PDP Fundamento

Privacy Data Protection Foundation
Materila do iNtrutero
© Copyright 2019 by IT Partners Assessoria e Consultoria Ltda.
The information contained in this classroom material is subject to change without notice.
This material contains proprietary information that is protected by copyright.
No part of this material may be photocopied, reproduced, or translated to another language without the prior
consent of IT Partners Assessoria e Consultoria Ltda.
Copyright © 2019 EXIN

Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicada, reproduzida, copiada ou
armazenada em um sistema de processamento de dados ou circulado em forma de impressos, fotos, microfilme
ou qualquer outro meio sem premissão escrita do EXIN.
This course follow strictly the: “Guia de preparação – EXIN Privacy Data Protection Foundation” from Exin
Netherlands – All rights reserved.
© 2019 IT Partners – reprodução proibida – treinamento@itpartners.com.br – versão 1.5

EXIN Privacy and Data
Protection Foundation
Guia de Preparação
Edição 201809
Copyright © EXIN Holding B.V. 2018. All rights reserved.
EXIN® is a registered trademark.
No part of this publication may be reproduced, stored, utilized or transmitted in any form or by any means,
electronic, mechanical, or otherwise, without the prior written permission from EXIN.
2 2
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
Conteúdo
1 Visão Geral 4
2 Requisitos do exame 6
3 Lista de conceitos básicos 10
4 Literatura 17
3 3
1. Visão Geral
EXIN Privacy and Data Protection Foundation (PDPF.PR)
Escopo
EXIN Privacy and Data Protection Foundation (PDPF) é uma certificação que valida o
conhecimento de um profissional sobre a organização da proteção de dados pessoais, as regras
e regulamentos da UE (União Europeia) em matéria de proteção de dados.
Resumo
Onde quer que os dados pessoais sejam coletados, armazenados, usados e, finalmente,
excluídos ou destruídos, surgem preocupações de privacidade. Com o Regulamento Geral de
Proteção de Dados da UE (GDPR), o Conselho da União Europeia tenta reforçar e unific ar a
proteção de dados para todos os indivíduos da União Europeia (UE). Este regulamento afeta
todas as organizações que processam os dados pessoais de cidadãos da EU e tem efeitos além
destas fronteiras. O PDPF abrange os principais assuntos relacionados ao GDPR e tem sido
usado como um guia para diversos países fora da UE em fase de elaboração das suas próprias
leis.
Contexto
O certificado EXIN Privacy and Data Protection Foundation (PDPF) faz parte do programa de
qualificação EXIN Privacy and Data Protection.
Grupo alvo
Todos os colaboradores precisam ter uma compreensão da proteção de dados e dos requisitos
legais, conforme definido no GDPR. As seguintes funções mais específicas podem se interessar:
DPO (Diretor de Proteção de Dados), Privacy Officer (Diretor de Privacidade), Legal Officer /
Compliance Officer (Diretor Jurídico / Diretor de Conformidade), Security Officer (Diretor de
Segurança), Business Continuity Manager (Gerente de Continuidade de Negócios).
Requisitos para a certificação

Conclusão do exame EXIN Privacy and Data Protection Foundation com sucesso.
4 4
Detalhes do exame
Tipo de exame: Pergunta de múltipla escolha no computador
ou em papel
Número de questões: 40
Mínimo para aprovação: 65 %
Com consulta/observações: Não
Equipamentos eletrônicos permitidos: Não
Tempo designado para o exame: 60 minutos
As Regras e Regulamentos dos exames EXIN aplicam-se a este exame.
Bloom level
A certificação EXIN PDPF Foundation testa candidatos no Bloom Nível 1 e Nível 2 de acordo com a
Taxonomia Bloom Revisada:
• Bloom Level 1: Remembering (Lembrança) - depende da recuperação de informações. Os
candidatos precisarão absorver, lembrar, reconhecer e recordar. Este é o elemento
fundamental da aprendizagem antes que os candidatos possam avançar para níveis mais
elevados.
• Bloom Level 2: Understanding (Compreensão) - um passo além da lembrança. O
entendimento mostra que os candidatos compreendem o que é apresentado e podem
avaliar como o material de aprendizagem pode ser aplicado em seu próprio ambiente.
Treinamento
Horas de contato
O número recomendado de horas presenciais para esse treinamento é de 15 horas. Isso inclui
atribuições em grupo, preparação para o exame e paradas curtas (breaks). Este número de horas
não inclui tarefas para casa, a logística (preparação) relacionada à sessão do exame, a sessão do
exame e intervalos de almoço.
Carga de estudos indicada

60 horas, dependendo do conhecimento existente.
Provedores de Treinamentos
Você encontrará uma lista de nossos provedores de treinamento credenciados em www.exin.com.
5 5
2. Requisitos do exame
Os requisitos do exame são definidos nas especificações do exame. A tabela a seguir lista os
tópicos do módulo (requisitos do exame) e subtópicos (especificações do exame).
Requisito de Peso
Especificação de exame
exame (% )
1. Fundamentos e regulamentação de Privacidade e Proteção de
45
Dados
1.1 Definições
1.2 Dados Pessoais
1.3 Fundamentos legítimos e limitação de propósito
1.4 Requisitos adicionais para processamento legítimo de
dados pessoais
1.5 Direitos do titular dos dados
1.6 Violação de dados e procedimentos relacionados
2. Organizando a proteção de dados 35

2.1 Importância da proteção de dados para a organização
2.2 Autoridade Fiscalizadora
2.3 Transferência de dados pessoais para outros países
2.4 Regras Corporativas compulsórias e proteção de
dados em contratos
3. Práticas de Proteção de Dados 20

3.1 Proteção de Dados by design e por padrão
3.2 Avaliação de Impacto sobre a Proteção de Dados
(DPIA)
3.3 Aplicações práticas relacionadas ao uso de dados,
marketing e mídias sociais
Total 100
1 Antes da introdução da GDPR, a autoridade de proteção de dados que era chamada de autoridade nacional, sendo esta a
responsável pela aplicação do regulamento sobre proteção de dados. Apos a entrada da GPDR, ela agora é chamada de
autoridade fiscalizadora.
6 6
Especificações do exame
1. Fundamentos e regulamentação de Privacidade e Proteção de Dados

1.1 Definições (7,5%)
O candidato é capaz de
1.1.1 Dar definições válidas de privacidade
1.1.2 Relacionar a privacidade, em dados pessoais específicos, ao
conceito de proteção de dados
1.1.3 Descrever o contexto da legislação da União e do Estado-Membro
1.2 Dados Pessoais (12%)

1.2.1 Dar uma definição de dados pessoais de acordo à GDPR
1.2.2 Fazer a distinção entre dados pessoais e categorias especiais como
dados pessoais sensíveis
1.2.3 Descrever os direitos do titular dos dados com relação aos dados
pessoais
1.2.4 Descrever o processamento/tratamento dos dados pessoais
1.2.5 Listar os papéis, responsabilidade e stakeholders
1.3 Fundamentos legítimos e limitação de propósito (5%)

1.3.1 Listar os seis fundamentos legítimos para processamento/
tratamento
1.3.2 Descrever o conceito e a limitação de propósito
1.3.3 Descrever proporcionalidade e subsidiariedade
1.4 Requisitos adicionais para processamento legítimo de dados pessoais (5%)

1.4.1 Descrever os requerimentos para processamento/ tratamento dos
dados
1.4.2 Descrever o propósito do processamento/ tratamento dos dados
1.4.3 Explicar os princípios relacionados ao processamento/ tratamento de
dados pessoais
1.5 Direitos do titular dos dados (5%)

O candidato
1.5.1 Pode descrever os direitos relacionados à portabilidade de dados e
direito de inspeção
1.5.2 Está ciente do “direito ao esquecimento”
1.6 Violação de dados e procedimentos relacionados (10%)

1.6.1 Descrever o conceito de violação de dados
1.6.2 Explicar os procedimentos sobre como agir quando ocorre uma
violação de dados
1.6.3 Dar exemplos de categorias de violação de dados
1.6.4 Descrever a diferença entre uma violação de segurança (incidente)
e violação de dados
1.6.5 Mencionar os stakeholders importantes que deveriam ser
informados
7 7
2. Organizando a proteção de dados
2.1 Importância da proteção de dados para a organização (13%)
2.1.1 Listar os diferentes tipos de administração (GDPR art 28 & 30)
2.1.2 Indicar quais atividades são necessárias para estar em
conformidade com a GDPR
2.1.3 Dar uma definição de proteção de dados by design e por padrão
2.1.4 Dar exemplos de violação de dados
2.1.5 Descrever a obrigação de notificação de violação de dados
conforme estabelecido na GDPR.
2.1.6 Descrever a execução das regras mediante a emissão de
penalidades, incluindo multas administrativas.
2.2 Autoridade Fiscalizadora (7,5%)

2.2.1 Descrever as responsabilidades de uma autoridade fiscalizadora
2.2.2 Descrever o papel de uma autoridade fiscalizadora com relação às
violações de dados
2.2.3 Descrever como uma autoridade fiscalizadora contribui para a
aplicação da GDPR
2.3 Transferência de dados pessoais para outros países (7,5%)

2.3.1 Transferência de Dados dentro da EEA (Economic European
Area)
2.3.2 Transferência de Dados fora da EEA
2.3.3 Transferência de Dados entre a EEA e USA
2.4 Regras Corporativas compulsórias e proteção de dados em contratos

(7,5%)
2.4.1 Descrever o conceito de regras corporativas compulsórias (BCR)
2.4.2 Descrever como a proteção de dados é formalizada em contratos
escritos entre o controller e o processor (operador)
2.4.3 Descrever as cláusulas deste contrato escrito
3. Práticas de Proteção de Dados

3.1 Proteção de Dados by design e por padrão (5%)
3.1.1 Descrever os benefícios da aplicação dos princípios de Proteção
de Dados by design e por padrão
3.1.2 Descrever os sete princípios da proteção de dados by design
3.2 Avaliação de Impacto sobre a Proteção de Dados (DPIA) (5%)

3.2.1 Descrever o que é um DPIA e quando aplicar um DPIA
3.2.2 Mencionar os oito objetivos de um DPIA
3.2.3 Listar os tópicos de um relatório DPIA
8 8
3.3 Aplicações práticas relacionadas ao uso de dados, marketing e mídias
sociais (10%)
3.3.1 Descrever os objetivos do Gerenciamento do Ciclo de Vida do
Dado ( Data Life Cycle - DLC)
3.3.2 Explicar a retenção e minimização de dados
3.3.3 Descrever o que é um cookie e qual o seu objetivo
3.3.4 Descrever, do ponto de vista da proteção de dados, como o uso
generalizado da internet afetou a área de marketing
3.3.5 Dar exemplos sobre como as informações de midia social são
usadas para atividades de Marketing
9 9
3. Lista de conceitos básicos
Este capítulo contém os termos com que os candidatos devem se familiarizar.
Por favor, note que o conhecimento destes termos de maneira independente não é suficiente
para o exame; O candidato deve compreender os conceitos e estar apto a fornecer exemplos.
Inglês Português
adequate adequado
appropriate technical and organizational medidas técnicas e organizacionais apropriadas
measures
authenticity autenticidade
availability disponibilidade
binding compulsório
binding corporate rules (BCR) Regras Corporativas Compulsórias
biometric data dados biométricos
certification certificação
certification bodies organismos de certificação
child's consent consentimento da criança / do menor de idade
codes of conduct códigos de conduta
collection of personal data (verb.) coletar dados pessoais
commission reports relatórios de comissão
complaint reclamação
compliance conformidade
conditions for consent condições para consentimento
consent consentimento
consistency consistência
consistency mechanism mecanismo consistente
constitution constituição
contract contrato
controller controlador
cross-border processing processamento transfronteiriço
data breach violação de dados
data concerning health dados relativos à saúde
10 10
data controller responsável pelo tratamento dos dados
data protection proteção de dados
data protection authority Autoridade de Proteção de Dados (DPA)
data protection by default proteção de dados por padrão
data protection by design proteção de dados desde a concepção (by
design)
Data Protection Impact Assessment (DPIA) Avaliação de Impacto sobre a Proteção de
Dados (AIPD)
data protection officer (DPO) Data Protection Officer (DPO)
- designation - designação
- position - posição
- tasks - tarefas
data subject titular dos dados
data transfer transferência de dados
delegated acts and implementing acts atos delegados e atos de implementação
- committee procedure - procedimento de comitê
derogation derrogação
enforcement execução
- administrative fines - multas administrativas
- administrative penalties - sanções administrativas
- criminal penalties - sanções criminais
- dissuasive penalties - sanções dissuasivas
- effective penalties - sanções efetivas
- proportionate penalties - sanções proporcionais
enterprise empresa
European Economic Area (EEA) Área Econômica Europeia
EU types of legal act Tipos de atos legais da União Europeia (UE)
- decision - decisão
- directive - diretiva
- opinion - opinião
- recommendation - recomendação
- regulation - regulamentação
11 11
European Data Protection Board Comitê Europeu para Proteção de Dados
- chair - presidência
- confidentiality - confidencialidade
- independence - independência
- procedure - procedimento
- reports - relatórios
- secretariat - secretariado
- tasks - tarefas
European Data Protection Supervisor Autoridade Europeia para a Proteção de Dados
(EDPS) (AEPD / EDPS)
European Union legal acts on data Atos jurídicos da União Europeia sobre
protection proteção de dados
exchange of information troca de informações
exemption isenção
explicit consent consentimento explícito
genetic data dados genéticos
filing system sistema de arquivos
General Data Protection Regulation General Data Protection Regulation (GDPR)
(GDPR)
governing body órgão administrativo
group of undertakings grupo empresarial
independent supervisory authorities autoridades supervisoras independentes
- activity reports - relatórios de atividades
- competence - competência
- establishment - estabelecimento
- powers - atribuições, poderes
- tasks - tarefas
information society service serviço da sociedade da informação
international organization organização internacional
joint controllers joint controllers (responsáveis conjuntos)
judicial remedy medida judicial
lawfulness of processing legalidade do processamento
legal basis base legal
legitimate ground (GDPR article 17/1c, interesse legítimo (RGPD artigo 17/1c, artigo
article 18/1d, article 21/1) 18/1d, artigo 21/1)
12 12
legitimate basis (GDPR article 40) base legítima (RGPD artigo 40)
legitimate interest interesse legítimo
liability responsabilidade
main establishment sede da empresa
material scope escopo de aplicação material
National Identification Number Número de Identificação Nacional
non-repudiation não repúdio
opinion of the board parecer do comitê
personal data dados pessoais
personal data breach violação de dados pessoais
personal data relating to criminal dados pessoais relativos a condenações e
convictions and offences infrações criminais
principles relating to processing of personal princípios relacionados ao processamento de
data dados pessoais
- accountability - responsabilidade
- accuracy - precisão
- confidentiality - confidencialidade
- data minimization - tratamento mínimo dos dados
- fairness - equidade
- integrity - integridade
- lawfulness - legalidade
- purpose limitation - limitação de propósito
- storage limitation - limitação de armazenamento
- transparency - transparência
prior consultation consulta prévia
privacy privacidade
processing processamento
13 13
processing situations situações de processamento
- data protection rules of churches and - regras de proteção de dados de igrejas e
religious associations associações religiosas
- employment - emprego
- for archiving purposes in the public - para fins de arquivamento por interesse
interest público
- for scientific or historical research - para fins de pesquisa histórica ou científica
purposes - para fins estatísticos
- for statistical purposes - liberdade de expressão e informação
- freedom of expression and information - Número de Identificação Nacional
- National Identification Number - obrigações de sigilo
- obligations of secrecy - acesso públco a documentos oficiais
- public access to official documents
processing which does not require processamento que não requer identificação
identification
processor processador
profiling definição de perfis
pseudonymization pseudonimização
recipient destinatário
relevant and reasoned objection objeção relevante e fundamentada
representative representante
restriction of processing limitação de processamento
retention period período de retenção
right to compensation direito a compensação
14 14
rights of the data subject direitos do titular do dado:
- automated individual decision-making - tomada de decisão individual automatizada
- data portability - portabilidade de dados
- information and access - Informação e acesso
- modalities - modalidades
- notification obligation - obrigação de notificação
- rectification and erasure - retificação e apagamento
- restriction of processing - restrição de processamento
- restrictions - restrições
- ‘right to be forgotten' - "direito ao esquecimento"
- right to objection - direito à objeção, oposição ou
- transparency questionamento
- transparência
rules of procedure regras de procedimento
security breach (security incident) violação de segurança (incidente de segurança)
security of personal data segurança de dados pessoais
security of processing segurança de processamento
sensitive data dados sensíveis
special categories of personal data categorias especiais de dados pessoais
- biometric data - dados biométricos
- data concerning health - dados sobre saúde
- genetic data - dados genéticos
- political opinions - opiniões políticas
- racial or ethnic origin - origem étnica ou racial
- religious or philosophical beliefs - crenças religiosas ou filosóficas
- sex life or sexual orientation - vida sexual ou orientação sexual
- trade union membership - associação sindical
supervisory authority autoridade supervisora
supervisory authority concerned autoridade supervisora competente
suspension of proceedings suspensão do processo
territorial scope escopo de aplicação territorial
third party terceiro
15 15
transfer of personal data to third countries transferência de dados pessoais para países
and to international organizations terceiros e para organizações internacionais
- adequacy decision - decisão de adequação
- appropriate safeguards - salvaguardas apropriadas
- binding corporate rules - regras vinculantes aplicáveis à empresas
- derogations - derrogações
- disclosures - divulgações
- international protection of personal data - proteção internacional de dados pessoais
16 16
4. Literatura do exame
A A. Calder
EU GDPR, A pocket guide
IT Governance Publishing
ISBN 978-1-84928-855-2
(E-book: ISBN 978-1-84928-857-6)
B L. Besemer
White Paper – Privacidade, Dados Pessoais e GDPR
Faça o download gratuito em www.exin.com
C European Commission
General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) Regulation of the
European Parliament and the Council of the European Union. Brussels, 6 April 2016,
disponível em:
http://eur-lex.europa.eu
PDF:
http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN
HTML:
http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=EN
Comentário
Os requisitos do exame são baseados na literatura do exame. Literatura C não é uma literatura de
exame primário porque a literatura de outros exames fornece conteúdo suficiente sobre o GDPR. Os
candidatos devem estar familiarizados com a literatura C na extensão das referências feitas nas
outras literaturas.
17 17
Visão geral da literature
Requisitos do Especificação Literatura GDPR

exame do exame referência
1 1.1 A: Ch.1; Ch.3 rec.1,2 &
B: § 1.1.1 art 96 – 99
1.2 A: Ch.2; Ch.3 art 4.1(a)

B: § 1.1.3; § 1.3.6; § 1.3.7; § 4 art 9.1
art 17
art 4.10
1.3 B: § 3.1; § 3.2; § 3.3 art 6.1

art 24
1.4 B: § 2.1; § 6.1 art. 25
art 27-32
art 5
1.5 B: § 4.3; § 4.4.2 No ref
1.6 B: § 5.1; § 5.2; § 5.3 art 4(12) art 33
art 34
2 2.1 A: Ch.3; Ch.4 art 7
B: § 5.2, § 5.3, § 6.1, § 6.3; § 8.1 art 8
art 13
art 30
art 25(1) art.83
2.2 A: Ch.3 art 36
art 33
B: § 7.1; § 7.3 art 34
2.3 B: § 7.4 art 29
art 30
art 45
2.4 A: Ch.3; art 47
art 24
B: § 7.4.3.3; § 8.2 art 28
3 3.1 B: § 5.2; § 8.1.1. No ref
3.2 B: § 6.1.3; § 8.3; § 8.5 No ref
3.3 B: § 8.4 & 8.6 No ref
18 18
19 19
Contato EXIN
www.exin.com
Privacy & Data Protection Foundation
Privacy Data Protection

Foundation
v. 1.5

Foundation
0. Introdução
Copyright © 2017 EXIN Holding B.V. All rights reserved.
No part of this publication m ay be published, reproduced, copied or stored in a data processing system or
circulated in any form by print, photo print, m icrofilm or any other m eans without written perm ission by EXIN.
EXIN® is a registered tradem ark
Versão 1.5 - 2019

Apresentação Pessoal
Fale-nos sobre você.

Olá, gostaríamos de
conhece-lo um - Qual seu nome?
pouco melhor. - Onde você trabalha?
- Qual a sua experiência com GPDR?
- O que você espera deste curso?
Agenda
Introdução
Dia 1 1 - Privacidade e Proteção de Dados: Fundamentos & Regulamentação.
2 - Organizando a proteção de dados (Parte 1)
2 - Organizando a proteção de dados (Parte 2).
3 - Práticas de proteção de dados.

Dia 2
4 - Breve introdução da lei sobre a proteção de dados pessoais brasileira.
Simulado
Versão 1.5 - 2019

Objetivos do Curso
Depois de concluir este curso, o participante estará:

u Familiarizado com a legislação, regulamentos e diretivas europeias
u Familiarizado com problemas de privacidade que possam surgir em sua
própria organização
u Apto a saber como formular aconselhar para ajudar a resolver problemas de
privacidade
Público Alvo
Todos os colaboradores precisam ter uma compreensão da

proteção de dados e dos requisitos legais, conforme definido
no GDPR.
As seguintes funções mais específicas podem se interessar:

• DPO (Diretor de Proteção de Dados),
• Privacy Officer (Diretor de Privacidade)
• Legal Officer / Compliance Officer (Diretor Jurídico /
Diretor de Conformidade)
• Security Officer (Diretor de Segurança)
• Business Continuity Manager (Gerente de Continuidade de
Negócios)
Versão 1.5 - 2019

Pré-requisitos
u O treinamento é uma parte

obrigatória da certificação.
u Espera-se que os candidatos
tenham conhecimento de
Segurança da Informação.
O certificado EXIN PDPF faz parte do programa de qualificação EXIN

Privacy and Data Protection
Certificação e Exame
Requisitos para certificação:

• Treinamento no EXIN Privacy and Data Protection Certificate
• Conclusão bem sucedida dos exercícios e simulado
• Conclusão bem sucedida do exame de certificação
Detalhes do Exame:
• Duração: 60 minutos
• Formato: Em papel ou on-line utilizando computador
• Idioma: Disponível em português
• Número de questões: 40 questões de múltipla escolha
• Nota de corte: 65% (26 questões de 40)
• Restrições: Não é permitida a consulta a livros, apostilas,
anotações ou qualquer outro equipamento eletrônico de apoio
Versão 1.5 - 2019

Valor desta certificação
• O protocolo de privacidade e proteção de dados (PDPF) da EXIN é

uma certificação que valida o conhecimento de um profissional
sobre privacidade de dados e as regras e regulamentações da UE
em relação à proteção de dados.
• As preocupações com a privacidade aumentam, onde quer que os

dados pessoais sejam coletados, armazenados, usados e finalmente
excluídos ou destruídos. O Regulamento Geral de Proteção de
Dados da UE (GDPR) afeta todas as organizações que processam
dados pessoais da UE.
• O PDPF abrange os principais assuntos relacionados a este

regulamento sobre proteção de dados.
Exame
u Requisitos e pesos:
u Veja pg. 10-16 do

Guia de Preparação
u É recomendável
entender esses
conceitos
u A lista de conceitos
básicos é considerada
entendida para o
exame
Versão 1.5 - 2019

Especificações do Exame
• Tipo de exame: perguntas de múltipla escolha baseadas em

computador ou em papel
• Número de questões: 40
• Marca de aprovação: 65%
• Livro aberto: não
• Equipamentos eletrônicos permitidos: Não
• Tempo previsto para exame: 60 minutos
Bibliografia
A. Calder EU GDPR, A pocket guide IT Governance Publishing

ISBN 978-1-84928-855-2 (E-book: ISBN 978-1-84928-857-6)
B. L. Besemer White Paper – Privacidade, Dados Pessoais e GDPR

Faça o download gratuito em www.exin.com
C. European Commission General Data Protection Regulation (GDPR) (Regulation (EU)

2016/679) Regulation of the European Parliament and the Council of the European Union.
Brussels, 6 April 2016, disponível em: http://eur-lex.europa.eu
PDF: http://eur-lex.europa.eu/legal-
content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN
Versão 1.5 - 2019

Bibliografia
Fim do Módulo 0
14
Versão 1.5 - 2019


Foundation
1. Fundamentos e regulamentação
de Privacidade e Proteção de Dados
7,5%
1.1 Conceitos em um mundo digital
Versão 1.5 - 2019

General Data Protection Regulation (GDPR)
O GDPR define requisitos pormenorizados em matéria de coleta, armazenamento

e gestão de dados pessoais, aplicáveis tanto a empresas e organizações europeias
que tratam dados pessoais na UE como a empresas e organizações estabelecidas
fora do território da UE que também tratam de dados de pessoas residentes na
UE.
• Foi adotado pelo Conselho e Parlamento da UE em abril de 2016

• Entrou em vigor em todos os estados membros da UE em 25 de maio de 2018
• Estabelece os requisitos para as organizações e para os Estados Membros
• Prevê a criação de um Conselho de Proteção de Dados da UE
General Data Protection Regulation (GDPR)
O GDPR trata a privacidade de dados das seguintes formas:

u Estabelece as regras relativas à proteção das pessoas singulares no que diz
respeito ao tratamento de dados pessoais e à livre circulação desses dados
u Defende os direitos e as liberdades fundamentais das pessoas singulares,

nomeadamente o seu direito à proteção dos dados pessoais
Principal Objetivo
Fortalecer e unificar a proteção de dados para indivíduos na UE
Versão 1.5 - 2019

Definições
Privacidade
u O direito de respeitar a vida privada e familiar de uma pessoa, a sua casa e
correspondência.
Proteção de dados
u O GDPR é sobre a proteção de dados pessoais, não de todos os dados.
Você não pode ter privacidade sem proteção de dados.
A Privacidade inclui o direito à proteção de dados pessoais.
O progresso no processamento de dados
u O aumento no uso das telecomunicações nos anos 70 coincidiram com o

desenvolvimento da União Europeia, que aumentou o comércio entre países.
u Tornava-se necessário o uso de novos padrões que permitissem aos indivíduos
exercer controle sobre suas informações pessoais.
u O comércio internacional precisava de fluxo internacional livre de
informações.
u O desafio era (e é) encontrar um equilíbrio entre as preocupações com a
proteção das liberdades pessoais e a possibilidade de apoiar o livre comércio
em toda a Europa.
Versão 1.5 - 2019

Convenção Europeia dos Direitos do Homem

(CEDH)
Uma das primeiras proteções legais para informações pessoais foi codificada no
Artigo 8 da Convenção Europeia de Direitos Humanos (ECHR) em 1953.
Fornece a base para as modernas leis europeias de privacidade.
O artigo 8º diz:
1. Qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do
seu domicílio e da sua correspondência
2. “Não pode haver ingerência da autoridade pública no exercício deste direito
senão quando esta ingerência estiver prevista na lei e constituir uma
providência que, numa sociedade democrática, seja necessária para a
segurança nacional, para a segurança pública, para o bem-estar econômico do
país, a defesa da ordem e a prevenção das infrações penais, a proteção da
saúde ou da moral, ou a proteção dos direitos e das liberdades de terceiros.”
(https://www.echr.coe.int/Documents/Convention_POR.pdf
Definições de privacidade da UE
Ø "Todo mundo tem o direito de proteger os dados pessoais que lhes dizem respeito".
Ø Tratado sobre o Funcionamento da Europa («Tratado de Roma, 1957»)
Ø “Todos têm o direito de proteger os dados pessoais relativos a si próprio”.

Ø Carta dos Direitos Fundamentais da União Europeia (2000) Primeiro considerando do Regulamento
Geral de Proteção de Dados (GDPR)
Ø A proteção de pessoas singulares em relação ao processamento de dados pessoais é um direito
fundamental. Artigo 8.º da Carta dos Direitos Fundamentais da União Europeia (a "Carta") e
Ø O artigo 16.º do Tratado sobre o Funcionamento da União Europeia (TFUE) estabelece que todas as
pessoas têm direito à proteção dos dados pessoais que lhe digam respeito.
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 1.3 Definições
Versão 1.5 - 2019

Legislação da UE e dos estados membros
Visão Geral
Privacy UDHR
Privacy EU Charter
Directive95/46/EC
Data Protection
Regulation
2016/679
Contexto legislativo na UE
Ø A Diretiva 95/46 / CE sobre proteção de dados relativa à proteção das pessoas singulares no que diz respeito
ao tratamento de dados pessoais e à livre circulação desses dados (adoptada em 1995). Regulava o
processamento de dados pessoais dentro da União Europeia.
Ø A Diretiva 95/46 / CE, por ser apenas orientação FOI revogada quando o GDPR a partir de 25 de maio de
2018
Ø O Regulamento Geral de Proteção de Dados (GDPR) 2016/679 é um regulamento pelo qual a Comissão
Europeia pretende reforçar e unificar a proteção de dados para indivíduos dentro da União Europeia (UE).
Ø O regulamento foi adotado em 27 de abril de 2016 e entra em vigor em 25 de maio de 2018. A Diretiva de
Proteção de Dados (& GDPR) aplica-se aos países do Espaço Econômico Europeu (EEE).
Ø Isto inclui todos os países da UE e, além disso, os países não pertencentes à UE, a Islândia, o Liechtenstein e
a Noruega. (EEE EFTA)
Esta substituição é mencionada no (sub)título do regulamento. Fonte: GDPR.
Versão 1.5 - 2019

Contextualizando..
Progresso Geracional de Proteção de
Dados Pessoais na Europa
Confiança
(Economia e Sociedade baseada em dados) data-driven society
Versão 1.5 - 2019

Leis dos estados membros
u Exemplo:
Os Estados-Membros podem determinar ainda as condições específicas para o tratamento de
um número de identificação nacional ou de qualquer outro identificador de aplicação geral.
u Outras leis nacionais:
u Constituição
u Código Civil
u Lei policial
u Lei de imposto
u Arquivos e registros agem
u Ato de telecomunicações
u Etc.
Penalidades na GDPR
Infrações de alguns artigos da GPDR acarretam a pena administrativa máxima:
u 4 por cento do volume de negócios global anual ou

u 20 milhões de euros
u o que for maior
As infrações aos requisitos em relação a transferências internacionais também estão sujeitas a

essa penalidade maior.
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 7.3.3 Condições gerais para a imposição de multas administrativas.
Versão 1.5 - 2019

Artigos com Penalidade Alta na GDPR

1. Princípios relativos ao tratamento de dados 8. Direito de acesso da pessoa em causa
pessoais
9. Direito à retificação
2. Legalidade do processamento
10. Direito de apagar ('direito de ser esquecido')
3. Condições de consentimento
11. Direito à restrição do processamento
4. Processamento de categorias especiais de
12. Obrigação de notificação relativa à
dados pessoais
retificação ou eliminação de dados pessoais
5. Informação transparente, comunicação e ou restrição de processamento
modalidades para o exercício das medidas
13. Direito à portabilidade de dados
da pessoa em causa
14. Direito de objetar
6. Informações a fornecer quando dados
pessoais são recolhidos da pessoa em causa 15. Tomada de decisão individual
automatizada, incluindo a criação de perfis
7. Informação a fornecer quando os dados
pessoais não foram obtidos da pessoa em
causa
Princípios para Processar Dados Pessoais

Artigo 5 do GDPR:
Seis princípios que devem ser aplicados a qualquer atividade que envolva a coleta ou o
processamento de dados pessoais:
1. Os dados pessoais devem ser processados 4. Os dados pessoais devem ser precisos e
de forma legal, justa e transparente. atualizados.
2. Os dados pessoais só podem ser coletados 5. Os dados pessoais devem ser mantidos de
para fins específicos, explícitos e forma a que o titular dos dados possa ser
legítimos. identificado apenas durante o tempo
necessário para o processamento.
3. Os dados pessoais devem ser adequados,
relevantes e limitados ao que é necessário 6. Os dados pessoais devem ser processados
para o processamento. de maneira a garantir sua segurança.
Versão 1.5 - 2019

12%
1.2 Dados Pessoais
O que são Dados Pessoais?
'Dados pessoais' significam qualquer informação relativa a uma pessoa

singular identificada ou identificável ("pessoa em causa")
O GPDR não se
Uma pessoa singular identificável é aquela que pode ser identificada,
aplica aos dados
direta ou indiretamente, em particular por referência a um pessoais de pessoas
identificador como: falecidas.
Ø um nome Isso é tema para os
Estados Membros
Ø um número de identificação
Ø Dados de localização
Ø um identificador online
Ou a um ou mais fatores específicos da identidade física, fisiológica,
genética, mental, econômica, cultural ou social daquela pessoa natural.
Fonte: EU GDPR, Um guia de bolso - Capítulo 2 Termos e definições – Dados pessoais & GDPR art. 4 (1).
Versão 1.5 - 2019

Definição de dados pessoais de acordo o GDPR
“É a informação relativa a uma pessoa singular identificada ou identificável.”
u Art. 4º GDPR («titular dos dados» “data subject”): é considerada identificável

uma pessoa singular que possa ser identificada, direta ou indiretamente, em
especial por referência a um identificador, como por exemplo um nome, um
número de identificação, dados de localização, identificadores por via eletrônica
ou a um ou mais elementos específicos da identidade física, fisiológica, genética,
mental, econômica, cultural ou social dessa pessoa singular.
Tipos de dados pessoais
u Direto
Dados que podem ser atribuídos a um dado específico sem o uso de informações adicionais; por
exemplo. foto, DNA, etc.
u Indireto
Dados que não podem ser atribuídos a um indivíduo de dados específico sem o uso de
informações adicionais; por exemplo. Endereço IP, matrícula do carro, etc.
u Pseudonimização de Dados
Significa o processamento de dados pessoais de tal maneira que os dados pessoais não podem
mais ser atribuídos a um sujeito de dados específico sem o uso de informações adicionais. O
processo é reversível (com uma chave). Considera-se dados pessoais.
u Anonimização
Significa que nenhuma informação a partir da qual a pessoa a quem os dados se referem pode ser
identificada. NÃO são considerado dados pessoais.
Versão 1.5 - 2019

Categorias especiais de dados pessoais

("dados pessoais sensíveis")
O processamento de determinadas categorias de dados pessoais é proibido.

u origem racial ou étnica
u opiniões políticas
u crenças religiosas ou filosóficas ou filiação sindical
u dados genéticos
u dados biométricos com o propósito de identificar unicamente uma pessoa
u dados relativos à saúde
u dados relativos à vida sexual ou orientação sexual de uma pessoa singular
O GDPR também define quais são as isenções a essa regra.
Fonte: GDPR art. 9, §10 - Categorias especiais de dados pessoais.
Distinção: Dados Pessoais x Dados Sensíveis
Dados pessoais (“personal data”) :

u nome completo,
u RG,
u CPF,
u e-mail,
u endereço, entre outros.
Dados sensíveis (“sensitive data”):

u opção sexual,
u convicções religiosas,
u filosóficas ou morais, entre outros.
Versão 1.5 - 2019

Dicotomia (forças opostas)
Dados
Dados
Pessoais Anonimizados
(PII)
O que é anonimização? (exemplo)
Versão 1.5 - 2019

Zona Cinzenta
Dados
(Pseudo) Dados
Pessoais Anonimiza
(PII) dos Anonimizados
(Pseudo) Anonimização
(Pseudo) Anonimização Dados Anônimos
Artigo 4 (5) GDPR
Consideranda 26 Consideranda 26
«Pseudonimização», o
tratamento de dados pessoais Os dados pessoais que sofreram
de forma que deixem de pseudonimização (…) devem ser (..) não se aplica a
poder ser atribuídos a um considerados informações sobre uma informações anônimas,
titular de dados específico pessoa singular identificável. de tal forma que o titular
sem recorrer a informações se uma pessoa singular é identificável, dos dados não seja ou
suplementares, desde que devem ser tidos em conta todos os não seja mais
essas informações meios razoavelmente susceptíveis de identificável. O presente
suplementares sejam serem utilizados (...) Para averiguar se regulamento não se
mantidas separadamente e os meios são razoavelmente (...) devem refere, portanto, ao
sujeitas a medidas técnicas e ser tomados de todos os fatores tratamento de tais
organizativas para assegurar objetivos, tais como os custos e o informações anónimas,
que os dados pessoais não tempo necessário para a identificação, incluindo para fins
possam ser atribuídos a uma levando em consideração a tecnologia estatísticos ou de
pessoa singular identificada ou disponível investigação.
identificável
Filtro: Razoabilidade
Versão 1.5 - 2019

GDPR
Art. 4 (5) Arte. 4 (5) «pseudonimização», o
tratamento de dados pessoais de forma a que os
dados pessoais deixem de poder ser atribuídos a Custo
uma pessoa específica
Razobailidade
(...)
Considerando 26 Para determinar se uma pessoa
singular é identificável, deve-se levar em conta todos os
meios razoavelmente prováveis de serem usados (...) Para Fatores Objetivos Tempo
determinar se os meios devem razoavelmente (...) ser
tomados de todos os fatores objetivos, tais como os
custose a quantidade de tempo necessária para a
identificação, levando em consideração a tecnologia Estado da Arte
disponível
Meios Razoáveis
Direitos dos titulares de dados

O titular dos dados tem o direito de:
u Informação
u Acesso aos dados pessoais sem qualquer custo para o titular dos dados.
u Retificação
u Eliminação ("direito de ser esquecido")
u Restrição de processamento
u Obrigação de notificação
u Portabilidade de dados
u Objeto
Não estar sujeito a uma decisão baseada exclusivamente no processamento
automatizado (Tomada de decisão individual automatizada)
Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Direitos dos titulares dos dados
Versão 1.5 - 2019

Processamento dos Dados Pessoais
Definição:
Qualquer operação ou conjunto de operações que são realizadas em dados
pessoais ou em conjuntos de dados pessoais, seja ou não por meios automatizados,
tais como coleta, gravação, organização, estruturação, armazenamento, adaptação
ou alteração, recuperação, consulta, uso, divulgação por transmissão, divulgação ou
disponibilização, alinhamento ou combinação, restrição, remoção ou destruição.
Fonte: GDPR art.4 (2)
Princípios de Processamento de Dados (1/2)
1. Legalidade, equidade e transparência: Os dados pessoais devem ser

processados de forma legal, justa e transparente em relação ao titular dos
dados.
2. Limitação de finalidade: Os dados pessoais devem ser coletados para fins
específicos, explícitos e legítimos e não devem ser processados de maneira
incompatível com esses fins.
3. Minimização de dados: Os dados pessoais devem ser adequados, relevantes e
limitados ao necessário em relação aos fins para os quais são processados.
4. Precisão: Os dados pessoais devem ser precisos e, quando necessário,
atualizados: Todo passo razoável deve ser tomado para garantir que os dados
pessoais que são imprecisos sejam retificados ou excluídos.
Versão 1.5 - 2019

Princípios de Processamento de Dados (2/2)
5. Limitação de armazenamento: Os dados pessoais devem ser mantidos em um

formato que permita a identificação dos titulares de dados por não mais do que o
necessário para as finalidades para as quais os dados pessoais são processados; etc.
6. Integridade e confidencialidade: Os dados pessoais devem ser processados de forma
a garantir a segurança apropriada dos dados pessoais, incluindo proteção contra
processamento não autorizado ou ilegal e contra perda, destruição ou dano
acidental, usando medidas técnicas ou organizacionais apropriadas.
7. Responsabilização: O controlador pelo tratamento deve ser responsável e
demonstrar o cumprimento dos princípios acima mencionados. Por outras palavras, o
controlador, isto é, a pessoa ou pessoas responsáveis pelo processamento não são
apenas obrigados a cumprir o GDPR. O controlador também deve estar sempre em
condições de demonstrar conformidade.
Papéis, responsabilidades e partes interessadas
Ø Controlador: pessoa singular ou coletiva, autoridade pública, agência ou outro

organismo que, individualmente ou em conjunto com outros, determina os
objetivos e os meios de processamento de dados pessoais.
Ø Processador: uma pessoa singular ou coletiva, autoridade pública, agência ou

outro organismo que processe dados pessoais em nome do responsável pelo
tratamento.
Ø Oficial de Proteção de Dados (DPO): responsável por orientar, monitorar e

verificar a conformidade em relação ao GDPR.
Versão 1.5 - 2019

Papéis, responsabilidades e partes interessadas
Ø Destinatário: uma pessoa singular ou coletiva, autoridade pública, agência ou

outro organismo para o qual os dados pessoais são divulgados, terceiros ou não.
Ø Terceiro: uma pessoa singular ou coletiva, autoridade pública, agência ou
organismo que não seja o titular dos dados, o responsável pelo tratamento, o
Processador e as pessoas que, sob a autoridade direta do responsável pelo
tratamento ou do Processador, estão autorizados a processar dados pessoais.
Exemplo: Um contador, que possa ter acesso a dados pessoais.
Ø Representante: uma pessoa singular ou coletiva estabelecida na União que,
designada por escrito pelo Controlador ou subcontratante, nos termos do artigo
27, os representa no que se refere às suas obrigações pertinentes ao GDPR.
Ø Autoridade supervisora *
Autoridade Supervisora (DPA)
Ø «Autoridade Supervisora», uma autoridade pública independente criada por um

Estado-Membro nos termos do artigo 51.º.
Versão 1.5 - 2019

Aplicabilidade
O GDPR aplica-se a:
u organizações dentro da UE, e para
u quaisquer organizações externas que estão negociando dentro da UE.
Isso potencialmente inclui organizações em todo o mundo, independentemente de
quão difícil possa ser para aplicar o Regulamento.
Com o objetivo de impedir que as organizações europeias trabalhem com empresas e estados
que não cumprem os requisitos do regulamento, tanto o responsável pelo tratamento de dados
(provável que esteja na UE) como o processador de dados são responsáveis em caso de
violação de dados.
1.3 Fundamentos legítimos e 5%
limitação de propósito
Versão 1.5 - 2019

37
Fundamentos legítimos
O processamento somente será lícito se ao menos um dos motivos abaixo se

aplicarem:
Ø Consentimento ambíguo para o processamento (pelo sujeito dos dados)

Ø Necessário para a execução de um contrato em que o titular dos dados é
parte
Ø O processamento é necessário para cumprir uma obrigação legal à qual a
parte responsável está sujeita
Fundamentos legítimos e limitação de propósito 38
FUNDAMENTO EXEMPLO
1) Consentimento Consentimento inequívoco pelo titular dos dados para um ou mais fins
específicos.
2) Execução de contrato Execução de um contrato em que o titular dos dados é parte ou para
tomar medidas, a pedido do titular dos dados, antes de celebrar um
contrato.
3) Cumprimento de obrigação Cumprimento de uma obrigação legal à qual o Controlador está sujeito.
legal, por parte do
Controlador
4) Proteção de interesse vital Proteção de um interesse vital do titular dos dados ou de outra pessoa
singular.
5) Interesse Realização de tarefa do interesse público ou no exercício de autoridade

Público/Exercício de oficial conferida ao Controlador.
Autoridade
6) Legítimo interesse do Defender os interesses legítimos do Controlador ou de um Terceiro, exceto nos
casos em que os interesses, direitos fundamentais e liberdades do titular dos
Controlador ou Terceiro* dados, prevaleçam, e em especial se o titular dos dados for uma criança
Versão 1.5 - 2019

Fundamentos legítimos e limitação de propósito 39
FUNDAMENTO EXEMPLO
1) Consentimento Empresa disponibiliza uma aplicação de música e solicita o consentimento dos
cidadãos para efetuar o tratamento das suas preferências musicais a fim de lhes
poder oferecer sugestões personalizadas de músicas e concertos
2) Execução de contrato A organização vende via internet e antes de celebrar o contrato pode, portanto,
efetuar o tratamento do nome, do endereço de entrega, do número de cartão de
crédito (se o pagamento for efetuado por cartão)
3) Cumprimento de obrigação Uma empresa para obter cobertura da seguridade social, é obrigada por lei a
fornecer os dados pessoais (por exemplo, o rendimento semanal dos seus
legal, por parte do trabalhadores) à autoridade competente.
Controlador
4) Proteção de interesse vital Um hospital está tratando de uma vítima de acidente rodoviário grave e precisa
pesquisar a sua identidade e verificar se a pessoa existe na base de dados do
hospital, a fim de consultar o seu processo clínico
5) Interesse uma associação profissional investida de autoridade pública para esse fim, pode
instaurar processos disciplinares contra alguns dos seus membros
Público/Exercício de
Autoridade
6) Legítimo interesse do A empresa garante a segurança da sua rede através do controle da utilização dos
dispositivos informáticos dos seus colaboradores limitando o acesso a
Controlador ou Terceiro* determinados sites.
Consentimento
Definição
u Qualquer indicação livre, específica, informada e inequívoca dos desejos do titular dos
dados, pela qual ele ou ela, por uma declaração ou por uma ação afirmativa clara, significa
acordo para o tratamento de dados pessoais relativos a ele ou ela.
u O Titular dos dados deve dar o consentimento de forma ativa e clara e a Organização tem
de conseguir demonstrar a todo o momento que o consentimento foi obtido de acordo com
o GDPR.
u O Titular dos Dados pode retirar o consentimento a qualquer momento.
Versão 1.5 - 2019

Consentimento
Alguns serviços e informações que necessitam de consentimento:

ü Google Maps
ü Google Analytics
ü Matomo (antigo Piwik)
ü Omniture
ü Facebook, Twitter, Instagram e outras mídias sociais (exceto os links)
ü Inserção de vídeos Youtube, Vimeo e outros; e,
ü Todas as ferramentas de conversação externas (Chatbot).
Consentimento
Em geral, e preciso ter o consentimento de um usuário de dados para processar seus dados.
Há circunstâncias específicas em que o consentimento não é estritamente necessário,

geralmente em torno de requisitos legais (como em conformidade com outra lei, ou para
proteger os direitos de um titular de dados) ou quando o consentimento do sujeito de dados é
fornecido por meio de um contrato que eles têm com um terceiro.
Além desses tipos de isenções, é preciso garantir o consentimento para o processamento das
informações pessoais de qualquer pessoa.
O consentimento deve ser dado após a apresentação da

especificação da finalidade e antes da coleta dos dados
pessoais
Versão 1.5 - 2019

Garantindo o consentimento
Os responsáveis pelo tratamento dos dados terão de garantir que o consentimento é claro e
inequívoco da pessoa em causa antes de processar seus dados pessoais.
O controlador não pode usar o "Silêncio, caixas pré-marcadas ou inatividade" como prova de
consentimento.
Além disso, o processamento não pode prosseguir a menos que o titular dos dados tenha
consentido em todas as atividades de processamento.
Por exemplo:
Se você deseja realizar seis ações diferentes com os dados do participante, é necessário
garantir que o assunto tenha sido consentido cada um eles.
Crianças menores de 16 anos
Crianças menores de 16 anos não podem mais consentir que seus dados pessoais sejam
processados.
Isso pode forçar algumas organizações a fazer mudanças significativas na maneira de operar.
A obtenção do consentimento do "detentor da responsabilidade parental" pode estar em

qualquer lugar entre o difícil e o impossível.
Versão 1.5 - 2019

Fornecendo o consentimento
O regulamento observa que o consentimento pode ser fornecido eletronicamente (tick-

box, manualmente, opt-in)
O GDPR exige que o documento de consentimento seja estabelecido em termos simples:

"o pedido deve ser claro, conciso e não desnecessariamente perturbador para o uso do
serviço para o qual é fornecido".
Isso pode ser problemático, especialmente quando e necessário o consentimento para uma
variedade de atividades.
Exemplo: Caso uma contratada contrate um processamento externo de dados pessoais, esta deverá
assinar um contrato com a outra parte. As obrigações e direitos do controlador devem governar esse
contrato.
Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Contratos de controladores/processadores
Documentação de consentimento e retirada

O direito à retirada de consentimento
A documentação do consentimento é crucial, e essa é uma área-chave na qual a

contribuição legal de seus consultores profissionais é essencial.
O consentimento pode ser retirado, as organizações precisam de um processo formal e

eficiente para permitir que os titulares de dados removam o consentimento,
O regulamento exige que o responsável pelo tratamento de dados forneça um método pelo
qual seja "tão fácil retirar o consentimento quanto dá-lo".
Os aplicativos precisam incluir soluções robustas para permitir que os titulares de dados
retirem seu consentimento de acordo com esse requisito.
Versão 1.5 - 2019

Limitação de propósito
Somente serão coletados apenas para fins específicos, explícitos e legítimos.
Especificação de Finalidades:
ü Somente serão coletados para fins específicos, explícitos e legítimos.
ü O processamento adicional não é permitido por nenhuma outra razão, a menos que
isso seja declarado separadamente no GDPR.
Minimização de dados:
ü Adequados, relevantes e limitados ao que for necessário para a finalidade do
processamento.
Os dados processados devem ser relevantes
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 3.1.2 Proporcionalidade e subsidiariedade
Proporcionalidade e subsidiariedade
O processamento de dados pessoais tem sempre que cumprir as regras da "legalidade do

processamento"; em outras palavras, você precisa ter motivos legítimos para fazê-lo.
O princípio básico é que o processamento de categorias especiais de dados pessoais NÃO é

permitido. Provisão para exceções foi feita na legislação.
Por exemplo. razões médicas urgentes, etc.
Os dados pessoais devem ser

adequados, relevantes e não
excessivos em relação às
finalidades.
Fonte: GDPR - § 3.1.2 Proporcionalidade e subsidiariedade & GDPR art. 35 (7)
Versão 1.5 - 2019

Subsidiariedade
Ø A subsidiariedade é encontrada na regra geral que exige que os dados pessoais só possam
ser processados se não houver outros meios para alcançar os objetivos. Ser o menos
transgressor possível. Um dos seis fundamentos jurídicos: o processamento é necessário
para os interesses legítimos perseguidos pelo controlador ou por um terceiro.
Ø Por exemplo, para descobrir como muitas pessoas andam uma rua comercial em uma tarde
de sábado comum, não é necessário saber quem eles são. Seria possível contá-los usando o
sinal do telefone. No entanto, como o sinal Wi-Fi leva ao indivíduo que possui o
smartphone, ele é considerado um dado pessoal.
Ø O princípio da subsidiariedade significa que o uso do sinal Wi-Fi é um uso ilegal de dados
pessoais, porque o seu interesse em contar o número de visitantes é sobreposto pelo
direito fundamental à privacidade desses visitantes.
Retenção dos dados

Os titulares dos dados têm o direito de serem esquecidos
O controlador de dados deve apagar todas as informações contidas nelas.
Os dados pessoais também podem ser retidos apenas por períodos limitados, o que deve ficar
claro para o titular dos dados no momento em que consentirem.
Essa não é uma regra rígida e rápida, é claro, já que alguns dados pessoais podem ser mantidos
de forma eficaz indefinidamente (por órgãos públicos para propósitos governamentais
específicos, por exemplo) e outros processamentos, por sua natureza, podem estar em
andamento.
Independentemente de quanto tempo se pretende reter dados pessoais, a confidencialidade e a

integridade devem ser protegidas, inclusive contra perda acidental, destruição ou dano.
Versão 1.5 - 2019

Registros de processamento de dados
Todo controlador de dados precisa manter um registro de suas atividades de processamento de

dados.
Este registro precisa conter um conjunto específico de informações de forma que fique claro:
• quais dados estão sendo processados
• onde é processado
• como é processado
• porque é processado.
Todos os processadores de dados precisam manter um registro de suas atividades de

processamento de dados realizadas em nome de um controlador de dados.
Esses registros precisam ser disponibilizados à autoridade supervisora mediante solicitação.
Os dados devem ser limitados ao que for necessário para atingir os objetivos definidos
1.4 Requisitos adicionais para 5%
processamento legítimo de dados pessoais
Versão 1.5 - 2019

Requisitos para processamento de dados
O processamento de dados pessoais tem sempre que cumprir as regras da "legalidade do

processamento"
Em outras palavras, você precisa ter motivos legítimos para fazê-lo.
O princípio básico é que o processamento de categorias especiais de dados pessoais NÃO é

permitido. Provisão para exceções foi feita na legislação.
Por exemplo. razões médicas urgentes, etc.
Legalidade do processamento
O processamento só será lícito se:
u O titular dos dados der consentimento explícito.

u Domínio do direito do emprego e da segurança social e da proteção social (se autorizado).
u Para proteger os interesses vitais do titular dos dados (ou de outra pessoa).
u Atividades de uma fundação, associação ou outro organismo sem fins lucrativos com o seguinte
objetivo: político, filosófico, religioso, sindical.
u Dados pessoais que são manifestamente tornados públicos pela pessoa em causa.
u Exercício ou defesa de reclamações legais.
u Por razões de interesse público substancial.
u Para fins médicos (e medicamente relacionados).
u Razões de interesse público na área da saúde pública.
u Objetivos de arquivamento no interesse público, para fins de pesquisa científica ou histórica ou
para fins estatísticos.
Versão 1.5 - 2019

Propósito do processamento de dados

pessoais
Com base no GDPR, só podem ser processados dados pessoais por um motivo.
O processamento também inclui a coleta de dados.
Esse objetivo deve ser:
u Específico
u Explícito
u Legítimo
u E declarado antes de qualquer dado pessoal ser processado
Além disso, também deve haver uma base legítima.
Princípios de processamento de dados

pessoais (requisitos técnicos)
O processamento de dados pessoais precisa sempre estar em conformidade com os princípios
relativos ao processamento de dados pessoais. Esses princípios são 7:
1. Legalidade, justiça e transparência
Ø Os dados pessoais devem ser processados de forma legal, justa e transparente em relação ao
titular dos dados
2. Limitação de finalidade
Ø Os dados pessoais devem ser coletados para fins específicos, explícitos e legítimos e não devem
ser processados de maneira incompatível com esses propósitos. Por outro lado, o processamento é
permitido para fins de arquivamento de interesse público, científico ou para fins de pesquisa
histórica ou estatística, desde que, de acordo com o GDPR, as salvaguardas apropriadas para os
direitos e liberdades do titular dos dados estejam em vigor
Versão 1.5 - 2019


pessoais (cont.)
3. Minimização de dados
Ø Os dados pessoais devem ser adequados, relevantes e limitados ao necessário em relação aos fins
para os quais são processados.
4. Exatidão
Ø Os dados pessoais devem ser precisos e, se necessário, atualizados: todas as medidas razoáveis
devem ser tomadas para garantir que os dados pessoais que são incorretos sejam retificados ou
excluídos.
5. Limitação de armazenamento
Ø Os dados pessoais devem ser mantidos em um formato que permita a identificação dos titulares
de dados por não mais do que o necessário para as finalidades para as quais os dados pessoais são
processados; etc.

pessoais (cont.)
6. Integridade e confidencialidade
Ø Os dados pessoais devem ser processados de maneira a garantir a segurança apropriada dos dados
pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda,
destruição ou dano acidental, usando medidas técnicas ou organizacionais apropriadas.
Ø Prestação de contas
Ø O controlador deve ser responsável e demonstrar o cumprimento dos princípios mencionados
acima. Em outras palavras, o controlador, ou seja, a pessoa ou pessoas responsáveis pelo
processamento não são obrigadas apenas a cumprir o GDPR. O controlador também deve estar
sempre em condições de demonstrar conformidade. Entretanto, não é obrigatório o controle de
processamentos com suas metas e justificativas legais.
Versão 1.5 - 2019

“Balcão único”
u Cada país determinará um número de autoridades de supervisão ou de proteção de dados, que

será o ponto de contato local para todas as questões de GDPR.
u Cada estado também determinará uma autoridade de supervisão principal ou autoridade de

proteção de dados, que indicará um membro para o Conselho de Proteção de Dados da UE.
u É bastante provável que muitos países não se preocupem com múltiplas autoridades de
supervisão
u As organizações que processam dados pessoais em vários estados membros da UE lidam com a
autoridade de proteção de dados em sua jurisdição principal. Isto abrangerá todo o
processamento de dados intra-UE transfronteiriço.
5%
1.5 Direitos do titular dos dados
Versão 1.5 - 2019

Titular dos dados – “data subject”
O regulamento define um titular de dados como "uma pessoa singular identificada ou

identificável”.
Não há restrição à sua nacionalidade ou local de residência

u um titular de dados pode ser de qualquer lugar do mundo
Um titular de dados tem que ser uma pessoa

u uma corporação ou outra entidade não pode ser um titular dos dados, e as informações sobre esses
assuntos não têm proteção sob o Regulamento.
Direitos do titular dos dados – “data subject’s

rights”
O GDPR aumenta consideravelmente os direitos dos titulares de dados. Muito tem sido assunto
de notícias - especialmente o "direito de ser esquecido".
O regulamento não procura equilibrar esses direitos com o direito ao livre fluxo de
informação, a fim de apoiar "o exercício de atividades econômicas",
Os direitos expandidos concedidos aos titulares dos dados podem geralmente ser
caracterizados por lhes dar mais controle sobre os seus dados e por lhes dar uma melhor
compreensão do que será feito com eles.
Versão 1.5 - 2019

Ponto de vista das organizações
u As organizações precisarão ter clareza sobre quais dados desejam coletar e para que
serão usados.
u Isso é crítico porque muitas das restrições ao processamento no Regulamento têm

ressalvas que se aplicam se o titular dos dados consentiu explicitamente.
u O processamento de dados específico não precisará invocar uma dessas restrições, as

regras reais sobre o que pode ser feito sem o consentimento específico são
surpreendentemente restritivas.
u Os titulares de dados têm o direito de apresentar uma queixa. Os controladores são

diretamente responsáveis pelos danos causados pelo processamento que infringe o
GDPR.
Direitos do titular dos dados
1. Informação, comunicação e modalidades transparentes

2. Informação e acesso a dados pessoais
3. Direito de acesso (inspeção) pela pessoa em causa
4. Retificação e eliminação
u Direito de retificação
u Direito de apagar ("direito de ser esquecido")
u Direito de restrição de processamento
u Obrigação de notificação (retificação / apagamento / restrição de processamento)
u Direito à portabilidade de dados
5. Direito de se opor e automatizar a tomada de decisão individual
u Direito de objetar
u Tomada de decisão individual automatizada, incluindo criação de perfil
u Direito de apresentar queixa junto de uma autoridade de supervisão
Versão 1.5 - 2019

Transferência dos dados
u Para fora do EEE, a empresa deve assegurar-se de que é respeitada, pelo menos, uma das
seguintes condições:
ü a proteção no país terceiro é adequada pela EU
ü medidas necessárias para prever as salvaguardas adequadas e
ü motivos específicos para a transferência
Direitos relacionados à portabilidade
u O titular dos dados tem o direito de receber os dados pessoais que lhe são fornecidos, que
forneceu a um responsável pelo tratamento, num formato estruturado, habitualmente
utilizado e legível por máquina, e tem o direito de os transmitir para outro controlador
sem impedimento do controlador para o qual os dados pessoais foram fornecidos.
u O titular dos dados tem o direito de obter, da confirmação do responsável pelo tratamento,
se os dados pessoais relativos a ele ou dela estão sendo processados e, se for o caso, o
acesso aos dados pessoais e as seguintes informações:
u Finalidade do processamento, Categorias, Destinatários, período previsto de processamento,
existência de direitos específicos, procedimento de reclamações, fontes indiretas de coleta,
existência de tomada de decisão automática.
Versão 1.5 - 2019

Direito de ser esquecido
Direito de apagar ("direito de ser esquecido")

u O titular dos dados tem o direito de obter do responsável pelo tratamento o
apagamento de dados pessoais que lhe digam respeito, sem atrasos indevidos.
Fundamentos:
u Não são mais necessários para os fins para os quais foram coletados / processados
u Retirada do consentimento
u Objeções
u Processamento Ilegal
u Cumprimento das obrigações legais
u Recolhidos para a oferta de serviços de informação
1.6 Violação de dados e 10%
procedimentos relacionados
Versão 1.5 - 2019

Violação de segurança e violação de dados
Violação de segurança "incidente de segurança" - Evento que tem um impacto negativo na

confidencialidade, integridade ou disponibilidade de informações.
u Por exemplo. perda de uma cartão USB ou laptop, hackeamento de um sistema.
Violação de dados – uma violação de segurança só se torna uma violação de dados quando
envolve a perda de dados pessoais ou se o processamento ilegal de dados pessoais não puder
ser razoavelmente excluído.
Uma violação de dados é uma violação de segurança envolvendo dados pessoais.
Violação de dados pessoais
Ø Violação de dados pessoais é uma violação da segurança que conduz à destruição acidental
ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais
transmitidos, armazenados ou tratados de outro modo.
Ø Em outras palavras, uma violação de dados pessoais ocorre quando dados pessoais caem
nas mãos de terceiros que não devem ter acesso a eles. É sempre um incidente de
segurança.
Ø Inclui: nome, endereço, número de telefone, e-mail, aniversário, informação sobre saúde
e NÃO inclui informações corporativas (por exemplo, sobre um processo de produção ou
pesquisa.
Definição GDPR: Uma brecha de segurança que leva à destruição acidental ou

ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais
transmitidos, armazenados ou processados de outra forma.
Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Violações de dados & GDPR artigo 4 (12)
Versão 1.5 - 2019

Agindo na violação de dados

O GDPR determina a informação tanto da autoridade de supervisão como dos próprios
titulares de dados
Ambos - controladores e processadores são obrigados a:

"Implementar medidas técnicas e organizacionais adequadas para garantir um nível de
segurança adequado ao risco".
Se a violação representar um risco para o indivíduo, a organização tem de notificar a

autoridade de controle no prazo de 72 horas, após tomar conhecimento da violação.
(Artigo 32 do GDPR)
Normas de segurança da informação, como a ISO/IEC 27001, estão em vigor, com
procedimentos para lidar com o incidente com o objetivo de reparar os danos e evitar que
o incidente aconteça novamente.
Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Violações de dados GDPR artigo 4 (12)
Notificação de violação de dados

Responsabilidades:
Controlador
u A obrigação de notificação de violação de dados se dirige à parte responsável pelo
processamento de dados pessoais (Controlador)
Processador
u “O Processador deve notificar o Controlador sem demora indevida após tomar
conhecimento de uma violação de dados pessoais”
Comunicação ao titular do dado
u Quando a violação resultar num elevado risco para os direitos e liberdades dos indivíduos,
estes também terão de ser notificados diretamente.
Fonte: Livro Branco - Privacidade, Dados Pessoais e o GDPR - § 5.2 Procedimentos sobre como agir quando ocorre uma violação de dados.
Versão 1.5 - 2019

Exceções de Notificação
A notificação ao titular dos dados não é obrigatória nas seguintes circunstâncias:
Encriptação
O controlador "implementou medidas de proteção técnica e organizacional apropriadas" que
"tornam os dados ininteligíveis para qualquer pessoa que não tenha autorização para acessá-los,
como criptografia".
Medidas de mitigação
O responsável pelo tratamento toma as medidas subsequentes à violação de dados pessoais para
"garantir que o elevado risco para os direitos e liberdades dos titulares de dados" é improvável
de se materializar
Esforço desproporcional
Quando a notificação a cada titular de dados "envolveria um esforço desproporcional". Neste
último caso, podem ser utilizadas medidas de comunicação alternativas.
Categorias de violação de dados
Ø Material
Ø Perda de portadores de dados, pastas de arquivos perdidas, smartphones perdidos,
etc. Ex. perda de um hd com dados pessoais.
Ø Verbal
Ø Indiscrição, papagaio de pirata, vazamento intencional de informações sigilosas,
etc.
Ø Exemplo clonar um cartão de crédito
Ø Ciberespaço
Ø Backdoors, codificação incorreta, mau administrador (por exemplo, gerenciamento
de patches), medidas de segurança técnica insuficientes, hacking etc.
Versão 1.5 - 2019

Exemplos de violação de dados
As 5 principais vulnerabilidades de violação de dados:

u Funcionários
u Dispositivos móveis não seguros
u Aplicativos de armazenamento em nuvem
u Provedores de serviços terceirizados
u Ataques maliciosos
[fonte: Eric Basu Forbes.com - novembro de 2015]
Versão 1.5 - 2019

Diferença entre uma violação de segurança

(incidente) e violação de dados
Violação de segurança ("incidente de segurança"): um incidente de segurança pode

ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado
a segurança de sistemas de computação ou de redes de computadores. Por exemplo.
perda de uma chave USB ou laptop, hack do sistema.
Violação de dados: é aquela que provoca, de modo acidental ou ilícito, a destruição,

a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais
transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, de
acordo com a definição do item 12 do artigo 4º do GDPR.
Ø A primeira coisa que o controlador deve fazer é verificar se a violação pode ter
provocado o processamento ilícito de dados pessoais ou a perda de dados.
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 5.2 Procedimentos sobre como agir quando houver uma violação de dados
Quem deve ser informado
Stakeholders importantes que deveriam ser informados no caso de violação de dados:
u Controlador
u Processador
u Representantes
u DPO
u A todos os titulares dos dados
u Autoridade supervisora.
Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Violações de dados
Versão 1.5 - 2019

Exercícios 1/5
O que é minimização de dados?
Ø Limitação de armazenamento, salvando os dados no menor formato possível

Ø Proteção de dados pessoais por meio da minimização do acesso
Ø Limitação de dados pessoais às finalidades do processamento
Privacy and Data Protection Foundation - © HSI Institute. Todos os direitos reservados. 79
Exercícios 2/5
Como a privacidade e a proteção de dados estão relacionadas entre si?
Ø A proteção de dados decorre da privacidade.

Ø A privacidade decorre da proteção de dados.
Ø Você não pode ter privacidade sem proteção de dados.
Versão 1.5 - 2019

Exercícios 3/5
Qual é o principal objetivo do General Data Protection Regulation (GDPR)?
Ø Ser uma base comum sobre a qual os estados membros possam criar suas próprias
leis.
Ø Fazer com que países fora da UE respeitem o direito à privacidade dos indivíduos na
UE.
Ø Garantir a privacidade como um direito humano fundamental para todos.
Ø Fortalecer e unificar a proteção de dados para indivíduos na UE.
Exercícios 4/5
O GDPR está relacionado à proteção de dados pessoais.
Qual é a definição de dados pessoais?
Ø Qualquer informação relativa a uma pessoa física identificada ou identificável.

Ø Qualquer informação que os cidadãos europeus queiram proteger.
Ø Preservação da confidencialidade, integridade e disponibilidade de informações.
Versão 1.5 - 2019

Exercícios 5/5
O que é o princípio da subsidiaridade?
Ø Dados Pessoais devem ser mantidos de um modo que permita a identificação dos
titulares dos dados por um período não maior que o necessário.
Ø Ao processar dados pessoais, um Controlador deve usar apenas os dados que sejam
necessários
Ø Ao processar os dados pessoais, devem ser usados os meios menos transgressores da
privacidade possíveis
Fim do Módulo 1
84
Versão 1.5 - 2019


Foundation
2. Organizando a proteção de dados
2.1 Importância da proteção 13%
de dados para a organização
Versão 1.5 - 2019

Tipos de administração
(Papéis e Responsabilidades)
Controlador
Ø Cada Controlador e, quando aplicável, o representante do Controlador deve
manter um registro das atividades de processamento sob sua responsabilidade.
Processador/Subcontratante ou Representante
Ø Cada Processador e, quando aplicável, o representante do Processador deve
manter um registro de todas as categorias de atividades de processamento
realizadas em nome de um Controlador.
Ø Manter um registro de atividades de controle e processamento, nome e detalhes

do Controlador, do representante do Controlador e do DPO.
Ø Atender às instruções do Controlador para processamento e confidencialidade
Conformidade com a GDPR - atividades
Ø O controlador deve ser responsável e demonstrar o cumprimento dos princípios

relativos ao tratamento de dados pessoais. (Princípio da "responsabilidade")
Ø A adesão a códigos de conduta aprovados ou a mecanismos de certificação aprovados pode
ser usada como um elemento para demonstrar o cumprimento das obrigações do
controlador. Determina as finalidades e os meios de processamento de dados pessoais.
Ø O controlador precisa:
Ø Demonstrar o cumprimento das obrigações legais de processamento às quais o controlador
está sujeito (legalidade).
Ø Documentar violações de dados para auxiliar na verificação da conformidade com a
obrigação de notificação pela autoridade supervisora.
Ø Realize avaliações de impacto de proteção de dados para ajudar a demonstrar a
conformidade com o GDPR.
Ø Manter um registro das atividades de processamento (veja próximo slide)
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 1.4 Funções, responsabilidades, partes interessadas.
Versão 1.5 - 2019

Conformidade com a GDPR - Controlador

Manter registro de todas atividades de tratamento sob sua responsabilidade, que constem:
i. Nome e contato do(s) Controlador(es) ou de seus representantes e DPO

ii. A finalidade do processamento
iii. A descrição das categorias de titulares de dados e categorias de dados pessoais
iv. As categorias de destinatários a quem tenham sido ou venham a ser divulgados os dados
pessoais, incluindo destinatários em países terceiros ou organização internacional
v. Se for aplicável, transferências de dados pessoais para um país terceiro ou uma
organização internacional, incluindo a identificação desse país ou organização
internacional
vi. Se possível, os prazos previstos para exclusão das diferentes categorias de dados pessoais
vii. Se possível, uma descrição geral das medidas técnicas e organizacionais de segurança.
Conformidade com a GDPR – Processador
Registro das atividades de processamento do Processador:

i. Nome e contato do(s) Processador(es) e de cada Controlador em nome do qual o
Processador está atuando e quando aplicável, do representante do Controlador e
DPO
ii. As categorias de processamento realizadas em nome de cada Controlador
iii. Se for caso, transferências de dados pessoais para um país terceiro ou uma
organização internacional, incluindo a identificação desse país ou organização
internacional
iv. Sempre que possível, uma descrição geral das medidas técnicas e
organizacionais de segurança.
v. O processamento deve ocorrer de acordo com instruções do Controlador,
incluindo a exclusão e/ou retorno de todos dados pessoais após o serviço,
exceto se requerido por lei.
Versão 1.5 - 2019

Proteção de dados desde a concepção

(by design)
Proteção de dados desde a concepção “Privacy by design”
u É uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção de

sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o
manuseio de dados pessoais.
u O responsável pelo tratamento deve criar e reforçar a segurança e privacidade ao longo de
todo o ciclo de vida da concepção, significando cada novo projeto ou serviço que faça uso
de dados pessoais está obrigado a tomar precauções na proteção desses dados.
u Estas medidas podem ser impostas através de técnicas de pseudonimização ou encriptação
dos dados.
Proteção de dados por padrão (by default)
Ø Privacidade por Padrão “Privacy by Default”
Ø O responsável pelo tratamento deve criar e reforçar as configurações de privacidade para

se aplicarem automaticamente quando um novo projeto ou serviço faça uso de dados
pessoais.
Ø Estas medidas devem ser impostas para que os dados pessoais armazenados sejam
mantidos pelo espaço de tempo necessário para providenciar o produto ou serviço.
Ø Quando os recursos de tratamento são adquiridos a um subcontratante, o responsável pelo
tratamento deve sempre impor, se possível, os requisitos de Privacidade por Desenho e por
Padrão.
Versão 1.5 - 2019

Proteção de dados by design e por padrão
Ø Cabe ao Controlador:
Ø Implementar medidas técnicas e organizacionais apropriadas, como pseudonimização e

minimização de dados, que são projetadas para implementar os princípios de proteção de
dados;
Ø Integrar as salvaguardas necessárias no processamento, a fim de atender aos requisitos
presentes no regulamento e proteger os direitos dos titulares de dados e
Ø Implementar medidas técnicas e organizacionais apropriadas para garantir que, por
padrão, apenas os dados pessoais necessários para cada finalidade específica do
processamento sejam processados.
O GPDR aborda a proteção de dados por projeto como uma obrigação legal, fazendo
referência à minimização de dados e ao possível uso de pseudominimização.
Funcionários
u Divulgação não intencional, insider malicioso (ex-empregados que tiveram acesso a dados)
u Dispositivos não seguros
u Dispositivo móvel / portátil, dispositivo estacionário (ex. câmeras)
Aplicativos de armazenamento em nuvem
u Gerenciamento incorreto de identidades, interfaces e APIs hackeadas, captura de contas,
perda de dados, tecnologia compartilhada
Provedores de serviços de terceiros
u Insiders maliciosos, armazenamento de dados em países terceiros (não abrangidos por
decisões da UE)
Ataques maliciosos
u Hacking, malware
Versão 1.5 - 2019

Exemplos de violação de dados - 2018
1. Aadhar | Registro de cidadãos | 1,1 bilhão de usuários

O que foi afetado: dados privados de cidadãos indianos, como nomes, números de identificação e contas
bancárias
2. Marriott Starwood | Hotéis | 500 milhões de usuários
O que foi afetado: informações de hóspedes, como números de telefone, passaporte, dados sobre reservas,
cartões de pagamento e endereços de e-mail.
3. Exactis | Gestão de dados | 340 milhões de usuários
O que foi afetado: informações compiladas de milhões de pessoas e empresas, incluindo números de
telefone, endereços, interesses, características pessoais, etc.
4. MyFitnessPal | Aplicativo para atividades físicas | 150 milhões de usuários
O que foi afetado: informações de conta dos usuários
5. Quora | Fórum de discussão | 100 milhões de usuários
O que foi afetado: nomes, endereços de e-mail, senhas criptografadas, dados de contas e perguntas e
respostas dos usuários publicadas no Quora.
A obrigação de notificação de violação de dados
Ø O Processador deve notificar o Controlador, sem demora indevida, após tomar

conhecimento de uma violação de dados pessoais.
Ø Em caso de violação de dados pessoais, o responsável pelo tratamento deve, sem demora
injustificada e, sempre que possível, no prazo de 72 horas após ter tomado conhecimento
do mesmo, notificar a violação dos dados pessoais à autoridade de supervisão.
Ø Quando a violação de dados pessoais resultar em um alto risco aos direitos e liberdades das
pessoas físicas, o responsável pelo tratamento deve comunicar a violação de dados
pessoais à pessoa em causa sem demora indevida.
Ø O responsável pelo tratamento documentará quaisquer violações de dados pessoais (e
disponibilizará essas informações à autoridade supervisora).
Versão 1.5 - 2019

O que deve ser reportado
A notificação deve, pelo menos:
Ø Descrever a natureza da violação dos dados pessoais, incluindo, sempre que possível, as
categorias e o número aproximado de titulares de dados envolvidos e as categorias e o
número aproximado de registos de dados pessoais em causa
Ø Comunicar o nome e os detalhes de contato do encarregado de proteção de dados ou outro
ponto de contato onde mais informações podem ser obtidas
Ø Descrever as consequências prováveis da violação de dados pessoais
Ø Descrever as medidas tomadas ou propostas pelo controlador para tratar da violação de
dados pessoais (incluindo ações de mitigação)
A execução das regras e multas administrativas
Condições gerais:
Ø Cada autoridade de supervisão deve assegurar que a imposição de multas
administrativas seja, em cada caso individual, eficaz, proporcional e dissuasiva.
Ø As multas administrativas devem, dependendo das circunstâncias de cada caso
individual, ser impostas além ou em vez de outras medidas.
Ø O tipo de multa ou medida é determinado de acordo com o histórico tais como, mas
não limitados a infrações anteriores, gravidade, categorias de dados, etc.
Versão 1.5 - 2019

Aplicação de multas
Ø Existem duas categorias de multas. Por infrações às obrigações do controlador e do

processador, a multa máxima será de € 10.000.000 ou 2% do volume de negócios mundial
da empresa no ano financeiro anterior, o que for maior.
Ø Para estas categorias, a multa administrativa máxima será de € 20.000.000 ou até 4% do

volume de negócios mundial da empresa no ano financeiro anterior, o que for maior:
Ø Violação dos princípios básicos de processamento, incluindo as condições de consentimento
Ø Violação dos direitos dos titulares de dados
Ø as transferências de dados pessoais para um destinatário num país terceiro ou uma organização
internacional
Ø Não cumprimento de uma encomenda ou limitação temporária ou definitiva do processamento ou
suspensão da transmissão de dados pela autoridade supervisora
7,5%
2.2 Autoridade Fiscalizadora
Versão 1.5 - 2019

Responsabilidades de uma Autoridade

Supervisora - DPA (ou Fiscalizadora)
Ø Monitorar e fazer cumprir a aplicação do GDPR
Ø Aconselhar o Parlamento Nacional, governos, etc. sobre medidas legislativas e
administrativas relacionadas com a proteção de dados pessoais
Ø Definir padrões (normas e diretrizes)
Ø Estabelecer e manter uma lista em relação à exigência de AIPDs*
Ø Aprovar regras corporativas vinculantes
Ø Manter registros internos das infrações ao presente regulamento
Ø Promover a conscientização pública e a compreensão dos riscos, regras,
salvaguardas e direitos em relação ao processamento de dados pessoais.
AIPD – Avaliação de Impacto sobre a Proteção de Dados
Papel de uma autoridade supervisora

(em relação às violações de dados)
u Tem poderes de investigação (por exemplo, para realizar auditorias de proteção

de dados, para notificar o responsável pelo tratamento ou o subcontratante de
uma infração alegada)
u Tem poderes corretivos (por exemplo, emitir advertências, ordenar a
comunicação de uma violação de dados pessoais a um titular de dados, retirar
uma certificação, impor multas administrativas)
u Da autorização e poderes consultivos (por exemplo, para adotar cláusulas
contratuais padrão, para emitir certificações)
Uma autoridade pública independente que seja

estabelecida por um Estado Membro
Fonte: GDPR 2016/679, Artigo 4 e Artigo 51.
Versão 1.5 - 2019

Como uma autoridade supervisora contribui

para a aplicação da GDPR
u A autoridade supervisora contribui para a aplicação do regulamento em toda a
União, cooperando com as outras autoridades interessadas, trocando entre si as
informações pertinentes.
u As autoridades conduzem operações conjuntas, sempre que conveniente,

incluindo investigação e medidas de execução nas quais participem membros ou
pessoal das autoridades de controle.
u Exemplo: Ela define um conjunto mínimo de medidas que devem ser adotadas
para a proteção de dados pessoais.
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 7.1.4 Definição de normas.
Diretiva do NIS
(Network and Information Security)
A diretiva relativa à segurança das redes e da informação (NIS) do Parlamento Europeu.

Ø Visa estabelecer funcionalidades de segurança cibernética de nível nacional que afetarão
empresas comuns e outras organizações.
Ø Nos casos em que o GPDR procura proteger os dados pessoais e os direitos da pessoa em
causa, o NIS procura estabelecer uma "autoridade competente" para a cibersegurança em
cada Estado-Membro.
Ø As autoridades são responsáveis por garantir que a infraestrutura nacional esteja protegida
contra ameaças de segurança cibernética e que o cidadão comum possa ter um certo grau
de confiança nas tecnologias que usa diariamente
Ø O NIS é uma diretiva e, portanto, não possui o peso legal total do GDPR.
Versão 1.5 - 2019

2.3 Transferência de dados 7,5%
pessoais para outros países
Transferência de dados para outros países
u O GDPR permite a transferência de dados pessoais para países

terceiros, fora do bloco europeu, por meio de uma série de
condições, desde que esses sejam considerados pela Comissão
Europeia países com um nível “adequado” de proteção de dados
pessoais
u A Diretiva 104 do Parlamento Europeu especifica que decisões de
adequação são conferidas a países com níveis de proteção similar ao
garantido na União Europeia.
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 7.5.2 Regulamentos aplicáveis à transferência de dados para fora da Área Econômica Europeia
Versão 1.5 - 2019

Transferência de dados para outros países
LGPD
Ø Aplicação extraterritorial: em moldes similares à
regulamentação europeia, a GDPR, a Lei Geral terá
aplicação extraterritorial, ou seja, o dever de
conformidade superará os limites geográficos do país.
Ø Toda empresa estrangeira que, pelo menos, tiver filial no
Brasil, ou oferecer serviços ao mercado nacional e coletar
e tratar dados de pessoais naturais localizadas no país
estará sujeita à nova lei.
Aplicação extraterritorial – além da UE
o Aplicação extraterritorial que alcança empresas brasileiras com filiais na

União Europeia ou que ofertem serviços ao mercado europeu
o Aplica-se: empresa com filial ou representação na União Europeia (“EU”)
o Aplica-se: empresa, mesmo sem presença física na EU, mas que oferece
serviços ao mercado europeu
o Aplica-se: empresa, mesmo sem presença física na EU, que coleta dados de
pessoas naturais localizadas na EU, independente da nacionalidade.
o Aplica-se: empresa, mesmo sem presença física na EU, que monitora
pessoas naturais localizadas na EU, independente da nacionalidade.
o Aplica-se: empresa, mesmo sem presença física na EU, que terceiriza o
processamento de dados para empresas localizadas na EU
Versão 1.5 - 2019

Aplicação extraterritorial – além da UE

Pessoa natural Empresa Pessoa natural
localizada fora UE localizada fora na UE
Monitora/fornece
serviços ou produtos
A pessoa natural está na

Os dados da UE durante o
pessoa natural processamento (coleta ou Fornece
são processados outro tratamento)? serviços/produtos/monito
por ra/ perfilha/processa/
Sim dados de pessoas naturais
Controller/Proc
essor localizadas na UE?
estabelecido na
Se aplica a GDPR Sim
UE? Sim
Não
Não se aplica a
Não
GDPR
Transferência de dados dentro da EEA

(Economic European Area)
Ø A Comissão Europeia está habilitada a decidir quais países terceiros

são considerados como assegurando um nível adequado de proteção.
Ø Todos os Estados-Membros da UE e os Estados-Membros do EEE
(Islândia, Noruega e Liechtenstein) aplicavam as disposições da
Diretiva 95/46 / CE.
Ø Esses países respeitam, assim, os princípios da proteção de dados
pessoais, tal como definidos na diretiva.
Ø Em caso de multinacionais, a autoridade supervisora do
estabelecimento principal deve ter competência para agir como
autoridade de controle principal para o processamento
transfronteiriço.
Versão 1.5 - 2019

Transferência de dados fora da EEA

(Economic European Area)
Ø Comissão Europeia está habilitada a decidir quais países terceiros são

considerados detentores de um nível adequado de proteção aos dados
pessoais.
Ø A Comissão Europeia reconheceu os seguintes países: Andorra, Argentina,
Canadá (nem todo tipo de processamento), Ilhas Faroé, Guernsey, Israel,
Ilha de Man, Jersey, Nova Zelândia, Suíça e Uruguai.
Ø Particularmente para empresas e organizações multinacionais, a
autoridade supervisora pode aprovar regras corporativas
compulsórias (BCR)
Transferência de dados entre a EEA e USA
Ø UE e Estados Unidos fecham acordo para proteger a privacidade na

internet.
Ø Privacy Shield – marco jurídico sobre a transferência dos dados

pessoais com fins comerciais.
Decisão de adequação da CE
DECISÃO DE EXECUÇÃO (UE) 2016/1250 DA COMISSÃO de 12 de julho de 2016 nos termos da
Diretiva 5/46 / CE do Parlamento Europeu e do Conselho relativa à adequação da proteção
oferecida pelos documentos UE-EUA. Escudo de Privacidade
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 7.5.4 Regulamentos aplicáveis à transferência de dados entre a Área Econômica Europeia e os EUA
Versão 1.5 - 2019

2.4 Regras Corporativas

Compulsórias e proteção de 7,5%
dados em contratos
Regras Corporativas Compulsórias

Binding Corporate Rules (BCR)
As BCRs foram concebidas para permitir que um grupo de empresas possa utilizar regras
empresariais vinculantes aprovadas para as suas transferências internacionais da União para
organizações pertencentes ao mesmo grupo, garantindo as salvaguardas apropriadas para
transferências de dados pessoais.
Onde se aplica:
Ø Políticas de proteção de dados pessoais que são seguidas por um controlador ou
processador
Ø Estabelecidos no território de um Estado-Membro
Ø Para transferências ou um conjunto de transferências de dados pessoais para um
controlador ou processador
Ø Em um ou mais países terceiros
Ø Num grupo de empresas ou grupo de empresas envolvidas numa atividade económica
conjunta.
Versão 1.5 - 2019

Regras Corporativas Compulsórias

Binding Corporate Rules (BCR)
As BCR podem ser elaboradas por controladores e processadores.

Significam a criação de processos, procedimentos e acordos corporativos sobre o manuseio de dados
pessoais dentro da organização.
A BCR necessita de ser oficialmente aprovada pela Autoridade Supervisora competente para ser
utilizada na União Europeia.
Uma BCR aprovada pode substituir:

Ø Quando as Regras Corporativas Compulsórias são aprovadas por uma autoridade de proteção de
dados não é necessária aprovação de outras autoridades dentro da UE.
Ø Contrato escrito entre o controlador e o processador
Ø Ser usado para transferências de dados fora da UE
Fonte: EU GDPR, Um guia de bolso - Capítulo 3
Como a proteção de dados é formalizada?
Ø É necessário existir um contrato por escrito garantindo a confidencialidade dos dados, no

qual o Controlador define os objetivos e os métodos de processamentos.
Ø O Artigo 25 do GDPR exige que o controlador implemente medidas técnicas e

organizacionais apropriadas e garanta que essas precauções permaneçam em vigor durante
o processamento, na verdade, implementando um dos princípios da Proteção de Dados “by
design”: segurança de ponta a ponta.
Ø As duas partes devem assinar esse contrato. (Art. 28 GDPR).
Ø Regras Corporativas Compulsórias – Art. 47 do GDPR.
Versão 1.5 - 2019

Contratos entre o controlador e o processador
Requerido
Ø Quando um Controlador usa um Processador para processar dados pessoais, um
contrato por escrito entre essas partes é obrigatório. (Mesmo se o processador for
uma empresa subsidiária).
Ø Se diz respeito a uma empresa estrangeira.
Ø Se um Service Desk externo exibir dados pessoais (este é um exemplo de
processamento)
Quais as cláusulas deste contrato
No contrato por escrito, o Processador processará somente os dados pessoais sob as ordens do
Controlador. Cláusulas mínimas necessárias:
Ø Dados pessoais processados de acordo as instruções do Controlador

Ø Objeto e duração do tratamento
Ø Confidencialidade
Ø Estipular que o Processador está em conformidade com o GDPR
Ø Cláusulas contratuais padrão para as transferências de dados para fora da UE pela
Comissão Europeia.
Versão 1.5 - 2019

Obrigações contratuais do Processador
Ø Processar os dados pessoais somente em instruções documentadas do Controlador

Ø Assegurar que todas as pessoas que processam os dados se enquadram em um NDA
- Non Disclosure Agreement ("obrigação apropriada de confidencialidade")
Ø Tomar medidas de segurança apropriadas (artigo 32)
Ø Respeitar as condições para contratar outro Processador
Ø Auxiliar o responsável por medidas técnicas e organizacionais apropriadas
Obrigações contratuais do Processador

(cont.)
Ø Auxiliar o Controlador a garantir o cumprimento dos requisitos de segurança para

processamento (art. 32) e consulta prévia (art.36) na escolha do Controlador
Ø Eliminar ou devolver todos os dados pessoais ao Controlador após o final da
prestação de serviços relacionados com o processamento e eliminar todas as
cópias
Ø A menos que o armazenamento seja exigido pela legislação da UE (por exemplo,
lei fiscal) disponibiliza ao responsável todas as informações necessárias para
demonstrar o cumprimento das obrigações
Ø O responsável pelo tratamento está isento da sua obrigação de cumprir certos
direitos dos titulares de dados se não conseguir identificar quais os dados em sua
posse que se relacionam com os dados relevantes do titular.
Versão 1.5 - 2019

Responsável pelo tratamento dos dados
Controlador de dados (Data Controller):
Ø A pessoa singular ou coletiva, autoridade pública, agência ou outro organismo

que, individualmente ou em conjunto com os outros, determina os fins e meios do
tratamento de dados pessoais.
Ø Estas serão geralmente as entidades 'voltadas para o público' às quais os sujeitos

de dados fornecem suas informações. Por exemplo, um hospital pode ter um
formulário on-line para inserir informações de saúde; mesmo que o formulário on-
line seja fornecido por terceiros, o hospital (que determinará para que os dados
serão processados) será o controlador de dados.
Observações do contrato
O contrato deve:
Ø Garantir que as disposições contratuais sejam revistas e atualizadas

Ø Assegurar que as responsabilidades e responsabilidades entre o controlador e o
processador sejam estipuladas
Ø Documentar claramente as responsabilidades dos dados (garantir que não haja
confusão)
Ø Aceitar que os níveis de risco e requisitos de medidas de proteção de dados
aumentados podem afetar os custos do serviço.
Versão 1.5 - 2019

39
Exercícios 1/5
Em que caso os titulares dos dados devem ser sempre notificados de uma violação
de dados?
Ø Os dados pessoais foram processados em uma instalação do processador que não está
localizada dentro das fronteiras da UE.
Ø Os dados pessoais foram processados por uma parte que concordou com a minuta de
um contrato de processamento enviada pelo controlador, mas ainda não o assinou.
Ø Os dados pessoais foram processados por uma parte que ainda não tinha assinado um
contrato compulsório com o controlador.
Ø Existe uma probabilidade significativa de que a violação conduza a consequências
prejudiciais para a privacidade dos titulares dos dados.
40
Exercícios 2/5
Uma multinacional tem escritórios e unidades de produção em diversos estados
membros da UE.
Qual autoridade supervisora será a líder no que se refere a violações de dados?
Ø A autoridade no estado membro onde o General Data Protection Regulation (GDPR)

estiver totalmente implementado
Ø A autoridade no estado membro onde o maior estabelecimento da empresa estiver
situado.
Ø A autoridade no estado membro onde o principal estabelecimento da empresa estiver
situado.
Versão 1.5 - 2019

41
Exercícios 3/5
u Qual a melhor definição para “Regras Corporativas Compulsórias” do General
Data Protection Regulation (GDPR)?
Ø Decisão de uma comissão sobre a segurança da transferência de dados a um país

terceiro.
Ø Regras que cobrem as transferências de dados entre países terceiros.
Ø Um conjunto de regras usadas por um grupo de empresas relativas à proteção de dados
pessoais em transferências internacionais.
Exercícios 4/5
Diante da ocorrência de uma violação de dados sensíveis, a quem o incidente deve ser
reportado?
Ø Ao judiciário
Ø Ao Data Protection Officer (DPO)
Ø À Autoridade Supervisora
Ø À polícia
42
Versão 1.5 - 2019

Exercícios 5/5
A Comissão Europeia implementou uma disposição regulamentar relativa à
transferência de dados pessoais com os EUA (EU-US Privacy Shield). Em linhas
gerais, que tipo de disposição é essa?
Ø Uma decisão de adequação

Ø Um decreto de exceção
Ø Um contrato compulsório padrão
Ø Um tratado que substitui o GDPR
43
Fim do Módulo 2
44
Versão 1.5 - 2019


Foundation
3. Práticas de Proteção de Dados
5%
3.1 Proteção de Dados by design e

por padrão
Versão 1.5 - 2019

Proteção de Dados no GDPR
O GDPR exige que você estabeleça medidas técnicas e organizacionais

apropriadas para implementar os princípios de proteção de dados e
salvaguardar os direitos individuais. Esta é a "proteção de dados por design e
por padrão".
Em essência, isso significa que você precisa integrar a proteção de dados em

suas atividades de processamento e práticas de negócios, desde o estágio de
design até o ciclo de vida.
Este conceito não é novo. Anteriormente conhecido como "privacidade por

design", sempre fez parte da lei de proteção de dados. A principal mudança
com o GDPR é que agora é um requisito legal.
O que é proteção de dados by design?
A proteção de dados por design é uma abordagem que garante a consideração de

questões de privacidade e proteção de dados na fase de design de qualquer sistema,
serviço, produto ou processo e, em seguida, durante todo o ciclo de vida.
A proteção de dados por design tem ampla aplicação. Exemplos incluem:
Desenvolvimento de novos sistemas, serviços, produtos e processos de TI que envolvam
o processamento de dados pessoais;
Ø Desenvolver políticas organizacionais, processos, práticas de negócios e / ou
estratégias que tenham implicações de privacidade;
Ø Design físico;
Ø Embarcar em iniciativas de compartilhamento de dados; ou
Ø Usar dados pessoais para novos propósitos.
Versão 1.5 - 2019

O que é proteção de dados por padrão?
Ø A proteção de dados por padrão, exige que apenas se processe os

dados necessários para atingir sua finalidade específica. Vincula-se
aos princípios fundamentais de proteção de dados de minimização de
dados e limitação de finalidade.
Ø A proteção de dados por padrão, significa que é preciso especificar
esses dados antes do início do processamento, informar
apropriadamente os indivíduos e processar apenas os dados
necessários para sua finalidade.
Ø Ele não exige uma solução "padrão para desativado". Tudo depende
das circunstâncias do seu processamento e dos riscos para os
indivíduos.
O que somos obrigados a fazer?

Proteção de dados por padrão:
Não existe um método "one size fits all" para isso e nenhum conjunto de medidas
obrigatórias. Depende das circunstâncias.
A chave é considerar os problemas de proteção de dados desde o início de qualquer
atividade de processamento e adotar políticas e medidas apropriadas que atendam
aos requisitos de proteção de dados por design e por padrão. Exemplos:
Ø Minimizar o processamento de dados pessoais
Ø Pseudónimo de dados pessoais o mais rapidamente possível
Ø Garantir a transparência no que diz respeito às funções e ao tratamento de dados
pessoais
Ø Permitir que os indivíduos monitorem o processamento
O controlador deve Implementar medidas técnicas e organizacionais adequadas para

implementar os princípios de proteção de dados e salvaguardar os direitos individuais.
Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento
Versão 1.5 - 2019

Quando devemos fazer?
Na fase inicial de qualquer sistema, serviço, produto ou processo.

Deve-se considerar as atividades de processamento pretendidas, os riscos que
elas podem representar para os indivíduos e as possíveis medidas disponíveis para
garantir que se cumpra os princípios de proteção de dados e proteja os direitos
individuais.
Essas considerações devem cobrir:
Ø O estado da arte e os custos de implementação de quaisquer medidas
Ø A natureza, o escopo, o contexto e os propósitos do seu processamento e
Ø Os riscos que seu processamento representa para os direitos e liberdades dos
indivíduos.
Benefícios da aplicação dos princípios de

proteção de dados by design e por padrão
Quando se trata de desenvolver produtos e serviços seguros, a privacidade deve ser
englobada em todo o design. Falta privacidade se for uma reflexão posterior e for
encarada como uma característica, e não como parte do produto. Os benefícios
incluem:
Ø Problemas potenciais são identificados em um estágio inicial, quando abordá-los
geralmente será mais simples e menos dispendioso.
Ø Maior conscientização sobre privacidade e proteção de dados em toda a organização.
Ø As organizações são mais propensas a cumprir suas obrigações legais e menos
propensas a violar a Lei de Proteção de Dados.
Ø É menos provável que as ações sejam intrusivas para a privacidade e tenham um
impacto negativo nos indivíduos.
Versão 1.5 - 2019

Princípios da proteção de dados by design
Princípios fundamentais:
1. Proativo e não reativo
2. Proteção de dados como configuração padrão
3. Proteção de dados incorporada ao design
4. Funcionalidade completa
5. Segurança de ponta a ponta
6. Visibilidade e transparência
7. Respeito pela privacidade do usuário

(cont.)
1. Proativo e não reativo; preventiva não corretiva

A abordagem de Proteção de Dados “by design” é caracterizada por medidas proativas
em vez de reativas. Ele antecipa e evita eventos invasivos de privacidade antes que eles
aconteçam. A Proteção de Dados “by design” não espera que os riscos de privacidade se
concretizem, nem oferece remédios para resolver infrações de privacidade depois de
terem ocorrido - ele visa impedir que ocorram. Em resumo, A Proteção de Dados “by
design” vem antes do fato, não depois.
2. Privacidade como a configuração padrão

Você deve projetar qualquer sistema, serviço, produto e / ou prática de negócios para
proteger os dados pessoais automaticamente. Com a privacidade embutida no sistema,
o indivíduo não precisa tomar nenhuma medida para proteger seus dados - sua
privacidade permanece intacta sem que eles tenham que fazer nada.
Versão 1.5 - 2019


(cont.)
3. "Privacidade incorporada ao design"

A Proteção de Dados “by design” está incorporado ao design e à arquitetura de sistemas
de TI e práticas de negócios. Não é acoplada como um complemento após o fato. O
resultado é que a privacidade se torna um componente essencial da funcionalidade
principal que está sendo entregue. A proteção de dados é parte integrante do sistema,
sem diminuir suas funcionalidades.
4. "Funcionalidade total - soma positiva, não soma zero"

Também conhecido como "ganha-ganha", este princípio é essencialmente sobre evitar
trade-offs, como a crença de que em qualquer sistema ou serviço só é possível ter
privacidade ou segurança, não privacidade e segurança. Em vez disso, você deve
procurar incorporar todos os objetivos legítimos, ao mesmo tempo em que garante o
cumprimento de suas obrigações. Exemplo: funcionalidade ou segurança?
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 8.1.1 Os sete princípios da proteção de dados desde a concepção (by design)

(cont.)
5. "Segurança de ponta a ponta - proteção total do ciclo de vida"

Coloque em vigor medidas de segurança fortes desde o início e estenda essa segurança em
todo o ciclo de vida dos dados - ou seja, processe os dados com segurança e, em seguida,
destrua-os com segurança quando não precisar mais deles.
6. "Visibilidade e transparência - mantenha-a aberta"
A Proteção de Dados “by design” procura assegurar a todos os stakeholders que, seja qual for
a prática ou tecnologia de negócio envolvida, ela está, de fato, operando de acordo com as
promessas e objetivos declarados, sujeito a verificação independente. Seus componentes e
operações permanecem visíveis e transparentes para usuários e provedores. Lembre-se,
confie, mas verifique.
7. "Respeito à privacidade do usuário - mantenha-a centrada no usuário"
Acima de tudo, a Proteção de Dados “by design” exige que os arquitetos e operadores
mantenham os interesses do indivíduo (usuário) em primeiro lugar, oferecendo medidas como
padrões de privacidade fortes, notificação apropriada e capacitando opções fáceis de usar.
Mantenha foco no usuário.
Versão 1.5 - 2019

Como fazemos isso na prática?
Ø Um meio de colocar esses conceitos em prática é

desenvolver um conjunto de diretrizes práticas e
acionáveis que você pode usar em sua organização,
enquadradas por sua avaliação dos riscos apresentados e
das medidas disponíveis para você.
Ø Você pode basear as diretrizes nos sete princípios
fundamentais.
Segurança da informação e proteção de dados
Ø Informações pessoais são um subconjunto de todas as informações

processadas em uma organização
Ø Os requisitos de qualidade aplicáveis a todas as informações são
também o mínimo aplicável às informações pessoais
Ø A adoção de medidas para mitigar o risco da informação também
inclui a adoção de medidas relacionadas a informações pessoais.
Ø O GDPR exige medidas de segurança técnicas e organizacionais
adequadas
A privacidade não pode ser garantida sem a identificação, implementação e

monitoramento de medidas de segurança da informação adequadas.
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR
Versão 1.5 - 2019

Segurança da Informação
Ø Medidas preventivas / detectivas / repressivas /

corretivas
Ø Elaboração de políticas / normas / procedimentos e
Ø Confidencialidade / Integridade / Disponibilidade
(atributos da segurança da informação)
Segurança da Informação, Privacidade e

Crime Cibernético
Ø O GDPR visa proteger os dados pessoais (privacidade);
Ø Segurança da Informação visa proteger todas as informações
(incluindo dados pessoais)
Ø O crime cibernético geralmente se concentra em informações
digitais e intenções maliciosas
Ø O crime cibernético é uma causa cada vez mais comum de
violações de dados
Ø A Segurança da Informação também se concentra em intenções
físicas e não maliciosas; A privacidade e o cibercrime fazem,
portanto, parte da segurança da informação.
Versão 1.5 - 2019

Segurança da Informação e a ISO/IEC 27001
Ø A ISO 27001 é o sistema de gerenciamento padrão para

proteger as organizações contra incidentes de
informações, crimes cibernéticos e violações de dados.
Ø Implementar um ISMS endereça o contexto interno e
externo da organização Inform ation
security
Ø Instala um processo de remediação Privacy

(G DPR) Cybercrim e
Ø Identifica bens, ameaças e vulnerabilidades

©VanHarenPublishing 141
Ø Implementa medidas baseadas na avaliação de risco
5%
3.2 Avaliação de Impacto sobre a

Proteção de Dados (DPIA)
Versão 1.5 - 2019

Definições sobre Risco
Ø Um “risco” é um cenário que descreve um evento e suas

consequências, estimado em termos de gravidade e probabilidade.
Ø “Gestão de risco” as atividades coordenadas para dirigir e controlar
uma organização em relação ao risco.
Ø O GDPR exige que os controladores implementem medidas
apropriadas para garantir e demonstrar conformidade com o GDPR
Ø “Análise de risco” é a revisão dos riscos associados a um evento ou
ação em particular. Uma análise de risco de GDPR é chamada de
avaliação de impacto de proteção de dados (DPIA)
Ø A obrigação dos controladores de conduzir um DPIA em
determinadas circunstâncias deve ser entendida
Avaliação de Impacto sobre a Proteção de

dados (AIPD – DPIA)
Ø Um DPIA é uma ferramenta que você pode usar para identificar
e reduzir os riscos de proteção de dados de suas atividades de
processamento. Eles também podem ajudá-lo a projetar
processos mais eficientes e eficazes para lidar com dados
pessoais.
Ø Os DPIAs são parte integrante da proteção de dados por design

e por padrão. Por exemplo, eles podem determinar o tipo de
medidas técnicas e organizacionais necessárias para garantir
que o processamento esteja em conformidade com os princípios
de proteção de dados e minimizar o risco de multas.
Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Avaliações de Impacto sobre a Proteção de Dados
Versão 1.5 - 2019

Privacy & Data Protec<on Founda<on
Avaliação de Impacto sobre a Proteção de

dados (AIPD – DPIA)
Um DPIA é é um instrumento de análise de risco
Ø Ajuda a identificar riscos de proteção de dados (em um projeto)
Ø Ajuda a prever e evitar problemas e apresentar soluções para reduzir os riscos
de proteção de dados.
Ø O DPIA é um instrumento útil para ajudar os responsáveis pelo tratamento a
cumprir a legislação relativa à proteção de dados.
Ø A AIPD deve ser iniciado o mais cedo possível no projeto da operação de
processamento, mesmo que algumas das operações de processamento ainda
sejam desconhecidas.
Avaliando o impacto da privacidade
Ø As Avaliações de Impacto de Proteção de Dados (DPIAs) são agora

obrigatórias para tecnologias e processos que podem resultar em um alto
risco aos direitos dos titulares de dados
Ø Uma autoridade supervisora pode listar as situações específicas para as
quais uma DPIA é ou não necessária
Ø As organizações devem garantir que uma DPIA faça parte de seu processo de
avaliação de risco em relação a dados pessoais e esteja alinhada com a
proteção de dados por design e por padrão
Ø um único DPIA pode tratar de um conjunto de operações de processamento
semelhantes com riscos comparáveis
Ø O controlador de dados é responsável por garantir que os DPIAs sejam
conduzidos
Versão 1.5 - 2019

Quando um DPIA é necessário?
Um DPIA é necessário para operações de processamento quando elas são: “Provavelmente

resultarem em um alto risco”
Por exemplo:
Ø Uma avaliação sistemática e exaustiva dos aspectos pessoais relativos às pessoas singulares
(incluindo a definição de perfis)
Ø Processamento em larga escala de categorias especiais de dados (dados sensíveis)
Ø Um monitoramento sistemático de uma área de acesso público em larga escala.
Ø Grandes mudanças em um sistema ou processo que inclui o processamento de dados pessoais
Ø Novos projetos
Ø Projetar uma nova base de dados para administrar clientes
Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Consentimento & Exposição do GDPR (39)
Quando é que um DPIA NÃO é necessário?
Um DPIA NÃO é necessário:

Ø Quando o processamento não é “susceptível de resultar
em um alto risco”, ou
Ø Existe um outro DPIA semelhante ou
Ø Foi autorizado antes de maio de 2018, ou
Ø Tem uma base legal, ou
Ø Está na lista de operações de processamento para as quais
um DPIA não é necessário.
Versão 1.5 - 2019

Objetivos de um DPIA
1. Evitar mudanças dispendiosas em processos, redesenho de sistemas ou término de

projetos.
2. Reduzir as consequências supervisão e fiscalização
3. Melhorar a qualidade dos dados
4. Melhorar a prestação de serviços
5. Melhore a tomada de decisão
6. Aumentar a conscientização sobre proteção de dados em uma organização
7. Melhorar a viabilidade do projeto
8. Fortalecer a confiança dos clientes ou cidadãos na forma como os dados pessoais
são processados e a privacidade é respeitada
9. Melhorar a comunicação em relação à privacidade e proteção de dados pessoais
Atividades genéricas de um DPIA

Descrição do
Processamento
Avaliação da
Monitoramento e necessidade e
revisão proporcionalidade
Medidas já
Documentação previstas
Medidas previstas Avaliação dos riscos

para enfrentar os para os direitos e
riscos liberdades
Versão 1.5 - 2019

Tópicos de um relatório DPIA
Ø Breve descrição do DPIA que foi conduzido

Ø Breve descrição do projeto, modelo de dados e fluxo de dados
Ø Descrição do impacto e dos riscos
Ø Go / No-Go do projeto
Ø Considerações para coleta de dados
Ø Abordagem de solução de descrição
Ø Nome do oficial responsável pela gestão e avaliação do DPIA
Ø Espaço para comentários do cliente
10%
3.3 Aplicações práticas relacionadas

Ø Uso de dados
Ø Marketing
Ø Mídias sociais
Versão 1.5 - 2019

Objetivos do Gerenciamento do Ciclo de Vida do

Dado GCVD (Data Life Management – DLM)
u O Artigo 5 do GDPR descreve os princípios relativos ao processamento

de dados pessoais desde a criação, uso, compartilhamento,
arquivamento e exclusão. Esse processo pode ser visto como um ciclo
de vida de dados.
u O gerenciamento de ciclo de vida de dados (DLM) é uma abordagem

baseada em políticas para o gerenciamento do fluxo de dados em um
sistema de informações.
u Do primeiro armazenamento do dado até o momento em que está

desatualizado e é excluído
Picture source: spirion.com/us/solutions/data-lifecycle-management
Gerenciamento de ciclo de vida de dados
Ø O Gerenciamento do Ciclo de Vida do

Dado (GCVD) é um processo que ajuda
as organizações a gerenciar o fluxo de
dados em todo o seu ciclo de vida - da
criação, uso, compartilhamento,
arquivamento e exclusão.
Ø Rastrear dados com precisão em todo o

ciclo de vida da informação é a base de
uma estratégia de proteção de dados
confidencial e ajuda a determinar onde
aplicar os controles de segurança.
Picture source: spirion.com/us/solutions/data-lifecycle-management
Versão 1.5 - 2019

Retenção de dados
Ø O titular dos dados tem o direito de dispor de dados pessoais

relativos a ele retificados e de um " direito a ser esquecido "
quando a retenção desses dados viola o presente regulamento
ou a legislação da União ou do Estado-Membro a que o
responsável pelo tratamento está sujeito.
Ø Este direito é relevante, em particular, quando o titular dos
dados deu o seu consentimento quando era criança. Mesmo
depois de não ser mais uma criança, esse direito pode ser
aplicado.
Ø Por exemplo: Muitas crianças vão postar qualquer coisa na
internet e nas mídias sociais sem considerar as consequências
futuras
Minimização de dados
Ø A minimização de dados é o terceiro princípio relacionado

ao processamento de dados pessoais
Ø Os dados pessoais devem ser adequados, relevantes e
limitados ao necessário em relação aos fins para os quais
são tratados. *
Ø Faz parte da proteção de dados por design e por padrão
Ø Faz parte das regras corporativas compulsórias (BCR)
Ø Faz parte das salvaguardas e derrogações relativas ao
processamento para fins de arquivamento
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - §2.1 Princípios do processamento de dados GDPR artigo 5.1.c.
Versão 1.5 - 2019

Cookies e a privacidade
Um cookie é um arquivo de texto que é colocado no computador do usuário da

Internet, capaz de identificar usuários e registrar suas preferências.
Tipos:
Ø Cookie técnico: por exemplo. usado para o seu carrinho de compras online
Ø Cookie de rastreamento; monitorar o comportamento online (surf) para
criar um perfil do usuário da Internet
Ø Cookie de sessão: contém informações sobre o que você está fazendo*
Ø Permite publicidade personalizada e direcionada
Ø Um cookie é um tipo de identificador de dados pessoais indiretos
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 8.6.3 Cookies
Como a Internet afetou a área de marketing
O marketing direto é difundido e usado por

Ø Fornecedores de produtos e serviços
Ø Organizações de caridade
Marketing é o processo de manter uma relação direta com um Titular dos

Dados por razões comerciais ou de caridade
Ø Isso significa:
Ø Coletando dados pessoais, criando perfis e enviando (todos os tipos de)
malas diretas em campanhas publicitárias direcionadas
Ø Compra de dados pessoais de terceiros
Ø Contratar um terceiro para organizar suas correspondências
Versão 1.5 - 2019

Privacidade como modelo de negócio
Ø Algumas empresas vendem informações de seus usuários

como seu único modelo de negócios
Ø Facebook e Google (Alphabet) são as maiores empresas de
perfis, eles sabem sobre tudo o que há para ser conhecido
sobre os usuários de seus produtos gratuitos.
Política de privacidade do Facebook
Coletamos o conteúdo e outras informações que você fornece quando usa nossos serviços, inclusive
quando você se inscreve em uma conta, cria ou acompanha e envia mensagens ou se comunica com
outras pessoas. Isso pode incluir informações no ou sobre o conteúdo que você fornece, como a
localização de uma foto ou a data em que um arquivo foi criado. Também coletamos informações sobre
como você usa nossos serviços, como os tipos de conteúdo visualizados ou envolvidos, a frequência e a
duração de suas atividades. "
Serviços gratuitos vem com um preço

Google, Facebook, Linkedin, Waze, Instagran
Ø Eles sabem o que as pessoas estão pesquisando ou comprando ativamente e as

palavras ou frases usadas para encontrá-las.
Ø Eles têm as informações sobre onde estamos, quem somos, onde estaremos e o
que faremos.
Ø Eles sabem muito sobre quanto dinheiro gastamos, o que fazemos para viver,
dados demográficos, quem são nossos amigos, o que fazemos fora do trabalho,
quem vamos votar e que televisão, musicas e entretenimento que consumimos.
Ø O Google também sabe como todas essas coisas mudaram ao longo do tempo.
Ø Em suma, eles têm exatamente as informações que as empresas precisam para
maximizar seu marketing. As informações necessárias para trazer o produto ou
serviço de que você precisa, exatamente no momento em que você precisar.
Versão 1.5 - 2019

As informações de mídia social são usadas

para atividades de marketing
Ø Quando os dados pessoais são processados para fins de marketing
direto, o titular dos dados terá o direito de se opor a qualquer
momento ao processamento de dados pessoais relativos a esse
marketing, o que inclui o perfil na medida em que está
relacionado a tal marketing direto.
Ø A notificação dos titulares dos dados sobre a possibilidade de
registrar objeções é obrigatória.
Ø Quando o titular dos dados se opuser ao processamento para fins
de marketing direto, os dados pessoais deixarão de ser
processados para tais finalidades
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 8.6.3 Cookies
38
Exercícios 1/5
Qual é o objetivo do Gerenciamento de Ciclo de Vida dos Dados (DLM)?
Ø Garantir que os dados pessoais sejam processados em conformidade com o General

Data Protection Regulation (GDPR) durante sua vida útil
Ø Garantir que exista um nível adequado de proteção dos dados durante todo ciclo de vida
dos dados
Ø Gerenciar os dados pessoais de um modo capaz de garantir que os dados estão
corretos e atualizados
Versão 1.5 - 2019

39
Exercícios 2/5
Qual é a principal finalidade de um cookie?
Ø Exibir anúncios direcionados para os interesses do usuário, usando informações do

navegador
Ø Identificar usuários, registrar as preferências dos usuários e salvar informações para
login no site
Ø Salvar o histórico do navegador, permitindo que o usuário volte com facilidade a uma p
ágina da web encontrada anteriormente
40
Exercícios 3/5
O relatório de Avaliação de Impacto sobre a Proteção de Dados (AIPD) consiste em vários
tópicos. Um dos tópicos contém a seguinte questão:
“A qualidade dos dados é garantida, ou seja, os dados são atualizados, corretos e

completos?"
Ø Tipo de projeto
Ø Coleta de dados
Ø Uso de dados
Ø Segurança de dados
Versão 1.5 - 2019

41
Exercícios 4/5
Como uma DPIA pode “fortalecer a confiança dos clientes ou cidadãos no modo
como os dados pessoais são processados”?
Ø A organização prova que considera a privacidade com seriedade e visa à conformidade

com o GDPR.
Ø A organização minimiza o risco de ajustes dispendiosos dos processos ou
remodelamento dos sistemas em um estagio mais tardio.
Ø A organização previne a não conformidade com o General Data Protection Regulation
(GDPR) e minimiza o risco de multas.
42
Exercícios 5/5
Como a “proteção de dados” está relacionada à “privacidade”?
Ø Proteção de dados é um conjunto de regras e regulamentos sobre o processamento de

dados pessoais. A privacidade é o resultado da proteção de dados.
Ø Os termos “privacidade” e “proteção de dados” são intercambiáveis. Não há uma
diferença real do significado.
Ø Privacidade é o direito a ser protegido de uma interferência em assuntos pessoais. A
proteção de dados representa o modo para implementar essa proteção.
Ø Privacidade é o direito de manter assuntos pessoais em segredo. Proteção de dados é o
direito de manter os dados pessoais em segredo.
Versão 1.5 - 2019

4 Lei Geral de Proteção de Dados

Ø Não cai no exame
LGPD - Lei 13.709 de 14 de agosto de 2018
Ø Em 17 de julho de 2018, o Senado federal aprovou o Projeto

de Lei n. 53 que altera a Lei 12.965/2014 (Marco Civil da
Internet) e cria a Lei de Proteção de Dados Pessoais.
Ø Na América Latina, até então, apenas Cuba e Brasil não
possuíam legislação de proteção de dados pessoais.
Ø O projeto foi encaminhado para a sanção presidencial em
14/08.
Ø Parcialmente sancionado, o texto traz um período de 18
meses para entrar em vigor.
Versão 1.5 - 2019

Principais pontos da LGPD
Ø Aplicabilidade: afeta qualquer atividade que envolva utilização de dados

pessoais, incluindo tratamento pela internet, de consumidores,
empregados, entre outros.
Ø Autoridade Supervisora: previsão de criação, porém vetada quando da
sanção presidencial.
Ø Notificações obrigatórias: em caso de risco ou dano relevante ao(s)
titular(es) em prazo a ser definido pela AS.
Ø Extraterritorialidade: aplica-se também a empresas que não possuem
estabelecimento no Brasil.
Ø Dados: Pessoais, Sensíveis e de Crianças e de Adolescentes.
Ø Relatório de impacto à proteção de dados pessoais:

praticamente é o mesmo critério do GDPR;
Ø Encarregado da proteção de dados pessoais: é o nosso DPO
Ø Consentimento x Exceções para Consentimento: é a
autorização formal do titular dos dados em relação às
demais formas de permitir o tratamento sem a devida
autorização:
Obrigação legal Uso da Administração Órgãos de Pesquisa
Controlador Pública (Anonimização)
Execução de contrato Direitos em processos Proteção da vida
Tutela da saúde Legítimo Interesse Proteção do crédito
Versão 1.5 - 2019

Ø Princípios de Proteção de Dados: introduzido 10 princípios

da proteção de dados, incluindo-se o demonstrar medidas
adotadas para cumprir a lei (prestação de contas).
Ø Direitos dos titulares de dados: titulares dos dados terão

amplos direitos: informação, acesso, retificação,
cancelamento, oposição, portabilidade, entre outros.
10 principais pontos da LGPD
1. ESCOPO DE APLICAÇÃO – Afeta qualquer atividade que envolva

a utilização de dados pessoais, incluindo o tratamento pela
internet, de consumidores, empregados, entre outros.
2. AUTORIZAÇÃO PARA O TRATAMENTO DE DADOS – O
consentimento será umas das 10 possibilidades que legitimarão
o tratamento de dados pessoais.
3. PRINCÍPIOS DE PROTEÇÃO DE DADOS – Introduzindo os 10
princípios da proteção de dados, incluindo-se o de demonstrar
medidas adotadas para cumprir a lei (prestação de contas).
Versão 1.5 - 2019

4) DIREITOS DOS TITULARES DE DADOS – Titulares dos dados terão

amplos direitos: informação, acesso, retificação, cancelamento,
oposição, portabilidade, entre outros.
5) NOTIFICAÇÕES OBRIGATÓRIAS – Em caso de incidentes de segurança
envolvendo os dados, nas situações aplicáveis.
6) APLICAÇÃO EXTRATERRITORIAL – Aplica-se também a empresas que
não possuem estabelecimento no Brasil.
7) DADOS: SENSÍVEIS, DE MENORES E TRANSFERÊNCIA
INTERNACIONAL – Regras especificas para tratar dados sensíveis,
transferência internacional de dados e utilizar dados de crianças e
adolescentes.
8) ASSESSMENT SOBRE O TRATAMENTO DE DADOS – Necessidade

de realizar assessment de impacto à proteção de dados
(semelhante ao DPIA).
9) MAPEAMENTO DO TRATAMENTO DE DADOS – Atividades de
tratamento de dados devem ser registradas em relatório.
10) DATA PROTECTION OFFICER (DPO) – Toda empresa responsável
por tratamento de dados deverá nomear um Encarregado de
Proteção de Dados Pessoais..
Versão 1.5 - 2019

Autoridades Competentes
Ø Em ato coordenado com o novo governo, o ex-presidente Michel

Temer sancionou em 27 de dezembro de 2018 a Medida
Provisória nº 869, que alterou a Lei Geral de Proteção de Dados
Pessoais para dispor sobre a proteção de dados pessoais e criar
a Autoridade Nacional de Proteção de Dados (ANPD).
Ø A medida provisória nº 870 de 1º de janeiro de 2019,
sancionada pelo Presidente Jair Bolsonaro, prevê a Autoridade
Nacional de Proteção de Dados Pessoais como órgão integrante
da Presidência da República, conforme dispõe seu art. 2º,
inciso VI.
Fim do Módulo 3
52
Versão 1.5 - 2019

Privacy and Data Protection
Foundation
Exame Simulado
Edição 201805
Copyright © EXIN Holding B.V. 2018. All rights reserved.
EXIN® is a registered trademark.
No part of this publication may be reproduced, stored, utilized or transmitted in any form or by any means, electronic,
mechanical, or otherwise, without the prior written permission from EXIN.
Exame simulado Privacy and Data Protection Foundation 2

(PDPF.PR)
Conteúdo
Introdução 4
Exame simulado 5
Garbarito de respostas 16
Avaliação 36

(PDPF.PR)
Introdução
Este é o modelo de exame de EXIN Privacy and Data Protection Foundation (PDPF.PR). As regras e
regulamentos do exame do EXIN se aplicam a este exame.
Este exame consiste de 40 questões de múltipla escolha. Cada questão de múltipla escolha possui um
certo número de alternativas de resposta, entre as quais somente uma resposta é a correta.
O número máximo de pontos que pode ser obtido neste exame é 40. Cada resposta correta vale um
ponto. Para ser aprovado você deve obter 26 pontos ou mais.
O tempo permitido para este exame simulado é de 60 minutos.
Boa Sorte!

(PDPF.PR)
Exame simulado
1 / 40
A coleta, armazenamento, modificação, divulgação ou disseminação ilegal de dados pessoais constitui
uma ofensa de acordo com a lei europeia.
Que tipo de ofensa é essa?
A) Uma ofensa relacionada ao conteúdo

B) Uma ofensa econômica
C) Uma ofensa à propriedade intelectual
D) Uma ofensa à privacidade
2 / 40
A) A proteção de dados decorre da privacidade.

B) A privacidade decorre da proteção de dados.
C) São a mesma coisa.
D) Você não pode ter privacidade sem proteção de dados.
3 / 40
A) Ser uma base comum sobre a qual os estados membros possam criar suas próprias leis
B) Fazer com que países fora da UE respeitem o direito à privacidade dos indivíduos na UE
C) Garantir a privacidade como um direito humano fundamental para todos
D) Fortalecer e unificar a proteção de dados para indivíduos na UE
4 / 40
O General Data Protection Regulation (GDPR) está relacionado à proteção de dados pessoais.
A) Qualquer informação relativa a uma pessoa física identificada ou identificável

B) Qualquer informação que os cidadãos europeus queiram proteger
C) Dados que diretamente ou indiretamente revelam origens raciais ou étnicas, visões religiosas de
alguém, e seus dados relacionados a saúde e hábitos sexuais
D) Preservação da confidencialidade, integridade e disponibilidade de informações

(PDPF.PR)
5 / 40
De acordo com o General Data Protection Regulation (GDPR), que categoria de dados pessoais é
considerada como dados sensíveis?
A) Detalhes do cartão de crédito

B) Associação sindical
C) Número do passaporte
D) Número do CPF
6 / 40
De acordo com o General Data Protection Regulation (GDPR), qual é a definição de “processamento” de
dados pessoais?
A) Qualquer operação que possa ser realizada com dados pessoais

B) Qualquer operação que possa ser realizada com dados pessoais, exceto exclusão e destruição
C) Apenas operações nas quais os dados sejam compartilhados em mídias sociais ou transferidos por e-
mail ou de outro modo pela internet
D) Apenas operações nas quais os dados pessoais sejam usados para as finalidades para as quais
foram coletados
7 / 40
“Uma autoridade pública independente que seja estabelecida por um Estado Membro conforme o Artigo
51."
Que papel na proteção de dados é definido aqui?
A) Controlador
B) Processador
C) Autoridade Supervisora
D) Terceiro
8 / 40
O “consentimento livre e informado” é uma base legal para o processamento de dados pessoais de
acordo com o General Data Protection Regulation (GDPR). Deve-se documentar a finalidade do
processamento para a qual o consentimento é fornecido.
Em que momento do processo deve ser obtido o consentimento do titular dos dados?
A) Após a apresentação da especificação da finalidade e antes da coleta dos dados pessoais

B) Antes que a especificação do propósito seja concebida e apresentada
C) Antes do processamento dos dados pessoais
D) Antes da publicação ou disseminação dos dados pessoais

(PDPF.PR)
9 / 40
O General Data Protection Regulation (GDPR) é baseado nos princípios de proporcionalidade e
subsidiariedade.
Qual é o significado de “proporcionalidade” neste contexto?
A) Dados pessoais só podem ser processados de acordo com a especificação da finalidade.

B) Dados pessoais não podem ser reutilizados sem um consentimento explícito e informado.
C) Dados pessoais só podem ser processados se não houver outros meios para atingir a finalidade.
D) Os dados pessoais devem ser adequados, relevantes e não excessivos em relação às finalidades.
10 / 40
O processamento de dados pessoais deve satisfazer alguns requisitos de qualidade.
Qual seria um destes requisitos de qualidade definidos pelo General Data Protection Regulation (GDPR)?
A) Os dados processados devem ser arquivados.

B) Os dados processados devem ser criptografados.
C) Os dados processados devem ser indexados.
D) Os dados processados devem ser relevantes.
11 / 40
Todas as vezes que dados pessoais forem processados, a proporcionalidade e a subsidiariedade devem
ser verificadas.
Qual é o requisito para os dados pessoais que estão sendo processados?
A) Eles devem ser sempre limitados ao que for necessário para atingir os objetivos definidos e devem
ser limitados aos dados menos “invasivos”.
B) Eles devem ser manipulados pelo menor número de funcionários possível, e estes devem trabalhar
para o controlador ou uma afiliada.
C) Eles devem ser limitados a um tamanho de armazenamento predefinido e o sistema usado deve ser
financiado pelo controlador.
D) Eles devem ser usados para o menor número de finalidades possível e isto não pode ser realizado
fora das premissas do processador.
12 / 40
“O controlador deve implementar medidas técnicas e organizacionais apropriadas para garantir que (...)
sejam processados apenas dados pessoais que sejam necessários para cada finalidade específica do
processamento."
Qual termo do General Data Protection Regulation (GDPR) está sendo definido?
A) Conformidade
B) Proteção de dados como padrão
C) Privacidade desde a concepção (by design)
D) Proteção incorporada

(PDPF.PR)
13 / 40
Qual é o termo usado no General Data Protection Regulation (GDPR) para a divulgação de, ou acesso
não autorizados a dados pessoais?
A) Violação de confidencialidade
B) Violação de dados
C) Incidente
D) Incidente de segurança
14 / 40
Foi verificada a ocorrência de uma violação de dados pessoais sensíveis.
A quem isto deve ser relatado em última análise, de acordo com o General Data Protection Regulation
(GDPR)?
A) À Autoridade Supervisora
B) Ao Data Protection Officer (DPO)
C) Ao gerente do departamento
D) À polícia
15 / 40
Durante a realização de um backup, ocorre uma falha no disco rígido do servidor de dados. Tanto os
dados quanto o backup são perdidos. O disco continha dados pessoais, mas nenhum dado sensível.
Qual tipo de incidente é esse?
A) Violação de dados
B) Violação de segurança
C) Incidente de segurança
16 / 40
Uma pessoa que trabalha para um sindicato levou para casa a minuta de um informativo para finalizá-la.
O pen drive contendo a minuta e a lista de contatos foi perdido.
A quem, entre outros, deve ser relatada esta violação de dados?
A) A todos os membros da lista de contatos

B) Ao staff do sindicato
C) À polícia

(PDPF.PR)
17 / 40
Uma organização de assistência social pretende projetar uma nova base de dados para administrar seus
clientes e os cuidados de que necessitam.
Para solicitar a permissão junto à autoridade supervisora, qual seria uma das primeiras medidas
importantes a serem tomadas?
A) Coletar dados sobre os clientes e a quantidade e tipo de cuidados necessários e fornecidos.

B) Conduzir uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) para determinar os riscos do
processamento pretendido.
C) Obter o consentimento dos clientes para o processamento pretendido de seus dados pessoais.
18 / 40
Em que caso os titulares dos dados devem ser sempre notificados de uma violação de dados?
A) Os dados pessoais foram processados em uma instalação do processador que não está localizada
dentro das fronteiras da UE.
B) Os dados pessoais foram processados por uma parte que concordou com a minuta de um contrato
de processamento enviada pelo controlador, mas ainda não o assinou.
C) Os dados pessoais foram processados por uma parte que ainda não tinha assinado um contrato
compulsório com o controlador.
D) Existe uma probabilidade significativa de que a violação conduza a consequências prejudiciais para a
privacidade dos titulares dos dados.
19 / 40
Um controlador holandês contratou um processador em um país da África Setentrional para processar
dados pessoais sensíveis, sem consultar a autoridade supervisora. Isso foi descoberto e ele foi
penalizado pela autoridade supervisora. Seis meses depois, a autoridade descobre que o controlador é
novamente culpado da mesma transgressão em outra operação de processamento.
Qual é a multa máxima que a autoridade supervisora pode impor nesse caso?
A) € 750.000
B) € 1.230.000
C) € 10.000.000 ou 2% do volume global de negócios da empresa, o que for maior
D) € 20.000.000 ou 4% do volume global de negócios da empresa, com um mínimo de € 20.000.000, o
que for maior
20 / 40
As Autoridades Supervisoras assumem várias responsabilidades destinadas a garantir que os
regulamentos para proteção de dados sejam cumpridos.
Qual é uma dessas responsabilidades?
A) Avaliar códigos de conduta para setores específicos em relação ao processamento de dados

pessoais
B) Definir um conjunto mínimo de medidas que devem ser adotadas para a proteção de dados pessoais
C) Investigar todas as violações que forem notificadas à eles
D) Examinar contratos e Regras Corporativas Compulsórias em relação à conformidade com os
regulamentos

(PDPF.PR)
21 / 40
Uma associação religiosa deseja compartilhar dados pessoais com sua autoridade religiosa, em um país
não europeu, para cumprir uma solicitação legal do governo envolvido.
Qual regulamento do General Data Protection Regulation (GDPR) é aplicável nesse caso?
A) Como exceção, o processamento de dados sensíveis que revelem as crenças religiosas é permitido
para uma associação religiosa.
B) Não é permitido transferir dados pessoais para fora da Área Econômica Europeia em resposta a uma
exigência de um terceiro país.
C) O processamento é legal, desde que seja adquirido o consentimento específico e inequívoco do
titular de dados.
D) O processamento de dados pessoais fora da Área Econômica Europeia é permitido usando as
cláusulas do modelo de contrato projetado pela Comissão da UE.
22 / 40
Em 12 de julho de 2016 a Comissão Europeia implementou uma disposição regulamentar relativa à
transferência de dados pessoais com os EUA (EU-US Privacy Shield).
Em termos do General Data Protection Regulation (GDPR), que tipo de disposição é essa?
A) Uma decisão de adequação

B) Um decreto de exceção
C) Um contrato compulsório padrão
D) Um tratado que substitui o GDPR
23 / 40
Regras Corporativas Compulsórias constituem um meio para facilitar a carga administrativa das
organizações no cumprimento do GDPR.
Como estas regras podem ajudar?
A) Elas permitem que as organizações tenham contratos de apoio com todas as partes envolvidas no
exterior.
B) Elas permitem que as organizações deixem terceiros fora da Área Econômica Europeia processarem
os dados pessoais.
C) Elas evitam a necessidade de abordar separadamente cada autoridade supervisora na UE.
D) Elas previnem que as organizações precisem pedir permissão a uma autoridade supervisora para o
processamento dos dados após suas Regras Corporativas Compulsórias serem aceitas.

(PDPF.PR)
24 / 40
Caso uma contratada contrate um processamento externo de dados pessoais, esta deverá assinar um
contrato com a outra parte. Este contrato define o assunto e a duração do processamento, a natureza e a
finalidade do processamento e o tipo de dados pessoais e categorias de titulares dos dados.
Que outro aspecto deve ser governado por este contrato?
A) A responsabilidade do processador
B) A obrigação de notificação de violações de dados
C) A obrigação por parte dos processadores de cooperação com a autoridade supervisora
D) As obrigações e os direitos do controlador
25 / 40
O que deve ser feito para que um controlador possa terceirizar o processamento de dados pessoais para
um processador?
A) O controlador deve pedir permissão à autoridade supervisora para terceirizar o processamento dos
dados.
B) O controlador deve perguntar à autoridade supervisora se o contrato firmado está em conformidade
com seus regulamentos.
C) O controlador e o processador devem preparar uma minuta e assinar um contrato por escrito
garantindo a confidencialidade dos dados.
D) O processador deve demonstrar ao controlador que todas as demandas combinadas no Acordo de
Nível de Serviço (ANS) são cumpridas.
26 / 40
A proteção de dados desde a concepção (by design), conforme a descrição no artigo 25 do General Data
Protection Regulation (GDPR), é baseada em sete princípios básicos. Um desses geralmente é chamado
de “Funcionalidade – Soma Positiva, Soma Diferente de Zero”.
Qual é a essência desse princípio?
A) As normas de segurança aplicadas devem garantir a confidencialidade, a integridade e a

disponibilidade dos dados pessoais durante todo o seu ciclo de vida.
B) Se diferentes tipos de objetivos legítimos forem contraditórios, os objetivos de privacidade devem ter
prioridade em relação a outros objetivos de segurança.
C) Ao incorporar a privacidade em uma determinada tecnologia, processo ou sistema, isto deve ser
realizado de tal modo que a funcionalidade completa não seja prejudicada.
D) Sempre que possível, avaliações detalhadas de riscos e impacto na privacidade e devem ser
realizadas e publicadas, documentando com clareza os riscos para a privacidade.

(PDPF.PR)
27 / 40
Muitas vezes, os funcionários que trabalham com dados pessoais consideram privacidade e segurança
da informação como questões separadas.
Por que isso está errado?
A) A privacidade não pode ser garantida sem a identificação, implementação e monitoramento de

medidas de segurança da informação adequadas.
B) A autoridade supervisora espera que os papéis do Data Protection Officer (DPO) e security officer
sejam integrados.
C) Os regulamentos identificam medidas de segurança da informação específicas que devem ser
adotadas antes que a manipulação de dados pessoais seja permitida.
28 / 40
Um dos objetivos de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) é “fortalecer a
confiança dos clientes ou cidadãos no modo como os dados pessoais são processados e a privacidade é
respeitada”.
Como uma AIPD pode “fortalecer a confiança”?
A) A organização minimiza o risco de ajustes dispendiosos dos processos ou remodelamento dos

sistemas em um estágio mais tardio.
B) A organização previne a não conformidade com o General Data Protection Regulation (GDPR) e
minimiza o risco de multas.
C) A organização prova que considera a privacidade com seriedade e visa à conformidade com o
GDPR.
29 / 40
Qual é o objetivo de uma auditoria de proteção de dados pela autoridade supervisora?
A) Atender a obrigação do General Data Protection Regulation (GDPR) de implementar medidas

técnicas e organizacionais apropriadas para proteção de dados
B) Monitorar e impor a aplicação do GDPR, determinando se o processamento está sendo realizado em
conformidade com o GDPR
C) Aconselhar o controlador sobre a mitigação de riscos à privacidade para proteger o controlador de
pedidos de indenização de responsabilidade civil por descumprimento do GDPR
30 / 40
O que melhor descreve o princípio de minimização de dados?
A) Deve-se ter o cuidado de coletar o mínimo de dados possível para proteger a privacidade e os
interesses dos titulares dos dados.
B) Os dados devem ser adequados, relevantes e limitados ao que for necessário em relação às
finalidades para as quais são processados.
C) Para que os dados permaneçam gerenciáveis, eles devem ser armazenados de uma maneira que
exija um espaço mínimo de armazenamento.
D) O número de itens coletados por titular dos dados não pode exceder o limite superior declarado pela
autoridade supervisora.

(PDPF.PR)
31 / 40
Cookies de sessão constituem um dos tipos de cookies mais comuns.
Qual é a melhor descrição de um cookie de sessão?
A) Ele contém informações sobre o que você está fazendo, por exemplo, os produtos que você
seleciona em um comércio eletrônico antes de efetivar o pedido.
B) Ele revela o histórico do seu navegador para que outros sites possam descobrir que sites você visitou
antes de chegar ali.
C) Ele armazena o histórico do seu navegador para que você possa rastrear onde esteve na internet e
revisitar o(s) site(s), se quiser.
D) Ele coleta seus dados pessoais para que o site possa dirigir-se a você pelo nome e reutilizar suas
configurações quando você retornar.
32 / 40
Às vezes os sites rastreiam os visitantes e armazenam suas informações para fins de marketing.
O site é obrigado a informar o visitante que suas informações estão sendo usadas para fins de
marketing?
A) Sim
B) Não
33 / 40
Uma empresa pode se apresentar como especialista em uma área de competência específica fazendo
uso da mídia social.
Qual é o melhor modo de demonstrar competência em um setor específico?
A) Publicando informações sobre a empresa nas mídias sociais

B) Respondendo ativamente as perguntas sobre seus produtos nas mídias sociais
C) Publicando posts sobre como o produto do concorrente é inferior ao da empresa
D) Publicando posts sobre novos produtos que a empresa esteja desenvolvendo
34 / 40
Ocorreu uma violação de segurança em um sistema de informação que também contém dados pessoais.
Qual é a primeira coisa que o controlador deve fazer?
A) Verificar se a violação pode ter provocado a perda ou o processamento ilícito de dados pessoais
B) Avaliar o risco de efeitos adversos para os titulares dos dados usando uma Avaliação de Impacto
sobre a Proteção de Dados (AIPD)
C) Determinar se dados pessoais de caráter sensível foram ou possam ter sido processados ilegalmente
D) Relatar a violação imediatamente à autoridade supervisora relevante

(PDPF.PR)
35 / 40
A palavra “privacidade” não é mencionada no GDPR.
Como a “privacidade” está relacionada à “proteção de dados”?
A) Proteção de dados é um conjunto de regras e regulamentos sobre o processamento de dados

pessoais. A privacidade é o resultado da proteção de dados.
B) Privacidade é o direito a ser protegido de uma interferência em assuntos pessoais. A proteção de
dados representa o modo para implementar essa proteção.
C) Privacidade é o direito de manter assuntos pessoais em segredo. Proteção de dados é o direito de
manter os dados pessoais em segredo.
D) Os termos “privacidade” e “proteção de dados” são intercambiáveis. Não há uma diferença real no
significado.
36 / 40
O Regulamento (EU) 2016/679, conhecido como General Data Protection Regulation (GDPR), anula uma
Diretiva anterior da UE.
Que diretiva está sendo anulada (substituída)?
A) Diretiva 2002/58/EC de 12 de julho de 2002

B) Diretiva 2006/24/EC de 15 de março de 2006
C) Diretiva 95/46/EC de 24 de outubro de 1995
D) Diretiva 97/66/EC de 15 de dezembro de 1997
37 / 40
Que direito dos titulares de dados é definido explicitamente pelo General Data Protection Regulation
(GDPR)?
A) Uma cópia dos dados pessoais deve ser fornecida no formato solicitado pelo titular dos dados.
B) Acesso aos dados pessoais sem qualquer custo para o titular dos dados.
C) Os dados pessoais sempre devem ser alterados mediante solicitação do titular dos dados.
D) Os dados pessoais devem ser apagados sempre que isto for solicitado pelo titular dos dados.
38 / 40
O General Data Protection Regulation (GDPR) distingue “dados pessoais sensíveis” como uma categoria
especial de dados pessoais.
Qual seria um exemplo desse tipo de dados?
A) Uma consulta com especialista médico no hospital

B) Um Número de Conta Bancária Internacional (IBAN)
C) Assinatura de uma revista científica sobre política
D) Afiliação a uma associação de classe

(PDPF.PR)
39 / 40
Qual função na proteção de dados determina as finalidades e os meios de processamento de dados
pessoais?
A) O controlador
B) O Data Protection Officer (DPO)
C) O processador
40 / 40
Que informações são consideradas como dados pessoais, de acordo com o General Data Protection
Regulation (GDPR)?
A) Informações sobre uma pessoa que possam comprometer a privacidade daquela pessoa, mesmo que
sejam falsas.
B) Qualquer informação relativa a uma pessoa física identificável.
C) Informações relativas a uma pessoa física identificável que tenham sido digitalizadas.

(PDPF.PR)
Garbarito de respostas
1 / 40
A coleta, armazenamento, modificação, divulgação ou disseminação ilegal de dados pessoais constitui
uma ofensa de acordo com a lei europeia.
Que tipo de ofensa é essa?
A) Uma ofensa relacionada ao conteúdo

B) Uma ofensa econômica
C) Uma ofensa à propriedade intelectual
D) Uma ofensa à privacidade
A) Incorreto. Uma ofensa relacionada ao conteúdo envolve a disseminação de declarações racistas,

pornografia (infantil) ou informações que incitem a violência.
B) Incorreto. Ofensas econômicas estão relacionadas ao acesso não autorizado a sistemas (invasão,
disseminação de vírus, etc.) espionagem cibernética, falsificação e fraude.
C) Incorreto. Ofensas à propriedade intelectual são referentes a violações dos direitos autorais e outros
relacionados.
D) Correto. Qualquer processamento ilegal de dados pessoais constitui uma ofensa. Nenhuma fonte:
conhecimento básico.
2 / 40
A) A proteção de dados decorre da privacidade.

B) A privacidade decorre da proteção de dados.
C) São a mesma coisa.
D) Você não pode ter privacidade sem proteção de dados.
A) Incorreto. A privacidade abrange vários conceitos, como privacidade de localização, relacional,

corporal e de informações. A proteção de dados não tem nenhuma relação com eles.
B) Incorreto. A privacidade abrange vários conceitos, como privacidade de localização, relacional,
corporal e de informações. A proteção de dados ajuda a garantir alguns deles.
C) Incorreto. A proteção de dados, por exemplo, não tem nada a ver com privacidade de localização.
D) Correto. A proteção de dados é uma medida necessária para proteger o direito à privacidade. Fonte:
White Paper – Privacy, Personal Data and the GDPR - §1.3 Definitions

(PDPF.PR)
3 / 40
A) Ser uma base comum sobre a qual os estados membros possam criar suas próprias leis
B) Fazer com que países fora da UE respeitem o direito à privacidade dos indivíduos na UE
C) Garantir a privacidade como um direito humano fundamental para todos
D) Fortalecer e unificar a proteção de dados para indivíduos na UE
A) Incorreto. O GDPR é um regulamento, o que significa que ele revoga as leis para proteção de dados
nos estados membros.
B) Incorreto. Seu principal objetivo consiste em definir os direitos à proteção de dados de indivíduos na
UE.
C) Incorreto. O GDPR declara explicitamente que a proteção de dados é um direito fundamental, mas
sua abrangência está limitada aos indivíduos na UE.
D) Correto. A abrangência do GDPR é limitada à proteção de dados como um direito dos indivíduos na
UE e tem como objetivo harmonizar as regras para tanto, dentro da UE. Fonte: EU GDPR, Um guia
de bolso – Introdução.
4 / 40
O General Data Protection Regulation (GDPR) está relacionado à proteção de dados pessoais.
A) Qualquer informação relativa a uma pessoa física identificada ou identificável

B) Qualquer informação que os cidadãos europeus queiram proteger
C) Dados que diretamente ou indiretamente revelam origens raciais ou étnicas, visões religiosas de
alguém, e seus dados relacionados a saúde e hábitos sexuais
D) Preservação da confidencialidade, integridade e disponibilidade de informações
A) Correto. Esta é a definição oficial da proteção de dados. Fonte: EU GDPR, Um guia de bolso -
Capítulo 2 Termos e definições GDPR 2016/679 Artigo 4: definição
B) Incorreto. Esta definição é muito genérica.
C) Incorreto. Esta é a definição de dados sensíveis, não de dados pessoais em geral.
D) Incorreto. Esta é a definição de segurança da informação da ISO/IEC 27000:2014.

(PDPF.PR)
5 / 40
De acordo com o General Data Protection Regulation (GDPR), que categoria de dados pessoais é
considerada como dados sensíveis?
A) Detalhes do cartão de crédito

B) Associação sindical
C) Número do passaporte
D) Número do CPF
A) Incorreto. Os detalhes do cartão de crédito não são dados sensíveis de acordo com o GDPR.
B) Correto. A associação sindical é um dado sensível. Fonte: GDPR art. 9, §10 - Categorias especiais
de dados pessoais.
C) Incorreto. Os detalhes do passaporte não são dados sensíveis de acordo com o GDPR.
D) Incorreto. O número do CPF não é um dado sensível de acordo com o GDPR.
6 / 40
De acordo com o General Data Protection Regulation (GDPR), qual é a definição de “processamento” de
dados pessoais?
A) Qualquer operação que possa ser realizada com dados pessoais

B) Qualquer operação que possa ser realizada com dados pessoais, exceto exclusão e destruição
C) Apenas operações nas quais os dados sejam compartilhados em mídias sociais ou transferidos por e-
mail ou de outro modo pela internet
D) Apenas operações nas quais os dados pessoais sejam usados para as finalidades para as quais
foram coletados
A) Correto. Fonte: GDPR art.4 (2)

B) Incorreto. “Processamento” significa qualquer operação que seja realizada com dados pessoais.
C) Incorreto. “Processamento” significa qualquer operação que seja realizada com dados pessoais.
D) Incorreto. “Processamento” significa qualquer operação que seja realizada com dados pessoais.
7 / 40
“Uma autoridade pública independente que seja estabelecida por um Estado Membro conforme o Artigo
51."
Que papel na proteção de dados é definido aqui?
A) Controlador
B) Processador
C) Autoridade Supervisora
D) Terceiro
A) Incorreto. Ver Regulamento 2016/679, Artigo 4.

B) Incorreto. Ver Regulamento 2016/679, Artigo 4.
C) Correto. Fonte: GDPR 2016/679, Artigo 4 e Artigo 51.
D) Incorreto. Ver Regulamento 2016/679, Artigo 4.

(PDPF.PR)
8 / 40
O “consentimento livre e informado” é uma base legal para o processamento de dados pessoais de
acordo com o General Data Protection Regulation (GDPR). Deve-se documentar a finalidade do
processamento para a qual o consentimento é fornecido.
Em que momento do processo deve ser obtido o consentimento do titular dos dados?
A) Após a apresentação da especificação da finalidade e antes da coleta dos dados pessoais

B) Antes que a especificação do propósito seja concebida e apresentada
C) Antes do processamento dos dados pessoais
D) Antes da publicação ou disseminação dos dados pessoais
A) Correto. O consentimento só pode ser informado depois que a especificação da finalidade for
apresentada ao titular dos dados.
B) Incorreto. O consentimento só pode ser informado depois que a especificação da finalidade for
apresentada ao titular dos dados.
C) Incorreto. A coleta de dados pessoais constitui um “processamento” e, como tal, requer o
consentimento livre e informado do titular dos dados.
D) Incorreto. A publicação e a disseminação de dados pessoais constituem um “processamento” e,
como tal, requerem o consentimento livre e informado do titular dos dados.
9 / 40
O General Data Protection Regulation (GDPR) é baseado nos princípios de proporcionalidade e
subsidiariedade.
Qual é o significado de “proporcionalidade” neste contexto?
A) Dados pessoais só podem ser processados de acordo com a especificação da finalidade.

B) Dados pessoais não podem ser reutilizados sem um consentimento explícito e informado.
C) Dados pessoais só podem ser processados se não houver outros meios para atingir a finalidade.
D) Os dados pessoais devem ser adequados, relevantes e não excessivos em relação às finalidades.
A) Incorreto. Esta é uma das limitações legais.

B) Incorreto. Esta é uma das limitações legais.
C) Incorreto. Esta é a definição de subsidiariedade.
D) Correto. Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 3.1.2 Proporcionalidade e
subsidiariedade & GDPR art. 35 (7)

(PDPF.PR)
10 / 40
O processamento de dados pessoais deve satisfazer alguns requisitos de qualidade.
Qual seria um destes requisitos de qualidade definidos pelo General Data Protection Regulation (GDPR)?
A) Os dados processados devem ser arquivados.

B) Os dados processados devem ser criptografados.
C) Os dados processados devem ser indexados.
D) Os dados processados devem ser relevantes.
A) Incorreto. Nenhum requisito deste tipo é definido pelo GDPR.

B) Incorreto. Nenhum requisito deste tipo é definido pelo GDPR.
C) Incorreto. Nenhum requisito deste tipo é definido pelo GDPR.
D) Correto. Este requisito é definido pelo GDPR. Fonte: White Paper – Privacidade, Dados Pessoais e o
GDPR - § 3.1.2 Proporcionalidade e subsidiariedade
11 / 40
Todas as vezes que dados pessoais forem processados, a proporcionalidade e a subsidiariedade devem
ser verificadas.
Qual é o requisito para os dados pessoais que estão sendo processados?
A) Eles devem ser sempre limitados ao que for necessário para atingir os objetivos definidos e devem
ser limitados aos dados menos “invasivos”.
B) Eles devem ser manipulados pelo menor número de funcionários possível, e estes devem trabalhar
para o controlador ou uma afiliada.
C) Eles devem ser limitados a um tamanho de armazenamento predefinido e o sistema usado deve ser
financiado pelo controlador.
D) Eles devem ser usados para o menor número de finalidades possível e isto não pode ser realizado
fora das premissas do Processador.
A) Correto. Estes termos significam que você não deve coletar mais dados do que o necessário para
atingir o(s) objetivo(s) predefinido(s) e você sempre deve tentar usar os dados que tenham o menor
impacto sobre a privacidade do titular dos dados. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O
Regulamento – Processamento legal
B) Incorreto. O número de funcionários ou sua afiliação a alguma subsidiária não têm nenhuma relação
com estes termos.
C) Incorreto. O tamanho do armazenamento e quem financia os sistemas usados não têm nenhuma
relação com estes termos.
D) Incorreto. Desde que o titular dos dados forneça seu consentimento, o número de objetivos não é
explicitamente restrito, nem o local.

(PDPF.PR)
12 / 40
“O controlador deve implementar medidas técnicas e organizacionais apropriadas para garantir que (...)
sejam processados apenas dados pessoais que sejam necessários para cada finalidade específica do
processamento."
Qual termo do General Data Protection Regulation (GDPR) está sendo definido?
A) Conformidade
B) Proteção de dados como padrão
C) Privacidade desde a concepção (by design)
D) Proteção incorporada
A) Incorreto. Conformidade é o estado ou fato que esteja de acordo com ou satisfaça regras e normas.
B) Correto. Como padrão, o mínimo de dados pessoais deve ser processado durante o período mais
curto possível, usando as melhores medidas de segurança possíveis para prevenir um acesso não
autorizado. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Proteção de dados
desde a concepção (by design) e como padrão & GDPR art. 20 (2).
C) Incorreto. A proteção de dados desde a concepção (by design) refere-se a um projeto que inclua
medidas apropriadas para implementar os princípios de proteção de dados.
D) Incorreto. Proteção de dados incorporada é o resultado da proteção de dados desde a concepção (by
design).
13 / 40
Qual é o termo usado no General Data Protection Regulation (GDPR) para a divulgação de, ou acesso
não autorizados a dados pessoais?
A) Violação de confidencialidade
B) Violação de dados
C) Incidente
D) Incidente de segurança
A) Incorreto. O GDPR utiliza o termo violação de dados. Nem toda violação de dados constitui uma
violação de confidencialidade.
B) Correto. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Violações de dados &
GDPR artigo 4 (12)
C) Incorreto. O GDPR utiliza o termo violação de dados. Nem todo incidente constitui uma violação de
dados.
D) Incorreto. O GDPR utiliza o termo violação de dados. Nem todo incidente de segurança constitui uma
violação de dados.

(PDPF.PR)
14 / 40
Foi verificada a ocorrência de uma violação de dados pessoais sensíveis.
A quem isto deve ser relatado em última análise, de acordo com o General Data Protection Regulation
(GDPR)?
A) À Autoridade Supervisora
B) Ao Data Protection Officer (DPO)
C) Ao gerente do departamento
D) À polícia
A) Correto. Violações de dados devem ser relatadas à Autoridade de Proteção de Dados (DPA) se
puderem ter um impacto significante sobre a segurança do titular dos dados ou de seus dados
pessoais. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Violações de dados
GDPR artigo 4 (12)
B) Embora isto possa ser relatado a um DPO interno, no final, deverá ser relatado à Autoridade de
Proteção de Dados (DPA).
C) Incorreto. Embora isto possa ser relatado ao gerente, deverá também ser relatado à Autoridade de
Proteção de Dados (DPA).
D) Incorreto. Violações de dados não precisam necessariamente ser relatadas à polícia, mas devem
sempre ser relatadas à Autoridade de Proteção de Dados (DPA).
15 / 40
Durante a realização de um backup, ocorre uma falha no disco rígido do servidor de dados. Tanto os
dados quanto o backup são perdidos. O disco continha dados pessoais, mas nenhum dado sensível.
Qual tipo de incidente é esse?
A) Violação de dados
B) Violação de segurança
C) Incidente de segurança
A) Correto. Dados pessoais perdidos de modo irrecuperável são considerados como um processamento
não autorizado, o que configura uma violação de dados. Fonte: EU GDPR, Um guia de bolso -
Capítulo 3 O Regulamento – Violações de dados GDPR Capítulo I, Artigo 4, Definições
B) Incorreto. Dados pessoais perdidos de modo irrecuperável são considerados como um
processamento não autorizado, o que configura violação de dados.
C) Incorreto. Dados pessoais perdidos de modo irrecuperável são considerados como um
processamento não autorizado, o que configura violação de dados.

(PDPF.PR)
16 / 40
Uma pessoa que trabalha para um sindicato levou para casa a minuta de um informativo para finalizá-la.
O pen drive contendo a minuta e a lista de contatos foi perdido.
A quem, entre outros, deve ser relatada esta violação de dados?
A) A todos os membros da lista de contatos

B) Ao staff do sindicato
C) À polícia
A) Correto. Este é um dado sensível, portanto a perda deve ser reportada tanto à autoridade
responsável quanto aos titulares dos dados. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O
Regulamento – Violações de dados
B) Incorreto. Estes são dados sensíveis, portanto sua perda deve ser relatada tanto à autoridade
responsável pela privacidade quanto aos titulares dos dados.
C) Incorreto. Estes são dados sensíveis, portanto sua perda deve ser relatada tanto à autoridade
responsável pela privacidade quanto aos titulares dos dados.
17 / 40
Uma organização de assistência social pretende projetar uma nova base de dados para administrar seus
clientes e os cuidados de que necessitam.
Para solicitar a permissão junto à autoridade supervisora, qual seria uma das primeiras medidas
importantes a serem tomadas?
A) Coletar dados sobre os clientes e a quantidade e tipo de cuidados necessários e fornecidos.

B) Conduzir uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) para determinar os riscos do
processamento pretendido.
C) Obter o consentimento dos clientes para o processamento pretendido de seus dados pessoais.
A) Incorreto. A coleta de dados pessoais médicos, por definição, constitui um “processamento de dados
sensíveis”. É necessária a permissão prévia da Autoridade de Proteção de Dados (DPA) e dos
titulares dos dados.
B) Correto. Ao solicitar o consentimento para o processamento dos dados, os titulares dos dados
“devem ser informados dos riscos, regras, salvaguardas e direitos...” Fonte: EU GDPR, Um guia de
bolso - Capítulo 3 O Regulamento – Consentimento & Exposição do GDPR (39)
C) Incorreto. Ao solicitar o consentimento para o processamento dos dados, os titulares dos dados
“devem ser informados dos riscos, regras, salvaguardas e direitos...” Antes, é necessária uma AIPD
para determinar estes riscos e salvaguardas.

(PDPF.PR)
18 / 40
Em que caso os titulares dos dados devem ser sempre notificados de uma violação de dados?
A) Os dados pessoais foram processados em uma instalação do processador que não está localizada
dentro das fronteiras da UE.
B) Os dados pessoais foram processados por uma parte que concordou com a minuta de um contrato
de processamento enviada pelo controlador, mas ainda não o assinou.
C) Os dados pessoais foram processados por uma parte que ainda não tinha assinado um contrato
compulsório com o controlador.
D) Existe uma probabilidade significativa de que a violação conduza a consequências prejudiciais para a
privacidade dos titulares dos dados.
A) Incorreto. O local onde os dados são processados não tem importância para a obrigação de notificar
os Titulares dos Dados sobre a violação dos mesmos.
B) Incorreto. Os dados pessoais processados por outra parte, contratada pelo controlador, sem um
contrato escrito válido é considerado como violação de dados. No entanto, na situação dada, as
conseqüências negativas para os titulares dos dados em questão são improváveis. Notificar os
titulares dos dados não é obrigatório nesse caso.
C) Incorreto. O dano aos dispositivos de armazenamento tornará o acesso aos dados difícil ou mesmo
impossível, mas não implica em processamento ilegal.
D) Correto. Se houver uma probabilidade significativa de impacto negativo aos titulares dos dados, o
controlador é obrigado a notificá-los da violação. Fonte: Livro Branco - Privacidade, Dados Pessoais e
o GDPR - § 5.2 Procedimentos sobre como agir quando ocorre uma violação de dados.
19 / 40
Um controlador holandês contratou um processador em um país da África Setentrional para processar
dados pessoais sensíveis, sem consultar a autoridade supervisora. Isso foi descoberto e ele foi
penalizado pela autoridade supervisora. Seis meses depois, a autoridade descobre que o controlador é
novamente culpado da mesma transgressão em outra operação de processamento.
Qual é a multa máxima que a autoridade supervisora pode impor nesse caso?
A) € 750.000
B) € 1.230.000
C) € 10.000.000 ou 2% do volume global de negócios da empresa, o que for maior
D) € 20.000.000 ou 4% do volume global de negócios da empresa, com um mínimo de € 20.000.000, o
que for maior
A) Incorreto. De acordo com o art. 83.3 do GDPR, a multa máxima corresponde a 4% do volume global
de negócios da empresa, com um mínimo de € 20.000.000.
B) Incorreto. De acordo com o art. 83.3 do GDPR, a multa máxima corresponde a 4% do volume global
C) Incorreto. De acordo com o art. 83.3 do GDPR, a multa máxima corresponde a 4% do volume global
D) Correto. Este é o valor máximo para uma violação. Fonte: White Paper – Privacidade, Dados
Pessoais e o GDPR - § 7.3.3 Condições gerais para a imposição de multas administrativas.

(PDPF.PR)
20 / 40
As Autoridades Supervisoras assumem várias responsabilidades destinadas a garantir que os
regulamentos para proteção de dados sejam cumpridos.
Qual é uma dessas responsabilidades?
A) Avaliar códigos de conduta para setores específicos em relação ao processamento de dados

pessoais
B) Definir um conjunto mínimo de medidas que devem ser adotadas para a proteção de dados pessoais
C) Investigar todas as violações que forem notificadas à eles
D) Examinar contratos e Regras Corporativas Compulsórias em relação à conformidade com os
regulamentos
A) Correto. Uma das responsabilidades das autoridades de proteção de dados (DPA) é fornecer uma
orientação geral sobre como cumprir com os regulamentos. Fonte: White Paper – Privacidade, Dados
Pessoais e o GDPR - § 7.1.4 Definição de normas.
B) Incorreto. Uma Autoridade de Proteção de Dados (DPA) fornecerá uma orientação geral sobre o que
é considerado um nível de segurança apropriado. Contudo, ela não vão dizer quais medidas
específicas devem ser adotadas para chegar a esse nível. Mesmo que quisesse, ela não poderia
porque não existe uma solução única que funcione para todos.
C) Incorreto. Autoridades de proteção de dados (DPA) não têm a obrigação, nem a capacidade, de
investigar todas as violações de que tenham conhecimento. Mas investigarão aquelas que julgarem
significativas ou dignas de atenção.
D) Incorreto. Uma Autoridade de Proteção de Dados (DPA) não é um conselho legal. Ela não examinará
contratos ou Regras Corporativas Compulsórias. Contudo, no decorrer de uma investigação, eles
podem analisar um contrato específico ou um conjunto de Regras Corporativas Compulsórias.

(PDPF.PR)
21 / 40
Uma associação religiosa deseja compartilhar dados pessoais com sua autoridade religiosa, em um país
não europeu, para cumprir uma solicitação legal do governo envolvido.
Qual regulamento do General Data Protection Regulation (GDPR) é aplicável nesse caso?
A) Como exceção, o processamento de dados sensíveis que revelem as crenças religiosas é permitido
para uma associação religiosa.
B) Não é permitido transferir dados pessoais para fora da Área Econômica Europeia em resposta a uma
exigência de um terceiro país.
C) O processamento é legal, desde que seja adquirido o consentimento específico e inequívoco do
titular de dados.
D) O processamento de dados pessoais fora da Área Econômica Europeia é permitido usando as
cláusulas do modelo de contrato projetado pela Comissão da UE.
A) Incorreto. Associações religiosas têm permissão para processar dados relativos a seus membros
anteriores e atuais, mas não tem permissão para transferir dados pessoais para fora da Área
Econômica Europeia em resposta a uma exigência legal de um terceiro país.
B) Correto. Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 7.5.2 Regulamentos
aplicáveis à transferência de dados para fora da Área Econômica Europeia EU GDPR, Um guia de
bolso - Capítulo 3: O regulamento – Transferências internacionais GDPR art. 48.
C) Incorreto. Não é permitido transferir dados pessoais para fora da Área Econômica Europeia em
resposta a uma exigência legal de um terceiro país, nem mesmo com o consentimento do titular dos
dados.
D) Incorreto. O processamento de dados sensíveis fora da Área Econômica Europeia pode ser
permitido, mas não em resposta à solicitação do governo de um terceiro país.
22 / 40
Em 12 de julho de 2016 a Comissão Europeia implementou uma disposição regulamentar relativa à
transferência de dados pessoais com os EUA (EU-US Privacy Shield).
Em termos do General Data Protection Regulation (GDPR), que tipo de disposição é essa?
A) Uma decisão de adequação

B) Um decreto de exceção
C) Um contrato compulsório padrão
D) Um tratado que substitui o GDPR
A) Correto. A disposição regulamentar constitui uma decisão de adequação de acordo com o GDPR, em
relaçãno que diz respeito ao processamento em terceiros países. Fonte: White Paper – Privacidade,
Dados Pessoais e o GDPR - § 7.5.4 Regulamentos aplicáveis à transferência de dados entre a Área
Econômica Europeia e os EUA EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento -
Transferências internacionais Exposições do GDPR 104 e 106.
B) Incorreto. Uma exceção refere-se a transferências essenciais para responder a ataques terroristas ou
crimes graves (art. 11)
C) Incorreto. A disposição regulamentar constitui uma decisão de adequação ao GDPR, no que diz
respeito ao processamento em terceiros países.
D) Incorreto. A disposição regulamentar constitui uma decisão de adequação de acordo com o GDPR,
no que diz respeito ao processamento em terceiros países.

(PDPF.PR)
23 / 40
Regras Corporativas Compulsórias constituem um meio para facilitar a carga administrativa das
organizações no cumprimento do GDPR.
Como estas regras podem ajudar?
A) Elas permitem que as organizações tenham contratos de apoio com todas as partes envolvidas no
exterior.
B) Elas permitem que as organizações deixem terceiros fora da Área Econômica Europeia processarem
os dados pessoais.
C) Elas evitam a necessidade de abordar separadamente cada autoridade supervisora na UE.
D) Elas previnem que as organizações precisem pedir permissão a uma autoridade supervisora para o
processamento dos dados após suas Regras Corporativas Compulsórias serem aceitas.
A) Incorreto. Regras Corporativas Compulsórias são preparadas para que as organizações não
precisem usar contratos de apoio separados para cada afiliada.
B) Incorreto. Regras Corporativas Compulsórias são válidas apenas dentro de uma organização e em
todas as suas afiliadas. Não são aplicadas a nenhuma outra parte.
C) Correto. Quando as Regras Corporativas Compulsórias são aprovadas por uma autoridade de
proteção de dados (DPA dentro da UE, não é necessário pedir a aprovação de outras autoridades
dentro da UE. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Regras
corporativas vinculativas
D) Incorreto. Um conjunto de regras compulsórias deve ser autorizado por uma Autoridade de Proteção
de Dados (DPA).
24 / 40
Caso uma contratada contrate um processamento externo de dados pessoais, esta deverá assinar um
contrato com a outra parte. Este contrato define o assunto e a duração do processamento, a natureza e a
finalidade do processamento e o tipo de dados pessoais e categorias de titulares dos dados.
Que outro aspecto deve ser governado por este contrato?
A) A responsabilidade do processador
B) A obrigação de notificação de violações de dados
C) A obrigação por parte dos processadores de cooperação com a autoridade supervisora
D) As obrigações e os direitos do controlador
A) Incorreto. Esta é uma obrigação direta do General Data Protection Regulation (GDPR) para os
processadores.
B) Incorreto. Esta é uma obrigação direta do GDPR para os processadores.
C) Incorreto. Esta é uma obrigação direta do GDPR para os processadores.
D) Correto. Esta é uma obrigação direta do GDPR para os processadores. Fonte: EU GDPR, Um guia
de bolso - Capítulo 3 O Regulamento – Contratos de controladores/processadores & GDPR art. 28
(3).

(PDPF.PR)
25 / 40
O que deve ser feito para que um controlador possa terceirizar o processamento de dados pessoais para
um processador?
A) O controlador deve pedir permissão à autoridade supervisora para terceirizar o processamento dos
dados.
B) O controlador deve perguntar à autoridade supervisora se o contrato firmado está em conformidade
com seus regulamentos.
C) O controlador e o processador devem preparar uma minuta e assinar um contrato por escrito
garantindo a confidencialidade dos dados.
D) O processador deve demonstrar ao controlador que todas as demandas combinadas no Acordo de
Nível de Serviço (ANS) são cumpridas.
A) Incorreto. Não é necessário pedir a permissão da Autoridade de Proteção de Dados (DPA) para cada
caso de terceirização.
B) Incorreto. A Autoridade de Proteção de Dados (DPA) não é um conselho legal e não verifica a
conformidade de contratos.
C) Correto. Deve haver um contrato por escrito garantindo a confidencialidade dos dados, no qual o
controlador define os objetivos e os métodos de processamento. As duas partes devem assinar esse
contrato. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Contratos de
controladores/processadores GDPR art. 28 (3).
D) Incorreto. Um ANS não é suficiente porque ele enfocará as operações, não definindo
necessariamente os objetivos.
26 / 40
A proteção de dados desde a concepção (by design), conforme a descrição no artigo 25 do General Data
Protection Regulation (GDPR), é baseada em sete princípios básicos. Um desses geralmente é chamado
de “Funcionalidade – Soma Positiva, Soma Diferente de Zero”.
Qual é a essência desse princípio?
A) As normas de segurança aplicadas devem garantir a confidencialidade, a integridade e a

disponibilidade dos dados pessoais durante todo o seu ciclo de vida.
B) Se diferentes tipos de objetivos legítimos forem contraditórios, os objetivos de privacidade devem ter
prioridade em relação a outros objetivos de segurança.
C) Ao incorporar a privacidade em uma determinada tecnologia, processo ou sistema, isto deve ser
realizado de tal modo que a funcionalidade completa não seja prejudicada.
D) Sempre que possível, avaliações detalhadas de riscos e impacto na privacidade e devem ser
realizadas e publicadas, documentando com clareza os riscos para a privacidade.
A) Incorreto. Este é um aspecto da Segurança End-to-End – Proteção do Ciclo de Vida, um dos outros
seis princípios básicos.
B) Incorreto. A privacidade desde a concepção (by design) rejeita a abordagem de que a Privacidade
deve competir com outros interesses legítimos, objetivos do projeto e capacidades técnicas. Todos os
objetos devem ser acomodados em uma soma positiva, de um modo “ganha-ganha”.
C) Correto, esta é a essência. Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 8.1.1 Os
sete princípios da proteção de dados desde a concepção (by design) GDPR art. 25.
D) Incorreto. Este é um aspecto da “privacidade incorporada ao projeto”, um dos outros seis princípios
básicos.

(PDPF.PR)
27 / 40
Muitas vezes, os funcionários que trabalham com dados pessoais consideram privacidade e segurança
da informação como questões separadas.
Por que isso está errado?
A) A privacidade não pode ser garantida sem a identificação, implementação e monitoramento de

medidas de segurança da informação adequadas.
B) A autoridade supervisora espera que os papéis do Data Protection Officer (DPO) e security officer
sejam integrados.
C) Os regulamentos identificam medidas de segurança da informação específicas que devem ser
adotadas antes que a manipulação de dados pessoais seja permitida.
A) Correto. Privacidade e proteção de dados referem-se à garantia de confidencialidade de dados

pessoais, entre outros. Isto requer a implementação de medidas de segurança. Fonte: White Paper –
Privacidade, Dados Pessoais e o GDPR - § 2.1.6 Integridade e confidencialidade.
B) Incorreto. A Autoridade de Proteção de Dados (DPA) não espera que estes papéis sejam integrados.
C) Incorreto. Os regulamentos especificam os objetivos que devem ser atingidos, mas nenhuma medida
específica que deva ser adotada.
28 / 40
Um dos objetivos de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) é “fortalecer a
confiança dos clientes ou cidadãos no modo como os dados pessoais são processados e a privacidade é
respeitada”.
Como uma AIPD pode “fortalecer a confiança”?
A) A organização minimiza o risco de ajustes dispendiosos dos processos ou remodelamento dos

sistemas em um estágio mais tardio.
B) A organização previne a não conformidade com o General Data Protection Regulation (GDPR) e
minimiza o risco de multas.
C) A organização prova que considera a privacidade com seriedade e visa à conformidade com o
GDPR.
A) Incorreto. Este aspecto pode fortalecer a confiança da gerência, mas não de clientes ou cidadãos.
B) Incorreto. A prevenção de multas pode fortalecer a confiança da gerência, mas não de clientes ou
cidadãos.
C) Correto. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Avaliações de Impacto
sobre a Proteção de Dados

(PDPF.PR)
29 / 40
Qual é o objetivo de uma auditoria de proteção de dados pela autoridade supervisora?
A) Atender a obrigação do General Data Protection Regulation (GDPR) de implementar medidas

técnicas e organizacionais apropriadas para proteção de dados
B) Monitorar e impor a aplicação do GDPR, determinando se o processamento está sendo realizado em
conformidade com o GDPR
C) Aconselhar o controlador sobre a mitigação de riscos à privacidade para proteger o controlador de
pedidos de indenização de responsabilidade civil por descumprimento do GDPR
A) Incorreto. A auditoria não constitui a implementação das medidas, e sim uma avaliação de sua
eficácia.
B) Correto. De acordo com o GDPR, esta é uma tarefa importante, própria da Autoridade de Proteção de
Dados (DPA).
C) Incorreto. A Autoridade de Proteção de Dados (DPA) tem a tarefa de monitorar a conformidade e
aconselhar sobre aprimoramentos, mas seu objetivo não é proteger o controlador.
30 / 40
O que melhor descreve o princípio de minimização de dados?
A) Deve-se ter o cuidado de coletar o mínimo de dados possível para proteger a privacidade e os
interesses dos titulares dos dados.
B) Os dados devem ser adequados, relevantes e limitados ao que for necessário em relação às
finalidades para as quais são processados.
C) Para que os dados permaneçam gerenciáveis, eles devem ser armazenados de uma maneira que
exija um espaço mínimo de armazenamento.
D) O número de itens coletados por titular dos dados não pode exceder o limite superior declarado pela
autoridade supervisora.
A) Incorreto. Na verdade, o General Data Protection Regulation (GDPR) declara que os dados coletados
devem ser adequados, implicando que não precisam ser o mínimo absoluto.
B) Correto. Esta é a definição exata de minimização de dados. Isto tem o objetivo de garantir que
apenas os dados necessários para atingir os objetivos definidos sejam coletados. Fonte: White Paper
– Privacidade, Dados Pessoais e o GDPR - §2.1 Princípios do processamento de dados GDPR artigo
5.1.c.
C) Incorreto. O tamanho do armazenamento não tem nenhuma relação com este princípio.
D) Incorreto. As autoridades supervisoras não estabelecem um limite superior para o número de itens
coletados, desde que sejam limitados ao necessário para atingir os objetivos definidos.

(PDPF.PR)
31 / 40
Cookies de sessão constituem um dos tipos de cookies mais comuns.
Qual é a melhor descrição de um cookie de sessão?
A) Ele contém informações sobre o que você está fazendo, por exemplo, os produtos que você
seleciona em um comércio eletrônico antes de efetivar o pedido.
B) Ele revela o histórico do seu navegador para que outros sites possam descobrir que sites você visitou
antes de chegar ali.
C) Ele armazena o histórico do seu navegador para que você possa rastrear onde esteve na internet e
revisitar o(s) site(s), se quiser.
D) Ele coleta seus dados pessoais para que o site possa dirigir-se a você pelo nome e reutilizar suas
configurações quando você retornar.
A) Correto. Um cookie de sessão é mantido na memória para salvar informações sobre a sessão. Ele é
apagado quando você encerra a sessão. Fonte: White Paper – Privacidade, Dados Pessoais e o
GDPR - § 8.6.3 Cookies
B) Incorreto. Um cookie de sessão é apagado quando a sessão é encerrada; portanto, não pode ser
usado em uma sessão futura.
C) Incorreto. Um cookie de sessão é apagado quando a sessão é encerrada; portanto, não pode ser
D) Incorreto. Um cookie de sessão é apagado quando a sessão é encerrada; portanto, não pode ser
32 / 40
Às vezes os sites rastreiam os visitantes e armazenam suas informações para fins de marketing.
O site é obrigado a informar o visitante que suas informações estão sendo usadas para fins de
marketing?
A) Sim
B) Não
A) Correto. O site tem a obrigação de informar ao visitante que suas informações estão sendo usadas
para fins de marketing. Os visitantes têm o direito de recusar o processamento de dados pessoais
referentes a eles para fins de marketing. Fonte: White Paper – Privacidade, Dados Pessoais e o
GDPR - § 8.6.3 Cookies
B) Incorreto. O site tem a obrigação de informar ao visitante que suas informações estão sendo usadas
para fins de marketing. Os visitantes têm o direito de recusar o processamento de dados pessoais
referentes a eles para fins de marketing.

(PDPF.PR)
33 / 40
Uma empresa pode se apresentar como especialista em uma área de competência específica fazendo
uso da mídia social.
Qual é o melhor modo de demonstrar competência em um setor específico?
A) Publicando informações sobre a empresa nas mídias sociais

B) Respondendo ativamente as perguntas sobre seus produtos nas mídias sociais
C) Publicando posts sobre como o produto do concorrente é inferior ao da empresa
D) Publicando posts sobre novos produtos que a empresa esteja desenvolvendo
A) Incorreto. Simplesmente publicar informações sobre a empresa não faz de você um especialista no
setor.
B) Correto. Responder (e responder ativamente) a perguntas sobre um produto específico nas mídias
sociais pode transformar sua empresa em uma especialista. Fonte: White Paper – Privacidade,
Dados Pessoais e o GDPR - § 8.6 Aplicações relativas à prática do uso de dados, marketing e mídia
social.
C) Incorreto. Isto simplesmente é alardear o quanto seu produto é bom (e talvez nem seja).
D) Incorreto. Isso simplesmente mostra que a empresa está desenvolvendo novos produtos e, sim, isso
pode ajudar a melhorar as vendas, mas não faz da empresa uma especialista.
34 / 40
Ocorreu uma violação de segurança em um sistema de informação que também contém dados pessoais.
Qual é a primeira coisa que o controlador deve fazer?
A) Verificar se a violação pode ter provocado a perda ou o processamento ilícito de dados pessoais
B) Avaliar o risco de efeitos adversos para os titulares dos dados usando uma Avaliação de Impacto
sobre a Proteção de Dados (AIPD)
C) Determinar se dados pessoais de caráter sensível foram ou possam ter sido processados ilegalmente
D) Relatar a violação imediatamente à autoridade supervisora relevante
A) Correto. Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 5.2 Procedimentos sobre
como agir quando houver uma violação de dados.
B) Incorreto. Uma AIPD é conduzida durante o projeto das operações de processamento de dados
pessoais.
C) Incorreto. O controlador deve primeiro verificar se o incidente constitui uma violação de dados que
precise ser relatada.
D) Incorreto. O controlador deve primeiro verificar se o incidente constitui uma violação de dados que
precise ser relatada.

(PDPF.PR)
35 / 40
A palavra “privacidade” não é mencionada no GDPR.
Como a “privacidade” está relacionada à “proteção de dados”?
A) Proteção de dados é um conjunto de regras e regulamentos sobre o processamento de dados

pessoais. A privacidade é o resultado da proteção de dados.
B) Privacidade é o direito a ser protegido de uma interferência em assuntos pessoais. A proteção de
dados representa o modo para implementar essa proteção.
C) Privacidade é o direito de manter assuntos pessoais em segredo. Proteção de dados é o direito de
manter os dados pessoais em segredo.
D) Os termos “privacidade” e “proteção de dados” são intercambiáveis. Não há uma diferença real no
significado.
A) Incorreto. A privacidade é um direito, a proteção de dados é um meio para garanti-la.

B) Correto. Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 1.3 Definições
C) Incorreto. A privacidade é um direito, a proteção de dados é um meio para garanti-la.
D) Incorreto. A privacidade é um direito, a proteção de dados é um meio para garanti-la.
36 / 40
O Regulamento (EU) 2016/679, conhecido como General Data Protection Regulation (GDPR), anula uma
Diretiva anterior da UE.
Que diretiva está sendo anulada (substituída)?
A) Diretiva 2002/58/EC de 12 de julho de 2002

B) Diretiva 2006/24/EC de 15 de março de 2006
C) Diretiva 95/46/EC de 24 de outubro de 1995
D) Diretiva 97/66/EC de 15 de dezembro de 1997
A) Incorreto. A diretiva 2002/58/EC retifica algumas partes da diretiva 97/66/EC.

B) Incorreto. Esta diretiva refere-se à retenção de dados coletados, por exemplo, por provedores de
internet.
C) Correto. Esta substituição é mencionada no (sub)título do regulamento. Fonte: GDPR.
D) Incorreto. Esta diretiva complementa a diretiva 95/46/EC para garantir um nível equivalente de
proteção dos direitos e liberdades fundamentais nos estados membros.

(PDPF.PR)
37 / 40
Que direito dos titulares de dados é definido explicitamente pelo General Data Protection Regulation
(GDPR)?
A) Uma cópia dos dados pessoais deve ser fornecida no formato solicitado pelo titular dos dados.
B) Acesso aos dados pessoais sem qualquer custo para o titular dos dados.
C) Os dados pessoais sempre devem ser alterados mediante solicitação do titular dos dados.
D) Os dados pessoais devem ser apagados sempre que isto for solicitado pelo titular dos dados.
A) Incorreto. Isso deve ser fornecido em um formato estruturado, comumente usado e que permita a
leitura em um computador, mas não necessariamente em qualquer formato especificado pelo titular
dos dados.
B) Correto. Contudo, apenas a primeira cópia precisa ser fornecida sem custos. Fonte: EU GDPR, Um
guia de bolso - Capítulo 3 O Regulamento – Direitos dos titulares dos dados
C) Incorreto. Apenas dados errôneos precisam ser retificados.
D) Incorreto. O artigo 17 apresenta algumas exceções a estes casos, por exemplo, quando os dados
são necessários para o estabelecimento, exercício ou defensa de reclamações legais.
38 / 40
O General Data Protection Regulation (GDPR) distingue “dados pessoais sensíveis” como uma categoria
especial de dados pessoais.
Qual seria um exemplo desse tipo de dados?
A) Uma consulta com especialista médico no hospital

B) Um Número de Conta Bancária Internacional (IBAN)
C) Assinatura de uma revista científica sobre política
D) Afiliação a uma associação de classe
A) Correto. Uma consulta com um especialista médico constitui um “dado pessoal relativo à saúde”.
Fonte: GDPR art. 9.1.
B) Incorreto. Um IBAN constitui um dado especificamente relacionado a uma pessoa, ou seja, um dado
pessoal. Mas não constitui um dado pessoal sensível de acordo com GDPR art. 9.
C) Incorreto. Uma revista científica sobre política não constitui “dados pessoais que revelem opiniões
políticas, crenças religiosas ou filosóficas” e, portanto, não constitui um dado pessoal sensível de
acordo com GDPR art. 9.
D) Incorreto. Apenas a associação a sindicatos e outros dados pessoais” que revelem (...) opiniões
políticas, crenças religiosas ou filosóficas” constituem dados pessoais sensíveis de acordo com
GDPR art. 9.

(PDPF.PR)
39 / 40
Qual função na proteção de dados determina as finalidades e os meios de processamento de dados
pessoais?
A) O controlador
B) O Data Protection Officer (DPO)
C) O processador
A) Correto. Controlador: a pessoa física ou jurídica, autoridade pública, agência ou outro organismo que,
isoladamente ou em conjunto com outras partes, determina os objetivos e os meios de
processamento de dados pessoais. Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR -
§ 1.4 Funções, responsabilidades, partes interessadas.
B) Incorreto.
C) Incorreto.
40 / 40
Que informações são consideradas como dados pessoais, de acordo com o General Data Protection
Regulation (GDPR)?
A) Informações sobre uma pessoa que possam comprometer a privacidade daquela pessoa, mesmo que
sejam falsas.
B) Qualquer informação relativa a uma pessoa física identificável.
C) Informações relativas a uma pessoa física identificável que tenham sido digitalizadas.
A) Incorreto. Qualquer afirmação sobre uma pessoa física identificável constitui um dado pessoal de
acordo com o GDPR.
B) Correto. Fonte: EU GDPR, Um guia de bolso - Capítulo 2 Termos e definições – Dados pessoais &
GDPR art. 4 (1).
C) Incorreto. Qualquer afirmação sobre uma pessoa física identificável constitui um dado pessoal de
acordo com o GDPR.

(PDPF.PR)
Avaliação
A tabela a seguir mostra as respostas corretas às questões apresentadas neste exame simulado.
Número Resposta Número Resposta
1 D 21 B
2 D 22 A
3 D 23 C
4 A 24 D
5 B 25 C
6 A 26 C
7 C 27 A
8 A 28 C
9 D 29 B
10 D 30 B
11 A 31 A
12 B 32 A
13 B 33 B
14 A 34 A
15 A 35 B
16 A 36 C
17 B 37 B
18 D 38 A
19 D 39 A
20 A 40 B

(PDPF.PR)
(PDPF.PR)
Contacto EXIN
www.exin.com

PDP Fundamento

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

PDP Fundamento

Enviado por

Direitos autorais:

Formatos disponíveis

Privacy Data Protection Foundation

Copyright © 2019 EXIN

© 2019 IT Partners – reprodução proibida – treinamento@itpartners.com.br – versão 1.5

EXIN Privacy and Data Protection Foundation (PDPF.PR)

Requisitos para a certificação

As Regras e Regulamentos dos exames EXIN aplicam-se a este exame.

Carga de estudos indicada

2. Organizando a proteção de dados 35

3. Práticas de Proteção de Dados 20

1. Fundamentos e regulamentação de Privacidade e Proteção de Dados

1.2 Dados Pessoais (12%)

1.3 Fundamentos legítimos e limitação de propósito (5%)

1.4 Requisitos adicionais para processamento legítimo de dados pessoais (5%)

1.5 Direitos do titular dos dados (5%)

1.6 Violação de dados e procedimentos relacionados (10%)

2.2 Autoridade Fiscalizadora (7,5%)

2.3 Transferência de dados pessoais para outros países (7,5%)

2.4 Regras Corporativas compulsórias e proteção de dados em contratos

3. Práticas de Proteção de Dados

3.2 Avaliação de Impacto sobre a Proteção de Dados (DPIA) (5%)

Este capítulo contém os termos com que os candidatos devem se familiarizar.

Requisitos do Especificação Literatura GDPR

1.2 A: Ch.2; Ch.3 art 4.1(a)

1.3 B: § 3.1; § 3.2; § 3.3 art 6.1

3 3.1 B: § 5.2; § 8.1.1. No ref

3.2 B: § 6.1.3; § 8.3; § 8.5 No ref

3.3 B: § 8.4 & 8.6 No ref

Privacy Data Protection

Privacy Data Protection

EXIN® is a registered tradem ark

Versão 1.5 - 2019

Fale-nos sobre você.

Dia 1 1 - Privacidade e Proteção de Dados: Fundamentos & Regulamentação.

2 - Organizando a proteção de dados (Parte 1)

2 - Organizando a proteção de dados (Parte 2).

3 - Práticas de proteção de dados.

Versão 1.5 - 2019

Depois de concluir este curso, o participante estará:

Todos os colaboradores precisam ter uma compreensão da

As seguintes funções mais específicas podem se interessar:

Versão 1.5 - 2019

u O treinamento é uma parte

O certificado EXIN PDPF faz parte do programa de qualificação EXIN

Requisitos para certificação:

Versão 1.5 - 2019

Valor desta certificação

• O protocolo de privacidade e proteção de dados (PDPF) da EXIN é

• As preocupações com a privacidade aumentam, onde quer que os

• O PDPF abrange os principais assuntos relacionados a este

u Veja pg. 10-16 do

Versão 1.5 - 2019

• Tipo de exame: perguntas de múltipla escolha baseadas em

• Marca de aprovação: 65%

• Livro aberto: não

• Equipamentos eletrônicos permitidos: Não

• Tempo previsto para exame: 60 minutos

A. Calder EU GDPR, A pocket guide IT Governance Publishing

B. L. Besemer White Paper – Privacidade, Dados Pessoais e GDPR

C. European Commission General Data Protection Regulation (GDPR) (Regulation (EU)

Versão 1.5 - 2019

Versão 1.5 - 2019

Privacy Data Protection

EXIN® is a registered tradem ark

1.1 Conceitos em um mundo digital