The Institutional Grammar of Data Protection and Privacy in Brazil

Filgueiras, Fernando; Lui, Lizandro; Veloso, Maria Tereza Trindade

Acessibilidade / Reportar erro

Brasil

Español English

sumário « anterior atual seguinte »

Sumário

Artigos Originais • Dados rev. ciênc. sociais 68 (1) • Apr 2025 • https://doi.org/10.1590/dados.2025.68.1.346 copy

The Institutional Grammar of Data Protection and Privacy in Brazil

Authorship SCIMAGO INSTITUTIONS RANKINGS

Abstract

This article investigates the institutional grammar of data protection and privacy in Brazil. By adopting the analytical lens of the Institutional Grammar Tool (IGT), it deconstructs the institutional statements within the regulatory decrees of the General Data Protection Law (LGPD) in Brazilian states, classifying the different grammatical elements that inform state-level strategies for data protection and governance. It examines how the concepts of data protection, data governance, and privacy are formulated, as well as the institutional construction of data protection in Brazil. By taking an empirical approach, it aims to address the following questions: What is the institutional design of the strategies adopted by Brazilian states, within the federation, to protect personal data and citizens’ privacy? What are the implications of this design on how effective data protection is in Brazil? The article concludes that the data protection strategies formulated by the states lean more toward bureaucratic control of data processing than the actual realization of emerging citizenship rights.

data protection; data governance; LGPD; institutional grammar; institutional analysis

Elementos	Atributos	Definição normativa
Princípios	Finalidade	Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades
	Adequação	Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento
	Necessidade	Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados
	Livre acesso	Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais
	Qualidade dos dados	Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento
	Transparência	Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial
	Segurança	Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão
	Prevenção	Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais
	Não discriminação	Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos
	Accountability	Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas
Governança	Definição da titularidade de dados	Definição dos titulares de dados como pessoas naturais a quem se referem os dados pessoais que são objeto de tratamento.
	Definição do controlador de dados e encarregado de dados	Definição de atribuições institucionais e responsabilidades em relação a conjuntos de dados sob seu controle.
	Conselho Nacional de Proteção de Dados Pessoais e da Privacidade	Constituição de conselho com a atribuição de promover boas práticas de proteção de dados, diretrizes estratégicas, elaborar estudos e propor ações para a Autoridade Nacional de Proteção de Dados (ANPD)
	Autoridade Nacional de Proteção de Dados	Constituição de autoridade regulatória, com poder fiscalizatório sobre proteção de dados e promoção da privacidade.
Direitos	Privacidade	Definição como direito fundamental de liberdade.
	Autodeterminação informativa	Garantia de titularidade dos dados e poder para consentir ou revogar consentimento com relação ao tratamento de dados.
	Liberdade de expressão, de informação, de comunicação e de opinião	Reconhecimento do uso de dados para a liberdade de expressão, de informação, de comunicação e opinião.
	Inviolabilidade da intimidade, da honra, da imagem	Reconhecimento da intimidade honra e imagem como direitos invioláveis por parte de controladores de dados.
	Desenvolvimento econômico e tecnológico	Possibilidades de uso de dados em políticas públicas e formas de uso de dados para o desenvolvimento econômico.
	Livre iniciativa, livre concorrência, defesa do consumidor	Regras para estabelecer liberdade econômica para coleta, armazenamento, processamento e compartilhamento de dados respeitados os requisitos da LGPD
	Direitos humanos	Reconhecimento dos direitos humanos como elemento central da proteção de dados e da privacidade.
Regras de proteção de dados	Definição de requisitos para tratamento de dados pessoais	Requisitos de consentimento de titulares de dados, obrigações regulatórias pelo controlador de dados, permissões para cumprimento de obrigações legais ou para a administração pública desenhar políticas públicas.
	Definição de requisitos para tratamento de dados pessoais sensíveis	Requisitos para tratamento de dados sensíveis, proibições com relação a dados de saúde, regras para tratamento de dados de crianças e adolescentes,
	Transferência internacional de dados	Definição de regras e instrumentos regulatórios para o compartilhamento de dados além do território nacional.
	Segurança e sigilo de dados	Regras para a segurança da informação e definição de sigilo.
	Anonimização	Definição dos requisitos de anonimização de dados pessoais, incidindo no processamento sem identificação pessoal.
	Comunicação de incidentes de dados	Regras de comunicação entre os responsáveis pela proteção de dados em casos de incidentes como vazamentos ou tratamento inadequado de dados.
	Término do tratamento de dados	Regras para eliminação de dados após o término do tratamento de dados em função do alcance da finalidade, fim do período de tratamento, revogação do consentimento com relação ao tratamento por parte do titular, ou determinação de autoridade nacional.

Elementos de sintaxe	Conceito
*Atributo (Attribute)*	O componente Atributo captura o ator responsável por um determinado enunciado institucional, seja de forma explícita ou implícita. Além disso, em alguns enunciados, um Atributo e suas propriedades podem ser apresentados juntos. Por exemplo, um enunciado pode se referir a “agricultores” ou a “agricultores certificados” ou a “agricultores certificados e em conformidade”. Nesses exemplos, o substantivo “agricultores” retransmite o ator geral ao qual a declaração se aplica, e “conformidade” e “certificado” são propriedades desse ator.
*Operador deôntico (Deontic)*	O componente operador deôntico baseia-se nas operações modais usadas na lógica deôntica para distinguir enunciados prescritivos de não prescritivos. O conjunto completo de operadores deônticos, D, consiste em P permitido, O obrigatório, e F. proibido.
*Alvo (Aim)*	O alvo é a descrição específica de uma parte ativa em uma situação de ação à qual se refere um enunciado institucional. Ou seja, qual ação é obrigatória, permitida ou requerida do atributo?
*Objeto (Object)*	O componente Objeto é definido como o receptor de uma ação (descrita pelo Objetivo) e executada pelo ator (descrita pelo Atributo). Objetos podem ser entidades animadas e inanimadas em enunciados institucionais, e cada enunciado pode conter vários objetos.
*Condição (Condition)*	Condições indicam o conjunto de variáveis que definem quando e onde um enunciado institucional se aplica. Por exemplo, as condições para um enunciado institucional podem indicar quando ele se aplica, como durante certas condições meteorológicas, em um horário definido ou em uma etapa específica de algum processo.
*Consequência (Or else)*	O componente final de nossa sintaxe institucional é a consequência que um enunciado institucional atribui ao descumprimento detectado com os outros componentes desse enunciado. Em alguns casos, a consequência especifica uma série de punições possíveis se uma regra não for seguida.

Componentes	Categorias
Atributo	Cidadãos e usuários Empresas Encarregado de dados Controlador de dados Operador de dados Governos municipais Governos estaduais Governo federal Organizações da sociedade civil Agência reguladoraConselhos, comissões ou organizações equivalentes Organizações internacionais
Operador deôntico	Permissão Obrigação Proibição Revogação/anulação
Alvo	Competência Coleta e processamento de dados Compartilhamento de dados Certificação e conformidade Autorização • Monitoramento Padronização Direitos
Objeto	Governança Gestão e processos Produto Serviço Recursos naturais
Condição	Prazos e condições determinados Prazos e condições indeterminados
Consequência	Multas Suspensão de atividade Cassação

		Frequência	Porcentagem	Porcentagem válida	Porcentagem acumulativa
Válido	AP	51	10,3	10,3	10,3
	DF	33	6,7	6,7	17,0
	ES	44	8,9	8,9	25,9
	GO	22	4,5	4,5	30,4
	MG	31	6,3	6,3	36,6
	MS	21	4,3	4,3	40,9
	PB	19	3,8	3,8	44,7
	PE	30	6,1	6,1	50,8
	PI	5	1,0	1,0	51,8
	PR	51	10,3	10,3	62,1
	RJ	28	5,7	5,7	67,8
	RO	38	7,7	7,7	75,5
	RS	37	7,5	7,5	83,0
	SC	12	2,4	2,4	85,4
	SE	46	9,3	9,3	94,7
	SP	26	5,3	5,3	100,0
	Total	494	100,0	100,0

		Frequência	Porcentagem	Porcentagem válida	Porcentagem acumulativa
Válido	Administração pública estadual	218	44,1	44,1	44,1
	Cidadãos e usuários	30	6,1	6,1	50,2
	Conselho, comissões ou organizações equivalentes	96	19,4	19,4	69,6
	Controlador de dados	20	4,0	4,0	73,7
	Empresas	29	5,9	5,9	79,6
	Encarregado de dados	70	14,2	14,2	93,7
	Governo Federal	3	,6	,6	94,3
	Operador de dados	28	5,7	5,7	100,0
	Total	494	100,0	100,0

		Frequência	Porcentagem	Porcentagem válida	Porcentagem acumulativa
Válido	Obrigação	412	83,4	83,4	83,4
	Permissão	65	13,2	13,2	96,6
	Proibição	17	3,4	3,4	100,0
	Total	494	100,0	100,0

		Operador deôntico			Total
		Obrigação	Permissão	Proibição	Total
Atributo	Administração pública estadual	189	20	9	218
	Cidadãos e usuários	21	9	0	30
	Conselho, comissões ou organizações equivalentes	82	10	4	96
	Controlador de dados	19	1	0	20
	Empresas	18	11	0	29
	Encarregado de dados	64	2	4	70
	Governo Federal	2	1	0	3
	Operador de dados	17	11	0	28
Total		412	65	17	494

		Alvo									Total
		Não categorizado	Autorização	Certificação e conformidade	Coleta e processamento de dados	Compartilhamento de dados	Competência	Direitos	Monitoramento	Padronização	Total
Atributo	Administração pública estadual	5	4	119	6	23	42	0	2	17	218
	Cidadãos e usuários	6	0	12	4	5	0	3	0	0	30
	Conselho, comissões ou organizações equivalentes	2	1	61	0	1	31	0	0	0	96
	Controlador de dados	1	0	10	1	0	7	0	0	1	20
	Empresas	2	0	13	6	5	3	0	0	0	29
	Encarregado de dados	0	0	47	0	5	17	0	0	1	70
	Governo Federal	0	0	2	0	0	0	0	0	1	3
	Operador de dados	0	0	9	14	0	5	0	0	0	28
Total		16	5	273	31	39	105	3	2	20	494

		Frequência	Porcentagem	Porcentagem válida	Porcentagem acumulativa
Válido	Não categorizado	15	3,0	3,0	3,0
	Gestão e processos	206	41,7	41,7	44,7
	Governança	256	51,8	51,8	96,6
	Produto	2	,4	,4	97,0
	Serviço	15	3,0	3,0	100,0
	Total	494	100,0	100,0

		Objeto					Total
		Não categorizado	Gestão e processos	Governança	Produto	Serviço	Total
Atributo	Administração pública estadual	1	75	141	0	1	218
	Cidadãos e usuários	2	20	5	0	3	30
	Conselho, comissões ou organizações equivalentes	2	48	46	0	0	96
	Controlador de dados	0	7	13	0	0	20
	Empresas	1	10	9	0	9	29
	Encarregado de dados	3	31	35	0	1	70
	Governo Federal	0	0	3	0	0	3
	Operador de dados	6	15	4	2	1	28

		Frequência	Porcentagem	Porcentagem válida	Porcentagem acumulativa
Válido	Não categorizado	451	91,3	91,3	91,3
	Prazos e condições determinados	34	6,9	6,9	98,2
	Prazos e condições indeterminados	9	1,8	1,8	100,0
	Total	494	100,0	100,0

		Frequência	Porcentagem	Porcentagem válida	Porcentagem acumulativa
Válido	Não categorizado (missing)	16	3,2	3,2	3,2
	Autorização	5	1,0	1,0	4,3
	Certificação e conformidade	273	55,3	55,3	59,5
	Coleta e processamento de dados	31	6,3	6,3	65,8
	Compartilhamento de dados	39	7,9	7,9	73,7
	Competência	105	21,3	21,3	94,9
	Direitos	3	,6	,6	95,5
	Monitoramento	2	,4	,4	96,0
	Padronização	20	4,0	4,0	100,0
	Total	494	100,0	100,0

Instituto de Estudos Sociais e Políticos (IESP) da Universidade do Estado do Rio de Janeiro (UERJ) R. da Matriz, 82, Botafogo, 22260-100 Rio de Janeiro RJ Brazil, Tel. (55 21) 2266-8300, Fax: (55 21) 2266-8345 - Rio de Janeiro - RJ - Brazil
E-mail: dados@iesp.uerj.br

Acompanhe os números deste periódico no seu leitor de RSS

[1] E-mail: fernandofilgueiras@ufg.br; E-mail: lizandro.lui@fgv.br; E-mail: mariaterezatrindades@gmail.com;