Escolar Documentos
Profissional Documentos
Cultura Documentos
O nosso papel é te oferecer conhecimento e trazer experiências que poderão te auxiliar e te dar
insumos para que alcance as metas e objetivos que você planeja para sua vida profissional e pessoal.
Você escolheu tirar a certificação PDPF: Privacy & Data Protection Foundation da EXIN com foco no
Regulamento Geral de Proteção de Dados "GDPR". Esse curso faz parte da trilha de formação DPO -
Data Protection Officer da EXIN.
Sobre a Prova
Escopo do GDPR..............................................................................................................................16
Subsidiariedade ................................................................................................................... 38
Proporcionalidade ............................................................................................................... 39
1.4 Requisitos adicionais para processamento legítimo de dados pessoais ......................................40
Introdução.......................................................................................................................................45
Proteção de Dados desde a Concepção (by design) e por Padrão (by default) ..............................73
Proteção de Dados desde a Concepção (by design) e por Padrão (by default) ..............................99
1
Informações retiradas e adaptadas do site da Exin, e encontra-se disponível em:
https://www.exin.com/about-exin. Acesso em: 23 maio 2020.
2EXIN, EXIN Corporate Video. Youtube. Disponível em: https://youtu.be/gpaqMCHxE2o. Acesso em: 23
maio 2020.
0.1.1. Certificações da Exin
● Cloud Computing;
● Blockchain;
● Cyber and IT Security;
● Ethical Hacking;
● DevOps;
● Agile Scrum;
● Privacidade e proteção de dados;
● Outras áreas.
Seja qual for o programa escolhido para se certificar, saiba que obterá a certificação em uma
empresa confiável, com conteúdo bem planejado e que irá realmente medir as habilidades e
conhecimentos necessários.
Alguns programas de certificação da Exin permitem realizar as provas diretamente no nível mais
avançado, sem passar pelos níveis anteriores, porém não recomendamos fazer desta forma, pois
é de extrema importância passar pelos níveis mais básicos para absorção do conhecimento e
amadurecimento no assunto.
0.2. Programa de qualificação da Exin para Proteção de Dados e
Privacidade
A Exin possui um programa de qualificação específico para o tema de Proteção de Dados e
Privacidade, englobando no mesmo 3 certificações que estão separadas em níveis e abordagem de
leis diferentes, sendo uma para LGPD e duas para GDPR 3 . Abaixo segue um detalhamento para
melhor entendimento do programa:
3GDPR (General Data Protection Regulation) é um regulamento europeu sobre privacidade e proteção de
dados de titulares de dados localizados na AEE (Área Econômica Europeia) (Nota dos Autores).
Proteção de Dados Organizando até à Práticas de Proteção de
Dados
● Exame em português
● Baseado na GDPR
EXIN Privacy and Data Protection Essentials (PDPE) é uma
certificação que valida o conhecimento de um profissional sobre
a organização da proteção de dados pessoais, e as regras e
regulamentos brasileiros em matéria de proteção de dados.
Fonte: Elaborado pelos autores, com base no guia de preparação da Exin (EXIN, 2020)4
A prova do exame Privacy and Data Protection Foundation (PDPF) pode ser realizada on-line
ou em um centro de exames credenciado. O ambiente de provas online é chamado de Exin
Anywhere, que podemos traduzir para Exin em qualquer lugar. Essa tradução ilustra em palavras
uma nova maneira de realizar provas de certificações desejadas em qualquer lugar que você esteja,
podendo ser: em casa, em uma sala de reunião no escritório ou em qualquer outro espaço calmo
onde você se sinta confortável, desde que cumpra alguns requisitos impostos no momento da
realização da prova.
Recomendamos fazer a prova pelo Exin Anywhere por questões de facilidade e custo, pois as
provas possuem valores reduzidos comparado a realização em um centro de exames credenciado.
Caso a escolha seja realizar a prova em centro de exames credenciado, basta acessar o link
abaixo e procurar por uma organização credenciada mais perto:
Link: https://www.exin.com/br-pt/encontrar-treinamento/#finder/training-provider
Vivemos em uma era totalmente digital, onde o que não é digital, está se transformando
rapidamente com o exponencial avanço tecnológico. Em conjunto, há um evidente aumento na
geração e utilização de dados em diversas plataformas tecnológicas, principalmente dados pessoais,
e nesse sentido cresce também a necessidade de proteção e privacidade destes dados.
Art. 5º, VIII - pessoa indicada pelo controlador e operador para atuar
como canal de comunicação entre o controlador, os titulares dos dados e
a Autoridade Nacional de Proteção de Dados (ANPD) (BRASIL, 2018).
Para chegar ao título de DPO, o candidato deverá obter três certificações: Information
Security Foundation (ISFS), Privacy and Data Protection Foundation (PDPF) e Privacy and Data
Protection Practitioner (PDPP) somado ao trabalho prático. Abaixo segue um detalhamento visual
das etapas:
Concluindo as três
certificações necessárias
Data Protection
abaixo o candidato receberá Officer (DPO)
automaticamente a
certificação de DPO
1.1 Definições
Peso no Exame: 7,5%
Contextualização histórica
Com o desenvolvimento das sociedades, houve uma evolução que gerou muitos benefícios, no
entanto, trouxe alguns apelos à privacidade. O primeiro passo desta jornada foi o artigo 12 da
Declaração Universal dos Direitos Humanos, assinada em 1948, que declara: “Ninguém será sujeito
à interferência em sua vida privada, em sua família, em seu lar ou em sua correspondência, nem a
ataque à sua honra e reputação. Todo ser humano tem direito à proteção da lei contra tais
interferências ou ataques”.
Porém, as regras e regulamentos nos Estados-Membros, embora baseados na diretiva 95/46 / CE,
ainda eram bastante diversas. Após anos de discussão, o GDPR foi publicado em 25 de maio de 2016.
O GDPR é aplicável como lei em todos os países do AEE em 25 de maio de 2018. O regulamento
revoga a Diretiva 95/46 / CE. Isso significa que todas as leis nacionais baseadas nesta diretiva são
substituídas pelo GDPR. Nos termos do artigo 94(2) do GDPR, as referências à diretiva revogada
devem entender-se como sendo feitas ao presente regulamento.
Diretiva é um ato legislativo que estabelece diretrizes para todos os países da UE, isto significa que
cada país pode definir suas próprias leis e decidir como aplicá-las.
Ao contrário da legislação anterior (95/46 EC), que era uma diretiva, o GDPR é um Regulamento, e
seu “texto tem Relevância EEE”, ou seja, se aplica a todos os países do Espaço Econômico Europeu e
deve ser aplicado na sua totalidade em toda a UE.
IMPORTANTE: O GPDR é uma lei funcional e entrou em vigor em toda a União simultaneamente.
Entretanto, conforme o “Considerando 10”, o GDPR dá margem de manobra para os Estados-
Membro criarem regras especificações para certas questões.
Estrutura do GDPR
• 11 capítulos
• 99 Artigos
• 173 Considerandos
Artigos são requisitos obrigatórios, isto é, descrevem as ações que devem ser tomadas para que a
empresa esteja de acordo com o regulamento.
Considerandos são um detalhamento maior do que está descrito nos artigos, para que sejam feitas
adaptações na aplicação das regras. São utilizados pelo Tribunal de Justiça da União Europeia para
estabelecer o que qualquer diretiva ou regulamento significa no contexto de um caso específico
perante o Tribunal.
Escopo do GDPR
• Dados anonimizados;
• Dados pessoais de pessoas falecidas.
Escopo territorial do GDPR
Ou seja, independentemente do local (no mundo) em que se processe dados pessoais, se a Empresa
está situada na União Europeia, este tratamento estará sujeito ao Regulamento.
O mesmo para empresas que estejam situadas fora da UE, porém, ofertam bens e serviços ou
monitoram comportamento de titulares da UE.
Por exemplo, no caso de uma empresa canadense que processa dados pessoais de um cidadão
argentino para uma compra online. Se esse cidadão argentino estiver visitando Paris (França) no
momento da compra e a empresa canadense souber que está oferecendo bens ou serviços para a
União Europeia (porque eles enviaram os produtos para a Europa, por exemplo), esse processamento
está sujeito ao GDPR. Além disso, o GDPR se aplica ao processamento de dados pessoais por um
controlador não estabelecido na AEE, mas "em um local em que a lei do Estado-Membro se aplica
por força do direito internacional público". O item 25 dá o exemplo da missão diplomática ou
consulado de um Estado-Membro.
No GDPR, a definição de privacidade está ligada à Carta dos Direitos Fundamentais da União
Europeia.
Nesse sentido, o direito à proteção de dados pessoais é um meio de proteger os direitos e liberdades
fundamentais das pessoas, entre eles a sua privacidade.
Nos dias atuais, observamos um desenvolvimento nas tecnologias de informação e comunicação sem
precedentes na história do mundo. E, com isso, o debate acerca da privacidade vem evoluindo
qualitativamente, para atingir a chamada autodeterminação informativa, isto porque a informação
passou a ser um bem muito valioso. É cada dia mais latente a necessidade de os indivíduos
controlarem as informações que lhes digam respeito, como forma de proteger a privacidade.
Pode-se entender como privacidade o direito a respeitar a vida privada e familiar de uma pessoa,
sua casa e correspondência.
É importante ressaltar que o GDPR está relacionado diretamente à Privacidade de Dados Pessoais
especificamente, isto é, o regulamento não se aplica a qualquer dado, somente às informações
relativas a uma pessoa natural identificada ou identificável (titular dos dados). A definição de Dados
pessoais será detalhada nos próximos capítulos.
Para que seja garantida a privacidade dos dados pessoais, é importante que existam processos e
meios para proteção destes dados pessoais. Portanto, não há privacidade sem proteção de dados.
A proteção dos dados ajuda a garantir a privacidade de um indivíduo, cobrindo alguns aspectos da
privacidade.
Para que haja proteção efetiva de dados pessoais, é necessário que sejam realizadas medidas
técnicas e organizacionais nos processos, com foco em Segurança da Informação e Governança.
Medidas técnicas incluem, mas não se limitam a: controle de acesso lógico, criptografia de disco,
segmentação de redes, entre outras.
Segurança da Informação
Segurança da informação é uma parte essencial no processo, porém não garante a proteção em sua
totalidade, pois a privacidade dos dados pessoais vai além da segurança da informação,
considerando todo o ciclo de vida dos dados pessoais e dos processos de negócios que os utilizam.
Esses três pilares nada mais são que os objetivos a serem atingidos por meio da segurança da
informação, onde cada um aborda um aspecto diferente no tocante a essa proteção. Juntos,
constituem um grupo de ações que procuram prevenir problemas, como o vazamento de dados, por
exemplo.
A gestão da segurança da informação pode incluir o uso de controles físicos, a fim de impedir que
determinados dados sejam acessados indevidamente por meio da infraestrutura.
São utilizados também, controles lógicos, isto é, mecanismos de software ou dados que impedem o
acesso indevido ou qualquer incidente relacionado aos dados, como por exemplo a criptografia dos
dados.
Por fim, temos os controles administrativos, isto é, práticas, políticas, recomendações e
procedimentos adotados pela organização para a proteção das informações. Os controles
administrativos incluem, por exemplo, o treinamento de funcionários.
Dado pessoal
Dado Pessoal é toda e qualquer informação relacionada a uma pessoa física identificada ou
identificável.
Segundo o GDPR: “Dado pessoal significa qualquer informação relativa a uma pessoa natural
identificada ou identificável (titular dos dados); uma pessoa natural identificável é aquela que pode
ser identificada, direta ou indiretamente, em particular por referência a um identificador como um
nome, um número de identificação, dados de localização, um identificador online ou a um ou mais
fatores específicos de identidade física, fisiológica, identidade genética, mental, econômica, cultural
ou social daquela pessoa natural;”
Fonte: Regulamento Geral de Proteção de Dados – GDPR (EU) 2016/679; Artigo 4(1)
Portanto, não estamos falando somente de nome, CPF ou RG. Estamos falando sobre qualquer
informação referente à pessoa física e que seja possível identificá-la, inclusive coisas que podem ser
medidas, como por exemplo tamanho do sapato, dados bancários, placa do carro e até opiniões
sobre esta pessoa.
O conceito de dados pessoais não se limita a informações que possam ser prejudiciais à vida privada
e familiar do indivíduo e não traz relevância ao meio em que as informações estão contidas. As
informações podem estar contidas em textos, figuras, fotografias, vídeos, imagens, entre outras. Se
for possível identificar a pessoa, são considerados dados pessoais.
Legalmente, uma pessoa natural é um ser humano, um indivíduo capaz de assumir obrigações e de
ter direitos. Portanto, o GDPR não se aplica a pessoas falecidas.
Os Estados Membros, pelo contrário, podem prover regras relativas ao tratamento de dados pessoais
de pessoas falecidas.
• Diretos
• Indiretos
• Pseudonimizados
Dados pessoais diretos
Dados pessoais diretos são dados que podem ser atribuídos diretamente a um indivíduo específico
sem o uso de informações adicionais. Por exemplo, RG, CPF, Biometria, DNA, entre outros. Os nomes
podem ser dados pessoais diretos se forem muito raros, mas a maioria dos nomes não é considerada
exclusiva e, portanto, não são dados pessoais diretos. Um título único também é uma referência
direta a um indivíduo.
São os dados que somente podem ser vinculados a uma pessoa física, quando inseridas informações
adicionais. Por exemplo, a placa numérica de um carro é um dado pessoal indireto, porque é possível
rastrear o carro até seu proprietário usando informações adicionais. O fato de nem todos os
controladores poderem rastrear uma placa de carro não é importante, pois somente o fato de que
isso seja, em teoria, possível faz com que sejam dados pessoais indiretos.
Os nomes são dados pessoais indiretos em situações que o nome é comum o suficiente para não
apontar para uma pessoa específica. Por exemplo “João da Silva” é um nome comum no Brasil e não
pode, sozinho, identificar um indivíduo, são necessárias informações adicionais para que seja
definido de qual “João da Silva” estamos nos referindo.
Dados pessoais psedonimizados são dados “mascarados” de alguma maneira, porém, que continuam
com vínculo ao indivíduo, sendo possível identificá-lo.
Um bom exemplo são os códigos fornecidos a usuários de sistemas, para que sejam utilizados no
lugar de nome ou e-mail. Estes códigos podem ser enviados separadamente para empresas
fornecedoras dos sistemas, Processadoras de dados, não vinculando o código ao titular dos dados.
Estes dados se tornam dados pessoais indiretos, pois ainda existe uma maneira de reverter o
processo de pseudonimização, com dados contidos sob a guarda do Controlador de dados.
IMPORTANTE: Anonimização significa que nenhuma informação da qual a pessoa a quem os dados
se relacionam possa ser identificada de qualquer forma. Dados anônimos não são mais considerados
dados pessoais e, portanto, não estão mais sujeitos à Lei. Dados pseudonimizados podem ser
anonimizados destruindo a informação que vincula os dados pseudonimizados ao titular.
Por exemplo, para uma pesquisa relacionada à hábitos de compras de mulheres acima de 20 anos, é
chamado um grupo selecionado de titulares de dados. Os nomes, data de nascimento e outros dados
das titulares são coletados e mantidos em uma base de dados, da qual as titulares deram
consentimento. As titulares respondem algumas entrevistas para a pesquisa e depois que o período
da pesquisa termina, todos os dados identificáveis são apagados, mantendo somente as informações
necessárias para a pesquisa. Isso significa que os dados não podem mais ser vinculados às titulares
de dados específicas, porque não existe uma chave vinculando. Somente dados pessoais mais gerais,
como sexo e categoria etária, estão vinculados aos dados relacionados aos hábitos de compra.
Portanto, estes dados mantidos após realização da pesquisa são dados anonimizados.
Categorias especiais de dados pessoais (dados sensíveis)
O GDPR distingue várias categorias de dados pessoais que merecem um tratamento especial.
Dados biométricos
processados com a
Dados que revelam
Dados genéticos finalidade de identificar
adesão sindical
unicamente uma
pessoa
É proibido processar dados pessoais especiais, exceto nos casos explicitamente mencionados no
Artigo 9 do GDPR, pois pode haver elevado risco para os titulares em caso de violação de dados
sensíveis.
Pode ser permitido o tratamento de dados pessoais de categoria especial nas seguintes ocasiões:
Fonte: Regulamento Geral de Proteção de Dados – GDPR (EU) 2016/679; Artigo 9(2)
Processamento de dados pessoais (atividades de tratamento)
Portanto, qualquer atividade ou conjunto de atividades realizadas com dados pessoais ou conjuntos
de dados pessoais, sendo automatizadas ou não, são consideradas Processamento de dados
pessoais.
No GDPR existem vários papéis definidos relacionados ao processo de tratamento de dados pessoais.
Cada um destes papéis tem responsabilidades específicas no processo e precisam ser nomeados e
ter suas responsabilidades declaradas de maneira transparente e disponível para todos.
Como já descrito anteriormente, o titular de dados é a pessoa física ou natural ao qual se referem os
dados pessoais, com exceção de pessoas falecidas.
É importante ressaltar que o “dono” dos dados pessoais é sempre o Titular e não o controlador de
dados.
Controlador
De acordo com a GDPR, Controlador é a figura responsável pelo tratamento dos dados pessoais, isto
é, pode ser uma pessoa física ou jurídica, autoridade pública, agência ou outro organismo que
determina os objetivos/finalidades e os meios do tratamento de dados pessoais
Controlador significa a pessoa natural ou jurídica, autoridade pública, agência ou outro organismo
que, individualmente ou em conjunto com outros, determina os fins e os meios do tratamento de
dados pessoais.
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 4 (7)
A responsabilidade sob os dados pessoais tratados é sempre do Controlador, portanto, é seu papel
garantir a proteção dos dados pessoais, através de medidas técnicas e organizacionais nos processos
de tratamento de dados pessoais sob sua responsabilidade.
1. Tendo em conta a natureza, o âmbito, o contexto e os fins do processamento, bem como os riscos
de variação da probabilidade e gravidade dos direitos e liberdades das pessoas físicas, o responsável
pelo tratamento deve implementar medidas técnicas e organizacionais adequadas para garantir e
poder demonstrar que o processamento é realizado em conformidade com o presente regulamento.
Essas medidas devem ser revistas e atualizadas sempre que necessário.
2. Sempre que proporcionada em relação às atividades processamento, as medidas referidas no
parágrafo 1 devem incluir a implementação de políticas adequadas em matéria de proteção de dados
pelo responsável pelo controlador.
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 24
O Artigo 24(1) indica que o nível das medidas técnicas pode variar de acordo com a situação
específica e o nível de risco para as pessoas físicas envolvidas. Por exemplo, o convite para o
churrasco, apesar de processar dados pessoais, provavelmente não precisa do mesmo nível de
segurança de dados que um convite para um grupo de pessoas que sofrem de uma doença crônica,
pois trata-se de dados pessoais da categoria especial e um incidente relacionado a estes dados pode
gerar um impacto grande aos titulares de dados.
Processador
Processador é uma pessoa natural ou jurídica, autoridade pública, agência ou outro organismo que
processa dados pessoais em nome do controlador.
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 4 (8)
O processador de dados deve sempre executar as atividades relacionadas aos dados pessoais de
acordo com as instruções e definições do Controlador dos dados.
É importante que o Controlador, sempre que for compartilhar dados com um Processador, celebre
um contrato em que o Processador forneça garantias relacionadas à proteção dos dados
compartilhados.
Terceiro
Terceiro é uma pessoa natural ou jurídica, autoridade pública, agência ou organismo que não seja o
titular dos dados, o controlador, o processador e as pessoas que, sob a autoridade direta do
controlador ou do processador, estão autorizados a tratar dados pessoais;
Um terceiro é uma pessoa ou organização que, para execução de suas funções (e estas não são
processamento ou controle de dados pessoais), tenha acesso à dados pessoais. Alguns exemplos são
um contador, que na execução de suas funções pode, inadvertidamente, ver dados pessoais ou um
gerente de sistemas verificando se o backup de dados pessoais foi bem-sucedido e, ao fazer isso, vê
alguns nomes e outros dados pessoais.
Um terceiro que recebe dados pessoais - seja legal ou ilegalmente - processa, por definição, dados
pessoais. Quando o processamento não for executado sob a autoridade direta do controlador, este
"terceiro" será, em princípio, considerado como um novo controlador.
Representante Legal
Pessoa física ou jurídica (na UE) designada pelo Controlador ou Processador para representá-lo
perante a autoridade supervisora e os titulares dos dados. É requerido conforme GDPR artigo 27.
Destinatário
Destinatário é uma pessoa natural ou jurídica, uma autoridade pública, uma agência ou outro
organismo para o qual os dados pessoais são divulgados, terceiros ou não. No entanto, as
autoridades públicas que possam receber dados pessoais no âmbito de um inquérito específico em
conformidade com a legislação da União ou do Estado-Membro não são consideradas destinatários;
o processamento desses dados por essas autoridades públicas deve estar em conformidade com as
regras de proteção de dados aplicáveis, de acordo com os objetivos do processamento.
O destinatário é uma parte interessada importante, sendo aquele para quem dados pessoais ou
resultados de processamento de dados pessoais são divulgados. Em particular, quando o destinatário
esteja fora do AEE, e ainda mais se o destinatário for uma instituição do Governo fora do AEE, existem
regras específicas para essa transferência.
O controlador e o processador devem assegurar que o DPO não receba instruções sobre o exercício
dessas tarefas. Ele não deve ser dispensado ou penalizado pelo controlador ou pelo processador por
executar suas tarefas. O DPO deve reportar diretamente ao mais alto nível de gerenciamento do
controlador ou do processador.
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 38 (3)
Este artigo também exige que o controlador e o processador garantam que o DPO esteja envolvido,
de forma adequada e em tempo hábil, em todas as questões relacionadas à proteção de dados
pessoais. Eles têm a obrigação de apoiar o DPO no desempenho de suas tarefas, fornecendo recursos
necessários para realizar essas tarefas e acesso a dados pessoais e operações de processamento, e
para manter seu conhecimento especializado.
Responsabilidades do DPO
Autoridade supervisora
Por fim, temos o papel da autoridade supervisora, que nada mais é do que uma autoridade pública
independente estabelecida por um Estado-Membro da UE que fornece orientação, estabelece
normas e diretrizes para cumprimento do regulamento e monitora e faz cumprir o regulamento com
objetivo de proteger os dados pessoais dos titulares.
1.3 Fundamentos legítimos e limitação de finalidade
Peso no Exame: 5%
De acordo com o Artigo 6 do GDPR, o processamento só será lícito se, e na medida em que ao menos
um dos seguintes motivos legítimos de processamento se aplicar:
• O titular dos dados consentiu com o processamento dos seus dados pessoais para um ou
mais fins específicos;
• O processamento é necessário para a execução de um contrato do qual o titular dos dados
é parte ou para tomar medidas a pedido do titular dos dados antes de celebrar um contrato.
No entanto, o processamento em relações pré-contratuais é legítimo, desde que seja para
dar passos a pedido do titular dos dados antes de entrar num contrato;
• O processamento é necessário para o cumprimento de uma obrigação legal à qual o
controlador está sujeito;
• O processamento é necessário para proteger um interesse vital da pessoa em causa ou de
outra pessoa natural;
• O processamento é necessário para o desempenho de uma tarefa realizada no interesse
público ou no exercício da autoridade oficial conferida ao controlador;
• O processamento é necessário para os interesses legítimos perseguidos pelo controlador
ou por um terceiro, exceto quando esses interesses são sobrepostos pelos interesses ou
direitos e liberdades fundamentais do titular dos dados que exigem a proteção dos dados
pessoais, em especial quando o sujeito dos dados é uma criança.
Todo processamento de dados pessoais deve ser classificado dentro de um desses motivos legítimos,
para que haja um baseamento legal para este processamento.
É importante saber que, sempre que não houver como classificar o processamento dos dados
pessoais em algum dos demais motivos, o consentimento do titular para este processamento passa
a ser obrigatório. Este consentimento deve ser explícito,
claro e legítimo, isto é, o titular precisa declarar que
permite o processamento específico pelo motivo
específico.
Especificação de finalidade como um termo não está definido explicitamente no GDPR. No entanto,
em abril de 2013, o Grupo de Trabalho do Artigo 29 (WP29), composto por representantes das
autoridades europeias de supervisão, da Autoridade Europeia para a Proteção de Dados e da
Comissão Europeia, publicou um parecer sobre o princípio da limitação de objetivos no
processamento de dados pessoais. Os pareceres do WP29 fornecem orientações oficiais sobre as
regras da UE de proteção de dados.
A partir de 25 de maio de 2018, o Grupo de Trabalho do Artigo 29 foi sucedido pelo Conselho Europeu
de Proteção de Dados (EDPB), conforme definido no artigo 68 do GDPR. Em sua primeira reunião, o
EDPB endossou as diretrizes e outros documentos sobre o GDPR publicados pelo WP29 para verificar
a continuidade. Muitas das diretrizes e opiniões publicadas no WP29 antes de maio de 2018 são
incorporadas ou referenciadas no GDPR.
Fonte: White paper EXIN Privacy & Data Protection Foundation and Essentials
Os dados pessoais devem ser coletados para finalidades especificadas. O controlador deve,
portanto, considerar cuidadosamente para que finalidade ou fins os dados pessoais serão utilizados
e não deve coletar dados pessoais que não sejam necessários, adequados ou relevantes para a
finalidade ou finalidades que devem ser atendidas.
Fonte: Parecer do WP29 sobre limitação de finalidade, § III.1.1. (acessado em 29 de março de 2017)
Segundo o GDPR (Artigo 5), os dados pessoais devem ser “Recolhidos para finalidades determinadas,
explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com
essas finalidades”.
É importante ressaltar que a finalidade deve ser apresentada ao titular de dados antes de ocorrer o
processamento e, consequentemente, antes do consentimento.
→ Determinada
→ Explícita
→ Legítima
Determinada
A fim de determinar se o processamento de dados está em conformidade com a lei e estabelecer
quais as salvaguardas de proteção de dados que devem ser aplicadas, é uma pré-condição necessária
para identificar a (s) finalidade (s) específica (s) para as quais é exigida a coleta
Um objetivo vago ou geral, como "melhorar a experiência dos usuários", "fins de marketing" ou
"pesquisas futuras", sem mais detalhes, geralmente não atende aos critérios de ser "específico".
Uma mensagem para o titular dos dados de que "as informações de navegação são processadas para
apresentar anúncios relacionados aos seus interesses" relacionaria exatamente qual é o objetivo e
como é alcançado.
Explícita
Os dados pessoais devem ser coletados para fins explícitos. Os objetivos da coleta não devem ser
especificados apenas na mente das pessoas responsáveis pela coleta de dados. Eles também devem
ser explicitados. Em outras palavras, elas devem ser claramente reveladas, explicadas ou expressas
de alguma forma inteligível. Segue-se da análise anterior que isso deve acontecer o mais tardar,
quando ocorra a coleta de dados pessoais.
O objetivo final deste requisito é garantir que os objetivos sejam especificados sem imprecisão ou
ambiguidade quanto ao seu significado ou intenção. O que se entende deve ser claro e não deve
deixar dúvida ou dificuldade de compreensão. A especificação dos fins deve, em particular, ser
expressa de forma a ser entendida da mesma forma não apenas pelo controlador (incluindo todo o
pessoal relevante) e por quaisquer terceiros processadores, mas também pelas autoridades de
proteção de dados e os titulares de dados em causa. Deve-se tomar cuidado especial para assegurar
que qualquer especificação do objetivo seja suficientemente clara para todos os envolvidos,
independentemente de suas diferentes origens culturais / linguísticas, nível de compreensão ou
necessidades especiais.
Fonte: Parecer do WP29 sobre limitação de finalidade, § III.1.1. (acessado em 30 de março de 2017)
Assim, todos que processam dados em nome do controlador, bem como os titulares de dados,
Autoridades Supervisoras e outras partes interessadas terão um entendimento comum de como os
dados podem ser usados, reduzindo o risco de que as expectativas dos titulares de dados sejam
diferentes das expectativas do controlador.
Legítima
A exigência de legitimidade significa que as finalidades para o processamento de dados devem estar
de acordo com a lei no sentido mais amplo (Artigo GDPR 6(3)). Isso inclui todas as formas de direito
comum e escrito, legislação primária e secundária, decretos municipais, precedentes judiciais,
princípios constitucionais, direitos fundamentais, outros princípios jurídicos, bem como
jurisprudência, como tal lei seria interpretada e consideradas pelos tribunais competentes.
Além de qualquer outra lei, o Artigo 6 (1) do GDPR se aplica sempre ao processamento de dados
pessoais. Para que o processamento seja legal, ele deve sempre ser baseado em pelo menos um dos
seis motivos legítimos de processamento (ver 7.3.3).
Proporcionalidade e Subsidiariedade
3. Nos termos do princípio da subsidiariedade, nos domínios que não são da sua competência
exclusiva, a União só deve atuar se e na medida em que os objetivos da ação proposta não possam
ser suficientemente realizados pelos Estados-Membros, quer a nível central, quer a nível regional e
local, mas, pelo contrário, podem, devido à escala ou aos efeitos da ação proposta, ser melhor
alcançados ao nível da União. (…) 4. Ao abrigo do princípio da proporcionalidade, o conteúdo e a
forma da ação da União não devem exceder o necessário para alcançar os objetivos dos Tratados.
Fonte: Tratado sobre o Funcionamento da União Europeia art. 5
Subsidiariedade
De acordo com a regra da subsidiariedade, os dados pessoais só poderão ser processados se não
houver outros meios para atingir esses objetivos.
Se observarmos os motivos legítimos para processamento, ou bases legais, podemos verificar que
são motivos estritamente necessários. Não é possível verificar um processamento de dados pessoais
necessário que não se encaixe nas bases legítimas para tal. Para que haja compliance com o
regulamento, este princípio deverá ser sempre observado.
Por exemplo, suponha que se queira descobrir quantas pessoas andam numa rua comercial em uma
tarde. Para esse fim, não é necessário identificar os indivíduos. Seria possível contar indivíduos com
um smartphone usando o sinal de seu smartphone (um endereço MAC, por exemplo). No entanto,
como um endereço MAC pode ser rastreado até a pessoa que possui o smartphone, esse sinal é
considerado dado pessoal. Definitivamente, existem outras maneiras de contar o número de pessoas
que passam pela rua sem usar dados pessoais. Pode-se, por exemplo, postar observadores e
simplesmente contar indivíduos. O princípio de subsidiariedade no GDPR significaria que o uso do
endereço MAC é um uso ilegal de dados pessoais, porque seu interesse em contar o número de
visitantes é anulado pelo direito fundamental à privacidade dos visitantes. Você terá que usar um
método que mantenha os visitantes anônimos e não colete dados pessoais diretos ou indiretos.
Fonte: White paper EXIN Privacy & Data Protection Foundation and Essentials
Proporcionalidade
Este princípio complementa o da Subsidiariedade, pois exige que qualquer ação da UE não ultrapasse
o necessário para alcançar os objetivos dos Tratados. Quando aplicado ao processamento de dados
pessoais, isso significa que não devem ser coletados mais dados do que o estritamente necessário
para a finalidade: 'os dados pessoais devem ser adequados, relevantes e limitados ao necessário em
relação às finalidades para os quais são processados'.
Um dos princípios básicos definidos pelo GDPR descreve que o responsável pelo processamento, ou
seja, o Controlador, é responsável por implementar medidas técnicas e organizacionais apropriadas,
a fim de garantir a proteção e privacidade dos dados pessoais. Este requerimento, faz do princípio
de privacidade e proteção de dados desde a concepção (by design) um requisito legal, e não apenas
uma maneira eficaz de cumprir as obrigações relacionadas à segurança dos dados.
Também é requerido que o controlador implemente medidas técnicas e organizacionais apropriadas
para garantir que, por padrão (by default), apenas sejam processados dados pessoais necessários
para cada finalidade específica do processamento. Isso se aplica à quantidade de dados pessoais
coletados, à extensão de seu processamento, ao período de armazenamento e à acessibilidade.
Estrutura Legal
Qualquer pessoa (física ou jurídica) que em algum momento efetue o processamento de dados
pessoais, deverá cumprir os requisitos de regulamento.
O Processador, por sua vez, somente poderá terceirizar parte do processamento para sub-
processadores com autorização prévia do Controlador.
O controlador e o processador devem documentar como eles estão em conformidade com o
regulamento. Alguns dos documentos que demonstram conformidade são obrigatórios e no formato
prescrito. Os outros documentos são necessários quando algo der errado ou quando houver uma
razão adicional para que a Autoridade Supervisora inspecione a conformidade com o regulamento.
Segundo o GDPR, é obrigatório que tanto o Controlador quanto o Processador mantenham “Registro
das atividades de processamento”.
Neste caso, o responsável pelo tratamento ou subcontratante precisará designar por escrito um
representante seu na União, com exceção:
Caso haja necessidade de contato com o controlador ou processador responsáveis pelo tratamento
de dados, o representante poderá ser o ponto de contato tanto para autoridades de controle quanto
para titulares de dados pessoais, relativamente a todas as questões relacionadas com o tratamento.
O controlador de dados é responsável pelo cumprimento destes requisitos e deve comprovar este
Introdução
Os direitos dos titulares são parte fundamental do Regulamento Geral sobre a Proteção de Dados,
mais conhecido pela sigla em inglês GDPR, e da proteção de dados como um todo, como foi visto na
parte histórica das regulações sobre esse tema. Os titulares de dados são o centro da proteção de
dados e o GDPR informa que “a proteção das pessoas singulares relativamente ao tratamento de
dados pessoais é um direito fundamental”.
Ainda segundo o texto do GDPR, o tratamento dos dados pessoais deve “ser concebido para servir
as pessoas”. Isso significa que todo tratamento de dados pessoais deve seguir uma base legal, servir
a uma finalidade específica, usar apenas os dados necessários para atingir essa finalidade e sempre
atender aos direitos dos titulares, que iremos ver a seguir quais são.
Embora a prova do PDPF só trate do GDPR, cabe mencionar que, na LGPD, também foi utilizada essa
abordagem, de forma que os titulares e seus direitos também são ponto central na lei brasileira e,
inclusive, a garantia desses direitos deve ser uma prioridade na adequação por parte das empresas.
Uma ideia central do GDPR é o direito do titular de ser informado sobre os tratamentos de seus
dados pessoais. Isso significa que o controlador, que é o responsável pelo tratamento dos dados,
deve prestar as informações relativas a ele de forma concisa, transparente, inteligível e de fácil
acesso, utilizando uma linguagem clara e simples.
Ou seja: para que uma empresa esteja realmente em conformidade com o GDPR, não basta fornecer
essas informações de qualquer jeito: as políticas de privacidade e termos de uso, por exemplo,
devem ser mais simples e mais amigáveis, ao invés de ser escritas no formato “letras pequenas e
muitas páginas”.
Ele se aplica ao consentimento, caso seja ele a base legal utilizada no tratamento de dados em
questão – o titular deve realmente entender com o que está consentindo.
Além disso, o responsável deve facilitar o acesso dos titulares a seus direitos, mas, ao mesmo
tempo, deve estabelecer um mecanismo para que o titular comprove sua identidade. Sem essa
comprovação, uma pessoa poderia se passar por outra e obter facilmente acesso a dados de
terceiros, o que constituiria uma violação de dados e isso é exatamente o que os controladores
devem evitar.
Caso o controlador não consiga identificar o titular dos dados, ele pode se recusar a cumprir o pedido
feito por este.
Prazos: o responsável pelo tratamento de dados deverá fornecer as informações sem demora
injustificada, no prazo de até um mês, contado da data de recebimento do pedido.
Esse prazo pode ser prorrogado por até dois meses, dependendo da complexidade e do número de
pedidos – a prorrogação do prazo e a explicação sobre os motivos da demora devem ser informadas
ao titular dentro do primeiro mês.
Caso o controlador não possa dar seguimento ao pedido do titular, deve informá-lo e justificar a
impossibilidade no prazo de um mês, contado do recebimento do pedido.
As informações sobre o tratamento de dados devem ser fornecidas de forma gratuita. Se o pedido
for manifestamente infundado ou excessivo, o controlador poderá cobrar uma taxa do titular ou se
recusar a dar seguimento ao pedido – porém, deverá demonstrar seu caráter infundado ou
excessivo.
• o período pelo qual os dados pessoais serão armazenados (período de retenção) ou, caso isso não
seja possível, o critério usado para determinar o período;
o a restrição de processamento;
Quando os dados são coletados por meio de terceiros, o controlador precisa informar, além dos
pontos mencionados anteriormente, as categorias de dados que foram coletadas, os destinatários e
de qual fonte obteve esses dados. Isso não se aplica se o ato de prestar essa informação for
impossível ou envolver esforços desproporcionais ou se o titular já tiver essas informações.
Em relação aos dados coletados por meio de terceiros, quando o controlador deve prestar as
informações acima ao titular? O artigo 14 do GDPR prevê três possibilidades:
a) Num prazo razoável após a obtenção dos dados pessoais, mas o mais tardar no prazo de um
mês;
b) Se os dados pessoais se destinarem a ser utilizados para fins de comunicação com o titular
dos dados, o mais tardar no momento da primeira comunicação ao titular dos dados; ou
c) Se estiver prevista a divulgação dos dados pessoais a outro destinatário, o mais tardar
aquando da primeira divulgação desses dados.
Se o controlador pretender transferir os dados pessoais para outro país, deve informar ao titular os
destinatários ou categorias de destinatários dos dados pessoais. Caso a transferência seja para um
país fora da Área Econômica Europeia, o responsável pelo tratamento deverá informar o titular sobre
esse compartilhamento e sobre a existência de uma decisão de adequação por parte da Comissão
ou, se não houver, as garantias apropriadas em vigor (a transferência internacional de dados pessoais
será estudada com mais detalhes em tópico próprio sobre esse assunto).
A qualquer momento, o titular pode pedir ao controlador a confirmação se seus dados estão sendo
tratados e, caso estejam, tem o direito de obter as seguintes informações:
d) Se for possível, o prazo previsto de conservação dos dados pessoais, ou, se não for possível,
os critérios usados para fixar esse prazo;
g) Se os dados não tiverem sido recolhidos junto do titular, as informações disponíveis sobre a
origem desses dados;
Além dessas informações, o controlador deverá entregar ao titular uma cópia dos dados que estão
sendo processados, de forma gratuita – para cópias adicionais, pode ser cobrado um valor referente
apenas aos custos administrativos.
Devemos ressaltar que esse direito de obter cópia de seus dados não pode prejudicar os direitos e
liberdades de terceiros.
Retificação dos dados pessoais significa a sua correção. Assim, ao verificar que algum de seus dados
está incorreto, o titular tem o direito de solicitar ao controlador a retificação de tal(is) dado(s). A
correção deverá ocorrer sem demora injustificada.
Em alguns casos, o titular poderá obter o apagamento de seus dados pessoais (eliminação ou
“direito de ser esquecido”) e o controlador terá o dever de realizar a eliminação sem demora
justificada. Isso pode acontecer nos seguintes casos:
b) retirada do consentimento, se ele for a base legal e não existir outro fundamento para o
tratamento do dado;
c) os dados foram coletados para uma oferta de serviços de informação diretamente a uma
criança menor de 16 anos;
d) objeções ao processamento;
e) processamento ilegal;
O titular pode ter, ainda, direito à limitação do tratamento de seus dados pessoais nas seguintes
hipóteses:
b) O processamento é ilegal e o titular dos dados se opõe ao apagamento dos dados pessoais;
c) O responsável pelo tratamento não precisa mais dos dados pessoais para fins de
processamento, mas eles são exigidos pelo titular dos dados para o estabelecimento,
exercício ou defesa de reivindicações legais;
d) O titular dos dados se opuser ao tratamento nos termos do artigo 21 (1) (direito de objeção)
enquanto se aguarda a verificação se os motivos legítimos do responsável pelo tratamento
substituem os do titular dos dados.
A limitação do tratamento significa que os dados pessoais só podem, à exceção da conservação, ser
objeto de tratamento com o consentimento do titular, ou para efeitos de declaração, exercício ou
defesa de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou
coletiva, ou por motivos de interesse público relevante da União ou de um Estado-Membro.
Caso essa limitação seja anulada, o controlador deve informar o titular dos dados antes de retomar
seu tratamento.
Direito à portabilidade dos dados: o titular pode solicitar ao controlador seus dados em formato
estruturado e legível, bem como tem o direito de transferir esses dados a outro controlador. Esses
dados devem ser transmitidos diretamente pelo controlador, se for possível. O direito à
portabilidade pode ser exercido se:
Esse direito facilita a troca de fornecedores, por exemplo, já que o titular não precisará enviar todos
os seus dados novamente ao novo controlador.
a) Os dados pessoais forem tratados para efeitos de comercialização direta, situação em que o
tratamento para essa finalidade deverá cessar;
b) Os dados foram tratados para fins de investigação científica ou histórica ou para fins
estatísticos, nos termos do artigo 89.o, n.o 1, salvo se o tratamento for necessário para a
prossecução de atribuições de interesse público.
a) O titular pode se opor ao tratamento de dados para fins de marketing direto, incluindo a
criação de perfis de consumo;
b) O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada
exclusivamente com base no tratamento automatizado, incluindo a definição de perfis.
No caso da decisão automatizada prevista no item “b”, esse direito não se aplica se:
• For necessária para a celebração ou a execução de um contrato entre o titular dos dados e
um responsável pelo tratamento;
Se o titular tiver alguma reclamação em relação ao tratamento de seus dados pessoais, tem o direito
de apresentar queixa perante a Autoridade Supervisora do Estado-Membro onde reside ou do
Estado-Membro em que a alegada violação ocorreu. A Autoridade deverá informar o titular sobre o
andamento e o resultado de sua reclamação.
Os titulares também poderão ajuizar ação judicial contra a decisão proferida pela Autoridade
Supervisora ou em face do controlador por descumprimento do GDPR no tratamento de seus dados.
7. Limitações
O direito da União ou dos Estados-Membros a que esteja sujeito o controlador pode limitar por
medida legislativa o alcance das obrigações e dos direitos, desde que tal limitação respeite a essência
dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa
sociedade democrática para assegurar, designadamente:
a) A segurança do Estado;
b) A defesa;
c) A segurança pública;
d) A prevenção, investigação, detecção ou repressão de infrações penais, ou a execução de
sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública;
Questões Simuladas
a) Uma cópia dos dados pessoais deve ser fornecida no formato solicitado pelo titular dos dados.
b) O acesso aos dados pessoais deve ser fornecido sem custo para o titular dos dados.
c) Os dados pessoais sempre devem ser alterados mediante solicitação do titular dos dados.
d) Os dados pessoais devem ser apagados sempre que isso for solicitado pelo titular dos dados.
a) O hospital em A pode enviar os dados diretamente ao hospital B, como solicitado pelo paciente.
b) O hospital em A pode enviar o prontuário ao hospital B, antes que seja solicitado pelo paciente.
c) O hospital em A pode enviar o prontuário médico ao titular dos dados, mas não a outro hospital.
d) O hospital em A não pode enviar o prontuário porque não há uma base legítima para o
processamento.
3. Uma empresa deseja utilizar os dados pessoais de seus clientes. Ela pretende começar a enviar
um informativo personalizado a todas as clientes do sexo feminino. Que direito todos os titulares
dos dados terão nesta situação?
a) O direito à compensação
c) O direito à retificação
Gabarito
QUESTÃO 1
d) Incorreto. O direito ao apagamento apresenta várias exceções, por exemplo, quando os dados
forem necessários para o estabelecimento, exercício ou defensa de reclamações legais.
QUESTÃO 2
c) Incorreto. O titular dos dados pode pedir que os dados sejam enviados diretamente.
d) Incorreto. Uma solicitação do titular dos dados, que implica consentimento, constitui uma base
legítima suficiente.
QUESTÃO 3
a) Incorreto. É improvável que todos os titulares dos dados sofram um prejuízo que deva ser
compensado nessa situação.
b) Correto. Todos os titulares dos dados têm direito de se opor ao processamento de dados pessoais
para marketing direto, incluindo a definição de perfis. Isto claramente constitui uma definição de
perfis.
c) Incorreto. É improvável que a empresa tenha dados incorretos sobre todos os titulares de dados.
Portanto, o direito à retificação não é aplicável.
1.6 Violação de dados pessoais e procedimentos
relacionados
Peso no Exame: 10%
Violação de dados pessoais, por definição, é quando ocorre um incidente de segurança que resulta
em:
• acesso indevido à dados pessoais, ou seja, dados pessoais são acessados por pessoas que
não deveriam ter acesso
• quando é executada alguma ação acidental ou ilegal com relação aos dados pessoais
• quando dados pessoais são tratados com outra finalidade, que não a informada ao titular
dos dados ou permitida por lei
Para que seja configurada uma Violação de Dados Pessoais, os dados envolvidos, necessariamente,
precisam ser dados pessoais, ou seja: nome, endereço, RG, CPF, dados de saúde, biométricos, entre
outros.
Quando há vazamento de dados e informações corporativas, não é considerada uma violação de
dados, somente um incidente de segurança da informação.
Violação de dados pessoais é uma violação da segurança que conduz à destruição acidental ou ilegal,
perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados
ou tratados de outro modo;
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 15(1).
Sempre que se fala em violação de dados pessoais, são citados hackers mal-intencionados ou
vazamento criminoso ou até acidental de dados. Porém, é importante ressaltar que o conceito de
violação de dados pessoais vai muito além de vazamento de informações e que a definição do GDPR
de violação de dados pessoais é muito mais ampla.
Portanto, um desastre natural, por exemplo, pode destruir os dados pessoais armazenados em um
Data Center. Esta situação seria classificada como um incidente de segurança, porque os dados não
estão mais disponíveis e, também, uma violação de dados pessoais, porque os dados pessoais foram
processados, neste caso destruídos, sem autorização. De maneira semelhante, quando um
processador exclui acidentalmente um conjunto de dados pessoais, ele viola o artigo 29 do GDPR, o
que torna o processamento ilegal:
O processador e qualquer pessoa que atue sob a autoridade do controlador ou do processador, que
tenha acesso a dados pessoais, não devem processar esses dados, salvo instruções do controlador, a
menos que tal seja exigido pela legislação da União ou do Estado-Membro.
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 29.
Na literatura, o termo "violação de dados" é frequentemente usado onde se entende por "violação
de dados pessoais". A diferença é que uma 'violação de dados' também pode, dependendo do
contexto, se referir a uma violação em que dados comerciais ou de outra empresa estão
comprometidos. Uma violação de dados pessoais é sempre uma violação de dados. Uma violação de
dados é apenas uma violação de dados pessoais quando dados pessoais estão envolvidos.
Quando são enviadas informações para o destinatário errado ou quando há uma invasão de um
hacker mal-intencionado, por exemplo, podemos dizer que são incidentes de segurança da
informação.
IMPORTANTE: Violação de Dados Pessoais sempre é um incidente de Segurança da Informação,
porém, Incidentes de Segurança nem sempre serão configurados como violação de dados pessoais.
Quando uma vulnerabilidade é explorada por um atacante, pode resultar em uma violação de
segurança e, quando envolver dados pessoais, pode gerar uma violação de dados pessoais.
As vulnerabilidades podem ser relacionadas à vários contextos na empresa e gerar diversos tipos
de riscos.
Abaixo, uma visão gráfica de possíveis riscos de segurança da informação:
Categorias de violação de dados pessoais
Após isso, é feita a categorização da violação. Existem três categorias de violação de dados pessoais:
Uma violação de dados pessoais pode, se não tratada de maneira apropriada e oportuna, resultar
em danos físicos, materiais ou imateriais a pessoas físicas, tais como perda de controle sobre seus
dados pessoais ou limitação de seus direitos, discriminação, roubo de identidade ou fraude. Perda
financeira, reversão não autorizada de pseudonimização, dano à reputação, perda de
confidencialidade de dados pessoais protegidos pelo sigilo profissional ou por qualquer outra
desvantagem econômica ou social significativa para a pessoa natural em causa.
Como descrito no capítulo anterior, quando ocorrer uma violação de dados pessoais que pode gerar
riscos aos titulares de dados, os controladores de dados devem notificar a Autoridade Supervisora.
Esta notificação deve ser "sem demora indevida e, quando possível, o mais tardar 72 horas após ter
tomado conhecimento do mesmo". Quando a violação de dados pessoais é relatada depois de 72
horas após a observação da violação de dados pessoais, um bom motivo para o atraso deve ser
enviado com a notificação.
Caso, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, estas
podem ser fornecidas por fases, sempre sem demora injustificada.
Sempre que a Violação de Dados Pessoais ocorrer no ambiente do Processador, este deve notificar
ao Controlador sem demora injustificada, conforme descrito na lei: “sem atrasos indevidos após
tomar conhecimento de uma violação de dados pessoais”.
O processador não tem outra obrigação de notificação ou relatório sob o GDPR. Todas as outras
notificações e relatórios devem ser feitos pelo controlador.
Notificação de uma violação de dados pessoais ao Titular de dados afetado
Para uma organização que processa dados pessoais, a proteção de dados não é apenas "um requisito
da lei" ou "importante para evitar multas". A reputação da organização está em risco. O
processamento de dados pessoais de maneira profissional significa garantia de qualidade,
gerenciamento de segurança e governança.
De acordo com o GDPR, o processamento de dados pessoais somente é permitido, quando são
cumpridos os requisitos da Lei.
Qualquer pessoa (física ou jurídica) que em algum momento efetue o processamento de dados
pessoais, deverá cumprir os requisitos de regulamento.
O Processador, por sua vez, somente poderá terceirizar parte do processamento para sub-
processadores com autorização prévia do Controlador.
O controlador e o processador devem documentar como eles estão em conformidade com o
regulamento. Alguns dos documentos que demonstram conformidade são obrigatórios e no formato
prescrito. Os outros documentos são necessários quando algo der errado ou quando houver uma
razão adicional para que a Autoridade Supervisora inspecione a conformidade com o regulamento.
Contrato do Processador
Em vez de DPIA, muitas vezes o termo PIA (avaliação do impacto na privacidade) é usado. No
contexto do GDPR, os dois termos descrevem a mesma avaliação.
Trata-se de uma avaliação de Impacto que detalha o processamento e os riscos atrelados ao mesmo,
trazendo medidas para diminuir e mitigar os impactos relacionados aos riscos.
Consulta prévia
A consulta prévia com a Autoridade Supervisora só é necessária se uma DPIA indicar um alto risco
para a privacidade ou direitos e liberdades de pessoas físicas.
COTROLADOR
Segundo o GDPR, é obrigatório que o Controlador crie e mantenha atualizado um “Registro das
atividades de processamento” sob sua responsabilidade.
Cada controlador e, quando aplicável, o representante do controlador deve manter um registro das
atividades de processamento sob sua responsabilidade.
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 30(1).
É igualmente obrigatório que o Processador (quando houver) também possua um registro atualizado
das atividades de processamento que realiza.
(a) o nome e detalhes de contato do (s) processador (es) e de cada controlador em nome do
qual o processador está agindo e, quando aplicável, do representante do controlador ou do
processador e do Data Protection Officer (DPO)
(b) as categorias de processamento realizadas em nome de cada controlador
(c) se for caso, transferências de dados pessoais para um país terceiro ou uma organização
internacional, incluindo a identificação desse país terceiro ou organização internacional (…)
(d) sempre que possível, uma descrição geral das medidas técnicas e organizativas de
segurança
Violações de dados pessoais são incidentes de segurança que envolvem dados pessoais. Alguns
exemplos são:
Após a identificação de violação de dados pessoais, é necessário que seja feita uma análise da
extensão e impacto da violação e verificar se podem gerar riscos para os direitos e liberdades das
pessoas físicas envolvidas.
Proteção de Dados desde a Concepção (by design) e por Padrão (by default)
Conforme descrito nos capítulos anteriores, o GDPR define que Controlador é responsável pela
implementação de medidas técnicas e organizacionais apropriadas. Isto garante que, por padrão (by
default), apenas sejam processados dados pessoais necessários para cada finalidade específica do
processamento. Este requisito legal se aplica à quantidade de dados pessoais coletados, à extensão
de seu processamento, ao período de armazenamento e à acessibilidade.
Da mesma maneira, o GDPR faz do princípio de proteção de dados desde a concepção (by design)
um requisito legal, e não apenas uma maneira eficaz de cumprir as obrigações relacionadas à
segurança dos dados.
Ou seja, as multas administrativas devem ser para cada caso individual, proporcionadas e
dissuasivas. Isto quer dizer que sempre que uma autoridade supervisora decidir impor uma multa
administrativa, devem ser avaliadas as características da ação que gerou a multa, conforme os
critérios abaixo:
• Natureza, a gravidade e a duração da infração;
• Finalidade do processamento;
• Número de titulares de dados afetados;
• Nível de danos causados a eles;
• Grau de responsabilidade dos controladores e processadores, considerando as medidas
técnicas e organizacionais implementadas.
O nível de cooperação com a Autoridade Supervisora para remediar uma infração e mitigar os
possíveis impactos da infração sempre será levado em consideração e poderá tornar-se um aspecto
favorável ao Controlador ou Processador.
Uma multa também deve ser dissuasiva. Portanto, qualquer que seja o custo da implementação de
medidas para cumprir o GDPR em uma organização, no geral, multas vão muito além deste valor.
É importante saber que a intenção é incentivar as empresas a cumprir o GDPR, e não destruí-las
financeiramente.
Para estas categorias, a multa administrativa máxima será de € 20.000.000 ou até 4% do volume de
negócios mundial da empresa no ano financeiro anterior, o que for maior.
Em alguns casos, pode haver a junção de multas administrativas com outras penalidades.
DPO pode responder criminalmente?
As leis em todo o mundo variam e, em alguns casos, o DPO pode ser responsabilizado criminalmente
pelo não cumprimento delas.
• No Reino Unido o DPO pode enfrentar a responsabilidade penal se sabia que havia um risco
de contravenção e esta contravenção poderia causar dano substancial ou sofrimento
substancial, mas não tomou medidas para evitar isso.
• Na Irlanda o DPO pode ser responsabilizado criminalmente se as violações forem cometidas
com o consentimento ou conivência do diretor ou outra parte que solicitou a negligência.
Autoridade Supervisora
A Autoridade Supervisora também pode realizar uma revisão periódica das certificações
emitidas aos controladores de acordo com o Artigo 42 (7).
Estabelecer Padrões
Nos parágrafos anteriores, pode-se ter a ideia de que as mais de cinquenta Autoridades
Supervisoras nos cerca de trinta países do AEE estão inventando independentemente os
mesmos padrões ao mesmo tempo. O oposto é verdadeiro, no entanto. Por meio do
mecanismo de consistência, as Autoridades Supervisoras compartilham informações e
fornecem assistência mútua a outras Autoridades Supervisoras 'com o objetivo de
garantir a consistência da aplicação e aplicação do GDPR'.
Quando uma Autoridade Supervisora toma uma decisão que afeta apenas o
processamento de dados pessoais em seu próprio território, o mecanismo de
consistência não se aplica. Portanto, quando uma Autoridade Supervisora toma uma
decisão, por exemplo, planejar adotar normas, diretrizes ou cláusulas contratuais, ela
compartilhará essas informações com o Conselho. Na maior parte dos casos, o Conselho,
em estreita comunicação com a Comissão Europeia, providenciará para que, após a
discussão necessária e as alterações necessárias, a proposta se transforme numa norma
europeia adoptada por todas as Autoridades.
Sem prejuízo de qualquer outra solução administrativa ou judicial, todos os titulares dos
dados têm o direito de apresentar uma queixa a uma autoridade de supervisora, em
especial no Estado-Membro da sua residência habitual, local de trabalho ou local da
alegada violação se o titular dos dados considera que o processamento de dados
pessoais que lhe digam respeito viola o presente regulamento. Fonte: Regulamento
Geral de Proteção de Dados (UE) 2016/679; Artigo 77(1).
Quando uma Autoridade Supervisora recebe uma notificação de uma violação de dados
pessoais, deve poder avaliar vários critérios importantes para avaliar a importância da
violação de dados pessoais e avaliar como a proteção de dados foi implementada pelo
controlador e pelo processador ou processadores.
A avaliação dos riscos para os titulares dos dados e as medidas mitigadoras que já foram
ou ainda devem ser tomadas são claramente as mais imediatas. A responsabilidade da
Autoridade Supervisora de fazer cumprir as regras do GDPR segue diretamente depois
disso.
No entanto, uma Autoridade Supervisora pode receber amplos poderes para monitorar
essa investigação e ordenar que os controladores e processadores envolvidos tomem
outras medidas ou medidas extras para alinhar as operações de processamento com o
GDPR e até para restringir ou bloquear o processamento.
Proporcional
Quando uma Autoridade Supervisora decidir impor uma multa administrativa, além de
outras medidas, ela deve dar a devida atenção às circunstâncias. Os critérios para essa
decisão são:
Dissuasivo
Uma multa também deve ser dissuasiva. Qualquer que seja o custo da implementação
de medidas para cumprir o GDPR em uma organização, nenhuma empresa deve arriscar
ignorar as regras, porque as multas vão muito além do que custará a conformidade.
Processamento transfronteiriço
O GDPR não define estritamente o que 'afetar substancialmente' significa. No entanto, em dezembro
de 2016, o Grupo de Trabalho do artigo 29 publicou diretrizes nas quais eles escrevem que as
autoridades de supervisão interpretarão isso caso a caso, considerando:
• o contexto do processamento
• o tipo de dados
• a finalidade do processamento
• outros fatores, como se o processamento
o causa, ou é provável que cause, dano, perda ou angústia aos indivíduos
o tem, ou é provável que tenha, um efeito real em termos de limitação de direitos ou
de negação de uma oportunidade
o afeta, ou é provável que afete a saúde, o bem-estar ou a tranquilidade dos
indivíduos
o afeta ou é susceptível de afetar o estado financeiro ou econômico ou as
circunstâncias
o deixa as pessoas abertas à discriminação ou processamento injusto
o envolve a análise das categorias especiais de dados pessoais ou outros intrusivos,
particularmente os dados pessoais de crianças
o causa, ou é suscetível de causar, indivíduos a mudar seu comportamento de forma
significativa
o tem consequências improváveis, imprevistas ou indesejadas para os indivíduos
o cria constrangimento ou outros resultados negativos, incluindo danos à reputação
ou
o envolve o processamento de uma ampla gama de dados pessoais
Por exemplo, um clube de remo tem membros nos dois lados de uma fronteira com o país. O
processamento dos endereços dos membros não seria "afetado" substancialmente os membros.
Como consequência, esse processamento não seria considerado "processamento transfronteiriço".
Fonte: White paper EXIN Privacy & Data Protection Foundation and Essentials.
Segundo o GDPR, para que seja realizada uma transferência internacional de dados pessoais, deve-
se verificar se este país possui os requisitos de proteção de dados adequados. A comissão europeia
é responsável por avaliar os países possuem níveis adequados de proteção de dados, gerando uma
“decisão de adequação”.
Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização
internacional se a Comissão tiver decidido que o país terceiro, um território ou um ou mais setores
específicos desse país terceiro, ou a organização internacional em causa, assegura um nível de
proteção adequado. Esta transferência não exige autorização específica.
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 45.
A Comissão Europeia tem o poder de determinar, com base no artigo 45.º do Regulamento (UE)
2016/679, se um país fora da UE oferece um nível adequado de proteção de dados.
A qualquer momento, o Parlamento Europeu e o Conselho podem solicitar à Comissão Europeia que
mantenha, altere ou retire a decisão de adequação com o fundamento de que o seu ato excede as
competências de execução previstas no regulamento.
O efeito de tal decisão é que os dados pessoais podem fluir da UE (e da Noruega, do Liechtenstein e
da Islândia) para esse país terceiro sem que seja necessária qualquer salvaguarda adicional. Por
outras palavras, as transferências para o país em questão serão equiparadas a transmissões de dados
intra-UE.
Até agora (Jan/2021), a Comissão Europeia reconheceu que Andorra, Argentina, Canadá
(organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia,
Suíça e Uruguai fornecem proteção adequada.
Fonte: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-
protection/adequacy-decisions
Conforme descrito anteriormente, a Comissão Europeia pode tomar uma 'decisão de adequação',
reconhecendo um país ou parte de um país como tendo uma proteção de dados adequada (GDPR,
Capítulo 5).
Entretanto, como a lei de proteção de dados dos EUA difere consideravelmente daquilo que o GDPR
(e a diretiva anterior) exige, não há uma decisão de adequação em relação aos EUA ou às partes
geográficas deles.
Em vez disso, em julho de 2016, a Comissão aplicou a decisão (UE) 2016/1250 sobre a adequação da
proteção fornecida pelo “EU-US Privacy Shield”, conforme emitido pelo Departamento de Comércio
dos EUA.
Esse padrão tinha a finalidade de proteger os direitos fundamentais de qualquer pessoa na UE cujos
dados pessoais são transferidos para os Estados Unidos com fins comerciais.
Recentemente, a decisão de adequação em relação aos dados transferidos sob o Privacy Shield foi
revogada. É obrigatório que, no momento do processamento, uma decisão de adequação esteja em
vigor.
O tribunal decidiu, no entanto, que as cláusulas contratuais padrão (SCCs) permanecem válidas. Esses
modelos padronizados de requisitos de proteção de dados serão a opção de substituição mais
provável para as empresas afetadas. Mais de 80% das empresas que transferem dados da UE
dependem de SCCs, de acordo com o IAPP.
NOTA: Você pode encontrar o comunicado de imprensa completo sobre o Privacy Shield em
http://bit.ly/PDPF_PR_privacy_shield.
2.4 Regras corporativas vinculantes (BCR) e proteção de
dados em contratos
Peso no Exame: 7,5%
Na ausência de uma decisão de adequação, o controlador ou o processador deve tomar medidas para
compensar a falta de proteção de dados em um terceiro país por meio de salvaguardas apropriadas
para o titular dos dados.
Podem ser previstas as garantias adequadas, sem requerer nenhuma autorização específica de uma
Autoridade Supervisora, por meio de:
a) Um instrumento juridicamente vinculativo e com força executiva entre autoridades ou
organismos públicos;
b) Regras vinculativas aplicáveis às empresas;
c) Cláusulas-tipo de proteção de dados adotadas pela Comissão pelo procedimento de
exame;
d) Cláusulas-tipo de proteção de dados adotadas por uma autoridade supervisora e
aprovadas pela Comissão pelo procedimento de exame;
e) Um código de conduta, aprovado nos termos do artigo 40 do GDPR, acompanhado de
compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo
tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias
adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados; ou
f) Um procedimento de certificação, aprovado nos termos do artigo 42 do GDPR,
acompanhado de compromissos vinculativos e com força executiva assumidos pelos
responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de
aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares
dos dados.
As regras Corporativas Vinculantes também podem ser utilizadas entre Controladores e Operadores,
caso estejam no mesmo grupo de empresas.
Precisam ser oficialmente aprovadas pela Autoridade Supervisora competente para ser utilizada
na União Europeia.
O processamento por um Operador será regido por um contrato ou outro ato jurídico ao abrigo da
legislação da União ou de um Estado-Membro, vinculante para o Operador em relação ao
Controlador e que define o objeto e a duração do processamento, a natureza e o objetivo do
processamento, o tipo de dados pessoais e categorias de titulares dos dados e as obrigações e direitos
do controlador. (…)
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 28(3).
O Artigo 28(3), prossegue: esse contrato (ou outro ato jurídico) estipula, em especial, que o
processador:
(a) processa os dados pessoais apenas em instruções documentadas do controlador,
incluindo no que diz respeito a transferências de dados pessoais para um país terceiro ou
uma organização internacional (...)
(b) assegura que as pessoas autorizadas a tratar os dados pessoais se comprometeram com
a confidencialidade ou estão sujeitas a uma obrigação legal adequada de confidencialidade.
(c) adota todas as medidas exigidas nos termos do Artigo 32 (segurança do processamento)
(d) respeita as condições (…) para contratar outro processador
(e) (…) auxilia o controlador, por meio de medidas técnicas e organizacionais apropriadas,
na medida do possível, pelo cumprimento da obrigação do controlador de responder aos
pedidos de exercício dos direitos do titular dos dados (...)
(f) auxilia o controlador a garantir o cumprimento das obrigações previstas nos Artigos 32 a
36, considerando a natureza do processamento e as informações de que dispõe o
transformador;
(g) à escolha do controlador, suprime ou devolve todos os dados pessoais ao controlador
após o termo da prestação de serviços relacionados com o processamento e elimina cópias
existentes, a menos que a legislação da União ou do Estado-Membro exija a conservação
dos dados pessoais.
(h) disponibiliza ao controlador todas as informações necessárias para demonstrar o
cumprimento das obrigações estabelecidas no presente Artigo, permitindo e contribuindo
para as auditorias, incluindo as inspeções realizadas pelo controlador ou por outro auditor
mandatado pelo controlador.
A tabela a seguir mostra um exemplo do conteúdo de tal contrato de processamento de dados entre
o controlador e o processador:
Conteúdo Referência GDPR
Escopo e finalidade do contrato Artigo 4(2) definições: processamento
Dados cobertos pelo acordo Artigo 4(1) dados pessoais;
Artigo 9 / item 10 categorias especiais de
dados pessoais (dados sensíveis);
Segurança geral e salvaguardas no Artigo 32 segurança do processamento
processamento de dados
Medidas técnicas e organizacionais Artigo 28(3 a até h)
Monitoramento da segurança da informação e Artigo 35 avaliação de impacto sobre proteção
proteção de dados de dados
Violação de segurança da informação e violação Artigo 33(2) notificação de uma violação de
de dados pessoais dados pessoais à Autoridade Supervisora
Correção, exclusão e bloqueio / obrigações Artigo 32.36
específicas para auxiliar o controlador
Acordo com outro processador de dados Artigo 28(2) e (4) subprocessador
Transferência de dados Rec. (112), (113);
Artigo 47 Regras Corporativas Vinculantes;
Artigo 49 derrogações para situações
específicas; o capítulo V transfere (..) para
países terceiros ou organizações
internacionais.
Outras obrigações do processador Artigo 39 tarefas do DPO;
(1b) ... sensibilização e formação do pessoal
envolvido nas operações de processamento
Os direitos de controle dos controladores Artigo 4(7) controlador Artigo 28(3f) suporte ao
controlador …
Retorno e exclusão dos dados pessoais Artigo 28(3g) eliminar ou devolver
Dever de confidencialidade Artigo 28(3b) confidencialidade
Duração Artigo 28(3) duração do processamento Artigo
5 princípios relativos ao processamento de
dados pessoais (1) (e) limitação de
armazenamento
Precedência No caso de cláusulas conflitantes, o GDPR tem
precedência
Assinaturas
Fonte: White paper EXIN Privacy & Data Protection Foundation and Essentials; Item 8.2
3.1 Práticas de proteção de dados
Peso no Exame: 5%
Proteção de Dados desde a Concepção (by design) e por Padrão (by default)
O princípio de privacidade e proteção de dados desde a concepção (by design), por definição,
significa que devem ser aplicadas medidas para proteção e privacidade de dados desde o início dos
projetos.
Como pudemos ver, no Artigo 25 do GDPR, um relacionamento legal é definido entre os princípios
de segurança de dados e a privacidade, como os direitos e liberdades dos indivíduos.
O segundo parágrafo do mesmo artigo 25, é requerido que o controlador implemente medidas
técnicas e organizacionais apropriadas para garantir que, por padrão (by default), apenas sejam
processados dados pessoais necessários para cada finalidade específica do processamento. Isso se
aplica à quantidade de dados pessoais coletados, à extensão de seu processamento, ao período de
armazenamento e à acessibilidade.
Privacidade desde a concepção (by design) é um conceito que desenvolvi nos anos 90, para abordar
os efeitos sempre crescentes e sistêmicos das Tecnologias de Informação e Comunicação e dos
sistemas de dados em rede em larga escala. A Privacidade desde a concepção (by design) promove
a visão de que o futuro da privacidade não pode ser assegurado apenas pelo cumprimento de
estruturas regulatórias; em vez disso, a garantia da privacidade deve idealmente se tornar o modo
de operação padrão de uma organização.
Fonte: Ann Cavoukian. 2011. Privacy by Design, the 7 foundational principles
Ann Cavoukian, PhD., ex-Comissária de Privacidade e Informações de Ontário, Canadá, foi a
idealizadora do conceito de privacidade desde a concepção (by design).
Adotar uma abordagem de Proteção de Dados desde a Concepção (by design) é uma ferramenta
essencial para minimizar os riscos de privacidade e criar confiança. Projetar projetos, processos,
produtos ou sistemas com a privacidade em mente desde o início pode levar a benefícios que
incluem:
IMPORTANTE: Esta abordagem pode ser vista como uma ferramenta essencial para minimizar os
riscos de privacidade e criar confiança, além de reduzir os riscos de responsabilidade para o
controlador (facilita o cumprimento das suas obrigações).
Nomenclaturas
Um dos principais objetivos do GDPR é que haja uma boa gestão de todos os dados pessoais tratados
e dos riscos que algumas tratativas podem trazer aos titulares dos dados. Por isso, o regulamento
tem como um dos princípios a Proteção de Dados by design, que requer que o controlador (e, na
verdade, qualquer pessoa que processe dados pessoais) antecipe e evite eventos invasivos de
privacidade antes que eles ocorram. Isso pode ser feito através de uma DPIA.
Basicamente, a DPIA é um processo que irá demonstrar e estabelecer conformidade com o GDPR,
pelo responsável pelo tratamento de dados (controlador), além de identificar riscos específicos aos
dados pessoais como resultado das atividades de processamento.
Como já descrito, o resultado principal que se espera de uma DPIA é a minimização dos riscos de
privacidade, isto é, risco de danos decorrentes de uma violação de dados. Abaixo, alguns exemplos
de danos que podem ser gerados aos titulares:
• Prejuízos financeiros;
• Prejuízos em relações familiares e sociais;
• Danos morais;
• Roubo de identidade;
• Entre outros.
Do ponto de vista jurídico, o responsável pela realização da DPIA é o responsável pelo tratamento
dos dados (controlador), isto é, a responsabilidade da realização da DPIA não pode ser transferida
para outros, seja um processador/subcontratante ou o próprio DPO.
Porém, cabe ressaltar, que o processo pode ser realizado por outros, mas o responsável pelo
tratamento continua sendo o responsável pelo processo.
Se o tratamento de dados for realizado por um processador (subcontratante), este deve auxiliar o
responsável pelo tratamento na execução da tarefa, fornecendo todas as informações necessárias.
Para estudar:
Obs.: Recomendado ler estes Considerandos, pois trazem explicações sobre os Artigos.
No GDPR, Artigo 35(1), está descrito quando é obrigatória a condução de uma DPIA: “Quando um
certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua
natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos
e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o
tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de
dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados
semelhantes, pode ser analisado numa única avaliação.”
Portanto, a DPIA não é obrigatória para todos os processos de tratamentos de dados e, mas para os
que podem gerar elevado risco aos direitos e liberdades dos titulares.
Risco elevado
O risco, neste contexto, refere-se ao potencial de qualquer dano físico, material ou imaterial
significativo a indivíduos.
Para avaliar se algo é de “risco elevado”, o GDPR deixa claro que você precisa considerar a
probabilidade e o impacto de qualquer dano potencial aos indivíduos. 'Risco' implica uma chance
mais do que remota de algum dano. “Risco Elevado” implica um limite mais alto, seja porque o dano
é mais provável, ou porque o dano potencial é mais severo, ou uma combinação dos dois. Avaliar a
probabilidade de risco nesse sentido faz parte do trabalho de uma DPIA.
Fonte: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-
protection-regulation-gdpr/data-protection-impact-assessments-dpias/when-do-we-need-to-do-a-
dpia/#when2
Obs.: Autoridades de Controle devem ser consideradas as principais fontes de esclarecimento sobre
questões como esta.
Ainda, de acordo com o GDPR: “A realização de uma avaliação de impacto sobre a proteção de dados
é obrigatória nomeadamente em caso de:
A DPIA deve ser realizada antes do processamento, ou seja, deve ser iniciada o mais cedo possível
no projeto da operação de tratamento de dados pessoais, mesmo que algumas das operações ainda
sejam desconhecidas. À medida que a DPIA for atualizada, durante toda o ciclo de vida do projeto,
ela garantirá que a proteção de dados e a privacidade sejam consideradas, gerindo riscos que possam
surgir e estimulando a criação de soluções que promovam conformidade.
Conforme descrito na figura acima, em alguns casos, será necessário realizar uma consulta prévia
com a Autoridade de Proteção de Dados, a fim de validar a decisão de seguir ou não com o
tratamento de dados após a realização da DPIA e identificação de riscos que não podem ser
mitigados. No artigo 36, item 1, do GDPR, esta necessidade está descrita da seguinte maneira: “O
responsável pelo tratamento consulta a autoridade de controlo antes de proceder ao tratamento
quando a avaliação de impacto sobre a proteção de dados nos termos do artigo 35 indicar que o
tratamento resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo
tratamento para atenuar o risco.”
Como a DPIA é realizada antes do início do processo de tratamento de dados pessoais, é necessário
revisitar e repetir etapas individualmente da avaliação, à medida que o tratamento de dados for
sendo executado, com a finalidade de atualizar e gerenciar os riscos, atualizando medidas técnicas e
organizacionais que podem colaborar com a mitigação destes riscos.
Este ciclo deve ser contínuo e periódico, conforme demonstrado na figura abaixo.
Fonte: White paper EXIN Privacy & Data Protection Foundation and Essentials.
Dentre os motivos já listados acima para realização de uma DPIA, destaco aqui a prevenção de riscos
de danos aos titulares como um principal objetivo, que inclusive é alinhado com os princípios de
Proteção de Dados desde a Concepção (by design).
No artigo 35, item 7, do GDPR, é descrito quais são as informações (mínimas) que devem constar em
uma DPIA. Confira abaixo.
Abaixo, um modelo de DPIA desenvolvido pela ICO (Information Commissioner´s Office) – Autoridade
de Proteção de Dados do Reino Unido, site https://ico.org.uk/
Detalhes do controlador
Nome do Controlador:
DPO:
Explique amplamente o que o projeto pretende alcançar e que tipo de processamento envolve.
Você pode achar útil consultar ou vincular a outros documentos, como uma proposta de projeto.
Resuma por que você identificou a necessidade de um DPIA.
Descreva a natureza do processamento: como você coletará, usará, armazenará e excluirá dados?
Qual é a fonte dos dados? Você compartilhará dados com alguém? Você pode achar útil consultar
um diagrama de fluxo ou outra forma de descrever fluxos de dados. Que tipos de processamento
identificados como de “alto risco provável” estão envolvidos?
Descreva o escopo do tratamento: qual é a natureza dos dados e inclui dados de categoria
especial ou de infração penal? Quantos dados você coletará e usará? Com que frequência? Por
quanto tempo você vai ficar com ele? Quantas pessoas são afetadas? Que área geográfica cobre?
Descreva o contexto do processamento: qual é a natureza do seu relacionamento com os
indivíduos? Quanto controle eles terão? Eles esperam que você use seus dados dessa maneira?
Eles incluem crianças ou outros grupos vulneráveis? Existem preocupações anteriores sobre este
tipo de processamento ou falhas de segurança? É novo de alguma forma? Qual é o estado atual
da tecnologia nesta área? Existem questões atuais de interesse público que você deva levar em
consideração? Você se inscreveu em algum código de conduta ou esquema de certificação
aprovado (uma vez que algum tenha sido aprovado)?
Descreva os objetivos do processamento: o que você deseja alcançar? Qual é o efeito pretendido
nos indivíduos? Quais são os benefícios do processamento - para você e de forma mais ampla?
Etapa 3: processo de consulta
Considere como consultar as partes interessadas relevantes: descreva quando e como você
buscará as opiniões dos indivíduos - ou justifique por que não é apropriado fazê-lo. Quem mais
você precisa envolver em sua organização? Você precisa pedir ajuda aos seus processadores? Você
planeja consultar especialistas em segurança da informação ou qualquer outro especialista?
Identifique medidas adicionais que você pode tomar para reduzir ou eliminar os riscos
identificados como médio ou alto risco na etapa 5
Reduzir Médio
Aceitar Baixo
Etapa 7: assinar e registrar os resultados
aceitas por:
Comentários:
Comentários:
Fluxos de dados
Os vários requisitos do GDPR exigem que uma empresa saiba:
• exatamente onde seus dados e, em particular, os dados pessoais residem
• para quais finalidades os dados devem ser coletados ou criados
• para quais razões os dados devem ser retidos
• em que data ou em que situação os dados devem ser excluídos
Coleta de dados
Desde o início, é importante que sejam definidos quais dados pessoais são necessários para os fins
do processamento pretendido. Conforme o GDPR, é necessário um motivo para manter os dados
pessoais armazenados, portanto, a qualquer momento, deve ser claro e fácil demonstrar ao menos:
• com que finalidade ou finalidades as informações foram coletadas
• em que data os titulares dos dados foram informados da coleta e da sua finalidade
• se o consentimento foi adquirido para o processamento pretendido
• se esse consentimento ainda é válido (e não retirado)
• se existe outro fundamento legal para processamento
Na prática, cada “pedaço” de informação precisa de numerosas etiquetas indicando porque existe e
por quanto tempo continuará existindo.
Estrutura de permissões
Qualquer coleta de dados, mas uma coleta de dados pessoais em particular, precisa de uma estrutura
de permissões, definindo claramente quais funcionários precisam, por conta de sua função na
organização, acessar quais dados pessoais.
No entanto, as coisas mudam. Um bom programa deve avaliar e revisar continuamente quem precisa
acessar que tipo ou tipos de informação. Controladores e processadores devem trabalhar com seus
colegas de TI para automatizar controles em todos os sistemas corporativos. Eles devem facilitar para
que os funcionários façam a coisa certa contra a coisa errada. Eles devem evitar que os funcionários
tenham consequências negativas através de suas ações, desde a simples negligência em fazer alguma
coisa.
Depois que a estrutura de permissões estiver em vigor, ela deve ser mantida por meio de avaliações
regulares e contínuas.
Armazenar dados pessoais é um fardo para qualquer organização. É preciso muito esforço para
manter os dados seguros, completos e atualizados, e ainda mais esforços para responder às
solicitações dos titulares de dados, solicitando informações sobre o processamento de seus dados e
para lidar com reclamações referentes a seus direitos. Adicionalmente, há sempre a ameaça de uma
violação de dados pessoais, com os procedimentos resultantes, o risco para os titulares de dados e
o risco de dados para a empresa, como perda de reputação, custo de reparações e possíveis multas.
Há muitas obrigações legais em relação à retenção de dados pessoais por um determinado período.
Por exemplo, considere-se registros de clientes, como vendas e transações financeiras, garantias ou
informações de recursos humanos, como currículo, histórico de pagamento ou informações
tributárias.
O GDPR define auditorias como uma das principais maneiras de manter os processos de uma
empresa em conformidade. Além disso, o processo de auditoria é uma das funções do DPO,
conforme o artigo 39:
O DPO deve desempenhar, pelo menos, as seguintes funções: controlar o cumprimento do presente
regulamento, outras disposições de proteção de dados da União ou dos Estados-Membros e as
políticas do controlador ou do subprocessador relacionadas com a proteção de dados pessoais,
incluindo a atribuição de responsabilidades, conscientização e treinamento do pessoal envolvido nas
operações de processamento, e as auditorias relacionadas;
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 39(1) (b).
O artigo 47 (2j) exige que Regras Corporativas Vinculantes (BCR) devem especificar, entre outras,
auditorias para avaliar os mecanismos contratados para assegurar a verificação do cumprimento
dessas BCR.
Já o Artigo 58(1b), confere às Autoridades Supervisoras o direito de realizar investigações sob a forma
de auditorias de proteção de dados.
As auditorias devem ser realizadas com objetivo de avaliar regularmente se as medidas técnicas e
organizacionais estão sendo eficazes, no sentido de manter a conformidade com o regulamento e
proteção e privacidade dos dados pessoais.
Um processo de auditoria deve trazer como resultado falhas identificadas nos processos e devem ser
definidos planos de ação para correção de possíveis falhas na política de privacidade e proteção de
dados pessoais.
De um modo geral, dois tipos de auditorias de privacidade podem ser distinguidos: uma auditoria de
adequação e uma auditoria de conformidade.
Auditoria de adequação
Os principais objetivos de uma auditoria de adequação são:
• assegurar que as políticas de proteção de dados da organização sejam aplicadas a todas as
instâncias de processamento de dados pessoais realmente estão acontecendo, incluindo
conjuntos de dados históricos, backups e equipamentos obsoletos.
• avaliar se estas políticas são adequadas para atender aos requisitos do GDPR e outras leis e
regulamentos de proteção de dados possivelmente aplicáveis, tanto dentro como fora da
União Européia.
Para realizar uma auditoria de adequação, é imprescindível que sejam realizados o mapeamento e
entendimento completos dos fluxos de dados em toda a empresa, e é mais do que apenas revisar
todas as políticas, procedimentos, códigos de prática e diretrizes da empresa que afetam o manuseio
de dados pessoais durante seu ciclo de vida. A auditoria de adequação deve ser feita dentro da
empresa e com todos os terceiros envolvidos, como processadores, por exemplo.
Auditoria de conformidade
A auditoria de conformidade deve ser realizada após a conclusão da etapa de adequação, a fim de
identificar se as políticas e processos definidos e revisados estão sendo realizados de maneira
correta.
Nesta etapa, é necessária uma investigação de como os dados pessoais são tratados na prática
dentro das várias unidades de negócios, entre departamentos e ao lidar com terceiros e deve
examinar alguns aspectos, como:
• se a organização oferece treinamento de conformidade de privacidade de dados
• como as políticas de privacidade de dados são disseminadas para os funcionários
• como as reclamações de violações de políticas são tratadas
Conteúdo de um plano de auditoria
Algum tempo atrás, as empresas divulgavam seus produtos e serviços através da mídia (televisão,
rádio, revistas, jornais) e até mesmo através de telemarketing, contratando uma enorme força de
vendas para incomodar as pessoas diretamente sobre o produto.
Porém, essas metodologias não foram muito eficazes, pois foram baseados em interromper as
pessoas no que estavam fazendo, esperando que elas pudessem ver o produto e pensar: “é isso o
que tenho procurado” e, se assim fosse, então elas se lembrariam de quem anunciava e aonde
deveriam ir para encontrar esse produto.
Com a rápida evolução da internet, se tornou muito mais fácil fazer com que os produtos e serviços
sejam vistos e compartilhados pelos consumidores, além de permitir que esses consumidores
possam emitir opiniões e criticar os produtos, participando, algumas vezes até da produção e design.
Tornou-se fácil criar um site, escrever um blog, publicar conteúdo e mídia (fotos, som, vídeo) nas
mídias sociais. Não apenas os fornecedores, mas praticamente todos podem publicar seu próprio
conteúdo, que seus consumidores desejam comprar.
Com as mídias sociais, todos podem entrar em contato com outras pessoas conectadas a essas mídias
sociais, em qualquer lugar do mundo. Um exemplo é que apenas o Facebook tem mais de 1,5 bilhão
de usuários e, com isso, um vasto mercado global está aberto.
Nessa nova era digital, o negócio está se tornando "multicanal" e interativo. Os fornecedores
escrevem sobre seus produtos como jornalistas, e as pessoas reagem a isso indicando se gostam do
que veem, gostam do que está sendo produzido, do que está sendo oferecido. Por outro lado, se elas
não gostarem, elas não hesitarão em dizer ao mundo sobre isso também, muitas vezes em termos
bastante contundentes.
Finalmente, um novo conceito de vendas está surgindo. Muitas pessoas acham importante o que as
outras pessoas e, em particular, seus amigos, acham do produto que estão procurando. A mensagem
de que "76% dos seus amigos gostam deste produto "prova ser um incentivo para comprar. Mesmo
que não haja como verificar essa afirmação, todos parecemos acreditar.
Os consumidores podem ser divididos em grupos com gostos semelhantes, interesses semelhantes
e outros grupos relevantes. Ao ler uma loja on-line, todos vimos comentários como "compradores
do também compraram: ". Mensagens como essa provam ser um facilitador de vendas muito forte,
desde que o consumidor-alvo tenha gostos e interesses semelhantes aos dos "outros compradores".
Para que sejam enviadas as informações de produtos e serviços relacionadas para os potenciais
consumidores, são utilizadas algumas práticas, como:
A criação dos perfis para definição das relações de envio de marketing é feita com de informações
coletadas dos titulares de dados através de cookies.
Titular de dados e o marketing
Quando dados pessoais são processados para fins de marketing direto, o titular dos dados deve ter o
direito de se opor a tal processamento, incluindo o perfil na medida em que está relacionado a tal
marketing direto, seja em relação ao processamento inicial ou posterior, em qualquer tempo e
gratuitamente. Esse direito deve ser explicitamente levado ao conhecimento dos dados e
apresentado de forma clara e separada de qualquer outra informação.
Uma nova consequência do GDPR, em particular o direito de inspeção e correção, irá capacitar o
titular dos dados um pouco mais do que antes:
Um titular de dados deve ter o direito de acesso aos dados pessoais que foram coletados a respeito
dele e de exercer esse direito facilmente e em intervalos razoáveis, a fim de estar ciente e verificar a
legalidade do processamento. Isto inclui o direito de os titulares de dados terem acesso a dados
relativos à sua saúde, por exemplo, os dados dos seus registos médicos que contêm informações
como diagnósticos, resultados de exames, avaliações por processamento de médicos e qualquer
processamento ou intervenções fornecidas. Todos os titulares de dados devem, portanto, ter o direito
de conhecer e obter comunicação, especialmente no que diz respeito aos fins para os quais os dados
pessoais são processados, quando possível, o período pelo qual os dados pessoais são processados,
os destinatários dos dados pessoais, a lógica envolvida em qualquer processamento automático de
dados pessoais e, pelo menos quando baseado em perfis, as consequências de tal processamento.
Sempre que possível, o controlador deve ser capaz de fornecer acesso remoto a um sistema seguro
que forneceria ao sujeito dos dados acesso direto aos seus dados pessoais. Esse direito não deve
afetar adversamente os direitos ou liberdades de terceiros, incluindo segredos comerciais ou
propriedade intelectual e, em particular, os direitos autorais que protegem o software. Contudo, o
resultado dessas considerações não deve ser uma recusa em fornecer todas as informações à pessoa
em causa. Quando o controlador processa uma grande quantidade de informações relativas ao titular
dos dados, o controlador deve poder solicitar que, antes da entrega da informação, o titular dos
dados especifique as informações ou atividades de processamento a que o pedido se refere.
O usuário (titular) não pode ser obrigado a consentir o processamento de seus dados pessoais que
não são necessários para a prestação de serviços que solicitou.
ATENÇÃO: Silêncio, campos pré-selecionados ou inatividade não podem ser interpretadas como
expressão de consentimento.
Exemplos de consentimento:
✓ Informações claras
✓ Titular pode selecionar quais informações deverão ser processadas
Os cookies mais comuns são: cookies de sessão, cookies persistentes e cookies de rastreamento.
Cookies de sessão
• Permitem que os usuários sejam reconhecidos dentro de um site;
• Todas as preferências do usuário ou seleção de itens e de dados são lembradas,
como por exemplo carrinhos de compra de loja onine;
• Ao fazer logon em um site, a informação de logon é armazenada em um cookie
de sessão na memória do computador;
• Ao sair do site ou fechar o navegador, o cookie da sessão é apagado da memória
do computador.
Cookies persistentes
• Permanecem no disco rígido até serem apagados ou até expirarem;
• Podem oeferecer serviços ao usuário como manter seleção de idioma, por
exemplo;
• Esse tipo de cookie pode tornar a experiência do visitante do site mais pessoal.
Cookies de rastreamento
• Chamado de cookie de terceiros, é colocado no disco rígido de um usuário por
um site de um domínio diferente daquele que o usuário está visitando;
• Possibilitam salvar algumas informações sobre o usuário para uso posterior;
• São geralmente definidos por redes de publicidade nas quais um site pode se
inscrever;
• O objetivo dos cookies é acompanhar quais páginas uma pessoa está visitando,
construindo um perfil da pessoa com base em interesses.
Conforme vimos, os cookies podem ser um tipo de identificação de dados pessoais indiretos, pois,
podem conter, por exemplo, o nome do site e um ID de usuário exclusivo. Sendo possível identificar
o titular somente com informações adicionais.
O próprio GDPR menciona cookies apenas uma vez (no considerando 30), mas esclarece que um
cookie pode ser interpretado como um identificador online, o que significa que se enquadra nos
dados pessoais e, portanto, o titular dos dados deve consentir.
Pessoas físicas podem estar associadas a identificadores on-line […], como endereços de protocolo
de internet, identificadores de cookies ou outros identificadores […]. Isso pode deixar rastros que, em
particular quando combinados com identificadores exclusivos e outras informações recebidas pelos
servidores, podem ser usados para criar perfis das pessoas naturais e identificá-los.
O uso de Cookies é melhor governado pela Diretiva ePrivacy 2002/58/ EC (conhecida como a Lei dos
Cookies).
❑ Criada para colocar diretrizes e expectativas em vigor para a privacidade eletrônica, engloba
e-mail marketing e uso de cookies.
❑ Aplica-se a todos os estados membros da União Europeia e sites fora dela que têm que
cumprir os termos se eles visam a pessoas dentro dos estados-membro.
A Diretiva ePrivacy será revogada em breve pelo novo Regulamento de Privacidade Eletrônica.