Símbolo do Jus.com.br Jus.com.br
Capa da publicação LGPD na prática: desafios e tendências atuais
Capa: Autor
Artigo

LGPD na prática: desafios e tendências atuais da proteção de dados no Brasil

Exibindo página 4 de 5
Wilton Magário Junior
Wilton Magário Junior
21/07/2025 às 21:33
Leia nesta página:

PARTE IV – CASOS PRÁTICOS E JURISPRUDÊNCIA COMENTADA

Embora a LGPD seja um marco regulatório relativamente recente, sua aplicação prática já gerou repercussões em diversas esferas jurídicas, administrativas e comerciais. A consolidação de sua interpretação vem sendo construída por meio de decisões judiciais, pareceres técnicos, ações da ANPD e, sobretudo, por experiências concretas de empresas e instituições públicas.

Esta Parte IV tem por objetivo analisar casos práticos e decisões relevantes relacionados à LGPD, com foco em situações que evidenciam os principais pontos de tensão, inovação e amadurecimento da legislação. Ao trazer exemplos reais — extraídos de julgados, notificações da ANPD, incidentes notórios de segurança, termos de ajustamento de conduta e práticas de mercado — pretende-se ilustrar como os princípios e obrigações legais se traduzem em desafios e soluções no cotidiano dos agentes de tratamento.

Os capítulos a seguir comentam os impactos da LGPD na jurisprudência cível e trabalhista, as sanções administrativas já aplicadas pela ANPD, experiências setoriais emblemáticas e os aprendizados extraídos de vazamentos de dados amplamente divulgados. Cada caso será analisado sob a perspectiva legal, com destaque para fundamentos jurídicos, riscos identificados, medidas corretivas e lições aplicáveis à governança em privacidade.

Essa abordagem busca contribuir com a consolidação de uma cultura jurídica em torno da proteção de dados, oferecendo ao leitor um repertório útil para a prevenção de litígios, a tomada de decisões estratégicas e a conformidade sustentável com a LGPD.

17. Jurisprudência Cível e Trabalhista em Matéria de Proteção de Dados

A prática forense tem papel decisivo na consolidação dos direitos à privacidade. Neste capítulo, analisamos decisões judiciais que envolvem indenizações por vazamento, abusos na coleta de dados, monitoramento excessivo de funcionários, e responsabilidade civil por tratamento irregular. Discutiremos a interpretação dos tribunais sobre consentimento, legítimo interesse e direitos dos titulares, além de estratégias jurídicas e argumentos recorrentes utilizados em demandas judiciais.

17.1. Responsabilidade Civil por Vazamento e Uso Indevido de Dados

A proteção de dados pessoais não se limita à conformidade administrativa ou à prevenção técnica — ela também possui implicações relevantes no plano da responsabilidade civil, especialmente quando há ocorrência de vazamentos, acessos indevidos ou usos ilegítimos das informações. A LGPD estabelece um sistema de responsabilização que visa reparar os danos causados aos titulares, promover comportamento diligente por parte dos agentes de tratamento e reforçar o papel da privacidade como bem jurídico tutelado.

a) Fundamento legal da responsabilidade

O artigo 42 da LGPD determina que o agente de tratamento que, em razão do exercício de atividades de tratamento de dados, causar dano patrimonial, moral, coletivo ou à honra do titular, responderá pelos prejuízos causados. O regime jurídico aplicado é de responsabilidade civil objetiva ou subjetiva, dependendo das circunstâncias.

Regime

Características

Aplicabilidade

Objetiva

Não exige prova de culpa, apenas do dano e do nexo

Situações envolvendo risco da atividade ou violação clara da LGPD

Subjetiva

Depende de comprovação de culpa ou negligência

Casos com dúvida sobre dolo, omissão ou falha técnica mitigada

Cabe ao agente de tratamento demonstrar que agiu corretamente, conforme o artigo 43 da LGPD — inclusive adotando medidas de segurança, prevenção e resposta.

b) Tipos de danos indenizáveis

A responsabilidade pode decorrer de diversos tipos de impacto ao titular:

  • Dano patrimonial direto: prejuízo financeiro, fraude bancária, perda de acesso a serviços;

  • Dano moral: exposição indevida de informações sensíveis, constrangimento, violação à intimidade;

  • Dano coletivo ou social: vazamento em massa com repercussão comunitária ou institucional;

  • Dano à reputação: associações indevidas, uso discriminatório de dados, exposição pública.

A jurisprudência tem reconhecido a autonomia do dano à privacidade, mesmo sem repercussão econômica direta.

c) Legitimidade ativa e passiva

  • Legitimidade ativa: qualquer titular de dados pessoais afetado pode buscar reparação judicial ou administrativa.

  • Legitimidade passiva: o controlador é o principal responsável; o operador pode responder solidariamente quando descumpre obrigações legais ou contratuais.

A responsabilidade pode ser individual ou coletiva, dependendo do tipo de dano e da natureza da ação.

d) Critérios de dosimetria e apuração

Para apurar a responsabilidade e definir eventual indenização, são considerados fatores como:

  • Gravidade do incidente e extensão do dano;

  • Medidas de segurança e mitigação adotadas;

  • Reincidência e histórico de conformidade;

  • Transparência na comunicação com os titulares e com a ANPD;

  • Documentação e registros sobre o tratamento e resposta ao incidente.

Esses critérios são relevantes tanto em ações judiciais quanto na atuação da ANPD, que pode aplicar sanções administrativas paralelamente à responsabilização civil.

e) Prevenção e blindagem jurídica

Para reduzir riscos e fortalecer a defesa em caso de litígio, recomenda-se:

  • Manter registros atualizados dos tratamentos de dados e suas bases legais;

  • Adotar políticas de segurança e monitoramento contínuo;

  • Documentar medidas preventivas e corretivas adotadas após incidentes;

  • Treinar equipes sobre boas práticas e deveres legais;

  • Firmar contratos claros com operadores, definindo responsabilidades e padrões mínimos.

Essas ações demonstram boa-fé, diligência e cultura de responsabilidade, fatores essenciais em qualquer análise judicial ou regulatória.

A responsabilidade civil por uso indevido de dados não é apenas punição — é instrumento de proteção, reparação e incentivo à governança ética. A LGPD institui um modelo que exige comprometimento técnico, jurídico e institucional com os direitos dos titulares, consolidando a privacidade como valor jurídico de primeira grandeza.

17.2. Tratamento de Dados no Contexto da Relação de Trabalho

O tratamento de dados pessoais no âmbito das relações de trabalho envolve um conjunto amplo e sensível de informações que dizem respeito à vida privada, profissional e até à saúde física e emocional dos trabalhadores. Nesse cenário, a conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) exige das empresas não apenas ajustes técnicos e documentais, mas uma revisão estrutural das práticas de gestão de pessoas, com ênfase na transparência, necessidade e proporcionalidade.

a) Natureza dos Dados Tratados

Durante o ciclo da relação de trabalho — que inclui recrutamento, admissão, vigência do contrato e desligamento — são coletados, utilizados e armazenados diversos tipos de dados, entre os quais:

  • Dados pessoais comuns: nome, endereço, estado civil, documentos, histórico profissional, formação acadêmica, entre outros;

  • Dados sensíveis (art. 5º, II, da LGPD): dados de saúde (atestados médicos, exames admissionais e periódicos), filiação sindical, origem racial ou étnica, dados biométricos e eventualmente convicções religiosas ou políticas (ex: em iniciativas de diversidade);

  • Dados comportamentais: dados coletados por sistemas internos, e-mails corporativos, monitoramento de produtividade, geolocalização de veículos, entre outros.

Tais dados, além de permitirem a execução do contrato de trabalho, também são utilizados para atender obrigações legais, previdenciárias e fiscais, controle de jornada, segurança do trabalho, e, em alguns casos, ações de recursos humanos e analytics.

b) Bases Legais Aplicáveis na Relação de Trabalho

A base legal mais comum no contexto empregatício é a execução de contrato (art. 7º, V), que autoriza o tratamento necessário para o cumprimento das obrigações trabalhistas. No entanto, é preciso cautela: nem todo dado coletado no ambiente laboral pode ser justificado exclusivamente pelo vínculo contratual.

Outras bases legais aplicáveis incluem:

  • Cumprimento de obrigação legal ou regulatória (art. 7º, II): obrigações previdenciárias, fiscais, trabalhistas e de segurança do trabalho;

  • Legítimo interesse do empregador (art. 7º, IX): desde que compatível com a expectativa do titular e precedido de análise de impacto (LIA);

  • Consentimento (art. 7º, I): deve ser exceção, utilizado apenas quando não houver outra base legal adequada e desde que seja livre, informado e inequívoco — o que é difícil de garantir na assimetria da relação de trabalho.

Para dados sensíveis, as hipóteses do art. 11. devem ser analisadas com rigor, especialmente nos casos de monitoramento de saúde, programas de bem-estar, inclusão e diversidade.

c) Limites e Boas Práticas no Ambiente Corporativo

A aplicação da LGPD nas relações de trabalho impõe limites éticos e legais às práticas empresariais, mesmo quando estas são justificadas pela eficiência operacional. Entre os principais pontos de atenção estão:

  • Recrutamento e seleção: deve-se limitar a coleta ao estritamente necessário, evitando perguntas discriminatórias (relativas a estado civil, filhos, religião, etc.), e garantir a exclusão dos currículos após período razoável.

  • Monitoramento digital e uso de tecnologia: a empresa pode controlar recursos tecnológicos fornecidos, como e-mails e dispositivos móveis, mas deve informar claramente a extensão e a finalidade da monitoração, respeitando a intimidade e a dignidade do trabalhador.

  • Programas de saúde ocupacional e exames médicos: devem respeitar a confidencialidade médica e a minimização de dados. Apenas o necessário para atestar aptidão ao trabalho deve ser acessado por recursos humanos ou gestão.

  • Tratamento de dados para fins de diversidade, inclusão e compliance: exige critérios técnicos e salvaguardas adicionais, especialmente quando envolve dados sensíveis.

Além disso, é fundamental estabelecer políticas internas claras, termos de confidencialidade, treinamentos regulares e cláusulas contratuais específicas para prestadores de serviço e parceiros terceirizados que tenham acesso a dados de empregados.

d) Pós-Contrato e Deveres Contínuos

Mesmo após o encerramento do vínculo empregatício, o empregador permanece responsável pela guarda segura dos dados pessoais do ex-colaborador, pelo prazo legal necessário (ex: para fins previdenciários ou trabalhistas), observando:

  • Critérios de armazenamento seguro e restrição de acesso;

  • Exclusão ou anonimização quando não houver mais fundamento jurídico;

  • Respostas adequadas a solicitações do titular (direito de acesso, correção, eliminação etc.).

e) Jurisprudência e Tendências Interpretativas

A Justiça do Trabalho já começou a receber ações que discutem o uso excessivo ou indevido de dados pessoais de empregados, inclusive em casos de:

  • Exposição pública de informações sem necessidade;

  • Monitoramento abusivo e invasão de privacidade;

  • Compartilhamento indevido de dados com terceiros ou entre empresas do mesmo grupo.

Tribunais têm reconhecido a aplicação direta da LGPD às relações de trabalho, afirmando que o poder diretivo do empregador não é absoluto e deve ser exercido com observância aos princípios da finalidade, necessidade e não discriminação.

f) Cultura de Privacidade no RH

O setor de Recursos Humanos é o principal responsável pela implementação da privacidade na prática cotidiana da organização. Por isso, deve:

  • Trabalhar em conjunto com o DPO e a área jurídica;

  • Mapear o ciclo completo de vida dos dados dos colaboradores;

  • Estabelecer protocolos para incidentes e vazamentos;

  • Garantir comunicação transparente com os titulares.

A cultura de proteção de dados no trabalho não é apenas uma exigência legal, mas uma ferramenta estratégica de valorização do capital humano, mitigação de riscos e fortalecimento da reputação da organização.

17.3. Publicação Indevida e Exposição de Dados

A publicação indevida de dados pessoais, seja em ambientes físicos ou digitais, constitui uma das formas mais recorrentes e preocupantes de violação à privacidade. Em tempos de hiperconectividade, o simples ato de divulgar um nome, uma imagem ou um documento pode causar impactos profundos e imediatos à honra, reputação e segurança dos titulares. A LGPD, ao reconhecer o valor jurídico dos dados pessoais, impõe limites claros à sua exposição pública e prevê mecanismos de responsabilização civil, administrativa e, em alguns casos, penal.

a) O que configura publicação indevida?

A exposição é considerada indevida quando ocorre:

  • Sem consentimento expresso e legítimo do titular;

  • Fora da finalidade originalmente declarada para o tratamento;

  • Em violação a princípios da LGPD, como necessidade, minimização e segurança;

  • Com impacto relevante aos direitos ou interesses dos titulares, especialmente em contextos sensíveis (dados médicos, financeiros, íntimos, etc.).

Exemplos comuns: divulgação de dados em redes sociais por funcionários públicos, publicação de listas com CPF ou endereço, vazamentos em sistemas de consulta pública sem controle de acesso.

b) Fundamento legal e responsabilização

A LGPD prevê, no artigo 42, que o agente de tratamento pode ser responsabilizado civilmente quando causar dano ao titular por meio de tratamento irregular, incluindo publicação indevida. Além disso, pode haver:

  • Sanções administrativas da ANPD, como advertência, multa e bloqueio dos dados;

  • Ações judiciais de indenização por dano moral ou patrimonial;

  • Investigação criminal, caso a exposição configure infração penal (como crime contra a honra, falsidade ideológica ou violação de sigilo funcional).

A responsabilização depende da análise do nexo causal, da existência do dano e da ausência de justificação legal para a divulgação.

c) Deveres do controlador e medidas preventivas

Para evitar riscos de exposição indevida, o agente de tratamento deve:

  • Controlar rigorosamente os canais de divulgação institucional, como sites, redes sociais e comunicados públicos;

  • Evitar publicação de listas nominais, documentos completos ou imagens identificáveis, salvo quando houver base legal expressa;

  • Revisar os fluxos de validação e autorização de conteúdo antes da publicação;

  • Analisar o contexto e a proporcionalidade da informação divulgada, mesmo quando o dado for público (ex.: decisões judiciais com sigilo parcial);

  • Manter política clara de comunicação e privacidade, com orientação às equipes de atendimento, marketing e imprensa.

O cuidado com a forma, o meio e a finalidade da divulgação é essencial para evitar responsabilização.

d) Direitos dos titulares frente à exposição indevida

Quando exposto indevidamente, o titular pode:

  • Requerer a eliminação ou restrição da informação divulgada;

  • Solicitar reparação dos danos causados (morais ou materiais);

  • Exigir retratação pública ou esclarecimento institucional;

  • Registrar reclamação junto à ANPD ou acionar o Judiciário, conforme o caso.

O exercício desses direitos deve ser facilitado pelo controlador, inclusive com canais acessíveis e resposta em prazo razoável.

A publicação indevida é mais do que uma falha — é uma agressão à confiança depositada pelo titular no agente de tratamento. A LGPD exige que privacidade e comunicação institucional caminhem juntas, promovendo respeito, cautela e responsabilidade em cada divulgação.

18. Sanções Aplicadas pela ANPD e Atuação Fiscalizatória

A atuação sancionatória da ANPD reforça a eficácia da LGPD. Neste capítulo, analisamos os tipos de sanções previstas (advertência, multa, suspensão de banco de dados, proibição de operação), os critérios de dosimetria, e os precedentes que vêm sendo formados com julgamentos da autoridade. Estudaremos os casos emblemáticos já julgados, os procedimentos de investigação, o contraditório administrativo e os impactos financeiros, reputacionais e operacionais para empresas infratoras.

18.1. Casos de Advertência e Medidas Corretivas

As sanções previstas na LGPD não têm natureza puramente punitiva — elas visam induzir comportamentos responsáveis, corrigir desvios e reforçar a cultura de proteção de dados. Nesse sentido, a advertência figura como uma das penalidades iniciais aplicáveis pela ANPD, com caráter pedagógico e restaurativo. Frequentemente acompanhada de exigências técnicas e operacionais, a advertência funciona como um instrumento de correção orientada, indicando que houve falha, mas que há espaço para adequação voluntária e rápida.

a) Natureza jurídica da advertência

Segundo o artigo 52, inciso I da LGPD, a advertência:

  • É aplicada em caso de infrações leves, geralmente quando não há dano direto aos titulares;

  • Exige registro e documentação da irregularidade;

  • Deve ser acompanhada de prazo para adoção de medidas corretivas, sob pena de agravamento das sanções;

  • Pode ser precedida por orientação formal da ANPD, em regime de boa-fé regulatória.

O objetivo é promover correção sem impacto reputacional excessivo ou prejuízo desproporcional à organização.

b) Exemplos concretos de advertência pela ANPD

Desde o início da atuação sancionatória da ANPD, foram registrados casos em que empresas públicas e privadas receberam advertência por:

  • Falta de nomeação formal do Encarregado pelo tratamento de dados;

  • Ausência de registro das operações de tratamento exigidas pelo art. 37;

  • Política de privacidade incompleta ou genérica, sem clareza sobre finalidades e bases legais;

  • Inexistência de canal acessível para o exercício dos direitos dos titulares;

  • Respostas inadequadas ou fora de prazo aos requerimentos dos titulares.

Esses casos demonstram que a ANPD atua com foco na efetividade da conformidade, e não apenas na formalidade.

c) Medidas corretivas frequentemente exigidas

Quando emite uma advertência, a ANPD pode estabelecer exigências específicas de correção, como:

  • Elaboração ou revisão das políticas de privacidade e proteção de dados;

  • Nomeação e registro do Encarregado (DPO) junto à Autoridade;

  • Implantação de controles mínimos de segurança da informação;

  • Criação ou reestruturação dos canais de atendimento ao titular;

  • Regularização dos registros e inventários de tratamento de dados.

Essas exigências devem ser cumpridas dentro de prazo definido e são passíveis de nova avaliação futura.

d) Boas práticas para evitar advertências

  • Realizar diagnóstico interno periódico de conformidade;

  • Treinar colaboradores sobre responsabilidades legais e operacionais;

  • Manter interlocução ativa com a ANPD quando houver dúvidas ou lacunas;

  • Documentar ações corretivas adotadas e registrar evidências;

  • Priorizar ações estruturantes: base legal clara, mapeamento de dados e governança mínima.

Essas medidas reforçam a imagem institucional e reduzem riscos legais e reputacionais.

Advertência não é punição — é sinal de alerta e convite à maturidade. A ANPD, ao aplicar essa sanção, reconhece o potencial de correção do agente de tratamento e promove uma cultura de diálogo e aprendizado regulatório. Incorporar esse espírito é sinal de boa-fé e responsabilidade institucional.

18.2. Aplicação de Multas e Penalidades Financeiras

A aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD) representa um dos instrumentos mais relevantes para garantir a efetividade da Lei Geral de Proteção de Dados Pessoais (LGPD). Entre essas sanções, destaca-se a multa administrativa, que possui caráter repressivo e pedagógico, devendo ser aplicada com proporcionalidade, transparência e fundamentação técnico-jurídica.

a) Previsão Legal e Natureza das Sanções

O art. 52. da LGPD estabelece um rol de sanções administrativas que podem ser aplicadas pela ANPD em caso de infrações à legislação, incluindo:

  • Advertência;

  • Multa simples, de até 2% do faturamento da pessoa jurídica no Brasil no seu último exercício, limitada a R$ 50 milhões por infração;

  • Multa diária, dentro do mesmo limite;

  • Publicização da infração após apuração;

  • Bloqueio ou eliminação de dados pessoais;

  • Suspensão parcial do funcionamento do banco de dados ou do tratamento;

  • Proibição total ou parcial do exercício da atividade relacionada ao tratamento de dados.

As multas e sanções financeiras não possuem natureza tributária, mas sim administrativa punitiva, devendo respeitar os princípios do direito sancionador: legalidade, tipicidade, contraditório e ampla defesa, proporcionalidade, razoabilidade, entre outros.

b) Regulamentação pela ANPD

Com a edição da Resolução CD/ANPD nº 4/2023, que regulamenta o dosimetria das sanções administrativas, a ANPD passou a dispor de critérios objetivos para a gradação das penalidades. Os principais elementos considerados para a aplicação de multas são:

  • Natureza e gravidade da infração, considerando os direitos afetados e o volume de dados comprometidos;

  • Boa-fé do infrator;

  • Vantagem auferida ou pretendida com a infração;

  • Condição econômica do infrator;

  • Reincidência;

  • Grau do dano;

  • Medidas preventivas e corretivas adotadas;

  • Cooperação com a ANPD;

  • Adoção de políticas de boas práticas e governança.

A multa pode ser atenuada, substituída por advertência ou agravada conforme a análise individualizada do caso. O processo administrativo sancionador segue rito próprio, com fases de instauração, instrução, defesa e julgamento, assegurando o devido processo legal.

c) Critérios de Cálculo e Limites

As multas simples são calculadas com base no faturamento do infrator no último exercício, limitado a 2% por infração, com teto de R$ 50 milhões. Contudo, a metodologia de cálculo prevê:

  • Identificação do grupo econômico (se aplicável);

  • Consideração da receita líquida no Brasil, excluindo tributos;

  • Multiplicação por percentuais definidos pela gravidade da infração, agravantes e atenuantes.

No caso de microempresas e empresas de pequeno porte, bem como startups, a ANPD pode aplicar tratamento diferenciado e proporcional (Resolução CD/ANPD nº 2/2022), privilegiando advertências, orientação educativa e prazos de adequação.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos
d) Função Pedagógica e Preventiva

As penalidades financeiras não têm apenas caráter punitivo, mas devem cumprir função pedagógica e preventiva, estimulando uma cultura organizacional de respeito à privacidade e à proteção de dados. Isso se reflete:

  • Na publicização das sanções, que tem efeito dissuasório e informativo;

  • No incentivo à adoção de programas de governança e compliance em privacidade;

  • Na valorização de comportamentos cooperativos e transparentes diante da fiscalização.

A existência de práticas documentadas de conformidade, como políticas internas, treinamentos, registros de tratamento, análise de riscos e nomeação de encarregado (DPO), pode mitigar a responsabilização ou reduzir substancialmente o valor da sanção aplicada.

e) Tendências e Perspectivas

Ainda que a aplicação de multas pela ANPD esteja em estágio inicial, observa-se uma tendência de:

  • Aplicação escalonada e proporcional, priorizando advertência e orientação nos primeiros ciclos de fiscalização;

  • Valorização da boa-fé, da correção voluntária e da maturidade em proteção de dados;

  • Integração com outras esferas sancionatórias (como o Procon, Ministério Público e órgãos reguladores setoriais), o que pode gerar responsabilidade administrativa, civil e até penal cumulativa;

  • Crescente uso de sanções reputacionais como forma de pressão por conformidade (ex: publicização de condutas infracionais).

Com o amadurecimento da atuação da ANPD, é esperado um aumento gradual da assertividade e do rigor técnico nas decisões sancionatórias, especialmente em casos de grandes vazamentos, práticas discriminatórias, violação de direitos fundamentais ou descumprimento reiterado das obrigações legais.

f) Conclusão

A aplicação de multas e sanções financeiras no âmbito da LGPD deve ser compreendida como parte de um sistema regulatório orientado à responsabilidade, à prevenção e à melhoria contínua, e não apenas como um mecanismo punitivo. Organizações públicas e privadas que investem em estruturas de compliance, educação corporativa e boas práticas estarão melhor posicionadas para mitigar riscos, evitar sanções e construir relações de confiança com titulares, parceiros e autoridades.

18.3. Cooperação com Procons, MP e Outros Órgãos

A aplicação efetiva da LGPD não depende exclusivamente da atuação da ANPD. Diversos órgãos públicos — como os Procons, o Ministério Público (MP), a Defensoria Pública, os Tribunais de Contas e as agências reguladoras setoriais — exercem funções fiscalizatórias, protetivas e sancionatórias que se articulam com o sistema nacional de proteção de dados. Essa cooperação interinstitucional amplia a vigilância sobre condutas irregulares, fortalece os direitos dos titulares e permite a atuação coordenada em casos complexos ou de interesse coletivo.

a) Fundamento legal da atuação compartilhada

A LGPD prevê, especialmente nos artigos 55-A e 58-A, que a ANPD deve:

  • Articular-se com outros órgãos e entidades públicos e privados;

  • Promover ações educativas, fiscalizatórias e normativas em parceria com órgãos de defesa do consumidor;

  • Facilitar o exercício dos direitos dos titulares por meio de canais acessíveis, inclusive com o apoio das entidades conveniadas.

Além disso, o sistema legal brasileiro garante autonomia funcional a outros entes para atuarem na defesa da intimidade, da privacidade, do consumidor e da ordem econômica — todos diretamente afetados por violações à LGPD.

b) Funções dos principais parceiros institucionais

Órgão

Função principal

Relevância na proteção de dados

️ Procons

Defesa do consumidor, mediação e fiscalização

Tratamento abusivo de dados, descumprimento de opt-out, publicidade invasiva

Ministério Público

Fiscalização da legalidade, proteção coletiva, litígios estratégicos

Ações civis públicas por vazamento, investigações em instituições públicas e privadas

Defensoria Pública

Assistência jurídica gratuita e coletiva

Orientação a grupos vulneráveis, denúncias por exposição indevida

Tribunais de Contas

Controle de legalidade e eficiência na Administração Pública

Avaliação da conformidade de órgãos públicos com a LGPD

Agências Reguladoras

Fiscalização técnica por setor (saúde, finanças, telecom etc.)

Normas complementares e auditorias específicas conforme segmento

Esses entes podem atuar de forma autônoma ou articulada com a ANPD, conforme o caso.

c) Instrumentos de cooperação formal

Para viabilizar a atuação integrada, a ANPD tem firmado:

  • Acordos de Cooperação Técnica com Procons e órgãos federais;

  • Termos de colaboração para capacitação de promotores, defensores e fiscais;

  • Protocolos de encaminhamento de denúncias entre os sistemas de atendimento;

  • Participação conjunta em comitês interinstitucionais de proteção de dados e cibersegurança.

Esses instrumentos fortalecem a resposta pública às violações, evitam duplicidade de esforços e promovem inteligência regulatória coletiva.

d) Benefícios da atuação articulada

  • Maior capilaridade de fiscalização, especialmente nos estados e municípios;

  • Ampliação dos canais de denúncia e orientação aos titulares;

  • Produção de jurisprudência e decisões administrativas convergentes;

  • Detecção precoce de práticas abusivas e riscos sistêmicos;

  • Melhoria da efetividade das sanções e medidas corretivas.

A cooperação institucional transforma a LGPD em uma política pública transversal e estratégica.

A proteção de dados é uma responsabilidade compartilhada — e a atuação integrada entre ANPD, Procons, MP e outros entes é essencial para consolidar a cultura de privacidade no Brasil. A força da LGPD está não apenas no texto legal, mas na capacidade das instituições de trabalharem juntas, com visão preventiva, corretiva e educativa.

19. Casos Relevantes de Vazamento de Dados e Suas Consequências

Os vazamentos de dados mostram, na prática, os riscos da má gestão da privacidade. Neste capítulo, apresentamos os principais casos ocorridos no Brasil e no exterior — como o megavazamento de CPFs, incidentes envolvendo operadoras, redes sociais e plataformas digitais. Analisamos causas, consequências jurídicas, posicionamento da ANPD, sanções aplicadas, prejuízos reputacionais e estratégias de recuperação. Cada caso é uma lição para reforçar práticas de segurança.

19.1. Exposição Massiva de Dados em Plataformas Digitais

A exposição massiva de dados pessoais em plataformas digitais constitui um dos eventos mais críticos da sociedade da informação e representa uma grave ameaça aos direitos fundamentais à privacidade, à autodeterminação informativa e à segurança dos titulares. Esses eventos, que muitas vezes decorrem de falhas sistêmicas de segurança, vazamentos acidentais ou uso indevido de tecnologias, têm ganhado notoriedade pela sua frequência, escala e impacto reputacional e jurídico.

a) Conceito e Características da Exposição Massiva

A exposição massiva ocorre quando grandes volumes de dados pessoais — muitas vezes sensíveis ou estratégicos — são indevidamente disponibilizados ou acessados em plataformas digitais, como:

  • Redes sociais;

  • Marketplaces;

  • Aplicativos de mobilidade e delivery;

  • Plataformas de streaming, educação e saúde;

  • Sistemas públicos ou privados em nuvem;

  • Ambientes de big data e machine learning.

Esses dados podem incluir, além de informações básicas (nome, CPF, telefone), elementos altamente sensíveis, como dados bancários, biométricos, de localização em tempo real, preferências comportamentais, diagnósticos médicos e até comunicações privadas.

A gravidade da exposição é intensificada pela velocidade de propagação em ambientes digitais, pela dificuldade de remoção definitiva e pela possibilidade de reidentificação de indivíduos a partir de dados fragmentados.

b) Responsabilidade do Controlador e Obrigação de Segurança

Nos termos da LGPD, o controlador é obrigado a adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas (art. 46). A omissão nesse dever enseja responsabilidade objetiva e solidária, inclusive no caso de contratação de operadores e terceiros.

A exposição massiva pode configurar:

  • Incidente de segurança com impacto relevante, nos termos do art. 48. da LGPD, exigindo comunicação à ANPD e aos titulares afetados;

  • Violação do princípio da segurança e da prevenção;

  • Dano moral coletivo e individual, especialmente se houver discriminação, constrangimento ou prejuízo financeiro;

  • Descumprimento do dever de governança e accountability, caso não haja evidência de boas práticas e medidas preventivas implementadas.

c) Obrigações em Caso de Incidente

Uma vez identificado o incidente com potencial risco ou dano relevante, o controlador deve:

  1. Comunicar à ANPD e aos titulares afetados, de forma imediata e transparente, contendo:

    • Natureza dos dados afetados;

    • Informações sobre os titulares envolvidos;

    • Medidas técnicas adotadas;

    • Riscos relacionados;

    • Ações de mitigação em curso.

  2. Preservar evidências técnicas e documentar o incidente, permitindo auditorias e investigações futuras;

  3. Ativar plano de resposta a incidentes, com o envolvimento da equipe de TI, jurídico, comunicação e DPO;

  4. Oferecer suporte aos titulares afetados, como canal de atendimento, medidas de reparação e mitigação (ex: monitoramento antifraude, troca de senhas, bloqueio de contas etc.).

d) Impactos Jurídicos, Econômicos e Reputacionais

A exposição de dados pode resultar em:

  • Sanções administrativas da ANPD, como multas, advertências, bloqueio de tratamento e publicização do fato;

  • Ações civis indenizatórias individuais ou coletivas, promovidas por titulares ou por entidades como o Ministério Público, associações de defesa do consumidor e sindicatos;

  • Investigações por órgãos como o Procon, Senacon, Bacen, MP e tribunais de contas, conforme a natureza da instituição envolvida;

  • Perda de confiança dos usuários e parceiros comerciais, afetando diretamente a imagem, a reputação e o valor de mercado da organização.

Casos emblemáticos, como os vazamentos de grandes operadoras de telefonia, plataformas de e-commerce e instituições públicas, ilustram os danos de longo prazo causados pela gestão negligente de dados pessoais, incluindo impactos financeiros e regulatórios expressivos.

e) Prevenção, Mitigação e Governança Digital

Para prevenir a exposição massiva de dados, é fundamental que a organização adote um modelo robusto de governança de dados e segurança da informação, que envolva:

  • Mapeamento contínuo de riscos e avaliação de impacto à proteção de dados (DPIA/PIA);

  • Criptografia, pseudonimização e segmentação de dados;

  • Controle de acessos, autenticação multifator e registros de logs;

  • Treinamento contínuo de colaboradores em privacidade e segurança;

  • Revisão periódica de contratos com operadores e fornecedores;

  • Plano de resposta a incidentes e comitê de crise instituído;

  • Auditorias internas e testes de vulnerabilidade (pen test).

Além disso, recomenda-se a adoção voluntária de selos de boas práticas, certificações (como ISO/IEC 27001 e 27701) e a manutenção de documentação comprobatória das medidas adotadas, em linha com o princípio da responsabilização (accountability – art. 6º, X).

A exposição massiva de dados pessoais em plataformas digitais é uma das principais ameaças à proteção da privacidade na sociedade contemporânea. Exige das organizações uma postura proativa, transparente e tecnicamente preparada, não apenas para cumprir a legislação, mas para preservar a confiança dos titulares, o valor dos dados e a integridade das relações institucionais.

No Brasil, a atuação da ANPD, do Poder Judiciário e da sociedade civil tende a se intensificar diante da recorrência desses eventos, o que reforça a urgência de amadurecimento das políticas de segurança cibernética, conformidade regulatória e ética digital em todas as esferas.

19.2. Responsabilização por Falha de Terceiros

O tratamento de dados pessoais frequentemente envolve múltiplos agentes — controladores, operadores, subcontratados e prestadores de serviços. Essa cadeia técnica e contratual torna crucial a definição das responsabilidades em caso de falhas, incidentes ou violações praticadas por terceiros. A LGPD estabelece parâmetros para essa responsabilização e exige que os agentes de tratamento adotem medidas de supervisão, diligência e governança contratual, inclusive quando delegam parte do processamento a terceiros.

a) Regras gerais de responsabilização

Segundo os artigos 42 e 43 da LGPD:

  • O controlador é responsável por garantir a conformidade de todo o tratamento, mesmo quando executado por terceiros sob sua ordem.

  • O operador responde solidariamente quando agir em desconformidade com as instruções do controlador ou descumprir obrigações legais e contratuais.

  • O agente de tratamento que provar que não realizou o tratamento e que o dano não decorre de sua atividade está isento de responsabilidade.

A lei adota um modelo de responsabilidade por controle e risco, exigindo boa-fé e governança ativa por parte do controlador.

b) Exemplos de falha de terceiros com repercussão jurídica

Terceiro envolvido

Tipo de falha

Impacto

Responsabilidade

Provedor de cloud não contratado diretamente

Vazamento por falha na configuração

Dados expostos

Avaliação do vínculo contratual e da diligência do controlador

Subcontratado por operador

Compartilhamento indevido de dados

Violação à finalidade

Operador pode responder solidariamente; controlador avaliado pela supervisão

Agência de marketing parceira

Envio de campanhas para base não autorizada

Comunicação invasiva

Controlador responde por ausência de consentimento; agência por execução indevida

Empresa terceirizada de exames clínicos

Armazenamento inseguro de prontuários

Risco à privacidade

Clínica (controladora) avaliada pela escolha e fiscalização do parceiro

Esses exemplos demonstram que a responsabilidade não é apenas técnica — ela envolve decisões de contratação, supervisão e governança documental.

c) Medidas preventivas recomendadas

Para mitigar riscos de responsabilização por atos de terceiros, os controladores devem:

  • Firmar contratos com cláusulas claras sobre proteção de dados, segurança e deveres específicos;

  • Exigir comprovação de conformidade do parceiro, como certificações, políticas internas e estrutura técnica;

  • Registrar auditorias, diligências e medidas preventivas adotadas antes e durante a contratação;

  • Estabelecer plano de resposta conjunto em caso de incidentes;

  • Limitar o acesso de terceiros a dados não essenciais, com controle técnico e organizacional.

O uso de RIPDs e avaliações de impacto contratuais também fortalece a posição defensiva em litígios e fiscalizações.

d) Reflexos legais e judiciais da falha de terceiros

Em caso de incidente com origem em terceiro:

  • O titular pode demandar qualquer agente da cadeia, com base na solidariedade ou na causalidade direta;

  • A ANPD pode aplicar sanções ao controlador, mesmo que a falha tenha sido técnica ou operacional de terceiros;

  • O Judiciário pode analisar a diligência do controlador na escolha, contratação e supervisão do terceiro — especialmente em contratos opacos ou parcerias recorrentes.

A omissão, negligência ou confiança excessiva sem salvaguardas pode configurar culpa ou responsabilidade objetiva.

Na LGPD, delegar nunca é abdicar. A responsabilidade pelo dado acompanha o dever de cuidado em toda a cadeia de tratamento. Controladores devem enxergar terceiros não como meros prestadores — mas como extensões regulatórias de sua atuação. Transparência, contrato, auditoria e rastreabilidade são os pilares da blindagem jurídica.

19.3. Medidas Adotadas Pós-Incidente e Comunicação ao Titular

A ocorrência de um incidente de segurança envolvendo dados pessoais — como acessos não autorizados, vazamentos, perdas acidentais ou uso indevido — exige uma resposta rápida, coordenada e estruturada por parte do controlador. A Lei Geral de Proteção de Dados Pessoais (LGPD), especialmente em seu art. 48, estabelece obrigações específicas que vão além da correção técnica do problema: exigem uma postura transparente, preventiva e orientada à proteção dos direitos dos titulares.

a) Identificação, Contenção e Análise Técnica

A primeira etapa, imediatamente após a detecção do incidente, envolve a ativação do plano de resposta a incidentes, que deve prever:

  • Identificação do incidente: tipo de violação (confidencialidade, integridade, disponibilidade), sistemas afetados, dados comprometidos;

  • Contenção imediata da falha para evitar a ampliação dos danos;

  • Preservação de evidências técnicas e documentais para auditoria, investigação ou eventual processo administrativo ou judicial;

  • Análise de causa raiz e impacto, incluindo a natureza dos dados afetados, quantidade de titulares envolvidos e grau de sensibilidade da informação.

A equipe de resposta deve envolver representantes de TI, jurídico, compliance, segurança da informação, DPO e, se necessário, comunicação e alta gestão.

b) Adoção de Medidas Corretivas e Mitigadoras

Após a contenção, devem ser adotadas ações corretivas imediatas e medidas mitigadoras de risco, como:

  • Bloqueio de acessos indevidos e redefinição de credenciais;

  • Correção de falhas sistêmicas ou humanas que tenham dado causa ao incidente;

  • Revisão de políticas e controles de segurança da informação;

  • Comunicação com operadores ou fornecedores envolvidos, responsabilizando-os, se aplicável;

  • Oferecimento de suporte aos titulares afetados, como serviços de monitoramento antifraude, suporte jurídico, reemissão de documentos ou orientações sobre medidas de proteção.

Essas medidas devem ser devidamente documentadas e monitoradas, demonstrando a adoção de diligência e boa-fé por parte do controlador (art. 6º, X – accountability).

c) Comunicação ao Titular e à ANPD

Nos casos em que o incidente possa acarretar risco ou dano relevante aos titulares, o art. 48. da LGPD impõe o dever de comunicação imediata à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados. Essa comunicação deve ser feita preferencialmente em até dois dias úteis após a ciência do incidente, conforme diretrizes da ANPD.

A comunicação deve ser clara, acessível e conter, no mínimo:

  1. Descrição da natureza dos dados pessoais afetados;

  2. Indicação dos titulares envolvidos ou dos grupos de titulares afetados;

  3. Descrição das medidas técnicas e de segurança utilizadas antes do incidente;

  4. Medidas adotadas para mitigar os efeitos do incidente;

  5. Riscos relacionados ao incidente;

  6. Canais de comunicação para que os titulares possam obter mais informações.

O conteúdo, a forma e o meio de comunicação devem considerar o perfil dos titulares afetados e, sempre que possível, utilizar linguagem simples e objetiva. É recomendável que a comunicação seja individualizada (por e-mail, SMS, aplicativo ou carta), mas, em alguns casos, pode-se utilizar canais públicos (como aviso no site) quando a individualização for inviável.

d) Comunicação Transparente e Gestão de Crise

Além de cumprir com as exigências legais, a comunicação com os titulares deve ser tratada como parte de uma estratégia de gestão de crise institucional, visando preservar a confiança e demonstrar responsabilidade.

Boas práticas incluem:

  • Central de atendimento dedicada para esclarecer dúvidas e acolher manifestações;

  • Notas oficiais e Q&A públicas, se o incidente ganhar repercussão;

  • Alinhamento da comunicação externa e interna, evitando ruídos ou contradições;

  • Monitoramento da repercussão nas redes sociais, imprensa e órgãos de defesa do consumidor.

Transparência não significa exposição irrestrita — é preciso encontrar o equilíbrio entre dever de informação, segurança jurídica e proteção da imagem institucional.

e) Documentação e Auditoria Pós-Incidente

Todo o processo de resposta ao incidente deve ser rigorosamente documentado, incluindo:

  • Cronologia do evento;

  • Equipes envolvidas e decisões tomadas;

  • Relatórios técnicos e jurídicos;

  • Evidências das comunicações realizadas;

  • Lições aprendidas e ajustes promovidos nas políticas internas.

Essa documentação servirá como prova de diligência em eventual fiscalização da ANPD, ação judicial ou investigação de órgãos como o Procon, MP ou entidades setoriais.

Também é recomendável realizar uma auditoria pós-incidente e promover ações de melhoria contínua, como:

  • Revisão do plano de resposta a incidentes;

  • Atualização de contratos com fornecedores;

  • Reforço na capacitação de colaboradores;

  • Implementação de controles de segurança adicionais.

A resposta adequada a incidentes de segurança com dados pessoais é um dos principais testes da maturidade de proteção de dados de uma organização. A comunicação tempestiva, transparente e responsável ao titular e à ANPD, somada à ação técnica eficaz e à demonstração de accountability, contribui não apenas para a mitigação de riscos jurídicos e reputacionais, mas também para a construção de uma cultura organizacional pautada pela confiança, pela ética digital e pelo respeito aos direitos fundamentais.

20. Boas Práticas Setoriais e Estudos de Caso

A aplicação prática da LGPD exige compreensão contextual, adaptação às especificidades de cada segmento e internalização de princípios éticos. Neste capítulo, reunimos exemplos reais de adequação setorial em áreas como varejo, educação, saúde, transporte, tecnologia e serviços financeiros. Apresentaremos estudos de caso que ilustram estratégias de implementação, obstáculos superados, soluções inovadoras e resultados obtidos. O objetivo é demonstrar que conformidade regulatória não é um modelo único — mas sim um esforço construído com base no diálogo entre legislação, realidade operacional e cultura organizacional.

20.1. Conformidade em Startups e Pequenas Empresas

A LGPD se aplica a todos os agentes de tratamento, independentemente de seu porte, natureza jurídica ou setor de atuação. No entanto, startups e pequenas empresas enfrentam desafios específicos: recursos limitados, estruturas enxutas, produtos em constante evolução e múltiplas frentes operacionais. Reconhecendo essa realidade, a Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu diretrizes que permitem tratamento diferenciado a agentes de pequeno porte, desde que respeitado o núcleo duro da proteção dos titulares.

a) Critérios para tratamento diferenciado

Segundo a Resolução ANPD nº 2/2022, podem ser considerados agentes de pequeno porte:

  • Microempresas e empresas de pequeno porte (ME/EPP);

  • Startups enquadradas no regime do Marco Legal (Lei Complementar nº 182/2021);

  • Entidades sem fins lucrativos de pequeno porte;

  • Profissionais liberais e pessoas naturais que tratam dados com fins econômicos, desde que limitados em escopo.

Esses agentes podem adotar medidas de conformidade proporcionais à sua complexidade e aos riscos envolvidos no tratamento.

b) Medidas simplificadas previstas pela ANPD

Área

Flexibilizações permitidas

Política de privacidade

Redação objetiva e formato simplificado

Encarregado (DPO)

Facultativo, desde que haja canal para atendimento ao titular

Registro de operações

Pode ser feito de forma simplificada, sem ferramenta específica

Comunicação de incidentes

Pode utilizar formulário eletrônico padrão, com menor exigência documental

RIPD

Recomendado apenas para atividades de alto risco ou uso de dados sensíveis

Essas medidas não representam desobrigação, mas sim adaptação proporcional.

c) Prioridades estratégicas para startups e pequenas empresas

Para estruturar a conformidade de forma eficaz e viável, recomenda-se focar em:

  • Finalidade clara e legítima para cada dado tratado;

  • Consentimento bem definido, quando necessário — opt-in ativo, granular e revogável;

  • Segurança da informação compatível com o porte e os riscos do negócio;

  • Transparência na comunicação com os usuários, incluindo política de privacidade visível e compreensível;

  • Canal de atendimento ao titular, mesmo sem nomeação formal de DPO.

Startups devem enxergar a proteção de dados como parte da experiência do usuário e não como um entrave ao crescimento.

d) Benefícios da conformidade desde o início

Embora não seja trivial, investir em governança desde as primeiras fases traz vantagens importantes:

  • Aumenta a confiança de investidores, parceiros e clientes;

  • Prepara a empresa para escalar com segurança jurídica;

  • Reduz riscos de incidentes e sanções futuras;

  • Facilita a internacionalização, alinhando-se a normas como o GDPR;

  • Promove reputação positiva e cultura organizacional ética.

Mesmo com simplicidade, um programa de conformidade pode ser funcional, eficaz e alinhado à realidade das startups.

A LGPD não exige complexidade — exige compromisso. Para startups e pequenas empresas, o caminho da conformidade é adaptável, escalável e compatível com inovação responsável. Investir cedo significa crescer com solidez e reputação.

20.2. Setor de Saúde: Dados Sensíveis e Riscos Elevados

O setor de saúde figura entre os contextos mais críticos no que se refere à proteção de dados pessoais, devido à quantidade, qualidade e sensibilidade das informações tratadas. Dados sobre saúde, histórico clínico, exames, laudos, diagnósticos, tratamentos e informações genéticas estão expressamente classificados como dados pessoais sensíveis pela Lei Geral de Proteção de Dados Pessoais (LGPD), e exigem, portanto, nível elevado de proteção, controle e responsabilidade jurídica.

a) Relevância e Vulnerabilidade dos Dados de Saúde

A importância dos dados tratados no setor de saúde é proporcional ao seu potencial de risco. As informações tratadas envolvem:

  • Identificação pessoal (nome, CPF, endereço, contato);

  • Dados sensíveis (exames laboratoriais, histórico médico, informações sobre deficiências, sexualidade, doenças crônicas, prontuários eletrônicos);

  • Dados de terceiros (dependentes, responsáveis legais);

  • Dados biométricos e genéticos;

  • Dados coletados por dispositivos médicos, wearables e aplicativos de saúde digital.

Esses dados, quando expostos ou utilizados de forma inadequada, podem resultar em discriminação, estigmatização, exclusão de oportunidades, chantagem, violação da dignidade e constrangimentos irreversíveis.

A vulnerabilidade é agravada pelo uso intensivo de tecnologias interoperáveis, sistemas integrados de saúde, telemedicina, armazenamento em nuvem, parcerias com laboratórios, operadoras e seguradoras, além do uso crescente de inteligência artificial no apoio à decisão clínica.

b) Base Legal e Hipóteses de Tratamento

A LGPD exige, para o tratamento de dados pessoais sensíveis, hipóteses legais específicas (art. 11). No setor de saúde, as mais frequentemente aplicáveis são:

  • Cumprimento de obrigação legal ou regulatória pelo controlador (ex.: exigências da ANS, SUS, Receita Federal);

  • Execução de políticas públicas de saúde (quando o tratamento se dá por ou para órgãos públicos);

  • Tutela da saúde do titular ou de terceiros, exclusivamente por profissionais de saúde, serviços de saúde ou autoridade sanitária;

  • Proteção da vida ou da incolumidade física do titular ou de terceiros, em situações emergenciais;

  • Consentimento do titular, quando não se enquadrar em outra hipótese.

É essencial observar que o consentimento no setor de saúde não é a base prioritária, pois muitas atividades são legalmente obrigatórias ou exigem tratamento contínuo, independentemente da anuência expressa.

c) Regulações Setoriais e Interações com a LGPD

O setor de saúde é fortemente regulado por normas técnicas e legais específicas, que coexistem com a LGPD. Entre as principais, destacam-se:

  • Lei nº 13.787/2018 – Dispõe sobre a digitalização e o uso de prontuários eletrônicos;

  • Resoluções do CFM (ex.: nº 1.821/2007, nº 2.314/2022) – Regulam prontuário médico, ética médica e sigilo;

  • Normas da ANS – Relacionadas ao intercâmbio de informações entre operadoras e prestadores;

  • Políticas de segurança da informação do SUS, e diretrizes do DATASUS e Ministério da Saúde;

  • Regramento da telemedicina, que inclui requisitos adicionais de proteção de dados e registro profissional.

A conformidade com a LGPD deve ser integrada a essas normativas, de modo a evitar conflitos ou lacunas, respeitando simultaneamente os princípios de privacidade e as obrigações clínicas e sanitárias.

d) Riscos Específicos e Exemplos Práticos

O setor enfrenta riscos elevados, tanto do ponto de vista jurídico quanto operacional e reputacional. Os principais incluem:

  • Vazamento de prontuários médicos em clínicas, hospitais ou laboratórios;

  • Uso indevido de dados por operadoras de plano de saúde, para fins de seleção de riscos ou limitação de cobertura;

  • Armazenamento inseguro de dados em nuvem ou sistemas terceirizados sem due diligence adequada;

  • Compartilhamento excessivo de dados entre profissionais, sem minimização ou controle de acesso;

  • Incidentes de ransomware, que bloqueiam dados críticos de pacientes e demandam resposta imediata;

  • Uso de dados para fins secundários (marketing, pesquisa, análises preditivas) sem base legal adequada ou sem anonimização.

Casos concretos no Brasil e no exterior demonstram o impacto devastador que tais incidentes podem causar, incluindo ações civis públicas, sanções da ANPD, perdas financeiras e destruição de reputação institucional.

e) Boas Práticas para o Setor de Saúde

A proteção de dados em saúde exige nível elevado de maturidade organizacional e técnica, incluindo:

  • Mapeamento detalhado dos fluxos de dados dentro da instituição e com terceiros;

  • Revisão contratual com parceiros, laboratórios, planos de saúde e plataformas de TI;

  • Adoção de controles de acesso restritivos, criptografia, backups seguros e autenticação forte;

  • Treinamento contínuo de profissionais de saúde e equipes administrativas sobre sigilo, privacidade e LGPD;

  • Implementação de prontuários eletrônicos compatíveis com segurança da informação e rastreabilidade;

  • Realização de Relatórios de Impacto à Proteção de Dados (DPIA), especialmente em projetos com IA, big data, interoperabilidade ou pesquisa clínica;

  • Criação de um Comitê de Ética e Proteção de Dados em Saúde, com atuação integrada do DPO, jurídico, compliance e direção médica.

O setor de saúde, por sua essencialidade e sensibilidade, exige padrões máximos de proteção de dados pessoais, tanto para cumprimento legal quanto para garantir a confiança da sociedade nos serviços de saúde. A conformidade com a LGPD, associada à ética clínica e ao rigor técnico, deve ser vista como um elemento estruturante da qualidade assistencial, da segurança do paciente e da responsabilidade institucional.

Diante de riscos elevados, a prevenção, a governança e a cultura da privacidade tornam-se indispensáveis para transformar a proteção de dados em um diferencial estratégico, humano e sustentável no ecossistema de saúde.

20.3. Comércio Eletrônico e Marketing Digital

O comércio eletrônico é um dos ambientes mais dinâmicos de tratamento de dados pessoais. Cada clique, cadastro, compra ou interação online pode gerar informações valiosas — mas também riscos significativos se a coleta e o uso forem feitos sem transparência ou controle. A LGPD exige que as lojas virtuais, marketplaces e plataformas digitais adotem práticas responsáveis, segurança técnica e comunicação clara com os titulares, especialmente em estratégias de marketing e personalização comercial.

a) Dados pessoais em plataformas de e-commerce

As operações típicas envolvem:

  • Cadastro de usuários: nome, CPF, e-mail, telefone, endereço;

  • Dados financeiros: número de cartão, forma de pagamento, código de segurança;

  • Informações de entrega e logística: endereço de entrega, histórico de compras, rastreamento;

  • Dados comportamentais: navegação, clique em produtos, abandono de carrinho, preferências.

Esses dados são tratados para fins de autenticação, compra, entrega, atendimento, fidelização e publicidade. Cada finalidade exige base legal específica e registro documental adequado.

b) Consentimento e legítimo interesse: limites e cuidados

  • Consentimento deve ser livre, granular e revogável — especialmente para envio de promoções, newsletters e campanhas de marketing;

  • Legítimo interesse pode ser usado para comunicações transacionais, recomendação de produtos ou prevenção à fraude — desde que haja teste de balanceamento e transparência.

Atenção: remarketing, perfilamento e personalização avançada devem ser informados ao usuário, com opção de oposição clara e eficaz.

c) Política de privacidade e termos de uso

A loja virtual deve apresentar:

  • Política de privacidade objetiva e acessível, com detalhamento sobre os dados coletados, finalidades, bases legais, compartilhamento e direitos dos titulares;

  • Termos de uso da plataforma, integrando aspectos de proteção de dados, segurança e responsabilidades contratuais;

  • Painel de gerenciamento de preferências, permitindo ativação ou desativação de categorias de tratamento (ex.: cookies de marketing, e-mails promocionais).

A ausência de informação clara pode gerar sanções pela ANPD e perda de confiança do consumidor.

d) Boas práticas em marketing digital

  • Usar opt-in ativo para campanhas promocionais, sem checkbox pré-marcado;

  • Registrar logs de consentimento (data, IP, canal, finalidade);

  • Evitar compra de listas prontas de e-mails — prática ilegal e arriscada;

  • Incluir link visível para descadastramento (opt-out) nas comunicações;

  • Aplicar anonimização ou pseudonimização em dados usados para analytics;

  • Adotar mecanismos de teste A/B com respeito à privacidade, evitando inferências discriminatórias.

e) Compartilhamento com terceiros e marketplaces

Nos casos de vendas por intermediários ou uso de plataformas agregadoras, é essencial que:

  • Haja contratos com cláusulas específicas sobre proteção de dados;

  • Os papéis de controlador e operador estejam claramente definidos;

  • O titular seja informado sobre quais parceiros terão acesso aos seus dados, e para qual finalidade;

  • Seja possível auditar e limitar o acesso aos dados, conforme a necessidade real de operação.

Compartilhar não significa abrir mão da responsabilidade — o titular continua sendo protegido pela LGPD, mesmo fora da loja original.

O comércio eletrônico não vive apenas de conversão — vive de confiança. Respeitar a LGPD no ambiente digital significa construir relações duradouras, proteger reputações e transformar dados em ativos legítimos, não em passivos jurídicos.

21. Tendências de Litigância e Jurisprudência Protetiva

À medida que a LGPD se consolida, o ambiente jurídico brasileiro passa a incorporar de forma mais robusta os direitos à privacidade e à autodeterminação informativa. Neste capítulo, analisamos as principais tendências de litigância em proteção de dados, com destaque para ações judiciais individuais e coletivas, demandas por reparação civil, decisões sobre consentimento viciado e uso excessivo de dados. Exploramos também o comportamento dos tribunais na interpretação dos princípios da LGPD, a incorporação do tema pela Defensoria Pública e Ministério Público, e o surgimento de novas linhas argumentativas no contencioso digital. A jurisprudência protetiva é não apenas reflexo, mas também agente da evolução normativa.

21.1. Ativismo Judicial e Expansão dos Direitos dos Titulares

Desde a entrada em vigor da LGPD, o Poder Judiciário tem desempenhado um papel fundamental na interpretação, aplicação e concretização dos direitos dos titulares de dados pessoais. Em muitos casos, os tribunais foram além da literalidade da lei, promovendo uma leitura ampliada e principiológica, capaz de consolidar o direito à proteção de dados como um direito fundamental autônomo.

Esse movimento — que pode ser compreendido como uma forma de ativismo judicial em privacidade — tem sido decisivo para corrigir lacunas normativas, proteger grupos vulneráveis, orientar condutas e definir parâmetros para responsabilidades civis e administrativas no ambiente digital.

a) Reconhecimento da proteção de dados como direito fundamental

O Supremo Tribunal Federal, ao julgar a ADI 6.387, afirmou que o direito à proteção de dados pessoais é autônomo e essencial à dignidade da pessoa humana, com base no artigo 5º da Constituição Federal e na Convenção Americana de Direitos Humanos.

Essa decisão:

  • Alçou o direito à privacidade digital ao mesmo patamar de proteção de direitos como liberdade, igualdade e intimidade;

  • Fundamentou o controle judicial sobre políticas públicas e práticas empresariais que envolvem tratamento de dados;

  • Justificou a atuação proativa do Judiciário em casos de omissão legislativa ou risco sistêmico.

b) Expansão jurisprudencial dos direitos dos titulares

Diversos tribunais vêm ampliando o alcance dos direitos previstos na LGPD, por meio de decisões que:

  • Reconhecem o direito à exclusão de dados como forma de reparação integral (inclusive em mídias jornalísticas e redes sociais);

  • Estendem o dever de transparência para situações não previstas expressamente na LGPD (como uso de dados por algoritmos em recrutamento);

  • Interpretam o direito à portabilidade como mecanismo de concorrência saudável e liberdade contratual;

  • Atribuem responsabilidade civil por dano moral mesmo quando o impacto é subjetivo ou coletivo (exposição em massa, vazamento silencioso).

Essas decisões demonstram que os princípios da LGPD — como boa-fé, segurança, prevenção, não discriminação e responsabilidade — estão sendo usados como balizadores jurídicos legítimos no exame das condutas dos agentes de tratamento.

c) Aplicação subsidiária em áreas não regulamentadas

O Judiciário tem aplicado a LGPD de forma subsidiária em:

  • Relações de trabalho e dados de funcionários;

  • Ambientes educacionais, especialmente no uso de plataformas digitais;

  • Registros públicos e serviços cartorários;

  • Plataformas de comércio eletrônico e marketplaces.

Em muitos desses casos, a atuação judicial supri lacunas regulatórias e promove proteção efetiva, mesmo em ausência de regulamentação específica.

d) Desafios e limites do ativismo judicial

Embora tenha papel relevante, o ativismo judicial deve:

  • Ser compatível com o texto legal e os princípios constitucionais;

  • Evitar invasão indevida de competência normativa da ANPD ou do Legislativo;

  • Preservar a segurança jurídica, evitando decisões contraditórias e casuísticas;

  • Basear-se em evidências técnicas, impactos reais e escuta ativa dos titulares.

A atuação judicial precisa ser equilibrada, promovendo avanço dos direitos sem gerar incertezas regulatórias.

A LGPD é uma norma viva — e o Judiciário é um dos principais agentes de sua vitalização. Ao interpretar seus dispositivos com base nos valores constitucionais, os tribunais contribuem para construir uma cultura de proteção, responsabilidade e cidadania digital. A expansão dos direitos dos titulares não depende apenas da letra da lei, mas da sensibilidade institucional para os desafios do nosso tempo.

21.2. Ações Coletivas e Tutelas de Urgência

A proteção de dados pessoais, quando violada de forma ampla ou sistemática, pode gerar efeitos que transcendem o interesse individual — impactando grupos inteiros de titulares, categorias profissionais, comunidades vulneráveis ou mesmo a coletividade em geral. Nesses casos, o ordenamento jurídico prevê mecanismos específicos de responsabilização e reparação coletiva, por meio das chamadas ações civis públicas, ações coletivas e medidas de urgência previstas na legislação processual brasileira e na LGPD.

Esses instrumentos têm como objetivo ampliar o acesso à justiça, conter danos em tempo real e assegurar eficácia prática dos direitos fundamentais à privacidade e proteção de dados.

a) Legitimidade ativa para ações coletivas em LGPD

A LGPD admite atuação coletiva para defesa de interesses difusos, coletivos e individuais homogêneos, conforme previsto na Lei nº 7.347/1985 e no Código de Defesa do Consumidor (CDC).

Têm legitimidade para propositura de ações:

  • Ministério Público (MP): atuação institucional em nome da coletividade, inclusive em casos de relevância social ou impacto sistêmico;

  • Defensoria Pública: proteção de grupos vulneráveis e defesa de interesses sociais indisponíveis;

  • Associações civis legalmente constituídas, com finalidades ligadas à proteção de dados, privacidade, consumo ou direitos humanos (mínimo de um ano de existência);

  • Procons e entidades públicas de defesa do consumidor, em ações relativas ao uso indevido de dados em relações comerciais.

Esses entes podem propor ações preventivas, reparatórias ou sancionatórias, inclusive com pedido de tutela de urgência para suspensão de tratamentos ou bloqueio de dados.

b) Hipóteses de cabimento e escopo

As ações coletivas podem ser propostas em casos como:

  • Vazamento em massa de dados pessoais, por falha sistêmica ou ataque cibernético;

  • Uso indevido de dados sensíveis, com repercussões reputacionais ou discriminatórias;

  • Publicação indevida em plataformas digitais ou órgãos públicos, com exposição não autorizada;

  • Compartilhamento irregular com terceiros, sem base legal ou consentimento válido;

  • Políticas comerciais abusivas, como perfilamento sem transparência, negativa de crédito sem revisão ou publicidade invasiva.

O escopo da ação pode incluir responsabilização civil, sanções administrativas, medidas preventivas e compensações coletivas (como fundos, ações educativas ou reparações morais).

c) Tutela provisória e medidas urgentes

Diante da iminência ou continuidade do dano, é possível solicitar:

  • Suspensão imediata do tratamento em curso, especialmente em dados sensíveis;

  • Bloqueio ou exclusão de conteúdos divulgados indevidamente;

  • Comunicação obrigatória aos titulares afetados, com orientação preventiva;

  • Preservação de evidências técnicas, como logs, registros e relatórios internos;

  • Determinação judicial de informações, como base legal, contratos e políticas adotadas.

Essas medidas são solicitadas com base nos artigos 300 a 305 do Código de Processo Civil, e podem ser concedidas liminarmente, desde que preenchidos os requisitos de probabilidade do direito e risco de dano.

d) Benefícios e efeitos das ações coletivas

  • Ampliação do acesso à justiça, com defesa de grupos em situação desigual;

  • Unificação da jurisprudência, evitando decisões conflitantes em casos idênticos;

  • Maior força coercitiva e reputacional sobre infratores, com impacto público;

  • Reparação mais eficiente e racional, inclusive com cláusulas de acordo coletivo;

  • Estímulo à conformidade e à governança corporativa preventiva.

Esses mecanismos tornam a LGPD um instrumento de cidadania coletiva, e não apenas individual.

A proteção de dados é também uma pauta de interesse público — e o processo coletivo é sua ferramenta de transformação social. As ações coletivas e tutelas de urgência tornam possível proteger direitos em tempo real, responsabilizar agentes que violam a privacidade em escala e consolidar o poder do titular como sujeito de um direito fundamental dinâmico.

21.3. A Construção de um Precedente Brasileiro em Proteção de Dados

A consolidação da LGPD como instrumento normativo eficaz depende não apenas da sua aplicação administrativa e legislativa, mas também da formação de precedentes jurisprudenciais sólidos e coerentes. À medida que casos envolvendo proteção de dados chegam aos tribunais, o Judiciário brasileiro vem delineando parâmetros interpretativos, fixando teses vinculantes e orientando a conduta de empresas, órgãos públicos e titulares.

Essa construção jurisprudencial fortalece o reconhecimento da proteção de dados como direito fundamental, configura balizas para a atuação da ANPD e estabelece um padrão de responsabilidade e reparação compatível com os valores constitucionais da dignidade, intimidade e liberdade informacional.

a) Casos emblemáticos e precedentes formadores

Alguns julgados vêm desempenhando papel central na edificação do entendimento judicial sobre a LGPD:

  • STF — ADI 6.387 (2020): Reconhecimento da proteção de dados pessoais como direito fundamental autônomo, reforçando sua aplicação mesmo antes da vigência integral da LGPD.

  • STJ — REsp 1.894.805/SP: Reforço ao princípio da minimização no tratamento de dados bancários, afirmando que a coleta deve ser proporcional à finalidade.

  • TJSP — Ação contra operadora de telefonia (2022): Condenação por compartilhamento indevido de dados cadastrais com terceiros, mesmo sem dano material comprovado.

  • Decisões de varas cíveis e federais: Reconhecimento de dano moral por vazamento de dados sensíveis e ausência de transparência em políticas de privacidade.

Esses casos estabelecem fundamentos normativos e técnicos para a responsabilização civil, administrativa e contratual, e reforçam os princípios da boa-fé, prevenção e transparência.

b) Características do precedente nacional em dados

O modelo de precedente brasileiro apresenta as seguintes singularidades:

  • Interpretação principiológica e aberta da LGPD, com foco nos valores constitucionais e nos direitos do consumidor;

  • Integração da LGPD com o CDC, Marco Civil da Internet e Código Civil, criando um ecossistema normativo sinérgico;

  • Análise contextual e social dos impactos do tratamento indevido, considerando vulnerabilidade, assimetria informacional e impacto coletivo;

  • Adoção crescente da função preventiva da responsabilidade civil, com decisões que visam corrigir condutas e evitar reincidências.

Esse modelo promove uma jurisprudência educativa, restaurativa e estruturante, consolidando o papel pedagógico do Judiciário.

c) Efeitos estruturantes na regulação e conformidade

A construção de precedentes em proteção de dados gera efeitos práticos relevantes:

  • Orienta regulamentos e resoluções da ANPD, especialmente sobre sanções, dosimetria e base legal;

  • Influencia políticas públicas de transformação digital, com foco em respeito à privacidade;

  • Estabelece padrão jurisprudencial para medidas corretivas, como exclusão de dados, indenizações e revisão de algoritmos;

  • Estimula conformidade proativa por parte das empresas, ao tornar os riscos jurídicos mais tangíveis e previsíveis.

Com isso, o direito à proteção de dados sai do plano declaratório e passa a ter concretude institucional e social.

d) Desafios e perspectivas

Embora promissora, a construção de precedentes enfrenta desafios:

  • Fragmentação de entendimentos em instâncias inferiores, com decisões contraditórias ou mal fundamentadas;

  • Baixa uniformização entre tribunais, exigindo atuação de cortes superiores para pacificação;

  • Pouca divulgação dos precedentes relevantes, dificultando acesso e estudo por profissionais e titulares;

  • Necessidade de maior especialização em direito digital, proteção de dados e técnicas de avaliação de impacto.

A superação desses desafios depende da atuação conjunta de magistrados, ANPD, academia e sociedade civil.

A construção de precedentes é o alicerce silencioso da efetividade da LGPD. Cada decisão judicial que reconhece, protege e repara violações de dados contribui para consolidar um direito fundamental verdadeiramente aplicado. O Brasil está construindo sua própria jurisprudência em privacidade — reflexiva, dialógica e comprometida com a dignidade digital.

Conclusão da Parte IV

A análise de casos concretos evidencia que a LGPD está em processo de afirmação e consolidação, exigindo dos agentes de tratamento uma postura proativa e técnica. A jurisprudência nacional começa a refletir os princípios da proteção de dados como direitos fundamentais, e a ANPD assume protagonismo na regulação e fiscalização do setor. A adoção de boas práticas e o aprendizado com erros alheios são instrumentos indispensáveis para garantir segurança jurídica, preservar a reputação institucional e promover a confiança do titular.

Assuntos relacionados
LGPD - Lei Geral de Proteção de Dados (Lei 13.709)
Sobre o autor
Imagem do autor Wilton Magário Junior
Wilton Magário Junior

Wilton Magário Junior é um advogado de destaque em São Paulo, com ampla atuação nas áreas de Direito Tributário, Ambiental, Empresarial e Civil. Reconhecido por sua capacidade em enfrentar questões complexas do ordenamento jurídico brasileiro, Wilton construiu uma carreira marcada pela defesa de clientes em processos de alta relevância, figurando em centenas de demandas nos tribunais estaduais e federais. Sua expertise reside na interpretação e aplicação das normas tributárias e na proposição de soluções inovadoras em planejamento sucessório, inventários, reestruturações societárias e litígios empresariais. Além de sua prática advocatícia, Wilton destaca-se como um prolífico autor e comentarista jurídico, contribuindo de forma consistente para o debate acadêmico e profissional por meio de artigos e publicações em portais especializados – como o Jus.com.br – e participando ativamente de eventos e palestras promovidas por instituições jurídicas renomadas, como a AASP. Sua dedicação à prestação de um serviço jurídico altamente qualificado e seu compromisso com a modernização do Direito, por meio da utilização de tecnologias digitais e da assinatura eletrônica, refletem a visão de um profissional antenado às evoluções do contexto legal e econômico. Com carreira consolidada e participação expressiva em mais de 900 processos, Wilton Magário Junior é reconhecido não apenas por sua habilidade técnica e estratégica, mas também por sua postura ética e comprometida com a boa-fé processual. Sua trajetória é um exemplo de excelência e inovação, contribuindo para a evolução das práticas jurídicas e o acesso à Justiça no Brasil.

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Leia seus artigos favoritos sem distrações, em qualquer lugar e como quiser

Assine o JusPlus e tenha recursos exclusivos

  • Baixe arquivos PDF: imprima ou leia depois
  • Navegue sem anúncios: concentre-se mais
  • Esteja na frente: descubra novas ferramentas
Economize 17%
Logo JusPlus
JusPlus
de R$
29,50
por

R$ 2,95

No primeiro mês

Cobrança mensal, cancele quando quiser
Assinar
Já é assinante? Faça login
Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!
Colabore
Publique seus artigos
Fique sempre informado! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos