Mobile TV: where we are and the way forward


As formas de autorregulação na LGPD a partir da regulação responsiva (p. 149-162)  149 

SANTOS, I. M. R. As formas de autorregulação na LGPD a partir da regulação responsiva. Revista de Direito 
Setorial e Regulatório, v. 8, nº 1, p. 149-162, maio 2022. 

 

As formas de autorregulação na LGPD a partir da 
regulação responsiva 

The forms of self-regulation in the LGPD from the perspective of responsive 
regulation 

 
Submetido(submitted): 13 May 2021 

Isabela Maria Rosal Santos* 
https://orcid.org/0000-0003-1604-7105 

Parecer(revised): 20 May 2021 
Aceito(accepted): 1st October 2021 
 
Artigo submetido à revisão cega por pares (Article submitted to peer blind review) 
Licensed under a Creative Commons Attribution 4.0 International 

 

 

Abstract 

[Purpose] To evaluate the role of codes of conduct and rules of good practice provided 

by the General Data Protection Law (LGPD - Law No. 13,709/2018), from the 

perspective of Theory of Responsive Regulation, focused on the work developed by Ian 

Ayres and John Braithwaite, understanding their roles in the development of the 

regulatory system of personal data. 

[Methodology/approach/design] Bibliographic survey on the Theory of Responsive 

Regulation and on the use of codes of conduct and guidelines of good practices in the 

governance of personal data. Based on this, verify whether this form of self-regulation 

meets the criteria and principles of the responsive model. 

[Findings] Based on the approach adopted, it was possible to identify that the adoption 

of codes of conduct and rules of good practice by the regulated parties and the approval 

of these documents by the National Data Protection Authority are in accordance with 

the responsive model. 

 

Keywords: Codes of conduct. Guidelines of best practice. LGPD. Self-regulation. 

Responsive regulation. 
 

 

Resumo 

[Propósito] Avaliar o papel dos códigos de conduta e regras de boas práticas previstos 

na Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018), a partir da Teoria da 

Regulação Responsiva, a partir da obra de Ian Ayres e John Braithwaite, compreendendo 

seus papéis no desenvolvimento do sistema regulatório de dados pessoais. 

 
*Isabela Maria Rosal Santos é mestranda em Direito pela Universidade de Brasília, 
graduada em Direito pela mesma instituição. É advogada especialista em privacidade e 
atua como coordenadora de projetos do Centro de Direito, Internet e Sociedade (CEDIS -
IDP). Foi assessora no Tribunal do Conselho Administrativo de Defesa Econômica 
(CADE) e coordenadora da área de governança de dados e economia digital do 
Laboratório de Políticas Públicas e Internet (LAPIN). E-mail: 
isabelamrosal@gmail.com.  

mailto:isabelamrosal@gmail.com


150 As formas de autorregulação na LGPD a partir da regulação... (p. 149-162) 

 

SANTOS, I. M. R. As formas de autorregulação na LGPD a partir da regulação responsiva. Revista de Direito 
Setorial e Regulatório, v. 8, nº 1, p. 149-162, maio 2022. 

[Metodologia/abordagem/design] Levantamento bibliográfico sobre a Teoria da 

Regulação Responsiva e sobre o uso de códigos de conduta e guias de boas práticas na 

governança de dados pessoais. A partir disso, verificar se essa forma de autorregulação 

atende aos critérios e princípios do modelo responsivo. 

[Resultados] A partir da abordagem adotada, restou confirmada que a adoção de códigos 

de conduta e regras de boas práticas por parte dos regulad os e a homologação desses 

documentos pela Autoridade Nacional de Proteção de Dados estão de acordo com o 

modelo responsivo. 
 

Palavras-chave: Códigos de conduta. Guias de boas práticas. LGPD. Autorregulação. 

Regulação responsiva. 
 

INTRODUÇÃO 

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) 

foi promulgada após mais de oito anos de debates e duas audiências públicas 

(MENDES; DONEDA, 2018a) e surge em um contexto de sociedade movida a 

dados (ZUBOFF, 2019), em que o tratamento dessas informações é essencial ao 

desenvolvimento econômico e das atividades públicas (RODOTÀ, 2008). Por 

isso, foi adotado esse modelo generalista, aplicável tanto ao setor público quanto 

ao privado para garantir maior controle dos indivíduos sobre os seus dados, 

segurança da informação e a não discriminação (MENDES, 2019). 

 A regulação se assemelha bastante a outros modelos internacionais 

adotados, inclusive na busca por participação da sociedade no processo de 

regulação. Por essa razão a Lei tem caráter bastante principiológico 

(BENNETT; RAAB, 2018) e voltado para a adequação e boas práticas, fugindo 

do modelo tradicional de regulação de comando e controle.  

 Por isso, é possível falar que a LGPD adotou formatos coerentes à 

teoria da regulação responsiva, nos moldes apresentados por AYRES E 

BRAITHWAITE. Diante disso, a primeira parte do trabalho buscará apresentar 

essas características responsivas adotadas pela norma, demonstrando como as 

boas práticas e a governança são a base da pirâmide regulatória criada para o 

ecossistema de proteção de dados. 

 Em seguida, passaremos à análise dos Códigos de Conduta e de Boas 

Práticas1, mecanismos de autorregulação adotados pela LGPD. Esse momento 

exploratório buscará identificar as diferenças do modelo brasileiro para o 

europeu, que adota formato de corregulação, e apresentar as características que 

 
1Ao longo do texto, Código, Código de Conduta e Código de Boas Práticas serão 

utilizados como sinônimos, abarcando todas essas variações do instrumento regulatório.  



As formas de autorregulação na LGPD a partir da regulação responsiva (p. 149-162)  151 

SANTOS, I. M. R. As formas de autorregulação na LGPD a partir da regulação responsiva. Revista de Direito 
Setorial e Regulatório, v. 8, nº 1, p. 149-162, maio 2022. 

comprovam que esse instrumento é um dos elementos responsivos adotados pela 

norma geral brasileira. 

A TEORIA DA REGULAÇÃO RESPONSIVA ADOTADA PELA 

LGPD 

A Teoria da Regulação Responsiva surge como desenvolvimento do 

padrão tradicional regulatório de comando e controle entre o Estado e o 

administrado, creditando maior efetividade a mecanismos de autorregulação. 

Esses instrumentos devem ser compreendidos e analisados a partir da ideia de 

que as organizações privadas irão explorar os privilégios da possibilidade da 

criação das suas próprias normas regulatórias, então o escalonamento 

regulatório deve compreender essa tática industrial, apresentando formas de 

intervenção Estatal nas camadas mais rígidas das estratégias regulatórias 

(AYRES; BRAITHWAITE, 1992). 

 Para tanto, é proposto o modelo escalonado de regulações, 

representado por uma pirâmide, que pode apresentar diversos recortes. Existe 

certa discricionariedade na definição das camadas da pirâmide regulatória. 

Utilizamos, no presente trabalho, para ilustrar o papel dos Códigos de Conduta 

previstos na LGPD, a pirâmide de estratégias apresentada por AYRES e 

BRAITHWAITE em sua obra paradigmática sobre o tema, Reponsive 

Regulation: Transcending the Deregulation Debate. Essa dá protagonismo à 

forma passiva de autorregulação, com a adoção de formas autorregulatórias com 

sanções na camada superior, seguida por comandos regulatórios com sanções 

discricionárias e por fim, em situações excepcionais, no topo da pirâmide, a 

utilização de sanções tradicionais não-discricionárias (AYRES; 

BRAITHWAITE, 1992). 

 Esse modelo regulatório pode ser ainda mais efetivo em situações em 

que há a conjugação de organizações para a criação de uma norma 

autorregulatória, dando mais poder e significância a esse instrumento, indo além 

da lógica de uma única organização se gerindo (AYRES; BRAITHWAITE, 

1992). 

 Dessa forma, percebe-se que a Teoria Responsiva se preocupa em dar 

voz ativa ao próprio sujeito objeto da regulação. E essa foi uma movimentação 

adotada ao longo de todo o processo da criação da LGPD, que contou com a 

participação de diversos atores na definição das regras dessa arquitetura de 

proteção de dados desde a discussão do anteprojeto de lei que deu origem ao 

marco legal. O papel dos agentes não-Estatais foi tão relevante, que impactou 

definições essenciais da LGPD, inclusive as bases legais adotadas 

(INTERNETLAB, 2016).  



152 As formas de autorregulação na LGPD a partir da regulação... (p. 149-162) 

 

SANTOS, I. M. R. As formas de autorregulação na LGPD a partir da regulação responsiva. Revista de Direito 
Setorial e Regulatório, v. 8, nº 1, p. 149-162, maio 2022. 

Esses mecanismos participativos continuam após a entrada em vigor 

da LGPD, com a Autoridade Nacional de Proteção de Dados - ANPD2 - abrindo 

espaços de diálogo e contribuição da sociedade para as normas complementares 

que serão criadas por ela e com a divulgação da agenda regulatória dos próximos 

anos adotada pela Autoridade3. 

 As características responsivas também são observadas em vários 

pontos ao longo do próprio texto da LGPD. Destaca-se a previsão escalonada 

das sanções aplicáveis pelo descumprimento da lei, indo de advertência até 

multa de até 2% (dois por cento) do faturamento da empresa, limitada a 

R$50.000.000,00 (cinquenta milhões de reais).  

Mas o modelo responsivo é adotado em momentos anteriores ao 

sancionatório, pensando na adequação à LGPD, inclusive na necessidade da 

indicação de encarregado (data protection officer – DPO)4 e na possibilidade de 

adoção de regras de boas práticas e de governança, que será melhor explorado 

a seguir (GARCIA, 2020). As atribuições do encarregado demonstram uma 

atividade direta do regulado frente ao órgão regulatório, uma vez que as próprias 

atribuições do cargo demonstram a participação efetiva no controle e 

fiscalização da LGPD (CEDIS-IDP; CIPL, 2021) 

 As medidas responsivas podem ser o modelo mais efetivo e adequado 

para a regulação do sistema de proteção de dados brasileiro. Isso porque é 

necessário que o regulado cumpra as regras de proteção de dados de forma 

voluntária (FILHO, 2020), a fim de evitar qualquer incidente de segurança, 

porque, uma vez existente tal incidente, é muito difícil mitigar os danos do 

evento, havendo comparações com os acidentes ambientais. Inclusive, um dos 

 
2A própria estrutura da ANPD corrobora esse modelo responsivo. O ecossistema de 

proteção de dados brasileiro contará com o Conselho Naciona l de Proteção de Dados 

Pessoais, composto por representantes de diversas áreas do governo, da sociedade civil, 

da indústria, da academia e de entidades representativas. Esse órgão atuará ao lado da 

ANPD, propondo diretrizes e ações além de disseminar o conhecimento sobre a proteção 

de dados pessoais, conforme os artigos 58-A e 58-B da LGPD. 
3Até o presente momento, setembro de 2021, foram abertas duas Tomadas de Subsídio 

pela ANPD: uma sobre o tratamento diferenciado para agentes de tratamento de pequeno 

porte e outra sobre notificação de incidentes de segurança. Também foram abertas 

audiências públicas para debater a proposta de norma de aplicação da LPD para 

microempresas e empresas de pequeno porte e sobre a norma de fiscalização e aplicação 

de sanção. A agenda regulatória disponibilizada trata dos tópicos a serem explorados pela 

ANPD no biênio 2021-2022, conforme a Portaria nº 11, de 27 de Janeiro de 2021, 

publicada no Diário Oficial da União em 28/01/2021, edição 19, seção 1, página 3.  
4Art. 5º, VIII, da LGPD: encarregado: pessoa indicada pelo controlador e operador para 

atuar como canal de comunicação entre o controlador, os titulares dos dados e a 

Autoridade Nacional de Proteção de Dados (ANPD). 



As formas de autorregulação na LGPD a partir da regulação responsiva (p. 149-162)  153 

SANTOS, I. M. R. As formas de autorregulação na LGPD a partir da regulação responsiva. Revista de Direito 
Setorial e Regulatório, v. 8, nº 1, p. 149-162, maio 2022. 

princípios gerais trazidos pela LGPD é justamente a prevenção5, que garante 

essa ideia de se buscar o não acontecimento de qualquer incidente 

(CARVALHO; MATTIUZZO; PONCE, 2021). 

 Essas previsões dão grande autonomia às empresas, prezando pela 

construção de modelos de governança empresariais, que exige a internalização 

de custos de fiscalização, conscientização e adequação às normas impostas. Isso 

exige várias atividades de prevenção por parte das organizações, que acabam 

adotando sistemas de governança internos cada dia mais complexos e 

burocráticos a fim de tentar estabelecer controle sobre toda a sua organização 

(DOWBOR, 2018).  

Para efetivar tal modelo preventivo que depende da atuação dos 

regulados, a LGPD propõe várias medidas de autorregulação para os agentes de 

tratamento de dados, com a possível aplicação de sanções somente em momento 

posterior.  

IRAMINA apresenta a pirâmide de constrangimento da LGPD, que 

apresenta como base de todo o modelo regulatório as boas práticas e 

mecanismos de governança (IRAMINA, 2020): 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Figura 1 – Pirâmide de Constrangimento da LGPD (IRAMINA, 2020) 

 

 
5Art. 6º, VIII, da LGPD: prevenção: adoção de medidas para  prevenir a ocorrência de 

danos em virtude do tratamento de dados pessoais. 



154 As formas de autorregulação na LGPD a partir da regulação... (p. 149-162) 

 

SANTOS, I. M. R. As formas de autorregulação na LGPD a partir da regulação responsiva. Revista de Direito 
Setorial e Regulatório, v. 8, nº 1, p. 149-162, maio 2022. 

 Então, a base de toda a lógica de proteção de dados criada pela LGPD 

é justamente a adoção de regras de boas práticas e de governança, instrumento 

principal de modelo de autorregulação na LGPD. Esses mecanismos são muito 

importantes para setores tecnológicos movidos a dados, uma vez que existe uma 

dificuldade em atualizar as regulações aplicáveis à realidade do setor. Assim, 

modelos de autorregulação são fundamentais na sociedade da informação, em 

que a coleta e o tratamento de dados criam novas formas de poder (RODOTÀ, 

2008). A partir disso, a Lei apresenta mecanismos para garantir o efetivo 

compliance, adequação às regras impostas, com o escalonamento de sanções. 

OS CÓDIGOS DE BOAS PRÁTICAS NA LEGISLAÇÃO DE 

PROTEÇÃO DE DADOS PESSOAIS 

A LGPD foi criada com grande influência do Regulamento Geral de Proteção 

de Dados (RGPD), norma europeia sobre o tema. Isso fica explicitado a partir 

do modelo de proibição ex ante do tratamento de dados, em que o 

processamento de informações só poderá ser realizado se justificado a partir de 

alguma das bases legais previstas (MENDES; DONEDA, 2018b) ou pelo 

caráter principiológico da lei (BENNETT; RAAB, 2018). Mas a influência 

europeia não se esgota nesse ponto, a previsão de autoridade especializada 

também tem influência da experiência europeia, assim como a adoção de guias 

de boas práticas e de condutas. 



As formas de autorregulação na LGPD a partir da regulação responsiva (p. 149-162)  155 

SANTOS, I. M. R. As formas de autorregulação na LGPD a partir da regulação responsiva. Revista de Direito 
Setorial e Regulatório, v. 8, nº 1, p. 149-162, maio 2022. 

 O RGPD traz previsões sobre os códigos de conduta em seus artigos 

406 e 417. Esse traz regras específicas sobre o monitoramento de códigos de 

 
6Art. 40 (1) Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão 

promovem a elaboração de códigos de conduta destinados a contribuir para a correta 

aplicação do presente regulamento, tendo em conta as características dos diferentes 

setores de tratamento e as necessidades específicas das micro, pequenas e médias 

empresas. (2) As associações e outros organismos representantes de categorias de 

responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, 

alterar ou aditar a esses códigos, a fim de especificar a aplicação do presente regulamento, 

como por exemplo (...) (3) Além dos responsáveis pelo tratamento ou dos subcontratantes 

sujeitos ao presente regulamento, também os responsáveis pelo tratamento ou 

subcontratantes que não estão sujeitos ao presente regulamento por força do 

artigo 3º podem cumprir códigos de conduta aprovados em conformidade com o nº 5 do 

presente artigo e de aplicabilidade geral por força do nº 9 do presente artigo, de modo a 

fornecer garantias apropriadas no quadro das transferências dos dados pessoais para 

países terceiros ou organizações internacionais nos termos referidos no artigo  46, nº 2, 

alínea e). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos 

vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros 

instrumentos juridicamente vinculativos, no sentido de aplicar as garantias apropriadas, 

inclusivamente em relação aos direitos dos titulares dos dados. (4) Os códigos de conduta 

referidos no nº 2 do presente artigo devem prever procedimentos que permitam ao 

organismo referido no artigo 41.o, no 1, efetuar a supervisão obrigatória do cumprimento 

das suas disposições por parte dos responsáveis pelo tratamento ou subcontratantes que 

se comprometam a aplicá-lo, sem prejuízo das funções e competências das autoridades 

de controlo competentes por força do artigo 55 ou 56. (5) As associações e outros 

organismos a que se refere o no 2 do presente artigo que tencionem elaborar um código 

de conduta, ou alterar ou aditar a um código existente, apresentam o projeto de código, a 

alteração ou o aditamento à autoridade de controlo que é competente por força do 

artigo 55.o. A autoridade de controlo emite um parecer sobre a conformidade do projeto 

de código de conduta ou da alteração ou do aditamento com o presente regulamento e 

aprova este projeto, esta alteração ou este aditamento se determinar que são previstas 

garantias apropriadas suficientes. (6) Se o código de conduta, ou a alteração ou o 

aditamento for aprovado nos termos do no 5, e se o código de conduta em causa não 

estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, 

a autoridade de controlo regista e publica o código. (7) Se o projeto do código de conduta 

estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, 

a autoridade de controlo competente nos termos do artigo  55.o, antes da aprovação, 

apresenta o projeto do código, a alteração ou o aditamento, pelo procedimento referido 

no artigo 63.o, ao Comité, que emite um parecer sobre a conformidade do projeto de 

código de conduta, ou da alteração ou do aditamento, com o presente regulamento, ou, 

na situação referida no no 3 do presente artigo, sobre a previsão de garantias adequadas; 

(8) Se o parecer a que se refere o no 7 confirmar que o projeto do código de conduta, ou 

a alteração ou o aditamento, está conforme com o presente regulamento ou, na situação 

 



156 As formas de autorregulação na LGPD a partir da regulação... (p. 149-162) 

 

SANTOS, I. M. R. As formas de autorregulação na LGPD a partir da regulação responsiva. Revista de Direito 
Setorial e Regulatório, v. 8, nº 1, p. 149-162, maio 2022. 

conduta aprovados, que pode ser feito por entidade com apropriado nível de 

expertise em relação à matéria tratada; esse procedimento pode ser atribuído, 

inclusive, a organizações privadas, o que demonstra o profundo relacionamento 

 

referida no no 3, prevê garantias adequadas, o Comité apresenta o seu parecer à 

Comissão. (9)  A Comissão pode, através de atos de execução, decidir que os códigos de 

conduta aprovados, bem como as alterações ou os aditamentos, que lhe sejam 

apresentados nos termos do no 8 do presente artigo, são de aplicabilidade geral na União. 

Os referidos atos de execução são adotados pelo procedimento de exame a que se refere 

o artigo 93.o, no 2. (10) A Comissão assegura a publicidade adequada dos códigos 

aprovados que declarou, mediante decisão, serem de aplicabilidade geral em 

conformidade com o no 9. (11) O Comité recolhe todos os códigos de conduta aprovados, 

respetivas alterações e respetivos aditamentos num registo e disponibiliza -os ao público 

pelos meios adequados. 
7Art. 40 (1) Sem prejuízo das funções e competências da autoridade de controlo 

competente ao abrigo dos artigos 57 e 58, a supervisão de conformidade com um código 

de conduta nos termos do artigo 40 pode ser efetuada por um organismo que tenha um 

nível adequado de competência relativamente ao objeto do código e esteja acreditado 

para o efeito pela autoridade de controlo competente. (2) O organismo a que se refere o 

no 1 pode ser acreditado para supervisão de conformidade com um código de conduta, 

se: a) Tiver demonstrado que goza de independência e dispõe dos conhecimentos 

necessários em relação ao objeto do código, de forma satisfatória para a autoridade de 

controlo competente; b) Tiver estabelecido procedimentos que lhe permitam avaliar a 

elegibilidade dos responsáveis pelo tratamento e dos subcontratantes em questão para 

aplicar o código, verificar se estes respeitam as disposições do mesmo e rever 

periodicamente o seu funcionamento; c) Tiver estabelecido procedimentos e estruturas 

para tratar reclamações relativas a violações do código ou à forma como o código tenha 

sido ou esteja a ser aplicado pelo responsável pelo tratamento ou subcontratante, e para 

tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o 

público; e d) Demonstrar, de forma satisfatória para a autoridade de controlo competente, 

que as suas funções e atribuições não implicam um conflito de interesses. (3) A 

autoridade de controlo competente apresenta os projetos de critérios para a acreditação 

do organismo referido no nº 1 do presente artigo ao Comité, de acordo com o 

procedimento de controlo da coerência referido no artigo 63. (4) Sem prejuízo das 

funções e competências da autoridade de controlo competente e do disposto no 

capítulo VIII, o organismo a que se refere o no 1 do presente artigo toma, sob reserva das 

garantias adequadas, as medidas que forem adequadas em caso de violações do código 

por um responsável pelo tratamento ou por um subcontratante, incluindo a suspensão ou 

exclusão desse responsável ou subcontratante do código. O referido organismo informa 

a autoridade de controlo competente dessas medidas e dos motivos que levaram à sua 

tomada. (5) A autoridade de controlo competente revoga a acreditação do organismo a 

que se refere o nº 1 se as condições para a acreditação não estiverem ou tiverem deixado 

de estar reunidas, ou se as medidas tomadas pelo organismo violarem o presente 

regulamento. (6) O presente artigo não se aplica ao tratamento realizado por autoridades 

e organismos públicos. 



As formas de autorregulação na LGPD a partir da regulação responsiva (p. 149-162)  157 

SANTOS, I. M. R. As formas de autorregulação na LGPD a partir da regulação responsiva. Revista de Direito 
Setorial e Regulatório, v. 8, nº 1, p. 149-162, maio 2022. 

entre o público e o privado. Além disso, fica clara a possibilidade dos próprios 

autores do Código já estabelecerem previsões sobre a forma de monitoramento, 

desde que seja respeitada a autonomia deste órgão (MAELEN, 2020). Já aquele 

fala sobre as regras de produção de um código de conduta, tratando os assuntos 

que podem ser abordados e quem pode elaborar tal documento: associações e 

outras entidades representantes de categorias de controladores ou operadores.  

 Para terem a validade comprovada, esses instrumentos devem ser 

aprovados pela autoridade competente, que avaliará se existem mecanismos 

suficientes para garantir a proteção dos direitos e liberdades do titular - 

Considerando 100 e artigo 40(5), do RGPD (CARVALHO; MATTIUZZO; 

PONCE, 2021; MAELEN, 2020). Essas salvaguardas devem ter efeito 

vinculante sobre os agentes que serão objeto do Código, através de contratos ou 

outros instrumentos legais, garantindo o enforcement das regras ali 

estabelecidas – artigo 40(3), do RGPD. 

 Ainda, a adoção de Códigos de Conduta pode possibilitar a 

transferência internacional de dados para regiões, países ou organizações que 

ainda não tiveram o nível de adequação aprovado pelas autoridades 

competentes. Para tal fim, esses instrumentos podem ser conjugados a outros 

mecanismos de comprovação de cumprimento das regras de proteção de dados, 

como selos ou certificados também regularmente emitidos (KAMINSKI, 2019). 

 O modelo adotado pelo regulamento europeu se aproxima de uma 

forma de corregulação, devido à obrigatoriedade do papel das autoridades 

públicas responsáveis, ou seja, do Estado (KAMINSKI, 2019). BENNET e 

RAAB afirmam, inclusive, que a tendência do tema de proteção de dados é a 

aproximação ao modelo de corregulação, trazendo maior conectividade para os 

instrumentos regulatórios criados (BENNETT; RAAB, 2018). 

A realidade brasileira, apesar das semelhanças com o modelo europeu, 

adota modelo mais próximo da autorregulação oferecendo maior liberdade aos 

agentes regulados8. A Seção II, do Capítulo VII da LGPD trata justamente sobre 

as Boas Práticas e Governança, trazendo, em seu art. 50, a previsão de que os 

agentes de tratamento “poderão formular regras de boas práticas e de 

governança”. Esse mesmo dispositivo dispõe sobre as amplas possibilidades 

dentro dessas regras, abrangendo desde ações educativas até padrões técnicos 

de segurança, oferecendo abertura a outras medidas a serem adotadas pelos 

agentes de tratamento. Entre essas outras formas de adoção de boas práticas 

estão os Códigos de Conduta e Boas Práticas. 

 
8BENNET e RAAB argumentam que a autorregulação é vista no modelo estadunidense 

de proteção de dados pessoais, em que o foco das leis é voltado para a atividade Estatal, 

enquanto os agentes privados adotam formas de autorregulação (BENNETT; RAAB, 

2018). 



158 As formas de autorregulação na LGPD a partir da regulação... (p. 149-162) 

 

SANTOS, I. M. R. As formas de autorregulação na LGPD a partir da regulação responsiva. Revista de Direito 
Setorial e Regulatório, v. 8, nº 1, p. 149-162, maio 2022. 

Ressalta-se que esses mecanismos de boas práticas podem ser adotados 

através de associações ou individualmente por algum agente de tratamento de 

dados. Os programas individuais assumem forma de compliance empresarial, e 

são de extrema relevância para agentes com atividades muito específicas. Já os 

mecanismos de boas práticas adotados por associações ou outras entidades 

representativas assumem formato de autorregulação (CARVALHO; 

MATTIUZZO; PONCE, 2021). Como mencionado, conforme a teoria de 

regulação responsiva, a organização conjunta de agentes com atividades 

similares dá maior relevância aos produtos regulatórios criados (AYRES; 

BRAITHWAITE, 1992). 

Diferentemente do RGPD, a norma brasileira não traz definições sobre 

quem essas associações poderão representar. Mas, parece certo uma abertura 

normativa para adoção de tais mecanismos por qualquer agente de tratamento: 

controlador, operador e até aqueles com regras diferenciadas (pequenas e micro 

empresas, startups, empresas de inovação). Contudo, ainda se mostra necessária 

maior regulamentação do tema, principalmente sobre âmbito de aplicação 

territorial de tais regras ou Códigos e representação mínima para um código ser 

válido, adotando distinções mencionadas entre os mecanismos de 

autorregulação e programas de compliance. 

Além disso, o texto do art. 32 da LGPD prevê a possibilidade de a 

ANPD sugerir adoção de padrões e de boas práticas para agentes do setor 

público, relacionando tais mecanismos com a ideia de responsabilidade por 

inobservância da Lei pela Administração Pública. O formato de tais normas de 

boas práticas não deverá seguir o modelo de Código de Boas Práticas ou de 

Conduta, devido às normas aplicáveis ao setor público; contudo, os 

regulamentos, portarias, decretos ou outros instrumentos poderão servir como 

guias para os Códigos criados no setor privado. 

Diante disso, já temos alguns recortes em relação à adoção de Códigos 

de Conduta: (i) eles podem ser elaborados individualmente ou através de 

entidades representativas, desde que haja uma relevância em sua adoção (seja 

por parcela de mercado ou por especificidade de atividades, por exemplo); (ii) 

esse modelo não é completamente compatível com o setor público, apesar de a 

LGPD ser aplicável às entidades Estatais, mas outros instrumentos congêneres 

podem ser adotados; (iii) são necessárias regras complementares por parte da 

ANPD sobre territorialidade e representatividade mínima de tais Códigos. 

 De qualquer forma, todo o processo de adoção de Códigos de Conduta 

auxilia a comprovação da observância dos princípios de segurança (art. 6º, VII, 

LGPD), prevenção (art. 6º, VIII, LGPD), responsabilização e prestação de 

contas (art. 6º, X, LGPD), criando maior confiança nas organizações que têm 

esse comportamento ativo de adequação às normas de privacidade, 



As formas de autorregulação na LGPD a partir da regulação responsiva (p. 149-162)  159 

SANTOS, I. M. R. As formas de autorregulação na LGPD a partir da regulação responsiva. Revista de Direito 
Setorial e Regulatório, v. 8, nº 1, p. 149-162, maio 2022. 

principalmente considerando o caráter voluntário da criação de tais 

instrumentos. Para assegurar a confiança também no Código, são necessários 

mecanismos de acompanhamento da aplicação e observância das regras por 

parte dos signatários (ICO, 2021). 

 A obrigação de demonstrar a observância das boas práticas adotadas 

em Códigos passa para o âmbito individual organizacional, fazendo parte do 

programa de governança (ou compliance) adotado pela empresa, conforme o art. 

50, §2º, I, b, da LGPD. Esses mecanismos já podem estar previstos no próprio 

Código, facilitando a relação desses instrumentos com a ANPD e as 

organizações vinculadas. Assim, os Códigos cumprem o papel pretendido de 

governança colaborativa com delegação de responsabilidades para o setor 

privado (KAMINSKI, 2019). 

 Mas, seguindo a ideia de autorregulação, a LGPD não prevê a 

obrigatoriedade de homologação dos Códigos de Conduta e Boas Práticas. 

Diferentemente do modelo de corregulação europeu, o §3º do art. 50 da LGPD 

prevê um dever de publicidade e atualização das regras de boas práticas e de 

governança, o que já garante a vinculação de tais normas com os titulares dos 

dados. O reconhecimento e divulgação pela Autoridade Nacional é processo 

adicional. Então, a não homologação da ANPD não retira a validade de eventual 

Código de Conduta, sendo preservados, inclusive, os efeitos relacionados. 

 Entre os efeitos positivos da adoção está a consideração de políticas de 

boas práticas e governança como parâmetro e critério para definição da sanção 

(art. 52, §1º, IX, da LGPD). Isso é prova da adoção de critérios responsivos na 

criação da LGPD, inclusive em relação aos instrumentos de autorregulação, uma 

vez que a base da implementação da LGPD é baseada em boas práticas e essas 

ainda influem nas sanções quando existe um descumprimento da lei. Ou seja, 

empresas terão penas mais brandas quando comprovarem preocupação e adoção 

de medidas de boas práticas (IRAMINA, 2020). Dessa forma, a própria 

legislação cria incentivos para a adoção de mecanismos de autorregulação (ICO, 

2021). 

Então, aproveitando da Pirâmide de Constrangimento apresentada por 

IRAMINA e adotada nesse trabalho (Figura 1), entende-se que os Códigos de 

Boas Práticas fazem parte da base do sistema regulatório responsivo adotado 

pela LGPD, sendo eles um mecanismo de autorregulação, devido à 

independência e liberdade oferecida às organizações empresariais na adoção de 

tais instrumentos. Esses ainda continuam impactando as outras camadas da 

Pirâmide ao passo que podem justificar sanções mais brandas se houver a 

comprovação de observância e adoção de tais normas de conduta e governança, 

justificando um modelo que se preocupa mais na criação de um sistema de 

prevenção de incidentes do que um modelo puramente sancionatório. 



160 As formas de autorregulação na LGPD a partir da regulação... (p. 149-162) 

 

SANTOS, I. M. R. As formas de autorregulação na LGPD a partir da regulação responsiva. Revista de Direito 
Setorial e Regulatório, v. 8, nº 1, p. 149-162, maio 2022. 

CONCLUSÃO 

Após um processo exploratório de revisão bibliográfica, restou clara a 

adoção da teoria da regulação responsiva na construção da arquitetura 

regulatória proposta pela LGPD. Essa escolha esteve presente desde o início da 

construção do texto normativo, contando com a participação de diversos agentes 

ao longo do desenvolvimento do marco legal. A consideração dos regulados 

ainda está presente nos processos de normatização complementares conduzidos 

pela ANPD. 

Mas, além da Lei, o ecossistema de proteção de dados brasileiro ainda 

conta com formas de autorregulação responsiva, a partir do incentivo à adoção 

de sistemas de compliance e governança empresariais. Esses processos podem 

ser feitos individualmente ou em conjunto, havendo maior força dos 

instrumentos criados a partir da representatividade de entidades conjuntas, pela 

maior representação. Contudo, não se afasta a relevância dos modelos 

individuais, principalmente considerando a existência de modelos de negócio 

únicos ou de mercados altamente concentrados, podendo esses instrumentos 

autorregulatórios servirem como base para uma dificuldade de respostas 

regulatórias encontrada para as gigantes de tecnologia (RODOTÀ, 2008; 

ZUBOFF, 2019). 

 Um dos instrumentos que podem ser adotados para comprovar tal 

processo de compliance são os Códigos de Boas Práticas e de Conduta. Esses 

documentos, também previstos no RGPD, possibilitam uma publicidade da 

forma regulatória, o que possibilita maior controle social e Estatal do modelo de 

governança adotado. O modelo europeu se diferencia do brasileiro ao passo em 

que é obrigatória a homologação por parte de autoridade competente, enquanto 

o nacional independe da participação Estatal para gerar os efeitos positivos da 

sua adoção, principalmente a minimização das sanções cabíveis para o 

descumprimento da Lei.  

 Justamente por essa independência dada para os agentes na elaboração 

de tais Códigos, foi possível compreender tais instrumentos como 

autorregulatórios que fazem parte da estrutura responsiva da LGPD. Apesar de 

serem necessárias normativas complementares sobre o tema a serem criadas 

pela ANPD, já é possível a elaboração de tais documentos por empresas ou 

associações representativas. O Código poderá prever formas de monitoramento, 

mas a comprovação do cumprimento das regras estabelecidas no documento 

dependerá de atividades internas da própria empresa, fazendo parte do 

compliance individual.  



As formas de autorregulação na LGPD a partir da regulação responsiva (p. 149-162)  161 

SANTOS, I. M. R. As formas de autorregulação na LGPD a partir da regulação responsiva. Revista de Direito 
Setorial e Regulatório, v. 8, nº 1, p. 149-162, maio 2022. 

REFERÊNCIAS BIBLIOGRÁFICAS 

 

AYRES, I.; BRAITHWAITE, J. Responsive Regulation: Transcending the 

Deregulation Debate. Nova Iorque: Oxford University Press, 1992.  

BENNETT, C. J.; RAAB, C. D. Revisiting “The Governance of Privacy”: 

Contemporary Policy Instruments in Global Perspective. Revised 

version forthcoming in “Regulation and Governance”, 2018. 

CARVALHO, V. M. DE; MATTIUZZO, M.; PONCE, P. P. Boas Práticas e 

Governança na LGPD. In: DONEDA, D. et al. (Org.). Tratado de 

Proteção de Dados Pessoais. 1. ed. Rio de Janeiro: Forense, 2021. p. 

361–374.  

CEDIS-IDP CIPL; O Papel do/a Encarregado/a conforme a Lei Geral de 

Proteção de Dados Pessoais (LGPD). 2021. 

DOWBOR, L. A Era do Capital Improdutivo. 2. ed. São Paulo: Outras Palavras 

& Autonomia Literária, 2018.  

FILHO, M. A. M. Da regulação responsiva à regulação inteligente: uma análise 

crítica do desenho regulatório do setor de transporte ferroviário de cargas 

no Brasil. Revista de Direito Setorial e Regulatório, v. 6, n. 1, p. 144–

163, 2020. 

GARCIA, R. C. DE C. Proteção De Dados Pessoais No Brasil : Uma Análise 

Da Lei No 13.709/2018 Sob a Perspectiva da Teoria da Regulação 

Responsiva. Revista de Direito Setorial e Regulatório, v. 6, n. 2, p. 45–

58, 2020. 

ICO. Guide to the General Data Protection Regulation (GDPR). [S.l: s.n.], 

2021. 

INTERNETLAB. O que está em jogo no debate sobre dados pessoais no 

Brasil? Relatório Final sobre o debate público promovido pelo 

ministério da justiça sobre o anteprojeto de lei de proteção de dados 

pessoais. [S.l: s.n.], 2016. 

IRAMINA, A. RGPD v. LGPD: Adoção Estratégica da Abordagem Responsiva 

na Elaboração da Lei Geral de Proteção de Dados do Brasil e do 

Regulamento Geral de Proteção de Dados da União Europeia. Revista 

de Direito, Estado e Telecomunicacoes, v. 12, n. 2, p. 91–117, 2020. 



162 As formas de autorregulação na LGPD a partir da regulação... (p. 149-162) 

 

SANTOS, I. M. R. As formas de autorregulação na LGPD a partir da regulação responsiva. Revista de Direito 
Setorial e Regulatório, v. 8, nº 1, p. 149-162, maio 2022. 

KAMINSKI, M. E. Binary governance: Lessons from the GDPR’S approach to 

algorithmic accountability. Southern California Law Review, v. 92, n. 

6, p. 1529–1616, 2019. 

MAELEN, C. VANDER. Codes of (Mis)conduct? an appraisal of articles 40-

41 gdpr in view of the 1995 data protection directive and its 

shortcomings. European Data Protection Law Review, v. 6, n. 2, p. 

231–242, 2020. 

MENDES, L. S. A Lei Geral de Proteção de Dados: um modelo de aplicação 

em três níveis. Caderno Especial LGPD, v. 1, n. 81, p. 35–56, 2019. 

MENDES, L. S.; DONEDA, D. Comentário á Nova Lei de Proteção de Dados 

(Lei 13.709/2018): O Novo Paradigma da Proteção de Dados no Brasil. 

Revista de Direito do Consumidor, v. 120, p. 555–587, 2018a. 

MENDES, L. S.; DONEDA, D. Reflexões Iniciais sobre a Nova Lei Geral de 

Proteção de Dados. Revista de Direito do Consumidor, v. 120, p. 469–

483, 2018b. 

RODOTÀ, S. A Vida na Sociedade da Vigilância - A Privacidade Hoje. 1. ed. 

Rio de Janeiro: Renovar, 2008.  

ZUBOFF, S. The Age of Surveillance Capitalism. [S.l: s.n.], 2019. v. 53.  

 

 
Journal of Law and Regulation 

Revista de Direito Setorial e Regulatório 

 

Contact: 

Universidade de Brasília - Faculdade de Direito - Núcleo de Direito Setorial e Regulatório 

Campus Universitário de Brasília 

Brasília, DF, CEP 70919-970 

Caixa Postal 04413 

 

Phone: +55(61)3107-2683/2688 

 

E-mail: ndsr@unb.br  

Submissions are welcome at: https://periodicos.unb.br/index.php/RDSR 

 

 

 

mailto:ndsr@unb.br
https://periodicos.unb.br/index.php/RDSR