Lei Geral de Proteção de

Dados e a Administração
Pública
 Sumário
Apresentação ......................................................................................................... 5
Módulo I
LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) .................................................. 6
1.1 O Contexto Histórico na LGPD no Mundo e no Brasil .......................... 6
1.2 A LGPD na Perspectiva Constitucional: Os Direitos Fundamentais ....... 8
1.3 A LGPD e a Relação com os Outros Diplomas Legais .......................... 11
1.3.1 A LGPD e a Lei do Marco Civil da Internet (Lei nº 12.965/2014) ................ 12
1.3.2 A LGPD e a Lei e Acesso à Informação (LAI – Lei nº 12.527/2011) ........... 15
1.4 Âmbito de Aplicação da LGPD................................................................ 18
1.5 Os Fundamentos da LGPD ...................................................................... 20
1.6 Normas Fundamentais da LGPD............................................................. 21
1.6.1 Princípio da Finalidade............................................................................... 21
1.6.2 Princípio da Adequação ............................................................................. 22
1.6.3 Princípio da Necessidade .......................................................................... 23
1.6.4 Princípio da Qualidade de Dados ............................................................... 23
1.6.5 Princípio da Transparência e do Livre Acesso ........................................... 23
1.6.6 Princípio da Segurança e da Prevenção .................................................... 24
1.6.7 Princípio da Não Discriminação ................................................................. 25
1.6.8 Princípio da Responsabilidade e da Prestação de Contas ......................... 25
1.6.9 Princípio da Boa-Fé ................................................................................... 26
1.6.10 Conceitos Fundamentais ........................................................................... 26
Referências ............................................................................................................ 28

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 5

Apresentação
Neste Módulo, trataremos, de forma específica, dos temas ligados aos aspectos
gerais da LGPD. A partir disso, vamos tratar do contexto histórico da LGPD no mundo e
no Brasil, das vinculação da LGPD à perspectiva constitucional (em especial, sua relação
com os direitos fundamentais), das relações da LGPD com outros diplomas legais
correlatos, em específico, a Lei do Marco Civil da Internet (Lei nº 12.965/2014), com a Lei
de Acesso à Informação (LAI – Lei nº 12.527/2011), com âmbito de aplicação da LGPD; seus
fundamentos e finalidade, e, ainda, de seus princípios e conceitos fundamentais.

A ideia é, portanto, trabalhar essencialmente com a inserção normativa da LGPD

no Brasil, e de como isso aconteceu de forma específica, assim como das premissas
gerais de sua compreensão e atuação, permitindo um apanhado geral dos temas
fundamentais da legislação.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 6

Módulo I
LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)

André Luiz Bäuml Tesser*

1.1 O Contexto Histórico na LGPD no Mundo e no Brasil

A Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018)

surgiu no Brasil a partir de um projeto de lei de iniciativa da Câmara dos
Deputados, que tramitou especificamente sob o nº 4.060/2012.

Na justificativa do projeto, o Deputado Milton Monti asseverou

que “O presente Projeto de lei tem por objetivo dar ordenamento
jurídico e institucional ao tratamento de dados pessoais, bem como a
proteção dos direitos individuais das pessoas, de acordo com a
Constituição da República Federativa do Brasil” (grifo nosso).

Assim, no seu art. 1º, o projeto original estabelecia que “Esta lei
tem por objetivo garantir e proteger, no âmbito do tratamento de dados
pessoais, a dignidade e os direitos fundamentais da pessoa natural,
particularmente em relação a sua liberdade, privacidade, intimidade,
honra e imagem” (grifo nosso).
* Bacharel em Direito pela
Universidade Federal do Paraná
(1999), mestrado (2013) e Posteriormente, foi apensado ao PL nº 4.060/2012, o Projeto de
doutorado em Direito pela UFPR
(2018). Atualmente é professor Lei nº 5.276/16, de autoria do Poder Executivo, por iniciativa do
assistente do Instituto de
Desenvolvimento Tuiuti, professor Ministério da Justiça, sendo, inclusive fruto da Resolução da ONU, de
assistente 'd' da Universidade Tuiuti
do Paraná, professor colaborador 25 de novembro de 2013, sobre "Direito à Privacidade na Era Digital”,
da Escola da Magistratura do
Paraná, professor do corpo docente como consta da mensagem presidencial encaminhada ao Congresso.
efetivo do Centro de Estudos
Jurídicos do Paraná - Curso Prof. A citada mensagem informava que, naquele momento “109 países
Luiz Carlos. Tem experiência na
área de Direito, com ênfase em possuem normas nesse sentido e mais de 90 destes têm uma
Direito Processual Civil e Direito
Empresarial. Atualmente é Diretor
Jurídico da Celepar.
autoridade pública específica especializada no tema”.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 7

Portanto percebe-se facilmente duas perspectivas sobre as razões da adoção da

LGPD: (i) a lei possui fundamento normativo geral constitucional, em especial para a
proteção de alguns direitos fundamentais, estabelecendo-se regras específicas para o
tratamento de dados pessoais visando à proteção de tais direitos; e (ii) a lei está inserida
em um contexto internacional de proteção de dados pessoais, incluindo o Brasil no rol de
países preocupados com tais questões, não sendo, portanto, de iniciativa exclusiva do
legislador brasileiro.

A inserção da LGPD no contexto internacional é expressamente reconhecida no

relatório final sobre os projetos de lei que deram origem à legislação, de relatoria do
Deputado Orlando Silva, que consigna um capítulo específico para uma “breve
contextualização internacional”.

E, no citado relatório, já se reconhecia claramente a influência das regulações

europeias sobre o tema. Veja-se:

Grande fonte de inspiração para os projetos advém do arcabouço

europeu. O primeiro instrumento daquele bloco na temática é a
Convenção do Conselho da Europa n. 108, de 1981, “Convenção para a
Proteção de Indivíduos com Respeito ao Processamento Automático de
Dados Pessoais”. O segundo instrumento geral é a Diretiva Europeia n.
46, de 1995, conhecida como Diretiva de Proteção de Dados. Em
terceiro lugar, citamos a Diretiva n. 58, de 2002, focada na proteção da
privacidade no âmbito das comunicações eletrônicas.

Vale ressaltar uma curiosidade histórica. O relatório em questão foi apresentado

perante a Comissão Especial da Câmara dos Deputados em 24/05/2018, ou seja, um dia
antes em que o regulamento geral sobre proteção de dados europeu (conhecido como
GDPR – General Data Protection Regulation) entrar em vigor (25/05/2018).

Em outros países, vê-se regulamentações adotadas de forma diferente daquela

moldada no contexto europeu. Nos EUA, por exemplo, ao contrário da experiência
europeia, não há uma lei federal geral para proteção de dados, mas há regulações
setoriais (e setorizadas) da proteção e privacidade de dados pessoais. São exemplos
dessas legislações federais setoriais: (i) Driver’s Privacy Protection Act (DPPA);
(ii) Children’s Online Pivacy Protection Act (COPPA); (iii) Fair Credit Reporting Act
(FCRA); (iv) Telemarketing Sales Rules (TSR); (v) Controlling the Assault of Non-Solicited
Pornography and Marketing Act (CAN-SPAM); (vi) Health Insurance Portability and
Accountability Act (HIPAA); e (vii) Family Educational Rights and Privacy (FERPA).

Vale relembrar a estrutura federativa dos Estados Unidos, da qual resulta uma
autonomia legislativa muito maior aos estados. Nessa dimensão, alguns estados já
adotaram legislações específicas e gerais sobre proteção e privacidade de dados. Por

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 8

exemplo, desde janeiro de 2020, está em vigor o “CCPA” (California Consumer Privacy Act),
que pode ser visto como uma lei geral de proteção de dados no Estado da California. Não
deixa de ser curioso, aliás, que justamente no estado em que se encontra o Sillicon Valley
(localidade famosa por concentrar empresas e iniciativas de inovação tecnológica), tenha
sido adotada uma lei geral de proteção de dados pessoais. Ainda, é importante registrar a
existência do “Stop Hacks and Improve Electronic Data Security Act (NY SHIELD)”,
instrumento legislativo de privacidade e segurança de dados do estado de Nova York em
vigência plena desde março/2020 (embora algumas regras tenham entrado em vigor em
outubro/2019).

Não há dúvida, portanto, que a LGPD está inserida num contexto internacional de
proteção e privacidade de dados pessoais, como exigência de governança digital nos
tempos atuais. Importante ressaltar que a LGPD também serve como instrumento para
colocar o Brasil no mapa dos países preocupados com a questão, o que faz todo sentido
sob o ponto de vista, inclusive, do mercado globalizado.

Veja-se outro trecho do relatório apresentado perante a Comissão Especial da

Câmara dos Deputados, em relação a essa questão:

Por outro lado, ao se viver nesta era em que dados e informações se

tornaram insumos de negócios e movimentam vigorosíssimas indústrias
globais, é extremamente necessário tornar o Brasil um ambiente integrado
com o mundo e, portanto, propício para o desenvolvimento do setor. Por
esse motivo e como discutido anteriormente, a não proteção aos dados
pessoais, pode alijar o país de importantes oportunidades de
desenvolvimento econômico.

Assim, a LGPD insere-se em um contexto histórico internacional de proteção e

privacidade de dados pessoais, como elemento de promoção da dignidade da pessoa
humana, e como instrumento de desenvolvimento econômico internacional e inserção no
mercado globalizado.

1.2 A LGPD na Perspectiva Constitucional: Os Direitos Fundamentais

O artigo 1º da LGPD dá o tom da sua aderência ao texto constitucional e, em

especial, como instrumento de efetivação e concretização de direitos fundamentais, ao
dispor que:

Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos

meios digitais, por pessoa natural ou por pessoa jurídica de direito
público ou privado, com o objetivo de proteger os direitos fundamentais
de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural. (grifo nosso)

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 9

Portanto a LGPD pretende ser um instrumento de proteção dos direitos

fundamentais da liberdade e da privacidade, assim como do livre desenvolvimento da
pessoa natural. É sua específica finalidade e objetivo, a concretização de tais direitos, na
perspectiva da proteção e privacidade dos dados pessoais.

O inciso III, do art. 1º da Constituição Federal de 1988, consagra como um dos

fundamentos da República Federativa do Brasil (constituída sob a forma de Estado
Democrático de Direito) a “dignidade da pessoa humana”. Aliás, a dignidade da pessoa
humana tem sido tratada, com razão, como princípio, que deve ser compreendido, na
escorreita teorização de Humberto Ávila (2011, p.78-79),

[...] são normas imediatamente finalísticas, primariamente prospectivas

e com pretensão de complementaridade e de parcialidade, para cuja
aplicação se demanda uma avaliação de correlação entre o estado de
coisas a ser promovido e os efeitos decorrentes da conduta havida
como necessária à sua promoção.

É emblemática, também, a lição de Luís Roberto Barroso, para quem a dignidade

da pessoa humana “se assenta sobre a compreensão de que todas as pessoas são um
fim em si mesmo, e não um meio para realização de interesses alheios ou de metas
coletivas” (BARROSO, 2020, p.171). Nessa dimensão, portanto, os direitos de liberdade
e de privacidade, na perspectiva de direitos fundamentais são a mais pura expressão da
ideia da dignidade da pessoa humana, porquanto a liberdade do indivíduo e sua
privacidade são elementos indeléveis de sua caracterização e reconhecimento no plano
jurídico como um fim em si mesmo.

Não é objeto deste módulo uma abordagem completa da Teoria dos Direitos
Fundamentais. É importante, por outro lado, ressaltar em linhas gerais, dois aspectos
específicos sobre o tema.

O primeiro deles diz respeito ao seu status normativo, o que depende de uma
demonstração, ainda que breve, do conceito de direitos fundamentais no direito
brasileiro, que, de forma geral, reconhece a dimensão formal e material de tal espécie de
direitos. Nas palavras da doutrina,

[...] determinado direito é fundamental não apenas pela relevância do

bem jurídico tutelado considerado em si mesmo (por mais importância
que o seja), mas especialmente pela relevância daquele bem jurídico
nas opções do Constituinte, acompanhada da atribuição e hierarquia
normativa correspondente e do regime jurídico-constitucional assegurado
pelo Constituinte as normas de direitos fundamentais (SARLET;
MARINONI; MITIDIERO, 2012, p.268).

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 10

Na perspectiva do direito constitucional brasileiro, os aspectos essenciais dos

direitos fundamentais, sob o ponto de vista formal, são que eles (i) se constituem o ápice
do ordenamento jurídico, gozando da extrema supremacia na ordem constitucional,
(ii) estão caracterizados como cláusula pétrea (que não podem ser abolidos nem mesmo
por emenda constitucional, na forma do art. 60, § 4º da CF/88) e (iii) são aplicáveis
diretamente, e com vinculação imediata, às entidades públicas e, com alguma mediação,
igualmente aos entes privados.

No que diz respeito à eficácia dos direitos fundamentais, é importante ressaltar a

norma inserta no § 1º, do art. 5º da Constituição Federal de 1988, que estabelece que
“As normas definidoras dos direitos e garantias fundamentais têm aplicação imediata”.
Assim, os direitos fundamentais, embora possuam aplicabilidade imediata e possam ter
eficácia plena, em alguns casos são objeto de regulamentação também pelo legislador
ordinário (SARLET; MARINONI; MITIDIERO, 2012).

Essa teorização é premissa de compreensão da escolha do legislador ordinário da

LGPD ao apontar, no art. 1º, que a lei em questão está destinada à proteção de direitos
fundamentais de liberdade, privacidade e do livre desenvolvimento da pessoa natural.

No que diz respeito à liberdade, a doutrina sustenta que o texto constitucional a

eleva ao status de direito fundamental, na forma de um direito geral de liberdade, que se
traduz também de forma concreta, em formas específicas de liberdade (SARLET;
MARINONI; MITIDIERO, 2012, p.429). Isso se revela, na menção à liberdade, como valor
geral no caput do art. 5º da CF/88, e em diversos incisos específicos (por exemplo, VI, IX,
XIII, XV, XVI, XVII e XX).

A reafirmação do direito fundamental à liberdade na LGPD situa-se no plano dos

direitos do titular dos dados pessoais, no que diz respeito à livre escolha do tratamento de
seus dados (expressa na forma do consentimento como uma das hipóteses legais de
tratamento) e, também, quanto ao exercício dos direitos dos titulares reconhecidos no
próprio texto legal.

Já em relação à privacidade, não há sombra de dúvida que a LGPD é instrumento

normativo voltado de forma específica à concretude de tal direito fundamental (na forma,
principalmente, do inciso X, do art. 5º da CF/88), como se vê claramente dos diversos
dispositivos legais da LGPD, que tratam da necessidade do respeito à privacidade
deixam clara essa funcionalidade.

E, finalmente, no que tange ao livre desenvolvimento da pessoa natural é preciso

ressaltar três aspectos essenciais.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 11

O primeiro é a expressão livre a adjetivar o direito em proteção. Mais uma vez se

vê claramente a referência à liberdade individual.

O segundo, é que o texto da LGPD consagra uma visão doutrinária e

jurisprudencial que reconhece que, embora não exista menção expressa no texto
constitucional a um direito geral de personalidade, o princípio da dignidade da pessoa
humana é o claro fundamento da sua existência (ainda que implícita) (SARLET;
MARINONI; MITIDIERO, 2012, p.384).

E, por fim, e não menos importante, de que o livre desenvolvimento da

personalidade “implica uma proteção abrangente em relação a toda e qualquer forma de
violação dos bens da personalidade, estejam eles, ou não, expressa e diretamente
reconhecidos ao nível da constituição” (SARLET; MARINONI; MITIDIERO, 2012, p.385).
Esse último aspecto, aliás, permite uma crítica teórica do texto do art. 1º da LGPD,
porquanto se ela se propõe a proteger o livre desenvolvimento da pessoa natural, no
plano constitucional brasileiro, não há como fazer isso sem a proteção da privacidade.
Em outras palavras, o direito à privacidade está inserido no contexto geral da proteção
dos direitos da personalidade.

Não resta dúvida, portanto, que a LGPD tem por finalidade a proteção e
concretização dos direitos fundamentais de liberdade e personalidade (entendendo-se,
como não poderia deixar de ser, que a privacidade também faz parte do âmbito de
proteção da personalidade), e que, notadamente, tais direitos devem ser tutelados nas
operações de tratamento de dados pessoais, na forma do que prescreve o seu art. 1º.

1.3 A LGPD e a Relação com os Outros Diplomas Legais

Se, no tema anterior, cuidou-se de enquadrar a LGPD no contexto normativo

constitucional brasileiro, em especial como instrumento de efetivação e concretização de
direitos fundamentais, parece fundamental estabelecer como a LGPD se relaciona com
outras legislações federais que tratam de temas correlatos ou colaterais, para que a nova
legislação de proteção de dados seja efetiva e, ao mesmo tempo, sua interpretação e
aplicação não seja instrumento de falta de integridade normativa, causando disfunções e
regras contraditórias.

Neste módulo, trataremos da relação da LGPD com duas legislações federais:

(i) o Marco Civil da Internet (MCI – Lei nº 12.965/2014); e (ii) Lei de Acesso à Informação (LAI
– Lei nº 12.527/2011). Isso não significa dizer que a LGPD não possua relação com outros
diplomas normativos (como o Código Civil, na esfera da proteção infraconstitucional dos

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 12

direitos da personalidade, como a CLT, no espectro de harmonização da proteção dos

dados pessoais nas relações trabalhistas, o Código de Defesa do Consumidor, quando o
tratamento de dados pessoais acontecer no âmbito de uma relação de consumo, ou
ainda, das legislações processuais que cuidam da outorga jurisdicional de direitos, em
sua perspectiva individual ou transindividual). A opção pela abordagem das duas legislações
federais, que mencionaremos de forma específica, dá-se pela maior inter-relação
temática (e, portanto, também de maior risco de falta de integridade normativa).

Para uma melhor compreensão, as interações e relações da LGPD com cada

legislação específica serão tratadas em itens separados.

1.3.1 A LGPD e a Lei do Marco Civil da Internet (Lei nº 12.965/2014)

O denominado Marco Civil da Internet (MCI – Lei nº 12.965/2014) foi o primeiro

diploma legal no Brasil a tratar com alguma especificidade do uso da internet, estabelecendo
“princípios, garantias, direitos e deveres para o uso da internet no Brasil” (art. 1º).

Em razão disso, o MCI tratou diversas questões relativas à privacidade e aos

dados pessoais. Veja-se, por exemplo, alguns incisos do seu art. 7º, estabelecendo
direitos dos usuários no tratamento de dados pessoais:

Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao

usuário são assegurados os seguintes direitos: [...]
VII - não fornecimento a terceiros de seus dados pessoais, inclusive
registros de conexão, e de acesso a aplicações de internet, salvo mediante
consentimento livre, expresso e informado ou nas hipóteses previstas
em lei;
VIII - informações claras e completas sobre coleta, uso, armazenamento,
tratamento e proteção de seus dados pessoais, que somente poderão
ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em
termos de uso de aplicações de internet;
IX - consentimento expresso sobre coleta, uso, armazenamento e
tratamento de dados pessoais, que deverá ocorrer de forma destacada
das demais cláusulas contratuais;
X - exclusão definitiva dos dados pessoais que tiver fornecido a
determinada aplicação de internet, a seu requerimento, ao término da
relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de
registros previstas nesta Lei; [...].

Ainda, outro exemplo de regulação trazida pelo MCI, está no seu artigo 16, inciso
II, que estabelece que “Na provisão de aplicações de internet, onerosa ou gratuita, é
vedada a guarda: [...] II - de dados pessoais que sejam excessivos em relação à
finalidade para a qual foi dado consentimento pelo seu titular”.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 13

Marcel Leonardi ressalta trecho extraído da Exposição de Motivos do MCI, em

especial no sentido de que ele é

[...] um primeiro passo no caminho legislativo, sob a premissa de que

uma proposta legislativa transversal e convergente possibilitará um
posicionamento futuro mais adequado sobre outros temas importantes
relacionados à Internet que ainda carecem de harmonização, como a
proteção de dados pessoais [...] (LEONARDI, 2020, p.223).

Tal observação é muito importante, porque denota que a intenção legislativa do

MCI não era que ele fosse um diploma legal exaustivo, mas que deveria ser precedido de
uma legislação (ou de legislações) mais específica sobre outros temas, dentre eles, a
proteção de dados pessoais.

Assim, embora o MCI tenha tratado em diversos dispositivos de temas que

posteriormente vieram a ser regulados também pela LGPD, não tinha a pretensão de
regular de forma exaustiva o tema. E, é justamente por isso que existe potencial conflito
entre as duas legislações.

Como bem aponta Marcel Leonardi (2020, p.220-221),

[...] a essência da controvérsia existente entre a LGPD e o MCI consiste

em definir (i) se, e como, as normas sobre privacidade e proteção de
dados pessoais constantes do Marco Civil da Internet são compatíveis
com a LGPD, e (ii) se a LGPD regulou inteiramente, ou não, a matéria de
que tratava o MCI (um primeiro passo no caminho legislativo, sob a
premissa de que uma proposta legislativa transversal e convergente
possibilitará um posicionamento futuro mais adequado sobre outros
temas importantes relacionados à Internet que ainda carecem de
harmonização, como a proteção de dados pessoais [...].

Nesse sentido, é de se apontar, desde já, que a LGPD não revogou expressamente
nenhum dispositivo do MCI, apenas tratando da alteração do art. 7º, inciso X e do art. 16,
inciso II, como se vê na redação do art. 60 da LGPD, que dispõe que:

Art. 60. A Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet),

passa a vigorar com as seguintes alterações:
Art. 7º [...]
X - exclusão definitiva dos dados pessoais que tiver fornecido a
determinada aplicação de internet, a seu requerimento, ao término da
relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de
registros previstas nesta Lei e na que dispõe sobre a proteção de dados
pessoais; [...] (NR)
Art. 16. [...]
II - de dados pessoais que sejam excessivos em relação à finalidade
para a qual foi dado consentimento pelo seu titular, exceto nas hipóteses
previstas na Lei que dispõe sobre a proteção de dados pessoais. (NR)

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 14

Dessa forma, como se pode resolver eventual conflito entre o MCI e a LGPD na
regulação de questões envolvendo dados pessoais, seu tratamento e a privacidade como
direito do titular ou usuário?

A solução está na Lei de Introdução às Normas do Direito Brasileiro (LINDB) que,

especialmente nos §§ 1º e 2º, do art. 2º, estabelece como se soluciona conflito entre
normas de igual estatura normativa, dispondo que

Art. 2º [...]
§ 1º A lei posterior revoga a anterior quando expressamente o declare,
quando seja com ela incompatível ou quando regule inteiramente a
matéria de que tratava a lei anterior.
§ 2º A lei nova, que estabeleça disposições gerais ou especiais a par
das já existentes, não revoga nem modifica a lei anterior.

Como se depreende da leitura de tais dispositivos, o § 1º trata das hipóteses de

revogação expressa ou tácita de lei anterior, sendo que, nesse último caso isso acontece
quando a lei posterior regula inteiramente a matéria de que tratava a lei anterior e o § 2º
cuida da revogação de lei geral por lei especial.

Não pode restar dúvida de que a LGPD, no que diz respeito aos dados pessoais e
sua proteção, regulou inteiramente essa matéria, de forma que se deve apontar no
sentido de que houve revogação tácita dos dispositivos que tratam da questão no MCI,
excetuando-se, é claro, aqueles que foram especificamente alterados pela LGPD em seu
art. 60.

Veja-se a esse respeito, mais uma vez, a lição de Marcel Leonardi, para quem

A multiplicidade, a abrangência e o detalhamento das bases legais de

tratamento, somado às ressalvas constantes dos artigos 1º e 3º da
LGPD, os quais expressamente mencionaram que a lei regula o tratamento
de dados pessoais inclusive nos meios digitais e se aplica a qualquer
operação de tratamento independentemente do meio deixam claro que
a LGPD regulou inteiramente as hipóteses legais de tratamento no
ambiente on-line constantes do MCI (LEONARDI, 2020, p.237).

Há, ainda, uma consideração específica a se fazer, que diz respeito à regra do § 2º,
do art. 2º da LINDB, em especial do princípio de que a lei geral especial derroga a lei geral.
Isso porque, se poderia objetar que, sendo o MCI uma lei que regula especificamente o
uso da internet no Brasil, seria possível sustentar que, em relação à LGPD, seria uma lei
especial e, portanto, mesmo que anterior, deveria prevalecer em relação a essa última?

É preciso, antes de tudo, esclarecer um possível equívoco, em razão da própria

nomenclatura que se deu para a LGPD. Embora seja uma lei geral de proteção de dados,
essa generalidade tem relação com o fato de que ela não é setorial (como são, por

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 15

exemplo, diversas legislações estadunidenses – vide Tema 1 deste módulo), mas sim,
aplica-se à proteção de dados pessoais em todos os setores e atividades em que o
tratamento de tais dados aconteça. Assim, embora a LGPD seja uma lei geral, isso
não significa que ela não seja especial em relação ao tema de que trata: a proteção de
dados pessoais.

E, nesse sentido, em especial às observações já apontadas e às regras inseridas

no art. 1º e 3º da LGPD, ela deve ser vista, em relação ao MCI, como lei especial, porque
regula a proteção de dados pessoais em todos os ambientes e setores em que isso
aconteça, inclusive na internet.

Portanto, não pode restar qualquer dúvida de que, havendo conflito entre as
regras existentes no MCI e na LGPD, a normatização que se extrai dessa última é a que
deve prevalecer, porque, no âmbito da proteção de dados pessoais, regulou inteiramente
a matéria e é legislação especial.

1.3.2 A LGPD e a Lei e Acesso à Informação (LAI – Lei nº 12.527/2011)

É fundamental analisar a possível incompatibilidade da LGPD com a chamada Lei

de Acesso à Informação (LAI – Lei nº 12.527/2011). Isso porque, como se sabe, a
LAI traz a obrigação de divulgação de uma série de dados pela Administração Pública e
suas entidades, no sentido do atendimento do dever de transparência, como decorrência
dos princípios da impessoalidade e da publicidade, previstos no art. 37 da Constituição
da República de 1988. No contexto do presente curso, aliás, é ainda mais relevante
essa discussão.

Nesse sentido, o art. 3º da LAI, estabelece que:

Art. 3º Os procedimentos previstos nesta Lei destinam-se a assegurar o

direito fundamental de acesso à informação e devem ser executados em
conformidade com os princípios básicos da administração pública e com
as seguintes diretrizes:
I - observância da publicidade como preceito geral e do sigilo como
exceção;
II - divulgação de informações de interesse público, independentemente de
solicitações;
III - utilização de meios de comunicação viabilizados pela tecnologia da
informação;
IV - fomento ao desenvolvimento da cultura de transparência na
administração pública;
V - desenvolvimento do controle social da administração pública.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 16

Portanto, a LAI estabelece o dever de divulgação das chamadas “informações de

interesse público”, o que é regrado em diversos dispositivos da legislação específica.
Para a compreensão da relação da LGPD com a LAI, parece importante tratar de alguns
desses dispositivos.

A primeira regra a ser destacada é aquela que traz, para fins da LAI, os conceitos
legais de “informação” e de “informação pessoal”. O art. 4º, em seus incisos I e IV,
estabelece que:

Art. 4º Para os efeitos desta Lei, considera-se:

I - informação: dados, processados ou não, que podem ser utilizados
para produção e transmissão de conhecimento, contidos em qualquer
meio, suporte ou formato; [...]
IV - informação pessoal: aquela relacionada à pessoa natural identificada
ou identificável; [...].

Da simples leitura dos dispositivos legais, fica claro que “informação pessoal” é
espécie do gênero “informação”, que fica qualificada como sendo aquela relativa à
pessoa natural identificada e identificável.

Esse é o primeiro e principal ponto de tangência entre LAI e LGPD. Isso porque,
nessa última, o seu art. 5º, inciso I, estabelece que “Art. 5º Para os fins desta Lei,
considera-se: I - dado pessoal: informação relacionada a pessoa natural identificada ou
identificável; [...]”. Portanto, é de fácil percepção que o que a LAI conceitua como
“informação pessoal”, a LGPD conceitua como “dado pessoal”, e, assim, “informação
pessoal” e “dado pessoal” são conceitos que exprimem o mesmo fenômeno jurídico.

Nesse particular, como já se apontou anteriormente, a LGPD (na forma do seu art.
1º) é a legislação que regula o tratamento de dados pessoais, “com o objetivo de proteger
os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural”. Por outro lado, a LAI, como estabelece seu art. 1º,
cuida de “garantir o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II
do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal”.

O principal potencial conflito entre as legislações, portanto, reside na diferença

possível de tratamento que cada uma delas trará para as “informações pessoais” ou
“dados pessoais”. O possível conflito aqui é mais do que claro, pois, enquanto a LAI
procura tutelar a transparência e a publicidade das informações, a LGPD busca proteger
a privacidade da pessoa natural e, portanto, de seus dados pessoais. Ademais, e como fica
claro dos próprios dispositivos legais, está-se diante de potencial conflito entre direitos de
igual estatura constitucional, pois tanto o direito à informação quanto os direitos da
liberdade e da privacidade estão previstos como direitos e garantias fundamentais, em
diversos incisos do art. 5º da Constituição Federal de 1988.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 17

Em ambas as legislações, há regras que permitem indicar uma harmonização entre

elas. O art. 2º da LGPD dispõe que, entre seus fundamentos, também está a liberdade da
informação (inciso III) e o exercício da cidadania pelas pessoas naturais (inciso VI).

Já a LAI, em seu art. 31, regula o tratamento das informações pessoais, ao dispor que:

Art. 31. O tratamento das informações pessoais deve ser feito de forma
transparente e com respeito à intimidade, vida privada, honra e imagem
das pessoas, bem como às liberdades e garantias individuais.
§ 1º As informações pessoais, a que se refere este artigo, relativas à
intimidade, vida privada, honra e imagem:
I - terão seu acesso restrito, independentemente de classificação de
sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de
produção, a agentes públicos legalmente autorizados e à pessoa a que
elas se referirem; e
II - poderão ter autorizada sua divulgação ou acesso por terceiros diante
de previsão legal ou consentimento expresso da pessoa a que elas
se referirem.

Portanto o direito à informação, na forma da LAI, não exclui tratamento

diferenciado para as chamadas informações pessoais – conceito que, como se vê no seu
art. 4º, IV, é idêntico à conceituação de dados pessoais na LGPD – estabelecendo que o
acesso a tais informações deve ser restrito e somente pode ter autorizada sua divulgação
ou acesso por terceiros se houver previsão legal ou consentimento expresso da pessoa
titular do dado.

Veja-se que tal regra não é incompatível com a LGPD, que estabelece como
hipóteses legais de tratamento de dados pessoais o consentimento pelo titular e o
cumprimento de obrigação legal ou regulatória pelo controlador (art. 7º, incisos I e II).

Portanto a LGPD não veda, de forma cabal, que as chamadas informações (ou
dados) pessoais possam ser objeto de divulgação na forma da LAI (por exemplo, o nome
do servidor público, para fins da publicização de sua remuneração). Todavia, não se
pode olvidar que a própria LGPD estabelece como princípios a serem observados no
tratamento de dados pessoais a finalidade, ou seja, a realização do tratamento para
propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com essas finalidades (LGPD, art. 6º, inciso
I); a adequação, na perspectiva da compatibilidade do tratamento com as finalidades
informadas ao titular, de acordo com o contexto do tratamento (LGPD, art. 6º, inciso II); e
a necessidade, assim entendida como limitação do tratamento, ao mínimo necessário,
para a realização de suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades do tratamento de dados
(LGPD, art. 6º, inciso III).

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 18

Portanto é possível afirmar que a divulgação de dados (informações) pessoais,

em decorrência do dever de publicidade e transparência regulado na LAI, também deve
observar os princípios norteadores do tratamento de dados pessoais previstos na LGPD.
Isso evidencia, por exemplo, que na divulgação da remuneração de um servidor público,
para fins da LAI, seu nome é o dado pessoal que basta, porque a publicização de seu
número de CPF ou seu endereço, por exemplo, não é adequada ou necessária para a
finalidade a ser atendida, qual seja, para fins de informação pública da remuneração paga
ao servidor.

Há, ainda, uma última observação a ser feita, no sentido da harmonização entre
LAI e LGPD: como se viu, ambas tratam de direitos de igual estatura constitucional e que,
justamente por isso, impedem que se tenha uma solução abstrata e, a priori, para
eventual conflito entre elas. A solução, nesses casos, é sempre demandada pelo caso
concreto, pela técnica da ponderação, que impede que haja uma prevalência de um
direito fundamental sobre outro sempre e em todos os casos.

1.4 Âmbito de Aplicação da LGPD

O âmbito de aplicação da LGPD é definido em seu art. 3º (que disciplina as

hipóteses de aplicação da legislação) e no seu art. 4º, que cuida das exceções em que a
LGPD não se aplica. Para facilitar a compreensão, é de se realizar uma breve análise dos
dois dispositivos.

O art. 3º determina que:

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada

por pessoa natural ou por pessoa jurídica de direito público ou privado,
independentemente do meio, do país de sua sede ou do país onde
estejam localizados os dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o
fornecimento de bens ou serviços ou o tratamento de dados de indivíduos
localizados no território nacional;
III - os dados pessoais objeto do tratamento tenham sido coletados no
território nacional.

Da simples leitura do dispositivo, extrai-se que: (i) a proteção de dados pessoais

na forma da LGPD não sofre qualquer restrição em relação ao agente de tratamento, ou
seja, não importa que o tratamento de dados seja realizado por pessoa natural ou jurídica
e, nesse caso, independe de sua natureza pública e privada; (ii) a operação de
tratamento, para fins de aplicação da LGPD, deve ter acontecido no território nacional;
(iii) o tratamento tenha acontecido para oferta ou fornecimento de bens e serviços ou

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 19

ainda para mero tratamento de dados de indivíduos localizados no território nacional e;

(iv) que a coleta dos dados tenha acontecido no território nacional, assim entendido nos
casos em que a coleta dos dados tenha acontecido no momento em que o titular do dado
encontrava-se em território nacional.

Relembre-se, ainda, que a LGPD cuida da proteção dos dados pessoais, ou seja,
dos dados de pessoa natural identificada ou identificável, ficando excluído de seu âmbito
de aplicação o tratamento de dados de pessoa jurídica.

Já, o art. 4º da LGPD, excetua as hipóteses em que a LGPD não se aplica,

disciplinando que:

Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:

I - realizado por pessoa natural para fins exclusivamente particulares e
não econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam objeto de
comunicação, uso compartilhado de dados com agentes de tratamento
brasileiros ou objeto de transferência internacional de dados com outro
país que não o de proveniência, desde que o país de proveniência
proporcione grau de proteção de dados pessoais adequado ao previsto
nesta Lei.

O inciso I excetua do âmbito de aplicação da LGPD as hipóteses em razão da sua

natureza meramente particular e para fins não econômicos quando, por lógico, o
tratamento tenha ocorrido por pessoa natural.

Já, o inciso II trata da hipótese de exclusão de aplicação da LGPD em razão da

finalidade do tratamento, de forma exclusiva, em razão de atividade jornalística, artística
ou acadêmica.

Por sua vez, o inciso III trata da exclusão da aplicação da LGPD para os casos, em
geral, ligados à segurança pública ou nacional, incluindo-se nos casos de investigação e
repressão de infrações penais. Nesses casos, aliás, o § 1º, do art. 4º, dispõe que o
tratamento de dados será regulado por lei específica que “deverá prever medidas
proporcionais e estritamente necessárias ao atendimento do interesse público, observados o
devido processo legal, os princípios gerais de proteção e os direitos do titular previstos
nesta Lei”.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 20

Por fim, o inciso IV exclui do âmbito de aplicação da legislação o tratamento dos

dados que provêm de fora do território nacional e que não tenham sido objeto de
tratamento específico no Brasil (por comunicação ou uso compartilhado por agente
nacional ou ainda, nos casos de transferência internacional dos dados).

1.5 Os Fundamentos da LGPD

Os fundamentos da LGPD também estão previstos de forma expressa na legislação,

especialmente em seu artigo 2º.

A primeira reflexão importante a esse respeito é a necessária distinção entre

fundamentos da LGPD e seus princípios (esses previstos no art. 6º), para uma correta
compreensão de ambos.

Não se olvide a advertência já feita sobre a lição de Humberto Ávila (2011) acerca da
definição conceitual de princípios, mencionada no Tema 2, no sentido de que aqueles são
normas finalísticas e que, portanto, estabelecem os objetivos que se pretendem atingir
com determinada normatização, definindo um estado de coisas que se quer alcançar.

Já os fundamentos podem ser caracterizados como “um conjunto de princípios a

partir dos quais se pode fundar ou deduzir um sistema, um agrupamento de conhecimentos”
(DE LUCCA apud acta VAINZOF 2021, p.26) ou, ainda, como “o que serve de base ao
ser, ao conhecer ou ao decidir [...] a causa ou razão de algo” (COMPARATO apud acta
VAINZOF 2021, p.26).

Assim, enquanto os princípios da LGPD estabelecem as finalidades e objetivos a

serem atendidos pela legislação, os seus fundamentos determinam a sua razão de ser, a
base em cima da qual a legislação foi construída.

Por isso, é pouco mais do que evidente que os princípios da LGPD não podem
estar dissociados de seus fundamentos, porque visam a atingir um estado de coisas que
somente tem sustentação a partir da razão de ser da legislação.

O art. 2º da LGPD, estabelecendo seus fundamentos, dispõe que

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a
dignidade e o exercício da cidadania pelas pessoas naturais.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 21

Não pode restar qualquer dúvida, portanto, que a LGPD se sustenta a partir de
fundamentos constitucionais, em especial àqueles ligados à liberdade individual, ao livre
desenvolvimento da personalidade, como elemento indispensável da promoção da
dignidade da pessoa humana e de sua expressão na cidadania, sem descuidar da livre
iniciativa e do desenvolvimento econômico.

Os fundamentos da LGPD (como os fundamentos de qualquer sistema ou

microssistema normativo) não podem deixar de ser harmônicos, sob pena de causarem
uma antinomia interna. Isso é importante para que se compreenda que o desenvolvimento
econômico e tecnológico, aliado à inovação, à livre iniciativa e à livre concorrência, não
podem estar desconectados da promoção da dignidade da pessoa humana, da proteção
de sua liberdade e privacidade, e da defesa do consumidor.

Assim, os valores constitucionais que servem de fundamento à LGPD devem

estar harmonizados, tendo-se como premissa fundamental o objetivo da lei, destacado em
seu art. 1º, qual seja, “proteger os direitos fundamentais de liberdade e de privacidade e o
livre desenvolvimento da personalidade da pessoa natural”.

1.6 Normas Fundamentais da LGPD

1.6.1 Princípio da Finalidade

A LGPD traz, em seu art. 6º, o rol de seus princípios norteadores, estabelecendo que:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a

boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos,
específicos, explícitos e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades
informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a
realização de suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades do tratamento
de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita
sobre a forma e a duração do tratamento, bem como sobre a integralidade
de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza,
relevância e atualização dos dados, de acordo com a necessidade e
para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e
facilmente acessíveis sobre a realização do tratamento e os respectivos
agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a
proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 22

VIII - prevenção: adoção de medidas para prevenir a ocorrência de

danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento
para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo
agente, da adoção de medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas de proteção de dados pessoais
e, inclusive, da eficácia dessas medidas.

De início, duas observações são importantes.

A primeira delas diz respeito à conceituação de princípio, que adotaremos para sua
compreensão, e que já apresentamos em outros temas deste módulo no sentido de que:

[...] os princípios são normas imediatamente finalísticas, primariamente

prospectivas e com pretensão de complementaridade e de parcialidade,
para cuja aplicação se demanda uma avaliação de correlação entre o
estado de coisas a ser promovido e os efeitos decorrentes da conduta
havida como necessária à sua promoção (ÁVILA, 2011, p.78-79).

A segunda observação é de que a própria LGPD cuida de estabelecer algum

conteúdo sobre os princípios nela estabelecidos, visando impedir ou diminuir as
dificuldades de interpretação e aplicação das normas fundamentais aplicáveis na proteção
de dados pessoais.

Assim, para uma melhor compreensão, trataremos de forma separada em

subtópico específico, cada princípio positivado na LGPD.

Relembre-se que a própria legislação já estabeleceu, em cada um dos incisos do

art. 6º, uma breve descrição do princípio positivado, de maneira a orientar a interpretação
e aplicação das normas fundamentais aplicáveis na proteção dos dados pessoais e que,
em razão disso, abordaremos cada princípio levando em consideração a própria descrição
expressa no texto da lei.

1.6.2 Princípio da Adequação

O art. 6º, inciso II, trata do princípio da adequação, definindo contornos de seu
conteúdo dispondo sobre a “compatibilidade do tratamento com as finalidades informadas
ao titular, de acordo com o contexto do tratamento”.

Isso significa dizer que o tratamento dos dados pessoais deve ser compatível com
a hipótese legal em que se fundamenta e com as finalidades informadas ao titular, no
contexto específico daquele tratamento. Portanto, a adequação do tratamento dos dados
pessoais também deve ser específica, assim como acontece com a finalidade.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 23

1.6.3 Princípio da Necessidade

O princípio da necessidade está descrito no inciso III, do art. 6º, como “limitação
do tratamento ao mínimo necessário para a realização de suas finalidades, com
abrangência dos dados pertinentes, proporcionais e não excessivos em relação às
finalidades do tratamento de dados”.

Como não poderia deixar de ser, o princípio da necessidade tem estreita relação
com os princípios da finalidade e da adequação, a significar que o tratamento dos dados
pessoais deve acontecer dentro dos limites minimamente necessários à finalidade
específica indicada.

Ademais, a menção à abrangência dos dados pertinentes, de forma proporcional

e não excessiva, embasa a ideia do “dado mínimo” para cada tratamento. Isso significa
dizer que, como parâmetro de legalidade, se para determinada finalidade um dado
pessoal é desnecessário, ele não deve ser tratado, pois o tratamento deve limitar-se aos
dados mínimos necessários para o alcance da finalidade informada.

1.6.4 Princípio da Qualidade de Dados

O inciso V, do art. 6º, trata do princípio da qualidade dos dados, especificando que
ele é “garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de
acordo com a necessidade e para o cumprimento da finalidade de seu tratamento”.

Fica clara a relação desse princípio com os princípios da necessidade e da

finalidade, como garantia aos titulares de que, no tratamento dos dados pessoais, esses
serão tratados de forma exata, clara, relevante e atualizada para a finalidade informada.
Portanto, é dever do controlador do dado, após iniciado o tratamento, mantê-lo de forma
exata, clara, relevante e atualizada.

1.6.5 Princípio da Transparência e do Livre Acesso

Os incisos IV e VI, do art. 6º, consagram os princípios do livre acesso e da

transparência, respectivamente. Vamos tratar de ambos de forma conjunta, porque estão
relacionados de forma indissociável. Em verdade, é possível qualificar o livre acesso
como uma expressão (ou uma consequência) do princípio da transparência.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 24

Na forma do inciso VI, o princípio da transparência determina a “garantia, aos

titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do
tratamento e os respectivos agentes de tratamento, observados os segredos comercial e
industrial” (grifo nosso). É evidente, portanto, que não se atende o princípio da
transparência sem o livre acesso, conceituado como sendo a “garantia, aos titulares, de
consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais” (inciso IV, do art. 6º).

Por isso é possível afirmar o livre acesso como princípio que decorre da
transparência, uma vez que ele concretiza de forma específica (de forma gratuita e
facilitada) a garantia do acesso às informações relativas ao tratamento de dados
pessoais aos seus titulares.

A importância de tais princípios é vista na regulamentação que a própria LGPD

faz, no sentido da transparência e do livre acesso às informações detidas pelo controlador,
com as exigências prescritas no seu art. 9º, no sentido de que “O titular tem direito ao
acesso facilitado às informações sobre o tratamento de seus dados”, detalhando, ainda,
em seus incisos, como e quais informações devem ser disponibilizadas ao titular.

1.6.6 Princípio da Segurança e da Prevenção

Os princípios da segurança e da prevenção, estabelecidos, respectivamente, nos

incisos VII e VIII, do art. 6º da LGPD, e estão ligados à ideia da preservação dos dados
pessoais tratados, garantindo ao titular que eles não serão violados e que seu tratamento
não causará danos ao titular.

Ao tratar do princípio da segurança (inciso VII), a LGPD estabelece a necessidade de

“utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou difusão”.

E, ao mencionar o princípio da prevenção, o texto legal informa a obrigatoriedade de

“adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de
dados pessoais”.

Os dois princípios, de forma conjunta, revelam a obrigação do agente de tratamento

de dados pessoais, de cuidado para com os dados tratados, como um instrumento de
proteção da personalidade do titular. Não há dúvida de que ambos os princípios estão
relacionados, sendo possível até mesmo afirmar que a prevenção também está
abrangida na ideia da segurança.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 25

1.6.7 Princípio da Não Discriminação

O princípio da não discriminação, inserto no inciso IX, do art. 6º, pode ser visto
como uma especificação do princípio da finalidade, especialmente na perspectiva da
proibição de tratamento do dado para finalidade ilícita.

O enunciado do princípio, no sentido da “impossibilidade de realização do

tratamento para fins discriminatórios ilícitos ou abusivos”, deixa isso claro e evidente,
como, aliás, não poderia ser diferente à luz dos preceitos constitucionais protegidos
pela LGPD.

Ademais, não se olvide ainda, que a própria legislação demandará tratamento

específico (e mais rigoroso, por óbvio) de uma série de dados pessoais que podem levar
à discriminação, em especial, aqueles considerados sensíveis (art. 5º, II) e que dizem
respeito à origem racial ou étnica, à convicção religiosa, à opinião política, à filiação a
sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à
saúde ou à vida sexual.

1.6.8 Princípio da Responsabilidade e da Prestação de Contas

O inciso IX, do art. 6º da LGPD, menciona o princípio da responsabilidade e da

prestação, afirmando-o como o dever da “demonstração, pelo agente, da adoção de
medidas eficazes e capazes de comprovar a observância e o cumprimento das normas
de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.

Não há dúvida que o princípio está diretamente ligado à transparência, porquanto

obriga o agente de tratamento de dados pessoais a demonstrar que adotou as medidas
eficazes de comprovar o cumprimento das normas de proteção de dados pessoais, com
obrigação de demonstração, inclusive da efetiva eficácia das medidas por ele adotadas.

Também se conecta com a segurança e a prevenção, no sentido especial da

proteção dos dados pessoais.

Esse princípio é o fundamento também da sujeição do agente de tratamento de

dados pessoais à fiscalização administrativa a ser exercida pela Autoridade Nacional de
Proteção de Dados, na forma dos artigos 55-A e seguintes da LGPD.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 26

1.6.9 Princípio da Boa-Fé

Embora não esteja inserido especificamente em nenhum dos incisos do art. 6º da

LGPD, não pode haver dúvida que o princípio da boa-fé também está entre aqueles
norteadores da legislação.

Isso porque ele consta do caput do próprio art. 6º, que prescreve: “As atividades de
tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: [...]”.

Não há dúvida que se está a tratar da boa-fé em sua dimensão objetiva, ou seja,
um comportamento do sujeito no sentido da lealdade jurídica, e na expectativa de que os
demais sujeitos devem se comportar de acordo com a ordem jurídica.

Na lição da doutrina de Judith Martins-Costa (1999), a boa-fé objetiva

consubstancia-se em “modelo de conduta social”, de modo que todos os sujeitos devem
ajustar suas condutas, com honestidade, lealdade, probidade, para o atendimento de
expectativas legitimamente geradas, pela própria conduta, nos demais membros da
comunidade, com ênfase na contraparte de uma relação obrigacional.

A boa-fé objetiva, portanto, tem uma dimensão relacional, na expectativa e na

exigência de comportamento voltado para o outro, a impedir o comportamento antijurídico.
Uma vez que a operação de tratamento de dados pessoais é uma nítida relação jurídica
entre o titular e o agente de tratamento, e na atual conformação do direito brasileiro, não
se pode imaginar que essa relação não esteja pautada pela boa-fé objetiva.

1.6.10 Conceitos Fundamentais

A LGPD traz, em seu art. 5º, um rol quase exaustivo dos conceitos legais a serem
compreendidos e utilizados para fins dos objetivos da legislação. São 19 (dezenove)
incisos a detalhar os conceitos legais que serão utilizados em diversos dispositivos da
legislação, o que permite sua identificação e correta compreensão, a fim de facilitar a
interpretação e aplicação da legislação.

Alguns conceitos trazidos pela legislação não são específicos da LGPD. Tome-se,
por exemplo, o inciso XVIII, do art. 5º, que cuida do conceito de “órgão de pesquisa”, que,
naturalmente, não é conceito específico da legislação de dados pessoais. Outros conceitos,
em verdade, são mera expressão de realidades fáticas de outros ramos da ciência,
como, por exemplo, conceito de “transferência internacional de dados” (inciso XV), de
“uso compartilhado de dados” (inciso XVI) ou, ainda, de “banco de dados” (inciso IV).

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 27

Por outro lado, diversos conceitos legais serão tratados de forma específica em
outros módulos desse curso, razão pela qual parece contraproducente estabelecê-los
neste tópico. É isso que ocorrerá, por exemplo, com os conceitos ligados aos agentes de
tratamento de dados (operador, controlador, encarregado de dados), com os conceitos
ligados à governança de dados, fiscalização e sanções (relatório de impacto à proteção
de dados pessoais, bloqueio, eliminação, autoridade nacional de proteção de dados),
dentre outros.

Há conceitos, todavia, que são específicos da LGPD, e que podem ser chamados de
“fundamentais”, porque sem eles não seria possível compreender qualquer significado ou
entender a abrangência e alcance da legislação.

Como já visto, o art. 1º da LGPD estabelece que: “Esta Lei dispõe sobre o
tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por
pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos
fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade
da pessoa natural”.

Portanto é possível caracterizar como fundamentais para a LGPD os conceitos de

“dado pessoal” (e sua qualificação de dado pessoal sensível”) e de “tratamento”. Isso
porque, a legislação em questão cuida do “tratamento de dados pessoais”, sendo sua
caracterização indispensável à compreensão de toda a LGPD.

Na forma da legislação (art. 5º, I), dado pessoal é caracterizado como “informação
relacionada a pessoa natural identificada ou identificável”. Ou seja, é um dado pessoal
toda informação que diga respeito à pessoa natural que esteja ou possa ser identificada a
partir do dado. É o que a doutrina afirma ser um conceito expansionista de dado pessoal
(VAINZOF, 2021). Para Danilo Doneda (2006), os dados pessoais tem um vínculo
objetivo com a pessoa, porque revelam aspectos que dizem respeito a ela.

A proteção de dados pessoais é o que revela claramente o âmbito da proteção

constitucional da LGPD no que tange ao livre desenvolvimento da personalidade e,
portanto, da própria dignidade da pessoa humana.

A LGPD ainda qualifica alguns dados pessoais como sensíveis, que, na forma do
inciso II, do art. 5º, são aqueles que dizem respeito “sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural”. São dados que, justamente por
serem sensíveis, demandam proteção mais rigorosa da legislação, como veremos em
tópico específico em nossa disciplina.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 28

Como já afirmado anteriormente, e sob um olhar sociológico e antropológico, são

dados que podem levar a algum tipo de discriminação, tendo relação direta com o
princípio que a proíbe em termos gerais. Portanto, dado pessoal sensível nada mais é do
que uma qualificação específica do gênero dado pessoal.

E, por fim, o conceito legal de tratamento está previsto no art. 5º, inciso X da
LGPD, como sendo “toda operação realizada com dados pessoais, como as que se
referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação, comunicação, transferência, difusão
ou extração”.

Veja-se que, embora o legislador tenha se utilizado de diversos vocábulos para

identificar diferentes operações com dados pessoais, o rol delas não é exaustivo, a um,
porque certamente isso seria tarefa impossível materialmente de se esperar do legislador e
a dois, porque a própria legislação dá o tom de seu caráter exemplificativo a iniciar a
listagem das operações com a expressão “como as que se referem”.

O conceito legal de tratamento de dados pessoais também revela toda a

complexidade desse tipo de operação e denota diversas etapas do chamado “ciclo de
vida do dado”, desde a sua produção e coleta até a sua eliminação ou extração.

Referências

ÁVILA, Humberto. Teoria dos princípios. 12.ed. São Paulo: Malheiros, 2011.

BARROSO, Luís Roberto. Sem data vênia: um olhar sobre o Brasil e o mundo. Rio de
Janeiro: História Real, 2020.

BRASIL. Comissão especial destinada a proferir parecer ao Projeto de Lei nº 4.060, de

2012 (Tratamento e proteção de dados pessoais). Projeto de Lei nº 4.060, de 2012.
(Apenso PLs nos 5.276/16 e 6.291/16). Dispõe sobre o tratamento de dados pessoais, e
dá outras providências.

BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em:

<http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm>. Acesso em: 13 abr.
2021.

BRASIL. Decreto-lei nº 4.657, de 4 de setembro de 1942. Lei de Introdução às normas do

Direito Brasileiro. Disponível em:
<http://www.planalto.gov.br/ccivil_03/decreto-lei/del4657compilado.htm>. Acesso em:
16 maio 2021.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 29

BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações

previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da
Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei
nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991;
e dá outras providências. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm>. Acesso em:
20 abr. 2021.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e

deveres para o uso da Internet no Brasil. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em:
18 abr. 2021.

BRASIL. Lei Geral de Proteção de Dados. Relatório apresentado à Comissão Especial da

Câmara dos Deputados. Disponível: Disponível em:
<https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=1663305&fil
ename=Tramitacao-PL+4060/2012>. Acesso em: 08 abr. 2021.

BRASIL. Projeto de Lei nº. , de 2012. (Do Sr. Deputado MILTON MONTI). Dispõe sobre
o tratamento de dados pessoais, e dá outras providências. Disponível em:
<https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=1001750&fil
ename=Tramitacao-PL+4060/2012>. Acesso em: 08 abr. 2021.

CÂMARA DOS DEPUTADOS. Projeto de Lei nº 5.276, de 2016 (Do Poder Executivo).
Dispõe sobre o tratamento de dados pessoais para a garantia do livre desenvolvimento
da personalidade e da dignidade da pessoa natural. Disponível em:
<https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=62B6CCB
8D15F03BD169F7421D3CDB6EE.proposicoesWeb1?codteor=1457971&filename=Avul
so+-PL+5276/2016>. Acesso em: 29 abr. 2021.

DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro:

Renovar, 2006.

LEONARDI, Marcel. Aspectos controvertidos entre a Lei Geral de Proteção de Dados e o

Marco Civil da Internet. In: PALHARES, Felipe (Coord.). Temas atuais de proteção de
dados. São Paulo: Thomson Reuters, 2020.

MARTINS-COSTA, Judith. A boa-fé no direito privado. São Paulo: Revista dos

Tribunais, 1999.

SARLET, Ingo; MARINONI, Luz Guilherme; MITIDIERO, Daniel. Curso de direito

constitucional. São Paulo: RT, 2012.

VAINZOF, Rony. Capítulo I – Disposições Preliminares. In: MALDONADO, Viviane

Nóbrega; BLUM, Renato Ópice (Coord.). LGPD: Lei Geral de Proteção de Dados
comentada. 3.ed. São Paulo: Thomson Reuters, 2021.

Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br
 Rua: Jacy Loureiro de Campos, s/n - Térreo
Centro Cívico | Curitiba/PR | CEP 80530-140
https://www.administracao.pr.gov.br/Escola-de-Gestao