Entendendo a

LGPD
Teoria - 1

Salomão de Oliveira
https://www.linkedin.com/in/salomaooliveira/ Setembro/2020
Contexto Global – LGPD

GDPR – EU + EEE → Os vinte e oito estados membros da União Europeia +

Islândia, o Liechtenstein e a Noruega.
- Alcance extraterritorial (LGPD também)

GDPR x Cultura da Privacidade → O Regulamento substitui a Diretiva 95/46/EC,

escrita na década de 1990.

GDPR x Mundo → Nivelamento por cima – adequação equiparada para atender

a GDPR, como forma de equidade nas relações econômicas.
Objetivo da Lei Geral de Proteção de Dados - LGPD

LEI Nº 13.709, DE 14 DE AGOSTO DE 2018.

A LGPD – Lei geral de proteção de dados, sancionada em 14 de agosto de 2018

pelo ex-Presidente Michel Temer, tem por objetivo (Art. 1º) “dispor sobre o
tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural
ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger
os direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural”.

Vigência da Lei: mais ou menos em 18 de setembro de 2020

 Derrubando alguns Mitos sobre a LGPD

Mito: LGPD é sobre proteção de dados – Segurança da Informação

Realidade: proteger os direitos fundamentais de liberdade e de privacidade e o livre

desenvolvimento da personalidade da pessoa natural.

- Liberdade de autodeterminação, escolha, decisão, divulgação, anonimato¹,

esquecimento², etc.
- Privacidade quanto aos dados pessoais, perfis, atividades, vida privada,
pensamento, etc.
- Livre pensamento, não indução, Fake News, livre arbítrio, não obscuridade, etc.
 Derrubando alguns Mitos sobre a LGPD

Mito: LGPD altera todas as regras para tratamento de dados

Realidade 1: Nada que é permitido a LGPD proíbe.

Realidade 2: Nada que é proibido a LGPD permite.

- A LGPD não revoga outras Leis que já versam sobre tratamento de dados, mas as
utiliza como bases legais para tal tratamento (Ex.: cumprimento de obrigação legal
ou regulatória).
- Apresenta algumas regras para que o tratamento não prejudique os direitos dos
titulares.
 Derrubando alguns Mitos sobre a LGPD

Mito: “Qualquer coisa usamos o Interesse Legítimo”

Realidade 1: Tem aplicação limitada a casos específicos, concretos e registrados.

Realidade 2: É subjetivo, trazendo riscos de entendimento diverso em caso de
oposição.

- É uma base ‘fraca’, subjetiva e que aumenta os custos com controles.

- Se usado, deve ter a aplicação da ‘minimização’ levada ao seu grau máximo.
- Transparência deve ser ainda maior do que para outras bases.
- Business Case obrigatório (Art. 10) – casos concretos. Elaborar o ‘relatório de impacto à proteção
de dados pessoais’.
- Na dúvida, consultar a ANPD, caso possível (padrão da Europa).
 Derrubando alguns Mitos sobre a LGPD

Mito: “Consentimento é a Bala de Prata!”

Realidade 1: É uma das dez bases possíveis. Não é a única e nem a melhor.
Realidade 2: Está mais para ‘Bala de Ouro’, pois é a mais cara de manter.

- Só pode ser aplicada se não tiver outra mais forte, sob pena de não transparência.
- Se usado, deve ter gerenciamento total, pois o ônus é da OSC.
- Deve ser aplicada considerando todos os princípios e outros requisitos da LGPD.
- Custa caro e de difícil manutenção.
 Derrubando alguns Mitos sobre a LGPD

Mito: ANPD vai penalizar vazamentos de dados pessoais. Multas 50K!!

Realidade 1: As maiores multas na Europa não foram por conta de vazamento ou

incidente de segurança.
Realidade 2: Justificar um vazamento é simples, difícil é justificar a utilização
indevida!

- A utilização de dados em desacordo com a Lei é uma ação deliberada e opcional.

- Consideremos a máxima de que não há segurança 100%.
- Não entender o cenário de utilização de dados pessoais, os riscos inerentes dessa utilização, não
providenciar os controles necessários, isso sim gera altas multas.
 Derrubando alguns Mitos sobre a LGPD

Mito: Criptografia resolve muita coisa, no quesito segurança!

Realidade: Criptografia não resolve 95% dos problemas de SI (chute!!).

- Se eu tenho a chave, tenho acesso. Se tenho acesso...

- Encriptar banco de dados só protege o banco fechado!!
- Cuidado com soluções miraculosas. Costumam ser placebos bem caros.
 Derrubando alguns Mitos sobre a LGPD

Mito: E você, o que tem ouvido sobre a LGPD?

LGPD - LEI Nº 13.709, DE 14 DE AGOSTO DE 2018
 Conceitos importantes

Empresas de todos os setores, incluindo as OSCs, e de todos os portes tratam dados pessoais. A Lei vale para todas elas!
Conceitos – Dados Pessoais – Art. 5º

Dados Pessoais (Art. 5º - I)

Segundo a Lei LGPD, dados pessoais são aqueles relacionados a pessoa natural identificada ou
identificável.
A identificação de maneira direta ou indireta indica que o dado se enquadra na definição de dado
pessoal, como Nome, CPF, endereço, dados de localização, identificadores eletrônicos, hábitos de
consumo, preferências , dentre outros.
Dados Pessoais Sensíveis (Art. 5º - II)

Filiação a organização de caráter Origem racial Filiação

religioso, filosófico ou político ou étnica Sindical

Convicção religiosa

Titular dos dados

Opinião Dados referentes à Dados genéticos

Política saúde ou à vida sexual ou biométricos
 Princípios para tratamento de dados – Art. 6º

Boa-fé e ...
 Bases Legais - tratamento de dados
As OSCs deverão comprovar ao menos uma das seguintes bases legais para realizar o tratamento
dados pessoais (art. 7º):

I – consentimento pelo titular, de

II - cumprimento de obrigação legal ou
forma específica e destacada, para
finalidades específicas.
regulatória pelo controlador. Tipo
Dados de Usuários
IV - para a realização de estudos por
III - pela administração pública, para o
tratamento e uso compartilhado de dados
órgão de pesquisa, garantida, sempre que Processo
possível, a anonimização dos
necessários à execução de políticas públicas
dados pessoais; Encaminhamento
Trabalho
V - para a execução de contrato ou
de procedimentos preliminares VI - para o exercício regular de direitos
em processo judicial, administrativo ou Base Legal
relacionados a contrato do qual
seja parte o titular. arbitral.

VII - para a proteção da vida ou da VIII - para a tutela da saúde, em

incolumidade física do titular ou de procedimento realizado por profissionais
terceiro. da área da saúde ou por entidades
sanitárias Compartilhamento
Empresas
IX - quando necessário para atender aos Órgãos do Governo
interesses legítimos do controlador ou
de terceiro, consideradas a partir de X - para a proteção do crédito.
situações concretas.
 Bases Legais - tratamento de dados sensíveis
Para realizar o tratamento dados pessoais sensíveis (art. 11º), as bases legais devem ser ainda mais bem definidas.
I – consentimento pelo titular,
de forma específica e
destacada, para finalidades
específicas;
II - sem fornecimento de
consentimento do titular, nas
hipóteses em que for
indispensável para:
a) cumprimento de obrigação legal ou regulatória
pelo controlador;
b) pela administração pública, para o tratamento e Tipo
uso compartilhado de dados necessários à
execução de políticas públicas Dados de Usuários
Saúde
c) para a realização de estudos por órgão de
pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais; Processo
Assistência Psicológica
d) exercício regular de direitos, inclusive em
contrato e em processo judicial, administrativo e
arbitral; Base Legal
e) proteção da vida ou da incolumidade física do
titular ou de terceiro;
f) tutela da saúde, em procedimento realizado por
profissionais da área da saúde ou por entidades Compartilhamento
sanitárias; ou
Rede de assistência
g) garantia da prevenção à fraude e à segurança do
titular, nos processos de identificação e
autenticação de cadastro em sistemas eletrônicos.
 Tratamento de dados de crianças ou adolescentes
Para realizar o tratamento dados de crianças ou adolescentes (art. 14º), há apenas uma base possível.
Art. 14. ... em seu melhor
interesse, nos termos deste
artigo e da legislação
pertinente;
Art. 3º A criança e o adolescente
gozam de todos os direitos
fundamentais inerentes à pessoa
humana, sem prejuízo da proteção
integral de que trata esta Lei,
assegurando-se-lhes, por lei ou
por outros meios, todas as
oportunidades e facilidades, a fim
de lhes facultar o desenvolvimento
físico, mental, moral, espiritual e
social, em condições de liberdade
e de dignidade.
§ 1º consentimento específico e em destaque dado por pelo
menos um dos pais ou pelo responsável legal;
§ 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão
manter pública a informação sobre os tipos de dados coletados, a forma de sua
utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18
desta Lei.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se
refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o
responsável legal, utilizados uma única vez e sem armazenamento, ou para sua
proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento
de que trata o § 1º deste artigo.
§ 4º Os controladores não deverão condicionar a participação dos titulares de que trata
o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao
fornecimento de informações pessoais além das estritamente necessárias à atividade.
§ 5º O controlador deve realizar todos os esforços razoáveis para verificar que o
consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela
criança, consideradas as tecnologias disponíveis.
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser
fornecidas de maneira simples, clara e acessível, consideradas as características físico-
motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos
audiovisuais quando adequado, de forma a proporcionar a informação necessária aos
pais ou ao responsável legal e adequada ao entendimento da criança.
Bases Legais mais Utilizadas

Legítimo Interesse Execução de Contrato

0
33% 100% 0
32% 100%

Cumprimento de Obrigação Legal Consentimento

Regulatória
18% 8% 100%
0
0 100%

Exercício Regular de Direitos Outros

0
7% 100%
0
2% 100%

Análise de mais de 1.200 operações de tratamento de dados pessoais em diversos setores

Fonte: portaldaprivacidade.com.br
 Direitos dos titulares dos dados

Os titulares de dados pessoais passam a ter os seguintes direitos:

Informação a
Confirmação da respeito do
existência de Portabilidade Eliminação compartilhamento
tratamento de dados

Acesso aos
Possibilidade de
dados
receber informação
Anonimização sobre não fornecer o
consentimento e suas
Correção de dados consequências
incompletos,
inexatos ou Revogação do
desatualizados consentimento
 Deveres do Controlador

Artigo 7 Artigo 37 Artigo 41 Artigo 44

Legitimidade da Registro de Nomeação de Segurança
coleta operações de encarregado
tratamento

Artigo 50 Artigo 50 Artigo 50

Resposta à Avaliação de Estabelecer
incidentes riscos à Governança
privacidade
 Projeto LGPD – Justificativas, Benefícios e Riscos
Justificativas
Benefícios

Prevenção
Visibilidade
 LGPD – Principais pontos do projeto / Lei

Negócio - Processos

Lei - Bases

Tecnologia - Suporte
Consentimento - A mais complexa das hipóteses legais
Consentimento - A mais complexa das hipóteses legais
Consentimento - A mais complexa das hipóteses legais
Consentimento - A mais complexa das hipóteses legais
Consentimento - A mais complexa das hipóteses legais
Consentimento - A mais complexa das hipóteses legais
Consentimento – Crianças e Adolescentes
 Aplicando a
LGPD
Prática

Salomão de Oliveira
https://www.linkedin.com/in/salomaooliveira/ Setembro/2020
 3 - Mapeamento dos blocos
de dados pessoais e dados 4 - Realização de análise de riscos à 7 - Monitoramento de processos,
pessoais sensíveis nos privacidade e impactos em caso de controles e ambiente externo
processos, sistemas e violação de dados Comunicação com Titulares e ANPD
repositórios Gerenciamento de Crises

3 – Mapeamento 7 – Operação
Titulares 2 - Mapeamento
Fluxo de Dados
Dados Pessoais, Dados Sensíveis
Monitoramento e comunicação ANPD

6 – Implantação
Processos, Tecnologias
Processos, Sistemas

6 - Implantação dos
Terceiros

Controles
novos processos e
2 - Mapeamento dos
controles
processos e terceiros
tecnológicos e
afetados ou envolvidos
administrativos

1 - Entendimento 5 – Regulamentos
Legislação, Regulamentação Políticas, Contratos
Negócio
1 - Entendimento das
demandas que a OSC deverá
observar e cumprir de forma a
DPO 5 - Definição e revisão de
políticas e regulamentos
Data Protection Officer internos, bem como
atender à LGPD, de acordo
com o negócio (Encarregado) contratos com terceiros
 LGPD – Projeto alinhado à LGPD

Fonte: OneTrust
 A LGPD foi elaborada e promulgada para proteger os direitos fundamentais dos titulares de dados pessoais.

As atividades das OSCs não são contrárias ao objetivo da lei, se realizados com lisura, transparência e em
consonância com as Leis vigentes, com a ética e boa fé, como diz a própria LGPD.

É importante que cada OSC faça o entendimento dos seus processos, de modo que possam identifica todos os
pontos de tratamento de dados pessoais, das necessidades de cada tratamento, das hipóteses legais que
podem suportar tais tratamentos, da capacidade de atender aos princípios requeridos na LGPD e da garantia
dos direitos dos titulares em seus processos.

Cada ponto de não aderência à Lei precisará de ações de adequação ou mudanças nos processos, podendo
mesmo chegar à decisão de não mais tratar os dados pessoais em determinados casos.

1 - Entendimento Imperativo, também, entender o cenário legal,

Legislação, Regulamentação
regulatório e procedimental da OSC, com vistas à
Negócio
buscar embasamento para os tratamentos dos dados
1 - Entendimento das
demandas que a OSC deverá sustentam os processos de negócio.
observar e cumprir de forma a
atender à LGPD, de acordo
com o negócio
 A maioria dos processos das OSCs tratam, de alguma forma, dados pessoais. Sejam de associados, funcionários,
usuários, interessados, fornecedores ou outros titulares. Esses processos precisam ser mapeados e avaliados
frente aos requisitos da LGPD, para que, caso necessário, sejam realizadas as adequações para cumprimento
legal.
Sistemas que tratam dados pessoais devem ser identificados e avaliados, sob o foco de proteção de dados,
neste caso, segurança da informação. Controles devem ser acrescentados caso identificados riscos aos dados.
2 - Mapeamento
Processos, Sistemas
A LGPD traz a figura do Operador, que é um terceiro que trata dados pessoais
em nome, e sob orientação, do Controlador. Neste cenário, todos os terceiros
devem ser identificados, orientados e mesmo terem seus contratos aditivados,
Terceiros

2 - Mapeamento dos para que cláusulas referentes ao tratamento de dados pessoais e o

processos e terceiros
afetados ou envolvidos cumprimento da LGPD sejam registrados, evidenciando a diligência do
Controlador no compartilhamento dos dados dos titulares sob sua
responsabilidade.

Risco em terceiros vem sendo, já há algum tempo, motivo de preocupação de

todo tipo de organização. Metodologias e frameworks de gerenciamento de
riscos já apresentam o tratamento de riscos em terceiros como disciplina
integrada ao processo de gerenciamento de riscos.

As áreas de Compliance, de mesmo modo, já se debruçam sobre o tema, com vistas a reduzir a exposição a
riscos, com foco ampliado para o tema de corrupção e fraudes.
3 - Mapeamento dos blocos
de dados pessoais e dados
A identificação dos dados em seus repositórios, estruturados
pessoais sensíveis nos ou desestruturados, nos domínios do Controlador ou
processos, sistemas e Operadores, possibilitará que a OSC realize uma análise do
repositórios cenário onde esses dados estão armazenados ou são tratados.
3 – Mapeamento Outro ponto de suma importância é o entendimento
Fluxo de Dados
Dados Pessoais, Dados Sensíveis do fluxo de dados, desde a coleta até sua eliminação,
percorrendo os processos e áreas da OSC, sistemas
internos ou de terceiros, de modo que se identifique
os pontos de coleta, de possíveis
minimizações ou anonimizações, pontos de possíveis utilizações que possam ferir os princípios da LGPD, como o
da finalidade, dentre outros insights decorrentes dessa análise pormenorizada.

A identificação dos dados é, também, fundamental para a classificação dos dados, de acordo com os critérios da
LGPD, quais sejam, dados pessoais e dados pessoais sensíveis, tendo, ainda, os dados de crianças e
adolescentes, que requerem tratamentos diferenciados, bem como controles e proteção condizente com os
riscos que tais dados possam causar aos titulares em caso de violação, seja no uso ou em caso de incidentes de
acesos indevidos ou vazamentos.

Sem o entendimento do fluxo de dados, de seus repositórios e das formas de acesso e tratamento, sejam
sistêmicos ou não, é impossível à OSC assegurar a governança dos mesmos, como requer a LGPD.
 4 - Realização de análise de riscos à
privacidade e impactos em caso de
violação de dados

A identificação dos riscos à Importante que se tenha claro

privacidade, à proteção de dados entendimento sobre alguns conceitos
pessoais e aos direitos dos titulares é presentes na LGPD como por exemplo:
fundamental para que a OSC possa - Proteção de dados
dimensionar seus esforços e - Segurança da informação
investimentos para proteção desses - Governança de dados
dados. - Prevenção
- Minimização
A segurança dos dados e a - Pseudonimização
prevenção de danos e impactos - Encriptação
negativos aos titulares são requisitos
claros na LGPD, constando tanto nos Mais do que nomenclaturas, são conceitos
princípios quanto nos deveres dos cruciais para a manutenção da proteção
controladores. dos dados.

Os controles devem ser proporcionais aos riscos e aos danos que possam causar aos titulares dos dados.
Evidenciar que as medidas foram tomadas, baseadas em riscos e impactos, podem ser grandes atenuantes em
caso de incidentes.
Fase importante à adequação legal, bem como para dar base às ações de proteção de dados e privacidade, a
revisão e elaboração de novas políticas, procedimentos, regulamentos internos e contratos com terceiros ou
titulares, é obrigatório para a evidenciação dos esforços da OSC para o cumprimento legal, tanto quanto para
direcionamento da OSC quanto às definições decorrentes das fases anteriores, de entendimento do negócio,
obrigações legais, cenários de tratamento de dados, terceiros envolvidos e riscos e impactos aos titulares de
dados.
A governança de dados, dever do controlador, não se processa sem que um conjunto de regulamentos internos
seja definido.
A falta da governança, por si só, e ainda que não haja incidentes relevantes na OSC, já é passível de sanções
legais, dado que o risco decorrente já pode ser motivo de ações dos órgãos de fiscalização em defesa, ainda que
preventiva, dos titulares.
A responsabilidade dos Operadores é clara na LGPD,
mas, ainda assim, a regulamentação da direção dada
pelo Controlador, cravada em contrato, é demonstração
de diligência e forte atenuante em caso de contendas 5 – Regulamentos
Políticas, Contratos
decorrentes de ilícitos por parte dos operadores.
As OSCs podem, por meio de da FEBRAEDA, definir políticas e
5 - Definição e revisão de
procedimentos padrões para todas as OSC que optem por políticas e regulamentos
atuarem em bloco, conforme permite a LGPD, reduzindo internos, bem como
custos e criando uma padronização. contratos com terceiros
Só então, após todas as fases de reconhecimento e definições regulamentares e procedimentais, é tempo de
implantação de novos processos, controles ou mesmo tecnologias para proteção dos dados, em seu sentido
mais amplo.

Implantar controles, sejam tecnológicos ou administrativos, geram custos para a

OSC. Se os dados não são necessários, se não têm base legal para serem
tratados, ou se se tratamento tem impacto potencial maior do que os benefícios

6 – Implantação
que trazem para os serviços, qual seria a justificativa para os investimentos em

Processos, Tecnologias
controles? 6 - Implantação dos

Controles
novos processos e
controles
Proteger o que nem deveria estar ali, além de falta de cuidado com o dinheiro tecnológicos e
da OSC, é atestado de falta de diligência em entender a Lei para atender seus administrativos
preceitos.

A LGPD é clara ao afirmar que os controles devem ser razoáveis, tendo que a razoabilidade vai além dos custos
ou esforços investidos, mas deve ser entendida como razoável e proporcional ao fim a que se aplica, qual seja,
proteger os direitos dos titulares dos dados.
 7 - Monitoramento de processos,
Aqui começa o jogo. Até então era apenas treino, preparação e controles e ambiente externo
ensaio para a vida real: manter a adequação legal por tempo Comunicação com Titulares e ANPD
indefinido em todos os processos atuais ou futuros. Gerenciamento de Crises

É na operação que os processos da OSC ganham vida,

7 – Operação
Monitoramento e comunicação
onde as interações entre processos, sistemas,
terceiros e titulares se materializa. É agora que os
dados seguem seus fluxos, são enriquecidos, são
tratados em benefício dos usuários e dos titulares,
sem o que não teria sentido tais operações.

A governança dos dados, embasadas em políticas e regulamentos, se realiza na operação do negócio. É nesta
operação que os controles definidos e implantados precisam ser monitorados, medidos e melhorados.

É na operação que as comunicações com os titulares e órgãos fiscalizadores se fazem necessárias, dando, enfim,
vida à toda engrenagem do negócio e legal, quando os titulares podem, então, exercitar seus direitos previstos
na LGPD.

É, ainda, para os menos prevenidos, quando as sanções podem ser aplicadas.

 3 - Mapeamento dos blocos
de dados pessoais e dados 4 - Realização de análise de riscos à 7 - Monitoramento de processos,
pessoais sensíveis nos privacidade e impactos em caso de controles e ambiente externo
processos, sistemas e violação de dados Comunicação com Titulares e ANPD
repositórios Gerenciamento de Crises

3 – Mapeamento 7 – Operação
Titulares 2 - Mapeamento
Fluxo de Dados
Dados Pessoais, Dados Sensíveis
Monitoramento e comunicação ANPD

6 – Implantação
Processos, Tecnologias
Processos, Sistemas

6 - Implantação dos
Terceiros

Controles
novos processos e
2 - Mapeamento dos
controles
processos e terceiros
tecnológicos e
afetados ou envolvidos
administrativos

1 - Entendimento 5 – Regulamentos
Legislação, Regulamentação Políticas, Contratos
Negócio
1 - Entendimento das
demandas que a OSC deverá
observar e cumprir de forma a
DPO 5 - Definição e revisão de
políticas e regulamentos
Data Protection Officer internos, bem como
atender à LGPD, de acordo
com o negócio (Encarregado) contratos com terceiros
 OBRIGADO!

Salomão de Oliveira
https://www.linkedin.com/in/salomaooliveira/ Setembro/2020