Escolar Documentos
Profissional Documentos
Cultura Documentos
A Lei Geral de Proteção de Dados (LGPD) tem ganhado cada vez mais desta-
que e profissionais que desejam atuar no segmento precisam compreender e dominar
quais são os requisitos de conformidade, de forma prática e sem enrolação.
Nesta leitura, você vai encontrar informações sobre tudo o que realmente pre-
cisa saber para atuar em proteção de dados e superar os desafios de carreira.
Glossário
Dado pessoal — Já que falamos sobre a coleta, é essencial entender que dados
são esses:
Dado Sensível — Além do dado pessoal, a LGPD também visa garantir que os
dados sensíveis do titular dos dados sejam protegidos. Mas, o que são dados sensíveis?
Agora que você já está familiarizado com termos, siglas e tópicos importantes
sobre a LGPD, podemos aprofundar em outros temas.
2 - Direito de acesso
Também temos o direito de informação, que determina que o titular tem o di-
reito de saber com quais terceiros (sejam entidades públicas ou privadas) o controlador
compartilha os dados.
4 - Direito de correção
É importante sabermos que, nos casos em que a base legal usada para tratar
os dados tiver sido o consentimento, o titular poderá revogar a qualquer momento,
respeitando o disposto no art. 8º da Lei, por manifestação expressa por meio de proce-
dimento gratuito e facilitado.
7 - Direito à portabilidade
A Lei também conferiu aos titulares o direito à portabilidade, que possibilita que
os titulares solicitem a transferência dos seus dados pessoais a outro fornecedor de
serviço ou produto.
Esse direito visa empoderar ainda mais o titular dos dados, uma vez que a por-
tabilidade procura viabilizar o efetivo controle do titular sobre os seus dados para os
mais diversos fins, possibilitando que o titular gerencie os seus dados. Isso facilita, in-
clusive, a migração do titular para empresas concorrentes.
8 - Direito de oposição
Outro direito outorgado aos titulares dos dados é o de oposição. Por meio dele,
o titular pode se opor a quaisquer tratamentos e informações que não estejam em
conformidade com a lei, assim como contra decisões automatizadas que afetem seus
interesses.
Uma vez exercido esse direito, o controlador dos dados deverá fornecer infor-
mações claras e adequadas a respeito dos critérios e dos procedimentos utilizados
para a decisão automatizada e, se for o caso, deverá rever tal decisão automatizada.
10 - Direito à informação
É claro que pode haver uma variação quanto aos objetivos de uma empresa
conforme o seu tamanho e o mercado econômico em que atua, mas os princípios de
É na própria Lei que está a inspiração para se determinar as missões dos inte-
grantes do Privacy Office, ou seja, a Área de Privacidade e de todo o grupo de pessoas
que tenham relação com a empresa no tratamento de dados pessoais.
Nós devemos entender porque podemos tratar dados pessoais com base na
LGPD, fornecendo os comunicados de privacidade e obtendo os consentimentos, quan-
do requeridos, ou enquadrando o fundamento legal.
3 - Governança
Nós estabelecemos políticas que apoiam a LGPD, por isso, treinamos os colabo-
radores, monitoramos e fiscalizamos o cumprimento da lei e das políticas da empresa.
4 - Reporte de Violação
5 - Registro de Tratamento
Nós sabemos quais dados pessoais são tratados, onde e como tratamos, bem
como quem e de qual forma tem acesso, além de como são protegidos.
6 - Segurança
7 - Privacy by Design
8 - Gestão de Terceiros
3. Guia de Marketing:
Com base na LGPD, a empresa tem que ter uma base legal para tratar os dados
pessoais para a finalidade de marketing direto. É recomendável que se adote esse guia
para orientar os empregados sobre quando e de que forma é possível realizar o marke-
ting direto.
Primeiro, porque por meio dele é possível entender a categoria dos dados pes-
soais (sensíveis ou não) e a extensão dos dados pessoais tratados, a razão do seu tra-
tamento, com quem os mesmos são compartilhados (e aqui nos referimos a áreas,
fornecedores, sistemas), por quanto tempo, por qual razão e como os mesmos são
armazenados.
Por outro lado, se já existe uma Política escrita, após a realização do RoPA será
possível conferir se todas as atividades de tratamento de dados pessoais de fato estão
alinhadas com as diretrizes da organização. Se não estiverem, mais uma vez, você terá
a oportunidade de corrigi-las.
Como se não bastasse, o RoPA ainda expõe várias outras ações importantes ao
processo de implementação da LGPD:
• se a organização dá ou não transparência das atividades de tratamento de
dados pessoais aos seus titulares;
• com quais fornecedores ou clientes devem ser assinados contratos de
processamento de dados pessoais (ou contratos de co-controladoria de
dados pessoais);
• se há processos e procedimentos internos de retenção de dados pessoais
(você se surpreenderá com o volume de dados pessoais tratados nas
organizações e a frequência com que o tempo de armazenamento dos
mesmos é classificado como a prazo indeterminado);
• quais os treinamentos necessários para aumentar o nível de conhecimento
da organização a respeito;
• quais medidas de segurança da informação precisam ser atualizadas ou
implementadas, dentre tantas outras frentes de trabalho.
Nas nossas aulas você contará com o nosso conhecimento prático sobre as dife-
rentes formas de preenchimento do RoPA, quais campos ele pode conter para cobrir e
endereçar todas essas frentes de trabalho, além de como tem sido a nossa experiência
na implementação da LGPD.
Para começar, uma organização precisa conhecer e ter muito bem mapeadas
todas as suas informações (recebidas, criadas, transformadas, armazenadas, utilizadas
e inutilizadas), bem como classificar estas informações em seu devido grau de relevân-
cia ou confidencialidade.
Tipos de ataques
Engenharia Social
A Engenharia Social pode ocorrer em diversos canais diferentes, tais como: te-
lefonemas, e-mails, mensagem de texto, armadilhas físicas, ataques psicológicos, ex-
ploração de uma falha humana, manipulação de emoções, entre outros. Mais uma vez
precisamos enfatizar que a melhor forma de atuar na prevenção da Engenharia Social
é o Treinamento.
Não há como saber até onde os hackers chegaram antes do surgimento dos
alertas e, em alguns casos, talvez seja necessário desconectar os sistemas da sua orga-
nização da internet para que o malware não se espalhe ou utilize microssegmentação.
Caso haja procedimento de segurança em vigor, essas ações preventivas tratarão de
mitigar os problemas antes que se transforme em uma crise de grandes proporções.
Também é vital que os funcionários não subestimem seu papel na proteção dos
dados sigilosos, inclusive dados pessoais, e que todos devem e fazem parte do proces-
so de segurança da informação. Muitas vezes, um ataque ocorre em um colaborador
que não possui informações sensíveis, porém, ele poderá ser um “Gateway” para que
os vírus possam infectar as máquinas de seus colegas de trabalho e, assim, poderão
ter informações sensíveis — em todos os casos de ransomware é assim que ocorre
normalmente.
Sempre que vamos estudar um assunto novo, nos deparamos com uma lingua-
gem diferente, que para os que atuam na área são expressões corriqueiras. Por conta
desse novo vocabulário, os que acabaram de chegar ficam por fora das discussões, já
que não estão familiarizados com tais expressões e conceitos.
Devido a isso, não só criamos um glossário neste material, como também va-
mos nos aprofundar em mais mais duas expressões em inglês que são muito utilizadas
por quem trabalha na área de privacidade de dados, são elas: Privacy by Design e o
Privacy by Default. Antes de tudo, vale fazer uma contextualização conceitual.
Há quem defenda que não existe mais privacidade, ou pior, que não há mais da-
dos, inclusive pessoais, que não tenham sido violados. Como profissionais e estudantes
deste tema, não podemos aceitar tal generalização como verdade. Mas como garantir
que as empresas, inclusive desenvolvedores de novo produtos, softwares e aplicativos,
e ainda que os algoritmos funcionem como garantidores da privacidade de dados?
Privacy by Design
A adoção do Privacy by Design não é a única forma, mas com certeza é uma das
ferramentas mais relevantes. Pois só assim, os novos produtos, softwares, processos,
procedimentos, serviços e algoritmos observarão a privacidade já no momento da sua
concepção e desenvolvimento.
O Privacy by Design pode ser definido como o cuidado com a privacidade dos
dados pessoais já no momento da criação do produto ou serviço e não por meio de
adaptações posteriores, que na maioria das vezes será mais cara e não eficiente.
De acordo com a própria Ann Cavoukian, são 7 os princípios que regem a Priva-
cy by Design:
• Proatividade (Proactive not Reactive) — tomar a iniciativa e não
simplesmente ser reativo, ou seja, não esperar que os riscos de privacidade
se materializem;
• Privacidade como Configuração Padrão (Privacy as the Default
Setting)— nenhuma ação é necessária por parte do titular para a proteção da
privacidade, e não o contrário, onde o usuário precisa habilitar os controles
de privacidade;
• Privacidade Incorporada no Design (Privacy Embedded into Design) —
a privacidade é incorporada ao design e arquitetura dos sistemas de TI e
práticas de negócios. Assim, a privacidade se torna um componente essencial
da funcionalidade principal sendo entregue. O que exige criatividade na sua
criação, pois incorporar privacidade pode significar reinventar as escolhas
existentes, já que não respeitar a privacidade é inaceitável;
• Acomodar todos os interesses (Full Functionality – Positive-Sum) — todos
os interesses (inclusive dos titulares) devem ser observados em uma relação
“ganha-ganha”, não apenas sob a ótica do controlador ou desenvolvedor;
• Proteção de ponta a ponta (End-to-End Security) — considerar a segurança
durante toda a vida útil do dado envolvido;
• Manutenção da visibilidade e transparência (Visibility and
Transparency)— o produto ou serviço deve operar de acordo com as
promessas e objetivos declarados, podendo ser auditável;
• Foco no titular do dado (Keep it User-Centric) — o interesse do usuário
deve estar no centro de qualquer projeto que envolva o tratamento de dados
pessoais. O consentimento, os dados corretos e atualizados, o fácil acesso e
a conformidade são direitos embutidos nesse princípio.
Base Legal:
LGPD:
GDPR:
Art. 25. Conforme o contexto (custo, natureza, escopo, riscos, etc.), o controla-
dor deve, desde a concepção do processamento até sua execução, implementar medi-
das técnicas e administrativas efetivas, como pseudoanonimização e minimização, para
cumprir a legislação e proteger os direitos dos titulares – necessidade: dos dados em si,
do tempo que os mesmos são processados e de quem tem acesso aos mesmos.
Agora que você já está chegou até aqui, podemos passar para o próximo tópico,
sobre os controladores e operadores de dados.
Responsabilização
Adquiri alguns produtos em uma loja virtual e, para isso, preenchi um cadastro e
disponibilizei alguns dos meus dados pessoais. Esta loja (que é a controladora dos dados)
armazena os meus dados e de seus outros clientes por meio de um provedor de armaze-
namento em nuvem especializado (que seria neste caso, o Operador).
Por uma falha desse provedor, os meus dados foram vazados e sofri danos em
razão deste vazamento. Neste caso, certamente, demandarei da loja virtual (Controla-
dora) a reparação aos danos sofridos e esta loja poderá, se comprovar que o Operador
realmente não cumpriu com a LGPD, obter o ressarcimento do provedor.
Mas, como a Loja poderia evitar esta situação ou se assegurar que este provedor
arcará com os prejuízos? Era necessário que, antes de contratá-lo, fosse feita uma ava-
liação deste provedor. A avaliação deveria ser realizada em todos os fornecedores que
realizam tratamento de dados pessoais para o Controlador.
Análise de fornecedores
Tratará dados de menores? São dados que também possuem tratamento es-
pecial pela LGPD. Se a resposta for sim para qualquer destas perguntas, precisamos
seguir com outras perguntas: Qual é o volume de dados tratado? Compartilhará os
dados pessoais com outros terceiros? Utilizará alguma ferramenta/sistema? Efetuará
transferência internacional de dados?
Com base nestas perguntas, podem ser criados critérios para entender qual
o risco de contratação do terceiro para a empresa em relação à LGPD.
Ainda, com base nos requisitos e obrigações trazidas pela LGPD atreladas aos contro-
les internos e monitoramento, as seguintes questões devem ser consideradas:
• a implementação de processos e controles destinados ao tratamento de dados
durante todo o seu ciclo de vida, contemplando relações com fornecedores e
clientes, bem como com empregados e terceiros;
• o cumprimento com os requisitos para a gestão dos controles dos dados no
tocante à classificação, coleta, licitude, tratamento, comunicação, portabilidade,
compartilhamento e transferência e tratamentos de dados pelo Poder Público;
• a adoção de mecanismos de respostas a incidentes e verificação dos elementos
essenciais para a elaboração do Relatório de Impacto à Proteção de Dados
Pessoais.
Por meio da capacitação da LEC, esperamos que os alunos se encontrem aptos a de-
tectarem e implementarem os elementos essenciais de um Programa de Compliance em Pro-
teção de Dados, bem como evidenciar a sua efetividade pela gestão por indicadores, monito-
ramento adequado, contribuindo, assim, para a melhoria contínua do Programa.