Apostila Certifiquei - PDPF

Caro aluno,
Estamos muito satisfeitos em acompanhá-lo no seu processo de desenvolvimento profissional e

temos certeza de que o melhor caminho para isto é buscar conhecimento e aperfeiçoamento, como
você está fazendo e por isso, gostaríamos, primeiramente de parabenizá-lo.
O nosso papel é te oferecer conhecimento e trazer experiências que poderão te auxiliar e te dar
insumos para que alcance as metas e objetivos que você planeja para sua vida profissional e pessoal.
Você escolheu tirar a certificação PDPF: Privacy & Data Protection Foundation da EXIN com foco no
Regulamento Geral de Proteção de Dados "GDPR". Esse curso faz parte da trilha de formação DPO -
Data Protection Officer da EXIN.
Sobre a Prova
• Número de questões: 40 de múltipla escolha.

• Mínimo para aprovação: 65% (26/40 questões)
• Com consulta/anotações: Não
• Equipamentos eletrônicos permitidos: Não
• Tempo designado para o exame: 60 minutos
Trilha DPO EXIN

Sumário
0. Abertura........................................................................................................................................7
0.1. Sobre a EXIN .........................................................................................................................7
0.1.1. Certificações da Exin ............................................................................................. 8

0.2. Programa de qualificação da Exin para Proteção de Dados e Privacidade ..........................9
0.3. Como funciona a prova do exame PDPF ............................................................................10
0.4. Por que se tornar um profissional certificado em PD & P? ................................................11
0.5. Por que se tornar um DPO? ...............................................................................................11
1. Fundamentos e regulamentação de privacidade e proteção de dados .........................................13
1.1 Definições .....................................................................................................................................13
Contextualização histórica ..............................................................................................................13
Regulamento X Diretiva ..................................................................................................................15
Estrutura do GDPR ..........................................................................................................................15
Escopo do GDPR..............................................................................................................................16
Escopo territorial do GDPR .............................................................................................................17
Definições de Privacidade ...............................................................................................................18
Privacidade x Proteção de Dados Pessoais .....................................................................................19
Segurança da Informação ...............................................................................................................20
1.2 Dados Pessoais ..............................................................................................................................22
Dado pessoal ...................................................................................................................................22
Pessoa natural (pessoa física) ............................................................................................. 23

Dados pessoais diretos, indiretos e pseudonimizados ...................................................................23
Categorias especiais de dados pessoais (dados sensíveis) .............................................................26
Processamento de dados pessoais (atividades de tratamento) .....................................................27
Papéis e responsabilidades (partes interessadas) ..........................................................................28
Titular dos dados ................................................................................................................. 28

Controlador ......................................................................................................................... 28
Processador ......................................................................................................................... 29
Terceiro ............................................................................................................................... 30
Representante Legal............................................................................................................ 30
Destinatário ......................................................................................................................... 31
Data Protection Officer (DPO) ............................................................................................. 31
Responsabilidades do DPO.................................................................................................. 33
Autoridade supervisora ....................................................................................................... 33
1.3 Fundamentos legítimos e limitação de finalidade ........................................................................34
Motivos Legítimos para o Processamento ......................................................................................34
Limitação de Finalidade e Especificação de Finalidade ..................................................................35
Proporcionalidade e Subsidiariedade .............................................................................................38
Subsidiariedade ................................................................................................................... 38
Proporcionalidade ............................................................................................................... 39
1.4 Requisitos adicionais para processamento legítimo de dados pessoais ......................................40
Proteção de dados desde a conceção e por default ........................................................... 40

Estrutura Legal .................................................................................................................... 41
Registro de atividades de processamento .......................................................................... 42
Representantes dos responsáveis pelo tratamento ou dos subcontratantes não estabelecidos na
União ...............................................................................................................................................43
Princípios relativos ao tratamento e dados pessoais ......................................................................44
1.5 Direitos dos titulares .....................................................................................................................45
Introdução.......................................................................................................................................45
Direitos dos titulares previstos pelo GDPR .....................................................................................45
1. Direito à informação transparente, comunicação e modalidades .................................. 45

2. Direito de informação e acesso aos dados pessoais ....................................................... 46
3. Direito de acesso ou de inspeção .................................................................................... 48
4. Direito de retificação e apagamento (eliminação ou direito de ser esquecido) ............. 49
5. Direito de se opor e direito de questionar a decisão automatizada ............................... 51
6. Direito de apresentar queixa à Autoridade Supervisora ou propor ação judicial........... 52
7. Limitações........................................................................................................................ 52
Resumo................................................................................................................................ 54
1.6 Violação de dados pessoais e procedimentos relacionados .........................................................57
Conceito de violação de dados pessoais .........................................................................................57

Incidentes de Segurança da informação x violação de dados pessoais ..........................................59
Categorias de violação de dados pessoais ......................................................................................62
Como agir quando ocorre violação de dados pessoais ...................................................................63
Notificação de uma violação de dados pessoais à Autoridade Supervisora ....................... 64

Caso, e na medida em que não seja possível fornecer todas as informações ao mesmo
tempo, estas podem ser fornecidas por fases, sempre sem demora injustificada. ........... 65
Notificação de uma violação de dados pessoais ao Controlador........................................ 65
Notificação de uma violação de dados pessoais ao Titular de dados afetado ................... 66
2.1 Importância da proteção de dados para a organização................................................................67
Requisitos para cumprir com o GDPR .............................................................................................67
Estrutura Legal .................................................................................................................... 68

Contrato do Processador..................................................................................................... 69
Avaliação de Impacto (DPIA) ............................................................................................... 69
Consulta prévia.................................................................................................................... 70
Tipos requeridos de administração ................................................................................................70
Registro de atividades de processamento .......................................................................... 70

Registro de violações de dados pessoais ........................................................................................72
Proteção de Dados desde a Concepção (by design) e por Padrão (by default) ..............................73
Condições gerais para a imposição de multas administrativas ......................................................74
2.2 Autoridade Supervisora ............................................................................................................77
Autoridade Supervisora ..................................................................................................................77
Responsabilidades de Autoridade Supervisora ..............................................................................78
Acompanhar e fazer cumprir a aplicação do regulamento ................................................. 78

Aconselhar e promover a conscientização .......................................................................... 78
Administrar violações de dados e outras violações............................................................. 79
Estabelecer Padrões ............................................................................................................ 79
Processamento que requer DPIA ......................................................................................... 79
Código de conduta e certificação ........................................................................................ 79
Cláusulas contratuais padrão e regras corporativas vinculativas e – contratos................. 80
Cooperação com outras autoridades supervisoras e a AEPD1 (EDPS). ............................... 80
Papel de uma Autoridade Supervisora com relação às violações de dados ...................................82
Como uma Autoridade Supervisora contribui para a aplicação da GDPR ......................................82
Poderes de investigação da Autoridade Supervisora .......................................................... 83

Poderes corretivos da Autoridade Supervisora ................................................................... 83
Condições gerais para a imposição de multas administrativas .......................................... 84
Proporcional ........................................................................................................................ 84
Dissuasivo ............................................................................................................................ 85
2.3 Transferência de dados pessoais para países terceiros ................................................................87
Processamento transfronteiriço .....................................................................................................87
Identificar a Autoridade Supervisora principal ...............................................................................89
Transferências com base em uma decisão de adequação..............................................................90
Regulamentos aplicáveis à transferência de dados entre o AEE e os EUA .....................................91
2.4 Regras corporativas vinculantes (BCR) e proteção de dados em contratos .................................93
Transferências sujeitas a salvaguardas apropriadas .......................................................................93
Regras Corporativas Vinculantes (BCR) ..........................................................................................95
Contratos entre Controlador e Processador ...................................................................................97
Cláusulas do contrato escrito .............................................................................................. 97

3.1 Práticas de proteção de dados......................................................................................................99
Proteção de Dados desde a Concepção (by design) e por Padrão (by default) ..............................99
Benefícios da proteção de dados by design..................................................................................100
Os sete princípios de proteção de dados desde a concepção (by design)....................................101
Proativo não reativo; preventiva não remediadora .......................................................... 101

Proteção de dados como configuração padrão ................................................................ 102
Privacidade incorporada ao design ................................................................................... 103
Funcionalidade total - Soma Positiva, Não Soma Zero ..................................................... 103
Segurança de ponta-a-ponta - proteção total do ciclo de vida......................................... 104
Visibilidade e transparência - Abertura............................................................................. 104
Respeito à privacidade do usuário - Centrada no Usuário................................................ 105
3.2 Avaliação de Impacto sobre a Proteção de Dados (DPIA) ..........................................................106
Definição – o que é a DPIA e para que serve .................................................................... 106

Definição – Aplicação da DPIA........................................................................................... 107
Objetivos de uma DPIA...................................................................................................... 111
Tópicos de uma DPIA......................................................................................................... 112
Modelo DPIA ..................................................................................................................... 113
3.3 Dados pessoais em uso ...............................................................................................................119
Gestão do Ciclo de Vida de Dados (GCVD)....................................................................................119
Finalidade do GCVD ........................................................................................................... 120

Fluxos de dados ................................................................................................................. 120
Auditoria de proteção de dados ...................................................................................................122
Auditoria de adequação .................................................................................................... 123

Auditoria de conformidade ............................................................................................... 123
Conteúdo de um plano de auditoria ................................................................................. 124
Práticas Relacionadas a Aplicações do Uso de Dados, Marketing e Mídias Sociais .....................125
O uso de informações de mídia social em atividades de marketing ................................. 125

Uso da internet no campo do marketing .......................................................................... 126
Titular de dados e o marketing ......................................................................................... 127
Cookies .............................................................................................................................. 129
0. Abertura
0.1. Sobre a EXIN
A EXIN é uma empresa holandesa inovadora e independente que se dedica constantemente

na produção de excelentes certificações em temáticas relacionadas à Tecnologia da Informação,
oferecendo uma ampla variedade de exames para profissionais que desejam se destacar no mercado
de trabalho, tanto visando um cenário nacional, quanto internacional, pois suas certificações são
reconhecidas mundialmente.
A instituição foi fundada em 1984, em Amsterdã, devido a uma iniciativa do Ministério de

Assuntos Econômicos da Holanda. Desde sua fundação até os dias atuais, acumulou diversas
experiências positivas que a capacitaram a desenvolver as melhores certificações para o mercado,
possibilitando também a união de clientes, negócios e tecnologia, validando o conhecimento e as
habilidades dos profissionais a qualquer hora e em qualquer lugar.
Ela é responsável também pelo credenciamento de organizações que atuam oferecendo

treinamentos em Tecnologia da Informação. Atualmente, atua em mais de 125 países e possui
exames em diversos idiomas, incluindo o português do Brasil. Ela também foi responsável pela
avaliação e certificação de mais de dois milhões de profissionais desde a sua fundação até os dias
atuais.1
Figura 1 – Presença Exin nos países

Fonte: Vídeo Exin no Youtube2 - adaptada pelos autores (2020)
1
Informações retiradas e adaptadas do site da Exin, e encontra-se disponível em:
https://www.exin.com/about-exin. Acesso em: 23 maio 2020.
2EXIN, EXIN Corporate Video. Youtube. Disponível em: https://youtu.be/gpaqMCHxE2o. Acesso em: 23
maio 2020.
0.1.1. Certificações da Exin
A Exin disponibiliza diversas certificações para profissionais que desejam se destacar em um

cenário cada vez mais concorrido no mercado de trabalho e nesse contexto algumas áreas de
atuação que estão no portfólio da instituição são:
● Cloud Computing;
● Blockchain;
● Cyber and IT Security;
● Ethical Hacking;
● DevOps;
● Agile Scrum;
● Privacidade e proteção de dados;
● Outras áreas.
Nesse universo de áreas, a Exin oferece diversas possibilidades de certificações em vários

níveis dentro de programas específicos, que vão desde o mais básico até o mais avançado. Podemos
citar abaixo algumas certificações oferecidas, nas quais são:
● Data Protection Officer (DPO);

● Agile Scrum Master;
● Information Security Management Professional based on ISO/IEC 27001;
● Exin DevOps Master;
● Cloud Solution Architect;
● Entre outras certificações.
Seja qual for o programa escolhido para se certificar, saiba que obterá a certificação em uma
empresa confiável, com conteúdo bem planejado e que irá realmente medir as habilidades e
conhecimentos necessários.
Dica importante do Certifiquei!
Alguns programas de certificação da Exin permitem realizar as provas diretamente no nível mais
avançado, sem passar pelos níveis anteriores, porém não recomendamos fazer desta forma, pois
é de extrema importância passar pelos níveis mais básicos para absorção do conhecimento e
amadurecimento no assunto.
0.2. Programa de qualificação da Exin para Proteção de Dados e
Privacidade
A Exin possui um programa de qualificação específico para o tema de Proteção de Dados e
Privacidade, englobando no mesmo 3 certificações que estão separadas em níveis e abordagem de
leis diferentes, sendo uma para LGPD e duas para GDPR 3 . Abaixo segue um detalhamento para
melhor entendimento do programa:
EXIN Privacy and Data Protection Practitioner (PDPP) é uma

certificação de nível avançado que valida o conhecimento e a
compreensão do profissional com relação à política de
privacidade (proteção de dados) Europeia. O exame testa a
capacidade de cada um de aplicar esse conhecimento e essa
compreensão na prática profissional diária.
● Pré-requisitos: Realizar um curso credenciado e é

necessário realizar um trabalho prático
● Exame em português
● Baseado na GDPR
As certificações PDPF e PDPP são necessárias para se chegar ao

título de DPO.
A EXIN Privacy and Data Protection Foundation (PDPF) abrange

os principais assuntos relacionados à proteção de dados
pessoais. Possui a finalidade de transmitir todo o conhecimento
necessário para ajudar a garantir a conformidade com o
Regulamento Geral de Proteção de Dados. O exame abrange
desde Fundamentos e Regulamentação de Privacidade e
3GDPR (General Data Protection Regulation) é um regulamento europeu sobre privacidade e proteção de
dados de titulares de dados localizados na AEE (Área Econômica Europeia) (Nota dos Autores).
Proteção de Dados Organizando até à Práticas de Proteção de
Dados
● Exame em português
● Baseado na GDPR
EXIN Privacy and Data Protection Essentials (PDPE) é uma
certificação que valida o conhecimento de um profissional sobre
a organização da proteção de dados pessoais, e as regras e
regulamentos brasileiros em matéria de proteção de dados.
● Não exige nenhum pré-requisito

● Exame em português adaptado e destinado para obter
conhecimentos básicos da LGPD.
Fonte: Elaborado pelos autores, com base no guia de preparação da Exin (EXIN, 2020)4
0.3. Como funciona a prova do exame PDPF
A prova do exame Privacy and Data Protection Foundation (PDPF) pode ser realizada on-line
ou em um centro de exames credenciado. O ambiente de provas online é chamado de Exin
Anywhere, que podemos traduzir para Exin em qualquer lugar. Essa tradução ilustra em palavras
uma nova maneira de realizar provas de certificações desejadas em qualquer lugar que você esteja,
podendo ser: em casa, em uma sala de reunião no escritório ou em qualquer outro espaço calmo
onde você se sinta confortável, desde que cumpra alguns requisitos impostos no momento da
realização da prova.
Dica importante do Certifiquei!
Recomendamos fazer a prova pelo Exin Anywhere por questões de facilidade e custo, pois as
provas possuem valores reduzidos comparado a realização em um centro de exames credenciado.
4Documento disponível em:

https://dam.exin.com/api/&request=asset.permadownload&id=4220&type=this&token=6fa23d46ad2b
d2058875b16414d6d59e. Acesso: 01 jun. 2020.
Para auxiliar os alunos, inclusive em relação aos requisitos e cuidados, o Certifiquei preparou um
material exclusivo para lhe ensinar a fazer a prova utilizando o Exin Anywhere. Ele encontra-se
disponível no ambiente de ensino do aluno.
Caso a escolha seja realizar a prova em centro de exames credenciado, basta acessar o link
abaixo e procurar por uma organização credenciada mais perto:
Link: https://www.exin.com/br-pt/encontrar-treinamento/#finder/training-provider
0.4. Por que se tornar um profissional certificado em PD & P?
Vivemos em uma era totalmente digital, onde o que não é digital, está se transformando
rapidamente com o exponencial avanço tecnológico. Em conjunto, há um evidente aumento na
geração e utilização de dados em diversas plataformas tecnológicas, principalmente dados pessoais,
e nesse sentido cresce também a necessidade de proteção e privacidade destes dados.
Nesse cenário, vem uma excelente notícia: a necessidade de profissionais de proteção de

dados e privacidade. Com a iminente entrada da Lei Geral de Proteção de Dados (LGPD), cresce a
cada dia a demanda por profissionais especializados nessa área, principalmente com os recorrentes
vazamentos de dados em diversas empresas.
Estes profissionais estarão envolvidos na adequação da empresa à LGPD e

consequentemente em todo o ciclo de vida dos dados dentro de uma organização, desde sua coleta,
até sua devida destruição. E no meio destes profissionais, surge um papel de extrema importância
para se buscar como meta de certificação, que é o de Data Protection Officer (DPO), no qual
abordaremos no tópico a seguir.
0.5. Por que se tornar um DPO?

O Data Protection Officer (DPO), referenciado na LGPD (BRASIL, 2018) como Encarregado, é
um dos profissionais em grande destaque no momento, bastante cobiçado e valorizado no mercado
de trabalho devido ao exponencial aumento de países que estão adotando leis de proteção e
privacidade de dados, como é o caso do Brasil com a LGPD.
O DPO, ou Encarregado, pode ser uma pessoa física ou jurídica e na LGPD (BRASIL, 2018) ele
é descrito como:
Art. 5º, VIII - pessoa indicada pelo controlador e operador para atuar
como canal de comunicação entre o controlador, os titulares dos dados e
a Autoridade Nacional de Proteção de Dados (ANPD) (BRASIL, 2018).
Analisando a descrição do cargo na LGPD, podemos destacar quatro características

importantes deste profissional, nas quais são: transparência, responsabilidade, comunicação e
conhecimento das leis e do negócio. As legislações não estabelecem uma formação específica e
obrigatória para o profissional que deseja atuar neste cargo, porém é importante frisar que ele
deverá expandir seu conhecimento por diversas áreas, como exemplo: Infraestrutura, Segurança da
Informação, Processos de Negócio e Direito.
Agora que já entendemos a importância de um DPO, assim como suas responsabilidades e

características desejadas, abordaremos o caminho para certificação de DPO da Exin, que capacita os
profissionais para atuar nesta área fornecendo um amplo leque de conhecimentos básicos e
avançados das leis de proteção de dados e privacidade, assim como aprofundamento em áreas como
Segurança da Informação.
Para chegar ao título de DPO, o candidato deverá obter três certificações: Information
Security Foundation (ISFS), Privacy and Data Protection Foundation (PDPF) e Privacy and Data
Protection Practitioner (PDPP) somado ao trabalho prático. Abaixo segue um detalhamento visual
das etapas:
Concluindo as três
certificações necessárias
Data Protection
abaixo o candidato receberá Officer (DPO)
automaticamente a
certificação de DPO
Certificação de nível mais

avançado, que inclui tarefas
práticas para que os candidatos Privacy & Data
experimentem o que é pedido a Protection Trabalho Prático
um DPO e teste suas Practitioner (PDPP)
habilidades antes da prática.
Este nível inclui duas

certificações de áreas Privacy & Data Information Security
fundamentais do Protection Foundation based on
conhecimento e Foundation (PDPF) ISO/IEC 27001 (ISFS)
conceituações básicas.
1. Fundamentos e regulamentação de privacidade e
proteção de dados
1.1 Definições
Peso no Exame: 7,5%
Neste capítulo, o aluno se tornará apto a:
• Dar definições válidas de privacidade.

• Relacionar a privacidade de dados pessoais com o conceito de proteção de dados.
• Descrever o contexto da legislação da União Europeia e do Estados-Membros
Contextualização histórica
Com o desenvolvimento das sociedades, houve uma evolução que gerou muitos benefícios, no
entanto, trouxe alguns apelos à privacidade. O primeiro passo desta jornada foi o artigo 12 da
Declaração Universal dos Direitos Humanos, assinada em 1948, que declara: “Ninguém será sujeito
à interferência em sua vida privada, em sua família, em seu lar ou em sua correspondência, nem a
ataque à sua honra e reputação. Todo ser humano tem direito à proteção da lei contra tais
interferências ou ataques”.
Seguindo a mesma direção, no ano de 1950, os Estados-Membros da União Europeia assinaram na

CEDH - Convenção Europeia de Direitos Humanos (ECHR - European Convention of Human Rights)
um tratado para defender os direitos humanos em toda a União Europeia, entre eles o direito ao
respeito pela vida privada e familiar.
Já em 1980, a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) desenvolveu

diretrizes para a Proteção da Privacidade e Fluxos Transfronteiriços de Dados Pessoais (Guidelines on
the Protection of Privacy and Trans-border flows of Personal Data). Essas diretrizes foram
formalizadas em 1981 pelo Tratado de Estrasburgo.
Porém, com a rápida evolução tecnológica e a globalização, verificou-se a necessidade de novos

padrões, a fim de fornecer às pessoas controle sobre suas informações pessoais. E no ano de 1995,
surge na União Europeia a "Diretiva de Proteção de Dados" 95/46/EC.
Já em dezembro de 2002, foi proclamada a 'Carta' - Carta dos Direitos Fundamentais da União
Europeia, que incluía os princípios gerais estabelecidos na CEDH. A Carta refere-se explicitamente à
proteção da privacidade e à proteção de dados pessoais como um direito fundamental:
“Artigo 7: Respeito à vida privada e familiar

1. Toda pessoa tem o direito à sua vida privada e familiar, sua casa e sua correspondência.
Artigo 8: Proteção de dados pessoais
1. Toda pessoa tem direito à proteção dos dados pessoais que lhe digam respeito.
2. Esses dados devem ser tratados de forma justa para fins específicos e com base no consentimento
da pessoa em causa ou em qualquer outra base legítima estabelecida por lei. Todos têm o direito de
acessar os dados coletados sobre ele e o direito de retificá-los.
3. O cumprimento destas regras está sujeito ao controle de uma autoridade independente.”
Fonte: Carta dos Direitos Fundamentais da União Europeia.
Porém, as regras e regulamentos nos Estados-Membros, embora baseados na diretiva 95/46 / CE,
ainda eram bastante diversas. Após anos de discussão, o GDPR foi publicado em 25 de maio de 2016.
O GDPR é aplicável como lei em todos os países do AEE em 25 de maio de 2018. O regulamento
revoga a Diretiva 95/46 / CE. Isso significa que todas as leis nacionais baseadas nesta diretiva são
substituídas pelo GDPR. Nos termos do artigo 94(2) do GDPR, as referências à diretiva revogada
devem entender-se como sendo feitas ao presente regulamento.
Abaixo, uma visão gráfica da linha do tempo até o GDPR:

Regulamento X Diretiva
Diretiva é um ato legislativo que estabelece diretrizes para todos os países da UE, isto significa que
cada país pode definir suas próprias leis e decidir como aplicá-las.
Ao contrário da legislação anterior (95/46 EC), que era uma diretiva, o GDPR é um Regulamento, e
seu “texto tem Relevância EEE”, ou seja, se aplica a todos os países do Espaço Econômico Europeu e
deve ser aplicado na sua totalidade em toda a UE.
IMPORTANTE: O GPDR é uma lei funcional e entrou em vigor em toda a União simultaneamente.
Entretanto, conforme o “Considerando 10”, o GDPR dá margem de manobra para os Estados-
Membro criarem regras especificações para certas questões.
Estrutura do GDPR
O GDPR (Regulamento Geral de Proteção de Dados) é constituído por:
• 11 capítulos
• 99 Artigos
• 173 Considerandos
Seu conteúdo descreve:
• Capítulo I – Disposições gerais relacionadas à Lei

• Capítulo II – Princípios
• Capítulo III – Direitos do titular de dados
• Capítulo IV – Responsabilidades pelo tratamento (papéis e responsabilidades)
• Capítulo V – Transferências de dados pessoais para países terceiros ou organizações
internacionais
• Capítulo VI – Definições das Autoridades de proteção de dados (DPA em inglês)
• Capítulo VII – Cooperação e coerência
• Capítulo VIII – Vias de recurso, responsabilidade e sanções
• Capítulo IX – Disposições relativas a situações específicas de tratamento
• Capítulo X – Atos delegados e atos de execução
• Capítulo XI – Disposições finais
ARTIGOS X CONSIDERANDOS
Artigos são requisitos obrigatórios, isto é, descrevem as ações que devem ser tomadas para que a
empresa esteja de acordo com o regulamento.
Considerandos são um detalhamento maior do que está descrito nos artigos, para que sejam feitas
adaptações na aplicação das regras. São utilizados pelo Tribunal de Justiça da União Europeia para
estabelecer o que qualquer diretiva ou regulamento significa no contexto de um caso específico
perante o Tribunal.
Escopo do GDPR
O Regulamento é aplicável ao tratamento de dados pessoais, sendo este tratamento automatizado

ou não. Portanto, arquivos físicos (em papel) também fazem parte do escopo do regulamento.
Porém, o regulamento não se aplica ao tratamento de dados pessoais:
a) Efetuado no exercício de atividades não sujeitas à aplicação do direito da União:
b) Efetuado pelos Estados-Membros no exercício de atividades abrangidas pelo âmbito de

aplicação do título V, capítulo 2, do TUE;
c) Efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou

domésticas;
d) Efetuado pelas autoridades competentes para efeitos de prevenção, investigação,

detecção e repressão de infrações penais ou da execução de sanções penais, incluindo a
salvaguarda e a prevenção de ameaças à segurança pública.
Fonte: Regulamento Geral de Proteção de Dados – GDPR (EU) 2016/679; Artigo 2.
Também estão fora do escopo do regulamento (Considerandos 26 e 27):
• Dados anonimizados;
• Dados pessoais de pessoas falecidas.
Escopo territorial do GDPR
O regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de

um estabelecimento de um responsável pelo tratamento (Controlador) ou de um subcontratante
(Operador) situado no território da União, independentemente de o tratamento ocorrer dentro ou
fora da União.
Também se aplica ao tratamento de dados pessoais de titulares que se encontrem no território da

União, efetuado por um responsável pelo tratamento (Controlador) ou subcontratante (Operador)
não estabelecido na União, quando as atividades de tratamento estejam relacionadas com:
a) A oferta de bens ou serviços a esses titulares de dados na UE, independentemente da

exigência de os titulares dos dados procederem a um pagamento;
b) O controle do seu comportamento, desde que esse comportamento tenha lugar na UE.
Fonte: Regulamento Geral de Proteção de Dados – GDPR (EU) 2016/679; Artigo 2.
Ou seja, independentemente do local (no mundo) em que se processe dados pessoais, se a Empresa
está situada na União Europeia, este tratamento estará sujeito ao Regulamento.
O mesmo para empresas que estejam situadas fora da UE, porém, ofertam bens e serviços ou
monitoram comportamento de titulares da UE.
Por exemplo, no caso de uma empresa canadense que processa dados pessoais de um cidadão
argentino para uma compra online. Se esse cidadão argentino estiver visitando Paris (França) no
momento da compra e a empresa canadense souber que está oferecendo bens ou serviços para a
União Europeia (porque eles enviaram os produtos para a Europa, por exemplo), esse processamento
está sujeito ao GDPR. Além disso, o GDPR se aplica ao processamento de dados pessoais por um
controlador não estabelecido na AEE, mas "em um local em que a lei do Estado-Membro se aplica
por força do direito internacional público". O item 25 dá o exemplo da missão diplomática ou
consulado de um Estado-Membro.
O GDPR também se aplica ao processamento a bordo de navios registrados em um Estado Membro

da UE, independentemente de qualquer lugar do mundo em que o navio realmente esteja.
Definições de Privacidade
No GDPR, a definição de privacidade está ligada à Carta dos Direitos Fundamentais da União
Europeia.
O presente regulamento respeita todos os direitos fundamentais e observa as liberdades e os

princípios reconhecidos na Carta, consagrados nos Tratados, nomeadamente o respeito pela vida
privada e familiar, pelo domicílio e pelas comunicações, a proteção dos dados pessoais, a liberdade
de pensamento, de consciência e de religião, a liberdade de expressão e de informação, a liberdade
de empresa, o direito à ação e a um tribunal imparcial, e a diversidade cultural, religiosa e linguística.
Fonte: Regulamento Geral de Proteção de Dados – GDPR (EU) 2016/679; Considerando 4.
Nesse sentido, o direito à proteção de dados pessoais é um meio de proteger os direitos e liberdades
fundamentais das pessoas, entre eles a sua privacidade.
Nos dias atuais, observamos um desenvolvimento nas tecnologias de informação e comunicação sem
precedentes na história do mundo. E, com isso, o debate acerca da privacidade vem evoluindo
qualitativamente, para atingir a chamada autodeterminação informativa, isto porque a informação
passou a ser um bem muito valioso. É cada dia mais latente a necessidade de os indivíduos
controlarem as informações que lhes digam respeito, como forma de proteger a privacidade.
Pode-se entender como privacidade o direito a respeitar a vida privada e familiar de uma pessoa,
sua casa e correspondência.
É importante ressaltar que o GDPR está relacionado diretamente à Privacidade de Dados Pessoais
especificamente, isto é, o regulamento não se aplica a qualquer dado, somente às informações
relativas a uma pessoa natural identificada ou identificável (titular dos dados). A definição de Dados
pessoais será detalhada nos próximos capítulos.
Privacidade x Proteção de Dados Pessoais
Para que seja garantida a privacidade dos dados pessoais, é importante que existam processos e
meios para proteção destes dados pessoais. Portanto, não há privacidade sem proteção de dados.
A proteção dos dados ajuda a garantir a privacidade de um indivíduo, cobrindo alguns aspectos da
privacidade.
Para que haja proteção efetiva de dados pessoais, é necessário que sejam realizadas medidas
técnicas e organizacionais nos processos, com foco em Segurança da Informação e Governança.
Medidas técnicas incluem, mas não se limitam a: controle de acesso lógico, criptografia de disco,
segmentação de redes, entre outras.
E alguns exemplos de medidas administrativas são: revisão de processos e procedimentos, definição

de políticas e treinamentos de conscientização dos colaboradores.
Segurança da Informação
Segurança da informação é uma parte essencial no processo, porém não garante a proteção em sua
totalidade, pois a privacidade dos dados pessoais vai além da segurança da informação,
considerando todo o ciclo de vida dos dados pessoais e dos processos de negócios que os utilizam.
A segurança da informação é a preservação da confidencialidade, integridade e disponibilidade de

informações (definição da norma ISO/IEC 27000).
Confidencialidade, integridade e disponibilidade (CID), são considerados os três pilares da segurança

da informação, onde o objetivo final é a proteção de dados.
Esses três pilares nada mais são que os objetivos a serem atingidos por meio da segurança da
informação, onde cada um aborda um aspecto diferente no tocante a essa proteção. Juntos,
constituem um grupo de ações que procuram prevenir problemas, como o vazamento de dados, por
exemplo.
A gestão da segurança da informação pode incluir o uso de controles físicos, a fim de impedir que
determinados dados sejam acessados indevidamente por meio da infraestrutura.
São utilizados também, controles lógicos, isto é, mecanismos de software ou dados que impedem o
acesso indevido ou qualquer incidente relacionado aos dados, como por exemplo a criptografia dos
dados.
Por fim, temos os controles administrativos, isto é, práticas, políticas, recomendações e
procedimentos adotados pela organização para a proteção das informações. Os controles
administrativos incluem, por exemplo, o treinamento de funcionários.
Esse conjunto de ações e processos garante a segurança da informação, protegendo os dados

pessoais.
1.2 Dados Pessoais
Peso no Exame: 12%
• Dar uma definição de dados pessoais de acordo com o GDPR.

• Fazer a distinção entre dados pessoais e categorias especiais de dados pessoais sensíveis.
• Descrever os direitos do titular dos dados com relação aos dados pessoais.
• Descrever o processamento/tratamento dos dados pessoais.
• Listar as partes envolvidas e suas principais responsabilidades.
Dado pessoal
Dado Pessoal é toda e qualquer informação relacionada a uma pessoa física identificada ou
identificável.
Segundo o GDPR: “Dado pessoal significa qualquer informação relativa a uma pessoa natural
identificada ou identificável (titular dos dados); uma pessoa natural identificável é aquela que pode
ser identificada, direta ou indiretamente, em particular por referência a um identificador como um
nome, um número de identificação, dados de localização, um identificador online ou a um ou mais
fatores específicos de identidade física, fisiológica, identidade genética, mental, econômica, cultural
ou social daquela pessoa natural;”
Fonte: Regulamento Geral de Proteção de Dados – GDPR (EU) 2016/679; Artigo 4(1)
Portanto, não estamos falando somente de nome, CPF ou RG. Estamos falando sobre qualquer
informação referente à pessoa física e que seja possível identificá-la, inclusive coisas que podem ser
medidas, como por exemplo tamanho do sapato, dados bancários, placa do carro e até opiniões
sobre esta pessoa.
O conceito de dados pessoais não se limita a informações que possam ser prejudiciais à vida privada
e familiar do indivíduo e não traz relevância ao meio em que as informações estão contidas. As
informações podem estar contidas em textos, figuras, fotografias, vídeos, imagens, entre outras. Se
for possível identificar a pessoa, são considerados dados pessoais.
Pessoa natural (pessoa física)
Legalmente, uma pessoa natural é um ser humano, um indivíduo capaz de assumir obrigações e de
ter direitos. Portanto, o GDPR não se aplica a pessoas falecidas.
Os Estados Membros, pelo contrário, podem prover regras relativas ao tratamento de dados pessoais
de pessoas falecidas.
Dados pessoais diretos, indiretos e pseudonimizados
Na prática, existem três tipos de dados pessoais:
• Diretos
• Indiretos
• Pseudonimizados
Dados pessoais diretos
Dados pessoais diretos são dados que podem ser atribuídos diretamente a um indivíduo específico
sem o uso de informações adicionais. Por exemplo, RG, CPF, Biometria, DNA, entre outros. Os nomes
podem ser dados pessoais diretos se forem muito raros, mas a maioria dos nomes não é considerada
exclusiva e, portanto, não são dados pessoais diretos. Um título único também é uma referência
direta a um indivíduo.
Dados pessoais indiretos
São os dados que somente podem ser vinculados a uma pessoa física, quando inseridas informações
adicionais. Por exemplo, a placa numérica de um carro é um dado pessoal indireto, porque é possível
rastrear o carro até seu proprietário usando informações adicionais. O fato de nem todos os
controladores poderem rastrear uma placa de carro não é importante, pois somente o fato de que
isso seja, em teoria, possível faz com que sejam dados pessoais indiretos.
Os nomes são dados pessoais indiretos em situações que o nome é comum o suficiente para não
apontar para uma pessoa específica. Por exemplo “João da Silva” é um nome comum no Brasil e não
pode, sozinho, identificar um indivíduo, são necessárias informações adicionais para que seja
definido de qual “João da Silva” estamos nos referindo.
Dados pessoais pseudonimizados
Dados pessoais psedonimizados são dados “mascarados” de alguma maneira, porém, que continuam
com vínculo ao indivíduo, sendo possível identificá-lo.
Um bom exemplo são os códigos fornecidos a usuários de sistemas, para que sejam utilizados no
lugar de nome ou e-mail. Estes códigos podem ser enviados separadamente para empresas
fornecedoras dos sistemas, Processadoras de dados, não vinculando o código ao titular dos dados.
Estes dados se tornam dados pessoais indiretos, pois ainda existe uma maneira de reverter o
processo de pseudonimização, com dados contidos sob a guarda do Controlador de dados.
IMPORTANTE: Anonimização significa que nenhuma informação da qual a pessoa a quem os dados
se relacionam possa ser identificada de qualquer forma. Dados anônimos não são mais considerados
dados pessoais e, portanto, não estão mais sujeitos à Lei. Dados pseudonimizados podem ser
anonimizados destruindo a informação que vincula os dados pseudonimizados ao titular.
Por exemplo, para uma pesquisa relacionada à hábitos de compras de mulheres acima de 20 anos, é
chamado um grupo selecionado de titulares de dados. Os nomes, data de nascimento e outros dados
das titulares são coletados e mantidos em uma base de dados, da qual as titulares deram
consentimento. As titulares respondem algumas entrevistas para a pesquisa e depois que o período
da pesquisa termina, todos os dados identificáveis são apagados, mantendo somente as informações
necessárias para a pesquisa. Isso significa que os dados não podem mais ser vinculados às titulares
de dados específicas, porque não existe uma chave vinculando. Somente dados pessoais mais gerais,
como sexo e categoria etária, estão vinculados aos dados relacionados aos hábitos de compra.
Portanto, estes dados mantidos após realização da pesquisa são dados anonimizados.
Categorias especiais de dados pessoais (dados sensíveis)
O GDPR distingue várias categorias de dados pessoais que merecem um tratamento especial.
Dados que revelam

Dados que revelam Dados que revelam
crenças religiosas ou
origem racial o étnica opinião política
filisóficas
Dados biométricos
processados com a
Dados que revelam
Dados genéticos finalidade de identificar
adesão sindical
unicamente uma
pessoa
Dados relativos à vida

Dados relativos à saúde sexual ou orientação
sexual de uma pessoa
É proibido processar dados pessoais especiais, exceto nos casos explicitamente mencionados no
Artigo 9 do GDPR, pois pode haver elevado risco para os titulares em caso de violação de dados
sensíveis.
Pode ser permitido o tratamento de dados pessoais de categoria especial nas seguintes ocasiões:
a) Consentimento explícito do titular

b) Cumprir obrigação legal trabalhista ou previdenciária
c) Necessário para proteger interesses vitais do Titular de Dados
d) Para entidades sem fins lucrativos tratarem esses dados ligados à sua finalidade de
atuação (membros + confidencialidade)
e) Dados já tornados públicos pelo próprio Titular
f) Para declaração ou defesa em processo judicial
g) Interesse público
h) Medicina preventiva ou do trabalho
i) Saúde pública
j) Investigação científica ou histórica, ou para fins estatísticos.
Fonte: Regulamento Geral de Proteção de Dados – GDPR (EU) 2016/679; Artigo 9(2)
Processamento de dados pessoais (atividades de tratamento)
A definição de processamento no GDPR é bastante ampla:
“Processamento significa qualquer operação ou conjunto de operações efetuadas em dados pessoais

ou em conjuntos de dados pessoais, por meios automatizados ou não, como coleta, registro,
organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta,
utilização, divulgação por transmissão, disseminação ou de outra forma tornar disponível,
alinhamento ou combinação, restrição, apagamento ou destruição.”
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 4 (1)
Portanto, qualquer atividade ou conjunto de atividades realizadas com dados pessoais ou conjuntos
de dados pessoais, sendo automatizadas ou não, são consideradas Processamento de dados
pessoais.
A coleta de dados pessoais é processamento. O armazenamento de dados pessoais é processamento.

Destruir dados pessoais também é processando. Mesmo fazer um backup de um servidor que não é
seu, mas contém dados pessoais, seria considerado um tipo de armazenamento, incluído na
definição de processamento.
Papéis e responsabilidades (partes interessadas)
No GDPR existem vários papéis definidos relacionados ao processo de tratamento de dados pessoais.
Cada um destes papéis tem responsabilidades específicas no processo e precisam ser nomeados e
ter suas responsabilidades declaradas de maneira transparente e disponível para todos.
Titular dos dados
Como já descrito anteriormente, o titular de dados é a pessoa física ou natural ao qual se referem os
dados pessoais, com exceção de pessoas falecidas.
É importante ressaltar que o “dono” dos dados pessoais é sempre o Titular e não o controlador de
dados.
Controlador
De acordo com a GDPR, Controlador é a figura responsável pelo tratamento dos dados pessoais, isto
é, pode ser uma pessoa física ou jurídica, autoridade pública, agência ou outro organismo que
determina os objetivos/finalidades e os meios do tratamento de dados pessoais
Controlador significa a pessoa natural ou jurídica, autoridade pública, agência ou outro organismo
que, individualmente ou em conjunto com outros, determina os fins e os meios do tratamento de
dados pessoais.
A responsabilidade sob os dados pessoais tratados é sempre do Controlador, portanto, é seu papel
garantir a proteção dos dados pessoais, através de medidas técnicas e organizacionais nos processos
de tratamento de dados pessoais sob sua responsabilidade.
1. Tendo em conta a natureza, o âmbito, o contexto e os fins do processamento, bem como os riscos
de variação da probabilidade e gravidade dos direitos e liberdades das pessoas físicas, o responsável
pelo tratamento deve implementar medidas técnicas e organizacionais adequadas para garantir e
poder demonstrar que o processamento é realizado em conformidade com o presente regulamento.
Essas medidas devem ser revistas e atualizadas sempre que necessário.
2. Sempre que proporcionada em relação às atividades processamento, as medidas referidas no
parágrafo 1 devem incluir a implementação de políticas adequadas em matéria de proteção de dados
pelo responsável pelo controlador.
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 24
O Artigo 24(1) indica que o nível das medidas técnicas pode variar de acordo com a situação
específica e o nível de risco para as pessoas físicas envolvidas. Por exemplo, o convite para o
churrasco, apesar de processar dados pessoais, provavelmente não precisa do mesmo nível de
segurança de dados que um convite para um grupo de pessoas que sofrem de uma doença crônica,
pois trata-se de dados pessoais da categoria especial e um incidente relacionado a estes dados pode
gerar um impacto grande aos titulares de dados.
Importante lembrar que o papel do controlador não é apenas a implementação de medidas de

proteção, mas também deve ser capaz de demonstrar que o processamento é executado de acordo
com o GDPR.
Processador
Processador é uma pessoa natural ou jurídica, autoridade pública, agência ou outro organismo que
processa dados pessoais em nome do controlador.
O processador de dados deve sempre executar as atividades relacionadas aos dados pessoais de
acordo com as instruções e definições do Controlador dos dados.
É importante que o Controlador, sempre que for compartilhar dados com um Processador, celebre
um contrato em que o Processador forneça garantias relacionadas à proteção dos dados
compartilhados.
Também citado no GDPR como Subcontratante.
Terceiro
Terceiro é uma pessoa natural ou jurídica, autoridade pública, agência ou organismo que não seja o
titular dos dados, o controlador, o processador e as pessoas que, sob a autoridade direta do
controlador ou do processador, estão autorizados a tratar dados pessoais;
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 4(10)
Um terceiro é uma pessoa ou organização que, para execução de suas funções (e estas não são
processamento ou controle de dados pessoais), tenha acesso à dados pessoais. Alguns exemplos são
um contador, que na execução de suas funções pode, inadvertidamente, ver dados pessoais ou um
gerente de sistemas verificando se o backup de dados pessoais foi bem-sucedido e, ao fazer isso, vê
alguns nomes e outros dados pessoais.
Um terceiro que recebe dados pessoais - seja legal ou ilegalmente - processa, por definição, dados
pessoais. Quando o processamento não for executado sob a autoridade direta do controlador, este
"terceiro" será, em princípio, considerado como um novo controlador.
Representante Legal
Pessoa física ou jurídica (na UE) designada pelo Controlador ou Processador para representá-lo
perante a autoridade supervisora e os titulares dos dados. É requerido conforme GDPR artigo 27.
Destinatário
Destinatário é uma pessoa natural ou jurídica, uma autoridade pública, uma agência ou outro
organismo para o qual os dados pessoais são divulgados, terceiros ou não. No entanto, as
autoridades públicas que possam receber dados pessoais no âmbito de um inquérito específico em
conformidade com a legislação da União ou do Estado-Membro não são consideradas destinatários;
o processamento desses dados por essas autoridades públicas deve estar em conformidade com as
regras de proteção de dados aplicáveis, de acordo com os objetivos do processamento.
O destinatário é uma parte interessada importante, sendo aquele para quem dados pessoais ou
resultados de processamento de dados pessoais são divulgados. Em particular, quando o destinatário
esteja fora do AEE, e ainda mais se o destinatário for uma instituição do Governo fora do AEE, existem
regras específicas para essa transferência.
Data Protection Officer (DPO)
O controlador e o processador designarão um Data Protection Officer (DPO) em qualquer caso em

que:
(a) o tratamento for efetuado por uma autoridade ou organismo público, com exceção dos órgãos
jurisdicionais que atuem no exercício das suas funções
(b) as atividades principais do controlador ou do processador consistem em operações de tratamento
que, devido à sua natureza, âmbito e / ou finalidades, exigem monitoramento regular e sistemático
em grande escala dos titulares dos dados ou
(c) as atividades principais do controlador ou do processador consistem no tratamento de uma
grande variedade de categorias especiais de dados nos termos do Artigo 9 e dados pessoais relativos
a condenações penais e infracções referidas no Artigo 10.
Conforme descrito no GDPR e destacado no texto acima, em alguns casos os Controladores e

Processadores são obrigados a designar um DPO (Data Protection Officer). O DPO tem o papel de
informar e auxiliar o Controlador ou Processador com relação ao cumprimento das regras
estabelecidas pelo GDPR e as leis do Estado Membro. De acordo com o item (97), o DPO deve ser
"uma pessoa com conhecimento especializado das leis e práticas de proteção de dados".
As organizações que não se enquadrarem no perfil obrigatório para designação de um DPO, podem
fazê-lo voluntariamente e, nestes casos, deverá ser mantido conforme padrões estabelecidos no
GDPR.
Sempre que um DPO é nomeado, a organização deve comunicar à Autoridade Supervisora relevante
e publicar os detalhes do DPO, para que os titulares dos dados possam chegar ao DPO.
Um aspecto importante com relação ao trabalho do DPO, é que ele precisa ter uma posição
independente e isto é garantido pelo GDPR:
O controlador e o processador devem assegurar que o DPO não receba instruções sobre o exercício
dessas tarefas. Ele não deve ser dispensado ou penalizado pelo controlador ou pelo processador por
executar suas tarefas. O DPO deve reportar diretamente ao mais alto nível de gerenciamento do
controlador ou do processador.
Este artigo também exige que o controlador e o processador garantam que o DPO esteja envolvido,
de forma adequada e em tempo hábil, em todas as questões relacionadas à proteção de dados
pessoais. Eles têm a obrigação de apoiar o DPO no desempenho de suas tarefas, fornecendo recursos
necessários para realizar essas tarefas e acesso a dados pessoais e operações de processamento, e
para manter seu conhecimento especializado.
Responsabilidades do DPO
O DPO deve ter pelo menos as seguintes tarefas:

(a) informar e aconselhar o controlador ou o processador e os empregados que efetuam o
processamento das suas obrigações nos termos do presente regulamento e de outras disposições em
matéria de proteção de dados da União ou dos Estados-Membros;
(b) monitorar a conformidade com o presente regulamento, com outras disposições em matéria de
proteção de dados da União ou dos Estados-Membros e com as políticas do controlador ou dos
processadores no tocante à proteção dos dados pessoais, incluindo a atribuição de responsabilidades,
a sensibilização e a formação do pessoal; envolvidos em operações de processamento e as auditorias
relacionadas;
(c) prestar aconselhamento, se tal for solicitado, no que diz respeito à avaliação de impacto sobre a
proteção de dados, e acompanhar o seu desempenho nos termos do Artigo 35;
(d) cooperar com a Autoridade Supervisora;
(e) servir de ponto de contato para a Autoridade Supervisora em questões relacionadas com o
processamento, incluindo a consulta prévia referida no Artigo 36, e a consultar, se for caso, qualquer
outra questão.
Autoridade supervisora
Por fim, temos o papel da autoridade supervisora, que nada mais é do que uma autoridade pública
independente estabelecida por um Estado-Membro da UE que fornece orientação, estabelece
normas e diretrizes para cumprimento do regulamento e monitora e faz cumprir o regulamento com
objetivo de proteger os dados pessoais dos titulares.
1.3 Fundamentos legítimos e limitação de finalidade
Peso no Exame: 5%
• Listar os seis fundamentos legítimos para processamento.

• Descrever o conceito e a limitação de finalidade.
• Descrever proporcionalidade e subsidiariedade.
Motivos Legítimos para o Processamento
De acordo com o Artigo 6 do GDPR, o processamento só será lícito se, e na medida em que ao menos
um dos seguintes motivos legítimos de processamento se aplicar:
• O titular dos dados consentiu com o processamento dos seus dados pessoais para um ou
mais fins específicos;
• O processamento é necessário para a execução de um contrato do qual o titular dos dados
é parte ou para tomar medidas a pedido do titular dos dados antes de celebrar um contrato.
No entanto, o processamento em relações pré-contratuais é legítimo, desde que seja para
dar passos a pedido do titular dos dados antes de entrar num contrato;
• O processamento é necessário para o cumprimento de uma obrigação legal à qual o
controlador está sujeito;
• O processamento é necessário para proteger um interesse vital da pessoa em causa ou de
outra pessoa natural;
• O processamento é necessário para o desempenho de uma tarefa realizada no interesse
público ou no exercício da autoridade oficial conferida ao controlador;
• O processamento é necessário para os interesses legítimos perseguidos pelo controlador
ou por um terceiro, exceto quando esses interesses são sobrepostos pelos interesses ou
direitos e liberdades fundamentais do titular dos dados que exigem a proteção dos dados
pessoais, em especial quando o sujeito dos dados é uma criança.
Todo processamento de dados pessoais deve ser classificado dentro de um desses motivos legítimos,
para que haja um baseamento legal para este processamento.
É importante saber que, sempre que não houver como classificar o processamento dos dados
pessoais em algum dos demais motivos, o consentimento do titular para este processamento passa
a ser obrigatório. Este consentimento deve ser explícito,
claro e legítimo, isto é, o titular precisa declarar que
permite o processamento específico pelo motivo
específico.
Lembrando que existem outros motivos legítimos para o

processamento, portanto, é necessária muita cautela no
momento de classificar o processamento de dados
pessoais, para que não se fixe somente no consentimento.
Limitação de Finalidade e Especificação de Finalidade
Especificação de finalidade como um termo não está definido explicitamente no GDPR. No entanto,
em abril de 2013, o Grupo de Trabalho do Artigo 29 (WP29), composto por representantes das
autoridades europeias de supervisão, da Autoridade Europeia para a Proteção de Dados e da
Comissão Europeia, publicou um parecer sobre o princípio da limitação de objetivos no
processamento de dados pessoais. Os pareceres do WP29 fornecem orientações oficiais sobre as
regras da UE de proteção de dados.
A partir de 25 de maio de 2018, o Grupo de Trabalho do Artigo 29 foi sucedido pelo Conselho Europeu
de Proteção de Dados (EDPB), conforme definido no artigo 68 do GDPR. Em sua primeira reunião, o
EDPB endossou as diretrizes e outros documentos sobre o GDPR publicados pelo WP29 para verificar
a continuidade. Muitas das diretrizes e opiniões publicadas no WP29 antes de maio de 2018 são
incorporadas ou referenciadas no GDPR.
Fonte: White paper EXIN Privacy & Data Protection Foundation and Essentials
Os dados pessoais devem ser coletados para finalidades especificadas. O controlador deve,
portanto, considerar cuidadosamente para que finalidade ou fins os dados pessoais serão utilizados
e não deve coletar dados pessoais que não sejam necessários, adequados ou relevantes para a
finalidade ou finalidades que devem ser atendidas.
Fonte: Parecer do WP29 sobre limitação de finalidade, § III.1.1. (acessado em 29 de março de 2017)
Segundo o GDPR (Artigo 5), os dados pessoais devem ser “Recolhidos para finalidades determinadas,
explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com
essas finalidades”.
É importante ressaltar que a finalidade deve ser apresentada ao titular de dados antes de ocorrer o
processamento e, consequentemente, antes do consentimento.
Portanto, a finalidade deve ser:
→ Determinada
→ Explícita
→ Legítima
Determinada
A fim de determinar se o processamento de dados está em conformidade com a lei e estabelecer
quais as salvaguardas de proteção de dados que devem ser aplicadas, é uma pré-condição necessária
para identificar a (s) finalidade (s) específica (s) para as quais é exigida a coleta
de dados pessoais. A especificação de finalidade, portanto, estabelece limites para as finalidades

para as quais os controladores podem usar os dados pessoais coletados e ajuda a estabelecer as
salvaguardas de proteção de dados necessárias. A especificação do objetivo requer uma avaliação
interna realizada pelo controlador de dados e é uma condição necessária para a prestação de contas.
É um primeiro passo fundamental que um controlador deve seguir para garantir a conformidade com
a lei de proteção de dados aplicável. O controlador deve identificar quais são as finalidades e
documentar e demonstrar que realizou essa avaliação interna.
Fonte: Parecer do WP29 sobre limitação de finalidade (acessado em 24 de julho de 2019)

A finalidade deve ser definida e declarada antes de qualquer atividade de processamento de dados
pessoais e deve ser clara e detalhada.
Um objetivo vago ou geral, como "melhorar a experiência dos usuários", "fins de marketing" ou
"pesquisas futuras", sem mais detalhes, geralmente não atende aos critérios de ser "específico".
Uma mensagem para o titular dos dados de que "as informações de navegação são processadas para
apresentar anúncios relacionados aos seus interesses" relacionaria exatamente qual é o objetivo e
como é alcançado.
Explícita
Os dados pessoais devem ser coletados para fins explícitos. Os objetivos da coleta não devem ser
especificados apenas na mente das pessoas responsáveis pela coleta de dados. Eles também devem
ser explicitados. Em outras palavras, elas devem ser claramente reveladas, explicadas ou expressas
de alguma forma inteligível. Segue-se da análise anterior que isso deve acontecer o mais tardar,
quando ocorra a coleta de dados pessoais.
O objetivo final deste requisito é garantir que os objetivos sejam especificados sem imprecisão ou
ambiguidade quanto ao seu significado ou intenção. O que se entende deve ser claro e não deve
deixar dúvida ou dificuldade de compreensão. A especificação dos fins deve, em particular, ser
expressa de forma a ser entendida da mesma forma não apenas pelo controlador (incluindo todo o
pessoal relevante) e por quaisquer terceiros processadores, mas também pelas autoridades de
proteção de dados e os titulares de dados em causa. Deve-se tomar cuidado especial para assegurar
que qualquer especificação do objetivo seja suficientemente clara para todos os envolvidos,
independentemente de suas diferentes origens culturais / linguísticas, nível de compreensão ou
necessidades especiais.
Fonte: Parecer do WP29 sobre limitação de finalidade, § III.1.1. (acessado em 30 de março de 2017)
A especificação da finalidade explícita torna transparente como os controladores pretendem usar os

dados pessoais coletados.
Assim, todos que processam dados em nome do controlador, bem como os titulares de dados,
Autoridades Supervisoras e outras partes interessadas terão um entendimento comum de como os
dados podem ser usados, reduzindo o risco de que as expectativas dos titulares de dados sejam
diferentes das expectativas do controlador.
Legítima
A exigência de legitimidade significa que as finalidades para o processamento de dados devem estar
de acordo com a lei no sentido mais amplo (Artigo GDPR 6(3)). Isso inclui todas as formas de direito
comum e escrito, legislação primária e secundária, decretos municipais, precedentes judiciais,
princípios constitucionais, direitos fundamentais, outros princípios jurídicos, bem como
jurisprudência, como tal lei seria interpretada e consideradas pelos tribunais competentes.
Além de qualquer outra lei, o Artigo 6 (1) do GDPR se aplica sempre ao processamento de dados
pessoais. Para que o processamento seja legal, ele deve sempre ser baseado em pelo menos um dos
seis motivos legítimos de processamento (ver 7.3.3).
Proporcionalidade e Subsidiariedade
3. Nos termos do princípio da subsidiariedade, nos domínios que não são da sua competência
exclusiva, a União só deve atuar se e na medida em que os objetivos da ação proposta não possam
ser suficientemente realizados pelos Estados-Membros, quer a nível central, quer a nível regional e
local, mas, pelo contrário, podem, devido à escala ou aos efeitos da ação proposta, ser melhor
alcançados ao nível da União. (…) 4. Ao abrigo do princípio da proporcionalidade, o conteúdo e a
forma da ação da União não devem exceder o necessário para alcançar os objetivos dos Tratados.
Fonte: Tratado sobre o Funcionamento da União Europeia art. 5
Subsidiariedade
De acordo com a regra da subsidiariedade, os dados pessoais só poderão ser processados se não
houver outros meios para atingir esses objetivos.
Se observarmos os motivos legítimos para processamento, ou bases legais, podemos verificar que
são motivos estritamente necessários. Não é possível verificar um processamento de dados pessoais
necessário que não se encaixe nas bases legítimas para tal. Para que haja compliance com o
regulamento, este princípio deverá ser sempre observado.
Por exemplo, suponha que se queira descobrir quantas pessoas andam numa rua comercial em uma
tarde. Para esse fim, não é necessário identificar os indivíduos. Seria possível contar indivíduos com
um smartphone usando o sinal de seu smartphone (um endereço MAC, por exemplo). No entanto,
como um endereço MAC pode ser rastreado até a pessoa que possui o smartphone, esse sinal é
considerado dado pessoal. Definitivamente, existem outras maneiras de contar o número de pessoas
que passam pela rua sem usar dados pessoais. Pode-se, por exemplo, postar observadores e
simplesmente contar indivíduos. O princípio de subsidiariedade no GDPR significaria que o uso do
endereço MAC é um uso ilegal de dados pessoais, porque seu interesse em contar o número de
visitantes é anulado pelo direito fundamental à privacidade dos visitantes. Você terá que usar um
método que mantenha os visitantes anônimos e não colete dados pessoais diretos ou indiretos.
Fonte: White paper EXIN Privacy & Data Protection Foundation and Essentials
Proporcionalidade
Este princípio complementa o da Subsidiariedade, pois exige que qualquer ação da UE não ultrapasse
o necessário para alcançar os objetivos dos Tratados. Quando aplicado ao processamento de dados
pessoais, isso significa que não devem ser coletados mais dados do que o estritamente necessário
para a finalidade: 'os dados pessoais devem ser adequados, relevantes e limitados ao necessário em
relação às finalidades para os quais são processados'.
Um exemplo deste princípio na prática é quando é efetuada uma avaliação de impacto do

tratamento de dados pessoais e são identificados dados pessoais que não são necessários para
alcançar o objetivo. Aplicando o princípio da proporcionalidade, esta coleta deve ser excluída do
projeto.
1.4 Requisitos adicionais para processamento legítimo de
dados pessoais
Peso no Exame: 5%
• Descrever os requisitos para processamento legítimo de dados

• Descrever a finalidade do processamento de dados
• Explicar os princípios relacionados ao processamento de dados pessoais
Requisitos para o processamento legítimo de dados

Para que o processamento de dados pessoais seja considerado legítimo, ou seja, dentro da Lei,
devem ser respeitados alguns requisitos que são detalhados no GDPR.
Proteção de dados desde a conceção e por default
Um dos princípios básicos definidos pelo GDPR descreve que o responsável pelo processamento, ou
seja, o Controlador, é responsável por implementar medidas técnicas e organizacionais apropriadas,
a fim de garantir a proteção e privacidade dos dados pessoais. Este requerimento, faz do princípio
de privacidade e proteção de dados desde a concepção (by design) um requisito legal, e não apenas
uma maneira eficaz de cumprir as obrigações relacionadas à segurança dos dados.
Também é requerido que o controlador implemente medidas técnicas e organizacionais apropriadas
para garantir que, por padrão (by default), apenas sejam processados dados pessoais necessários
para cada finalidade específica do processamento. Isso se aplica à quantidade de dados pessoais
coletados, à extensão de seu processamento, ao período de armazenamento e à acessibilidade.
Estrutura Legal
Qualquer pessoa (física ou jurídica) que em algum momento efetue o processamento de dados
pessoais, deverá cumprir os requisitos de regulamento.
O Controlador é responsável por implementar a implementar medidas técnicas e organizacionais

apropriadas para assegurar que o processamento seja realizado de acordo com o GDPR. Além disso,
o Controlador deve garantir que o processador dos dados pessoais tenha essas medidas técnicas e
organizacionais implementadas.
O Processador, por sua vez, somente poderá terceirizar parte do processamento para sub-
processadores com autorização prévia do Controlador.
O controlador e o processador devem documentar como eles estão em conformidade com o
regulamento. Alguns dos documentos que demonstram conformidade são obrigatórios e no formato
prescrito. Os outros documentos são necessários quando algo der errado ou quando houver uma
razão adicional para que a Autoridade Supervisora inspecione a conformidade com o regulamento.
Registro de atividades de processamento
Segundo o GDPR, é obrigatório que tanto o Controlador quanto o Processador mantenham “Registro
das atividades de processamento”.
A obrigação de manter registos de todas as atividades de processamento não se aplica a

organizações ou empresas que empreguem menos de 250 pessoas, a menos que o seu
processamento possa resultar num risco para os direitos e liberdades dos titulares de dados, o
processamento não seja ocasional ou o processamento inclui categorias especiais de dados (…) ou
dados pessoais relativos a condenações e infrações penais (…).
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 30(5).
Os registros de controladores e processadores não são necessariamente os mesmos. O controlador

pode usar vários processadores. Um processador pode estar sob contrato com vários controladores.
Representantes dos responsáveis pelo tratamento ou dos subcontratantes
não estabelecidos na União
Quando é realizado tratamento de dados pessoais de titulares de dados que se encontram no

território da UE por um responsável de dados ou subcontratantes não estabelecidos na UE e as
atividades de tratamento são relacionadas com:
→ oferta de bens ou serviços a esses titulares de dados na União; ou

→ o controle do seu comportamento, desde que esse comportamento tenha lugar na União.
Neste caso, o responsável pelo tratamento ou subcontratante precisará designar por escrito um
representante seu na União, com exceção:
→ Às operações de tratamento que sejam ocasionais, não abranjam o tratamento, em grande

escala, de categorias especiais de dados, ou o tratamento de dados pessoais relativos a
condenações penais e infrações, e não seja suscetível de implicar riscos para os direitos e
liberdades das pessoas singulares, tendo em conta a natureza, o contexto, o âmbito e as
finalidades do tratamento; ou
→ Às autoridades ou organismos públicos.
Este representante deve ser estabelecido em um dos estados-membros onde se encontram os

titulares de dados pessoais foco da atividade de processamento.
Caso haja necessidade de contato com o controlador ou processador responsáveis pelo tratamento
de dados, o representante poderá ser o ponto de contato tanto para autoridades de controle quanto
para titulares de dados pessoais, relativamente a todas as questões relacionadas com o tratamento.
A designação de um representante pelo responsável pelo tratamento ou pelo subcontratante não

prejudica as ações judiciais que possam vir a ser intentadas contra o próprio responsável pelo
tratamento ou o próprio processador.
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 27.

Princípios relativos ao tratamento e dados pessoais
O processamento de dados pessoais precisa sempre estar em conformidade com 6 os princípios

relativos ao processamento de dados pessoais do GDPR. Esses princípios definem que os dados
pessoais são:
a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados

(«licitude, lealdade e transparência»);
b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser
tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento
posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou
histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais,
em conformidade com o artigo 89.o, n.o 1 («limitação das finalidades»);
c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para
as quais são tratados («minimização dos dados»);
d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas
adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados,
sejam apagados ou retificados sem demora («exatidão»);
e) Conservados de uma forma que permita a identificação dos titulares dos dados apenas
durante o período necessário para as finalidades para as quais são tratados; os dados
pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados
exclusivamente para fins de arquivo de interesse público, ou para fins de investigação
científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.o, n.o 1,
sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente
regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados («limitação
da conservação»);
f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu
tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação
acidental, adotando as medidas técnicas ou organizativas adequadas («integridade e
confidencialidade»);
O controlador de dados é responsável pelo cumprimento destes requisitos e deve comprovar este
cumprimento sempre que solicitado («responsabilidade»).

1.5 Direitos dos titulares
Peso no Exame: 5%
Introdução
Os direitos dos titulares são parte fundamental do Regulamento Geral sobre a Proteção de Dados,
mais conhecido pela sigla em inglês GDPR, e da proteção de dados como um todo, como foi visto na
parte histórica das regulações sobre esse tema. Os titulares de dados são o centro da proteção de
dados e o GDPR informa que “a proteção das pessoas singulares relativamente ao tratamento de
dados pessoais é um direito fundamental”.
Ainda segundo o texto do GDPR, o tratamento dos dados pessoais deve “ser concebido para servir
as pessoas”. Isso significa que todo tratamento de dados pessoais deve seguir uma base legal, servir
a uma finalidade específica, usar apenas os dados necessários para atingir essa finalidade e sempre
atender aos direitos dos titulares, que iremos ver a seguir quais são.
Embora a prova do PDPF só trate do GDPR, cabe mencionar que, na LGPD, também foi utilizada essa
abordagem, de forma que os titulares e seus direitos também são ponto central na lei brasileira e,
inclusive, a garantia desses direitos deve ser uma prioridade na adequação por parte das empresas.
Direitos dos titulares previstos pelo GDPR
1. Direito à informação transparente, comunicação e modalidades
Uma ideia central do GDPR é o direito do titular de ser informado sobre os tratamentos de seus
dados pessoais. Isso significa que o controlador, que é o responsável pelo tratamento dos dados,
deve prestar as informações relativas a ele de forma concisa, transparente, inteligível e de fácil
acesso, utilizando uma linguagem clara e simples.
Ou seja: para que uma empresa esteja realmente em conformidade com o GDPR, não basta fornecer
essas informações de qualquer jeito: as políticas de privacidade e termos de uso, por exemplo,
devem ser mais simples e mais amigáveis, ao invés de ser escritas no formato “letras pequenas e
muitas páginas”.
Ele se aplica ao consentimento, caso seja ele a base legal utilizada no tratamento de dados em
questão – o titular deve realmente entender com o que está consentindo.
Além disso, o responsável deve facilitar o acesso dos titulares a seus direitos, mas, ao mesmo
tempo, deve estabelecer um mecanismo para que o titular comprove sua identidade. Sem essa
comprovação, uma pessoa poderia se passar por outra e obter facilmente acesso a dados de
terceiros, o que constituiria uma violação de dados e isso é exatamente o que os controladores
devem evitar.
Caso o controlador não consiga identificar o titular dos dados, ele pode se recusar a cumprir o pedido
feito por este.
Prazos: o responsável pelo tratamento de dados deverá fornecer as informações sem demora
injustificada, no prazo de até um mês, contado da data de recebimento do pedido.
Esse prazo pode ser prorrogado por até dois meses, dependendo da complexidade e do número de
pedidos – a prorrogação do prazo e a explicação sobre os motivos da demora devem ser informadas
ao titular dentro do primeiro mês.
Caso o controlador não possa dar seguimento ao pedido do titular, deve informá-lo e justificar a
impossibilidade no prazo de um mês, contado do recebimento do pedido.
As informações sobre o tratamento de dados devem ser fornecidas de forma gratuita. Se o pedido
for manifestamente infundado ou excessivo, o controlador poderá cobrar uma taxa do titular ou se
recusar a dar seguimento ao pedido – porém, deverá demonstrar seu caráter infundado ou
excessivo.
2. Direito de informação e acesso aos dados pessoais
Em geral, o controlador deve fornecer ao titular dos dados as seguintes informações:
• a identidade e os dados de contato do controlador e do seu representante, se for o caso;
• os detalhes de contato do DPO, quando aplicável;
• as finalidades do processamento para o qual os dados pessoais se destinam

• a base jurídica para o processamento;
• o período pelo qual os dados pessoais serão armazenados (período de retenção) ou, caso isso não
seja possível, o critério usado para determinar o período;
• a existência do direito de solicitar ao controlador:
o o acesso aos seus dados pessoais;
o a retificação ou apagamento de seus dados pessoais;
o a restrição de processamento;
o a contestação do processamento bem como o direito de portabilidade dos

dados;
• caso o processamento se baseie no consentimento, a existência do direito de retirar o

consentimento a qualquer momento, sem afetar a legalidade do processamento com base no
consentimento antes de sua retirada;
• o direito de apresentar uma reclamação a uma autoridade supervisora; e
• os interesses legítimos perseguidos pelo controlador ou por terceiros (se houver).
Quando os dados são coletados por meio de terceiros, o controlador precisa informar, além dos
pontos mencionados anteriormente, as categorias de dados que foram coletadas, os destinatários e
de qual fonte obteve esses dados. Isso não se aplica se o ato de prestar essa informação for
impossível ou envolver esforços desproporcionais ou se o titular já tiver essas informações.
Em relação aos dados coletados por meio de terceiros, quando o controlador deve prestar as
informações acima ao titular? O artigo 14 do GDPR prevê três possibilidades:
a) Num prazo razoável após a obtenção dos dados pessoais, mas o mais tardar no prazo de um
mês;
b) Se os dados pessoais se destinarem a ser utilizados para fins de comunicação com o titular
dos dados, o mais tardar no momento da primeira comunicação ao titular dos dados; ou
c) Se estiver prevista a divulgação dos dados pessoais a outro destinatário, o mais tardar
aquando da primeira divulgação desses dados.
Se o controlador pretender transferir os dados pessoais para outro país, deve informar ao titular os
destinatários ou categorias de destinatários dos dados pessoais. Caso a transferência seja para um
país fora da Área Econômica Europeia, o responsável pelo tratamento deverá informar o titular sobre
esse compartilhamento e sobre a existência de uma decisão de adequação por parte da Comissão
ou, se não houver, as garantias apropriadas em vigor (a transferência internacional de dados pessoais
será estudada com mais detalhes em tópico próprio sobre esse assunto).
3. Direito de acesso ou de inspeção
A qualquer momento, o titular pode pedir ao controlador a confirmação se seus dados estão sendo
tratados e, caso estejam, tem o direito de obter as seguintes informações:
a) As finalidades do tratamento dos dados;
b) As categorias dos dados pessoais em questão;
c) Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão

divulgados;
d) Se for possível, o prazo previsto de conservação dos dados pessoais, ou, se não for possível,
os critérios usados para fixar esse prazo;
e) A existência do direito de solicitar ao responsável pelo tratamento a retificação, o

apagamento ou a limitação do tratamento dos dados pessoais no que diz respeito ao titular
dos dados, ou do direito de se opor a esse tratamento;
f) O direito de apresentar reclamação a uma autoridade supervisora;
g) Se os dados não tiverem sido recolhidos junto do titular, as informações disponíveis sobre a
origem desses dados;
h) A existência de decisões automatizadas.
Além dessas informações, o controlador deverá entregar ao titular uma cópia dos dados que estão
sendo processados, de forma gratuita – para cópias adicionais, pode ser cobrado um valor referente
apenas aos custos administrativos.
Devemos ressaltar que esse direito de obter cópia de seus dados não pode prejudicar os direitos e
liberdades de terceiros.
4. Direito de retificação e apagamento (eliminação ou direito de ser

esquecido)
Retificação dos dados pessoais significa a sua correção. Assim, ao verificar que algum de seus dados
está incorreto, o titular tem o direito de solicitar ao controlador a retificação de tal(is) dado(s). A
correção deverá ocorrer sem demora injustificada.
Em alguns casos, o titular poderá obter o apagamento de seus dados pessoais (eliminação ou
“direito de ser esquecido”) e o controlador terá o dever de realizar a eliminação sem demora
justificada. Isso pode acontecer nos seguintes casos:
a) os dados não são mais necessários para as finalidades de processamento;
b) retirada do consentimento, se ele for a base legal e não existir outro fundamento para o
tratamento do dado;
c) os dados foram coletados para uma oferta de serviços de informação diretamente a uma
criança menor de 16 anos;
d) objeções ao processamento;
e) processamento ilegal;
f) conformidade com a legislação da União ou do Estado-Membro aplicável ao controlador.
O titular pode ter, ainda, direito à limitação do tratamento de seus dados pessoais nas seguintes
hipóteses:
a) A precisão dos dados é contestada pelo titular dos dados;

o O processamento dos dados pessoais é restrito pelo tempo necessário para verificar
a reivindicação e retificar os dados
b) O processamento é ilegal e o titular dos dados se opõe ao apagamento dos dados pessoais;
c) O responsável pelo tratamento não precisa mais dos dados pessoais para fins de
processamento, mas eles são exigidos pelo titular dos dados para o estabelecimento,
exercício ou defesa de reivindicações legais;
d) O titular dos dados se opuser ao tratamento nos termos do artigo 21 (1) (direito de objeção)
enquanto se aguarda a verificação se os motivos legítimos do responsável pelo tratamento
substituem os do titular dos dados.
A limitação do tratamento significa que os dados pessoais só podem, à exceção da conservação, ser
objeto de tratamento com o consentimento do titular, ou para efeitos de declaração, exercício ou
defesa de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou
coletiva, ou por motivos de interesse público relevante da União ou de um Estado-Membro.
Caso essa limitação seja anulada, o controlador deve informar o titular dos dados antes de retomar
seu tratamento.
Obrigação de notificação a terceiros: caso ocorra a retificação ou apagamento de dados ou limitação

de tratamento, o controlador deve informar essa situação aos destinatários com quem os dados
foram compartilhados, a não ser que isso seja impossível ou envolva esforços desproporcionais.
Ainda, se o titular solicitar, o controlador deverá informá-lo sobre quem são esses terceiros.
Direito à portabilidade dos dados: o titular pode solicitar ao controlador seus dados em formato
estruturado e legível, bem como tem o direito de transferir esses dados a outro controlador. Esses
dados devem ser transmitidos diretamente pelo controlador, se for possível. O direito à
portabilidade pode ser exercido se:
a) O tratamento dos dados for baseado em consentimento ou execução de contrato; e

b) O tratamento for realizado por meios automatizados.
Esse direito facilita a troca de fornecedores, por exemplo, já que o titular não precisará enviar todos
os seus dados novamente ao novo controlador.
5. Direito de se opor e direito de questionar a decisão automatizada
Direito de objeção/oposição: quando o tratamento de dados é realizado com base no interesse

público ou no legítimo interesse do controlador, o titular pode se opor à utilização de seus dados.
Nesse caso, o controlador deve:
a) Demonstrar que possui razões legítimas para continuar o processamento ou que o

processamento é necessário em conexão com seus direitos legais; ou
b) Suspender o tratamento de tais dados.
O titular também terá direito de se opor quando:
a) Os dados pessoais forem tratados para efeitos de comercialização direta, situação em que o
tratamento para essa finalidade deverá cessar;
b) Os dados foram tratados para fins de investigação científica ou histórica ou para fins
estatísticos, nos termos do artigo 89.o, n.o 1, salvo se o tratamento for necessário para a
prossecução de atribuições de interesse público.
Direito de questionar a decisão automatizada: esse direito se refere a dois pontos.
a) O titular pode se opor ao tratamento de dados para fins de marketing direto, incluindo a
criação de perfis de consumo;
b) O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada
exclusivamente com base no tratamento automatizado, incluindo a definição de perfis.
No caso da decisão automatizada prevista no item “b”, esse direito não se aplica se:
• For necessária para a celebração ou a execução de um contrato entre o titular dos dados e
um responsável pelo tratamento;
• For autorizada pelo direito da União ou do Estado-Membro a que o responsável pelo

tratamento estiver sujeito, e na qual estejam igualmente previstas medidas adequadas para
salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados; ou
• For baseada no consentimento explícito do titular dos dados.
6. Direito de apresentar queixa à Autoridade Supervisora ou propor ação

judicial
Se o titular tiver alguma reclamação em relação ao tratamento de seus dados pessoais, tem o direito
de apresentar queixa perante a Autoridade Supervisora do Estado-Membro onde reside ou do
Estado-Membro em que a alegada violação ocorreu. A Autoridade deverá informar o titular sobre o
andamento e o resultado de sua reclamação.
Os titulares também poderão ajuizar ação judicial contra a decisão proferida pela Autoridade
Supervisora ou em face do controlador por descumprimento do GDPR no tratamento de seus dados.
7. Limitações
O direito da União ou dos Estados-Membros a que esteja sujeito o controlador pode limitar por
medida legislativa o alcance das obrigações e dos direitos, desde que tal limitação respeite a essência
dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa
sociedade democrática para assegurar, designadamente:
a) A segurança do Estado;
b) A defesa;
c) A segurança pública;
d) A prevenção, investigação, detecção ou repressão de infrações penais, ou a execução de
sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública;
e) Outros objetivos importantes do interesse público geral da União ou de um Estado-Membro,

nomeadamente um interesse económico ou financeiro importante da União ou de um
Estado-Membro, incluindo nos domínios monetário, orçamental ou fiscal, da saúde pública
e da segurança social;
f) A defesa da independência judiciária e dos processos judiciais;
g) A prevenção, investigação, detecção e repressão de violações da deontologia de profissões

regulamentadas;
h) Uma missão de controlo, de inspeção ou de regulamentação associada, ainda que

ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a) a e) e
g);
i) A defesa do titular dos dados ou dos direitos e liberdades de outrem;
j) A execução de ações cíveis.

Resumo
Questões Simuladas
1. Que direito do titular dos dados é definido explicitamente pelo GDPR?
a) Uma cópia dos dados pessoais deve ser fornecida no formato solicitado pelo titular dos dados.
b) O acesso aos dados pessoais deve ser fornecido sem custo para o titular dos dados.
c) Os dados pessoais sempre devem ser alterados mediante solicitação do titular dos dados.
d) Os dados pessoais devem ser apagados sempre que isso for solicitado pelo titular dos dados.
2. Um indivíduo está se mudando da cidade A para a cidade B, em um estado membro da Área

Econômica Europeia (AEE). Na cidade A, ele era um paciente do hospital local A. Na cidade B, passa
a ser um paciente do hospital B. O paciente optou pela não inclusão no sistema nacional de
prontuários eletrônicos de pacientes. O paciente solicita que o hospital A encaminhe seu
prontuário médico diretamente ao hospital B. De acordo com o GDPR, o que é permitido?
a) O hospital em A pode enviar os dados diretamente ao hospital B, como solicitado pelo paciente.
b) O hospital em A pode enviar o prontuário ao hospital B, antes que seja solicitado pelo paciente.
c) O hospital em A pode enviar o prontuário médico ao titular dos dados, mas não a outro hospital.
d) O hospital em A não pode enviar o prontuário porque não há uma base legítima para o
processamento.
3. Uma empresa deseja utilizar os dados pessoais de seus clientes. Ela pretende começar a enviar
um informativo personalizado a todas as clientes do sexo feminino. Que direito todos os titulares
dos dados terão nesta situação?
a) O direito à compensação
b) O direito de se opor à definição de perfis
c) O direito à retificação
Gabarito
QUESTÃO 1
a) Incorreto. Os dados devem ser fornecidos em um formato estruturado, rotineiramente usado e

que permita a leitura em um computador, mas não necessariamente em qualquer formato
especificado pelo titular dos dados.
b) Correto. Os titulares dos dados têm direito a uma cópia de seus dados, sem custos. Contudo,
apenas a primeira cópia precisa ser gratuita.
c) Incorreto. Apenas os dados incorretos precisam ser retificados.
d) Incorreto. O direito ao apagamento apresenta várias exceções, por exemplo, quando os dados
forem necessários para o estabelecimento, exercício ou defensa de reclamações legais.
QUESTÃO 2
a) Correto. O direito à portabilidade permite isso.
b) Incorreto. O hospital em B só pode adquirir o prontuário de A com o consentimento ou se for de

interesse vital para o titular dos dados e o consentimento não puder ser obtido.
c) Incorreto. O titular dos dados pode pedir que os dados sejam enviados diretamente.
d) Incorreto. Uma solicitação do titular dos dados, que implica consentimento, constitui uma base
legítima suficiente.
QUESTÃO 3
a) Incorreto. É improvável que todos os titulares dos dados sofram um prejuízo que deva ser
compensado nessa situação.
b) Correto. Todos os titulares dos dados têm direito de se opor ao processamento de dados pessoais
para marketing direto, incluindo a definição de perfis. Isto claramente constitui uma definição de
perfis.
c) Incorreto. É improvável que a empresa tenha dados incorretos sobre todos os titulares de dados.
Portanto, o direito à retificação não é aplicável.
1.6 Violação de dados pessoais e procedimentos
relacionados
Peso no Exame: 10%
• Descrever o conceito de violação de dados pessoais.

• Descrever a diferença entre violação de segurança (incidente) e violação de dados pessoais.
• Dar exemplos relacionados à violação de dados pessoais.
• Dar exemplos de categorias de violação de dados pessoais.
• Explicar os procedimentos a adotar quando ocorre uma violação de dados pessoais.
• Mencionar partes importantes que deveriam ser informadas.
Conceito de violação de dados pessoais
Violação de dados pessoais, por definição, é quando ocorre um incidente de segurança que resulta
em:
• acesso indevido à dados pessoais, ou seja, dados pessoais são acessados por pessoas que
não deveriam ter acesso
• quando é executada alguma ação acidental ou ilegal com relação aos dados pessoais
• quando dados pessoais são tratados com outra finalidade, que não a informada ao titular
dos dados ou permitida por lei
Para que seja configurada uma Violação de Dados Pessoais, os dados envolvidos, necessariamente,
precisam ser dados pessoais, ou seja: nome, endereço, RG, CPF, dados de saúde, biométricos, entre
outros.
Quando há vazamento de dados e informações corporativas, não é considerada uma violação de
dados, somente um incidente de segurança da informação.
Violação de dados pessoais é uma violação da segurança que conduz à destruição acidental ou ilegal,
perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados
ou tratados de outro modo;
Sempre que se fala em violação de dados pessoais, são citados hackers mal-intencionados ou
vazamento criminoso ou até acidental de dados. Porém, é importante ressaltar que o conceito de
violação de dados pessoais vai muito além de vazamento de informações e que a definição do GDPR
de violação de dados pessoais é muito mais ampla.
Em alinhamento com o conceito de Processamento de Dados Pessoais, precisamos lembrar que

processamento de dados pessoais envolve uma quantidade grande de ações, entre elas, exclusão e
apagamento.
Portanto, um desastre natural, por exemplo, pode destruir os dados pessoais armazenados em um
Data Center. Esta situação seria classificada como um incidente de segurança, porque os dados não
estão mais disponíveis e, também, uma violação de dados pessoais, porque os dados pessoais foram
processados, neste caso destruídos, sem autorização. De maneira semelhante, quando um
processador exclui acidentalmente um conjunto de dados pessoais, ele viola o artigo 29 do GDPR, o
que torna o processamento ilegal:
O processador e qualquer pessoa que atue sob a autoridade do controlador ou do processador, que
tenha acesso a dados pessoais, não devem processar esses dados, salvo instruções do controlador, a
menos que tal seja exigido pela legislação da União ou do Estado-Membro.
Na literatura, o termo "violação de dados" é frequentemente usado onde se entende por "violação
de dados pessoais". A diferença é que uma 'violação de dados' também pode, dependendo do
contexto, se referir a uma violação em que dados comerciais ou de outra empresa estão
comprometidos. Uma violação de dados pessoais é sempre uma violação de dados. Uma violação de
dados é apenas uma violação de dados pessoais quando dados pessoais estão envolvidos.
Incidentes de Segurança da informação x violação de dados pessoais
Um incidente de segurança é quando ocorre um evento que tem impacto negativo em

Confidencialidade, Integridade e/ou Disponibilidade, isto quer dizer que as informações não são mais
confiáveis e/ou não estão mais disponíveis.
Quando são enviadas informações para o destinatário errado ou quando há uma invasão de um
hacker mal-intencionado, por exemplo, podemos dizer que são incidentes de segurança da
informação.
IMPORTANTE: Violação de Dados Pessoais sempre é um incidente de Segurança da Informação,
porém, Incidentes de Segurança nem sempre serão configurados como violação de dados pessoais.
Quando uma vulnerabilidade é explorada por um atacante, pode resultar em uma violação de
segurança e, quando envolver dados pessoais, pode gerar uma violação de dados pessoais.
As vulnerabilidades podem ser relacionadas à vários contextos na empresa e gerar diversos tipos
de riscos.
Abaixo, uma visão gráfica de possíveis riscos de segurança da informação:
Categorias de violação de dados pessoais
Após análise do incidente de segurança, se houver a identificação de violação de dados pessoais, é

necessário que seja feita uma análise da extensão e impacto da violação. Ou seja, precisamos saber
quantos titulares de dados foram afetados e calcular a extensão do possível risco aos titulares.
Após isso, é feita a categorização da violação. Existem três categorias de violação de dados pessoais:
• Improvável de gerar risco para os direitos e liberdades das pessoas singulares;

• Pode resultar em danos físicos, materiais ou não- materiais às pessoas;
• Provavelmente resultará em um alto risco para os direitos e liberdades dos indivíduos.
Dependendo da classificação determinada à violação de dados pessoais, haverá ou não a

necessidade de notificação à autoridade reguladora e, em alguns casos, até ao titular dos dados,
conforme diagrama abaixo:
Como agir quando ocorre violação de dados pessoais
Conforme descrito no GDPR, tanto Controladores, quanto Processadores precisam implementar

medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao
risco.
Isso significa que é de extrema importância que as empresas estejam em compliance com as normas
de segurança internacionalmente aceitas, como a ISO/IEC 27001. Essas normas têm procedimentos
para lidar com um incidente com o objetivo de reparar o dano e impedir a recorrência do incidente.
Uma violação de dados pessoais pode, se não tratada de maneira apropriada e oportuna, resultar
em danos físicos, materiais ou imateriais a pessoas físicas, tais como perda de controle sobre seus
dados pessoais ou limitação de seus direitos, discriminação, roubo de identidade ou fraude. Perda
financeira, reversão não autorizada de pseudonimização, dano à reputação, perda de
confidencialidade de dados pessoais protegidos pelo sigilo profissional ou por qualquer outra
desvantagem econômica ou social significativa para a pessoa natural em causa.
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Considerando 85.

Notificação de uma violação de dados pessoais à Autoridade Supervisora
Como descrito no capítulo anterior, quando ocorrer uma violação de dados pessoais que pode gerar
riscos aos titulares de dados, os controladores de dados devem notificar a Autoridade Supervisora.
Esta notificação deve ser "sem demora indevida e, quando possível, o mais tardar 72 horas após ter
tomado conhecimento do mesmo". Quando a violação de dados pessoais é relatada depois de 72
horas após a observação da violação de dados pessoais, um bom motivo para o atraso deve ser
enviado com a notificação.
Conforme o GDPR, a notificação referida deve, pelo menos:
a) Descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias

e o número aproximado de titulares de dados afetados, bem como as categorias e o número
aproximado de registos de dados pessoais em causa;
b) Comunicar o nome e os contatos do encarregado da proteção de dados ou de outro ponto

de contacto onde possam ser obtidas mais informações;
c) Descrever as consequências prováveis da violação de dados pessoais;

d) Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para
reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os
seus eventuais efeitos negativos.
Caso, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, estas
podem ser fornecidas por fases, sempre sem demora injustificada.
Notificação de uma violação de dados pessoais ao Controlador
Sempre que a Violação de Dados Pessoais ocorrer no ambiente do Processador, este deve notificar
ao Controlador sem demora injustificada, conforme descrito na lei: “sem atrasos indevidos após
tomar conhecimento de uma violação de dados pessoais”.
O processador não tem outra obrigação de notificação ou relatório sob o GDPR. Todas as outras
notificações e relatórios devem ser feitos pelo controlador.
Notificação de uma violação de dados pessoais ao Titular de dados afetado
Quando, após o processo de avaliação e classificação da violação de dados pessoais, o Controlador

verifica que é muito provável que a violação pode resultar em elevado risco os direitos e liberdades
dos indivíduos, deve haver uma comunicação, sem demora indevida, aos titulares de dados. A
notificação deverá descrever a natureza da violação de dados pessoais e dirigir recomendações ao
titular com objetivo de minimizar potenciais impactos negativos da violação de dados pessoais em
questão.
A notificação ao titular dos dados não é obrigatória nas seguintes circunstâncias:

2.1 Importância da proteção de dados para a organização
Peso no Exame: 13%
• listar os diferentes tipos de administração (artigos 28 e 30 do GDPR).

• indicar quais atividades são necessárias para estar em conformidade com o GDPR.
• definir a proteção de dados desde a concepção (by design) e por padrão (by default).
• dar exemplos de violação de dados pessoais.
• descrever a obrigação de notificação de violação de dados pessoais conforme estabelecido
no GDPR.
• descrever a execução das regras mediante a emissão de sanções, incluindo multas
administrativas.
Requisitos para cumprir com o GDPR
Para uma organização que processa dados pessoais, a proteção de dados não é apenas "um requisito
da lei" ou "importante para evitar multas". A reputação da organização está em risco. O
processamento de dados pessoais de maneira profissional significa garantia de qualidade,
gerenciamento de segurança e governança.
De acordo com o GDPR, o processamento de dados pessoais somente é permitido, quando são
cumpridos os requisitos da Lei.
Princípios relativos ao processamento de dados pessoais são cumpridos quando:

Estrutura Legal
Qualquer pessoa (física ou jurídica) que em algum momento efetue o processamento de dados
pessoais, deverá cumprir os requisitos de regulamento.
O Controlador é responsável por implementar a implementar medidas técnicas e organizacionais

apropriadas para assegurar que o processamento seja realizado de acordo com o GDPR. Além disso,
o Controlador deve garantir que o processador dos dados pessoais tenha essas medidas técnicas e
organizacionais implementadas.
O Processador, por sua vez, somente poderá terceirizar parte do processamento para sub-
processadores com autorização prévia do Controlador.
O controlador e o processador devem documentar como eles estão em conformidade com o
regulamento. Alguns dos documentos que demonstram conformidade são obrigatórios e no formato
prescrito. Os outros documentos são necessários quando algo der errado ou quando houver uma
razão adicional para que a Autoridade Supervisora inspecione a conformidade com o regulamento.
Contrato do Processador
É obrigatória a existência de um contrato legalmente vinculante entre o processador e o controlador

e que defina:
→ o objeto do processamento
→ a duração do processamento
→ a natureza e o objetivo do processamento, como definido pelo controlador
→ o tipo de dados pessoais envolvidos
→ as categorias dos titulares dos dados
→ as obrigações e direitos do controlador
Avaliação de Impacto (DPIA)
Quando um tipo de processamento, em especial utilizando novas tecnologias, e tendo em conta a

natureza, âmbito, contexto e finalidades do processamento, possa resultar num risco elevado para
os direitos e liberdades das pessoas singulares, o controlador processamento, proceder a uma
avaliação do impacto das operações de processamento previstas na proteção de dados pessoais.
Em vez de DPIA, muitas vezes o termo PIA (avaliação do impacto na privacidade) é usado. No
contexto do GDPR, os dois termos descrevem a mesma avaliação.
Trata-se de uma avaliação de Impacto que detalha o processamento e os riscos atrelados ao mesmo,
trazendo medidas para diminuir e mitigar os impactos relacionados aos riscos.
Consulta prévia
O controlador deve consultar a Autoridade Supervisora antes do processamento quando a avaliação

de impacto sobre a proteção de dados prevista no Artigo 35 indicar que o processamento resultaria
num risco elevado, na ausência de medidas adotadas pelo controlador para atenuar o risco.
A consulta prévia com a Autoridade Supervisora só é necessária se uma DPIA indicar um alto risco
para a privacidade ou direitos e liberdades de pessoas físicas.
Tipos requeridos de administração
Registro de atividades de processamento
COTROLADOR
Segundo o GDPR, é obrigatório que o Controlador crie e mantenha atualizado um “Registro das
atividades de processamento” sob sua responsabilidade.
Cada controlador e, quando aplicável, o representante do controlador deve manter um registro das
atividades de processamento sob sua responsabilidade.
O registro do Controlador deve conter:

(a) O nome e detalhes de contato do (s) controlador (es) ou seus representantes e DPO
(b) as finalidades do processamento
(c) uma descrição das categorias de titulares de dados e categorias de dados pessoais
(d) as categorias de destinatários a quem tenham sido ou venham a ser divulgados os dados
pessoais, incluindo destinatários em países terceiros ou organização internacional s
(e) quando aplicável, as transferências de dados pessoais para um país terceiro ou uma
organização internacional, incluindo a identificação desse país ou organização internacional
(…)
(f) sempre que possível, os prazos previstos para o apagamento das diferentes categorias de
dados (g) sempre que possível, uma descrição geral das medidas técnicas e organizativas de
segurança
Há uma exceção à obrigação para pequenas empresas e organizações:

A obrigação de manter registos de todas as atividades de processamento não se aplica a
organizações ou empresas que empreguem menos de 250 pessoas, a menos que o seu
processamento possa resultar num risco para os direitos e liberdades dos titulares de dados, o
processamento não seja ocasional ou o processamento inclui categorias especiais de dados (…) ou
dados pessoais relativos a condenações e infrações penais (…).
IMPORTANTE: Note que a exceção se aplica somente à Controladores.

PROCESSADOR
É igualmente obrigatório que o Processador (quando houver) também possua um registro atualizado
das atividades de processamento que realiza.
Cada processador e, quando aplicável, o representante do processador deve manter um registro de

todas as categorias de atividades de processamento realizadas em nome de um controlador, (...)
O registro do Processador deve conter:
(a) o nome e detalhes de contato do (s) processador (es) e de cada controlador em nome do
qual o processador está agindo e, quando aplicável, do representante do controlador ou do
processador e do Data Protection Officer (DPO)
(b) as categorias de processamento realizadas em nome de cada controlador
(c) se for caso, transferências de dados pessoais para um país terceiro ou uma organização
internacional, incluindo a identificação desse país terceiro ou organização internacional (…)
(d) sempre que possível, uma descrição geral das medidas técnicas e organizativas de
segurança
IMPORTANTE: Os registros de controladores e processadores não são necessariamente os mesmos.

O controlador pode usar vários processadores. Um processador pode estar sob contrato com vários
controladores.
Registro de violações de dados pessoais
Violações de dados pessoais são incidentes de segurança que envolvem dados pessoais. Alguns
exemplos são:
• Ataque hacker em que o atacante teve acesso a dados pessoais;

• Envio de dados pessoais acidentalmente para outros destinatários, não relacionados ao
assunto;
• Apagamento acidental de dados pessoais;
• Entre outros.
O controlador deve documentar quaisquer violações de dados pessoais, incluindo os fatos

relacionados com a violação de dados pessoais, os seus efeitos e as medidas corretivas adotadas.
Essa documentação deve permitir à Autoridade Supervisora verificar o cumprimento do presente
Artigo.
Os dados que devem estar relacionados nos registros de violações são:

→ Nome e detalhes de contato do DPO ou outro contato do contato onde mais informações
podem ser obtidas
→ A natureza da violação de dados
→ As categorias e o número aproximado de titulares de dados envolvidos
→ As categorias e número aproximado de registros de dados pessoais afetados
→ As prováveis consequências em termos de risco para os direitos e liberdades das pessoas
singulares
→ As medidas tomadas ou a tomar para resolver as consequências da violação de dados
Além de manter o registro das violações, em alguns casos o controlador deve notificar a Autoridade
Supervisora e até os titulares de dados pessoais.
Após a identificação de violação de dados pessoais, é necessário que seja feita uma análise da
extensão e impacto da violação e verificar se podem gerar riscos para os direitos e liberdades das
pessoas físicas envolvidas.
Proteção de Dados desde a Concepção (by design) e por Padrão (by default)
Conforme descrito nos capítulos anteriores, o GDPR define que Controlador é responsável pela
implementação de medidas técnicas e organizacionais apropriadas. Isto garante que, por padrão (by
default), apenas sejam processados dados pessoais necessários para cada finalidade específica do
processamento. Este requisito legal se aplica à quantidade de dados pessoais coletados, à extensão
de seu processamento, ao período de armazenamento e à acessibilidade.
O controlador deve, tanto no momento da determinação dos meios de processamento como no

momento do próprio processamento, implementar medidas técnicas e organizacionais adequadas,
tais como a pseudonimização, que são projetadas para implementar os princípios de proteção de
dados, como minimização de dados, de forma eficaz e integrar as salvaguardas necessárias no
processamento, a fim de cumprir os requisitos do presente regulamento e proteger os direitos dos
titulares dos dados.
Da mesma maneira, o GDPR faz do princípio de proteção de dados desde a concepção (by design)
um requisito legal, e não apenas uma maneira eficaz de cumprir as obrigações relacionadas à
segurança dos dados.
Neste artigo, um relacionamento legal é definido entre os princípios de segurança de dados e a

privacidade, como os direitos e liberdades dos indivíduos.
Condições gerais para a imposição de multas administrativas
Cada autoridade supervisora assegurará que a aplicação de multas administrativas ao abrigo do

presente Artigo no que se refere às infrações ao presente regulamento referidas nos parágrafos 4, 5
e 6 sejam, em cada caso, eficazes, proporcionadas e dissuasivas.
Ou seja, as multas administrativas devem ser para cada caso individual, proporcionadas e
dissuasivas. Isto quer dizer que sempre que uma autoridade supervisora decidir impor uma multa
administrativa, devem ser avaliadas as características da ação que gerou a multa, conforme os
critérios abaixo:
• Natureza, a gravidade e a duração da infração;
• Finalidade do processamento;
• Número de titulares de dados afetados;
• Nível de danos causados a eles;
• Grau de responsabilidade dos controladores e processadores, considerando as medidas
técnicas e organizacionais implementadas.
O nível de cooperação com a Autoridade Supervisora para remediar uma infração e mitigar os
possíveis impactos da infração sempre será levado em consideração e poderá tornar-se um aspecto
favorável ao Controlador ou Processador.
Uma multa também deve ser dissuasiva. Portanto, qualquer que seja o custo da implementação de
medidas para cumprir o GDPR em uma organização, no geral, multas vão muito além deste valor.
É importante saber que a intenção é incentivar as empresas a cumprir o GDPR, e não destruí-las
financeiramente.
Existem duas categorias de multas:

→ multas de € 10.000.000 ou 2% do volume de negócios mundial da empresa no ano financeiro
anterior, o que for maior.
→ multas de € 20.000.000 ou 4% do faturamento mundial da empresa no exercício financeiro
anterior, o que for maior.
No caso de violações das obrigações do controlador e do processador, a multa máxima será da

primeira categoria, portanto, 10.000.000 € ou 2% do faturamento mundial da empresa no exercício
financeiro anterior, o que for maior.
Algumas categorias de infrações serão penalizadas com mais rigor:

• Violação dos princípios básicos de processamento, incluindo as condições de
consentimento;
• Violação dos direitos dos titulares de dados;
• As transferências de dados pessoais para um destinatário num país terceiro ou uma
organização internacional;
• Incumprimento de uma encomenda ou limitação temporária ou definitiva do
processamento ou suspensão da transmissão de dados pela Autoridade Supervisora.
Para estas categorias, a multa administrativa máxima será de € 20.000.000 ou até 4% do volume de
negócios mundial da empresa no ano financeiro anterior, o que for maior.
Se um controlador ou processador, intencional ou negligentemente, infringir várias disposições do

presente regulamento para as mesmas operações de processamento ou ligadas, o montante total da
multa administrativa não deve exceder o montante especificado para a infração mais grave. As
multas não se acumulam com cada infração relacionada.
Em alguns casos, pode haver a junção de multas administrativas com outras penalidades.
DPO pode responder criminalmente?
As leis em todo o mundo variam e, em alguns casos, o DPO pode ser responsabilizado criminalmente
pelo não cumprimento delas.
• No Reino Unido o DPO pode enfrentar a responsabilidade penal se sabia que havia um risco
de contravenção e esta contravenção poderia causar dano substancial ou sofrimento
substancial, mas não tomou medidas para evitar isso.
• Na Irlanda o DPO pode ser responsabilizado criminalmente se as violações forem cometidas
com o consentimento ou conivência do diretor ou outra parte que solicitou a negligência.
OBS.: Para ambos os países não há prisão.

2.2 Autoridade Supervisora
Peso no Exame: 7,5%
Ao final desta seção, você será capaz de:
• Descrever as responsabilidades gerais de uma autoridade supervisora.

• Descrever o papel e as responsabilidades de uma autoridade supervisora em
relação a violações de dados pessoais.
• Descrever como uma autoridade supervisora contribui para a aplicação do GDPR.
Autoridade Supervisora
O GDPR (Regulamento Europeu de Proteção de Dados Pessoais) estabelece que cada

estado-membro deve ter pelo menos uma autoridade, pública e independente, com a
responsabilidade de fiscalizar e aplicar o Regulamento e prezar pela defesa dos direitos
fundamentais das pessoas naturais relativos à proteção de dados pessoais. Essas
autoridades são chamadas de "autoridades de controle" ou “autoridade supervisora”.
A Comissão Nacional de Proteção de Dados é um exemplo de atuação dessas

autoridades. O órgão, situado em Portugal, possui um website muito didático e com
diversas informações esclarecedoras ao público. Através do website é possível
encontrar informações atualizadas sobre a lei, além de disponibilizar um espaço para as
organizações poderem notificarem sobre incidentes de proteção de dados e indicarem
seus DPO (Data Protection Officer).
Algumas das tarefas:
• Monitorar e impor a aplicação do GDPR;

• Aconselhar parlamento nacional, governo, etc. sobre medidas legislativas e
administrativas relacionadas com a proteção de dados;
• Adotar cláusulas contratuais padrão;
• Estabelecer e manter uma lista em relação à exigência de Avaliação de Impacto
sobre a Proteção de Dados (AIPD ou DPIA em inglês);
• Aprovar regras corporativas vinculantes/compulsórias;
• Manter registos internos das infrações ao GDPR.
Responsabilidades de Autoridade Supervisora
A principal responsabilidade de uma Autoridade Supervisora é monitorar e fazer cumprir

a aplicação do GDPR com o objetivo de proteger os direitos e liberdades fundamentais
das pessoas singulares (pessoas físicas) em relação ao processamento e facilitar o livre
fluxo de dados pessoais na União (Artigo 51).
Outra importante responsabilidade é promover a conscientização pública e a

compreensão dos riscos, regras, salvaguardas e direitos em relação ao processamento
de dados pessoais. As atividades dirigidas especificamente às crianças devem receber
atenção extra.
A lista de 'tarefas' detalhadas estão presentes no Artigo 57(1) do GDPR.
Acompanhar e fazer cumprir a aplicação do regulamento
A Autoridade Supervisora monitora a aplicação do GDPR, isso pode ser de forma

preventiva, monitorando desenvolvimentos relevantes ou conduzindo investigações,
sempre que tenham impacto na proteção de dados pessoais.
Pode também ser remediadora, investigando operações de processamento, incluindo

investigações baseadas em reclamações de titulares de dados, organizações ou
associações e em informações recebidas de outra Autoridade Supervisora ou outra
autoridade pública.
A Autoridade Supervisora também pode realizar uma revisão periódica das certificações
emitidas aos controladores de acordo com o Artigo 42 (7).
Aconselhar e promover a conscientização
Em conformidade com a legislação do membro da Área Economia Europeia (AEE), a

Autoridade Supervisora aconselha o parlamento nacional, o governo e outras
instituições e organismos relacionados com a proteção dos direitos e liberdades das
pessoas singulares em relação ao processamento de dados pessoais.
A Autoridade Supervisora também dá conselhos sobre as operações de processamento,

seja para promover a conscientização dos controladores e processadores de suas
obrigações sob o GDPR ou mais específico em resposta a uma solicitação de consulta de
um controlador ou no curso de uma investigação após uma notificação de violação de
dados.
Por outro lado, a pedido, a Autoridade Supervisora fornecerá também informações a

qualquer titular de dados sobre o exercício dos seus direitos ao abrigo do GDPR e, se for
caso disso, cooperará com as Autoridades Supervisoras de outros Estados-Membros
para esse efeito.
Administrar violações de dados e outras violações
A Autoridade Supervisora deve manter registros internos de infrações da lei GDPR e de

medidas tomadas de acordo com os poderes da Autoridade Supervisora, conforme
definido no Artigo 58 do GDPR. (ver tópico 7.3).
Estabelecer Padrões
A Autoridade Supervisora tem a responsabilidade de estabelecer normas e diretrizes e

atuar como um órgão certificador.
Processamento que requer DPIA
A Autoridade Supervisora publica a lista das operações de processamento que estão

sujeitas ao requisito de uma avaliação do impacto da proteção de dados (ver tópico 8.3).
Código de conduta e certificação
A Autoridade Supervisora encoraja a elaboração de códigos de conduta destinados a

contribuir para a correta aplicação do GDPR. A Autoridade Supervisora deve emitir um
parecer sobre propostas de associações e organismos para preparar ou alterar um
código de conduta e aprovar códigos de conduta que forneçam garantias suficientes. A
Autoridade Supervisora também conduzirá o credenciamento de um órgão para
monitorar os códigos de conduta, conforme descrito.
Além de estabelecimento de mecanismos de certificação de proteção de dados e de

selos e marcas de proteção de dados com a finalidade de demonstrar a conformidade
com o GDPR das operações de processamento pelos controladores e processadores e
aprovar os critérios de certificação.
A Autoridade Supervisora também elaborará e publicará os critérios de credenciamento

de um organismo de certificação para monitorar esse mecanismo de certificação.
Cláusulas contratuais padrão e regras corporativas vinculativas e –

contratos
Uma Autoridade Supervisora pode adotar cláusulas contratuais-padrão para o contrato

vinculante entre o controlador e o processador e, se apropriado (por exemplo, com
autorização prévia por escrito do controlador), entre o processador e o subprocessador.
Uma Autoridade Supervisora pode também adotar cláusulas contratuais-padrão para

contratos entre controladores no AEE e processadores em países fora do AEE para os
quais não foi implementada nenhuma decisão de adequação (ver tópico 7.4).
Particularmente para empresas e organizações multinacionais, a Autoridade

Supervisora pode aprovar Regras Corporativas Vinculantes (ver tópico 7.6.3).
Cooperação com outras autoridades supervisoras e a AEPD1 (EDPS).
A fim de contribuir para a aplicação coerente do presente regulamento em toda a União,

as Autoridades Supervisoras cooperam entre si e, se for caso disso, com a Comissão,
através do mecanismo de coerência estabelecido na presente secção. Fonte:
Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 63.
Nos parágrafos anteriores, pode-se ter a ideia de que as mais de cinquenta Autoridades
Supervisoras nos cerca de trinta países do AEE estão inventando independentemente os
mesmos padrões ao mesmo tempo. O oposto é verdadeiro, no entanto. Por meio do
mecanismo de consistência, as Autoridades Supervisoras compartilham informações e
fornecem assistência mútua a outras Autoridades Supervisoras 'com o objetivo de
garantir a consistência da aplicação e aplicação do GDPR'.
Eles também compartilham todas as informações relevantes com o Conselho Europeu

de Proteção de Dados (também conhecido como 'Conselho'), que é composto pelo chefe
de uma Autoridade Supervisora de cada Estado-Membro e pela Autoridade Europeia
para a Proteção de Dados, ou seus respectivos representantes.
Quando uma Autoridade Supervisora toma uma decisão que afeta apenas o
processamento de dados pessoais em seu próprio território, o mecanismo de
consistência não se aplica. Portanto, quando uma Autoridade Supervisora toma uma
decisão, por exemplo, planejar adotar normas, diretrizes ou cláusulas contratuais, ela
compartilhará essas informações com o Conselho. Na maior parte dos casos, o Conselho,
em estreita comunicação com a Comissão Europeia, providenciará para que, após a
discussão necessária e as alterações necessárias, a proposta se transforme numa norma
europeia adoptada por todas as Autoridades.
Em princípio, o mecanismo de consistência se destina a garantir que as organizações

que operam internacionalmente enfrentam requisitos de conformidade consistentes
nos países da AEE em que atuam.
Receber queixas de titulares de dados
Sem prejuízo de qualquer outra solução administrativa ou judicial, todos os titulares dos
dados têm o direito de apresentar uma queixa a uma autoridade de supervisora, em
especial no Estado-Membro da sua residência habitual, local de trabalho ou local da
alegada violação se o titular dos dados considera que o processamento de dados
pessoais que lhe digam respeito viola o presente regulamento. Fonte: Regulamento
Geral de Proteção de Dados (UE) 2016/679; Artigo 77(1).
Os titulares dos dados têm o direito de apresentar uma reclamação relativa ao

processamento dos seus dados pessoais junto a Autoridade Supervisora do Estado-
Membro onde residem ou no Estado-Membro em que a alegada violação ocorreu. O
GDPR contém regras para garantir que o direito dos dados sujeitos a um recurso judicial
efetivo seja mantido por todas as partes, incluindo controlador ou controladores,
processador ou processadores ou Autoridades Supervisoras envolvidas.
Papel de uma Autoridade Supervisora com relação às violações de dados
Quando uma Autoridade Supervisora recebe uma notificação de uma violação de dados
pessoais, deve poder avaliar vários critérios importantes para avaliar a importância da
violação de dados pessoais e avaliar como a proteção de dados foi implementada pelo
controlador e pelo processador ou processadores.
A avaliação dos riscos para os titulares dos dados e as medidas mitigadoras que já foram
ou ainda devem ser tomadas são claramente as mais imediatas. A responsabilidade da
Autoridade Supervisora de fazer cumprir as regras do GDPR segue diretamente depois
disso.
Em princípio, o controlador é responsável por:
• investigar a violação de dados pessoais

• as circunstâncias em que isso aconteceu • a avaliação dos riscos envolvidos para
os titulares de dados
• adotar medidas de mitigação para minimizar as consequências negativas para os
direitos e liberdades dos titulares dos dados e outras pessoas envolvidas.
No entanto, uma Autoridade Supervisora pode receber amplos poderes para monitorar
essa investigação e ordenar que os controladores e processadores envolvidos tomem
outras medidas ou medidas extras para alinhar as operações de processamento com o
GDPR e até para restringir ou bloquear o processamento.
Como uma Autoridade Supervisora contribui para a aplicação da GDPR
Uma das principais responsabilidades de uma Autoridade Supervisora é fazer cumprir a

aplicação do GDPR. Além dos poderes consultivos, uma Autoridade Supervisora possui
amplos poderes de investigação e correção para impor a implementação do GDPR. Isso
inclui, quando necessário, a aplicação de multas paralisantes.
A fim de assegurar uma supervisão e aplicação coerentes do presente regulamento em
toda a União, as Autoridades Supervisoras devem ter em cada Estado-Membro as
mesmas funções e poderes efetivos, incluindo poderes de investigação, poderes de
correção e sanções, e poderes de autorização e aconselhamento, nomeadamente em
casos de queixas de pessoas singulares, (…). Fonte: Regulamento Geral de Proteção de
Dados (UE) 2016/679; Considerando (129).
Poderes de investigação da Autoridade Supervisora
O Artigo 58(1) do GDPR concede às Autoridades Supervisoras alguns de poderes de

investigação. Elas têm o poder:
• ordenar ao controlador e ao processador que forneçam qualquer informação

necessária para o desempenho de suas tarefas;
• realizar investigações sob a forma de auditorias de proteção de dados;
• proceder a uma revisão das certificações emitidas;
• notificar o controlador ou o processador de uma alegada infracção ao presente
regulamento;
• obter, do controlador e do processador, acesso a todos os dados pessoais e a
todas as informações necessárias para o desempenho de suas tarefas;
• obter acesso a quaisquer instalações do controlador e do processador, incluindo
equipamentos e meios de processamento de dados, em conformidade com o
direito processual da União ou do Estado-Membro.
Poderes corretivos da Autoridade Supervisora
O Artigo 58(2), do GDPR concede às Autoridades Supervisoras que também alcançam

poderes de correção:
• emitir advertências a um controlador ou processador que pretenda que as

operações de processamento possam infringir as provisões do GDPR;
• emitir repreensões a um controlador ou processador em que as operações de
processamento tenham infringido as provisões do GDPR;
• ordenar ao controlador ou ao processador que cumpra com as solicitações do
titular dos dados para exercer seus direitos de acordo com o GDPR;
• ordenar ao controlador ou ao processador que as operações de processamento
entrem em conformidade com as disposições do GDPR;
• ordenar ao controlador que comunique uma violação de dados pessoais à pessoa
em causa;
• impor uma limitação temporária ou definitiva, incluindo a proibição de
processamento;
• ordenar a retificação ou o apagamento de dados pessoais ou a restrição de
processamento e a notificação de tais ações aos destinatários a quem os dados
pessoais tenham sido divulgados;
• retirar uma certificação ou ordenar ao organismo de certificação que retire uma
certificação emitida, ou ordenar ao organismo de certificação que não emita a
certificação;
• impor uma multa administrativa, em complemento ou em vez das medidas
referidas no presente número, consoante as circunstâncias de cada caso
individual;
• ordenar a suspensão dos fluxos de dados para um destinatário num país terceiro
ou para uma organização internacional.
Condições gerais para a imposição de multas administrativas
Cada autoridade supervisora assegurará que a aplicação de multas administrativas ao

abrigo do presente Artigo no que se refere às infrações ao presente regulamento
referidas nos parágrafos 4, 5 e 6 sejam, em cada caso, eficazes, proporcionadas e
dissuasivas. Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo
83(1).
As multas administrativas devem ser proporcionadas e dissuasivas.
Proporcional
Quando uma Autoridade Supervisora decidir impor uma multa administrativa, além de
outras medidas, ela deve dar a devida atenção às circunstâncias. Os critérios para essa
decisão são:
• a natureza, a gravidade e a duração da infração;

• a finalidade do processamento;
• o número de titulares de dados afetados;
• o nível de danos causados a eles;
• o grau de responsabilidade dos controladores e processadores, o considerando
as medidas técnicas e organizacionais implementadas.
A cooperação com a Autoridade Supervisora para remediar uma infração e mitigar os

possíveis efeitos adversos da infração será favorável aos controladores e processadores.
Dissuasivo
Uma multa também deve ser dissuasiva. Qualquer que seja o custo da implementação
de medidas para cumprir o GDPR em uma organização, nenhuma empresa deve arriscar
ignorar as regras, porque as multas vão muito além do que custará a conformidade.
Ainda assim, a intenção é incentivar as empresas a cumprir o GDPR, e não destruí-las

financeiramente.
Existem duas categorias de multas:
• multas de € 10.000.000 ou 2% do volume de negócios mundial da empresa no

ano financeiro anterior, o que for maior.
• multas de € 20.000.000 ou 4% do faturamento mundial da empresa no exercício
financeiro anterior, o que for maior.
Por violações das obrigações do controlador e do processador, a multa máxima será da

primeira categoria, portanto, 10.000.000 € ou 2% do faturamento mundial da empresa
no exercício financeiro anterior, o que for maior.
Algumas categorias de infrações serão penalizadas com mais rigor:
• violação dos princípios básicos de processamento, incluindo as condições de

consentimento
• violação dos direitos dos titulares de dados
• as transferências de dados pessoais para um destinatário num país terceiro ou
uma organização internacional
• incumprimento de uma encomenda ou limitação temporária ou definitiva do
processamento ou suspensão da transmissão de dados pela Autoridade
Supervisora
Para estas categorias, a multa administrativa máxima será de € 20.000.000 ou até 4% do

volume de negócios mundial da empresa no ano financeiro anterior, o que for maior.
Se um controlador ou processador, intencional ou negligentemente, infringir várias

disposições do presente regulamento para as mesmas operações de processamento ou
ligadas, o montante total da multa administrativa não deve exceder o montante
especificado para a infração mais grave. As multas não se acumulam com cada infração
relacionada.
2.3 Transferência de dados pessoais para países terceiros
Peso no Exame: 7,5%
• Transferência de Dados dentro da Área Econômica Europeia (AEE)

• Transferência de Dados fora da AEE
• Transferência de Dados entre a AEE e EUA
Processamento transfronteiriço
Qualquer transferência de dados pessoais para um país terceiro

ou uma organização internacional somente poderá ser realizada
respeitando as regras estabelecidas no GDPR, com o objetivo de
assegurar que não é comprometido o nível de proteção das
pessoas singulares garantido pelo regulamento.
O GDPR distingue dois tipos de processamento transfronteiriço:
a) Processamento de dados pessoais que ocorra no contexto das atividades de estabelecimentos em

mais do que um Estado-Membro de um controlador ou de um processador na União em que o
controlador ou o processador esteja estabelecido em mais de um Estado-Membro; ou
b) Processamento de dados pessoais que ocorre no contexto das atividades de um único

estabelecimento de um controlador ou de um processador na União, mas que afeta substancialmente
ou é suscetível de afetar substancialmente os titulares de dados em mais de um Estado-Membro.

Afetar substancialmente
O GDPR não define estritamente o que 'afetar substancialmente' significa. No entanto, em dezembro
de 2016, o Grupo de Trabalho do artigo 29 publicou diretrizes nas quais eles escrevem que as
autoridades de supervisão interpretarão isso caso a caso, considerando:
• o contexto do processamento
• o tipo de dados
• a finalidade do processamento
• outros fatores, como se o processamento
o causa, ou é provável que cause, dano, perda ou angústia aos indivíduos
o tem, ou é provável que tenha, um efeito real em termos de limitação de direitos ou
de negação de uma oportunidade
o afeta, ou é provável que afete a saúde, o bem-estar ou a tranquilidade dos
indivíduos
o afeta ou é susceptível de afetar o estado financeiro ou econômico ou as
circunstâncias
o deixa as pessoas abertas à discriminação ou processamento injusto
o envolve a análise das categorias especiais de dados pessoais ou outros intrusivos,
particularmente os dados pessoais de crianças
o causa, ou é suscetível de causar, indivíduos a mudar seu comportamento de forma
significativa
o tem consequências improváveis, imprevistas ou indesejadas para os indivíduos
o cria constrangimento ou outros resultados negativos, incluindo danos à reputação
ou
o envolve o processamento de uma ampla gama de dados pessoais
Por exemplo, um clube de remo tem membros nos dois lados de uma fronteira com o país. O
processamento dos endereços dos membros não seria "afetado" substancialmente os membros.
Como consequência, esse processamento não seria considerado "processamento transfronteiriço".
Fonte: White paper EXIN Privacy & Data Protection Foundation and Essentials.
Identificar a Autoridade Supervisora principal
(…) A Autoridade Supervisora do estabelecimento principal ou do estabelecimento único do

controlador ou processador deve ter competência para agir como autoridade de controlo principal
para o processamento transfronteiriço realizado pelo referido controlador ou processador, em
conformidade com o procedimento [de cooperação] previsto no Artigo 60.
A regra geral é que a supervisão da atividade de processamento transfronteiriço, ou processamento

envolvendo cidadãos de mais de um país da UE, é liderada por apenas uma Autoridade Supervisora,
denominada “Autoridade Supervisora principal”. Isso é conhecido como o princípio One Stop Shop
(“Balcão Único”).
A autoridade supervisora principal é a autoridade do Estado membro onde o estabelecimento

principal é identificado.
Em casos de empresas multinacionais (possui estabelecimentos em mais de um estado-membro), o

“estabelecimento principal” é o local central da empresa. Porém, caso as decisões relacionadas à
finalidades e meios do processamento e o poder de implementa-las seja de outro estabelecimento,
este torna-se o estabelecimento principal.
No caso de um único estabelecimento de um controlador ou processador na união, onde ocorre o

processamento de dados pessoais que afeta substancialmente titulares de dados em mais do que
um único Estado-Membro, a Autoridade Supervisora principal é a do país onde o estabelecimento
do controlador é.
A autoridade principal coordenará as operações que envolvam as Autoridades Supervisoras

interessadas, em conformidade com os Artigos 60-62 do regulamento (por exemplo, balcão único,
assistência mútua e operações conjuntas). Submete qualquer projeto de decisão às Autoridades
Supervisoras interessadas neste assunto.
Fonte: WP244 ANEXO II - Perguntas Frequentes
Transferências com base em uma decisão de adequação
Segundo o GDPR, para que seja realizada uma transferência internacional de dados pessoais, deve-
se verificar se este país possui os requisitos de proteção de dados adequados. A comissão europeia
é responsável por avaliar os países possuem níveis adequados de proteção de dados, gerando uma
“decisão de adequação”.
Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização
internacional se a Comissão tiver decidido que o país terceiro, um território ou um ou mais setores
específicos desse país terceiro, ou a organização internacional em causa, assegura um nível de
proteção adequado. Esta transferência não exige autorização específica.
Obs.: A Comissão Europeia é a instituição que é politicamente

independente e que representa e defende os interesses da
União Europeia na sua globalidade. Propõe legislação, política
e programas de ação e é responsável por aplicar as decisões do
Parlamento Europeu e o Conselho da União Europeia.
A Comissão Europeia tem o poder de determinar, com base no artigo 45.º do Regulamento (UE)
2016/679, se um país fora da UE oferece um nível adequado de proteção de dados.
A adoção de uma decisão de adequação envolve:
• uma proposta da Comissão Europeia

• uma opinião do Conselho Europeu de Proteção de Dados
• uma aprovação de representantes de países da EU
• a adoção da decisão pela Comissão Europeia
A qualquer momento, o Parlamento Europeu e o Conselho podem solicitar à Comissão Europeia que
mantenha, altere ou retire a decisão de adequação com o fundamento de que o seu ato excede as
competências de execução previstas no regulamento.
O efeito de tal decisão é que os dados pessoais podem fluir da UE (e da Noruega, do Liechtenstein e
da Islândia) para esse país terceiro sem que seja necessária qualquer salvaguarda adicional. Por
outras palavras, as transferências para o país em questão serão equiparadas a transmissões de dados
intra-UE.
Até agora (Jan/2021), a Comissão Europeia reconheceu que Andorra, Argentina, Canadá
(organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia,
Suíça e Uruguai fornecem proteção adequada.
As negociações de adequação estão em andamento com a Coreia do Sul.
Fonte: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-
protection/adequacy-decisions
Regulamentos aplicáveis à transferência de dados entre o AEE e os EUA
Conforme descrito anteriormente, a Comissão Europeia pode tomar uma 'decisão de adequação',
reconhecendo um país ou parte de um país como tendo uma proteção de dados adequada (GDPR,
Capítulo 5).
Entretanto, como a lei de proteção de dados dos EUA difere consideravelmente daquilo que o GDPR
(e a diretiva anterior) exige, não há uma decisão de adequação em relação aos EUA ou às partes
geográficas deles.
Em vez disso, em julho de 2016, a Comissão aplicou a decisão (UE) 2016/1250 sobre a adequação da
proteção fornecida pelo “EU-US Privacy Shield”, conforme emitido pelo Departamento de Comércio
dos EUA.
Esse padrão tinha a finalidade de proteger os direitos fundamentais de qualquer pessoa na UE cujos
dados pessoais são transferidos para os Estados Unidos com fins comerciais.
Recentemente, a decisão de adequação em relação aos dados transferidos sob o Privacy Shield foi
revogada. É obrigatório que, no momento do processamento, uma decisão de adequação esteja em
vigor.
O tribunal decidiu, no entanto, que as cláusulas contratuais padrão (SCCs) permanecem válidas. Esses
modelos padronizados de requisitos de proteção de dados serão a opção de substituição mais
provável para as empresas afetadas. Mais de 80% das empresas que transferem dados da UE
dependem de SCCs, de acordo com o IAPP.
NOTA: Você pode encontrar o comunicado de imprensa completo sobre o Privacy Shield em
http://bit.ly/PDPF_PR_privacy_shield.
2.4 Regras corporativas vinculantes (BCR) e proteção de
dados em contratos
Peso no Exame: 7,5%
• descrever o conceito de BCR

• descrever como a proteção de dados é formalizada em contratos entre o controlador e o
processador
• descrever as cláusulas desse tipo de contrato
Transferências sujeitas a salvaguardas apropriadas
Na ausência de uma decisão de adequação, o controlador ou o processador deve tomar medidas para
compensar a falta de proteção de dados em um terceiro país por meio de salvaguardas apropriadas
para o titular dos dados.
Essas salvaguardas adequadas podem

consistir na utilização de regras
vinculantes para as empresas,
cláusulas-padrão de proteção de dados
adotadas pela Comissão, cláusulas-tipo
de proteção de dados adotadas por uma
Autoridade Supervisora ou cláusulas
contratuais autorizadas por uma
Autoridade Supervisora.
Essas salvaguardas devem garantir a conformidade com os requisitos de proteção de dados e os

direitos dos titulares de dados adequados ao processamento dentro da União, incluindo a
disponibilidade de direitos dos titulares de direitos aplicáveis e de recursos legais efetivos, inclusive
para obter reparação administrativa ou judicial efetiva e reivindicar compensação, na União ou num
país terceiro. (…) as transferências podem igualmente ser realizadas por autoridades ou organismos
públicos com autoridades ou organismos públicos de países terceiros ou com organizações
internacionais com funções ou deveres correspondentes, incluindo com base em disposições a inserir
em disposições administrativas, como um memorando de entendimento, prevendo direitos aplicáveis
e efetivos para os titulares dos dados.
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Considerando 108.
Ao transferir dados entre autoridades públicas, as autoridades públicas devem garantir a

conformidade com os requisitos do GDPR. Os outros casos exigem a adoção de uma norma aprovada
ou a adoção de cláusulas de proteção pela Autoridade Supervisora.
Podem ser previstas as garantias adequadas, sem requerer nenhuma autorização específica de uma
Autoridade Supervisora, por meio de:
a) Um instrumento juridicamente vinculativo e com força executiva entre autoridades ou
organismos públicos;
b) Regras vinculativas aplicáveis às empresas;
c) Cláusulas-tipo de proteção de dados adotadas pela Comissão pelo procedimento de
exame;
d) Cláusulas-tipo de proteção de dados adotadas por uma autoridade supervisora e
aprovadas pela Comissão pelo procedimento de exame;
e) Um código de conduta, aprovado nos termos do artigo 40 do GDPR, acompanhado de
compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo
tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias
adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados; ou
f) Um procedimento de certificação, aprovado nos termos do artigo 42 do GDPR,
acompanhado de compromissos vinculativos e com força executiva assumidos pelos
responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de
aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares
dos dados.

Regras Corporativas Vinculantes (BCR)
Um grupo de empresas, ou um grupo de empresas envolvidas numa atividade econômica conjunta,

deve poder utilizar as regras empresariais vinculantes aprovadas para as suas transferências
internacionais da União para organizações pertencentes ao mesmo grupo de empresas ou grupo de
empresas uma atividade econômica conjunta, desde que tais regras corporativas incluam todos os
princípios essenciais e direitos aplicáveis para garantir as salvaguardas apropriadas para
transferências ou categorias de transferências de dados pessoais.
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; item 110.
• São regras para transferências internas de dados por empresas multinacionais;

• Funcionam como um código de conduta interno, com a geração de processos, procedimentos e
acordos corporativos relacionados à dados pessoais dentro da organização;
• Permitem que empresas multinacionais transfiram dados pessoais internacionalmente dentro
do mesmo grupo corporativo para países que não fornecem um nível adequado de proteção;
• Garantem que todas as transferências de dados dentro de um grupo corporativo sejam seguras.
As regras Corporativas Vinculantes também podem ser utilizadas entre Controladores e Operadores,
caso estejam no mesmo grupo de empresas.
Precisam ser oficialmente aprovadas pela Autoridade Supervisora competente para ser utilizada
na União Europeia.
Uma vez aprovadas, podem:

➢ Substituir contrato escrito entre o controlador e o processador;
➢ Serem usadas para transferências de dados fora da UE.
Requisitos essenciais para a Autoridade Supervisora Competente aprovar um conjunto de Regras

Corporativas Vinculantes:
• são juridicamente vinculantes;
• aplicam-se e são reforçadas por todos os membros envolvidos do grupo, incluindo seus
empregados;
• conferem expressamente direitos aplicáveis aos titulares dos dados no que diz respeito ao
tratamento dos seus dados pessoais;
• cumprir os requisitos estabelecidos no Artigo 47 (2) do GDPR.
As Regras Corporativas Vinculantes (BCR) devem especificar pelo menos:

• as transferências de dados, categorias de dados, tipos de processamento e suas finalidades
• tipos de titulares de dados afetados e identificação do país ou países terceiros
• a aplicação dos princípios gerais de proteção de dados e os requisitos relativos a
transferências subsequentes para organismos não vinculados pelas regras vinculantes das
empresas
• os direitos das pessoas em causa em relação ao processamento e os meios para exercer
esses direitos
• a aceitação, pelo controlador ou pelo processador estabelecido no território de um Estado
Membro, da responsabilidade por eventuais violações das regras vinculantes da empresa
por parte de um membro que não tenha sido estabelecida na União.
• o mecanismo de cooperação com a Autoridade Supervisora para assegurar o cumprimento
por qualquer membro do grupo (...)

Contratos entre Controlador e Processador
O Artigo 25 do GDPR exige que o controlador implemente medidas técnicas e organizacionais

apropriadas e garanta que essas precauções permaneçam em vigor durante o processamento, na
verdade, implementando um dos princípios da Proteção de Dados desde a Concepção (by design):
segurança de ponta a ponta. Quando um processador é contratado para executar o processamento
ou parte do processamento, a consequência lógica é um contrato por escrito e é exatamente isso
que o GDPR requer.
O processamento por um Operador será regido por um contrato ou outro ato jurídico ao abrigo da
legislação da União ou de um Estado-Membro, vinculante para o Operador em relação ao
Controlador e que define o objeto e a duração do processamento, a natureza e o objetivo do
processamento, o tipo de dados pessoais e categorias de titulares dos dados e as obrigações e direitos
do controlador. (…)
Cláusulas do contrato escrito
O Artigo 28(3), prossegue: esse contrato (ou outro ato jurídico) estipula, em especial, que o
processador:
(a) processa os dados pessoais apenas em instruções documentadas do controlador,
incluindo no que diz respeito a transferências de dados pessoais para um país terceiro ou
uma organização internacional (...)
(b) assegura que as pessoas autorizadas a tratar os dados pessoais se comprometeram com
a confidencialidade ou estão sujeitas a uma obrigação legal adequada de confidencialidade.
(c) adota todas as medidas exigidas nos termos do Artigo 32 (segurança do processamento)
(d) respeita as condições (…) para contratar outro processador
(e) (…) auxilia o controlador, por meio de medidas técnicas e organizacionais apropriadas,
na medida do possível, pelo cumprimento da obrigação do controlador de responder aos
pedidos de exercício dos direitos do titular dos dados (...)
(f) auxilia o controlador a garantir o cumprimento das obrigações previstas nos Artigos 32 a
36, considerando a natureza do processamento e as informações de que dispõe o
transformador;
(g) à escolha do controlador, suprime ou devolve todos os dados pessoais ao controlador
após o termo da prestação de serviços relacionados com o processamento e elimina cópias
existentes, a menos que a legislação da União ou do Estado-Membro exija a conservação
dos dados pessoais.
(h) disponibiliza ao controlador todas as informações necessárias para demonstrar o
cumprimento das obrigações estabelecidas no presente Artigo, permitindo e contribuindo
para as auditorias, incluindo as inspeções realizadas pelo controlador ou por outro auditor
mandatado pelo controlador.
A tabela a seguir mostra um exemplo do conteúdo de tal contrato de processamento de dados entre
o controlador e o processador:
Conteúdo Referência GDPR
Escopo e finalidade do contrato Artigo 4(2) definições: processamento
Dados cobertos pelo acordo Artigo 4(1) dados pessoais;
Artigo 9 / item 10 categorias especiais de
dados pessoais (dados sensíveis);
Segurança geral e salvaguardas no Artigo 32 segurança do processamento
processamento de dados
Medidas técnicas e organizacionais Artigo 28(3 a até h)
Monitoramento da segurança da informação e Artigo 35 avaliação de impacto sobre proteção
proteção de dados de dados
Violação de segurança da informação e violação Artigo 33(2) notificação de uma violação de
de dados pessoais dados pessoais à Autoridade Supervisora
Correção, exclusão e bloqueio / obrigações Artigo 32.36
específicas para auxiliar o controlador
Acordo com outro processador de dados Artigo 28(2) e (4) subprocessador
Transferência de dados Rec. (112), (113);
Artigo 47 Regras Corporativas Vinculantes;
Artigo 49 derrogações para situações
específicas; o capítulo V transfere (..) para
países terceiros ou organizações
internacionais.
Outras obrigações do processador Artigo 39 tarefas do DPO;
(1b) ... sensibilização e formação do pessoal
envolvido nas operações de processamento
Os direitos de controle dos controladores Artigo 4(7) controlador Artigo 28(3f) suporte ao
controlador …
Retorno e exclusão dos dados pessoais Artigo 28(3g) eliminar ou devolver
Dever de confidencialidade Artigo 28(3b) confidencialidade
Duração Artigo 28(3) duração do processamento Artigo
5 princípios relativos ao processamento de
dados pessoais (1) (e) limitação de
armazenamento
Precedência No caso de cláusulas conflitantes, o GDPR tem
precedência
Assinaturas
Fonte: White paper EXIN Privacy & Data Protection Foundation and Essentials; Item 8.2
3.1 Práticas de proteção de dados
Peso no Exame: 5%
• descrever os benefícios da proteção de dados desde a concepção e por padrão.

• descrever os sete princípios da proteção de dados desde a concepção.
Proteção de Dados desde a Concepção (by design) e por Padrão (by default)
O princípio de privacidade e proteção de dados desde a concepção (by design), por definição,
significa que devem ser aplicadas medidas para proteção e privacidade de dados desde o início dos
projetos.
No GDPR, é definido que os responsáveis pelo processamento, ou seja, o Controlador, é responsável

por implementar medidas técnicas e organizacionais apropriadas, a fim de garantir a proteção e
privacidade dos dados pessoais. Este requerimento, faz do princípio de privacidade e proteção de
dados desde a concepção (by design) um requisito legal, e não apenas uma maneira eficaz de
cumprir as obrigações relacionadas à segurança dos dados.
O controlador deve, tanto no momento da determinação dos meios de processamento como no
momento do próprio processamento, implementar medidas técnicas e organizacionais adequadas,
tais como a pseudomização, que são projetadas para implementar os princípios de proteção de
dados, como minimização de dados, de forma eficaz e integrar as salvaguardas necessárias no
processamento, a fim de cumprir os requisitos do presente regulamento e proteger os direitos dos
titulares dos dados.
Como pudemos ver, no Artigo 25 do GDPR, um relacionamento legal é definido entre os princípios
de segurança de dados e a privacidade, como os direitos e liberdades dos indivíduos.
O segundo parágrafo do mesmo artigo 25, é requerido que o controlador implemente medidas
técnicas e organizacionais apropriadas para garantir que, por padrão (by default), apenas sejam
processados dados pessoais necessários para cada finalidade específica do processamento. Isso se
aplica à quantidade de dados pessoais coletados, à extensão de seu processamento, ao período de
armazenamento e à acessibilidade.
Alguns exemplos de medidas técnicas e organizacionais:

→ Aplicação do princípio da minimização
→ Aplicação do princípio da transparência
→ Pseudonimização e até anonimização dos dados pessoais coletados
→ Realização da DPIA para levantamento dos riscos e tratamento dos mesmos antes do início
do projeto
Benefícios da proteção de dados by design
Privacidade desde a concepção (by design) é um conceito que desenvolvi nos anos 90, para abordar
os efeitos sempre crescentes e sistêmicos das Tecnologias de Informação e Comunicação e dos
sistemas de dados em rede em larga escala. A Privacidade desde a concepção (by design) promove
a visão de que o futuro da privacidade não pode ser assegurado apenas pelo cumprimento de
estruturas regulatórias; em vez disso, a garantia da privacidade deve idealmente se tornar o modo
de operação padrão de uma organização.
Fonte: Ann Cavoukian. 2011. Privacy by Design, the 7 foundational principles
Ann Cavoukian, PhD., ex-Comissária de Privacidade e Informações de Ontário, Canadá, foi a
idealizadora do conceito de privacidade desde a concepção (by design).
Adotar uma abordagem de Proteção de Dados desde a Concepção (by design) é uma ferramenta
essencial para minimizar os riscos de privacidade e criar confiança. Projetar projetos, processos,
produtos ou sistemas com a privacidade em mente desde o início pode levar a benefícios que
incluem:
→ Problemas potenciais são identificados em um estágio inicial, quando resolvê-los será

sempre mais simples e menos dispendioso
→ Maior conscientização sobre privacidade e proteção de dados em toda a organização
→ As organizações são mais propensas a cumprir suas obrigações legais e menos propensas a
violar a Lei de Proteção de Dados
→ É menos provável que as ações sejam invasivas à privacidade e tenham um impacto negativo
nos indivíduos
IMPORTANTE: Esta abordagem pode ser vista como uma ferramenta essencial para minimizar os
riscos de privacidade e criar confiança, além de reduzir os riscos de responsabilidade para o
controlador (facilita o cumprimento das suas obrigações).
Os sete princípios de proteção de dados desde a concepção (by design)
Privacy by Design foi resumido e simplificado em 7 princípios básicos.
Proativo não reativo; preventiva não remediadora

A abordagem de Proteção de Dados desde a Concepção (by design) é caracterizada por medidas
proativas em vez de reativas. O conceito é antecipar e evitar eventos invasivos de privacidade antes
que eles aconteçam. A Proteção de Dados desde a Concepção (by design) não espera que os riscos
de privacidade se concretizem, nem oferece remédios para resolver infrações de privacidade depois
de terem ocorrido - ele visa impedir que ocorram.
Proteção de dados como configuração padrão
A Proteção de Dados desde a Concepção (by design) busca oferecer o máximo grau de privacidade,
garantindo que os dados pessoais sejam protegidos automaticamente em qualquer sistema de TI ou
prática comercial. Se um indivíduo não faz nada, sua privacidade permanece intacta. Nenhuma ação
é necessária por parte de um titular de dados para proteger sua privacidade. Privacidade e proteção
de dados são incorporadas ao sistema, por padrão.
Privacidade incorporada ao design
A Proteção de Dados desde a Concepção (by design) está incorporada ao design e à arquitetura de
sistemas de TI e práticas de negócios. Não é acoplada como um complemento após o fato. O
resultado é que a privacidade se torna um componente essencial da funcionalidade principal que
está sendo entregue. A proteção de dados é parte integrante do sistema, sem diminuir suas
funcionalidades.
Funcionalidade total - Soma Positiva, Não Soma Zero

A Proteção de Dados desde a Concepção (by design) busca acomodar todos os interesses e objetivos
legítimos de uma maneira positiva para todos, não por meio de uma abordagem de soma zero, em
que compensações desnecessárias são feitas. A Proteção de Dados desde a Concepção (by design)
evita a pretensão de falsas dicotomias, como privacidade versus segurança, demonstrando que é
possível ter ambas.
Segurança de ponta-a-ponta - proteção total do ciclo de vida
A Proteção de Dados desde a Concepção (by design) tendo sido incorporada ao sistema antes do
primeiro elemento da informação que está sendo coletada, se estende com segurança durante todo
o ciclo de vida dos dados envolvidos - medidas de segurança fortes são essenciais à privacidade, do
início ao fim. Isso garante que todos os dados sejam retidos com segurança e, em seguida, destruídos
com segurança no final do processo, em tempo hábil. Assim, a Proteção de Dados desde a Concepção
(by design) garante o gerenciamento do ciclo de vida de informações de ponta a ponta, seguro e de
ponta a ponta.
Visibilidade e transparência - Abertura

A Proteção de Dados desde a Concepção (by design) procura assegurar a todos os stakeholders que,
seja qual for a prática ou tecnologia de negócio envolvida, ela está, de fato, operando de acordo com
as promessas e objetivos declarados, sujeito a verificação independente. Seus componentes e
operações permanecem visíveis e transparentes para usuários e provedores. Lembre-se, confie, mas
verifique.
Respeito à privacidade do usuário - Centrada no Usuário
Acima de tudo, a Proteção de Dados desde a Concepção (by design), exige que os arquitetos e
operadores mantenham os interesses do indivíduo (usuário) em primeiro lugar, oferecendo medidas
como padrões de privacidade fortes, notificação apropriada e capacitando opções fáceis de usar.
Manter foco no usuário.
3.2 Avaliação de Impacto sobre a Proteção de Dados (DPIA)
Nomenclaturas
AIPD = Avaliação de Impacto sobre a Proteção de Dados
DPIA = Data Privacy Impact Assessment
RIPD = Relatório de Impacto à Proteção de Dados Pessoais (LGPD)
Definição – o que é a DPIA e para que serve
Um dos principais objetivos do GDPR é que haja uma boa gestão de todos os dados pessoais tratados
e dos riscos que algumas tratativas podem trazer aos titulares dos dados. Por isso, o regulamento
tem como um dos princípios a Proteção de Dados by design, que requer que o controlador (e, na
verdade, qualquer pessoa que processe dados pessoais) antecipe e evite eventos invasivos de
privacidade antes que eles ocorram. Isso pode ser feito através de uma DPIA.
A DPIA é um processo concebido para detalhar e descrever o tratamento, avaliar necessidades e

proporcionalidade desse tratamento e auxiliar na definição e classificação dos riscos para os direitos
e liberdades dos titulares decorrentes do tratamento dos dados pessoais, avaliando-os e
determinando as medidas técnicas e administrativas para tratamento dos riscos. As DPIAs são
instrumentos importantes em matéria de responsabilização, uma vez que ajudam os responsáveis
pelo tratamento não apenas a cumprir os requisitos do GDPR, mas também a demonstrar que foram
tomadas medidas adequadas para assegurar a conformidade com o regulamento.
Basicamente, a DPIA é um processo que irá demonstrar e estabelecer conformidade com o GDPR,
pelo responsável pelo tratamento de dados (controlador), além de identificar riscos específicos aos
dados pessoais como resultado das atividades de processamento.
Como já descrito, o resultado principal que se espera de uma DPIA é a minimização dos riscos de
privacidade, isto é, risco de danos decorrentes de uma violação de dados. Abaixo, alguns exemplos
de danos que podem ser gerados aos titulares:
• Prejuízos financeiros;
• Prejuízos em relações familiares e sociais;
• Danos morais;
• Roubo de identidade;
• Entre outros.
Do ponto de vista jurídico, o responsável pela realização da DPIA é o responsável pelo tratamento
dos dados (controlador), isto é, a responsabilidade da realização da DPIA não pode ser transferida
para outros, seja um processador/subcontratante ou o próprio DPO.
Porém, cabe ressaltar, que o processo pode ser realizado por outros, mas o responsável pelo
tratamento continua sendo o responsável pelo processo.
Se o tratamento de dados for realizado por um processador (subcontratante), este deve auxiliar o
responsável pelo tratamento na execução da tarefa, fornecendo todas as informações necessárias.
Para estudar:
• GDPR Considerandos 84 e 89-94 e Artigos 35, 36 e 39
• GRUPO DE TRABALHO DO ARTIGO 29.º PARA A

PROTEÇÃO DE DADOS
Obs.: Recomendado ler estes Considerandos, pois trazem explicações sobre os Artigos.
Definição – Aplicação da DPIA
No GDPR, Artigo 35(1), está descrito quando é obrigatória a condução de uma DPIA: “Quando um
certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua
natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos
e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o
tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de
dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados
semelhantes, pode ser analisado numa única avaliação.”
Portanto, a DPIA não é obrigatória para todos os processos de tratamentos de dados e, mas para os
que podem gerar elevado risco aos direitos e liberdades dos titulares.
Risco elevado
O risco, neste contexto, refere-se ao potencial de qualquer dano físico, material ou imaterial
significativo a indivíduos.
Para avaliar se algo é de “risco elevado”, o GDPR deixa claro que você precisa considerar a
probabilidade e o impacto de qualquer dano potencial aos indivíduos. 'Risco' implica uma chance
mais do que remota de algum dano. “Risco Elevado” implica um limite mais alto, seja porque o dano
é mais provável, ou porque o dano potencial é mais severo, ou uma combinação dos dois. Avaliar a
probabilidade de risco nesse sentido faz parte do trabalho de uma DPIA.
Fonte: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-
protection-regulation-gdpr/data-protection-impact-assessments-dpias/when-do-we-need-to-do-a-
dpia/#when2
Obs.: Autoridades de Controle devem ser consideradas as principais fontes de esclarecimento sobre
questões como esta.
Ainda, de acordo com o GDPR: “A realização de uma avaliação de impacto sobre a proteção de dados
é obrigatória nomeadamente em caso de:
a) Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas

singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo
com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa
singular ou que a afetem significativamente de forma similar;
b) Operações de tratamento em grande escala de categorias especiais de dados a que se
refere o artigo 9.o, n.o 1, ou de dados pessoais relacionados com condenações penais e
infrações a que se refere o artigo 10.o; ou
c) Monitorar áreas acessíveis ao público em grande escala.”
Adicionalmente, o Considerando 91 do GDPR fornece mais orientações sobre o contexto para realizar
uma DPIA:
1. Quando há processamento em larga escala em uma área geográfica.

2. Quando novas tecnologias estão sendo usadas em grande escala.
3. Quando existe um alto nível de risco para os direitos de liberdade das pessoas.
4. Quando o processamento baseado no perfil é usado para tomar decisões relativas a pessoas
específicas.
5. Ao processar categorias especiais de dados pessoais, dados biométricos ou dados sobre
condenações penais e infrações são usados para tomar decisões em relação a pessoas
específicas.
6. Ao monitorar áreas publicamente acessíveis em larga escala ou a quando autoridade de
supervisão competente considera que existe um alto risco para os direitos e liberdades das
pessoas.
Quando fazer uma DPIA
A DPIA deve ser realizada antes do processamento, ou seja, deve ser iniciada o mais cedo possível
no projeto da operação de tratamento de dados pessoais, mesmo que algumas das operações ainda
sejam desconhecidas. À medida que a DPIA for atualizada, durante toda o ciclo de vida do projeto,
ela garantirá que a proteção de dados e a privacidade sejam consideradas, gerindo riscos que possam
surgir e estimulando a criação de soluções que promovam conformidade.
Abaixo, representação gráfica da relação da necessidade de uma DPIA com o GDPR.

Fonte: GRUPO DE TRABALHO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS
Conforme descrito na figura acima, em alguns casos, será necessário realizar uma consulta prévia
com a Autoridade de Proteção de Dados, a fim de validar a decisão de seguir ou não com o
tratamento de dados após a realização da DPIA e identificação de riscos que não podem ser
mitigados. No artigo 36, item 1, do GDPR, esta necessidade está descrita da seguinte maneira: “O
responsável pelo tratamento consulta a autoridade de controlo antes de proceder ao tratamento
quando a avaliação de impacto sobre a proteção de dados nos termos do artigo 35 indicar que o
tratamento resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo
tratamento para atenuar o risco.”
Processo de validação da DPIA
Como a DPIA é realizada antes do início do processo de tratamento de dados pessoais, é necessário
revisitar e repetir etapas individualmente da avaliação, à medida que o tratamento de dados for
sendo executado, com a finalidade de atualizar e gerenciar os riscos, atualizando medidas técnicas e
organizacionais que podem colaborar com a mitigação destes riscos.
Este ciclo deve ser contínuo e periódico, conforme demonstrado na figura abaixo.
Fonte: White paper EXIN Privacy & Data Protection Foundation and Essentials.
Objetivos de uma DPIA
Dentre os motivos já listados acima para realização de uma DPIA, destaco aqui a prevenção de riscos
de danos aos titulares como um principal objetivo, que inclusive é alinhado com os princípios de
Proteção de Dados desde a Concepção (by design).
Abaixo, são listados os objetivos para realização da DPIA:
1. evitar mudanças dispendiosas nos processos, redesenho de sistemas ou encerramento de

projetos;
2. reduzir as consequências da supervisão e fiscalização;
3. melhorar a qualidade dos dados;
4. melhorar a prestação de serviços;
5. melhorar a tomada de decisão;
6. aumentar a conscientização sobre privacidade em uma organização
7. melhorar a viabilidade do projeto;
o Mapeamento e tratativa de riscos antecipadamente.
8. melhorar a comunicação em relação à privacidade e proteção de dados pessoais;
9. reforçar a confiança dos titulares de dados na forma como os dados pessoais são processados
e a privacidade é respeitada.
Tópicos de uma DPIA
No artigo 35, item 7, do GDPR, é descrito quais são as informações (mínimas) que devem constar em
uma DPIA. Confira abaixo.
A avaliação inclui, pelo menos:
a) Uma descrição sistemática das operações de tratamento previstas e a finalidade do

tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo
tratamento;
b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em
relação aos objetivos;
c) Uma avaliação dos riscos para os direitos e liberdades dos titulares; e
d) As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de
segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a
demonstrar a conformidade com o regulamento, tendo em conta os direitos e os legítimos
interesses dos titulares dos dados e de outras pessoas em causa.
Modelo DPIA
Abaixo, um modelo de DPIA desenvolvido pela ICO (Information Commissioner´s Office) – Autoridade
de Proteção de Dados do Reino Unido, site https://ico.org.uk/
Detalhes do controlador
Nome do Controlador:
DPO:
Nome do contato do Controlador / DPO:
Etapa 1: Identificar a necessidade de um DPIA
Explique amplamente o que o projeto pretende alcançar e que tipo de processamento envolve.
Você pode achar útil consultar ou vincular a outros documentos, como uma proposta de projeto.
Resuma por que você identificou a necessidade de um DPIA.
Etapa 2: Descreva o processamento
Descreva a natureza do processamento: como você coletará, usará, armazenará e excluirá dados?
Qual é a fonte dos dados? Você compartilhará dados com alguém? Você pode achar útil consultar
um diagrama de fluxo ou outra forma de descrever fluxos de dados. Que tipos de processamento
identificados como de “alto risco provável” estão envolvidos?
Descreva o escopo do tratamento: qual é a natureza dos dados e inclui dados de categoria
especial ou de infração penal? Quantos dados você coletará e usará? Com que frequência? Por
quanto tempo você vai ficar com ele? Quantas pessoas são afetadas? Que área geográfica cobre?
Descreva o contexto do processamento: qual é a natureza do seu relacionamento com os
indivíduos? Quanto controle eles terão? Eles esperam que você use seus dados dessa maneira?
Eles incluem crianças ou outros grupos vulneráveis? Existem preocupações anteriores sobre este
tipo de processamento ou falhas de segurança? É novo de alguma forma? Qual é o estado atual
da tecnologia nesta área? Existem questões atuais de interesse público que você deva levar em
consideração? Você se inscreveu em algum código de conduta ou esquema de certificação
aprovado (uma vez que algum tenha sido aprovado)?
Descreva os objetivos do processamento: o que você deseja alcançar? Qual é o efeito pretendido
nos indivíduos? Quais são os benefícios do processamento - para você e de forma mais ampla?
Etapa 3: processo de consulta
Considere como consultar as partes interessadas relevantes: descreva quando e como você
buscará as opiniões dos indivíduos - ou justifique por que não é apropriado fazê-lo. Quem mais
você precisa envolver em sua organização? Você precisa pedir ajuda aos seus processadores? Você
planeja consultar especialistas em segurança da informação ou qualquer outro especialista?
Etapa 4: avalie a necessidade e a proporcionalidade
Descreva as medidas de conformidade e proporcionalidade, em particular: qual é a sua base

legal para o processamento? O processamento realmente atinge seu propósito? Existe outra
maneira de alcançar o mesmo resultado? Como você evitará o deslocamento da função? Como
você garantirá a qualidade e a minimização dos dados? Que informações você dará às pessoas?
Como você ajudará a apoiar seus direitos? Que medidas você toma para garantir que os
processadores cumpram? Como você protege quaisquer transferências internacionais?
Etapa 5: Identificar e avaliar os riscos
Descreva a fonte de risco e a natureza do impacto Probabilidad Impacto Risco

potencial sobre os indivíduos. Inclua a conformidade e Total
associada e os riscos corporativos conforme necessário.
Remoto, Mínimo, Baixo,

Possível ou Significant Médio
Provável Sou ou Alto
Severo
Etapa 6: Identificar medidas para reduzir o risco
Identifique medidas adicionais que você pode tomar para reduzir ou eliminar os riscos
identificados como médio ou alto risco na etapa 5
Risco Opções para reduzir ou eliminar Efeito no Riscos Medida

riscos risco Residuais Aprovada
Eliminar Alto Sim/Não
Reduzir Médio
Aceitar Baixo
Etapa 7: assinar e registrar os resultados
Item Nome/cargo/data Notas
Medidas aprovadas por: Integrar ações de volta ao plano do

projeto, com data e responsabilidade
pela conclusão
Riscos residuais Se aceitar qualquer alto risco residual,

aprovados por: consulte a ICO antes de prosseguir
Recomendações do O DPO deve aconselhar sobre

DPO: conformidade, medidas da etapa 6 e se o
processamento pode prosseguir
Resumo das recomendações do DPO:
Recomendações do Se rejeitadas, você deve explicar seus

DPO rejeitadas ou motivos
aceitas por:
Comentários:
Respostas da DPIA Se a sua decisão for diferente das

revisadas por: opiniões dos indivíduos, você deve
explicar suas razões
Comentários:
Este DPIA será mantido O DPO também deve revisar a

sob revisão por: conformidade contínua com DPIA
3.3 Dados pessoais em uso
Peso no Exame: 7,5%
• Descrever os objetivos da Gestão do Ciclo de Vida do Dado (GCVD).

• Explicar a retenção e minimização de dados.
• Descrever o que é um cookie e qual a sua finalidade.
• Descrever o direito de oposição ao processamento de dados pessoais com finalidade de
marketing direto, inclusive definição de perfis.
Gestão do Ciclo de Vida de Dados (GCVD)

Dados pessoais podem ser coletados por empresas parceiras, fornecedores ou pela própria
organização ou serem gerados através dos processos internos que são realizados no cotidiano da
empresa. Esses dados podem ser informações relacionadas aos colaboradores, clientes,
fornecedores ou terceiros.
Independente da maneira em que foram gerados ou coletados, o tratamento destes dados deverá
ser realizado de acordo com o GDPR, desde a coleta e por todo o ciclo de vida dos dados pessoais
dentro da organização. Para isso, é necessário que os processos e projetos da organização estejam
todos pautados com os princípios de privacidade e segurança de dados.
Os dados mudam ao longo de toda a sua vida útil e muitas vezes são armazenados por anos - seja
para registro ou apenas o momento. Para isso, é necessário que haja um fundamento no
regulamento, que permita este tratamento.
Finalidade do GCVD
A Gestão do Ciclo de Vida do Dado (GCVD) é um processo que ajuda as organizações a gerenciar o
fluxo de dados em todo o seu ciclo de vida: da criação, uso, compartilhamento, arquivamento e
exclusão.
Ter o controle e rastreabilidade sobre todos os dados pessoais tratados pela organização, auxiliam
na criação e manutenção de estratégias de proteção de dados, ajudando a determinar onde aplicar
os controles de segurança.
Fluxos de dados
Os vários requisitos do GDPR exigem que uma empresa saiba:
• exatamente onde seus dados e, em particular, os dados pessoais residem
• para quais finalidades os dados devem ser coletados ou criados
• para quais razões os dados devem ser retidos
• em que data ou em que situação os dados devem ser excluídos
Coleta de dados
Desde o início, é importante que sejam definidos quais dados pessoais são necessários para os fins
do processamento pretendido. Conforme o GDPR, é necessário um motivo para manter os dados
pessoais armazenados, portanto, a qualquer momento, deve ser claro e fácil demonstrar ao menos:
• com que finalidade ou finalidades as informações foram coletadas
• em que data os titulares dos dados foram informados da coleta e da sua finalidade
• se o consentimento foi adquirido para o processamento pretendido
• se esse consentimento ainda é válido (e não retirado)
• se existe outro fundamento legal para processamento
Na prática, cada “pedaço” de informação precisa de numerosas etiquetas indicando porque existe e
por quanto tempo continuará existindo.
Estrutura de permissões
Qualquer coleta de dados, mas uma coleta de dados pessoais em particular, precisa de uma estrutura
de permissões, definindo claramente quais funcionários precisam, por conta de sua função na
organização, acessar quais dados pessoais.
No entanto, as coisas mudam. Um bom programa deve avaliar e revisar continuamente quem precisa
acessar que tipo ou tipos de informação. Controladores e processadores devem trabalhar com seus
colegas de TI para automatizar controles em todos os sistemas corporativos. Eles devem facilitar para
que os funcionários façam a coisa certa contra a coisa errada. Eles devem evitar que os funcionários
tenham consequências negativas através de suas ações, desde a simples negligência em fazer alguma
coisa.
Depois que a estrutura de permissões estiver em vigor, ela deve ser mantida por meio de avaliações
regulares e contínuas.
Construir regras de retenção e exclusão

Um dos princípios fundamentais do GDPR é a minimização de dados: a obrigação de os controladores
e processadores garantirem que os dados pessoais são adequados, relevantes e limitados ao
necessário em relação aos fins para os quais são processados (Artigo 5(1c)). Na prática, isso leva a
um equilíbrio contínuo entre quais dados manter e por que e quais dados descartar de maneira
segura.
Armazenar dados pessoais é um fardo para qualquer organização. É preciso muito esforço para
manter os dados seguros, completos e atualizados, e ainda mais esforços para responder às
solicitações dos titulares de dados, solicitando informações sobre o processamento de seus dados e
para lidar com reclamações referentes a seus direitos. Adicionalmente, há sempre a ameaça de uma
violação de dados pessoais, com os procedimentos resultantes, o risco para os titulares de dados e
o risco de dados para a empresa, como perda de reputação, custo de reparações e possíveis multas.
Há muitas obrigações legais em relação à retenção de dados pessoais por um determinado período.
Por exemplo, considere-se registros de clientes, como vendas e transações financeiras, garantias ou
informações de recursos humanos, como currículo, histórico de pagamento ou informações
tributárias.
A boa Gestão do Ciclo de Vida do Dado (GCVD):
• fornece as ferramentas para gerenciar o fluxo de dados em um sistema de informações

• mantém rastreamento dos dados a partir do momento em que são coletados ou gerados
até o momento em que são excluídos, porque não há motivo para retê-los.
Auditoria de proteção de dados
O GDPR define auditorias como uma das principais maneiras de manter os processos de uma
empresa em conformidade. Além disso, o processo de auditoria é uma das funções do DPO,
conforme o artigo 39:
O DPO deve desempenhar, pelo menos, as seguintes funções: controlar o cumprimento do presente
regulamento, outras disposições de proteção de dados da União ou dos Estados-Membros e as
políticas do controlador ou do subprocessador relacionadas com a proteção de dados pessoais,
incluindo a atribuição de responsabilidades, conscientização e treinamento do pessoal envolvido nas
operações de processamento, e as auditorias relacionadas;
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 39(1) (b).
O artigo 47 (2j) exige que Regras Corporativas Vinculantes (BCR) devem especificar, entre outras,
auditorias para avaliar os mecanismos contratados para assegurar a verificação do cumprimento
dessas BCR.
Já o Artigo 58(1b), confere às Autoridades Supervisoras o direito de realizar investigações sob a forma
de auditorias de proteção de dados.
As auditorias devem ser realizadas com objetivo de avaliar regularmente se as medidas técnicas e
organizacionais estão sendo eficazes, no sentido de manter a conformidade com o regulamento e
proteção e privacidade dos dados pessoais.
Um processo de auditoria deve trazer como resultado falhas identificadas nos processos e devem ser
definidos planos de ação para correção de possíveis falhas na política de privacidade e proteção de
dados pessoais.
De um modo geral, dois tipos de auditorias de privacidade podem ser distinguidos: uma auditoria de
adequação e uma auditoria de conformidade.
Auditoria de adequação
Os principais objetivos de uma auditoria de adequação são:
• assegurar que as políticas de proteção de dados da organização sejam aplicadas a todas as
instâncias de processamento de dados pessoais realmente estão acontecendo, incluindo
conjuntos de dados históricos, backups e equipamentos obsoletos.
• avaliar se estas políticas são adequadas para atender aos requisitos do GDPR e outras leis e
regulamentos de proteção de dados possivelmente aplicáveis, tanto dentro como fora da
União Européia.
Para realizar uma auditoria de adequação, é imprescindível que sejam realizados o mapeamento e
entendimento completos dos fluxos de dados em toda a empresa, e é mais do que apenas revisar
todas as políticas, procedimentos, códigos de prática e diretrizes da empresa que afetam o manuseio
de dados pessoais durante seu ciclo de vida. A auditoria de adequação deve ser feita dentro da
empresa e com todos os terceiros envolvidos, como processadores, por exemplo.
Auditoria de conformidade
A auditoria de conformidade deve ser realizada após a conclusão da etapa de adequação, a fim de
identificar se as políticas e processos definidos e revisados estão sendo realizados de maneira
correta.
Nesta etapa, é necessária uma investigação de como os dados pessoais são tratados na prática
dentro das várias unidades de negócios, entre departamentos e ao lidar com terceiros e deve
examinar alguns aspectos, como:
• se a organização oferece treinamento de conformidade de privacidade de dados
• como as políticas de privacidade de dados são disseminadas para os funcionários
• como as reclamações de violações de políticas são tratadas
Conteúdo de um plano de auditoria
• Desenvolvimento de programas de auditoria (planejamento)

o Contatos, finalidades, prazo ...
• Descrição da abordagem e o escopo da auditoria:
o Será uma adequação - ou uma auditoria de conformidade?
o Auditoria vertical (funcional), visando um departamento específico (como Recursos
Humanos) ou
o Auditoria horizontal (processo); rastreamento de um determinado processo de uma
ponta à outra
o Escopo da auditoria (governança de proteção de dados, gerenciamento de
registros, gerenciamento de acesso e segurança de dados, proteção de dados,
treinamento e conscientização etc.)
• Preparativos, reunindo evidências das áreas incluídas:
o Acordos de parcerias o Contratos, como contrato de processador-controlador, BCR,
acordos de divulgação, etc.
o Descrições de processos; ordens de serviço, avisos, …
o Material de treinamento, panfletos etc.
• Realizando a auditoria
• Relatório:
o Conclusão geral
o Áreas de boa prática
o Áreas para melhoria
• Acompanhamento
Práticas Relacionadas a Aplicações do Uso de Dados, Marketing e Mídias
Sociais
O uso de informações de mídia social em atividades de marketing
Algum tempo atrás, as empresas divulgavam seus produtos e serviços através da mídia (televisão,
rádio, revistas, jornais) e até mesmo através de telemarketing, contratando uma enorme força de
vendas para incomodar as pessoas diretamente sobre o produto.
Porém, essas metodologias não foram muito eficazes, pois foram baseados em interromper as
pessoas no que estavam fazendo, esperando que elas pudessem ver o produto e pensar: “é isso o
que tenho procurado” e, se assim fosse, então elas se lembrariam de quem anunciava e aonde
deveriam ir para encontrar esse produto.
Com a rápida evolução da internet, se tornou muito mais fácil fazer com que os produtos e serviços
sejam vistos e compartilhados pelos consumidores, além de permitir que esses consumidores
possam emitir opiniões e criticar os produtos, participando, algumas vezes até da produção e design.
Tornou-se fácil criar um site, escrever um blog, publicar conteúdo e mídia (fotos, som, vídeo) nas
mídias sociais. Não apenas os fornecedores, mas praticamente todos podem publicar seu próprio
conteúdo, que seus consumidores desejam comprar.
Com as mídias sociais, todos podem entrar em contato com outras pessoas conectadas a essas mídias
sociais, em qualquer lugar do mundo. Um exemplo é que apenas o Facebook tem mais de 1,5 bilhão
de usuários e, com isso, um vasto mercado global está aberto.
Nessa nova era digital, o negócio está se tornando "multicanal" e interativo. Os fornecedores
escrevem sobre seus produtos como jornalistas, e as pessoas reagem a isso indicando se gostam do
que veem, gostam do que está sendo produzido, do que está sendo oferecido. Por outro lado, se elas
não gostarem, elas não hesitarão em dizer ao mundo sobre isso também, muitas vezes em termos
bastante contundentes.
Finalmente, um novo conceito de vendas está surgindo. Muitas pessoas acham importante o que as
outras pessoas e, em particular, seus amigos, acham do produto que estão procurando. A mensagem
de que "76% dos seus amigos gostam deste produto "prova ser um incentivo para comprar. Mesmo
que não haja como verificar essa afirmação, todos parecemos acreditar.
Os consumidores podem ser divididos em grupos com gostos semelhantes, interesses semelhantes
e outros grupos relevantes. Ao ler uma loja on-line, todos vimos comentários como "compradores
do também compraram: ". Mensagens como essa provam ser um facilitador de vendas muito forte,
desde que o consumidor-alvo tenha gostos e interesses semelhantes aos dos "outros compradores".
Uso da internet no campo do marketing

Marketing na internet tem sido usado manter uma relação direta com um titular dos dados por
razões comerciais ou de caridade.
Para que sejam enviadas as informações de produtos e serviços relacionadas para os potenciais
consumidores, são utilizadas algumas práticas, como:
• Coleta de dados pessoais, criação de perfis e envio de malas diretas.

• Compra de dados pessoais de terceiros;
• Contratação de terceiros para organizar os mailings.
A criação dos perfis para definição das relações de envio de marketing é feita com de informações
coletadas dos titulares de dados através de cookies.
Titular de dados e o marketing
Quando dados pessoais são processados para fins de marketing direto, o titular dos dados deve ter o
direito de se opor a tal processamento, incluindo o perfil na medida em que está relacionado a tal
marketing direto, seja em relação ao processamento inicial ou posterior, em qualquer tempo e
gratuitamente. Esse direito deve ser explicitamente levado ao conhecimento dos dados e
apresentado de forma clara e separada de qualquer outra informação.
O controlador é obrigado a notificar os titulares dos dados sobre a possibilidade de registrar

objeções/oposições.
Uma nova consequência do GDPR, em particular o direito de inspeção e correção, irá capacitar o
titular dos dados um pouco mais do que antes:
Um titular de dados deve ter o direito de acesso aos dados pessoais que foram coletados a respeito
dele e de exercer esse direito facilmente e em intervalos razoáveis, a fim de estar ciente e verificar a
legalidade do processamento. Isto inclui o direito de os titulares de dados terem acesso a dados
relativos à sua saúde, por exemplo, os dados dos seus registos médicos que contêm informações
como diagnósticos, resultados de exames, avaliações por processamento de médicos e qualquer
processamento ou intervenções fornecidas. Todos os titulares de dados devem, portanto, ter o direito
de conhecer e obter comunicação, especialmente no que diz respeito aos fins para os quais os dados
pessoais são processados, quando possível, o período pelo qual os dados pessoais são processados,
os destinatários dos dados pessoais, a lógica envolvida em qualquer processamento automático de
dados pessoais e, pelo menos quando baseado em perfis, as consequências de tal processamento.
Sempre que possível, o controlador deve ser capaz de fornecer acesso remoto a um sistema seguro
que forneceria ao sujeito dos dados acesso direto aos seus dados pessoais. Esse direito não deve
afetar adversamente os direitos ou liberdades de terceiros, incluindo segredos comerciais ou
propriedade intelectual e, em particular, os direitos autorais que protegem o software. Contudo, o
resultado dessas considerações não deve ser uma recusa em fornecer todas as informações à pessoa
em causa. Quando o controlador processa uma grande quantidade de informações relativas ao titular
dos dados, o controlador deve poder solicitar que, antes da entrega da informação, o titular dos
dados especifique as informações ou atividades de processamento a que o pedido se refere.
Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; item 63

O GDPR traz uma lista de interesses do usuário considerados como “legítimos” para o processamento
de dados pessoais, ainda que sem seu consentimento. O marketing, no entanto, não é considerado
como uma dessas hipóteses de legitimidade – é necessário o consentimento do titular de dados.
O usuário (titular) não pode ser obrigado a consentir o processamento de seus dados pessoais que
não são necessários para a prestação de serviços que solicitou.
ATENÇÃO: Silêncio, campos pré-selecionados ou inatividade não podem ser interpretadas como
expressão de consentimento.
Exemplos de consentimento:
✓ Informações claras
✓ Titular pode selecionar quais informações deverão ser processadas
× Titular é obrigado a aceitar, sem opção de escolher quais informações

podem ser processadas
× Informação não é transparente
Cookies
Um cookie é apenas um arquivo de texto (geralmente pequeno), armazenado no computador do
usuário. Eles são usados pela maioria dos sites comerciais e tem uma ampla variedade de propósitos,
como:
❑ Análise de comportamento dos usuários em sites;
❑ Publicidade direcionada, registrando as preferências

do usuário;
❑ Autenticação, entre outros...
Os cookies mais comuns são: cookies de sessão, cookies persistentes e cookies de rastreamento.
Cookies de sessão
• Permitem que os usuários sejam reconhecidos dentro de um site;
• Todas as preferências do usuário ou seleção de itens e de dados são lembradas,
como por exemplo carrinhos de compra de loja onine;
• Ao fazer logon em um site, a informação de logon é armazenada em um cookie
de sessão na memória do computador;
• Ao sair do site ou fechar o navegador, o cookie da sessão é apagado da memória
do computador.
Cookies persistentes
• Permanecem no disco rígido até serem apagados ou até expirarem;
• Podem oeferecer serviços ao usuário como manter seleção de idioma, por
exemplo;
• Esse tipo de cookie pode tornar a experiência do visitante do site mais pessoal.
Cookies de rastreamento
• Chamado de cookie de terceiros, é colocado no disco rígido de um usuário por
um site de um domínio diferente daquele que o usuário está visitando;
• Possibilitam salvar algumas informações sobre o usuário para uso posterior;
• São geralmente definidos por redes de publicidade nas quais um site pode se
inscrever;
• O objetivo dos cookies é acompanhar quais páginas uma pessoa está visitando,
construindo um perfil da pessoa com base em interesses.
Conforme vimos, os cookies podem ser um tipo de identificação de dados pessoais indiretos, pois,
podem conter, por exemplo, o nome do site e um ID de usuário exclusivo. Sendo possível identificar
o titular somente com informações adicionais.
O próprio GDPR menciona cookies apenas uma vez (no considerando 30), mas esclarece que um
cookie pode ser interpretado como um identificador online, o que significa que se enquadra nos
dados pessoais e, portanto, o titular dos dados deve consentir.
Fonte: EU GDPR - A pocket guide, Second Edition, IT Governance Publishing Ltd
Pessoas físicas podem estar associadas a identificadores on-line […], como endereços de protocolo
de internet, identificadores de cookies ou outros identificadores […]. Isso pode deixar rastros que, em
particular quando combinados com identificadores exclusivos e outras informações recebidas pelos
servidores, podem ser usados para criar perfis das pessoas naturais e identificá-los.
Fonte: GDPR Considerando 30
O uso de Cookies é melhor governado pela Diretiva ePrivacy 2002/58/ EC (conhecida como a Lei dos
Cookies).
❑ Criada para colocar diretrizes e expectativas em vigor para a privacidade eletrônica, engloba
e-mail marketing e uso de cookies.
❑ Aplica-se a todos os estados membros da União Europeia e sites fora dela que têm que
cumprir os termos se eles visam a pessoas dentro dos estados-membro.
A Diretiva ePrivacy será revogada em breve pelo novo Regulamento de Privacidade Eletrônica.
→ Trabalhará junto com o GDPR para regulamentar os requisitos para o

uso de cookies.
→ Prevê-se que o novo regulamento mantenha valores semelhantes aos

da diretiva, aplicando grande parte das mesmas orientações.
Lembre-se: Diretiva é diferente de Regulamento.

Apostila Certifiquei - PDPF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila Certifiquei - PDPF

Enviado por

Direitos autorais:

Formatos disponíveis

Caro aluno,

Estamos muito satisfeitos em acompanhá-lo no seu processo de desenvolvimento profissional e

• Número de questões: 40 de múltipla escolha.

Trilha DPO EXIN

0.1. Sobre a EXIN .........................................................................................................................7

0.1.1. Certificações da Exin ............................................................................................. 8

0.3. Como funciona a prova do exame PDPF ............................................................................10

0.4. Por que se tornar um profissional certificado em PD & P? ................................................11

0.5. Por que se tornar um DPO? ...............................................................................................11

1. Fundamentos e regulamentação de privacidade e proteção de dados .........................................13

1.1 Definições .....................................................................................................................................13

Contextualização histórica ..............................................................................................................13

Regulamento X Diretiva ..................................................................................................................15

Estrutura do GDPR ..........................................................................................................................15

Escopo territorial do GDPR .............................................................................................................17

Definições de Privacidade ...............................................................................................................18

Privacidade x Proteção de Dados Pessoais .....................................................................................19

Segurança da Informação ...............................................................................................................20

1.2 Dados Pessoais ..............................................................................................................................22

Dado pessoal ...................................................................................................................................22

Pessoa natural (pessoa física) ............................................................................................. 23

Categorias especiais de dados pessoais (dados sensíveis) .............................................................26

Processamento de dados pessoais (atividades de tratamento) .....................................................27

Papéis e responsabilidades (partes interessadas) ..........................................................................28

Titular dos dados ................................................................................................................. 28

Motivos Legítimos para o Processamento ......................................................................................34

Limitação de Finalidade e Especificação de Finalidade ..................................................................35

Proporcionalidade e Subsidiariedade .............................................................................................38

Proteção de dados desde a conceção e por default ........................................................... 40

Princípios relativos ao tratamento e dados pessoais ......................................................................44

1.5 Direitos dos titulares .....................................................................................................................45

Direitos dos titulares previstos pelo GDPR .....................................................................................45

1. Direito à informação transparente, comunicação e modalidades .................................. 45

Conceito de violação de dados pessoais .........................................................................................57

Categorias de violação de dados pessoais ......................................................................................62

Como agir quando ocorre violação de dados pessoais ...................................................................63

Notificação de uma violação de dados pessoais à Autoridade Supervisora ....................... 64

Requisitos para cumprir com o GDPR .............................................................................................67

Estrutura Legal .................................................................................................................... 68

Registro de atividades de processamento .......................................................................... 70

Condições gerais para a imposição de multas administrativas ......................................................74

2.2 Autoridade Supervisora ............................................................................................................77

Autoridade Supervisora ..................................................................................................................77

Responsabilidades de Autoridade Supervisora ..............................................................................78

Acompanhar e fazer cumprir a aplicação do regulamento ................................................. 78

Poderes de investigação da Autoridade Supervisora .......................................................... 83

Processamento transfronteiriço .....................................................................................................87

Identificar a Autoridade Supervisora principal ...............................................................................89

Transferências com base em uma decisão de adequação..............................................................90

Regulamentos aplicáveis à transferência de dados entre o AEE e os EUA .....................................91

2.4 Regras corporativas vinculantes (BCR) e proteção de dados em contratos .................................93

Transferências sujeitas a salvaguardas apropriadas .......................................................................93

Regras Corporativas Vinculantes (BCR) ..........................................................................................95

Contratos entre Controlador e Processador ...................................................................................97

Cláusulas do contrato escrito .............................................................................................. 97

Benefícios da proteção de dados by design..................................................................................100

Os sete princípios de proteção de dados desde a concepção (by design)....................................101

Proativo não reativo; preventiva não remediadora .......................................................... 101

Definição – o que é a DPIA e para que serve .................................................................... 106

Gestão do Ciclo de Vida de Dados (GCVD)....................................................................................119

Finalidade do GCVD ........................................................................................................... 120

Auditoria de adequação .................................................................................................... 123

O uso de informações de mídia social em atividades de marketing ................................. 125