que deve ser interpretado de forma restritiva. Interesses legítimos típicos incluem: prevenção de fraudes, segurança dos sistemas, proteção do patrimônio. Contudo, o interesse comercial por si só não basta se conflitar com os direitos fundamentais do titular. A aplicação desta base legal deve observar o artigo 10, que estabelece que o controlador deve demonstrar sua legitimidade e adotar medidas de segurança e de verificação periódica. Proteção do Crédito O artigo 7º, X autoriza especificamente o tratamento para fins de proteção do crédito, incluindo a manutenção de cadastros de inadimplentes. Esta base legal foi objeto de múltiplos precedentes do STJ, que consolidaram seu entendimento. O STJ decidiu que o tratamento de dados pessoais para fins de proteção do crédito é legal e dispensa o consentimento do titular, desde que respeitados os limites legais. As empresas de proteção ao crédito podem coletar e manter dados sobre inadimplentes sem necessitar de autorização específica, mas devem observar os princípios da finalidade, da necessidade e da qualidade dos dados. Bases Legais para Dados Pessoais Sensíveis O artigo 11 da LGPD estabelece que o tratamento de dados pessoais sensíveis somente é permitido nas hipóteses taxativamente enumeradas, que são mais restritivas que as bases legais para dados comuns: Consentimento específico e destacado do titular para finalidades específicas, vedado o consentimento genérico; Cumprimento de obrigação legal que demande o tratamento; Execução de políticas públicas pela administração pública; Realização de estudos por órgão de pesquisa, desde que anonimizados os dados; Exercício regular de direitos em processo judicial, administrativo ou arbitral; Proteção da vida do titular ou de terceiro; Tutela da saúde, incluindo procedimentos de saúde; Prevenção à fraude e segurança do titular (nos processos de identificação e autenticação de cadastro em sistemas eletrônicos). (Atenção: A LGPD não prevê a Proteção do Crédito ou o Interesse Legítimo como bases legais aplicáveis para o tratamento de dados pessoais sensíveis). O artigo 11, §2º estabelece que, para fins de tutela da saúde, podem ser tratados dados por profissionais de saúde, serviços de saúde ou autoridade sanitária, observada a confidencialidade. O Consentimento: Requisitos e Limites O artigo 8º da LGPD estabelece os requisitos do consentimento válido: O consentimento deve ser livre, isto é, concedido sem vícios de consentimento (coação, erro, estado de perigo). O consentimento deve ser informado, isto é, precedido de informações claras sobre a finalidade, os dados coletados e os riscos. O consentimento deve ser inequívoco, isto é, manifestado de forma clara e objetiva, sem ambiguidades. O consentimento deve ser para finalidades determinadas, vedado o consentimento genérico. O parágrafo 1º do artigo 8º veda o consentimento genérico: o consentimento inserido como cláusula geral em contrato não é válido para autorizar o tratamento de dados. O consentimento deve ser específico para cada finalidade de tratamento. O parágrafo 4º estabelece que o consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular. A revogação não afeta os tratamentos já realizados anteriormente. O parágrafo 5º impõe ao controlador o ônus da prova de que o consentimento foi validamente obtido. Esta inversão do ônus da prova é uma garantia adicional ao titular, reconhecendo a assimetria de informações entre controladores e titulares. Tratamento pelo Poder Público Os artigos 23 a 32 da LGPD estabelecem regras específicas para o tratamento de dados pessoais por órgãos e entidades públicas. Esta parte da lei reconhece que a administração pública possui finalidades e limitações distintas das entidades privadas. Regras Gerais do Artigo 23 O artigo 23 estabelece que o tratamento de dados pessoais por órgãos públicos deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. A finalidade pública é o elemento central legitimador do tratamento público. O órgão público não pode tratar dados para fins privados, comerciais ou incompatíveis com sua missão institucional. Cada órgão possui competências legais específicas que definem o perímetro de seu tratamento. Compartilhamento entre Órgãos Públicos O artigo 23, §1º permite o uso compartilhado de dados entre órgãos públicos para finalidades específicas de execução de políticas públicas, vedando expressamente o compartilhamento para fins particulares. Esta vedação é absoluta: dados coletados para políticas públicas não podem ser utilizados para fins estranhos à política pública, como fins comerciais ou investigações privadas. Publicidade do Tratamento O artigo 23, I exige a publicização ativa das hipóteses de tratamento de dados pelo poder público. Os órgãos devem informar proativamente quais dados tratam, para quais finalidades, por quais bases legais e por quais prazos. Esta exigência de transparência ativa supera a transparência passiva aplicável ao setor privado. Vedação de Compartilhamento com Entidades Privadas O artigo 23, §2º veda expressamente a comunicação ou uso compartilhado de dados pessoais tratados com fundamento na base legal de políticas públicas com entidades privadas. Esta vedação é uma resposta às preocupações que motivaram a ADI 6.649, relacionada ao Cadastro Base do Cidadão. A exceção a esta vedação são os casos de execução descentralizada de atividade pública, em que o poder público celebra convênios ou contratos com entidades privadas para a execução de políticas públicas. Nestas hipóteses, o compartilhamento é permitido, desde que observados os princípios da LGPD. Serviços Notariais e de Registro O artigo 23, §3º equipara aos entes públicos os serviços notariais e de registro quando no exercício de suas funções públicas. Esta equiparação significa que cartórios estão sujeitos às mesmas regras do poder público, incluindo a vedação de compartilhamento indevido de dados. Responsabilização Civil do Estado O artigo 23, §6º, incluído pela Lei 13.853/2019, estabelece a responsabilização civil do Estado por danos causados ao titular em virtude do tratamento de dados realizado em desconformidade com a lei ou com seus direitos fundamentais. Esta responsabilização é objetiva, não exigindo prova de culpa do agente público. O Estado tem direito de regresso contra o servidor responsável, quando este tiver agido com dolo ou culpa. Esta regra visa responsabilizar diretamente o Estado perante o cidadão, sem prejuízo da responsabilização interna do agente. A Autoridade Nacional de Proteção de Dados A ANPD foi criada pela Lei 13.853/2019 e, com o advento da Lei nº 14.460/2022, foi transformada em autarquia de natureza especial, dotada de autonomia técnica e decisória. Suas atribuições, previstas no artigo 55-J, incluem: Zelar pela proteção dos dados pessoais; Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; Fiscalizar e aplicar sanções pelo descumprimento da LGPD; Editar regulamentos e procedimentos sobre proteção de dados; Promover o conhecimento da população sobre as normas e sobre a importância da proteção de dados. A ANPD foi instalada em 2020 e começou a aplicar sanções administrativas a partir de 2021. Desde então, já aplicou sanções a empresas de diversos setores, incluindo entidades públicas. Sanções Administrativas O artigo 52 da LGPD estabelece as seguintes sanções administrativas: Advertência, com prazo para correção da irregularidade; Multa simples de até 2% do faturamento da pessoa jurídica, limitada a R$ 50 milhões por infração; Multa diária pelo descumprimento de certas obrigações; Publicização da infração após julgado definitivos os processos; Bloqueio ou eliminação dos dados pessoais relativos à infração; Suspensão parcial ou total do funcionamento do banco de dados por até 6 meses, prorrogável; Proibição de atividades de tratamento realizadas em desconformidade. A ANPD é responsável pela apuração das infrações e pela aplicação das sanções, respeitados o contraditório e a ampla defesa. Encarregado de Dados O artigo 41 estabelece que o controlador e o operador devem indicar o encarregado de dados pessoais. O encarregado (DPO — Data Protection Officer) é o canal de comunicação entre o controlador, os titulares dos dados e a ANPD. O encarregado deve ter conhecimentos sobre proteção de dados e deve exercer suas funções com independência. A indicação do encarregado é obrigatória para controladores e operadores que realizem tratamento em grande escala, que tratem dados sensíveis ou que sejam organizações públicas. Jurisprudência Relevante STJ — Disponibilização Indevida de Dados e Dano Moral Presumido O STJ tem consolidado entendimento de que a disponibilização indevida de dados pessoais para terceiros, sem consentimento do titular, caracteriza dano moral presumido. Este entendimento foi reiterado pela Terceira Turma e pela Quarta Turma do STJ em inúmeros casos, constituindo um dos precedentes mais relevantes dos primeiros anos de vigência da LGPD. Na análise do tema, o STJ considerou que a exposição de dados pessoais em bancos de dados acessíveis a terceiros representa violação à honra, à intimidade e à imagem do titular, mesmo sem prova de dano efetivo. O dano moral decorre da própria violação do direito à proteção de dados, não sendo necessária demonstração de prejuízo econômico. Os precedentes do STJ estabelecem ainda que o tratamento de dados pessoais para fins de proteção ao crédito, nos termos do art. 7º, X, da LGPD, é legal e dispensa o consentimento do titular, desde que respeitados os limites da finalidade específica. STF — Compartilhamento de Dados entre Órgãos Públicos Conforme estudado na aula anterior, o STF, na ADI 6.649-DF, relatada pelo Ministro Gilmar Mendes, estabeleceu que o compartilhamento de dados pessoais entre órgãos públicos é legítimo quando observados os princípios da LGPD e os parâmetros constitucionais mínimos. A decisão do STF exerce impacto direto sobre a interpretação dos artigos 23 e seguintes da LGPD, reforçando as vedações de compartilhamento e as exigências de transparência ativa. Quadro Comparativo: Bases Legais para Dados Comuns e Dados Sensíveis | Base Legal | Dados Comuns (Art. 7º) | Dados Sensíveis (Art. 11) | |------------|------------------------|---------------------------| | Consentimento | Livre, informado, inequívoco | Específico e destacado | | Obrigação legal | Sim | Sim | | Políticas públicas | Sim (administração pública) | Sim (administração pública) | | Estudos por órgão de pesquisa | Sim | Sim (com anonimização) | | Exercício de direitos | Sim | Sim | | Proteção da vida | Sim | Sim | | Tutela da saúde | Sim | Sim | | Interesses legítimos | Sim | Não | | Proteção do crédito | Sim | Não | Quadro Comparativo: Sanções da LGPD | Sanção | Descrição | Peculiaridades | |--------|-----------|-------------| | Advertência | Comunicação formal sobre irregularidade | Prazo para correção | | Multa simples | Até 2% do faturamento | Limite de R$ 50 milhões por infração | | Multa diária | Por descumprimento de obrigações específicas | Limitada ao mesmo teto | | Publicização | Divulgação da infração após condenação | Após trânsito em julgado | | Bloqueio | Impedimento de acesso aos dados | Temporário | | Eliminação | Exclusão definitiva dos dados | Por decisão administrativa | | Suspensão | Paralisação do banco de dados | Até 6 meses, prorrogável | | Proibição | Vedação de atividades de tratamento | Pode ser definitiva | Resumo para Prova Os pontos mais cobrados em concursos públicos sobre esta aula incluem: Os 9 direitos do titular (art. 18): confirmação, acesso, correção, anonimização/bloqueio/eliminação, portabilidade, eliminação com consentimento, informação sobre compartilhamento, informação sobre negativa e revogação. As 10 bases legais para dados pessoais comuns (art. 7º). O tratamento de dados sensíveis exige bases legais mais restritivas (art. 11), excluindo hipóteses como Proteção do Crédito e Interesse Legítimo. O consentimento deve ser livre, informado, inequívoco e para finalidades determinadas; ônus da prova recai sobre o controlador. O poder público utiliza a base de políticas públicas (inciso III), não consentimento como regra. A multa máxima é de 2% do faturamento ou R$ 50 milhões por infração. A ANPD é uma autarquia de natureza especial (conforme Lei nº 14.460/2022). O STJ entende que a disponibilização indevida de dados gera dano moral presumido. O STF, na ADI 6.649, restringiu o compartilhamento de dados públicos com entidades privadas. O Estado responde objetivamente por danos causados pelo tratamento em desconformidade com a LGPD. A revogação do consentimento opera efeitos prospectivos.