FORMAÇÃO DA

CARREIRA DE DPO (DATA

PROTECTION OFFICER)

AULA 1 – Fundamentos da Lei

Geral de Proteção de Dados
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Quem sou eu ? Leonardo Neri
@leonardonerioficial
Dr. Leonardo Neri – Seja um
Profissional DPO (LGPD)
Leonardo Neri Oficial
Sócio de Mazzucco&Mello Advogados. Já atuou perante
grandes marcas de vários segmentos industriais, dentre os
quais destacam-se: tecnologia, alimentício, telefonia,
bancário, imobiliário, setor esportivo, transporte de carga,
construção civil, etc. Foi citado como um dos advogados
mais admirados do país em direito do consumidor, no
anuário ANÁLISE ADVOCACIA 500, referente aos anos de
2016 e 2017 e pela revista internacional LEADERS LEAGUE nos
anos de 2019, 2020 e 2021. Atuou na gestão de carteira
processual cível e consumerista, apresentando como
principal resultado a redução de contingência/passivo dos
departamentos jurídicos das empresas. Atua com projetos
de implementação da LGPD e como DPO as a Service. Atua
com startups e na indústria de mídia, Apps e games.
Palestrante e Professor sobre temas relacionados à Direito
Digital, Consumidor, Privacidade e DPO. Escreve
frequentemente na mídia especializada sobre proteção de
dados e o impacto das relações de consumo na nova
economia de compartilhamento.
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD

Origem da LGPD - Europa Uma tendência mundial em controle ao tratamento de dados pessoais,
onde vários países já possuem suas leis.

Com a LGPD o Brasil entra para este grupo de países.

Origem Lei Brasileira Impactos

GDPR (General Data Protection Lei 13.709/2018, promulgada Impactos direto em empresas de
Regulation) promulgada pela em 14 de agosto de 2018, com qualquer tamanho que realizam
União Europeia em 25 de maio entrada em vigor em 18 de tratamento de dados.*
de 2018 e em vigor desde setembro de 2020 e sanções
então. administrativas em agosto de
2021
*Tratamento de dados: coletar, manter, armazenar ou vender de alguma forma os dados pessoais adquiridos dentro do território nacional.

@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Conceitos da LGPD

A quem se aplica Dados pessoais Dados pessoais sensíveis Exemplos

A LGPD se aplica a qualquer pessoa Segundo a lei, dados pessoais
– natural ou jurídica de direito é qualquer informação que
público ou privado – que realize possa identificar uma pessoa
tratamento de dados pessoais, ou direta ou indiretamente, como
seja, exerça atividade em que se dados cadastrais (nome, CPF,
utilizem dados pessoais (coleta, e-mail, telefone, endereço,
armazenamento, compartilhamento, etc.) e dados de GPS,
exclusão, etc.), inclusive nos meios informações eletrônicas
digitais. (endereço IP).
Filiação a organização religiosa, política
ou filosófica; Origem étnica ou racial;
Opinião política; Filiação a sindicatos;
Dados biométricos ou genéticos; Dados
de saúde, proteção à vida ou vida sexual;
Regras mais rígidas e maiores sanções
para eventuais problemas (2% do
faturamento anual / teto de R$ 50
milhões.
Relação entre usuários e serviços
de internet;
Relação entre empresas e clientes;
Relação trabalhistas;
Relação entre setor público e
privado;
Negócios mesmo que offline;
Qualquer atividade que utilize
dados pessoais.

@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Uma visão geral sobre a LGPD (Lei nº 13.709/2018)
Uma regra para todos Mais para o cidadão
Os direitos do titulares são
Cria um cenário de segurança
expressos e taxativos na
jurídica válido para todo o
norma
país.

Penalidades rígidas Definição do conceito

Apesar do caráter educativo, Estabelece, de maneira
falhas de segurança podem clara, o que são dados
gerar multas pesadas. pessoais e como se dará o
tratamento pelas empresas
Finalidade e necessidade
As possibilidades
São princípios do tratamento que
O Consentimento é apenas
devem ser previamente
uma das 10 bases legais
informados ao cidadão.
possíveis
@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Uma visão geral sobre a LGPD (Lei nº 13.709/2018)
Transparência Abrangência extraterritorial
Se ocorrer vazamento de Não importa se a organização ou o
dados, a ANPD e indivíduos centro de dados estão dentro ou
afetados devem ser avisados fora do Brasil

Gestão de riscos e falhas

Quem gere base de dados
Transferência internacional
Permite o compartilhamento com
pessoais terá que fazer esta
outros países que também
gestão. Anonimização e
protejam seus dados
Pseudoanonimização

Responsabilidade Fiscal centralizado

Define os agentes de tratamento de Ficará a cargo da Agência
dados e suas funções Nacional de Proteção de Dados
(ANPD)
@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Princípios da LGPD
Finalidade Qualidade dos Dados
Dados exatos, claros, Prevenção
Propósitos legítimos,
relevantes e atualizados Adoção de medidas para
específicos, explícitos e
evitar danos aos titulares
informados

Adequação Transparência
Compatível com as Informações claras e Não Discriminação
finalidades precisas aos titulares Não utilização para fins
discriminatórios ilícitos
ou abusivos
Necessidade
Utilização (apenas) de Segurança
dados estritamente Medidas técnicas e
necessários administrativas aptas a Responsabilização e
proteger os dados Prestação de Contas
pessoais
Demonstração de adoção
Livre Acesso
de medidas eficazes ao
Acesso ao tratamento e à
cumprimento das normas
integralidade dos dados
@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD

Agentes de Tratamento – Controlador e Operador

Banco Call Center

O Controlador é aquele a quem competem as
decisões referentes ao tratamento de dados
pessoais, e o Operador é aquele que realiza o
tratamento dos dados em nome do Controlador
(Responsabilidade solidária, Art. 42, § 1º, II LGPD)

@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD

Agentes de Tratamento – Controlador e Operador

Segurança da Informação - Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo,
considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia,
especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

Governança e boas práticas - Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de
dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que
estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de
titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações
educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados
pessoais.

§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos
dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de
dados do titular.

@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Bases legais para tratamento de dados
Consentimento explícito da pessoa e para um fim definido.
Para tratamento de Exclusivo do Marco Civil da Internet.

dados pessoais é Sem consentimento da pessoa quando for imprescindível

preciso um ou mais para:
● Cumprimento de Obrigação Legal;
requisitos listados ● Estudos por Órgão de Pesquisa;
● Execução de Contrato / Diligências Pré-Contratuais;
na LGPD.
● Exercício Regular de Direitos;
● Proteção da Vida;
Empresas precisam ter em seu plano da
● Tutela da Saúde;
LGPD todo mapeamento dos dados
● Interesses Legítimos do Controlador / Terceiro;
armazenados e o requisito legal
● Proteção ao Crédito.
atribuído para cada informação.
@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Legítimo Interesse – A Base Legal da Economia Digital
Exemplo Prático – Rastreamento de Navegação – Interesse de terceiro

@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD

Mapeamento e Assessment sobre o tratamento de dados (RIPD)

Mapeamento de dados (Artigo 37) - O controlador e o operador devem manter registro das
operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no
legítimo interesse.

Assessment sobre o tratamento de dados (Artigo 38) - A autoridade nacional poderá determinar ao
controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados
sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento,
observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a
descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da
segurança das informações e a análise do controlador com relação a medidas, salvaguardas e
mecanismos de mitigação de risco adotados.

@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD

Mapeamento e Assessment sobre o tratamento de dados (RIPD)

*Exin – Edição202005

@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Direitos dos titulares dos dados Portabilidade dos dados a outro
fornecedor de serviço ou produto.
Confirmação da existência de
tratamento.
Informação das entidades com as
quais o controlador realizou uso
Acesso aos seus dados armazenados.
compartilhado de dados.

Correção de dados incompletos.

LGPD Informação sobre a possibilidade
de não fornecer consentimento.
Anonimização, bloqueio ou
eliminação de dados desnecessários, Revogação do consentimento.
excessivos ou tratados ilicitamente.
Reclamação à autoridade nacional.

Eliminação de dados pessoais. Oposição ao tratamento, se irregular.

@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Encarregado pela Proteção de Dados – DPO
A LGPD mudará a maneira de fazer negócios,
DPO seus processos atuais podem se tornar ilegais
Data Protection Officer
Atribuições legais
Características
Aceitar reclamações e comunicações dos titulares,
• Deve reportar diretamente ao mais alto nível de direção;
prestar esclarecimentos e adotar providências;
• Dotado de autonomia, estabilidade e independência
orçamentária;
• Obrigatório para controladoras de dados; Receber comunicações da autoridade nacional e adotar providências;
• Perfil multidisciplinar;
• Contratação CLT ou PJ;
Orientar funcionários e os contratados da entidade a respeito das práticas a
• Aguardando maior regulamentação pela Autoridade
serem tomadas em relação à proteção de dados pessoais; e
Nacional de Proteção de Dados;
• Não há exigência de formação específica;
Executar as demais atribuições determinadas pelo
• Papel orientativo;
controlador ou estabelecidas em normas complementares
• Sem responsabilidade pelos atos do controlador.

@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Autoridade Nacional de Proteção de Dados (ANPD)
ANPD
Agência Nacional de Proteção de Dados

ANPD publicou (09/03/21) seu

Regimento Interno; Fiscalizar o cumprimento da lei (inclusive
tratamento de denúncias recebidas);

Deve zelar pela proteção de dados pessoais;

Aplicar medidas administrativas ou sanções

Criar regulamentações sobre a LGPD; às empresas.

@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Penalidades da LGPD – A partir de agosto de 2021
Considerações da Autoridade Sanções
Nacional para Aplicação das Sanções
Reincidência Eliminação de dados pessoais

Boa-fé Bloqueio do tratamento de dados

Condição econômica
Proporcionalidade Multa de até 2% do faturamento do grupo no
Pronta adoção de medidas corretivas Brasil
Teto de R$ 50 milhões / infração
Mecanismos e procedimentos internos de
proteção de dados Multa diária até o limite do teto

Política de boas práticas e governança

Advertência
Cooperação do infrator
Publicização da infração
Grau do dano, gravidade
Vantagem obtida ou pretendida
@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD

Objeto
Dados de
parceiros e
fornecedores

Análise Dados de
Ampla do consumidores
Tratamento
Dados de
funcionários e
colaboradores

Programa de adequação – Gestão do DPO

ekkogroup.com.br
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Os 6 passos para adequação à LGPD

FASE 1 FASE 2 FASE 3 FASE 4 FASE 5 FASE 6

Levantamento e (Gap Analysis) Matriz Criação do Programa Plano de ação - Treinamento Revisão final do Programa
Diagnóstico de Riscos e avaliação de Governança em Elaboração e revisão de in company de Compliance em
(Data Mapping) das diretrizes legais da Proteção de Dados documentos LGPD e
LGPD (Orientação do Monitoramento
Programa de LGPD)

@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD O cronograma pode ser estipulado
conforme preferência do Cliente,
Cronograma de Trabalho (120 dias) considerando-se as atividades sob sua
responsabilidade, necessárias ao
desenvolvimento dos trabalhos,
notadamente a disponibilidade de
documentos, dados e informações, bem
como de pessoal para reuniões e
entrevistas, quando necessário.

Programa de adequação – Gestão do DPO

ekkogroup.com.br
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Programa de adequação – Gestão do DPO

Entrevistas com
gestores

Entendimento
Elaboração do Análise dos Monitoramento
do ambiente e Implementação
Diagnóstico de Riscos e Definição
identificação constante e
Privacidade e Segurança das Ações de dos planos de ação
dos principais da Informação
reavaliação
riscos Mitigação

Mapeamento de Dados

CONSULTORIA

Visão Macro do Trabalho

ekkogroup.com.br
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Privacy By Design and By Default

Proativo, não reativo. Privacidade como

Preventivo, não corretivo. configuração padrão.

Privacidade incorporada no Funcionalidade completa.

projeto.

Visibilidade e transparência
Segurança do começo ao
fim.
Respeito à privacidade do usuário.

@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Ciclo virtuoso: Criação – Invenção – Inovação e a Influência da
LGPD
Inovação

Ciclo
Invenção Virtuoso
Empreendedorismo

Empresas privadas
Startups
Criação Privacy by Design – Default
@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
O Quarteto Institucional
As principais áreas envolvidas são: Como empresas estão
Jurídico, TI, Compliance e Governança. tratando o assunto?

Em levantamento realizado com companhias 27% | Jurídico

de médio e grande porte*, 25% delas ainda
NÃO iniciaram nenhum processo sobre a 19% | TI
LGPD e 80% não estão plenamente em
conformidade com a LGPD. 17% | Compliance
Uma adequação eficiente para atender a
LGPD deve envolver uma equipe 37% | Não definido
multidisciplinar, englobando todas as
principais áreas de interferência da Lei Geral
de Proteção dos Dados Pessoais.
Fonte: Valor Econômico

@leonardonerioficial
*Fonte: ACSoftware Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Como cada área deve atuar
Compliance Jurídico
Definição das diretrizes legais e Possuir uma consolidada atuação
documentos necessários para o perante órgãos reguladores e
planejamento de compliance e destaque em demandas do direito
implementação da nova LGPD. do consumidor e segurança
cibernética.

Gestão e
Governança Tecnologia
Apresentar uma equipe altamente
Elaboração do programa de
especializada e com grande
gestão, governança e reestruturação
experiência em TI, capaz de
de empresas, para promover as
identificar e adequar todos os
mudanças necessárias na corporação.
aspectos técnicos da legislação.
@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Promessa: A “profissão” do futuro - DPO
Dores

Estagnação profissional Alto índice de desemprego

Falta de tempo para iniciar uma

Dificuldades em atingir o mesmo
nova graduação ou uma pós-
salário em outra área profissional
graduação

Falta de experiência com Dificuldade em aprender um

outras atividades novo idioma na fase adulta

Forte concorrência Covid-19

@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Promessa: A “profissão” do futuro - DPO
Objeções

Prorrogação das multas Adiamento do projeto para quando as

administrativas da LGPD para sanções da LGPD estiver em vigência
agosto de 2021

Retorno não imediato

Desconhecimento sobre a real
aplicabilidade da LGPD no Brasil
Indefinição quanto à contratação
do DPO pelas operadoras de
tratamento de dados Cursos em centros de ensino
conhecidos com certificação
A vaga pode ser preenchida por um tradicional
profissional interno que já conhece as
políticas e operações da empresa
@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Promessa: A “profissão” do futuro - DPO
Crenças Limitantes
Para atuar na área de dados é
necessário possuir conhecimento Falta de referências práticas
prévio de tecnologia
Dificuldades de visualização da
Alto risco em começar do zero
nova realidade de transformação
em uma nova área
digital

Sozinho não tenho capacidade para

compreender o funcionamento da Curso teórico não dará a base
LGPD e os pré-requisitos para ser necessária para assumir a vaga
um DPO

Ausência de qualquer experiência de Provavelmente, as vagas serão

atuação na área preenchidas por profissionais
renomados
@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Promessa: A “profissão” do futuro - DPO
Dúvidas

Preciso ser advogado? Preciso ter experiência com tecnologia?

Certificação profissional seria melhor

Preciso ter formação em tecnologia do que um curso?
da informação (T.I.)?

A conclusão de um curso já me
Preciso ter trabalhado com dados? torna apto à prática profissional?

@leonardonerioficial
Leonardo Neri Candido de Azevedo
Leonardo Neri
LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Leonardo Neri
@leonardonerioficial
Dr. Leonardo Neri – Seja um
Profissional DPO (LGPD)
Leonardo Neri Oficial
Sócio de Mazzucco&Mello Advogados. Já atuou perante
grandes marcas de vários segmentos industriais, dentre os
quais destacam-se: tecnologia, alimentício, telefonia,
bancário, imobiliário, setor esportivo, transporte de carga,
construção civil, etc. Foi citado como um dos advogados
mais admirados do país em direito do consumidor, no
anuário ANÁLISE ADVOCACIA 500, referente aos anos de
2016 e 2017 e pela revista internacional LEADERS LEAGUE nos
anos de 2019, 2020 e 2021. Atuou na gestão de carteira
processual cível e consumerista, apresentando como
principal resultado a redução de contingência/passivo dos
departamentos jurídicos das empresas. Atua com projetos
de implementação da LGPD e como DPO as a Service. Atua
com startups e na indústria de mídia, Apps e games.
Palestrante e Professor sobre temas relacionados à Direito
Digital, Consumidor, Privacidade e DPO. Escreve
frequentemente na mídia especializada sobre proteção de
dados e o impacto das relações de consumo na nova
economia de compartilhamento.
Obrigado a todos! Bons estudos!