Os Capítulos VI e VII da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) estabelecem o arcabouço normativo sobre os agentes de tratamento de dados pessoais, suas obrigações, responsabilidades e os mecanismos de segurança e governança que devem implementar. Estes capítulos são fundamentais para compreender a estrutura operacional da LGPD e como ela distribui deveres e responsabilidades entre os diversos atores que manipulam dados pessoais.

A LGPD define três figuras centrais: o controlador, o operador e o encarregado (também conhecido pela sigla em inglês DPO – Data Protection Officer). Cada um possui papéis e responsabilidades específicas na cadeia de tratamento de dados pessoais.

A correta identificação de quem é controlador e quem é operador em cada operação de tratamento é fundamental para definir responsabilidades, obrigações de conformidade e eventual responsabilização em caso de violações à LGPD.

Controlador e Operador: Conceitos Fundamentais

Segundo o artigo 5º da LGPD:

Uma mesma entidade pode atuar como controladora em determinadas operações e como operadora em outras, dependendo do contexto e do grau de autonomia decisória que possui em cada situação específica.

Obrigação de Registro das Operações de Tratamento

O artigo 37 estabelece obrigação fundamental:

“O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”.

Este registro funciona como um inventário detalhado de todas as atividades de tratamento de dados, incluindo:

• Quais dados são coletados
• Finalidades do tratamento
• Categorias de titulares
• Categorias de destinatários dos dados
• Prazos de retenção
• Medidas de segurança implementadas
• Base legal utilizada

A LGPD enfatiza especialmente o registro quando o tratamento for baseado em legítimo interesse (art. 7º, IX e art. 10, II). Esta base legal exige maior transparência e accountability, pois não depende do consentimento do titular, exigindo que o controlador demonstre que suas operações atendem aos requisitos legais.

Conforme orientações da ANPD, “o registro de operações de tratamento é um instrumento fundamental de accountability, permitindo demonstrar a conformidade com a LGPD e facilitando a fiscalização e auditorias” 

Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

O artigo 38 confere à ANPD competência para determinar a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), inspirado no Data Protection Impact Assessment (DPIA) do GDPR europeu.

Quando é Necessário Elaborar o RIPD

Segundo orientações da ANPD, o RIPD deve ser produzido “sempre que o tratamento de dados pessoais possa gerar alto risco à garantia dos princípios gerais da LGPD, à titularidade de direitos ou à liberdade individual dos titulares” 

Situações que tipicamente demandam RIPD incluem:

• Tratamento em larga escala de dados sensíveis (art. 5º, II da LGPD)
• Uso de tecnologias emergentes (inteligência artificial, reconhecimento facial)
• Tomada de decisões automatizadas com efeitos jurídicos ou significativos
• Monitoramento sistemático de áreas de acesso público
• Avaliação de aspectos pessoais mediante processamento automatizado (profiling)
• Tratamento de dados de crianças e adolescentes em larga escala

Conteúdo Mínimo do RIPD

O parágrafo único do art. 38 estabelece que o RIPD deverá conter, no mínimo:

I – Descrição dos tipos de dados coletados: Identificação clara e específica de quais categorias de dados pessoais serão tratadas, distinguindo dados pessoais comuns de dados sensíveis.

II – Metodologia utilizada para coleta e garantia de segurança: Explicação detalhada sobre como os dados serão coletados (diretamente do titular, por terceiros, por meio de observação, etc.) e quais medidas técnicas e organizacionais serão adotadas para protegê-los.

III – Análise de medidas, salvaguardas e mecanismos de mitigação de risco: Avaliação dos riscos identificados e das medidas implementadas para reduzi-los a níveis aceitáveis.

O RIPD deve observar segredos comercial e industrial, não exigindo divulgação de informações estratégicas ou proprietárias da organização.

Segundo especialistas, “a ANPD recomendou a elaboração do RIPD antes do início do tratamento de dados, justamente para que seja viável uma verificação prévia dos riscos e a implementação de medidas preventivas” 

A LGPD não determina, como regra geral, o encaminhamento automático do RIPD à ANPD. O relatório deve ser mantido pelo controlador e apresentado à autoridade quando solicitado ou nas hipóteses previstas em regulamentação específica 

Relação Entre Controlador e Operador

O artigo 39 estabelece claramente a dinâmica entre controlador e operador:

“O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria”.

Esta redação consagra três princípios fundamentais:

Padrões de Interoperabilidade e Tempo de Guarda

O artigo 40 confere à ANPD competência para dispor sobre:

• Padrões de interoperabilidade: Para fins de portabilidade e livre acesso aos dados
• Segurança: Estabelecimento de requisitos técnicos mínimos
• Tempo de guarda dos registros: Definição de prazos de retenção adequados

Esta competência visa harmonizar práticas de mercado e facilitar o exercício dos direitos dos titulares, especialmente o direito à portabilidade (art. 18, V) e ao acesso (art. 18, II).

O Encarregado de Dados Pessoais (DPO)

O artigo 41 estabelece a obrigação do controlador de indicar encarregado pelo tratamento de dados pessoais. Esta figura representa uma inovação significativa no ordenamento jurídico brasileiro.

Natureza Jurídica e Nomeação

Conforme o art. 5º, VIII da LGPD, o encarregado é “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

O encarregado pode ser pessoa física ou jurídica. Pode ser funcionário da organização (interno) ou prestador de serviços externo, desde que possua conhecimentos especializados em proteção de dados e possa desempenhar suas funções com independência 

Divulgação Pública

O §1º do art. 41 determina que “a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador”.

Esta divulgação é essencial para que titulares possam exercer seus direitos e para que a ANPD possa estabelecer comunicação direta com o responsável pela proteção de dados na organização.

A divulgação deve incluir minimamente: nome completo (se pessoa física) ou razão social (se pessoa jurídica), endereço de e-mail específico para questões de proteção de dados, e preferencialmente telefone e endereço físico.

Atribuições do Encarregado

O §2º do art. 41 enumera as atividades do encarregado:

I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências:

O encarregado é o primeiro ponto de contato para titulares que desejam exercer seus direitos (acesso, correção, eliminação, portabilidade, etc.) ou apresentar reclamações sobre o tratamento de seus dados. Deve responder de forma tempestiva e adequada.

II – Receber comunicações da autoridade nacional e adotar providências:

O encarregado é o interlocutor oficial entre a organização e a ANPD, recebendo notificações, solicitações de informações, determinações e outras comunicações oficiais, devendo dar encaminhamento apropriado.

III – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados:

Função educativa e de disseminação da cultura de proteção de dados na organização. O encarregado deve promover treinamentos, elaborar ou supervisionar políticas internas e orientar sobre boas práticas.

IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares:

Cláusula aberta que permite ao controlador e à ANPD (via regulamentação) estabelecer atribuições adicionais conforme as necessidades específicas da organização ou do setor.

Segundo o Guia de Atuação do Encarregado elaborado pela ANPD, “o encarregado deve ter independência para realizar suas atividades e não pode sofrer penalização em razão do exercício de suas funções relacionadas à proteção de dados” 

Dispensa de Indicação do Encarregado

O §3º do art. 41 prevê que “a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”.

Esta previsão reconhece que a obrigação de nomear encarregado pode ser desproporcional para microempresas, pequenos negócios ou entidades que realizam tratamento mínimo e de baixo risco de dados pessoais.

Até o momento, a ANPD ainda não regulamentou de forma definitiva as hipóteses de dispensa, mas existem propostas de regulamentação em discussão que consideram critérios como receita bruta anual, número de empregados e volume/natureza dos dados tratados 

Regime de Responsabilidade Civil

A Seção III do Capítulo VI estabelece o regime de responsabilidade dos agentes de tratamento por danos causados em violação à LGPD.

Responsabilidade Objetiva com Possibilidade de Exclusão

O artigo 42 consagra um regime híbrido: estabelece responsabilidade objetiva (independente de culpa) para controladores e operadores, mas permite excludentes de responsabilidade mediante prova.

Caput do art. 42: “O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.

A responsabilização abrange:

• Danos patrimoniais: Prejuízos econômicos mensuráveis (perda de oportunidades, custos com reparação de fraudes, etc.)
• Danos morais: Lesões a direitos da personalidade, como privacidade, intimidade, honra e imagem
• Danos individuais: Afetando titular específico
• Danos coletivos: Afetando grupos ou coletividades de titulares

A caracterização do dano moral nem sempre exige comprovação de prejuízo concreto. O STJ tem construído jurisprudência específica sobre o tema, reconhecendo que em certas situações de violação grave à proteção de dados, o dano moral pode ser presumido.

Recentemente, o Superior Tribunal de Justiça decidiu que “a disponibilização indevida de informações pessoais em banco de dados para terceiros gera dano moral presumido” 

Responsabilidade Solidária

O §1º do art. 42 estabelece dois casos de responsabilidade solidária:

I – Solidariedade do Operador:

“O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei”.

Normalmente, o operador responde subsidiariamente, pois atua sob instruções do controlador. Porém, responderá solidariamente (em pé de igualdade com o controlador) em duas hipóteses:

Na segunda hipótese, há verdadeira “equiparação” do operador ao controlador, pois agiu com autonomia decisória.

II – Solidariedade entre Controladores:

“Os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei”.

Quando múltiplos controladores participam de uma mesma cadeia de tratamento que gera danos, todos respondem solidariamente, permitindo ao titular acionar qualquer um deles pela integralidade do dano.

A solidariedade beneficia o titular, que pode cobrar a reparação integral de qualquer um dos responsáveis, sem precisar litisconsórcio necessário. Posteriormente, conforme o §4º do art. 42, “aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso”.

Excludentes de Responsabilidade

O artigo 43 enumera três situações em que os agentes de tratamento não serão responsabilizados:

I – Não realização do tratamento:

“que não realizaram o tratamento de dados pessoais que lhes é atribuído”

Se o agente demonstrar que não realizou a operação de tratamento que supostamente causou o dano, estará excluída sua responsabilidade. O ônus da prova é do agente.

II – Tratamento conforme à LGPD:

“que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados”

Ainda que tenha havido o tratamento e o dano, se o agente provar que agiu em conformidade com a LGPD (observou base legal adequada, princípios, direitos dos titulares, medidas de segurança), não haverá responsabilização.

III – Culpa exclusiva do titular ou de terceiro:

“que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro”

Se o dano resultar exclusivamente de conduta do próprio titular (por exemplo, compartilhar suas senhas) ou de terceiro (ataque hacker sofisticado contra o qual todas as medidas razoáveis de segurança eram insuficientes), exclui-se a responsabilidade do agente.

A jurisprudência tem entendido que, “mesmo em caso de vazamento de dados pessoais não sensíveis decorrentes de ataque hacker, o agente de tratamento de dados permanece sujeito às obrigações previstas no art. 19, II da LGPD” ou seja, deve adotar medidas de segurança compatíveis com o estado da técnica.

A simples alegação de ataque cibernético não configura automaticamente culpa exclusiva de terceiro se o agente não implementou medidas de segurança adequadas.

Inversão do Ônus da Prova

O §2º do art. 42 estabelece importante mecanismo de proteção ao titular:

“O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa”.

Esta previsão dialoga diretamente com o Código de Defesa do Consumidor (art. 6º, VIII) e reconhece três fundamentos para inversão:

1. Verossimilhança: Quando as alegações do titular parecerem plausíveis e coerentes
2. Hipossuficiência: Quando o titular não possuir meios técnicos ou econômicos para produzir a prova
3. Onerosidade excessiva: Quando a produção da prova pelo titular for desproporcionalmente custosa ou complexa

O STJ já consolidou entendimento de que “cabe ao fornecedor o ônus de comprovar que cumpriu com seu dever de proteger dados pessoais do consumidor, sobretudo quando se tratam de dados sensíveis ou quando há relação de consumo” 

Ações Coletivas

O §3º do art. 42 expressamente autoriza ações coletivas para reparação de danos, observando legislação pertinente (Lei nº 7.347/85 – Lei da Ação Civil Pública, Lei nº 8.078/90 – CDC, Lei nº 13.105/15 – CPC).

Esta previsão é fundamental quando violações à LGPD afetam coletivamente milhares ou milhões de titulares (como em casos de vazamentos massivos de dados).

Tratamento Irregular de Dados

O artigo 44 define quando o tratamento de dados pessoais será considerado irregular:

“O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I – o modo pelo qual é realizado;
II – o resultado e os riscos que razoavelmente dele se esperam;
III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.”

Este dispositivo estabelece um padrão objetivo de segurança esperada, considerando o estado da técnica à época do tratamento. Não basta cumprir formalmente a legislação; é necessário proporcionar segurança compatível com as expectativas legítimas do titular e com as possibilidades técnicas disponíveis.

O parágrafo único reforça: “Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano”.

Relações de Consumo

O artigo 45 estabelece diálogo normativo importante:

“As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente”.

Isto significa que quando o tratamento de dados ocorrer em contexto de relação de consumo (definida pelo CDC), aplicam-se cumulativamente as proteções da LGPD e do CDC, prevalecendo a norma mais favorável ao consumidor/titular.

OBSERVAÇÃO IMPORTANTE: Em relações de consumo, a responsabilidade tende a ser objetiva e solidária em toda a cadeia de fornecimento (art. 12 a 14 e 18 a 25 do CDC), podendo ser mais rigorosa que o regime da LGPD.

Segurança e Sigilo de Dados

O Capítulo VII inicia com dispositivo fundamental: o artigo 46.

“Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Medidas de Segurança

As medidas de segurança dividem-se em:

Medidas Técnicas:

• Criptografia de dados em trânsito e em repouso
• Controles de acesso (autenticação multifator, gestão de privilégios)
• Firewalls, sistemas de detecção e prevenção de intrusões
• Backups regulares e planos de recuperação de desastres
• Anonimização e pseudonimização quando possível
• Segurança de rede e segregação de ambientes

Medidas Administrativas:

• Políticas de segurança da informação
• Treinamento e conscientização de colaboradores
• Gestão de incidentes de segurança
• Controles de acesso físico
• Cláusulas contratuais de proteção de dados com fornecedores
• Auditorias e avaliações periódicas de segurança

O §1º do art. 46 confere à ANPD competência para “dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis”.

Privacy by Design e Privacy by Default

O §2º do art. 46 consagra os princípios de Privacy by Design (privacidade desde a concepção) e Privacy by Default (privacidade por padrão):

“As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução”.

Isto significa que a proteção de dados não pode ser uma preocupação posterior ou acessória. Deve estar incorporada desde o projeto inicial de produtos, serviços, sistemas e processos.

OBSERVAÇÃO: Este conceito foi desenvolvido pela especialista canadense Ann Cavoukian e representa mudança de paradigma: de proteção reativa para proteção proativa.

Dever de Sigilo Continuado

O artigo 47 estabelece obrigação que persiste mesmo após o término do tratamento:

“Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término”.

Este dever de sigilo é:

• Amplo: Atinge não apenas controladores e operadores, mas “qualquer outra pessoa” que intervenha no tratamento
• Duradouro: Persiste mesmo após o término da relação contratual ou do tratamento
• Irrenunciável: Não pode ser afastado por vontade das partes

Ex-funcionários, prestadores de serviços que encerraram contratos, e qualquer pessoa que tenha tido acesso a dados pessoais em razão de sua participação em operações de tratamento permanece obrigada ao sigilo.

Comunicação de Incidentes de Segurança

O artigo 48 estabelece obrigação crucial: comunicação de incidentes de segurança.

Obrigação de Comunicar

“O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”.

Incidente de segurança é qualquer evento adverso confirmado, relacionado à segurança da informação, que resulte em acesso não autorizado, destruição, perda, alteração ou divulgação de dados pessoais.

OBSERVAÇÃO IMPORTANTE: A obrigação de comunicar surge quando o incidente “possa acarretar risco ou dano relevante”. Incidentes menores, que não representem risco significativo, não demandam notificação.

Prazo e Conteúdo da Comunicação

O §1º do art. 48 estabelece que “a comunicação será feita em prazo razoável, conforme definido pela autoridade nacional”. A ANPD ainda não regulamentou especificamente este prazo, mas a prática internacional (GDPR europeu) adota 72 horas após a ciência do incidente.

A comunicação deverá mencionar, no mínimo:

I – Descrição da natureza dos dados pessoais afetados:
Identificar se são dados comuns ou sensíveis, quais categorias (nome, CPF, endereço, dados financeiros, dados de saúde, etc.).

II – Informações sobre os titulares envolvidos:
Quantos titulares foram afetados, suas características (se relevante), sem identificá-los individualmente na comunicação pública.

III – Indicação das medidas técnicas e de segurança utilizadas:
Descrever as medidas de proteção que estavam implementadas, observando segredos comercial e industrial (sem revelar detalhes que possam comprometer a segurança remanescente).

IV – Riscos relacionados ao incidente:
Avaliação dos potenciais impactos para os titulares (risco de fraude, discriminação, danos reputacionais, etc.).

V – Motivos da demora:
Caso a comunicação não seja imediata, explicar as razões (necessidade de investigação inicial, dimensionamento do incidente, etc.).

VI – Medidas para reverter ou mitigar efeitos:
Ações já adotadas ou planejadas para minimizar prejuízos (bloqueio de acessos, reforço de segurança, oferta de serviços de monitoramento de crédito, etc.).

Providências da ANPD

O §2º confere à ANPD poder de determinar providências adicionais quando avaliar a gravidade do incidente:

I – Ampla divulgação do fato em meios de comunicação:
Para que titulares potencialmente afetados tomem conhecimento e adotem medidas de autoproteção.

II – Medidas para reverter ou mitigar efeitos:
Determinação de ações específicas que o controlador deve implementar.

Avaliação da Gravidade

O §3º estabelece que “no juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los”.

Se os dados vazados estavam adequadamente criptografados, tornando-os ininteligíveis para quem os acessou indevidamente, a gravidade do incidente será significativamente menor. A criptografia funciona como atenuante importante na avaliação da ANPD e na eventual aplicação de sanções.

Requisitos dos Sistemas de Tratamento

O artigo 49 estabelece padrão geral para sistemas utilizados no tratamento:

“Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares”.

Este dispositivo exige que sistemas de informação sejam desenvolvidos ou configurados considerando:

• Princípios da LGPD (art. 6º: finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação e accountability)
• Requisitos de segurança (art. 46)
• Padrões de boas práticas e governança (art. 50)
• Normas regulamentares da ANPD

Boas Práticas e Governança

A Seção II do Capítulo VII incentiva a adoção voluntária de programas de governança em privacidade e proteção de dados.

Regras de Boas Práticas

O artigo 50 faculta aos controladores e operadores, individualmente ou por meio de associações setoriais, formular regras de boas práticas e de governança que estabeleçam:

• Condições de organização e regime de funcionamento
• Procedimentos, incluindo reclamações e petições de titulares
• Normas de segurança e padrões técnicos
• Obrigações específicas para diversos envolvidos
• Ações educativas
• Mecanismos internos de supervisão e mitigação de riscos
• Outros aspectos relacionados ao tratamento

OBSERVAÇÃO: O §3º prevê que estas regras “deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional”.

O reconhecimento pela ANPD confere legitimidade e pode ser considerado favoravelmente em processos de fiscalização e aplicação de sanções.

Programa de Governança em Privacidade

O §2º do art. 50 detalha requisitos mínimos de um programa de governança em privacidade, que deve:

a) Demonstrar comprometimento do controlador:
Com processos e políticas que assegurem cumprimento abrangente da LGPD.

b) Ser aplicável a todo conjunto de dados sob controle:
Independentemente do modo de coleta.

c) Ser adaptado à estrutura, escala e volume:
Proporcional ao porte da organização e sensibilidade dos dados.

d) Estabelecer políticas baseadas em avaliação sistemática de impactos e riscos:
Implementação de avaliações periódicas de riscos à privacidade (como o RIPD).

e) Estabelecer relação de confiança com o titular:
Por meio de transparência e mecanismos de participação.

f) Estar integrado à estrutura geral de governança:
Com mecanismos de supervisão internos e externos.

g) Contar com planos de resposta a incidentes:
Preparação para gerenciar e remediar incidentes de segurança.

h) Ser atualizado constantemente:
Com base em monitoramento contínuo e avaliações periódicas.

O inciso II do §2º permite ao controlador demonstrar a efetividade do programa, especialmente quando solicitado pela ANPD ou entidades certificadoras. Esta demonstração pode ser fator atenuante em processos administrativos sancionadores.

Estímulo a Padrões Técnicos

O artigo 51 encerra o capítulo estabelecendo que “a autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais”.

Este dispositivo visa promover desenvolvimento de tecnologias e interfaces que empoderem os titulares, facilitando o exercício de direitos como acesso, portabilidade, correção e eliminação de dados.

Recomendações para Concursos Públicos

Para candidatos que estudam para concursos públicos, recomenda-se atenção especial aos seguintes pontos:

Conceitos Fundamentais

1. Distinção entre controlador e operador: Decorar as definições legais e compreender a diferença na autonomia decisória
2. Atribuições do encarregado (DPO): Memorizar os quatro incisos do §2º do art. 41
3. Conteúdo mínimo do RIPD: Saber os três elementos do parágrafo único do art. 38
4. Excludentes de responsabilidade: Decorar as três hipóteses do art. 43

Regime de Responsabilidade

5. Responsabilidade solidária: Compreender quando operador e controlador respondem solidariamente
6. Inversão do ônus da prova: Saber os três fundamentos (verossimilhança, hipossuficiência, onerosidade)
7. Direito de regresso: Entender o mecanismo do §4º do art. 42

Segurança e Incidentes

8. Medidas de segurança: Distinguir medidas técnicas e administrativas
9. Privacy by design: Compreender o princípio consagrado no §2º do art. 46
10. Comunicação de incidentes: Memorizar os seis elementos mínimos da comunicação (art. 48, §1º)

Boas Práticas

11. Programa de governança: Conhecer os oito requisitos mínimos (art. 50, §2º, I)
12. Registro de operações: Compreender a obrigação do art. 37, especialmente para legítimo interesse

Questões Práticas

13. Diálogo com CDC: Compreender que em relações de consumo aplicam-se cumulativamente LGPD e CDC
14. Tratamento irregular: Entender o conceito de segurança esperada considerando o estado da técnica (art. 44)
15. Dever de sigilo: Saber que persiste mesmo após término do tratamento (art. 47)

Os Capítulos VI e VII da LGPD estabelecem o regime operacional e de responsabilidade que viabiliza a efetividade da lei. Sem compreender adequadamente os papéis de controlador, operador e encarregado, bem como o regime de responsabilidade civil e as obrigações de segurança, não é possível dominar a LGPD em sua integralidade. Estes capítulos são frequentemente cobrados em concursos públicos, especialmente em questões que exigem aplicação prática dos conceitos a casos concretos.