REGISTRO DOI: 10.69849/revistaft/ch10202511140550
Breno Cordeiro de Oliveira
Guilherme Ferreira dos Santos
Orientador: Raphael de Souza Almeida Santos
Resumo: O avanço tecnológico e a digitalização das relações sociais e econômicas ampliaram o tratamento de dados pessoais, exigindo instrumentos legais que conciliem inovação e proteção de direitos fundamentais. Nesse cenário, a Lei Geral de Proteção de Dados (Lei n.º 13.709/2018 – LGPD), inspirada no Regulamento Europeu GDPR, estabelece diretrizes sobre coleta, uso e armazenamento de informações pessoais, impondo deveres de segurança, transparência e consentimento. Embora de natureza predominantemente administrativa e civil, a LGPD repercute diretamente no âmbito penal, pois condutas como vazamentos, acessos indevidos ou comercialização ilícita de dados podem configurar crimes previstos no Código Penal, como invasão de dispositivo informático, fraude eletrônica e estelionato. Assim, a lei inaugura um novo paradigma jurídico, fortalecendo a responsabilização criminal de agentes que violem normas de segurança informacional. O estudo analisa as interfaces entre a LGPD e o Direito Penal, discutindo lacunas legislativas, hipóteses de crimes omissivos impróprios e a necessidade de atualização normativa diante das novas formas de criminalidade digital. Reconhecida pelo Supremo Tribunal Federal como direito fundamental, a proteção de dados reforça a centralidade da privacidade na era tecnológica. O trabalho, portanto, busca compreender como a LGPD influencia a tutela penal dos dados, promovendo um equilíbrio entre inovação tecnológica, ética e responsabilidade jurídica.
Palavras-chave: LGPD; GDPR; proteção de dados; direito penal; privacidade; responsabilidade jurídica; crimes digitais; segurança informacional.
ABSTRACT
Technological advancements and the digitalization of social and economic relations have expanded the processing of personal data, requiring legal instruments that balance innovation with the protection of fundamental rights. In this context, the General Data Protection Law (Law No. 13,709/2018 – LGPD), inspired by the European GDPR Regulation, establishes guidelines for the collection, use, and storage of personal information, imposing obligations of security, transparency, and consent. Although predominantly administrative and civil in nature, the LGPD has direct repercussions in the criminal sphere, as conduct such as data leaks, unauthorized access, or the illicit commercialization of data can constitute crimes under the Penal Code, such as hacking into a computer device, electronic fraud, and fraud. Thus, the law ushers in a new legal paradigm, strengthening the criminal liability of those who violate information security standards. This study analyzes the interfaces between the LGPD and Criminal Law, discussing legislative gaps, hypotheses of improper crimes of omission, and the need for regulatory updates in light of new forms of digital crime. Recognized by the Supreme Federal Court as a fundamental right, data protection reinforces the centrality of privacy in the technological age. This paper, therefore, seeks to understand how the LGPD influences criminal data protection, promoting a balance between technological innovation, ethics, and legal responsibility.
Keywords: LGPD; GDPR; data protection; criminal law; privacy; legal responsibility; digital crimes; information security.
1 INTRODUÇÃO
O avanço tecnológico nas últimas décadas transformou profundamente a sociedade contemporânea, impactando desde as relações sociais até a organização das atividades econômicas e jurídicas. A digitalização de serviços, o uso massivo da internet e a expansão das plataformas digitais possibilitaram o compartilhamento e o tratamento de grandes volumes de informações pessoais, esse cenário, embora promissor em termos de eficiência e inovação, trouxe também novos riscos e vulnerabilidades, especialmente no que se refere à privacidade e à segurança dos dados. Diante disso, emergiu a necessidade de criação de instrumentos normativos capazes de assegurar o equilíbrio entre desenvolvimento tecnológico e proteção de direitos fundamentais, notadamente o direito à intimidade e à autodeterminação informacional.
Nesse contexto, o Brasil promulgou a Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados -LGPD), inspirada no Regulamento (UE) 2016/679, conhecido como General Data Protection Regulation (GDPR), vigente na União Europeia. Ambas as legislações representam marcos regulatórios destinados a disciplinar a coleta, o armazenamento e o uso de dados pessoais, impondo deveres de transparência, segurança e consentimento informado aos agentes que tratam essas informações. O principal objetivo dessas normas é garantir que o avanço tecnológico ocorra de forma ética, preservando os direitos dos titulares e responsabilizando os agentes que descumprirem as regras de tratamento e proteção.
A questão central que se coloca neste estudo é compreender como a LGPD, além de sua dimensão administrativa e civil, pode influenciar o campo jurídico-penal brasileiro. Com a crescente dependência das tecnologias digitais e a consequente exposição de dados pessoais, surgem situações em que o descumprimento das normas de proteção informacional extrapola o âmbito administrativo, alcançando a esfera criminal. Casos de vazamentos, acessos indevidos, manipulação ou comercialização ilícita de informações podem configurar crimes previstos no Código Penal, como invasão de dispositivo informático, estelionato ou fraude eletrônica, entre outros. Assim, ainda que a LGPD não estabeleça tipos penais próprios, sua aplicação prática dialoga diretamente com o Direito Penal, redefinindo responsabilidades e exigindo novas interpretações sobre condutas lesivas no ambiente digital.
O estudo parte da hipótese de que a LGPD introduziu um novo paradigma jurídico, influenciando a responsabilização penal de agentes que violem normas de segurança e privacidade de dados. Ao exigir padrões rigorosos de governança informacional, a lei reforça o dever de cautela e cria uma base normativa capaz de fundamentar a imputação de responsabilidade criminal em situações de omissão, negligência ou dolo na gestão de informações pessoais. A interação entre a LGPD e o Código Penal Brasileiro, especialmente nos casos de crimes omissivos impróprios, demonstra o avanço da proteção jurídica dos dados como um desdobramento natural da tutela dos direitos fundamentais.
O tema revela-se de extrema relevância social e acadêmica, uma vez que o Supremo Tribunal Federal reconheceu, em 2020, a proteção de dados pessoais como direito fundamental implícito na Constituição Federal, essa decisão evidencia a centralidade da privacidade e da segurança informacional na era digital e reforça a importância de compreender os efeitos da LGPD no sistema penal. Além disso, as consequências jurídicas das violações de dados envolvem não apenas a imposição de sanções administrativas – como multas que podem atingir até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração -, mas também potenciais repercussões penais, especialmente quando há dolo ou grave negligência no tratamento das informações.
Diante desse cenário, este trabalho tem como objetivo geral examinar os efeitos diretos e indiretos da LGPD sobre o sistema penal brasileiro, investigando de que maneira a legislação de proteção de dados pode resultar em responsabilizações criminais. Como objetivos específicos, busca-se: identificar desafios tecnológicos e lacunas de segurança que comprometem a efetividade da proteção de dados; explorar a interação entre a LGPD e o Direito Penal, destacando as possíveis tipificações penais decorrentes de violações; e, por fim, analisar os desafios que permeiam esse cenário.
A relevância deste estudo justifica-se pela necessidade de compreender os reflexos da LGPD na responsabilização jurídica de condutas relacionadas à violação de dados pessoais, sobretudo em uma era em que as informações digitais se tornaram um ativo de alto valor econômico e estratégico. Ao discutir os limites e possibilidades do enquadramento penal de infrações ligadas à proteção de dados, o trabalho contribui para o debate acadêmico e institucional sobre a adequação do sistema jurídico brasileiro às exigências da sociedade digital.
2 TECNOLOGIA, DIREITO E PROTEÇÃO DE DADOS PESSOAIS
2.1 A proteção de dados como direito fundamental
A consagração da proteção de dados como direito fundamental está diretamente ligada à evolução do conceito de privacidade e às transformações estruturais da sociedade da informação. Nesse sentido, segundo Chaves, Sá e Janini, o direito à privacidade, originalmente compreendido como o “direito de ser deixado em paz”, formulado por Warren e Brandeis no final do século XIX, ganhou novas dimensões à medida que as tecnologias de informação e comunicação se tornaram parte essencial da vida social. Os referidos autores apontam que o avanço tecnológico exigiu uma releitura constante desse direito, especialmente quando as informações pessoais passaram a ser objeto de coleta, armazenamento e circulação em escala massiva. Nesse contexto, a proteção de dados emerge como um desdobramento da privacidade, com núcleo próprio e finalidade distinta, enquanto a privacidade protege a intimidade, a proteção de dados tutela a informação relacionada ao indivíduo, garantindo-lhe controle e autodeterminação informacional (Chaves; Sá; Janini, 2024)
Tal diferenciação proposta pelos autores é essencial para compreender o caráter autônomo da proteção de dados no ordenamento jurídico contemporâneo. A privacidade, em sua concepção clássica, vinculava-se à defesa da vida íntima e familiar, resguardando o indivíduo de intromissões indevidas. No entanto, o tratamento de dados pessoais introduziu um novo tipo de vulnerabilidade, a possibilidade de manipulação e uso indevido de informações que, embora públicas ou compartilhadas, pertencem à esfera da identidade pessoal. Conforme enfatizam Chaves, Sá e Janini, a proteção de dados deve ser entendida como um direito de terceira geração, destinado a assegurar o equilíbrio entre o progresso tecnológico e a preservação da dignidade humana, constituindo uma salvaguarda necessária em face das novas formas de controle e vigilância que caracterizam a sociedade digital (Chaves; Sá; Janini, 2024)
Polimeno e Matos (2024) aprofundam essa compreensão ao demonstrar que a privacidade e a proteção de dados representam construções históricas em constante mutação, determinadas por fatores culturais, jurídicos e tecnológicos. A passagem da era industrial para a era informacional alterou o modo como o indivíduo se relaciona com sua própria intimidade e com o espaço público. Os autores destacam que, na infosfera, o fluxo de dados torna-se incontrolável e contínuo, o que transforma a proteção da privacidade em um desafio sistêmico. Nesse sentido, a proteção de dados se insere como mecanismo indispensável para garantir o exercício da autonomia pessoal e a preservação da identidade digital, sendo um instrumento de justiça informacional que assegura o equilíbrio entre liberdade individual e interesses coletivos (Polimeno; Matos, 2024)
A noção de proteção de dados como direito fundamental também se vincula ao reconhecimento internacional de que o controle sobre informações pessoais é elemento indissociável da liberdade. Nesse ínterim, conforme expõem Mello et al. (2025), tanto a LGPD brasileira quanto o Regulamento Geral Europeu (GDPR) partem da premissa de que a proteção de dados deve ser compreendida como um direito fundamental de todos os cidadãos, baseado nos valores da dignidade, liberdade e igualdade. A análise comparativa apresentada pelos autores evidencia que, embora ambos os diplomas compartilhem princípios como finalidade, transparência e necessidade, a aplicação da LGPD encontra obstáculos específicos no Brasil, especialmente pela imaturidade institucional e pelas diferenças culturais em relação à proteção da privacidade. Ainda assim, a lei representa um avanço histórico, ao afirmar que a tutela dos dados pessoais é expressão direta dos direitos humanos e da cidadania digital.
Tal interpretação dialoga com a perspectiva de Souza (2025), para quem a promulgação da LGPD em 2018, e sua efetividade a partir de 2020, elevou o debate sobre privacidade a um novo patamar normativo e ético, o autor ressalta que a lei brasileira consolida um regime de garantias que vai além da proteção individual, ao impor às empresas e ao Estado deveres objetivos de segurança, transparência e responsabilidade no tratamento das informações. Ao reconhecer os dados pessoais como extensão da personalidade e expressão da liberdade, a LGPD se insere na lógica dos direitos fundamentais previstos no artigo 5º da Constituição Federal, tornando-se instrumento de efetivação da dignidade da pessoa humana e de equilíbrio nas relações digitais.
Do ponto de vista técnico e organizacional, Zaguir (2024) argumenta que o reconhecimento da proteção de dados como direito fundamental requer uma governança efetiva das informações. Em sua tese, o autor demonstra que a conformidade com o GDPR e a LGPD demanda não apenas adequações jurídicas, mas também uma reestruturação dos processos internos das organizações, de modo que os direitos dos titulares sejam plenamente respeitados, essa governança, segundo ele, implica práticas contínuas de transparência, consentimento informado e rastreabilidade dos fluxos informacionais, constituindo a base prática para a concretização do direito à proteção de dados. Assim, a efetividade desse direito não se resume ao plano normativo, mas depende da internalização de uma cultura organizacional voltada à proteção da privacidade como valor ético e jurídico central.
Além disso, Zaguir observa que a proteção de dados ocupa um papel estratégico na governança das democracias contemporâneas. Isto porque, o tratamento ético das informações pessoais fortalece a confiança entre indivíduos, instituições e o poder público, evitando práticas abusivas de monitoramento e discriminação algorítmica. Desse modo, o direito fundamental à proteção de dados não se limita à esfera individual, mas constitui um pilar da cidadania e da soberania informacional, permitindo que o indivíduo exerça controle sobre o modo como é representado e avaliado no espaço digital (Zaguir, 2024)
A leitura integrada dessas obras evidencia que a proteção de dados, hoje, transcende a mera salvaguarda da intimidade: ela constitui instrumento de preservação da identidade, da autonomia e da dignidade da pessoa humana em um ambiente de constante vigilância tecnológica.
2.2 A Lei Geral de Proteção de Dados (LGPD) no Brasil
A promulgação da Lei nº 13.709/2018 – a Lei Geral de Proteção de Dados (LGPD) -representou um marco histórico na regulamentação da privacidade e do tratamento de dados pessoais no Brasil. Inspirada no Regulamento Europeu (GDPR), a LGPD surge com o propósito de unificar normas esparsas e estabelecer diretrizes claras para o tratamento de dados pessoais por pessoas físicas e jurídicas, tanto no meio físico quanto no digital (Suris et al., 2024). Conforme assinalam Suris et al. (2024), a LGPD introduz um sistema estruturado de princípios e regras que visam equilibrar a inovação tecnológica com a preservação da dignidade da pessoa humana. O texto legal define padrões mínimos de conduta para o tratamento de dados, impondo deveres aos agentes públicos e privados e criando parâmetros de responsabilidade civil, o que a torna um instrumento de harmonização entre o avanço digital e a tutela dos direitos fundamentais.
A estrutura da LGPD é sistematizada em capítulos que tratam de forma abrangente os conceitos, princípios, direitos e deveres que compõem o regime de proteção de dados. Oliveira, Ferreira e Pires (2021) destacam que a lei organiza-se em torno de eixos centrais: a definição de dados pessoais e sensíveis, os princípios do tratamento, as hipóteses legais que o legitimam, os direitos dos titulares e as obrigações dos agentes. Tal arquitetura normativa visa garantir transparência e segurança jurídica, delimitando o espaço legítimo de atuação de cada agente envolvido. Os autores ressaltam que o tratamento de dados deve sempre respeitar os princípios da finalidade, adequação, necessidade, livre acesso, qualidade, segurança, prevenção, não discriminação e responsabilização, princípios estes que estruturam a integridade da LGPD e delimitam o seu alcance prático (Oliveira; Ferreira; Pires, 2021).
De modo mais específico, Teffé e Viola (2020) demonstram que o coração normativo da LGPD se encontra nos artigos 7º e 11, que elencam as bases legais para o tratamento de dados pessoais e sensíveis. Todo tratamento deve estar amparado em uma dessas bases, sob pena de ilicitude. Entre as hipóteses previstas, destacam-se o consentimento do titular, o cumprimento de obrigação legal ou regulatória, a execução de políticas públicas, o exercício regular de direitos, a proteção da vida, a tutela da saúde, a execução de contrato e o legítimo interesse do controlador. Os autores explicam que a lei brasileira adotou conceito amplo de dado pessoal, sendo toda informação relacionada a pessoa natural identificada ou identificável, o que exige do controlador maior zelo ao manipular dados que, isoladamente, possam parecer neutros, mas que, combinados, revelam aspectos sensíveis da identidade do indivíduo (Teffé; Viola, 2020).
No tocante à finalidade e ao consentimento, Teffé e Viola enfatizam que o consentimento do titular, embora relevante, não é a única base legal e tampouco goza de hierarquia superior em relação às demais, sua utilização deve ser restrita a finalidades específicas, claras e previamente informadas, sendo vedada a extensão ou reutilização do consentimento para finalidades distintas daquelas originalmente pactuadas. A LGPD, assim como o GDPR, proíbe o tratamento de dados com base em consentimentos genéricos, obrigando os agentes de tratamento a demonstrarem que o titular foi adequadamente informado e livre para consentir, essa exigência visa assegurar a autodeterminação informacional e impedir a exploração indevida de dados pessoais, especialmente em contextos de assimetria informacional (Teffé; Viola, 2020).
Os princípios que regem a LGPD funcionam como balizas interpretativas e de controle do exercício do poder tecnológico, Fernandes e Nuzzi (2022) destacam que a lei busca garantir o equilíbrio entre os direitos dos titulares e os interesses legítimos de controladores e operadores. O princípio da transparência, por exemplo, impõe o dever de informar ao titular sobre o tratamento de seus dados de forma acessível e compreensível, enquanto o princípio da segurança impõe a adoção de medidas técnicas e administrativas aptas a proteger as informações contra acessos não autorizados e situações acidentais ou ilícitas. Já o princípio da responsabilização exige que o agente de tratamento demonstre, de maneira objetiva, a conformidade de suas práticas com as normas legais, mediante registros e políticas internas de governança (Fernandes; Nuzzi, 2022).
Em relação aos direitos dos titulares, a LGPD reconhece o indivíduo como protagonista da gestão de seus dados, conferindo-lhe prerrogativas de acesso, retificação, portabilidade, anonimização, eliminação e oposição, esses direitos asseguram o controle sobre o fluxo informacional e fortalecem a cidadania digital, permitindo que o titular intervenha diretamente sobre o ciclo de vida de suas informações pessoais. Tais garantias constituem expressão da autodeterminação informacional e da dignidade da pessoa humana, pilares do modelo normativo inaugurado pela LGPD (Oliveira; Ferreira; Pires, 2021).
A lei também define, de modo técnico, os papéis e responsabilidades dos agentes de tratamento (o controlador e o operador). O controlador é aquele que toma decisões sobre o tratamento de dados, enquanto o operador atua sob suas ordens, executando operações específicas. A definição precisa de tais papéis é fundamental, pois dela decorrem os regimes de responsabilidade civil e administrativa aplicáveis em caso de violação. O artigo 42 da LGPD prevê que ambos respondem solidariamente pelos danos decorrentes do tratamento irregular de dados, o que implica um modelo de corresponsabilidade que visa estimular a adoção de práticas preventivas e mecanismos de compliance interno (Suris et al., 2024).
O regime de responsabilidade civil na LGPD é um dos temas de maior debate doutrinário. A doutrina identifica duas correntes principais: uma que defende a responsabilidade objetiva, fundamentada na teoria do risco da atividade, e outra que sustenta a responsabilidade subjetiva, dependente da comprovação de culpa. Embora a lei não defina expressamente o regime aplicável, prevalece o entendimento de que a responsabilidade deve ser analisada caso a caso, conforme a natureza da relação jurídica e a intensidade do dever de cuidado do agente. A adoção desse modelo híbrido reflete a tentativa do legislador de equilibrar a proteção do titular e a segurança jurídica dos agentes econômicos (Suris et al., 2024).
A atuação da Autoridade Nacional de Proteção de Dados (ANPD) é outro pilar da LGPD, Fernandes e Nuzzi ressaltam que a ANPD exerce função reguladora e fiscalizadora, sendo responsável por emitir diretrizes, aplicar sanções e orientar o cumprimento da lei, sua presença institucional é decisiva para consolidar a cultura de proteção de dados no Brasil e para garantir uniformidade interpretativa das normas, evitando decisões judiciais divergentes. Além disso, a autoridade desempenha papel pedagógico, estimulando a adoção de boas práticas e códigos de conduta que reforçam o caráter preventivo da lei (Fernandes; Nuzzi, 2022).
Por fim, Mello e Miramontes (2021) argumentam que a LGPD representa não apenas uma resposta jurídica à era digital, mas uma reconstrução ética das relações entre tecnologia, mercado e cidadania, redefinindo as fronteiras entre o público e o privado, impondo transparência, responsabilidade e proporcionalidade como princípios estruturantes das relações informacionais. Assim, a LGPD consolida-se como instrumento de efetivação dos direitos fundamentais e de fortalecimento do Estado Democrático de Direito, ao compatibilizar o desenvolvimento tecnológico com a preservação da liberdade individual e da dignidade humana.
3 DESDOBRAMENTOS PENAIS DA LGPD NO CONTEXTO TECNOLÓGICO
3.1 O tratamento indevido de dados e a responsabilidade penal
O tratamento indevido de dados pessoais representa uma das formas mais graves de violação aos direitos fundamentais na era digital, especialmente quando associado à omissão de deveres de segurança ou ao uso ilícito das informações obtidas. Apesar dos avanços trazidos pela Lei nº 13.709/2018, a ausência de uma legislação penal específica para a proteção de dados, como a proposta de uma LGPD-Penal, gera uma lacuna na responsabilização criminal dos agentes que tratam dados de modo doloso ou culposo. A atual estrutura da LGPD concentra-se em sanções administrativas e civis, o que não é suficiente para conter condutas fraudulentas ou deliberadamente negligentes, essa ausência normativa favorece a impunidade em situações nas quais o tratamento indevido de dados gera prejuízos coletivos e viola a confiança pública nas instituições digitais (Figueiredo; Matos; Costa, 2023).
Mendonça (2020) exemplifica o problema ao analisar casos de sequestro digital (ransomware), em que agentes invadem sistemas informáticos para criptografar dados e exigir resgates, violando a integridade e a confidencialidade das informações pessoais e corporativas. Tais condutas, embora possam ser enquadradas em crimes previstos no Código Penal e no Marco Civil da Internet, ainda carecem de tipificação direta no contexto da proteção de dados. A autora salienta que o tratamento indevido de informações, nesses casos, ultrapassa o âmbito cível e administrativo, exigindo repressão penal proporcionada à gravidade do dano. A falta de previsão específica para a responsabilização criminal do controlador ou operador que contribui, por omissão ou negligência, para a violação da segurança informacional evidencia a insuficiência do atual sistema normativo (Mendonça, 2020).
Camargo et al. (2022) reforçam essa compreensão ao discutir a aplicação dos princípios da Convenção de Budapeste e do Anteprojeto de Lei de Proteção de Dados para Fins Penais. O estudo demonstra que o tratamento ilícito de dados pessoais, especialmente no âmbito da persecução penal, requer critérios rígidos de necessidade e proporcionalidade, pois o uso indevido pode configurar violação às garantias processuais e ao devido processo legal. Os autores analisam o emblemático caso do incêndio da Boate Kiss, no qual o Ministério Público do Rio Grande do Sul tratou dados de jurados sem respaldo legal, utilizando informações pessoais obtidas de sistemas integrados de segurança pública. Tal conduta foi reconhecida como ilícita pelo Tribunal de Justiça, por ferir o princípio da paridade de armas e o direito à privacidade dos cidadãos. O episódio ilustra como o tratamento indevido de dados pode gerar não apenas nulidades processuais, mas também repercussões penais diante da violação de deveres funcionais e éticos (Camargo et al., 2022).
No plano dogmático, Stuart e Valente (2022) analisam o papel dos agentes de tratamento -controlador, operador e encarregado – e a possibilidade de responsabilização penal em virtude da omissão no dever de segurança. O encarregado de proteção de dados, figura equivalente ao Data Protection Officer europeu, assume dever de vigilância e prevenção em relação ao tratamento de informações dentro da organização. Quando deixa de agir para evitar o resultado lesivo, mesmo tendo o dever jurídico de fazê-lo, pode incorrer em crime omissivo impróprio, conforme a teoria dos crimes por omissão penalmente relevante. Os autores sustentam que, em estruturas empresariais complexas, a responsabilidade penal deve ser analisada com base na posição de garantidor do encarregado, cuja inércia pode configurar participação omissiva em delitos cometidos por outros agentes (Stuart; Valente, 2022).
Tal perspectiva é corroborada por Figueiredo, Matos e Costa (2023), que identificam no dever de segurança informacional uma obrigação de natureza jurídica e técnica, cujo descumprimento pode ensejar responsabilidade penal por negligência ou dolo eventual. O controlador e o operador, ao assumirem a gestão de bancos de dados, tornam-se garantes da integridade das informações e devem adotar medidas preventivas de segurança cibernética. Quando há omissão consciente diante de vulnerabilidades conhecidas, configura-se uma falha de dever de cuidado que aproxima a conduta da culpa grave. A responsabilização penal, portanto, decorre não apenas da ação indevida- como o compartilhamento ilícito ou a venda de dados -, mas também da omissão que possibilita a ocorrência do dano (Figueiredo; Matos; Costa, 2023).
O avanço tecnológico potencializou as formas de tratamento indevido de dados, especialmente por meio da exploração de falhas de segurança e da prática de crimes cibernéticos complexos. Além da invasão de dispositivos, o uso não autorizado de dados bancários, biométricos e sensíveis passou a ser comum em fraudes digitais e esquemas de extorsão. Tais práticas, embora já tipificadas em parte pela Lei Carolina Dieckmann (Lei nº 12.737/2012), exigem uma abordagem mais abrangente, capaz de responsabilizar tanto o agente ativo quanto aqueles que, por negligência, permitiram a vulnerabilidade do sistema. O dever de segurança deve ser considerado um elemento normativo essencial, cuja violação enseja responsabilidade penal compatível com os princípios da proteção de dados (Mendonça, 2020).
O debate sobre a criação de uma LGPD-Penal, como analisa Camargo (2022), surge da necessidade de preencher essas lacunas e integrar o tratamento indevido de dados ao campo do direito penal, especialmente quando há lesão à intimidade, honra ou liberdade do titular. O anteprojeto proposto pela Comissão de Juristas do Congresso Nacional prevê hipóteses de tratamento ilícito de dados para fins de segurança pública ou investigação criminal, estabelecendo limites estritos de legalidade e proporcionalidade. O referido autor enfatiza que o texto, inspirado na Convenção de Budapeste, busca harmonizar o combate aos crimes informáticos com a proteção dos direitos fundamentais, evitando abusos por parte do Estado e de agentes privados no manejo de informações pessoais (Camargo, 2022).
A omissão relevante penalmente exige a presença de um dever jurídico específico, oriundo da lei, do contrato ou da assunção de uma função de vigilância. No contexto da proteção de dados, o encarregado é dotado desse dever de evitar resultados lesivos decorrentes do mau uso ou do vazamento de informações. Assim, sua inação pode ser interpretada como participação omissiva, especialmente quando houver dolo eventual ou consciência da possibilidade de violação, essa compreensão amplia a noção de autoria mediata e coautoria omissiva nas estruturas empresariais, conectando o direito penal tradicional ao universo digital (Stuart; Valente, 2022).
Por fim, a doutrina converge para o entendimento de que o tratamento indevido de dados requer responsabilização penal diferenciada, proporcional à gravidade das condutas e à posição dos agentes envolvidos. Figueiredo, Matos e Costa (2023) argumentam que o controle eficiente dos fluxos informacionais demanda a integração entre normas administrativas, civis e penais, de modo a criar um sistema sancionatório harmônico e eficaz. Já Camargo et al. (2022) defendem que o futuro da proteção penal de dados deve se orientar por princípios como necessidade, proporcionalidade e legalidade, garantindo tanto a repressão aos abusos quanto a preservação das garantias constitucionais. Assim, a consolidação de uma LGPD-Penal e o reconhecimento da omissão imprópria como forma de responsabilização criminal dos agentes configuram passos essenciais para o fortalecimento da tutela penal da privacidade na sociedade digital.
3.2 O enquadramento penal de condutas relacionadas à violação de dados frente ao avanço tecnológico
O enquadramento penal das condutas relacionadas à violação de dados pessoais é um tema que reflete a complexidade da interação entre tecnologia e Direito Penal contemporâneo. A crescente dependência da sociedade digital ampliou significativamente o número de delitos informáticos, expondo as lacunas normativas existentes. A violação de dados, seja por meio de invasão de dispositivos, divulgação indevida ou comercialização de informações pessoais, configura atentado direto aos direitos fundamentais da intimidade e da privacidade. Contudo, a legislação penal brasileira ainda carece de tipificação precisa dessas condutas, o que impõe o uso de normas penais gerais, como as previstas na Lei nº 12.737/2012 (Lei Carolina Dieckmann), no Marco Civil da Internet e em dispositivos do Código Penal relativos à violação de segredo e à fraude eletrônica. Nesse sentido, a ausência de uma “LGPD penal” efetiva compromete a responsabilização direta de agentes que tratam dados de modo ilícito ou abusivo (Bispo; Binto, 2023).
Chuy (2021) acrescenta que, embora a LGPD estabeleça princípios e sanções administrativas rigorosas, o seu campo de aplicação é predominantemente civil e regulatório, deixando de abarcar de forma expressa as consequências penais da violação de dados. O autor observa que, diante dessa lacuna, a doutrina e a jurisprudência recorrem à analogia e ao enquadramento de condutas em tipos penais já existentes, como o art. 154-A do Código Penal, que trata da invasão de dispositivos informáticos. Todavia, essa solução é apenas paliativa, pois nem sempre as condutas de tratamento indevido de dados envolvem invasão de sistemas. Casos de compartilhamento indevido, acesso não autorizado ou uso de dados sensíveis para fins discriminatórios frequentemente escapam do alcance direto da legislação penal vigente.
Lopes (2025) observa que o enquadramento penal de violações de dados deve considerar o bem jurídico tutelado (a autodeterminação informacional) como um desdobramento da dignidade humana e da privacidade. A partir desse entendimento, o tratamento indevido de dados pode configurar uma nova categoria de ilícito penal, cuja gravidade não depende necessariamente do prejuízo patrimonial, mas da exposição indevida da personalidade do indivíduo. Tal perspectiva valoriza a integridade moral da vítima e reconhece que o uso abusivo de dados pessoais pode produzir danos psicológicos, reputacionais e sociais irreparáveis. O autor defende, portanto, que o sistema penal brasileiro avance para reconhecer tais condutas como lesões diretas a direitos fundamentais, e não apenas como infrações patrimoniais (Lopes, 2025).
No mesmo sentido, Lopes e Lopes (2023) destacam que o ordenamento jurídico brasileiro tem adotado postura reativa diante das novas formas de criminalidade digital. Apesar da promulgação da LGPD e do avanço de marcos legais complementares, a falta de integração entre as esferas penal e administrativa ainda dificulta a atuação eficaz do Estado. Os autores apontam que, enquanto a LGPD define obrigações de segurança e consentimento, a legislação penal carece de instrumentos para punir a negligência grave de controladores e operadores de dados. Argumental ainda que o descumprimento deliberado das normas de proteção informacional, especialmente quando resulta em vazamento massivo de dados, deve ser enquadrado como crime de perigo concreto à privacidade coletiva, dada a repercussão social e o potencial de dano difuso (Lopes; Lopes, 2023) .
Damião e Novais (2024), ao analisarem a expansão dos delitos digitais, afirmam que a sociedade brasileira enfrenta um aumento expressivo dos casos de extorsão e chantagem por meio da exposição indevida de dados pessoais, essas práticas são frequentemente vinculadas a condutas de violação de sigilo, estelionato e constrangimento ilegal, exigindo um enquadramento penal mais específico e proporcional. O Direito Penal deve acompanhar a complexidade tecnológica, reconhecendo o tratamento de dados como uma atividade de risco que, quando exercida sem segurança, enseja responsabilidade penal objetiva, essa proposta busca ampliar o campo de incidência do Direito Penal para proteger a integridade informacional como bem jurídico autônomo.
A violação de dados deve ser entendida sob duas dimensões complementares: a do agente ativo que acessa ou utiliza indevidamente informações e a do agente omisso que, tendo o dever jurídico de protegê-las, não o faz. A omissão de medidas de segurança configura conduta típica quando há previsão legal ou contratual de proteção de dados, aproximando-se do conceito de crime omissivo impróprio. Assim, empresas e instituições que negligenciam protocolos de segurança cibernética podem ser responsabilizadas penalmente se essa inércia resultar em dano a terceiros. O estudo também menciona que o enquadramento penal dessas condutas é essencial para garantir o caráter preventivo e pedagógico da legislação sobre dados pessoais (Botelho et al., 2023).
Nesse contexto, Santos (2021) traz um enfoque crítico sobre o uso de tecnologias de reconhecimento facial e outras formas de vigilância estatal, argumentando que tais práticas, quando desprovidas de controle legal adequado, podem configurar violações penais à privacidade. A autora relaciona o uso dessas ferramentas ao risco de criminalização seletiva e discriminação algorítmica, o que agrava o debate sobre o enquadramento penal das condutas de manipulação e armazenamento de dados sensíveis pelo Estado. Além disso, a autora que o anteprojeto da LGPD-Penal busca preencher essa lacuna, delimitando hipóteses em que o tratamento de dados para fins de segurança pública e investigação criminal pode ser considerado abusivo e, portanto, passível de sanção penal (Santos, 2021)
Ruas et. al. (2024) analisam de modo mais amplo o tratamento jurídico dos crimes virtuais e apontam que a legislação brasileira, apesar dos avanços do Marco Civil e da LGPD, ainda é fragmentada e insuficiente para lidar com as novas formas de violação de dados. Verifica-se que o enquadramento penal deve abranger desde as condutas de acesso indevido até os atos de difusão e comercialização de informações pessoais, garantindo proteção integral ao cidadão digital. Além disso, os referidos estudiosos defendem a criação de tipos penais específicos para o vazamento doloso e para o uso de dados em contextos fraudulentos, como golpes eletrônicos e manipulação de perfis em redes sociais, que ainda escapam à tipificação atual (Ruas et al., 2024)
A insuficiência da LGPD no enfrentamento de crimes informáticos exige políticas públicas e reformas legislativas que aproximem a proteção de dados do sistema penal. Enquanto a LGPD foca na regulação administrativa, os crimes virtuais continuam sendo julgados sob parâmetros do Código Penal de 1940, inadequado para o contexto tecnológico atual. Além disso, defende a criação de um corpo normativo setorial que inclua tipificações específicas para o tratamento indevido, a negligência na guarda de informações e a manipulação de dados sensíveis, de modo a efetivar a prevenção e a repressão penal às violações digitais.
Por fim, o conjunto das análises revela que o enquadramento penal das condutas relacionadas à violação de dados requer a consolidação de uma dogmática própria, que reconheça a informação como bem jurídico autônomo e essencial à liberdade individual.
4 CONSIDERAÇÕES FINAIS
A consolidação da proteção de dados pessoais como direito fundamental marca uma inflexão histórica na estrutura do sistema jurídico brasileiro, impondo novos desafios ao campo penal. O avanço tecnológico, ao ampliar o poder de coleta, tratamento e compartilhamento de informações, trouxe consigo a necessidade de um novo paradigma normativo capaz de responder às complexas formas de violação da privacidade na sociedade digital. O estudo demonstrou que o Direito Penal ainda se encontra em fase de transição, buscando adaptar seus institutos tradicionais a uma realidade em que o dado pessoal se tornou elemento central da vida social, econômica e institucional, essa reconfiguração não se restringe à criação de novos tipos penais, mas implica repensar as bases dogmáticas da responsabilidade, da culpabilidade e da prevenção, sob a ótica da dignidade da pessoa humana e da segurança informacional.
Ao longo deste estudo, observou-se que a Lei Geral de Proteção de Dados desempenha papel estruturante na redefinição dos limites entre o público e o privado, entretanto, a ausência de previsão penal específica para condutas ilícitas relacionadas ao tratamento indevido de informações pessoais ainda representa um obstáculo significativo à efetividade do sistema de tutela. As sanções administrativas e civis previstas pela legislação vigente não são suficientes para conter práticas dolosas, reiteradas ou organizadas, sobretudo em contextos empresariais ou cibernéticos de larga escala. A falta de tipificação clara das condutas que atentam contra a confidencialidade, integridade e disponibilidade de dados cria um vazio normativo que fragiliza a resposta estatal e compromete a confiança social na proteção jurídica oferecida.
Tal lacuna legislativa reflete uma tensão estrutural entre duas finalidades igualmente legítimas: a preservação dos direitos individuais e a necessidade de assegurar a segurança pública e a persecução penal. O ordenamento jurídico ainda não alcançou equilíbrio entre essas dimensões, oscilando entre o excesso de garantias que podem inviabilizar investigações e a ampliação de poderes estatais que ameaçam a privacidade dos cidadãos. O cenário atual evidencia a urgência de uma legislação penal específica que contemple o tratamento indevido de dados, o vazamento intencional, a omissão no dever de segurança e a comercialização ilícita de informações pessoais, essa legislação deve ser construída sobre princípios de proporcionalidade, necessidade e finalidade, assegurando que a repressão penal ocorra de forma compatível com o Estado Democrático de Direito.
Os resultados também indicam que a compreensão penal das condutas relacionadas à violação de dados deve ultrapassar o enfoque na ação dolosa direta, abrangendo igualmente as omissões relevantes e as falhas sistemáticas de proteção. Em um ambiente altamente digitalizado, a ausência de medidas técnicas e administrativas adequadas pode gerar danos equivalentes aos causados por ações intencionais. Assim, a responsabilidade penal deve ser analisada sob a ótica da posição de garantidor, reconhecendo que o dever jurídico de impedir o resultado danoso é inerente às funções de controle, operação e guarda de dados pessoais. O descumprimento desse dever caracteriza não apenas falha ética ou administrativa, mas uma forma de participação omissiva penalmente relevante, passível de sanção conforme o grau de negligência e previsibilidade do risco.
Outro ponto central identificado diz respeito à necessidade de integração entre os microssistemas legais existentes. A coexistência da LGPD, do Marco Civil da Internet, da Lei Carolina Dieckmann e de normas setoriais de segurança cibernética demanda uma coordenação normativa que evite contradições, sobreposição de competências e insegurança jurídica. O Direito Penal, como última ratio, deve operar em harmonia com as instâncias administrativa e civil, reservando sua intervenção aos casos em que o tratamento ilícito de dados gera efetiva lesão à coletividade ou atinge de forma grave a esfera da liberdade e da dignidade do indivíduo, essa delimitação é essencial para que o sistema penal não se converta em instrumento de repressão desproporcional, mas em mecanismo de tutela equilibrada e racional da sociedade informacional.
A análise das propostas legislativas em tramitação indica que o país caminha para o desenvolvimento de uma “LGPD Penal”, destinada a regulamentar o tratamento de dados pessoais nas esferas de segurança pública e persecução criminal. Contudo, a experiência comparada demonstra que a criação de um novo diploma penal não deve restringir-se à mera tipificação de condutas. É necessário que a legislação estabeleça parâmetros claros de legalidade, transparência e auditoria, definindo procedimentos seguros para a coleta e o compartilhamento de dados em investigações. A ausência desses mecanismos pode comprometer a legitimidade da prova digital, gerar nulidades processuais e abrir espaço para violações massivas de direitos fundamentais.
As perspectivas futuras para o Direito Penal brasileiro indicam a necessidade de uma reformulação estrutural, capaz de articular a proteção de dados à lógica preventiva e educativa da punição. A incorporação de princípios de governança e compliance informacional deve orientar a atuação dos entes públicos e privados, transformando a proteção de dados em política de Estado e não apenas em obrigação regulatória. O Direito Penal, nesse contexto, assume papel complementar, voltado à repressão das condutas de maior gravidade, como o vazamento doloso, o uso discriminatório de informações sensíveis e a manipulação de dados com fins de fraude, chantagem ou perseguição, essa diferenciação é fundamental para assegurar proporcionalidade e evitar a banalização da sanção criminal.
A modernização legislativa deve vir acompanhada de políticas públicas que promovam a inclusão digital responsável, a proteção de dados como valor ético e o fortalecimento da confiança social nas instituições. O Brasil precisa avançar de uma postura reativa para uma abordagem proativa, que combine inovação tecnológica com salvaguardas jurídicas adequadas. A proteção penal de dados não deve ser entendida apenas como resposta punitiva, mas como parte de uma estratégia de governança democrática, que assegure a compatibilidade entre desenvolvimento tecnológico e direitos humanos.
REFERÊNCIAS
AGENCIA SENADO. Medida provisória transforma ANPD em agência reguladora. 2025. Disponível em: https://www12.senado.leg.br/noticias/materias/2025/09/18/medida-provisoria-transforma-anpd-em-agencia-reguladora. Acesso em: 05 out. 2025.
BISPO, Adrielle da Silva; BINTO, Emanuel Vieira. Crimes Cibernéticos: da ineficácia da Lei Carolina Dieckmann na prática de crimes virtuais. Revista Ibero-Americana de Humanidades, Ciências e Educação, v. 9, n. 11, p. 354-369, 2023.
BOTELHO, Daniela Garcia et al. A influência das novas tecnologias no direito penal – desafios e perspectivas. Revista Ibero-Americana de Humanidades, Ciências e Educação, v. 9, n. 11, p. 2713-2726, 2023.
CAMARGO, Rodrigo Oliveira de. Ilicitude da devassa: tratamento de dados pessoais de jurados em face dos princípios da Convenção de Budapeste e do anteprojeto da LGPD-Penal no Brasil. Boletim IBCCRIM, v. 30, n. 359, p. 10-12, 2022.
CAMARGO, Rodrigo Oliveira de et al. Tratamento de dados, persecução penal e garantia do direito de defesa. 2022. Tese (Doutorado) – Pontifícia Universidade Católica do Rio Grande do Sul. Disponível em: https://tede2.pucrs.br/tede2/handle/tede/10605.
CHAVES, Joel Ricardo Ribeiro de; SÁ, Valdir Rodrigues de; JANINI, Tiago Cappi. O direito à privacidade na sociedade da informação. Revista Brasileira de Direito Civil em Perspectiva, v. 10, n. 1, 2024.
CHUY, José Fernando Moraes. O sistema de investigação brasileiro, a “LGPD penal” e a efetiva garantia de direitos fundamentais. V Concurso de Artigos Científicos em Polícia Judiciária e Investigação Criminal, Associação Nacional dos Delegados de Polícia Federal (ADPF), v. 26, 2021.
DAMIÃO, Alisson Santana; NOVAIS, Thyara Gonçalves. Consequências jurídicas da LGPD para os crimes virtuais. Revista Ibero-Americana de Humanidades, Ciências e Educação, v. 10, n. 11, p. 6590-6613, 2024.
FALEIROS JÚNIOR, José Luiz de Moura; MADALENA, Juliano; DAL PIZZOL, Dineia Anziliero. Desafios e perspectivas da regulação penal na proteção de dados pessoais: reflexões à luz da LGPD brasileira. In: COLOMBO, Cristiano; ENGELMANN, Wilson (org.). Novas tecnologias e o princípio da centralidade da pessoa humana: Anais do XIII Congresso Iberoamericano de Investigadores y Docentes de Derecho e Informática. São Leopoldo: Casa Leiria, 2023. p. 287-308.
FEILER, Anneliese Regina; GAZANIGA, Felipe; VIEIRA, Thiago André Marques. O valor fundamental dos dados pessoais: uma análise comparativa entre a LGPD e GDPR sob a ótica da análise econômica do direito. Revista de Direito, v. 16, n. 2, p. 2, 2024.
FERNANDES, Fernando Andrade; RESENDE, Ana Paula Bougleux Andrade. Regulamentação do tratamento automatizado de dados pessoais em matéria penal. Suprema – Revista de Estudos Constitucionais, v. 3, n. 1, p. 471-500, 2023.
FERNANDES, Marcelo Eloy; NUZZI, Ana Paula Eloy. Fundamentos da Lei Geral de Proteção de Dados (LGPD): uma revisão narrativa. Research, Society and Development, v. 11, n. 12, p. e310111234247-e310111234247, 2022.
FIGUEIREDO, Murilo Carvalho; MATOS, Wellington Araújo; COSTA, João Santos da. Lei Geral de Proteção de Dados: o tratamento de dados pessoais e a responsabilização penal. Revista Ibero-Americana de Humanidades, Ciências e Educação, v. 9, n. 5, p. 4352-4366, 2023.
KREMER, Bianca; SILVA, Fernanda dos Santos Rodrigues. A LGPD penal e a lacuna regulatória no tratamento de dados pessoais sensíveis por profissionais de segurança. In: DUARTE, Daniel Edler; CEIA, Eleonora Mesquita (org.). Tecnologia, segurança e direitos: os usos e riscos de sistemas de reconhecimento facial no Brasil. Rio de Janeiro: Konrad Adenauer Stiftung, 2022. p. 171-196.
LOPES, Iara Maria Machado. A eficácia da análise de impacto legislativo no anteprojeto da LGPD Penal. Direito UNIFACS – Debate Virtual, n. 296, 2025.
LOPES, Marciano Pereira; LOPES, José Augusto Bezerra. Crimes virtuais no ordenamento jurídico brasileiro. Revista Ibero-Americana de Humanidades, Ciências e Educação, v. 9, n. 8, p. 462-472, 2023.
LORENZON, Laila Neves. Análise comparada entre regulamentações de dados pessoais no Brasil e na União Europeia (LGPD e GDPR) e seus respectivos instrumentos de enforcement. Revista do Programa de Direito da União Europeia, v. 1, p. 39-52, 2021.
MELLO, Ana Paula; MIRAMONTES, Giovanna Coelho. LGPD: agentes de tratamento, responsável e ANPD. Cadernos Jurídicos da Faculdade de Direito de Sorocaba, v. 3, n. 1, p. 73-80, 2021.
MELLO, Leonardo Emmendoerfer et al. Bases legais para o tratamento de dados: uma análise comparativa entre a LGPD e o GDPR. Revista Contemporânea, v. 5, n. 9, p. e9065-e9065, 2025.
MENDONÇA, Júlia Fernandes de. A responsabilidade civil e penal dos envolvidos em sequestros digitais em face da legislação brasileira de proteção de dados pessoais. Revista do CEPEJ, n. 22, p. 156-173, 2020.
MINISTÉRIO PÚBLICO DE SANTA CATARINA. Nota técnica do MPSC aponta inconsistências constitucionais no anteprojeto da LGPD Penal e considera ser necessário reformular a proposta em tramitação no Congresso Nacional. MPSC, 15 jan. 2020. Disponível em: https://www.mpsc.mp.br/noticias/nota-tecnica-do-mpsc-aponta-inconsistencias-constitucionais-no-anteprojeto-da-lgpd-penal-e-considera-ser-necessario-reformular-a-proposta-em-tramitacao-no-congresso-nacional. Acesso em: 7 out. 2025.
NEVES, Cleuler Barbosa de; MATOS, Gisele Gomes. LGPD penal e a lacuna regulatória para o tratamento dos dados pessoais para fins criminais: APL e PL 1515/2022. Caderno Pedagógico, v. 22, n. 7, p. e16333-e16333, 2025.
OLIVEIRA, Ana Carolina Rios; FERREIRA, Henrique da Cruz; PIRES, Fernanda Ivo. Princípios da Lei Geral de Proteção de Dados (LGPD). Seara Jurídica, v. 1, n. 19, p. 1-12, 2021.
POLIMENO, Celso Domingos; MATOS, José Claudio Morelli. Privacidade: construindo conceito e tratamento. Projeção, Direito e Sociedade, v. 15, n. 1, p. e1524DS07-e1524DS07, 2024.
PORTO, Victor Benigno; OLIVEIRA, Aldo José Barros Barata de. A proteção de dados e seus reflexos na seara criminal. Brazilian Journal of Development, v. 7, n. 9, p. 87861-87884, 2021.
RUAS, Leandro Sousa et al. O tratamento jurídico dos crimes virtuais com base na legislação brasileira. Revista Jurídica do Nordeste Mineiro, v. 5, n. 1, 2024.
SARLET, Gabrielle Bezerra Sales; RODRIGUEZ, Daniel Piñeiro. A Autoridade Nacional de Proteção de Dados (ANPD): elementos para uma estruturação independente e democrática na era da governança digital. Revista Direitos Fundamentais & Democracia, v. 27, n. 3, p. 217-253, 2022.
SANTOS, Jéssica Guedes. Reconhecimento facial entre a criminologia, a mídia e a LGPD penal. Internet & Sociedade, v. 2, n. 1, p. 214-232, 2021.
SOUZA, Carlos Eduardo Rehbein de; EUGÊNIO, Letízia Manuella Serqueira; ARAÚJO, Nelcileno Virgílio de Souza. Da Europa ao Brasil: um estudo comparativo entre o GDPR e a LGPD. In: Escola Regional de Sistemas de Informação de Mato Grosso. SBC, 2025. p. 81-90.
SOUZA, Kadmiel Duarte de. Lei Geral de Proteção de Dados (LGPD): impactos, desafios e perspectivas no cenário jurídico e empresarial do Brasil. Revista Mato-grossense de Direito, v. 3, n. 1, p. 15-25, 2025.
STUART, Mariana Battochio; VALENTE, Victor Augusto Estevam; DE ANDRADE MARTINS, José Eduardo Figueiredo. A responsabilidade penal do encarregado de proteção de dados pessoais. Revista Argumenta, n. 37, p. 177-208, 2022.
SURIS, Jéssica et al. Uma análise crítica acerca do regime de responsabilidade civil dos agentes de tratamento da Lei Geral de Proteção de Dados. Revista da Defensoria Pública do Estado do Rio Grande do Sul, v. 1, n. 34, p. 286-305, 2024.
TEFFÉ, Chiara Spadaccini de; VIOLA, Mario. Tratamento de dados pessoais na LGPD: estudo sobre as bases legais. Civilistica.com, v. 9, n. 1, p. 1-38, 2020.
ZAGUIR, Nemer Alberto. Desafios e habilitadores para a conformidade com a GDPR e LGPD: modelo de governança da informação sobre dados pessoais. 2024. Tese (Doutorado) – Universidade de São Paulo.