Apostila de Direito Digital_Cursos Preparatorios_Damasio Educacional

Prévia do material em texto

DIREITO 
DIGITAL 
 
 
 
 
 Pág. 1 de 59 
 
Sumário 
 
PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS .......................................................................................................... 2 
LEI GERAL DE PROTEÇÃO DE DADOS ......................................................................................................................... 19 
A QUARTA REVOLUÇÃO INDUSTRIAL ........................................................................................................................ 51 
 
 
 
 
 
 
 Pág. 2 de 59 
SUMÁRIO 
 
PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS 
 
1. Crimes virtuais 
 
PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS 
 
1. Crimes virtuais: 
 
a. Contexto do crime digital: 
 
Os benefícios da internet trouxeram novos riscos: 
 
• Acesso instantâneo a conteúdos e funcionalidades; 
• Realização de tarefas rotineiras; 
• Comércio eletrônico; 
• Exponencialização do uso na época da pandemia; 
• Migração do ambiente de trabalho para o remoto. 
 
Contudo, ditos benefícios trouxeram a estruturação de criminalidade especializada que ocorre pela rede mundial 
de computadores, em caráter transnacional. O caráter do crime é transnacional, pois os crimes podem ser 
realizados de vários países diferentes. 
 
b. Nomenclatura dos crimes digitais: 
 
• Crimes digitais: nomenclatura trazida pela doutrina. 
• Crimes virtuais: da Resolução CNJ nº 423/21 – incluiu o Direito Digital nos concursos da magistratura. 
• Crimes informáticos: é uma expressão utilizada por parte da doutrina. 
• Cibercrimes: 
• Crimes cibernéticos: expressão utilizada na Resolução CNJ nº 396/21 – institui a Estratégia Nacional de 
Segurança Cibernética do Poder Judiciário. 
 
c. Ambiente digital: é aquele constituído por meios informáticos. Com relação aos meios informáticos é 
importante mencionar que eles são constituídos por ativos de tecnologia da informação. 
 
Para a ABNT ativo é todo o elemento que tenha valor para uma pessoa ou organização. Já os ativos de tecnologia 
da informação são conceituados como é todo o elemento de valor relacionado ao sistema computacional: 
 
• Hardware; 
• Software; 
• Rede de comunicação; 
• Informação: as informações possuem os seguintes atributos: 
✓ Confidencialidade; 
✓ Integridade; 
✓ Disponibilidade. 
 
d. Conceito de crimes digitais: 
 
Para o Profº Tarcísio Teixeira: “crime digital é aquele que se utiliza de meios informáticos (não apenas a internet) 
como instrumento de alcance do resultado pretendido, bem como aquele que é praticado contra os sistemas e 
meios informáticos.” 
 
 
 
 
 Pág. 3 de 59 
 
Já a Profª Carla Rodrigues de Araújo Castro conceitua crime de informática (crime digital): “aquele praticado contra 
o sistema de informática ou mediante uso deste”. 
 
Pela análise dos dois conceitos podemos extrair o seguinte: “crime digital é aquele praticado contra ativos de 
tecnologia da informação ou mediante uso deste”. 
 
e. Classificação de crimes digitais: 
 
Segundo Hervé Croze e Yves Bismuth, os crimes digitais são classificados da seguinte forma: 
 
i. Crime próprio: é aquele cuja conduta é dirigida contra o sistema de informática. Portanto: 
 
✓ Os ativos de TI são o objeto do crime. 
✓ Atos contra o computador. 
✓ Atos contra os dados ou programas de computador. 
✓ Atos contra a rede de comunicação de dados. 
 
ii. Crime impróprio: é aquele comum que utiliza o meio computacional como meio computacional como meio 
ou instrumento da prática de crime, embora possa ser praticado de outra forma. 
 
✓ Os ativos de TI são o meio ou instrumento de crime. 
✓ Crimes contra o patrimônio, contra a honra, os costumes, etc. 
 
Já para Marco Aurélio Rodrigues da Costa e Reginaldo Cesar Pinheiro, os crimes digitais são classificados como: 
 
iii. Crime puro: é aquele cuja conduta é direcionada ao aparato computacional: hardware, software, rede e 
informações. Nesse caso, o ativo de TI será o objeto do crime. 
 
iv. Crime misto: é aquele cujo uso dos ativos de TI é condição “sine qua non” da conduta, embora o bem 
jurídico visado seja diverso do informático. Aqui o ativo de TI é instrumento ou meio imprescindível da prática do 
crime. 
 
v. Crime comum: é aquele que utiliza os ativos de TI como meio de execução de crime já tipificado pela lei 
penal, não essencial à conduta. Nessa modalidade de crime o ativo de TI é instrumento ou meio opcional para a 
prática do delito. 
 
f. Crimes digitais no Código Penal: 
 
i. Crimes contra a vida: induzimento, instigação ou auxílio ao suicídio ou a automutilação. O crime em 
questão está disposto no art. 122 do CP: 
 
“Art. 122. Induzir ou instigar alguém a suicidar-se ou a praticar 
automutilação ou prestar-lhe auxílio material para que o faça: 
Pena - reclusão, de 6 (seis) meses a 2 (dois) anos. 
§ 1º Se da automutilação ou da tentativa de suicídio resulta lesão 
corporal de natureza grave ou gravíssima, nos termos dos §§ 1º e 2º 
do art. 129 deste Código: 
Pena - reclusão, de 1 (um) a 3 (três) anos. 
§ 2º Se o suicídio se consuma ou se da automutilação resulta morte: 
Pena - reclusão, de 2 (dois) a 6 (seis) anos. 
§ 3º A pena é duplicada: 
I - se o crime é praticado por motivo egoístico, torpe ou fútil; 
 
 
 
 
 Pág. 4 de 59 
II - se a vítima é menor ou tem diminuída, por qualquer causa, a 
capacidade de resistência. 
§ 4º A pena é aumentada até o dobro se a conduta é realizada por 
meio da rede de computadores, de rede social ou transmitida em 
tempo real. 
§ 5º Aumenta-se a pena em metade se o agente é líder ou 
coordenador de grupo ou de rede virtual. 
§ 6º Se o crime de que trata o § 1º deste artigo resulta em lesão 
corporal de natureza gravíssima e é cometido contra menor de 14 
(quatorze) anos ou contra quem, por enfermidade ou deficiência 
mental, não tem o necessário discernimento para a prática do ato, ou 
que, por qualquer outra causa, não pode oferecer resistência, 
responde o agente pelo crime descrito no § 2º do art. 129 deste 
Código. 
§ 7º Se o crime de que trata o § 2º deste artigo é cometido contra 
menor de 14 (quatorze) anos ou contra quem não tem o necessário 
discernimento para a prática do ato, ou que, por qualquer outra causa, 
não pode oferecer resistência, responde o agente pelo crime de 
homicídio, nos termos do art. 121 deste Código.” 
 
Exemplo de crime de automutilação: crime da baleia azul. 
 
ii. Crimes contra a honra: são os crimes de calúnia, difamação, injúria serão majorados se forem cometidos 
ou divulgado na internet. É o que dispõe o art. 141, §2º do CP, haverá aumento de pena: 
 
“Art. 141 - As penas cominadas neste Capítulo aumentam-se de um 
terço, se qualquer dos crimes é cometido: 
§ 2º Se o crime é cometido ou divulgado em quaisquer modalidades 
das redes sociais da rede mundial de computadores, aplica-se em 
triplo a pena.” 
 
Observação: para o STJ os crimes contra a honra praticados na internet serão crimes formais, ou seja, basta que o 
crime esteja disponível na internet. Nesse caso não há necessidade de que haja um resultado naturalístico. 
 
iii. Crimes contra a liberdade pessoal: aqui se enquadra o crime de stalking. Ele está previsto no art. 147-A do 
CP: 
 
“Art. 147-A. Perseguir alguém, reiteradamente e por qualquer meio, 
ameaçando-lhe a integridade física ou psicológica, restringindo-lhe a 
capacidade de locomoção ou, de qualquer forma, invadindo ou 
perturbando sua esfera de liberdade ou privacidade. 
Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa. 
§ 1º A pena é aumentada de metade se o crime é cometido: 
 
I – contra criança, adolescente ou idoso; 
II – contra mulher por razões da condição de sexo feminino, nos 
termos do § 2º-A do art. 121 deste Código; 
III – mediante concurso de 2 (duas) ou mais pessoas ou com o emprego 
de arma. 
§ 2º As penas deste artigo são aplicáveis sem prejuízo das 
correspondentes à violência. 
§ 3º Somente se procede mediante representação.” 
 
 
 
 
 
 Pág. 5 de 59 
iv. Crimes contra o patrimônio: nessa modalidadede crimes temos: 
 
✓ Furto: está previsto no § 4º-B do art. 155 do CP: 
 
“Art. 155. (...): 
§ 4º-B. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se 
o furto mediante fraude é cometido por meio de dispositivo eletrônico 
ou informático, conectado ou não à rede de computadores, com ou 
sem a violação de mecanismo de segurança ou a utilização de 
programa malicioso, ou por qualquer outro meio fraudulento 
análogo.” 
 
Observação: aqui as informações são qualificadas como coisa alheia móvel. 
 
✓ Furto qualificado: está previsto no § 4º-C do art. 155 do CP: 
 
“Art. 155. (...): 
§ 4º-C. A pena prevista no § 4º-B deste artigo, considerada a relevância 
do resultado gravoso: 
I – aumenta-se de 1/3 (um terço) a 2/3 (dois terços), se o crime é 
praticado mediante a utilização de servidor mantido fora do território 
nacional; 
II – aumenta-se de 1/3 (um terço) ao dobro, se o crime é praticado 
contra idoso ou vulnerável.” 
 
 
✓ Dano: esse crime está previsto no art. 163 do CP: 
 
“Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia: 
Pena - detenção, de um a seis meses, ou multa.” 
 
✓ Dano qualificado: está previsto no parágrafo único do art. 163 do CP: 
 
“Art. 163. (...): 
Parágrafo único - Se o crime é cometido: 
I - com violência à pessoa ou grave ameaça; 
II - com emprego de substância inflamável ou explosiva, se o fato não 
constitui crime mais grave 
III - contra o patrimônio da União, de Estado, do Distrito Federal, de 
Município ou de autarquia, fundação pública, empresa pública, 
sociedade de economia mista ou empresa concessionária de serviços 
públicos; 
IV - por motivo egoístico ou com prejuízo considerável para a vítima: 
Pena - detenção, de seis meses a três anos, e multa, além da pena 
correspondente à violência. 
 
Observação: um bit pode ser um bem tangível e, por essa razão, é considerado um bem material. Isso se dá, pois o 
bit representa o estado de magnetização de um anel memória, ou seja, ele é transistor. 
 
✓ Estelionato: há a modalidade simples, aquela prevista no art. 171 do CP: 
 
 
 
 
 
 Pág. 6 de 59 
“Art. 171 - Obter, para si ou para outrem, vantagem ilícita, em prejuízo 
alheio, induzindo ou mantendo alguém em erro, mediante artifício, 
ardil, ou qualquer outro meio fraudulento: 
Pena - reclusão, de um a cinco anos, e multa, de quinhentos mil réis a 
dez contos de réis.” 
 
✓ Fraude eletrônica: é outra modalidade de estelionato e está prevista no parágrafo 2-A do art. 171 do CP: 
 
“Art. 171. (...): 
§ 2º-A. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se 
a fraude é cometida com a utilização de informações fornecidas pela 
vítima ou por terceiro induzido a erro por meio de redes sociais, 
contatos telefônicos ou envio de correio eletrônico fraudulento, ou 
por qualquer outro meio fraudulento análogo. 
§ 2º-B. A pena prevista no § 2º-A deste artigo, considerada a relevância 
do resultado gravoso, aumenta-se de 1/3 (um terço) a 2/3 (dois 
terços), se o crime é praticado mediante a utilização de servidor 
mantido fora do território nacional.” 
 
Exemplos de crimes de estelionato: 
 
➢ Fraude de antecipação de recursos (advanced fee fraud): nessa modalidade de estelionato o golpista 
procura induzir uma pessoa a fornecer informações confidenciais ou a realizar um pagamento adiantado, com a 
promessa de futuramente receber algum tipo de benefício. 
➢ Golpe da noiva russa; 
➢ Oferta de emprego, crédito fácil, doação de animais, loteria internacional; 
➢ Nigerian 4-1-9 Scam (4-1-9 refere-se à Seção de estelionato no Código Penal Nigeriano). 
 
v. Crimes contra a dignidade sexual: 
 
✓ Estupro: está previsto no art. 213 do CP: 
 
“Art. 213. Constranger alguém, mediante violência ou grave ameaça, 
a ter conjunção carnal ou a praticar ou permitir que com ele se 
pratique outro ato libidinoso: 
Pena - reclusão, de 6 (seis) a 10 (dez) anos.” 
 
Observação: é possível que ocorra o estupro virtual. Essa modalidade de crime se enquadra quando, fazendo uso 
de meio eletrônico, o agente pratica os verbos previstos no art. 213 do CP. 
 
✓ Violência sexual mediante fraude: está previsto no art. 215 do CP: 
 
“Art. 215. Ter conjunção carnal ou praticar outro ato libidinoso com 
alguém, mediante fraude ou outro meio que impeça ou dificulte a livre 
manifestação de vontade da vítima:” 
 
Exemplo: golpista do Tinder. 
 
✓ Importunação sexual: está previsto no art. 215-A do CP: 
 
“Art. 215-A. Praticar contra alguém e sem a sua anuência ato libidinoso 
com o objetivo de satisfazer a própria lascívia ou a de terceiro:” 
 
 
 
 
 
 Pág. 7 de 59 
✓ Registro não autorizado da intimidade sexual: está previsto no art. 216-B do CP: 
 
“Art. 216-B. Produzir, fotografar, filmar ou registrar, por qualquer 
meio, conteúdo com cena de nudez ou ato sexual ou libidinoso de 
caráter íntimo e privado sem autorização dos participantes: 
Pena - detenção, de 6 (seis) meses a 1 (um) ano, e multa. 
Parágrafo único. Na mesma pena incorre quem realiza montagem em 
fotografia, vídeo, áudio ou qualquer outro registro com o fim de incluir 
pessoa em cena de nudez ou ato sexual ou libidinoso de caráter 
íntimo.” 
 
✓ Divulgação de cena de estupro, cena de estupro de vulnerável ou cena de sexo ou pornografia: está 
previsto no art. 218-C do CP: 
 
“Art. 218-C. Oferecer, trocar, disponibilizar, transmitir, vender ou 
expor à venda, distribuir, publicar ou divulgar, por qualquer meio - 
inclusive por meio de comunicação de massa ou sistema de 
informática ou telemática -, fotografia, vídeo ou outro registro 
audiovisual que contenha cena de estupro ou de estupro de vulnerável 
ou que faça apologia ou induza a sua prática, ou, sem o consentimento 
da vítima, cena de sexo, nudez ou pornografia: 
Pena - reclusão, de 1 (um) a 5 (cinco) anos, se o fato não constitui crime 
mais grave. 
§ 1º A pena é aumentada de 1/3 (um terço) a 2/3 (dois terços) se o 
crime é praticado por agente que mantém ou tenha mantido relação 
íntima de afeto com a vítima ou com o fim de vingança ou 
humilhação.” 
 
 
Exemplo: divulgação de vídeo recebido via Whatsapp. 
 
vi. Lei Carolina Dieckman (Lei nº 12.737/2012): acrescentou alguns crimes ao CP, tais como: 
 
✓ Invasão de dispositivo informático: está previsto no art. 154-A do CP: 
 
“Art. 154-A. Invadir dispositivo informático de uso alheio, conectado 
ou não à rede de computadores, com o fim de obter, adulterar ou 
destruir dados ou informações sem autorização expressa ou tácita do 
usuário do dispositivo ou de instalar vulnerabilidades para obter 
vantagem ilícita: 
Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. 
§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou 
difunde dispositivo ou programa de computador com o intuito de 
permitir a prática da conduta definida no caput. 
§ 2º Aumenta-se a pena de 1/3 (um terço) a 2/3 (dois terços) se da 
invasão resulta prejuízo econômico. 
§ 3o Se da invasão resultar a obtenção de conteúdo de comunicações 
eletrônicas privadas, segredos comerciais ou industriais, informações 
sigilosas, assim definidas em lei, ou o controle remoto não autorizado 
do dispositivo invadido: 
Pena – reclusão, de 2 (dois) a 5 (cinco) anos, e multa. 
 
 
 
 
 Pág. 8 de 59 
§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se 
houver divulgação, comercialização ou transmissão a terceiro, a 
qualquer título, dos dados ou informações obtidos. 
§ 5o Aumenta-se a pena de um terço à metade se o crime for praticado 
contra: 
I - Presidente da República, governadores e prefeitos; 
II - Presidente do Supremo Tribunal Federal; 
III - Presidente da Câmara dos Deputados, do Senado Federal, de 
Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito 
Federal ou de Câmara Municipal; ou 
IV - dirigente máximo da administração direta e indireta federal, 
estadual, municipal ou do Distrito Federal.” 
 
✓ Interrupção ou perturbação de serviços telegráficos, telefônicos, informático, telemático ou de 
informação de utilidade pública:está prevista no art. 266 do CP: 
 
“Art. 266 - Interromper ou perturbar serviço telegráfico, 
radiotelegráfico ou telefônico, impedir ou dificultar-lhe o 
restabelecimento: 
Pena - detenção, de um a três anos, e multa. 
§ 1o Incorre na mesma pena quem interrompe serviço telemático ou 
de informação de utilidade pública, ou impede ou dificulta-lhe o 
restabelecimento. 
§ 2o Aplicam-se as penas em dobro se o crime é cometido por ocasião 
de calamidade pública.” 
 
✓ Falsificação de documento particular: está previsto no art. 298 do CP: 
 
Art. 298 - Falsificar, no todo ou em parte, documento particular ou 
alterar documento particular verdadeiro: 
Pena - reclusão, de um a cinco anos, e multa. 
 
✓ Falsificação de cartão: está previsto no parágrafo único do art. 298 do CP: 
 
“Art. 298. (...): 
Parágrafo único. Para fins do disposto no caput, equipara-se a 
documento particular o cartão de crédito ou débito.” 
 
vii. Crimes do Estatuto da Criança e do Adolescente: estão previstos no art. 241-A do ECA: 
 
Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, 
publicar ou divulgar por qualquer meio, inclusive por meio de sistema 
de informática ou telemático, fotografia, vídeo ou outro registro que 
contenha cena de sexo explícito ou pornográfica envolvendo criança 
ou adolescente: 
Pena – reclusão, de 3 (três) a 6 (seis) anos, e multa. 
§ 1º Nas mesmas penas incorre quem: 
I – assegura os meios ou serviços para o armazenamento das 
fotografias, cenas ou imagens de que trata o caput deste artigo; 
II – assegura, por qualquer meio, o acesso por rede de computadores 
às fotografias, cenas ou imagens de que trata o “caput” deste artigo. 
§ 2º As condutas tipificadas nos incisos I e II do § 1 o deste artigo são 
puníveis quando o responsável legal pela prestação do serviço, 
 
 
 
 
 Pág. 9 de 59 
oficialmente notificado, deixa de desabilitar o acesso ao conteúdo 
ilícito de que trata o “caput” deste artigo.” 
 
Atenção: aos arts. 190-A, 190-C do ECA. 
 
viii. Crime de pirataria de software: aqui podemos destacar o art. 12 da Lei nº 9.609/2012 (Lei do Software). 
ix. Crimes digitais na Lei do Racismo (Lei nº 7.716/1989): aqui podemos destacar o art. 20 da lei. 
 
Atenção: ADO 26/DF e MI 4.733, pois em 13/06/2019 o STF decidiu criminalizar a homofobia como forma de 
racismo. 
 
 
 
 
 
 Pág. 10 de 59 
SUMÁRIO 
 
PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS (CONTINUAÇÃO) 
 
2. Cibersegurança 
3. Deepweb e Darkweb 
 
PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS 
 
2. Cibersegurança: 
 
a. Conceito de segurança da informação: está baseada nos 03 pilares da preservação da confidencialidade, 
integridade e disponibilidade da informação. 
 
i. Confidencialidade: é a propriedade que limita o acesso a informação tão somente às entidades, pessoas 
ou processos legítimos, ou seja, autorizados. 
 
ii. Integridade: é a propriedade que garante que a informação manipulada mantenha todas as características 
originais. 
 
iii. Disponibilidade: é a propriedade de estar acessível quando demandada por autoridade autorizada. 
 
b. Estratégia Nacional de Segurança Cibernética – E-Ciber: foi estabelecida pelo Governo Federal a partir do 
Decreto nº 10.222 de 05 de fevereiro de 2020. 
 
c. Política Nacional de Segurança da Informação - PNSI: também foi estabelecida pelo Governo Federal, mas 
a partir do Decreto 9.637 de 26 de dezembro de 2018. 
 
d. Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ): foi implementada a partir 
da Resolução nº 370/21. Os protocolos e manuais foram editados a partir da Portaria nº 162/21. 
 
3. Deepweb e Darkweb: 
 
Inicialmente é importante esclarecer que elas não são a mesma coisa. 
 
a. Origem: 
 
✓ Técnica de comunicação governamental anônima denominada “The Onion Routing” (Roteamento Cebola, 
pois a informação trafegada em encapsulada em diversas camadas). 
✓ Criada por Michael G. Reed, Paul F. Syverson e David M. Goldschalag. 
✓ Patenteada pela Marinha Norte-Americana (US Navy) em 1998. 
✓ Segunda geração da ferramenta liberada para o uso não governamental. 
✓ TOR (2006) – ONG TOR Project. 
 
b. Surface web (web da superfície): parcela visível, indexada e acessível pelos buscadores da rede, ou seja, 
são os sites indexados pelos mecanismos de busca. 
 
c. Deep web: mais de 90% da informação da Internet está na Deep web e não é acessível pela Surface Web 
através dos mecanismos de busca. Porém não significa que são áreas da Dark web – apenas são uma camada 
removida da Web pública e que não pode ser pesquisada pelos mecanismos de pesquisa. 
 
Na Deep web os sites e serviços não são indexados pelos mecanismos de busca e o conteúdo somente será acessível 
em área logada. Já que ela é protegida por senha e criptografia. 
 
 
 
 
 Pág. 11 de 59 
 
Tipo de conteúdo invisível Porque não invisíveis 
 
Páginas desconectadas Nenhum hiperlink para rastrear e localizar a página 
Páginas que consistem em PDF, Flash, executáveis ou 
arquivos comprimidos (.zip, .tar) 
Tecnicamente indexáveis, mas usualmente ignorados 
por políticas de exclusão ou motivos comerciais 
Conteúdo em base de dados relacionais Crawlers não podem preencher os campos 
necessários em formatos interativos 
Conteúdo de tempo real Dados efêmeros, quantidades enormes, informação 
rapidamente modificada 
Conteúdo gerado dinamicamente Conteúdos customizados são relevantes para a 
maioria das buscas; medo das “armadilhas dos 
spiders” 
 
Atenção: a Deep web não é ilegal, mas sim uma área restrita. 
 
Exemplo: área do aluno. 
 
d. Dark web: é um ambiente caracterizado pelo anonimato proveniente da rede TOR, pela qual é possível 
“camuflar” a localização do servidor e da origem da mensagem. 
 
Características: 
 
✓ Criptografia – Rede Tor (possui diversas camadas de criptografia). 
✓ Os sites não possuem indexação – fora da governança da ICAAN. 
 
No mais, a Dark web consiste em websites que usam a internet pública, mas requer um software específico para 
acessar e não é indexado por mecanismos de pesquisa para garantir anonimato. 
 
Mitos da Dark web: 
 
➢ Dark web se destina unicamente a veicular conteúdo ilícito. 
➢ Dark web é impossível de ser objeto de persecução criminal. 
 
Exemplo: caso Silk Road (foi um mercado operado através da Darknet que utilizava a rede TOR para assegurar o 
anonimato de compradores e vendedores no comércio de produtos ilícitos, particularmente drogas. 
O site foi lançado em 2011. 
Técnicas de infiltração de honeypot e infiltração policial. 
 
 
 
 
 
 Pág. 12 de 59 
SUMÁRIO 
 
PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS (CONTINUAÇÃO) 
 
4. Provas digitais 
5. Cadeia de custódia 
 
PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS 
 
4. Provas digitais: 
 
Existem três novos aspectos da prova: 
 
i. Novo ambiente de coleta probatória: 
 
➢ Dispositivos de armazenamento: 
 
✓ Pen drive, 
✓ HD, 
✓ Disquetes, 
✓ Cartões de memória, 
✓ Celulares, tablets, computadores. 
 
➢ Dispositivos de comunicação: 
 
✓ Switches, 
✓ Hubs, 
✓ Roteadores. 
 
➢ Tipos de dados a serem coletados: 
 
✓ Dados de conteúdo, 
✓ Dados de tráfego, 
✓ Metadados: são os atributos de uma determinada informação. 
 
➢ Localização dos dados: 
 
✓ Armazenados ou arquivados, 
✓ Em tempo real ou em trânsito. 
 
ii. Provas digitais e cadeia de custódia: 
 
➢ Provas digitais: são informações de valor para um processo que estão armazenadas ou transmitidas de 
forma digital. 
➢ Dados objetos: que consistem em objetos de valor para um processo, os quais estão associados a itens 
físicos. 
 
➢ Itens físicos: que nada mais são as mídias físicas onde a informação digital é armazenada ou pelas quais é 
transmitida ou transferida. 
 
Exemplo: HD’s, pen-drives, celulares, etc. 
 
iii. Scientific Working Group on Digital Evidence: é um grupo composto por: 
 
 
 
 
 Pág. 13 de 59 
 
➢ Conselho Executivo. 
➢ Comitês permanentes (guias de boas práticas): para análise: 
 
✓ Forense de áudios; 
✓ Forense computacional; 
✓ Forense em imagem; 
✓ Forenseem fotografia; 
✓ Padrões de qualidade; 
✓ Forense em vídeo 
 
iv. Terminologia do Processo Penal: 
 
➢ Corpo de delito: é a prova da existência do crime (materialidade do delito). 
 
O art. 158 do Código de Processo Penal estabelece que: 
 
“Art. 158. Quando a infração deixar vestígios, será indispensável o 
exame de corpo de delito, direto ou indireto, não podendo supri-lo a 
confissão do acusado.” 
 
Como ensina Rogério Lauria Tucci, o corpo de delito “corresponde ao conjunto de elementos físicos, materiais, 
contidos, explicitamente, na definição do crime, isto é, no modelo legal” (Do corpo de delito no direito processual 
penal brasileiro, p. 14). 
 
O exame do corpo de delito é a verificação da prova da existência do crime, feita por peritos, diretamente, ou por 
intermédio de outras evidências, quando os vestígios, ainda que materiais, desapareceram. 
 
Preferencialmente os peritos devem analisar o rastro/ vestígios deixados pessoalmente. Esse é o exame de corpo 
de delito direto. 
 
Em caráter excepcional, no entanto, admite-se que o façam por outros meios de prova em direito admitidos, tais 
como o exame da ficha clínica do hospital que atendeu a vítima, fotografias, filmes, atestados de outros médicos, 
entre outros. É o que se chama de exame de corpo de delito indireto. 
 
➢ Vestígio: é o rastro, a pista ou o indício deixado por algo ou alguém. 
 
O tema é tratado no CPP, em seu art. 158-A, §3º: 
 
“Art. 158-A. (...): 
§ 3º Vestígio é todo objeto ou material bruto, visível ou latente, 
constatado ou recolhido, que se relaciona à infração penal.” 
 
Há delitos que deixam sinais aparentes da sua prática, como ocorre com o homicídio, uma vez que se pode visualizar 
o cadáver. Outros delitos não os deixam, tal como ocorre com o crime de ameaça, quando feita oralmente. 
 
✓ Materiais: são os vestígios que os sentidos acusam, ou seja, aqueles vistos a olho nú. 
 
Exemplos: a constatação do aborto pela visualização do feto expulso e morto. 
 
✓ Imateriais: são aqueles que se perdem tão logo a conduta criminosa finde, pois não mais captáveis, nem 
passíveis de registro pelos sentidos humanos. 
 
 
 
 
 
 Pág. 14 de 59 
Exemplos: a injúria verbal proferida. 
 
➢ Indício: para Eugênio Pascelli e Douglas Fischer, indício não é vestígio, mas sim é o juízo, por meio do qual, 
a partir da comprovação efetiva de um fato ou de uma circunstância, se deduz a existência de outro (a) fato ou 
circunstância. 
 
O art. 239 do CPP, estabelece que: 
 
“Art. 239. Considera-se indício a circunstância conhecida e provada, 
que, tendo relação com o fato, autorize, por indução, concluir-se a 
existência de outra ou outras circunstâncias.” 
 
➢ Evidência: é a qualidade ou caráter de evidente, atributo do que não dá margem à dúvida. A evidência foi 
inicialmente conceituada no direito anglo-saxônico onde é definida como: 
 
✓ Evidence: prova, indício. 
✓ Body of evidence: conjunto probatório. 
✓ Circumstantial evidende: provas indiciárias. 
✓ Striking piece of evidence: prova irrefutável. 
 
O art. 162 do CPP, estabelece que: 
 
“Art. 162. A autópsia será feita pelo menos seis horas depois do óbito, 
salvo se os peritos, pela evidência dos sinais de morte, julgarem que 
possa ser feita antes daquele prazo, o que declararão no auto.” 
 
A evidência também está prevista no inciso I do art. 621 do CPP: 
 
“Art. 621. A revisão dos processos findos será admitida: 
I- quando a sentença condenatória for contrária ao texto expresso da 
lei penal ou à evidência dos autos.” 
 
➢ Prova: 
 
É o estabelecimento da verdade jurídica a respeito de um fato relevante. A finalidade da prova é convencer o juiz 
a respeito da verdade de um fato litigioso. Há, fundamentalmente, três sentidos para o tema prova: 
 
a. Ato de provar: é o processo pelo qual se verifica a exatidão ou a verdade do fato alegado pela parte no 
processo. 
 
Exemplo: fase probatória. 
 
b. Meio: trata-se do instrumento pelo qual se demonstra a verdade de algo. 
 
Exemplo: laudo pericial. 
 
c. Resultado da ação de provar: é o produto extraído da análise dos instrumentos de prova oferecidos, 
demonstrando a verdade de um fato. É a consequência jurídica do estabelecimento da certeza de um fato. 
 
5. Cadeia de custódia: 
 
O conceito de cadeia de custódia está previsto no art. 158-A do CPP: 
 
 
 
 
 
 Pág. 15 de 59 
“Art. 158-A. Considera-se cadeia de custódia o conjunto de todos os 
procedimentos utilizados para manter e documentar a história 
cronológica do vestígio coletado em locais ou em vítimas de crimes, 
para rastrear sua posse e manuseio a partir de seu reconhecimento 
até o descarte. 
§ 1º O início da cadeia de custódia dá-se com a preservação do local 
de crime ou com procedimentos policiais ou periciais nos quais seja 
detectada a existência de vestígio. 
§ 2º O agente público que reconhecer um elemento como de potencial 
interesse para a produção da prova pericial fica responsável por sua 
preservação. 
§ 3º Vestígio é todo objeto ou material bruto, visível ou latente, 
constatado ou recolhido, que se relaciona à infração penal.” 
 
E de acordo com o conceito disposto no art. 158-A do CPP, a cadeia de custódia começa com o reconhecimento da 
prova e termina com o seu descarte. Ou seja, a cadeia de custódia é uma documentação de todo o histórico de vida 
da prova. 
 
O art. 158-B traz a trajetória da cadeia de custódia: 
 
“Art. 158-B. A cadeia de custódia compreende o rastreamento do 
vestígio nas seguintes etapas: 
I - reconhecimento: ato de distinguir um elemento como de potencial 
interesse para a produção da prova pericial; 
II - isolamento: ato de evitar que se altere o estado das coisas, 
devendo isolar e preservar o ambiente imediato, mediato e 
relacionado aos vestígios e local de crime; 
III - fixação: descrição detalhada do vestígio conforme se encontra no 
local de crime ou no corpo de delito, e a sua posição na área de 
exames, podendo ser ilustrada por fotografias, filmagens ou croqui, 
sendo indispensável a sua descrição no laudo pericial produzido pelo 
perito responsável pelo atendimento; 
IV - coleta: ato de recolher o vestígio que será submetido à análise 
pericial, respeitando suas características e natureza; 
V - acondicionamento: procedimento por meio do qual cada vestígio 
coletado é embalado de forma individualizada, de acordo com suas 
características físicas, químicas e biológicas, para posterior análise, 
com anotação da data, hora e nome de quem realizou a coleta e o 
acondicionamento; 
VI - transporte: ato de transferir o vestígio de um local para o outro, 
utilizando as condições adequadas (embalagens, veículos, 
temperatura, entre outras), de modo a garantir a manutenção de suas 
características originais, bem como o controle de sua posse; 
VII - recebimento: ato formal de transferência da posse do vestígio, 
que deve ser documentado com, no mínimo, informações referentes 
ao número de procedimento e unidade de polícia judiciária 
relacionada, local de origem, nome de quem transportou o vestígio, 
código de rastreamento, natureza do exame, tipo do vestígio, 
protocolo, assinatura e identificação de quem o recebeu; 
VIII - processamento: exame pericial em si, manipulação do vestígio 
de acordo com a metodologia adequada às suas características 
biológicas, físicas e químicas, a fim de se obter o resultado desejado, 
que deverá ser formalizado em laudo produzido por perito; 
 
 
 
 
 Pág. 16 de 59 
IX - armazenamento: procedimento referente à guarda, em condições 
adequadas, do material a ser processado, guardado para realização de 
contraperícia, descartado ou transportado, com vinculação ao número 
do laudo correspondente; 
X - descarte: procedimento referente à liberação do vestígio, 
respeitando a legislação vigente e, quando pertinente, mediante 
autorização judicial.” 
 
 
 
 
 
 
 Pág. 17 de 59 
SUMÁRIO 
 
PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS (CONTINUAÇÃO) 
 
6. Criptomoedas e lavagem de dinheiro 
 
PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS6. Criptomoedas e lavagem de dinheiro: 
 
I. Criptoativos: 
 
São representações dos valores que só existem em registros digitais. Cumpre informar que a representação é feita 
entre indivíduos ou empresas e, portanto, não há a intermediação de instituições financeiras ou do Estado. 
Entre os criptoativos, podemos destacar: 
 
a. NFT (Non Fungible Tokens): 
 
É uma imagem, áudio ou mensagem que a partir da criptografia ou da especificação de um conteúdo torna-se único. 
E, por essa razão, possui um grande valor agregado. 
 
Esse NFT pode ser transacionado livremente. 
 
b. Stablecoins: 
 
É uma espécie de criptomoeda com lastro em ativo estável, ou seja, existem operações bancárias subjacentes que 
fundamentam essa criptomoeda. 
 
c. Web3: 
 
Controle de dados pessoais pelo seu titular. É importante destacar que, por meio dessa tecnologia, é possível 
transacionar dados ou conteúdo. 
 
Aqui há absoluto controle de que teve acesso a esses dados e, também, é possível saber o valor da transação. 
 
d. DeFi (Descentralized Finance): 
 
 
É uma réplica de serviços financeiros atuais, sem intermediários. Ou seja, ela é escriturada integralmente pelos 
meios digitais, independentemente de pessoas que façam a fiscalização, controle ou governança. 
Elas funcionam a partir de uma tecnologia de registro descentralizado ou DLT (Distributed Ledger Technology) = 
livro razão da contabilidade descentralizada. 
 
e. Blockchain: 
 
Na verdade, é um DLT (Distributed Ledger Technology), ou seja, livro razão da contabilidade descentralizada. 
 
O controle do conteúdo do Blockchain não é realizado por uma única pessoa, mas sim por todos aqueles que 
possuem interesse na participação da rede Blockchain. E, portanto, para que seja inserido um registro o DLT é 
necessário que sejam identificados todos os participantes da rede. 
 
Ele é o mais usado na operação de criptoativos. 
 
 
 
 
 
 Pág. 18 de 59 
II. Criptomoedas: 
 
É uma espécie de criptoativos, ou seja, é o dinheiro intangível. 
 
Atenção: em concursos costumam perguntar a distinção entre moeda eletrônica e criptomoeda. 
 
Moeda eletrônica: é uma moeda real inserida em um sistema eletrônico (ex. saldo bancário em reais). 
 
Criptomoedas: também são chamadas de moedas digitais, criptografadas ou virtuais. As criptomoedas possuem as 
seguintes características: 
 
➢ Não são emitidas por qualquer governo soberano ou autoridade central; 
➢ Possuem denominação própria; 
➢ São criptografadas. 
A criptografia é o que confere às criptomoedas o caráter idôneo, pois, a partir disso, o que estiver expresso nelas 
será imutável ou inalterável; 
➢ Não representam uma moeda de curso oficial, tais como o real, o dólar, o euro, dentre outras. Isso se dá 
em razão da ausência de reconhecimento delas pelo Banco Central; 
➢ Não estão autorizadas pelo Bacen; 
➢ Seu emitente não é considerado uma instituição financeira; 
➢ Sua circulação não é atividade bancária. 
 
É importante mencionar que embora não sejam moedas reais, as criptomoedas possuem um valor em si. 
 
Segundo Renata Barros Souto Maior Baião, o Bitcoin é uma riqueza fundada em criptografia, poder de 
processamento e código computacional que se comporta como uma forma de dinheiro eletrônico. 
 
O Bitcoin: 
 
➢ Utiliza Sistema P2P que é a transação entre carteiras anônimas; 
➢ Utiliza chaves de criptografia assimétricas (a mesma da certificação digital), ou seja, chaves públicas e 
privadas; 
➢ É uma criptomoeda que consiste no primeiro sistema de pagamento on-line descentralizado do mundo; 
➢ Tem por base um sistema de escrituração das operações chamadas blockchain; 
➢ Baseado na premissa do Zero Trust, aqui a confiança algorítmica. 
 
Com relação às características do bitcoin, podemos destacar: 
 
➢ Ele não possui garantia de conversibilidade em outra moeda; 
➢ Não possui rastro e é extremamente volátil. 
➢ Permite maior transparência nas operações financeiras; 
➢ Impossibilidade de rastreamento da titularidade da origem e do destino das operações, salvo pela interação 
das exchanges (corretoras); 
 
➢ A penhora de bitcoins é realizada a partir do envio de ofícios às corretoras, pois elas não são acessíveis pelo 
SisbaJud. 
 
 
 
 
 
 Pág. 19 de 59 
SUMÁRIO 
 
LEI GERAL DE PROTEÇÃO DE DADOS 
 
1. A proteção da privacidade na CF/88 
2. Modelos regulatórios 
3. Da privacidade à proteção de dados pessoais (1890-2000) 
4. Incidentes envolvendo dados pessoais e sua regulamentação (2013-2018) 
5. Evolução da privacidade e da proteção de dados pessoais no Brasil 
6. ADI 6.393/2020 
7. Emenda Constitucional nº 115/2022, de 10/02/2022 
8. A perspectiva favorável 
 
LEI GERAL DE PROTEÇÃO DE DADOS 
 
1. A proteção da privacidade na CF/88: 
 
A CF/88 trata da proteção da privacidade em seu art. 5º, incisos X, XII (tratam da intimidade e do sigilo) e LXXII (traz 
o “habeas data” como uma forma de instrumentalização desses direitos). 
 
“Art. 5º Todos são iguais perante a lei, sem distinção de qualquer 
natureza, garantindo-se aos brasileiros e aos estrangeiros residentes 
no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à 
segurança e à propriedade, nos termos seguintes: 
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das 
pessoas, assegurado o direito a indenização pelo dano material ou 
moral decorrente de sua violação; 
XII - é inviolável o sigilo da correspondência e das comunicações 
telegráficas, de dados e das comunicações telefônicas, salvo, no último 
caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer 
para fins de investigação criminal ou instrução processual penal; 
LXXII - conceder-se-á habeas data: 
a) para assegurar o conhecimento de informações relativas à pessoa 
do impetrante, constantes de registros ou bancos de dados de 
entidades governamentais ou de caráter público; 
b) para a retificação de dados, quando não se prefira fazê-lo por 
processo sigiloso, judicial ou administrativo.” 
 
2. Modelos regulatórios 
 
a. Modelo compreensivo (modelo europeu): estabelece leis gerais de proteção de dados pessoais, aplicáveis 
tanto aos setores privados e públicos; 
b. Modelo setorial: tem por alvo setores específicos que demonstraram ser lesivos à privacidade do cidadão; 
c. Modelo de autorregulação: prevê o estabelecimento de condutas e fiscalização mútuas pelas empresas e 
indústrias, e; 
d. Modelo: de uso de tecnologias para a proteção da privacidade pelo próprio indivíduo, permite ao cidadão 
gerenciar a cessão e a distribuição de seus próprios dados pessoais. 
e. Modelo híbrido (norte-americano): esse modelo é formado a partir do modelo setorial e o de 
autorregulação. 
 
3. Da privacidade à proteção de dados pessoais (1890-2000): 
 
a. Abordagem norte-americana: 
 
 
 
 
 Pág. 20 de 59 
 
• A primeira referência formal ao conceito de privacidade remonta ao ano de 1890, com o Warren & Brandeis 
– “The right to privacy”. 
E na sequência foram editadas diversas leis setoriais, tais como: Willian L. Prosser, Privacy Act (1974), HIPPA, COPPA, 
dentre outras. 
• No ano de 1998 foi editado o Safe Harbor Agreement (SHA), documento que estabeleceu padrão equânime 
de proteção de dados. 
 
b. Abordagem europeia: 
 
• Teve início somente em 1948 com a Declaração Universal dos Direitos Humanos, nesse documento a 
privacidade foi declarada como um direito fundamental. 
• Em 1950 a Convenção Europeia de Direitos Humanos, reconheceu o direito ao respeito à privacidade. 
• No ano de 1981 a Convenção 108 do Conselho da Europa (Convenção de Estrasburgo) conferiu tratamento 
automatizado aos dados pessoais. 
• Em 1983, por decisão do Tribunal Constitucional Alemão sobre a Lei do Censo de 1982, foi estabelecido o 
conceito de autodeterminação informativa. 
• No ano de 1995, foi editada a Diretiva 95/46, primeira Lei referencial de proteção de dados pessoais. 
• No ano de 2000 a Carta de Direitos Fundamentais da União Europeia estabeleceu a Proteção de Dados 
Pessoais como direito fundamental. 
 
4. Incidentesenvolvendo dados pessoais e sua regulamentação (2013-2018): 
 
• Revelações de Edward Snowden (2013); 
• Abstenção dos EUA em participar do 36º ICDPP (reunião de cúpula realizada em 2014); 
• Em 2015 o Safe Harbor Agreement foi declarado inválido pelo Tribunal de Justiça Europeu. 
• Diante da invalidade do SHA, em 2016 foi editada a Privacy Shield (norma aplicável em solo norte-
americano); 
• Em 2016 foi editado o GDRG (regulamento nº 16/679, norma aplicável em solo europeu); 
• Em 2018 sobreveio o escândalo do Cambrige Analytica; 
• Em 2018 foi editado o Regulamento nº 18/1725, EU Institutions (regula a proteção de dados pelo poder 
público em solo europeu). 
 
5. Evolução da privacidade e da proteção de dados pessoais no Brasil: 
 
• Lei da Política Nacional de Informática – Lei nº 7.232/1984, ao instituir a Política Nacional de Informática 
previa que a manipulação de dados informáticos deveria preservar os dados pessoais; 
• A CF/88, em seu art. 5º, incisos X, XII e LXXII, trata da preservação da intimidade e do sigilo, bem como do 
“habeas data” como uma forma de instrumentalização desses direitos; 
• O CDC - Lei nº 8.078/1990, prevê normas a respeito de banco de dados de cadastro de inadimplentes; 
 
• Lei de Interceptação de Dados – Lei nº 9.296/1996, regulamento de forma excepcional a quebra do sigilo 
telefônico para garantir a persecução penal; 
• Lei do “Habeas Data” – Lei nº 9.507/1997, regulamentou o direito instrumental da garantia dos direitos da 
privacidade; 
• Lei do Cadastro Positivo – Lei nº 12.414/2011, tratou dos dados pessoais ao estabelecer que a criação de 
scores de crédito não viola a intimidade, vida privada e a privacidade, pois a manipulação de dados é meramente 
matemática; 
• Lei de Acesso à Informação - Lei nº 12.527/2011, impôs à Administração Pública Nacional o dever de 
transparência; 
• Lei Carolina Dieckman – Lei nº 12.737/2012, tratou dos crimes digitais que envolvem a privacidade como 
bem jurídico; 
 
 
 
 
 Pág. 21 de 59 
• Marco Civil da Internet – Lei nº 12.965/2014, norma que regulamentou a privacidade e proteção de dados, 
mas apenas nos meios digitais e no uso da Internet. 
Ficaram de fora do Marco Civil, os dados em meio físico, os dados digitais que estivessem fora da Internet, bem 
como uma norma regulamentadora voltada ao setor público. 
• Lei de Geral Proteção de Dados Pessoais – Lei 13.709/2018. 
 
6. ADI 6.393/2020: 
 
• MP 954/2020: na pandemia da COVID 2019, a MP obrigava as empresas de telefonia a disponibilizarem ao 
IBGE dados pessoais (nome, números de telefone e endereços dos usuários) “com o objetivo de realizar entrevistas 
em caráter não presencial no âmbito de pesquisas domiciliares”. 
• Após diversas ADI’s discutindo o mesmo tema (6388, 6389, 6390, 6393), o STF reconheceu a proteção de 
dados e a autodeterminação informativa como direitos fundamentais autônomos. 
 
7. Emenda Constitucional nº 115/2022, de 10/02/2022: ampliou as garantias da PEC original: 
 
• A Emenda Constitucional nº 115 de 10/02/2022, acrescentou ao rol do art. 5º o direito fundamental 
autônomo à proteção de dados pessoais. 
 
“Art. 5º: (...) 
LXXIX – é assegurado, nos termos da lei, o direito à proteção dos dados 
pessoais, inclusive nos meios digitais.” 
 
• Atribuiu à União competência material exclusiva. 
 
“Art. 21. Compete à União: 
XXVI - organizar e fiscalizar a proteção e o tratamento de dados 
pessoais, nos termos da lei.” 
 
• Atribuiu à União competência legislativa privativa: 
 
“Art. 22. Compete privativamente à União legislar sobre: 
XXX - proteção e tratamento de dados pessoais.” 
 
8. A perspectiva favorável: 
 
Como direito fundamental, a proteção dos dados pessoais torna-se cláusula pétrea. É importante mencionar que a 
proteção dos dados pessoais está prevista na CF/88 no art. 5º, LXXIX, cuja leitura deve ser combinada com o art. 
60, § 4º, IV da CF/88: 
 
“Art. 5º. (...): 
LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados 
pessoais, inclusive nos meios digitais. 
§ 1º As normas definidoras dos direitos e garantias fundamentais têm 
aplicação imediata. 
§ 2º Os direitos e garantias expressos nesta Constituição não excluem 
outros decorrentes do regime e dos princípios por ela adotados, ou 
dos tratados internacionais em que a República Federativa do Brasil 
seja parte. 
§ 3º Os tratados e convenções internacionais sobre direitos humanos 
que forem aprovados, em cada Casa do Congresso Nacional, em dois 
turnos, por três quintos dos votos dos respectivos membros, serão 
equivalentes às emendas constitucionais. 
 
 
 
 
 Pág. 22 de 59 
 
§ 4º O Brasil se submete à jurisdição de Tribunal Penal Internacional a 
cuja criação tenha manifestado adesão.” 
 
“Art. 60. A Constituição poderá ser emendada mediante proposta: 
§ 4º Não será objeto de deliberação a proposta de emenda tendente 
a abolir: 
IV - os direitos e garantias individuais.” 
 
Portanto, a proteção dos dados pessoais é um direito: 
 
➢ Irrenunciável; 
➢ Inalienável e, 
➢ Inviolável. 
 
Portanto: 
 
➢ Passa a ser um dever do Estado (União) (art. 21, XXVI da CF/88): 
➢ Prestigia a segurança jurídica, evitando a fragmentação regulatória ao atribuir à união a competência 
privativa para legislar sobre a proteção de dados pessoais (art. 22, XXX CF/88). 
➢ Cumpre exigência da OCDE para que o Brasil ingresse como membro efetivo. 
➢ Fortalece a importância do cumprimento da LGPD pelos entes públicos e atores privados. 
➢ Valoriza a atuação da ANPD como órgão federal centralizador da governança de dados. 
➢ Traz benefícios à ordem econômica, por tonar o Brasil pais em conformidade. 
 
 
 
 
 
 Pág. 23 de 59 
SUMÁRIO 
 
LEI GERAL DE PROTEÇÃO DE DADOS (CONTINUAÇÃO) 
 
9. Análise da Lei nº 13.709/2018 
 
 
LEI GERAL DE PROTEÇÃO DE DADOS: 
 
9. Análise da Lei nº 13.709/2018: 
 
i. Escopo material da Lei nº 13.709/2018: 
 
O art. 1º da LGPD dispõe sobre: 
 
➢ Tratamento de dados pessoais; 
➢ No meio físico ou digita; 
➢ Esse tratamento é realizado por pessoa natural ou por pessoa jurídica de direito público ou privado; 
➢ Com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre 
desenvolvimento da personalidade da pessoa natural 
 
ii. Fundamentos da Lei nº 13.709/2018: 
 
Estão elencados no art. 2º: 
 
“Art. 2º A disciplina da proteção de dados pessoais tem como 
fundamentos: 
I - o respeito à privacidade; 
II - a autodeterminação informativa; 
III - a liberdade de expressão, de informação, de comunicação e de 
opinião; 
IV - a inviolabilidade da intimidade, da honra e da imagem; 
V - o desenvolvimento econômico e tecnológico e a inovação; 
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e 
VII - os direitos humanos, o livre desenvolvimento da personalidade, a 
dignidade e o exercício da cidadania pelas pessoas naturais.” 
 
A pessoa natural tem o direito de saber como os seus dados são tratados e, inclusive, pode limitá-los. 
 
iii. Escopo territorial da Lei nº 13.709/2018: 
 
De acordo com o art. 3º, a Lei nº 13.709/2018 aplica-se a qualquer operação de tratamento realizada por pessoa 
natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou 
do país onde estejam localizados os dados. Mas para que ela seja aplicada é necessário que: 
 
➢ a operação de tratamento seja realizada no Brasil; 
➢ a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o 
tratamento de dados de indivíduos localizados no Brasil; 
➢ os dados pessoais, objeto do tratamento, tenham sido coletados no Brasil. 
 
É importante destacar que serão considerados coletados no território nacional os dados pessoais cujo titular nele 
se encontre no momento da coleta. 
 
 
 
 
 
 Pág. 24 de 59 
Aos dados em trânsito (aqueles que apenas passam pelo Brasil) não serão tratados pela LGPD. 
 
iv. Quando a LGPD não será aplicada?: 
 
As exceções da aplicabilidade da Leinº 13.709/2018 estão previstas no art. 4º: 
 
“Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: 
I - realizado por pessoa natural para fins exclusivamente particulares e 
não econômicos; 
II - realizado para fins exclusivamente: 
a) jornalístico e artísticos; ou 
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei; 
III - realizado para fins exclusivos de: 
a) segurança pública; 
b) defesa nacional; 
c) segurança do Estado; ou 
d) atividades de investigação e repressão de infrações penais; ou 
IV - provenientes de fora do território nacional e que não sejam objeto 
de comunicação, uso compartilhado de dados com agentes de 
tratamento brasileiros ou objeto de transferência internacional de 
dados com outro país que não o de proveniência, desde que o país de 
proveniência proporcione grau de proteção de dados pessoais 
adequado ao previsto nesta Lei. 
§ 1º O tratamento de dados pessoais previsto no inciso III será regido 
por legislação específica, que deverá prever medidas proporcionais e 
estritamente necessárias ao atendimento do interesse público, 
observados o devido processo legal, os princípios gerais de proteção e 
os direitos do titular previstos nesta Lei. 
§ 2º É vedado o tratamento dos dados a que se refere o inciso III do 
caput deste artigo por pessoa de direito privado, exceto em 
procedimentos sob tutela de pessoa jurídica de direito público, que 
serão objeto de informe específico à autoridade nacional e que 
deverão observar a limitação imposta no § 4º deste artigo. 
§ 3º A autoridade nacional emitirá opiniões técnicas ou 
recomendações referentes às exceções previstas no inciso III 
do caput deste artigo e deverá solicitar aos responsáveis relatórios de 
impacto à proteção de dados pessoais. 
§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de 
dados de que trata o inciso III do caput deste artigo poderá ser tratada 
por pessoa de direito privado, salvo por aquela que possua capital 
integralmente constituído pelo poder público.” 
 
v. Definições legais: 
 
As definições legais estão elencadas no art. 5º da Lei nº 13.709/2018. Sendo assim, seguem abaixo os seguintes 
conceitos: 
 
a. Dado pessoal: informação relacionada a pessoa natural identificada ou identificável. 
 
b. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, 
filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida 
sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. 
 
 
 
 
 
 Pág. 25 de 59 
Atenção: esse rol é taxativo. Portanto, tudo o que não estiver elencado no conceito de dados sensíveis não será 
denominado assim. 
Logo, dados bancários não são considerados dados sensíveis. 
 
c. Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de 
meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. 
 
Atenção: o dado anonimizado não será pessoal, pois não é identificável. 
 
*Dado pseudonimizado: é o dado tratado que, uma vez tratado, perde a possibilidade de associação, direita ou 
indireta, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente 
controlado e seguro (art. 13, §4º). 
Esse dados perde a qualidade de dados pessoal, mas a medida que ele passa a ser identificado, voltará a ser um 
dado pessoal. 
 
d. Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em 
suporte eletrônico ou físico. 
 
e. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. 
 
Atenção 01: a pessoa falecida não é titular de dado pessoal, pois ao morrer ela não é mais uma pessoa natural. 
Portanto, os dados dela não são passíveis de proteção pela LGPD. 
 
Atenção 02: a pessoa jurídica não é titular de dado pessoal, pois ela não é pessoa natural. 
 
Atenção 03: ao preencher cadastros as pessoas naturais não estão automaticamente cedendo os seus dados, mas 
apenas permitindo que eles sejam tratados. 
 
É o que prevê o art. 17 da Lei nº 13.709/2018. 
 
f. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões 
referentes ao tratamento de dados pessoais. 
 
Atenção: o controlador toma as decisões relativas ao tratamento dos dados da pessoa natural. 
 
g. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados 
pessoais em nome do controlador. 
 
Atenção: o operador realiza o tratamento dos dados pessoais em nome do controlador. 
 
h. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o 
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). 
 
As atividades do encarregado estão elencadas no art. 41 da Lei nº 13.709/2018. 
 
i. Agentes de tratamento: o controlador e o operador. 
 
j. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, 
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, 
armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, 
difusão ou extração. 
 
Atenção: o rol estabelecido no art. 5º, X da Lei é exemplificativo. 
 
 
 
 
 Pág. 26 de 59 
 
k. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio 
dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. 
 
l. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento 
de seus dados pessoais para uma finalidade determinada. 
 
m. Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal 
ou do banco de dados. 
 
n. Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, 
independentemente do procedimento empregado. 
 
o. Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo 
internacional do qual o país seja membro. 
 
p. Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados 
pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no 
cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização 
específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes 
privados. 
 
q. Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição 
dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos 
fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. 
 
Atenção: esse relatório será elaborado pelo controlador. 
 
r. Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de 
direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua 
em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter 
histórico, científico, tecnológico ou estatístico. 
 
Atenção: o pesquisador enquanto pessoa física não pode ter acesso direito aos dados, mas o órgão de pesquisa 
sim. 
 
s. Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o 
cumprimento desta Lei em todo o território nacional. 
 
As sanções administrativas estão elencadas no art. 52 da Lei. 
 
 
 
 
 
 Pág. 27 de 59 
SUMÁRIO 
 
LEI GERAL DE PROTEÇÃO DE DADOS (CONTINUAÇÃO) 
 
10. Princípios norteadores do tratamento de dados pessoais 
 
 
LEI GERAL DE PROTEÇÃO DE DADOS: 
 
10. Princípios norteadores do tratamento de dados pessoais: 
 
a. Introdução: 
 
Os princípios são uma dascondições de legitimidade para o tratamento dos dados pessoais. 
 
De acordo com a Teoria da Convergência, “é possível falar em um regime jurídico de proteção de dados pessoais, 
com princípios e direitos comuns em todos o mundo”. 
 
É importante pontuar que a partir da: 
 
• “Fair information principles”, na década de 70, tivemos: 
 
✓ O Relatório “Registros, Computadores e Direitos do Cidadão”, elaborado pelo Departamento de Saúde, 
Educação e Bem Estar dos EUA. Aqui foram elencados 05 princípios; 
✓ O Relatório sobre riscos de tratamento por organizações privadas, elaborado na década de 70 pelo Comitê 
da Privacidade, sob coordenação de Kenneth Younger (Grã-Bretanha). Aqui foram elencados 10 princípios; 
 
• Fair information principles”, após a década de 70, tivemos: 
 
✓ Convenção 108 do Conselho da Europa, de 1981 (Convenção de Estocolmo); 
✓ Guidelines da OCDE, de 1980 (revista em 2013); 
✓ Standards Internacionais sobre Proteção de Dados Pessoais. A 31ª Conferência Internacional de 
Autoridades de Proteção de Dados Pessoais – ICDPPC, realizada em Madri no ano de 2009, previu, dentre outras 
coisas: 
 
o Disposições gerais; 
o Princípios básicos para o tratamento de dados pessoais; 
o Legitimação para o processamento; 
o Direitos dos interessados (titular); 
o Segurança; 
o Supervisão. 
 
✓ A Diretiva 95/46 e o GDPR, também trataram e reproduziram os mesmos princípios que são consenso no 
mundo pela Teoria da Convergência. 
✓ A Argentina, Uruguai e Chile já tinham normas de proteção de dados prevendo os mesmos princípios que 
são consenso no mundo pela Teoria da Convergência. 
 
vi. Regras de concretização dos princípios: 
 
Podemos destacar que: 
 
• Nos termos do art. 4º da LGPD, as atividades estatais elencadas no referido artigo não são submetidas à 
LGPD. Mas à elas serão aplicados os princípios gerais de proteção: 
 
 
 
 
 Pág. 28 de 59 
 
“Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: 
III - realizado para fins exclusivos de: 
a) segurança pública; 
b) defesa nacional; 
c) segurança do Estado; ou 
d) atividades de investigação e repressão de infrações penais; 
§ 1º O tratamento de dados pessoais previsto no inciso III será regido 
por legislação específica, que deverá prever medidas proporcionais e 
estritamente necessárias ao atendimento do interesse público, 
observados o devido processo legal, os princípios gerais de proteção e 
os direitos do titular previstos nesta Lei.” 
 
• Nos termos do art. 7º da LGPD, ao tratamento de dados pessoais devem ser consideradas as seguintes 
premissas: 
 
✓ O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse 
público que justificaram sua disponibilização; 
✓ É dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular, 
resguardados os direitos do titular e os princípios previstos na LGPD; 
✓ A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais 
obrigações previstas na LGPD, especialmente da observância dos princípios gerais e da garantia dos direitos do 
titular; 
✓ O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º do artigo 7º da LGPD poderá ser 
realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo 
tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos na LGPD. 
 
Atenção ao tema 1.141 do STF. 
 
b. Princípios norteadores da atividade de tratamento de dados: 
 
Com relação aos princípios da LGPD, é importante destacar que: 
 
✓ eles são de observância incondicional (mesmo nos casos de exceção – art. 4º, § 1º da LGPD) e cumulativa 
(não eletiva); 
✓ são filtros de proporcionalidade ou razoabilidade no Relatório de Impacto à Proteção de Dados e no 
Relatório de Impacto ao Legítimo Interesse; 
✓ eles são fatores indicativos do nível de proteção do país estrangeiro quando estamos diante de 
transferência internacional de dados (art. 34, inciso III da LGPD). 
 
São princípios da LGPD: 
 
i. Princípio da boa-fé objetiva: está previsto no “caput” do art. 6º da LGPD e pode ser entendido como um 
princípio geral. 
 
 
ii. Princípio da finalidade: preconiza que a realização do tratamento para propósitos legítimos, específicos, 
explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas 
finalidades. Portanto, nos termos do art. 15 da LGPD, o término do tratamento dos dados pessoais ocorrerá nas 
seguintes hipóteses: 
 
“Art. 15. (...): 
 
 
 
 
 Pág. 29 de 59 
I - verificação de que a finalidade foi alcançada ou de que os dados 
deixaram de ser necessários ou pertinentes ao alcance da finalidade 
específica almejada; 
II - fim do período de tratamento; 
III - comunicação do titular, inclusive no exercício de seu direito de 
revogação do consentimento conforme disposto no § 5º do art. 8º 
desta Lei, resguardado o interesse público; ou 
IV - determinação da autoridade nacional, quando houver violação ao 
disposto nesta Lei.” 
 
É importante pontuar que os dados não podem ser coletados com finalidade genérica e ao completar a finalidade 
da coleta de dados, os dados deverão ser eliminados. 
 
Atenção ao disposto no art. 16 da LGPD: 
 
“Art. 16. Os dados pessoais serão eliminados após o término de seu 
tratamento, no âmbito e nos limites técnicos das atividades, 
autorizada a conservação para as seguintes finalidades: 
I - cumprimento de obrigação legal ou regulatória pelo controlador; 
II - estudo por órgão de pesquisa, garantida, sempre que possível, a 
anonimização dos dados pessoais; 
III - transferência a terceiro, desde que respeitados os requisitos de 
tratamento de dados dispostos nesta Lei; ou 
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e 
desde que anonimizados os dados.” 
 
iii. Princípio da adequação: a adequação é a compatibilidade do tratamento com as finalidades informadas ao 
titular, de acordo com o contexto do tratamento. 
 
Sendo assim, o titular dos dados deve saber o que será feito com as suas informações e o que a destinação dos 
dados coletados deve respeitar a justa expectativa do titular dos dados no contexto específico do tratamento. 
 
iv. Princípio da necessidade: estabelece uma limitação do tratamento ao mínimo necessário para a realização 
de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às 
finalidades do tratamento de dados. 
 
Ou seja, se há necessidade de coleta de dados, que eles sejam coletados o mínimo possível para o alcance de suas 
finalidades. 
 
v. Princípio do livre acesso: é uma garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a 
duração do tratamento, bem como sobre a integralidade de seus dados pessoais. 
 
vi. Princípio da qualidade de dados: é uma garantia, aos titulares, de exatidão, clareza, relevância e 
atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. 
 
vii. Princípio da transparência: é uma garantia, aos titulares, de informações claras, precisas e facilmente 
acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos 
comercial e industrial. 
viii. Princípio da segurança: prevê a utilização de medidas técnicas e administrativas aptas a proteger os dados 
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, 
comunicação ou difusão. 
 
 
 
 
 
 Pág. 30 de 59 
ix. Princípio da prevenção: determina a adoção de medidas para prevenir a ocorrência de danos em virtude 
do tratamento de dados pessoais. Ou seja, tem por objetivo evitar que o próprio agente de tratamento cause danos 
ao titular dos dados. 
 
x. Princípio da não discriminação: prevê a impossibilidade de realização do tratamento para fins 
discriminatórios ilícitos ou abusivos. 
 
xi. Princípio da responsabilizaçãoe prestação de contas: demonstração, pelo agente, da adoção de medidas 
eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, 
inclusive, da eficácia dessas medidas. 
 
 
 
 
 
 
 Pág. 31 de 59 
SUMÁRIO 
 
LEI GERAL DE PROTEÇÃO DE DADOS (CONTINUAÇÃO) 
 
11. Bases legais de tratamento de dados pessoais 
 
 
LEI GERAL DE PROTEÇÃO DE DADOS: 
 
11. Bases legais de tratamento de dados pessoais: 
 
São condições de legitimidade para o tratamento legal e legítimo de dados pessoais, ou seja, as bases legais podem 
ser entendidas como requisitos para o tratamento dos dados. 
 
E, para maior compreensão do tema, é importante que seja feito um comparativo entre as bases legais para o 
tratamento dos dados pessoais (previstas no art. 7º da LGPD) e o tratamento dos dados pessoais sensíveis (previstas 
no art. 11 da LGPD): 
 
 
Tratamento dos Dados Pessoais Tratamento dos Dados Pessoais Sensíveis 
Art. 7º O tratamento de dados pessoais somente 
poderá ser realizado nas seguintes hipóteses: 
Art. 11. O tratamento de dados pessoais sensíveis 
somente poderá ocorrer nas seguintes hipóteses: 
I - mediante o fornecimento de consentimento pelo 
titular; 
I - quando o titular ou seu responsável legal consentir, 
de forma específica e destacada, para finalidades 
específicas; 
II - para o cumprimento de obrigação legal ou 
regulatória pelo controlador; 
II - sem fornecimento de consentimento do titular, nas 
hipóteses em que for indispensável para: 
a) cumprimento de obrigação legal ou regulatória pelo 
controlador; 
III - pela administração pública, para o tratamento e 
uso compartilhado de dados necessários à execução 
de políticas públicas previstas em leis e regulamentos 
ou respaldadas em contratos, convênios ou 
instrumentos congêneres, observadas as disposições 
do Capítulo IV desta Lei; 
b) tratamento compartilhado de dados necessários à 
execução, pela administração pública, de políticas 
públicas previstas em leis ou regulamentos; 
IV - para a realização de estudos por órgão de pesquisa, 
garantida, sempre que possível, a anonimização dos 
dados pessoais; 
c) realização de estudos por órgão de pesquisa, 
garantida, sempre que possível, a anonimização dos 
dados pessoais sensíveis; 
V - quando necessário para a execução de contrato ou 
de procedimentos preliminares relacionados a 
contrato do qual seja parte o titular, a pedido do titular 
dos dados; 
 
VI - para o exercício regular de direitos em processo 
judicial, administrativo ou arbitral, esse último nos 
termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei 
de Arbitragem) 
d) exercício regular de direitos, inclusive em contrato 
e em processo judicial, administrativo e arbitral, este 
último nos termos da Lei nº 9.307, de 23 de setembro 
de 1996 (Lei de Arbitragem); 
VII - para a proteção da vida ou da incolumidade física 
do titular ou de terceiro; 
e) proteção da vida ou da incolumidade física do 
titular ou de terceiro; 
 
 
 
 
 Pág. 32 de 59 
VIII - para a tutela da saúde, exclusivamente, em 
procedimento realizado por profissionais de saúde, 
serviços de saúde ou autoridade sanitária; 
f) tutela da saúde, exclusivamente, em procedimento 
realizado por profissionais de saúde, serviços de 
saúde ou autoridade sanitária; ou 
IX - quando necessário para atender aos interesses 
legítimos do controlador ou de terceiro, exceto no caso 
de prevalecerem direitos e liberdades fundamentais 
do titular que exijam a proteção dos dados pessoais; 
ou 
 
X - para a proteção do crédito, inclusive quanto ao 
disposto na legislação pertinente. 
g) garantia da prevenção à fraude e à segurança do 
titular, nos processos de identificação e autenticação 
de cadastro em sistemas eletrônicos, resguardados os 
direitos mencionados no art. 9º desta Lei e exceto no 
caso de prevalecerem direitos e liberdades 
fundamentais do titular que exijam a proteção dos 
dados pessoais. 
 
 
Algumas observações quanto a essa comparação devem ser tecidas: 
 
✓ O consentimento para a realização de tratamento de dados pessoais sensíveis será mais solene. 
✓ Não será possível utilização da mesma base legal do legítimo interesse e da proteção de crédito para o 
tratamento de dados sensíveis. Da mesma forma que a prevenção à fraude e à segurança do titular não pode ser 
base legal para o tratamento de dados pessoais. 
 
Outrossim, com relação às bases legais de tratamento (requisitos para tratamento), destacaremos que: 
 
• Elas foram um rol taxativo (números clausus); 
• Não há prevalência entre elas (nem mesmo o consentimento que possui uma posição de destaque, mas 
que não se sobrepõe); 
• Todo e qualquer tratamento de dados pessoais e dados sensíveis deve ter base legal (aquelas previstas nos 
artigos 7º e 11, respectivamente). 
 
Atenção: pode haver tratamento de dados sem base legal, mas dito tratamento será ilegal. 
 
• O Poder Público é o único que possui base legal própria (art. 7º, III c/c art. 23, ambos da LGPD). 
 
No mais, com relação às bases legais de tratamento, será dado destaque ao: 
 
a. Consentimento: que, nos termos do art. 5º, XII, pode ser entendido como a manifestação livre, informada 
e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade 
determinada. 
 
• O consentimento para o compartilhamento de dados pessoais é autônomo e específico em relação ao 
fornecimento para o tratamento (art. 7º, § 5º da LGPD). Ou seja, se os dados forem compartilhados, há necessidade 
de se buscar um novo consentimento específico do titular dos dados; 
 
• O consentimento pode ser fornecido por escrito ou por outro meio que comprove a inequívoca 
manifestação de vontade (art. 8º da LGPD); 
 
• O consentimento colhido por escrito deve constar em cláusula destacada das demais (§ 1º do art. 8º da 
LGPD); 
 
• O ônus da prova de conformidade do consentimento será do controlador (§ 2º do art. 8º da LGPD); 
 
• O consentimento genérico ou colhido mediante vício de consentimento não terá valor (parágrafos 3º e 4º 
do art. 8º da LGPD); 
 
 
 
 
 Pág. 33 de 59 
 
• O consentimento pode ser revogado a qualquer momento, mediante a realização de procedimento gratuito 
e facilitado (§ 5º do art. 8º da LGPD). 
 
Caso seja alterada a finalidade específica, a forma e a duração do tratamento, a identificação do controlador, ou as 
informações sobre o uso compartilhado, o titular deve ser avisado, podendo revogar o consentimento; 
 
• O consentimento também é uma das hipóteses de para a transferência internacional de dados. 
 
Portanto, 
 
Para os dados pessoais 
(art. 5º, XII da LGPD), 
o consentimento será: 
Mas para os dados sensíveis 
(art. 11, I da LGPD), 
o consentimento será: 
Livre Livre 
Informado Informado 
Inequívoco Inequívoco 
 Específico 
Destacado 
 
No mais, vale mencionar que o consentimento além de livre, informado e inequívoco, também deve ser destacado 
e específico para: 
 
✓ O tratamento de dados sensíveis (art. 11, I da LGPD); 
✓ O tratamento de dados de crianças e adolescentes (art. 14, § 1º da LGPD); 
✓ A transferência internacional de dados (art. 33, VIII da LGPD). 
 
b. Legítimo interesse: 
 
Com relação ao legítimo interesse é necessário mencionar que ele NÃO é base legal para o tratamento de dados 
sensíveis ou de crianças e adolescentes. 
 
No mais, o art. 10º da LGPD, estabelece que: 
 
“Art. 10. O legítimo interesse do controlador somente poderá 
fundamentar tratamento de dados pessoais para finalidades legítimas, 
consideradas a partir de situações concretas, que incluem, mas não se 
limitam a: 
I - apoio e promoção de atividades do controlador; e 
II - proteção, em relação ao titular, do exercício regular de seus direitos 
ou prestação de serviços que o beneficiem, respeitadas as legítimas 
expectativas dele e os direitos e liberdades fundamentais, nos termos 
desta Lei. 
§ 1º Quando o tratamento for baseado no legítimo interesse do 
controlador, somente os dados pessoais estritamentenecessários 
para a finalidade pretendida poderão ser tratados. 
§ 2º O controlador deverá adotar medidas para garantir a 
transparência do tratamento de dados baseado em seu legítimo 
interesse. 
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de 
impacto à proteção de dados pessoais, quando o tratamento tiver 
 
 
 
 
 Pág. 34 de 59 
como fundamento seu interesse legítimo, observados os segredos 
comercial e industrial.” 
 
Sendo assim, de acordo com o disposto no artigo supramencionado, não podemos utilizar a base legal do legítimo 
interesse para, de antemão, se autorizar o tratamento de dados em situações hipotéticas. Logo, ele somente será 
cabível em situações concretas. 
 
 
 
 
 
 
 Pág. 35 de 59 
SUMÁRIO 
 
LEI GERAL DE PROTEÇÃO DE DADOS (CONTINUAÇÃO) 
 
12. Direitos do titular 
 
 
LEI GERAL DE PROTEÇÃO DE DADOS: 
 
12. Direitos do titular: 
 
a. Direito à titularidade dos dados pessoais: 
 
Dito direito é um dos mais importante e está elencado no art. 17 da LGPD: 
 
“Art. 17. Toda pessoa natural tem assegurada a titularidade de seus 
dados pessoais e garantidos os direitos fundamentais de liberdade, de 
intimidade e de privacidade, nos termos desta Lei.” 
 
Portanto, o art. 17 prevê: 
 
✓ A impossibilidade de desvinculação do dado pessoal de seu titular; 
✓ A atribuição de um status especial a esse direito. Ou seja, há a vinculação da titularidade dos dados pessoais 
aos direitos fundamentais da liberdade, da intimidade e da privacidade; 
✓ Restrições e exceções de caráter legal, quando diz “nos termos desta Lei”, pois estabelece que a titularidade 
poderá ser conformada de acordo com as leis que sucederão. 
 
b. Premissas do exercício dos direitos do titular: 
 
Estão elencadas no art. 18, § 4º da LGPD: 
 
“Art. 18. O titular dos dados pessoais tem direito a obter do 
controlador, em relação aos dados do titular por ele tratados, a 
qualquer momento e mediante requisição: 
§ 4º Em caso de impossibilidade de adoção imediata da providência de 
que trata o § 3º deste artigo, o controlador enviará ao titular resposta 
em que poderá: 
I - comunicar que não é agente de tratamento dos dados e indicar, 
sempre que possível, o agente; ou 
II - indicar as razões de fato ou de direito que impedem a adoção 
imediata da providência.” 
 
c. Direitos em espécie: 
 
• Confirmação da existência de tratamento: esse é um dos mais importantes e está previsto no art. 18, I da 
LGPD. 
Sua importância está no fato de que ele é um pressuposto dos demais direitos, pois antes do exercício de outros 
direito é necessário que se tenha conhecimento se o controlador possui algum dado pessoal sob o seu controle. 
 
Esse direito possui relação com o princípio da transparência, previsto no art. 6º, IV da LGPD. 
 
Ainda com relação a esse direito é importante mencionar que, de acordo com o art. 9º da LGPD, o titular deve ser 
informado da utilização de seus dados no início do tratamento, independentemente de requisição; 
 
 
 
 
 Pág. 36 de 59 
 
• Acesso aos dados: pressupõe o conhecimento prévio ou anterior confirmação de tratamento dos dados. 
 
No art. 15 do GDPR, contemplam-se, também, os acessos: 
 
✓ Às finalidades; 
✓ Categorias; 
✓ Destinatários; 
✓ Prazos de conservação; 
✓ Origem de dados; 
✓ Existência de decisões automatizadas. 
 
• Correção de dados incompletos, inexatos ou desatualizados: essa é a versão brasileira do direito à 
retificação que está previsto no art. 16 do GDPR. 
 
Esse direito possui relação com o princípio da qualidade de dados, pois, de acordo com a Guidelines da OCDE, os 
dados precisam ser precisos, completos e atualizados. 
 
• Anonimização de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na 
LGPD: 
 
Quanto a esse tema, vale pontuar que: 
 
✓ A anonimização faz o dado perder a qualidade de dado pessoal; 
✓ Se o dado é anonimizado, mas for utilizado para a formação de perfil comportamental de pessoa 
identificada ele voltará a ser dado pessoal; 
✓ A anonimização é um direito relativos, pois ela será realizada sempre que possível. 
✓ Na LGPD, deve ser irreversível considerando a utilização de meios técnicos razoáveis e disponíveis na 
ocasião de tratamento (art. 5º, III da LGPD); 
✓ Se puder ser revertido, vira dado pseudonimizado (art. 13, § 4º da LGPD). 
 
• Bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o 
disposto na LGPD: 
 
No GPDR bloqueio corresponde ao direito de limitação do tratamento, ou seja, é uma suspensão temporária de 
qualquer operação de tratamento (art. 5º, XIII da LGPD). 
Por outro lado, a eliminação é o apagamento, inclusive de backups. Vale mencionar que o ônus de comprovação 
da eliminação dos dados é do controlador. 
 
• Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de 
acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial: permite 
que os dados sejam retirados de um provedor para ser tratado por outro provedor de serviços. 
 
A portabilidade tem por objetivo evitar o aprisionamento tecnológico (vendor lock-in). Vale mencionar que ela 
também é uma obrigação do controlador de manter os dados em formato estruturado e interoperável, operáveis 
por API (ap´plication programmin interface). 
 
Outrossim, nos termos do art. 18, § 4º da LGPD, se o dado for anonimizado ele não será portável, pois ele deixará 
de ser um dado pessoal. 
 
• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas 
no art. 16 da LGPD: 
 
 
 
 
 
 Pág. 37 de 59 
“Art. 16. Os dados pessoais serão eliminados após o término de seu 
tratamento, no âmbito e nos limites técnicos das atividades, 
autorizada a conservação para as seguintes finalidades: 
I - cumprimento de obrigação legal ou regulatória pelo controlador; 
II - estudo por órgão de pesquisa, garantida, sempre que possível, a 
anonimização dos dados pessoais; 
III - transferência a terceiro, desde que respeitados os requisitos de 
tratamento de dados dispostos nesta Lei; ou 
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e 
desde que anonimizados os dados.” 
 
• Obter informação das entidades públicas e privadas com as quais o controlador realizou uso 
compartilhado de dados: 
 
O uso compartilhado de dados está previsto no art. 5º, XVI: 
 
“Art. 5º (..): 
XVI - uso compartilhado de dados: comunicação, difusão, 
transferência internacional, interconexão de dados pessoais ou 
tratamento compartilhado de bancos de dados pessoais por órgãos e 
entidades públicos no cumprimento de suas competências legais, ou 
entre esses e entes privados, reciprocamente, com autorização 
específica, para uma ou mais modalidades de tratamento permitidas 
por esses entes públicos, ou entre entes privados;” 
 
É a expressão da autodeterminação informativa e no conceito geral de informação e acesso. 
 
• O titular tem o direito à informação sobre a possibilidade de não fornecer consentimento e sobre as 
consequências da negativa: 
 
Esse direito assegura ao titular: 
 
✓ A possibilidade de saber que poderá não fornecer o consentimento; 
✓ Saber quais seriam as consequências da negativa a esse consentimento. 
 
Esse direito à informação deve ser anterior à coleta de dados pessoais. E caso isso não ocorra, deve ser ratificada 
em termos claros. 
 
• Revogação do consentimento, nos termos do § 5º do art. 8º da LGPD: 
 
De acordo com o disposto no art. 5º, XII da LGPD, o consentimento é a manifestação livre, informada, inequívoca, 
destacada e específica. 
Portanto, a revogação do consentimento produzirá efeitos “ex tunc” (art. 8º, § 5º da LGPD). Sendo assim os atos 
anteriores à revogação serão ratificados e os subsequentes dependerão de nova base legal. 
 
• Direito de petição: está previsto nos parágrafos do art. 18 da LGPD. Esse direito de petição pode ser 
direcionado: 
 
✓ Ao agente de tratamento, controlador e