LGPD Manual

MANUAL DA LEI GERAL DE
PROTEÇÃO DE DADOS
PARA INSTITUIÇÕES
DE ENSINO
Covac Sociedade de Advogados | lgpd@advcovac.com.br | www.advcovac.com.br

Dados Internac
cionais de
e Cataloga ação na Puublicação (CIP)
(Câma
ara Brasil eira do Liv
vro, SP, Brasil)
B
Sillva, Daniel Cavalcan te

Maanual da Lei Geral de e Proteção o de Dados
s para Inst ituições de
e
En
nsino [livro eletrônico
o] / Daniel Cavalcante
C e Silva, Addriana Carla
a
Arouca. -- 1. ed. -- Brassília: 2020. PDF
ISB
BN 978-65
5-00-08739
9-0
1. Direito à privacidade
p e 2. Instituições
3. Proteção ded dados 44. Proteção o de dados
s - Direito -
Brasil 5. Protteção de d
dados - Leis e legislação I.
Arouca, Adriana Carla.. II. Título.
Co
olaboradores:
João Paulo de Campos Echeverria a | Colaborador | Brassil
José Robertoo Covac Jú nior | Colab
borador | Brasil
Au
ugusto De Albuquerqu
A ue Paludo | Colaborad dor | Brasil
Janaína Rodrrigues Pere
eira | Colabborador | Brrasil
Aline Bastos Lomaz Migguez | Colaaborador | Brasil
B
Th
hiago Graçaa Couto Bra
aun | Colab borador | Alemanha
An
ndressa Caroline Reaiis Pinto | Colaborador
C r | Brasil
Letícia Santa
ana De And
drade Bales stero Pranaaitis | Colabborador | Brrasil
20
0-43869 CDU-3442.721(094
4.56)
Índices para catálogo sistemático:

1. Lei geral de proteç
ção de dad os: Direito à privacidade 342.7721(094.56
6)
Maria Alic
ce Ferreira
a - Bibliotec
cária - CRB-8/7964
PREFÁCIO
A Lei Geral de Proteção de Dados (LGPD), de agosto de 2018, que

desde então entrou parcialmente em vigor, já traz grandes mo-
dificações no panorama de tratamento de dados pelas Instituições
de Ensino brasileiras. A implementação de um projeto para atendi-
mento à Lei requer grandes esforços, que significam visitar as diver-
sas áreas e departamentos das Instituições de Ensino, mapear, cons-
tatar, rever e redesenhar processos e a real necessidade de obtenção
de dados, racionalizando-os mediante a efetiva necessidade de sua
coleta e utilização.
Tratamento de dados pessoais, dados sensíveis, bases legais,
consentimento e sua revogação, direitos dos titulares, políticas,
ANPD, Encarregado (DPO), são terminologias que farão parte do
cotidiano das Instituições de Ensino e devem passar a constituir
uma nova cultura organizacional, a cultura de proteção de dados
pessoais, tanto para evitar as penalidades no escopo da Lei, como
também pelo risco de publicização para a correção do eventual
“acidente de vazamento de dados”, que pode afetar decisivamente
a honra objetiva da Instituição de Ensino, isto é: sua reputação no
segmento educacional.
Sua aplicabilidade nas Instituições é plena, as mudanças neces-
sárias devem receber melhoria continuada. A conexão com a tec-
nologia é certa, expressa, por exemplo, na necessidade dos compe-
tentes registros (logs), bem como nas interfaces disponíveis com os
titulares dos dados, que poderão exercer seus direitos relativos às
informações sobre si a qualquer momento. Bem se vê a importância
da conformidade das Instituições de Ensino com a LGPD e da cons-
tatação das bases legais para tratamento dos dados.
A presente obra elaborada pelo renomado escritório Covac So-
ciedade de Advogados, capitaneado pelo Dr. José Roberto Covac,
profissional com mais de 30 anos na área jurídico-educacional,
aborda temas relevantes demandados pela Lei, que aplicados no
atendimento da LGPD indicam as ações e fases para implementa-
ção e obtenção da conformidade, auxiliando de modo decisivo os
importantes passos necessários para a implantação em sua Insti-
tuição de Ensino.
Parece claro que além de a conformidade com a LGPD ser um im-
perativo legal, também será um importante diferencial de sua Insti-
tuição Educacional nesse segmento.
José Inácio Ramos
Diretor-Presidente
Instituto Presbiteriano Mackenzie
APRESENTAÇÃO
O escritor inglês William McFee, que além de escritor também era

engenheiro naval no início do século passado, cravou uma frase
que um dia seria o norte de um aforismo político considerável: “O
mundo não está interessado nos temporais que você encontrou. Ele
quer saber se você trouxe o navio.” Amiúde ao seu devido contexto,
resta claro que o aforismo acima é perfeitamente cabível com a Lei
Geral de Proteção de Dados (LGDP), pois a referida legislação não
está interessada nos temporais que as organizações estão passando,
ela quer saber se essas organizações estão com o navio pronto para
a partida. Essa realidade é potencializada no período de pandemia
decorrente do novo Coronavírus (Covid-19).
Como é cediço, a Lei n.° 13.709, de 14 de agosto de 2018, alterada
pela Lei n.° 13.853, de 8 de julho de 2019, que instituiu a chamada
Lei Geral de Proteção de Dados (LGPD), estabeleceu um regramento
geral para as operações de tratamento de dados pessoais, seja por
meio físico ou digital, realizadas por intermédio de pessoas jurídicas
e naturais.
A LGPD objetiva mitigar os riscos relacionados ao tratamento in-
devido e/ou abusivo de dados e, ao mesmo tempo, viabilizar que no-
vos negócios e tecnologias sejam desenvolvidos em um ambiente
de segurança jurídica, com base em importantes fundamentos, tais
como: respeito à privacidade; à autodeterminação informativa; à li-
berdade de expressão, de informação, de comunicação e de opinião;
à inviolabilidade da intimidade, da honra e da imagem; ao desen-
volvimento econômico e tecnológico e a inovação; à livre iniciativa,
livre concorrência e defesa do consumidor e aos direitos humanos
liberdade e dignidade das pessoas.
A aplicação da LGPD impactará em todas as organizações na-
cionais ou estrangeiras que ofertam produtos e/ou serviços para o
mercado nacional ou que monitorem o comportamento de titulares
de dados localizados no Brasil, independentemente de sua naciona-
lidade ou local de residência. Considerando a sua amplitude, resta
evidente que a LGPD também impactará de maneira contundente
nas instituições de ensino em razão das especificidades dos serviços
que estas prestam, pois essas organizações são detentoras de dados
importantes de alunos e docentes, além de dados acadêmicos que
possuem tratamento diferenciado.
A Lei Geral de Proteção de Dados atribui ao titular de dados pes-
soais o direito de obter informações claras, adequadas e ostensivas a
respeito do tratamento de seus dados. Importa esclarecer que trata-
mento de dados engloba a coleta, produção, recepção, classificação,
utilização, o acesso, a reprodução, transmissão, distribuição, proces-
samento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência,
difusão ou extração de dados pessoais. De acordo com a lei, as in-
formações sobre o tratamento de dados pessoais devem ser claras,
objetivas, facilmente compreensíveis e acessíveis ao titular durante
todo o período em que o tratamento ocorre.
Os dados pessoais de alunos e docentes, não necessariamente vin-
culados às atividades acadêmicas, teriam duas implicações diretas
para as instituições de ensino: uma de ordem consumerista e outra
de ordem trabalhista. A não conformidade no tratamento de dados
pessoais dos alunos, dados esses não necessariamente acadêmicos,
poderia implicar em uma demanda de ordem consumerista, uma vez
que haveria a necessidade de um consentimento expresso do titular
do dado (o aluno) para que esse dado pudesse ser exposto ou não. Da
mesma forma, a não conformidade no tratamento de dados pessoais
dos docentes, dados esses não acadêmicos, poderia implicar em uma
demanda de ordem trabalhista, uma vez que também haveria a ne-
cessidade do consentimento expresso do titular do dado (professor)
para que esse dado pudesse ser exposto ou não. Essa é uma situação
que pode levar a discussões judiciais, sob o ponto de vista consume-
rista e trabalhista, para um patamar até então desconhecido.
Desde a aprovação da LGPD no Brasil e sua entrada em vigor,
as entidades educacionais passaram a estabelecer estratégias para
a conformidade com a legislação. O desafio é equilibrar a confor-
midade e a proteção da privacidade com a sustentação do próprio
negócio e com as inovações. Para a busca de conformidade serão
necessárias mudanças operacionais e de processos de trabalho em
diversas áreas das instituições de ensino, além de investimentos em
capacitação e implementação de novas tecnologias.
Como se pode perceber, a LGPD possui uma amplitude con-
siderável perante as entidades educacionais, o que ensejou a neces-
sidade de desenvolver o presente trabalho e fornecer subsídios para
que as instituições de ensino (educação básica e ensino superior)
possam se adequar o mais rápido possível à legislação.
Esse trabalho que vem a lume é fruto de um grande esforço coleti-
vo de vários advogados da Covac Sociedade de Advogados, os quais
buscaram se qualificar em torno da Lei Geral de Proteção de Dados
e se esmeraram na apresentação de soluções práticas e estratégicas
para a adequação das instituições de ensino à nova legislação. A con-
vergência de esforços também se soma à experiência adquirida com
os programas de integridade (compliance) que a Covac Sociedade de
Advogados tem implementado nos últimos anos em instituições de
ensino em todo o país.
Em virtude dessas circunstâncias, a Covac Sociedade de Advoga-
dos desenvolveu o presente trabalho, que busca apresentar um con-
teúdo claro, de fácil leitura e de aplicação imediata. O trabalho traz o
roadmap completo da implantação da Lei Geral de Proteção de Da-
dos nas instituições de ensino, com todos os procedimentos iniciais
de implantação, mapeamento de dados, políticas de segurança, im-
plementação dos direitos dos titulares, ajustes contratuais, relatório
de impacto, gerenciamento de violação de dados e encerramento do
projeto, além de diversas outras peculiaridades.
É certo que, assim como os impactos, as incertezas são muitas. O
mundo passa por grandes rupturas e pelo estabelecimento de novos
paradigmas. No setor educacional o cenário não é diferente, principal-
mente com o surgimento de uma lei tão impactante. Por isso, mais
do que nunca, informação de qualidade é essencial para o processo
de tomada de decisão das instituições de educação.

Boa leitura!
Daniel Cavalcante Silva

SUMÁRIO CLIQUE PARA SER
DIRECIONADO
CAPÍTULO 1 APRESENTAÇÃO DA LGPD – LEI GERAL 07

DE PROTEÇÃO DE DADOS
CAPÍTULO 2 GESTÃO DE PROJETO E ROADMAP 24
CAPÍTULO 3 FASE PRELIMINAR 29
CAPÍTULO 4 INÍCIO DA IMPLEMENTAÇÃO 32
CAPÍTULO 5 MAPEAMENTO DOS DADOS PESSOAIS 38
CAPÍTULO 6 POLÍTICAS DE SEGURANÇA 53

DA INFORMAÇÃO
CAPÍTULO 7 IMPLEMENTAÇÃO DOS DIREITOS 59

DOS TITULARES
CAPÍTULO 8 AJUSTES CONTRATUAIS E 65

TRANSFERÊNCIAS INTERNACIONAL
CAPÍTULO 9 RELATÓRIO DE IMPACTO (RIPD) 71

OU DATA PROTECTION IMPACT
ASSESSMENT - DPIA
CAPÍTULO 10 GERENCIAMENTO DE 77
VIOLAÇÕES DE DADOS
CAPÍTULO 11 ENCERRAMENTO DO PROJETO 85

10 LGPD | Lei Geral de Proteção de Dados
LGPD | Lei Geral de Proteção de Dados 11
Capítulo 1
Apresentação da LGPD - Lei

Geral de Proteção de Dados
No dia 28 de janeiro, comemora-se o Dia Internacional da Proteção de Dados, data ofi-
cializada pelo Conselho Europeu e presente no calendário oficial de mais de 50 países. A
escolha dessa data, que hoje tem relevância global, faz referência à assinatura da Con-
venção 108 do Conselho da Europa, de 1981, que foi o primeiro instrumento transnacio-
nal, com força vinculante, a tratar da proteção de dados como objeto de tutela.
O debate em torno da privacidade, contu- que reconheceu o direito fundamental à

do, é mais antigo do que imaginamos. Em autodeterminação informativa, reconheci-
1890, advogados americanos publicaram, do como sendo o direito que cabe a cada
em edição da Harvard Law Review daquele indivíduo de controlar e proteger os pró-
ano, o primeiro artigo Jurídico sobre priva- prios dados pessoais, em vista do avanço
cidade de que se tem registro. O contexto da tecnologia e do processamento da infor-
do artigo versava sobre o “O direito de ser mação. Esse julgamento serviu como mar-
deixado em paz”1 e já dava noções sobre as co temporal no reconhecimento do que se
crescentes violações ao direito de imagem convencionou denominar “proteção de da-
decorrentes da massificação dos meios de dos pessoais”.
comunicação. Sabe-se, por exemplo, que,
Com o decorrer do tempo, contudo, o
nesse mesmo período, instituições finan-
conceito do direito à privacidade evoluiu de
ceiras já faziam uso da estratégia de coletar
tal maneira, que passou a abranger qual-
e armazenar informações sobre seus clien-
quer intromissão não consentida na vida
tes, ainda que de forma manual, para con-
privada, passando a representar um valor
trolar riscos e minimizar custos.
social que carecia de proteção jurídica. Essa
Ainda que no que tange à evolução his- perspectiva se consolidou definitivamente
tórica do tema, um dos elementos marcan- nos anos 2000, quando a nova edição da
tes foi o julgamento ocorrido em 1983 pelo Carta de Direito Fundamentais da União
Tribunal Constitucional Federal Alemão, Europeia reconheceu, em seu art. 8º, a pro-
teção de dados como um direito autôno-
mo, destacado do direito à privacidade. É
1
WARREN e BRANDEIS, The Right to Privacy. In Harvard Law
Review, Vol IV, Dezembro 15, 1890, No.5. correto dizer, portanto, que a proteção de
dados pessoais é uma evolução do direito à

cionadas à formação de bancos de dados de
privacidade, vez que, hoje em dia, inclui em
consumidores, e mais recentemente, com o
seu conteúdo situações relativas à tutela de
Marco Civil da Internet, Lei nº 12.965, de 23 de
dados sensíveis, o seu total controle pelo ti-
abril de 2014, que estabeleceu, como princí-
tular e o respeito às liberdades de escolha.
pios básicos do uso da internet no Brasil, a
O ápice, contudo, se deu em abril de 2016, proteção da privacidade e dos dados pes-
quando a União Europeia promulgou o Re- soais, e os direitos e garantias dos internau-
gulamento Geral de Proteção de Dados tas, como a “inviolabilidade da intimidade e
Pessoais – GDPR (General Data Protection da vida privada, sua proteção e indenização
Regulation), tornando o tema ainda mais pelo dano material ou moral decorrente de
premente para o mundo todo ao constar, sua violação”, além de impor regras aos pro-
dentre suas exigências, a necessidade de vedores de Internet.
adaptação por parte de países e empresas
A evolução desse processo culminou
que quisessem continuar mantendo rela-
com a promulgação da Lei Geral de Pro-
ções comerciais com a EU, no sentido de
teção de Dados, claramente inspirada na
que deveriam também possuir legislação
GDPR da União Europeia. Prevista para
de proteção de dados em conformidade
entrar em vigor em 16 agosto de 2020, a
com as disposições do Regulamento.
Lei nº 13.709, de 14 de agosto de 2018, tam-
No Brasil, algumas normas infraconstitu- bém conhecida pela sigla LGPD, traz em
cionais previram regras que hoje se identifi- seu bojo dispositivos que implicarão em
cam com o conceito de proteção de dados, profundas transformações no que se refe-
como o Código de Defesa do Consumidor, re à proteção de dados pessoais e ao nível
por exemplo, que estabeleceu regras rela- de privacidade que se atribui a essas infor-
mações e, diante da constatação de que
os dados pessoais são um ativo econômi-
co valioso, um dado político sensível e um
bem jurídico a ser tutelado, vai transformar
a forma como os dados pessoais são ma-
nipulados no Brasil e, sobretudo, a forma
como empreendimentos brasileiros ope-
ram e fazem negócios.
POR QUE OS DADOS PESSOAIS SE

TORNARAM TÃO VALIOSOS?
Pode-se dizer que, a partir da década de
70, com o início do processo de informati-
zação da atividade de processamento de
dados pessoais, a economia tem sido for-
temente impulsionada pelo poder da infor-
mação. Grandes empresas de varejo pas-
saram a tomar suas decisões estratégicas
baseadas em refinadas análises a respeito
de renda, preferências e comportamentos
de seus consumidores, oferecendo produ-
tos e serviços personalizados, numa forma
valiosa de fidelizar clientes, poupar tempo
e lucrar.
PARE PARA PENSAR!

Você se lembra de ter fornecido algum dado pessoal seu nas últimas
semanas, sem que houvesse um motivo justificado? Certamente, já
pediram seu CPF em lojas, farmácias, restaurantes, e você forneceu,
acreditando que era simplesmente para a formação de cadastro.
Você se preocupa em perguntar para qual finalidade seu documento

está sendo solicitado? Analisa se essa finalidade faz sentido?
Você sabia que algumas farmácias, onde seu CPF é sempre solicita-
do, utilizam seus dados para desenvolver um mapeamento das suas
doenças e vender essa informação para planos de saúde, para que
possam aumentar o valor do seu plano?
Você sabia que algumas empresas verificam qual é o modelo do seu

computador para, a partir dessa informação, exercer precificação di-
nâmica, colocando preços maiores para pessoas que têm computa-
dores de marcas mais caras?
Você sabia que existe uma indústria de venda de mailing de clientes

e que seus dados podem estar circulando nessas listas, sem que você
saiba quando e para que serão utilizados?
Você sabia que o wi-fi público grátis não tem nada de grátis, que você
troca internet por dados pessoais, utilizados para finalidades bem di-
versas à de simplesmente te entregar acesso à internet?
A verdade é que os dados pessoais, bem trato, intangível, que é formado pela univer-
mais do que informações, representam in- salidade de seus comportamentos, desejos,
dicadores de individualidade, únicos e in- preferências, opiniões e buscas feitas em
transponíveis. E, nessa condição de identi- ambiente virtual. Acrescente a esse conjun-
ficadores da nossa personalidade, podem to de valores as informações pessoais pro-
ser usados para manipular nossas próprias priamente ditas, e temos um universo de
escolhas. Ao mesmo tempo, também repre- valor inestimável, ao qual convencionou-se
sentam ativos de extrema importância para denominar “dados pessoais”.
as empresas, na medida em que podem ser
E é justamente por terem se tornado
utilizados para o atingimento de seus objeti-
tão valiosos, que os dados pessoais come-
vos econômicos.
çaram a ser coletados e utilizados indiscri-
Neste contexto, ter acesso às informações minadamente!
pessoais dos consumidores tornou-se obje-
Assim, em um contexto tão valioso e
to de desejo de grandes grupos econômi-
complexo, onde ainda se inserem questões
cos. O consumidor não é mais visto apenas
relativas a incidentes de segurança envol-
como um comprador ou cliente em poten-
vendo vazamentos de dados pessoais, é de
cial. À sua figura foi agregado um valor abs-
suma importância que todos nós, na condi-
ção de titulares desse conjunto de bens tão

valiosos, passemos a questionar e a ponde-
rar como, quando e quais dados pessoais
queremos disponibilizar.
1.1 VISÃO GERAL DA LGPD
A Lei Geral de Proteção de Dados, Lei nº

13.709, foi promulgada em 14 de agosto
de 2018, tendo por objetivo regular as ati-
vidades de tratamento de dados pessoais
e está prevista para entrar em vigor em 16
de agosto de 2020. O longo período ha-
vido entre a data de publicação e o início
de sua vigência, conhecido como vacatio 1.2. SUA INSTITUIÇÃO ESTÁ
legis, é resultante da complexidade das
PREPARADA PARA A LGPD?
ações que precisam ser tomadas pelas
empresas para adaptação aos novos parâ-
Como já dissemos anteriormente, empre-
metros legais.
sas de todos os portes, públicas ou priva-
A LGPD se aplica a qualquer operação de das, que coletam dados pessoais, sejam
tratamento de dados, estejam eles em meio de clientes, consumidores, funcionários,
digital ou não, realizada por pessoa natural fornecedores ou prestadores de servi-
ou por pessoa jurídica, de direito público ou ços, estão obrigadas ao cumprimento da
privado, que tenha por objetivo a oferta ou o LGPD e devem estar em conformidade
fornecimento de bens ou serviços localiza- com suas regras.
dos em território nacional. Com seu forma-
Para melhor compreensão do universo
to abrangente, ela engloba organizações e
da LGPD, passemos à explicação de seus
empresas de todos os portes.
termos e conceitos, começando a partir do
A adequação das instituições em re- escopo da lei, definido no art. 1º da LGPD:
lação à LGPD envolve mais do que uma
adaptação ao texto legal; envolve uma Art. 1º. Esta Lei dispõe sobre o trata-
transformação cultural que deve alcançar mento de dados pessoais, inclusive nos
os níveis estratégico, tático e operacional meios digitais, por pessoa natural ou por
da instituição. Essa transformação envol- pessoa jurídica de direito público ou pri-
ve considerar a privacidade dos dados vado, com o objetivo de proteger os di-
pessoais do cidadão (cliente/consumidor/ reitos fundamentais de liberdade e de
funcionário/terceiro) desde a concepção privacidade e o livre desenvolvimento da
do serviço ou do produto até sua execu- personalidade da pessoa natural.
ção ou entrega, além de promover ações
de conscientização de todo o corpo fun- OBJETIVOS DA LEI:
cional, no sentido de incorporar o direito à
privacidade dos dados pessoais nas ativi- Tal qual estampado no texto legal acima
dades institucionais cotidianas. destacado, a LGPD tem como objetivo pri-
mordial proteger os direitos fundamen-
tais de liberdade e de privacidade e a livre
formação de cada indivíduo. Isso significa
que a legislação confere aos dados pesso-
relacionada à pessoa natural identificada

ou identificável”.
Essa identificação é toda e qualquer in-
formação que permita individualizar o titu-
lar do dado, conduzindo diretamente a uma
determinada pessoa. Os dados pessoais
mais convencionais são nome, sobrenome,
endereço residencial, número de documen-
tos, dentre outros. Além dos dados pessoais
objetivos, também estão sob a proteção da
LGPD os dados identificáveis, constituídos
por informações que, quando reunidas sob
determinado prisma, permitem identificar
direta ou indiretamente uma pessoa por
meio de referências. São informações como
ais o status de direito fundamental, incluin- profissão, idade, especialidade, naturalida-
do-o entre aqueles que são inerentes à pro- de, formação, endereço de IP, geolocaliza-
teção do Princípio da Dignidade da Pessoa ção do usuário, dentre várias outras.
Humana. Reconhecer os dados pessoais, Dentro do conceito de dados pessoais,
inclusive os dados sensíveis, como direito também temos a classe de dados pessoais
fundamental da personalidade significa ga- denominados “sensíveis”, que são informa-
rantir ao cidadão a possibilidade de contro- ções que, devido à sua sensibilidade, podem
le, a segurança e a preservação de sua inti- levar a atitudes discriminatórias contra seus
midade e de seus dados particulares. titulares e, por esse motivo, precisam de
Contudo, também se pode dizer que, de- proteção especial. Esse grupo compreende
vido às significativas modificações que im- informações sobre origem racial ou étnica,
põe à atividade empresarial e à sociedade convicção religiosa, opinião política, filiação a
como um todo, a lei também tem outras sindicato ou a organização de caráter religioso,
pretensões, tais como: filosófico ou político, dado referente à saúde
ou à vida sexual, dado genético ou biométrico,
• Promover maior segurança jurídica no
quando vinculados a uma pessoa natural.
uso e tratamento de dados pessoais;
• Fortalecer a confiança da sociedade na Dados pessoais de crianças e adolescen-
coleta e uso dos seus dados pessoais; tes também requerem atenção especial,
sendo necessário consentimento específico
• Salvaguardar os direitos do consumi-
do responsável para sua coleta e tratamento.
dor na garantia da livre iniciativa e da
livre concorrência; Por fim, a lei também faz referência a
• Permitir que o cidadão tenha maior “dados anonimizados”, que são aqueles que
controle sobre seus dados, ao exigir a não permitem a identificação do titular atra-
adoção de práticas transparentes e se- vés de meios técnicos razoáveis e, portanto,
guras no tratamento de dados; não são considerados dados pessoais.
• Fomentar o desenvolvimento econô-
mico e tecnológico. O QUE SE ENTENDE POR TRATAMENTO?
Considera-se “tratamento de dados” toda
O QUE É DADO PESSOAL? e qualquer atividade que utilize um dado
A definição para esse termo vem estampa- pessoal em sua execução. As principais ati-
da no inciso I do artigo 5º da LGPD, segun- vidades de tratamento de dados e suas res-
do a qual dado pessoal é “toda informação pectivas definições são:
• Acesso: ato de ingressar, transitar, co- tente obtido por meio de qualquer pro-
nhecer ou consultar a informação, cesso;
bem como possibilidade de usar os • Transferência: mudança de dados de
ativos de informação de um órgão ou uma área de armazenamento para ou-
entidade, observada eventual restrição tra, ou para terceiro;
que se aplique; • Transmissão: movimentação de dados
• Armazenamento: ação ou resultado entre dois pontos por meio de disposi-
de manter ou conservar em repositó- tivos elétricos, eletrônicos, telegráficos,
rio um dado; telefônicos, radioelétricos, pneumáticos,
• Arquivamento: ato ou efeito de man- etc.;
ter registrado um dado, embora já te- • Utilização: ato ou efeito do aproveita-
nha perdido a validade ou esgotado a mento dos dados
sua vigência;
• Avaliação: analisar o dado com o obje-
Como já dito anteriormente, a LGPD se
tivo de produzir informação;
aplica a qualquer operação de tratamento
• Classificação: maneira de ordenar os de dados pessoais realizada tanto por pes-
dados conforme algum critério estabe- soa natural quanto por pessoa jurídica, in-
lecido; dependente de qual seu tamanho, que seja
• Coleta: recolhimento de dados com fi- realizada em território nacional ou com da-
nalidade específica; dos coletados em território nacional ou, ain-
• Comunicação: transmitir informações da, que tenha como titular pessoa localiza-
pertinentes a políticas de ação sobre da em território nacional, tanto no ambiente
os dados; online quanto no off-line.
• Controle: ação ou poder de regular, Importante destacar, contudo, que a
determinar ou monitorar as ações so- LGPD não se aplica ao tratamento de dados
bre o dado; pessoais, quando este tratamento for:
• Difusão: ato ou efeito de divulgação, i. Realizado por pessoa natural para fins
propagação, multiplicação dos dados; exclusivamente particulares e não
• Distribuição: ato ou efeito de dispor econômicos;
de dados de acordo com algum crité- ii. Realizado para fins exclusivamente
rio estabelecido; jornalísticos, artísticos ou acadêmicos;
• Eliminação: ato ou efeito de excluir ou iii. Realizado para fins exclusivos de se-
destruir dado do repositório; gurança pública, defesa nacional, se-
• Extração: ato de copiar ou retirar dados gurança do Estado, atividades de in-
do repositório em que se encontrava; vestigação e repressão de infrações
• Modificação: ato ou efeito de altera- penais;
ção do dado; iv. Proveniente de fora do território na-
• Processamento: ato ou efeito de pro- cional e que não seja objeto de co-
cessar dados visando organizá-los para municação, uso compartilhado de
obtenção de um resultado determinado; dados com agentes de tratamento
• Produção: criação de bens e de servi- brasileiros ou objeto de transferência
ços a partir do tratamento de dados; internacional de dados com outro país
que não o de proveniência, desde que
• Recepção: ato de receber os dados ao
o país de proveniência proporcione
final da transmissão;
grau de proteção de dados pessoais
• Reprodução: cópia de dado preexis- adequado ao previsto na lei.
1.4 QUEM É QUEM NA LGPD?
Esse tópico destina-se a identificar os

diferentes atores envolvidos no universo do
tratamento de dados e demonstrar quais
são as responsabilidades de cada um deles
dentro da instituição. Assim, temos:
É o sujeito diretamente protegido pela lei, é a pessoa

TITULAR natural a quem se referem os dados pessoais que são
objeto do tratamento.
Pessoa física ou jurídica, de direito público ou privado,

CONTROLADOR é quem coleta os dados pessoais e toma as decisões
em relação a todo o processo de tratamento dos dados,
define sua finalidade e o tempo de armazenamento.
É a pessoa física ou jurídica que efetivamente realiza o

OPERADOR tratamento dos dados pessoais em nome do controla-
dor. Vale observar que a lei denomina o Controlador e o
Operador como “Agentes de Tratamento”.
É a pessoa natural, indicada pelo Controlador para atu-

ENCARREGADO OU ar como responsável pela comunicação entre o Contro-
DPO (DATA PROTECTION lador, os titulares e a Autoridade Nacional de Proteção
OFFICER) de Dados, além de orientar o Controlador sobre as me-
lhores práticas em relação ao tratamento de dados. A
figura do encarregado e suas atribuições vêm especifi-
camente disciplinadas pelo art. 41 da LGPD.
É o órgão da administração pública indireta que ficará

AUTORIDADE responsável por zelar, implementar e fiscalizar o cum-
NACIONAL DE primento da LGPD, além de aplicar sanções por des-
PROTEÇÃO DE cumprimento da lei, mediante processo administrativo.
DADOS
1.3. QUAIS SÃO AS HIPÓTESES seja fornecido por escrito ou por ou-
tro meio que demonstre a manifesta-
DE TRATAMENTO DE DADOS
ção inequívoca de vontade do titular.
PESSOAIS PERMITIDAS PELA Quando for concedido por escrito, de-
LEI - BASES LEGAIS PARA O verá constar em cláusula destacada
das demais cláusulas contratuais, que
TRATAMENTO: não poderá ser genérica, justamen-
te para que reste comprovado que o
A LGPD autoriza, em seu art. 23, empresas
consentimento foi dado para uma fi-
e organizações em geral a realizar o trata-
nalidade específica de tratamento;
mento de dados pessoais unicamente para
o atendimento de sua finalidade específica, 2. Para o cumprimento de obrigação
com o objetivo de executar as competências legal ou regulatória pelo controla-
legais ou cumprir as atribuições contratual- dor: a segunda base legal diz respeito
mente ajustadas, desde que as hipóteses de ao cumprimento de obrigação legal
tratamento sejam informadas ao titular. ou regulatória por parte do controla-
dor, o que possibilita que a LGPD não
O tratamento de dados pessoais poderá
entre em conflito com outras legisla-
ser realizado, portanto, desde que esteja en-
ções vigentes.
quadrado em uma das hipóteses elencadas
no art. 7º. Tais hipóteses devem ser compre- 3. Para execução de políticas públicas:
endidas como condições necessárias para essa base legal indica que também
verificar se o tratamento de dados a ser re- os órgãos públicos estão obrigados
alizado pelo controlador ou operador é per- ao cumprimento das regras da LGPD
mitido. ao tratarem e compartilharem dados
pessoais para execução de políticas
As bases legais que legitimam o trata-
públicas ou respaldadas em contratos,
mento de dados conforme a LGPD são:
convênio ou instrumentos congêne-
1. Mediante Consentimento do titu- res, sem a necessidade de consenti-
lar: essa é, possivelmente, a base le- mento dos titulares.
gal de tratamento mais difundida e a
4. Para a realização de estudos de ór-
que exige mais atenção. Isso porque
gão de pesquisa: Neste caso, deverá
a LGPD exige que o consentimento
ser garantida, sempre que possível, a
anonimização dos dados pessoais por beneficiem o titular de dados, desde

meio de procedimentos que impossi- que respeitados os direitos e liberda-
bilitem a associação de um dado a um des fundamentais do titular, que exi-
indivíduo, seja mediante criptografia jam a proteção de seus dados.
ou outro mecanismo anonimizador. 10. Proteção ao crédito: essa base legal
No caso de estudos em saúde pública, de tratamento serve como garantia
os dados serão tratados estritamen- ao controlador no recebimento de
te para fins de estudos e pesquisas, seu crédito.
devendo ser mantidos em ambiente
controlado e seguro.
5. Quando necessário para a execução 1.5. PRINCÍPIOS DA LGPD
de contrato/diligências pré-contra-
tuais: essa base autorizadora refere- A atividade de tratamento de dados pesso-
-se à necessidade de tratamento para ais está calcada sobre dez princípios funda-
execução de um contrato ou de um mentais indicados pela legislação que, com
procedimento preliminar relacionado o objetivo de proteger o titular, limitam o
a um contrato do qual o titular de da- tratamento de dados pessoais. São eles:
dos é parte integrante.
1. FINALIDADE: realização do tratamen-
6. Exercício regular de direito: o trata- to de dados para propósitos legítimos,
mento de dados está, nesse caso, au- específicos, explícitos e informados
torizado para finalidades específicas ao titular;
em decorrência de ordem judicial ou
imposição legal. 2. ADEQUAÇÃO: compatibilidade do
tratamento com as finalidades infor-
7. Proteção da vida: o tratamento de madas ao titular, de acordo com o
dados, nesse caso, é admitido com o contexto do tratamento;
objetivo de proteger a vida ou a inco-
lumidade física do titular de dados ou 3. NECESSIDADE: limitação do trata-
de terceiros, desde que devidamente mento ao mínimo necessário para re-
comprovada a necessidade e exposta alizar as finalidades, com abrangência
a finalidade do tratamento nessa situ- dos dados pertinentes e não excessi-
ação. vos em relação às finalidades;
8. Tutela da saúde: no mesmo compas- 4. SEGURANÇA: utilização das medi-

so da base anterior, a LGPD também das técnicas e administrativas aptas a
autoriza o tratamento de dados para proteger os dados pessoais de aces-
a tutela da saúde do titular, desde que sos não autorizados e de situações
realizado por profissionais de saúde, acidentais ou ilícitas de destruição,
serviços de saúde ou autoridade sani- perda, alteração, comunicação ou di-
tária. fusão;
9. Interesses legítimos do Controlador 5. PREVENÇÃO: adoção de medidas

ou de terceiros: uma das bases mais para prevenir a ocorrência de danos
propagadas, o tratamento com base em virtude do tratamento de dados;
no legítimo interesse autoriza o con- 6.
RESPONSABILIZAÇÃO E PRESTA-
trolador a tratar dados pessoais para ÇÃO DE CONTAS: demonstração,
diversas finalidades, desde que consi- pelo agente de tratamento, da ado-
deradas legítimas, tais como (i) apoio ção de medidas eficazes e capazes
e promoção de atividades do contro- de comprovar a observância e o cum-
lador e (ii) prestação de serviços que primento das normas de proteção de
dados pessoais e, inclusive, a eficácia 7. Informações sobre o tratamento dos

dessas medidas; seus dados e as entidades com as
quais o Controlador realizou uso com-
7. LIVRE ACESSO: garantia aos titulares,
partilhado de dados, bem como a
de consulta facilitada e gratuita sobre
possibilidade de não fornecimento de
a forma e a duração do tratamento,
consentimento;
bem como sobre a integralidade de
seus dados pessoais; 8. Suporte para reclamação à Autorida-
de Nacional;
8. QUALIDADE DOS DADOS: Garantia
aos titulares de exatidão, clareza, re- 9. A correção de dados incompletos, ine-
levância e atualização dos dados, de xatos ou desatualizados;
acordo com a necessidade e para o
10. A revisão das decisões tomadas exclu-
cumprimento da finalidade de seu
sivamente com base em tratamento
tratamento;
automatizado de dados pessoais;
9. TRANSPARÊNCIA: Garantia, aos titu-
11. Informação sobre a possibilidade de
lares, de informações claras, precisas
não fornecer o consentimento;
e facilmente acessíveis sobre a reali-
zação do tratamento e os respectivos 12. Objeção ao tratamento, caso efetua-
agentes, observados os segredos co- do de forma errônea ou irregular.
mercial e industrial;
10. NÃO DISCRIMINAÇÃO: impossibi-
lidade de realização do tratamento 1.7. SEGURANÇA DA INFORMAÇÃO
para fins discriminatórios, ilícitos ou E SIGILO DOS DADOS PESSOAIS
abusivos.
Conforme consta na exposição de motivos
da LGPD, um dos fatores que motivou sua
1.6. DIREITOS DOS TITULARES DOS promulgação foi o avanço da tecnologia da
informação e a exacerbada quantidade de
DADOS PESSOAIS dados pessoais expostos na Internet, moti-
vando o legislador a empreender esforços
Considerando-se que os dados pessoais são
para conferir maior proteção às informa-
direito personalíssimo, tutelado pela legisla-
ções dos cidadãos e à sua privacidade.
ção, os titulares dos dados poderão, a qual-
quer tempo e mediante requisição, solicitar Nesse sentido, a LGPD introduz novas
ao Controlador: responsabilidades e práticas que devem ser
observadas e cumpridas por todos aqueles
1. A confirmação da existência do trata-
que realizam tratamento de dados pessoais,
mento de dados;
dedicando o capítulo VII da lei às medidas
2. A anonimização, bloqueio ou elimina- de segurança e boas práticas que devem
ção de dados desnecessários, excessi- ser adotadas para garantir e a segurança e
vos ou tratados ilicitamente; a proteção dos dados.
3. A portabilidade dos dados a outro for- De fato, a LGPD não é uma lei estanque,
necedor de serviço ou produto; pois necessita de aplicabilidade técnica que
perpassa ao conceito estritamente legal e
4. A revogação de consentimento;
incide em termos relacionados com o sis-
5. O acesso aos seus dados; tema de informação, ferramentas, proce-
6. A eliminação dos dados pessoais tra- dimentos, normas, práticas negociais, ela-
tados com o consentimento do titular; boração de projetos, dentre vários outros
fatores.
tes dentro das organizações, que devem ser

1.7.1. O QUE SE ENTENDE POR
protegidos contra ameaças, desastres, erros
SEGURANÇA DA INFORMAÇÃO
(intencionais ou não) a manipulação não au-
A segurança da informação está diretamen- torizada, com o objetivo de reduzir a proba-
te relacionada com a proteção de um con- bilidade e o impacto de incidentes de segu-
junto de informações, a fim de preservar o rança e garantir a continuidade do negócio.
valor que possuem para um indivíduo ou
Assim, a segurança da informação pode
uma organização. A segurança da informa-
ser entendida como sendo o resultado da
ção tem por propriedades básicas: a confi-
implementação de um conjunto de contro-
dencialidade, a integridade, a disponibilida-
les, que compreende políticas, processos,
de e a autenticidade, assim entendidas:
procedimentos, estruturas organizacionais
• Confidencialidade: grau em que o e funções de hardware e software.
acesso à informação é restrito a um
Para garantir que esse cenário de segu-
grupo definido e autorizado a ter esse
rança da informação se concretize e por
acesso. A confidencialidade é um prin-
entender que as organizações são respon-
cípio da segurança da informação que
sáveis por manter a segurança e sigilo dos
garante que os arquivos da empresa
dados pessoais sob sua responsabilidade,
sejam acessados somente por pesso-
a LGPD estabelece, de maneira bastante
as autorizadas, controlando e restrin-
objetiva, em seus artigos 46 a 49, que os
gindo acessos;
agentes de tratamento de dados (o Contro-
• Integridade: refere-se à manutenção lador e o Operador) devem lançar mão de
das condições iniciais das informações todas as medidas de segurança, técnicas e
de acordo com a forma em que foram administrativas, aptas a proteger os dados
produzidas e armazenadas. A integri- pessoais tratados contra acessos não auto-
dade é o princípio da segurança da rizados ou outras situações ilícitas.
informação que garante que os dados
estejam em sua originalidade e não al- A LGPD não indica especificamente quais
terados ou corrompidos. serão os padrões técnicos de segurança re-
comendados, o que virá a ser definido pela
• Disponibilidade: grau em que as in-
Agência Nacional de Proteção de Dados –
formações estão disponíveis para o
ANPD, por ocasião de sua regulamentação
usuário e para o sistema de informa-
complementar. É certo, contudo, que, em
ções que está em operação no mo-
sua avaliação, a ANPD irá considerar (i) a
mento em que a organização exige. É
natureza das informações tratadas; (ii) as ca-
o princípio da segurança da informa-
racterísticas específicas do tratamento; (iii)
ção que garante que os dados possam
o estado atual da tecnologia e, (iv) os princí-
ser acessados sempre que necessário.
pios informadores da LGPD (art. 6º da LGPD).
• Autenticidade: propriedade que algo/
alguém é o que diz ser. É o processo Isso significa que, em prol da segurança
de identificar e registrar o usuário que e proteção dos dados, os agentes de trata-
está enviando ou modificando uma mento devem:
informação. i. Implementar sistemas, ferramentas e
serviços aptos a proteger e monitorar o tra-
tamento de dados pessoais, bem como pro-
É relevante observar que a segurança da
tege-los contra:
informação não está relacionada somente
com sistemas de informações e dispositi- • Acessos não autorizados
vos computacionais, mas a quaisquer ati- • Situações acidentes ou ilícitas de des-
vos que contenham informações, incluindo truição, perda, alteração, comunicação
pessoas, documentos impressos e ambien- ou vazamento de dados
• Qualquer forma de tratamento inade- passa por atualizações e, ao final do proces-

quado ou ilícito so, deve ser adequadamente descartado.
ii. Apresentar políticas, normas e proce- Esse procedimento vem estampado e
dimentos internos que orientem a atuação definido pelo inciso X do art. 5º da LGPD,
dos colaboradores em prol da proteção de que disciplina como sendo tratamento
dados pessoais. “toda operação realizada com dados pes-
soais, como as que se referem a coleta,
1.7.2. O CICLO DE VIDA produção, recepção, classificação, utiliza-
DA INFORMAÇÃO ção, acesso, reprodução, transmissão, dis-
tribuição, processamento, arquivamento,
Toda informação possui um ciclo de vida. armazenamento, eliminação, avaliação ou
Em relação ao tratamento do dado pessoal, controle da informação, modificação, co-
esse ciclo se inicia no momento em que o municação, transferência, difusão ou ex-
dado é capturado, permanece, após, dispo- tração ”. O gráfico abaixo auxilia melhor
nível pelo tempo que for necessário para o essa compreensão:
cumprimento da finalidade de sua coleta,
Criar
Salvar
CICLO DE
Descartar VIDA DA
INFORMAÇÃO
Usar
Arquivar
Compartilhar
1.7.3. GESTÃO DE RISCOS cada vez maior. Ao englobar a segurança

da informação e a proteção de dados pes-
A Gestão de Riscos, englobada pela Segu-
soais, a gestão de riscos tem como princi-
rança da Informação, é imprescindível para
pais desafios:
garantir o perfeito funcionamento de toda
a estrutura tecnológica da empresa, já que • Proteger um dos principais ativos da or-
a quantidade de vulnerabilidades e riscos ganização – a informação – assim como
que podem comprometer o conjunto de in- a reputação e a marca da empresa;
formações da instituição, em especial aque- • Implementar e gerir controles que te-
las representadas pelos dados pessoais, é nham como foco principal os objetivos
do negócio; 1.7.4. PRIVACY BY DESIGN (PbD)

• Promover ações corretivas e preventi- O parágrafo 2º do art. 46 da LGPD introduz
vas de forma eficiente; um novo conceito em segurança da infor-
• Garantir o cumprimento de regula- mação e proteção de dados: o Privacy by
mentações; e, Design. Trata-se da “privacidade por defi-
• Definir os processos de gestão da Se- nição” ou “privacidade desde a concepção”,
gurança da Informação. uma metodologia na qual a proteção dos
dados pessoais é pensada e incorporada
desde a concepção de sistemas, práticas
Uma das obrigações das instituições in- comerciais, projetos, produtos, serviços ou
seridas no bojo da LGPD é a elaboração do qualquer outra solução que envolva o ma-
Relatório de Impactos à Proteção de Da- nuseio de dados pessoais.
dos, que será objeto de análise no capítulo
9 desse manual. Este documento consiste A adoção dessa metodologia no trata-
na análise dos impactos dos dados pesso- mento de dados, portanto, tem por objetivo
ais em uma organização e é por meio da assegurar aos titulares a privacidade duran-
análise e gerenciamento de riscos que se te todo o ciclo de vida dos dados, ou seja,
conduz e implanta esse processo. desde o momento da captura, tratamento
Ativos Ameaças Vulnerabilidades
ANÁLISE
DE RISCO
Riscos
GERENCIAMENTO
DE RISCO Medidas
e compartilhamento, até a exclusão das in- moramento constante de sistemas, proce-

formações da base de dados da instituição. dimentos e normas, análise de riscos e de-
senvolvimento de correções sempre que
Esse conceito começou a se consolidar
alguma possível falha venha a ser identifi-
no âmbito internacional por volta de 2010,
cada.
quando foi reconhecido e chancelado pela
Autoridade Europeia de Proteção de Dados 2ª. Privacidade como configuração pa-
e pela Federal Trade Comission dos Estados drão: a configuração de privacidade de
Unidos, sendo definitivamente legitimado a qualquer serviço disponibilizado ao usuário
partir de 2016, quando foi incorporado pela deve prever a proteção e a segurança como
GDPR (General Data Protection Regula- regra geral; a privacidade deve ser parte in-
tion), principal norma na área e referência tegrante do sistema, não sendo exigida ne-
para as demais legislações internacionais. nhuma conduta do usuário para preservá-la.
Embora não seja nominalmente citado na
lei brasileira, essa tendência foi incorporada
ksedp3º.lePrivacidade
H erucincorporada
eS ao design
(Privacy by default): esse conceito prevê
pela LGPD que, no parágrafo 2º do art. 46 da
que o Privacy by Design seja incorporado ao
LGPD, expressamente recomenda a adoção
design e à arquitetura de sistemas de TI, fer-
das medidas de segurança e proteção de
ramentas, práticas de negócios e quaisquer
dados “desde a fase de concepção do pro-
outros produtos ou serviços oferecidos pela
duto ou do serviço até a sua execução”.
organização. A privacidade não é um item
Para que as organizações possam enten- adicional, ela se integra a cada item de ma-
der e incorporar seus conceitos, o Privacy neira harmônica e funcional.
by Design foi resumido e simplificado em 7
4º. Funcionalidade total: de acordo com
princípios básicos, concebidos por sua cria-
a metodologia do Privacy by Design, a pro-
dora, Ann Cavoukian, no documento Priva-
teção de dados deve estar em consonância
cy by Design: The 7 Foundational Principles.
com os interesses e objetivos de quem uti-
São eles:
liza essas informações, de forma que não
1º. ser proativo e não reativo, preventi- pode haver um ganho, uma vantagem ou
vo e não corretivo: o Privacy by design visa funcionalidade extra para quem utiliza algu-
antecipar e prevenir situações que possam ma configuração de privacidade. Todas as
comprometer a privacidade do usuário, an- funcionalidades devem estar completas e
tes que elas aconteçam. A adoção desse protegidas. A privacidade não pode ser en-
conceito exige o monitoramento e apri- xergada como um item que compete com
objetividade do design, com as capacida- LGPD e outras normas legais de proteção

des técnicas de um produto ou serviço ou de dados, vez que enfatiza a privacidade e
com outros interesses legítimos. a segurança como parte integrante de todo
5º. Segurança de ponta a ponta e pro- o processo de tratamento de dados. Por
teção durante todo o ciclo de vida da in- fim, como todos os demais conceitos in-
formação: o Privacy by Design estende-se troduzidos pela LGPD, o Privacy by Design
por todo o ciclo de vida dos dados envol- também vai exigir o envolvimento e engaja-
vidos, desde sua captura até sua exclusão mento de todos os setores da organização,
ou compartilhamento final. Isso garante para assegurar que os dados do usuário se-
que todos os dados serão protegidos por jam protegidos e tratados de forma segura
medidas de segurança do início ao fim do em todos os processos.
processo de tratamento, garantindo a con-
fidencialidade, integridade e disponibilida-
de dos dados ao longo de todo o seu ciclo 1.8. GOVERNANÇA EM PROTEÇÃO
de vida.
DE DADOS – BOAS PRÁTICAS
6º. Visibilidade e transparência: a visi-
bilidade e a transparência devem ser prin- Promover a completa adaptação e confor-
cípios presentes desde o início da relação midade de uma instituição ao complexo re-
com o usuário, quando os termos e con- gramento da LGPD significa, mais do que
dições de uso e de privacidade devem ser a implantação de sistemas e controles, criar
expostos de forma clara pelo agente de tra- uma cultura de proteção de dados, o que
tamento. O titular sempre deve saber para pode ser obtido com o auxílio de um pro-
qual finalidade seus dados estão sendo grama efetivo de Governança em Proteção
coletados, quem terá acesso a eles, como de Dados.
e com quem serão compartilhados. A ado-
A adoção dessa boa prática, reforçada
ção desse princípio também garante que
pela disposição do artigo 50 da LGPD, irá
entidades independentes possam verificar
garantir que a instituição atinja o nível ade-
e atestar a existência dessas condições.
quado de conformidade e o efetivo cumpri-
7º. Respeito pela privacidade do usuá- mento das disposições legais, além de esta-
rio: esse constitui-se em um dos preceitos belecer, por exemplo, condições, regimes e
básicos do Privacy by Design. O desenvol- procedimentos internos para o tratamento
vimento do sistema deve ser baseado nos de dados pessoais, normas de segurança
interesses e garantias do usuário, com me- da informação, padrões técnicos, alocação
didas capazes de prevenir, garantir e comu- de responsabilidades e obrigações aos di-
nicar claramente ao titular todas as possi- versos colaboradores envolvidos nas ati-
bilidades e riscos no tratamento previsto. A vidades de tratamento, ações educativas,
privacidade sempre será a base do sistema mecanismos internos de supervisão e miti-
e as exceções devem ser devidamente ne- gação de riscos, procedimentos de respos-
gociadas e informadas. ta a incidentes de segurança, entre outros.
Assim, a adoção do conceito represen- Uma vez que o programa de Governan-
tado pelo Privacy by Design e de todos os ça seja implementado, é importante que
seus princípios visam garantir, além da se- todos os atos, processos e ações a ele re-
gurança da informação, o estabelecimento lacionados sejam documentados e manti-
de uma relação de confiança e transparên- dos em arquivo para apresentação à ANPD,
cia entre as partes envolvidas. Além disso, se necessário for.
o Privacy by Design também é um meio
A adoção de políticas de boas práticas
para as organizações reduzirem os custos
relacionados com a conformidade com a
e governança em proteção de dados não ções periódicas;

apenas auxilia a empresa a cumprir com as
• Ter participação ativa do DPO na gestão
obrigações estabelecidas pela LGPD, como
de todos os pontos acima mencionados.
evidencia os esforços nesse sentido, sendo,
ainda, considerada como um atenuante na
aplicação de penalidades, em caso de des-
cumprimento da LGPD. 1.9. AUTUAÇÃO PELA ANPD
Para que seja eficaz e efetivo na prote- A Autoridade Nacional de Proteção de Da-
ção de dados e da privacidade, um bom dos (ANPD) é o grau hierárquico máximo
programa de governança em proteção de na esfera administrativa da Lei Geral de
dados deve: Proteção de Dados. A ANPD será respon-
• Demonstrar o comprometimento da sável por fiscalizar o tratamento de dados
alta administração da instituição em em todo o território nacional e aplicar as
adotar processos e políticas internas correções e sanções pertinentes, caso a lei
que assegurem o cumprimento, de seja desobedecida.
forma abrangente, de normas e boas São várias as penalidades que podem
práticas relativas à proteção de dados ser aplicadas pela ANPD. Discriminadas no
pessoais; artigo 52 da LGPD, elas variam entre apli-
• Ser aplicável a todo o conjunto de da- cação de advertências, com indicação de
dos pessoais que estejam sob o contro- prazo para adoção de medidas corretivas,
le da instituição, independentemente multas, ou até mesmo a proibição total ou
do modo como se realizou sua coleta; parcial de atividades relacionadas ao tra-
• Ser adaptado à estrutura, à escala e ao tamento de dados. As multas, por sua vez,
volume das operações da instituição, vão de 2% (dois por cento) do faturamento
bem como à sensibilidade dos dados da empresa no último exercício ao teto má-
tratados; ximo de R$50.000.000,00 (cinquenta mi-
• Estabelecer políticas e salvaguardas lhões de reais) por infração, existindo, ain-
adequadas com base em processo de da, a possibilidade de incidência de multa
avaliação sistemática de impactos e diária para compelir a entidade a cessar as
riscos à privacidade; violações. De toda forma, a aplicação de
qualquer dessas penalidades pode ter im-
• Ter o objetivo de estabelecer relação
pacto bastante negativo sobre a atividade
de confiança com o titular, por meio de
empresarial, não somente no aspecto fi-
atuação transparente e que assegure
nanceiro, mas também no reputacional.
mecanismos de participação do titular;
• Estar integrado à estrutura geral de Para a correta mensuração e aplicação
governança, com mecanismos de su- das sanções, ANPD deverá considerar os
pervisão internos e externos; seguintes parâmetros:
• Contar com planos de resposta a inci- • A gravidade e a natureza das infrações

dentes e remediação; e dos direitos pessoais afetados;
• Identificar os responsáveis por todo o • A existência de mecanismos internos
processo de recebimento, tratamento de correção e proteção de dados;
e resposta das requisições dos titula- • A pronta adoção de medidas correti-
res, sem expor dados de terceiros ou vas;
segredos do negócio; • Boa-fé;
• Ser atualizado constantemente com • A extensão do dano causado;
base em informações obtidas a partir
• A condição econômica do infrator;
de monitoramento contínuo e avalia-
• A adoção de política de boas práticas e lares envolvidos na infração;

governança em proteção de dados • Eliminação dos dados pessoais a que
• A reincidência se refere a infração;
• A proporcionalidade entre a gravidade • Suspensão parcial do funcionamento
da falta e a intensidade da sanção do banco de dados;
• A cooperação do infrator • Suspensão do exercício da atividade de
• A vantagem auferida ou pretendida tratamento de dados;
pelo infrator. • Proibição parcial ou total do exercício
Nos termos do artigo 52 da LGPD, as san- de atividades relacionadas a tratamen-
ções administrativas aplicáveis pela Auto- to de dados.
ridade Nacional de Proteção de Dados po- Por fim, mas não menos importante, é
dem sem: destacar o papel educacional atribuído pela
legislação à ANPD. Com efeito, além de fis-
• Advertência, com indicação de prazo
calizar e aplicar as sanções cabíveis, também
para adoção de medidas corretivas;
compete à ANPD difundir o conhecimen-
• Multa simples, de 2% do faturamento to sobre a LGPD e medidas de segurança,
do grupo no Brasil, com um teto de apresentando diretrizes para interpretação
R$50.000.000,00 (cinquenta milhões) da lei, estimulando padrões para serviços e
por infração; produtos que facilitem o controle de titula-
• Divulgação da infração, após apuração res sobre seus dados pessoais e elaborando
e confirmação da ocorrência; estudos sobre melhores práticas nacionais
• Bloqueio dos dados pessoais dos titu- e internacionais de proteção de dados pes-
soais, entre outros.
Capítulo 2
Gestão do Projeto
e Roadmap
A adequação da Lei Geral de Proteção de Dados demanda uma série de procedimentos
que podem ser implementados concomitantemente ou subsequentemente em cada
etapa, dependendo da maneira com for implementado. Nesse cenário, a adequação à
LGPD demanda a utilização de metodologias de gestão, as quais devem ser seleciona-
das dentro do contexto exclusivo de cada instituição de ensino. Após a escolha da me-
todologia de gestão, chegou a hora de implementar o Roadmap de adequação à LGPD.
Gestão de Projeto dicionais, geralmente se encontra um

processo em cascata, em que todas as
Como a Lei Geral de Proteção de Dados já
etapas citadas são executadas uma única
foi aprovada e é uma realidade no país, com
vez e em sequência (ainda que idealmen-
entrada em vigor prevista para o dia 16 de
te, prevendo-se revisões incrementais de
agosto de 2020, a implementação é uma
cada etapa, se necessário). Na metodolo-
questão de urgência, motivo pelo qual é
gia ágil, é possível trabalhar de forma con-
sugerido que a instituição adote metodolo-
comitante.
gia ágil de gestão na adequação à LGPD. A
metodologia ágil é comumente utilizada no Scrum, Extreme Programming (XP), Crys-
desenvolvimento de softwares, utilizando- tal Clear e Feature Driven Development são
-se de ciclos curtos de procedimentos, que exemplos de métodos ágeis comumente
são chamados de iterações, e normalmente utilizados no desenvolvimento de softwa-
têm duração de poucas semanas, garantin- res. Cada um deles traz uma abordagem di-
do feedback frequente e respostas rápidas ferente, que inclui diversos valores, práticas
às mudanças. e reuniões. O Scrum, por exemplo, traz uma
abordagem mais voltada para a gestão,
Cada iteração contém todas as etapas
com maior foco nas reuniões, no planeja-
necessárias para que se realize um incre-
mento e na melhoria contínua. Já o XP, traz
mento de adequação à LGPD: planeja-
maior enfoque nas práticas técnicas. Méto-
mento, análise, sistematização, testes
dos ágeis são adaptativos ao invés de pres-
e documentação. Em métodos não ágeis,
critivos, razão porque incentivam a melho-
também conhecidos como métodos tra-
ria contínua (implicando em um constante
estado de mudanças e transformação, vi- O roadmap pode ser compreendido

sando alcançar um estado melhor), através como uma metodologia ágil e visual de im-
de ciclos de inspeção e adaptação. plementação de projetos, se enquadrando
perfeitamente no roteiro de ações que a
Após a escolha do tipo de metodologia,
instituição deve tomar, alinhando diferen-
a instituição pode se servir das melhores
tes visões dentro da organização, para res-
ferramentas de gestão disponíveis no mer-
ponder basicamente a três perguntas: onde
cado e que possam ajudar no trabalho co-
estamos? Onde requeremos chegar? Como
laborativo que a instituição terá que realizar
chegaremos? A partir desses três questio-
com a equipe de implementação.
namentos será possível estabelecer o scritp
do roadmap e alinhando com as peculiari-
Roadmap dades de cada organização.
O chamado Roadmap (mapa da estrada)
é um tipo de metodologia muito utilizada Montando o Roadmap
no desenvolvimento de softwares e star-
O roadmap pode ser desenvolvido a par-
tups. De forma objetiva, o roadmap aponta
tir de várias etapas que podem ser subse-
os caminhos para que uma empresa possa
quentes e concomitantes, ou seja, etapas
sair de um ponto inicial até o ponto final de
que dependem de outra para ser concluída
um projeto, passando por todas as etapas
ou que podem ser concluídas em conjunto
de construção e entrega final do produto.
com outras. Existem sistemas próprios para
O objetivo é tido como uma bússola para
a montagem de roadmaps, mas esses po-
guiar a equipe, em um trabalho geralmente
dem ser feitos até mesmo por planilhas de
colaborativo, até o destino final da entrega
Excel ou sistema similar.
de um produto.
Fonte: Aha! (https://www.aha.io/)

APRESENTANDO UM MODELO DE ROADMAP PARA A IMPLANTAÇÃO DA

LEI GERAL DE PROTEÇÃO DE DADOS EM INSTITUIÇÕES DE ENSINO
Importa esclarecer que não existe um modelo específico de roadmap para a adequação da
Lei Geral de Proteção de Dados, pois a sua adequação vai depender de uma gama de vari-
áveis institucionais. Não obstante, o presente modelo leva em consideração não somente o
que dispõe a Lei n.° 13.709, de 14 de agosto de 2018 (LGPD), mas os parâmetros do Regula-
mento Geral de Proteção de Dados (GDPR) (Regulamento Europeu n.° 2016/679 – legislação
europeia de proteção de dados) e do ISO 27001 (Sistema de Gestão de Segurança da Infor-
mação – SGSI) e 27701 (Sistema de Gestão de Privacidade da Informação – SGPI).
Com base na sistemática acima, propõe-se o seguinte roadmap para as instituições
de ensino:
• Acessar Matriz de Risco Corporativo para enquadrar Privacy

Risk
01
• levantar informações sobre a organização (segmento, modelo
de negócio, organograma, terceiros, etc)
• Realizar levantamento de legislações que afetam diretamente
Due Dilligence o negócio da organização;
Inicial • Realizar pré-assessment
• Definir processos prioritários (considerando maior risco de ex-
posição externa).
• Obter compromisso da alta direção para projeto de imple-

mentação;
02
• Definir DPO (Data Protection Officer);
• Criar Comitê de Implementação da LGPD na organização;
Início da • Conduzir Gap assessment;
Implementação • Avaliar grau de maturidade atual da organização com relação
à LGPD;
• Desenvolver e ministrar treinamento de conscientização so-
bre a LGPD e Segurança da Informação para colaboradores e
terceiros.
• Realizar levantamento de data points por área de negócio;

• Levantar e documentar fluxos de dados (Data Flows e Data
03
Flows Diagrams);
• Realizar mapeamento de dados (Data Mapping);
Mapeamento • Desenvolver processo para inventário de operações de trata-
mento;
de dados
• Elaborar Registro de Atividades de Tratamento (RoPA).
• Revisar/implementar Política de Proteção de Dados Pessoais

• Atualizar/implementar Política de Privacidade e de Cookies +
04
Termos de Uso
• Revisar/criar avisos de privacidade;
Políticas de • Revisar e adequar procedimentos de consentimento (incluin-
do menores)
Segurança
• Desenvolver e ministrar treinamento sobre Política de Prote-
da Informação ção de Dados Pessoais.
05 • Criar política interna de DSARs

• Desenvolver e implementar processo de DSAR
Implementação • Desenvolver e ministrar treinamento sobre Resposta a Solici-
dos Direitos tações de Titulares (DSARs)
do Titular
• Solicitar e Consolidar informações de operadores;

• Realizar reuniões e entrevistas com operadores;
06 • Criar/atualizar contratos com operadores;

• Levantar informações, criar/atualizar contratos com controla-
Ajustes dores;
contratuais e • Atualizar contratos de funcionários e NDAs (+ Employee Priva-
cy Notice)
transferências
• Consolidar informações sobre transferências internacionais
internacionais • Definir e produzir os instrumentos legais adequados para
transferências internacionais (BCRs, SCCs, etc)
07 • Desenvolver e implementar processo de RIPD

• Realizar RIPDs
Relatório de • Desenvolver e ministrar treinamento sobre Relatório de Im-
Impacto de pacto à Proteção de Dados (DPIA)
Proteção de
Dados - RIPD
(DPIA)
• Desenvolver e implementar processo de Resposta a

Incidentes
08 • Desenvolver e implementar processo de DBR

• Testar Resposta a Incidentes e DBN (Data Breach No-
Gerenciamento tification)
de Violações • Desenvolver e ministrar treinamento sobre Resposta a
Incidentes/DBN
de Dados
(Data Breach
Response – DBR)
• Contratar seguro de riscos cibernéticos

• Revisão do gap assessment
09 • Correção de não-conformidades residuais

• Criar e implementar gerenciamento de mudanças
Encerramento • Reunião final de projeto.
Capítulo 3
Fase Preliminar
Essa é uma fase que antecede o início da adequação à LGPD pelas instituições de ensi-
no, sendo utilizada como fase que objetiva fazer um mapeamento inicial da organização
no intuito de adequar o seu roadmap e formatar o cronograma de execução.
Tal como na implantação de um programa sibilidade de minimizá-los antes mesmo da

de integridade (compliance), que não se- adequação à LGPD, evitado desperdício de
gue uma receita de bolo, a adequação da tempo e recursos.
LGPD por instituições de ensino leva em
Por outro lado, o levantamento das
consideração os aspectos próprios de cada
informações da instituição também objeti-
organização e o segmento em que cada
va definir o modelo de adequação da ins-
uma está inserida. Trata-se de um procedi-
tituição à LGPD, sendo necessário analisar
mento preparatório que visa parametrizar
alguns aspectos próprios da estrutura da
os elementos necessários para adequação
organização:
à LGPD, apresentando o cenário atual da or-
ganização em relação aos requisitos de pri- 1. Natureza jurídica da instituição;
vacidade e proteção de dados previstos na 2. Segmento de atuação específico;
legislação.
3. Dimensão ou tamanho da instituição;
Essa fase é comumente utilizada
para estabelecer o tempo de adequação e 4. Tipo de gestão ou governança adota-
as necessidades técnicas sobre as quais a da;
organização terá que se debruçar. 5. Organograma da estrutura adminis-
trativa (departamentos, coordenação,
etc.);
LEVANTAMENTO DE 6. Verificação dos atos normativos inter-
INFORMAÇÕES SOBRE A nos (regimento, portarias, etc.);
INSTITUIÇÃO DE ENSINO 7. Tipos de controles existentes (segu-

rança da informação, políticas inter-
O levantamento das informações da insti- nas, etc.);
tuição de ensino traz elementos para que o 8. Quais são os terceiros/parceiros da
gestor da entidade possa decidir sobre os entidade;
riscos envolvidos em sua atuação e a pos-
9. Quais são as políticas públicas ou pro-

jetos sociais que a instituição partici-
pa;
10. Os tipos de legislações próprias que
afetam diretamente a instituição;
11. Verificar se a instituição possui matriz
de risco corporativo; e,
12. Verificar se a instituição possui pro-
grama de integridade (compliance).
Essa análise deve ser feita para evitar
custos desnecessários com a adequação da
instituição à LGPD ou falta de investimentos
nessa adequação, chegando à definição de
um modelo adequado e eficiente para a ins-
tituição. Assim, por exemplo, uma pequena
Instituição de Ensino Superior, com cinco
cursos autorizados, deve ter um Programa
de Privacidade e Proteção de Dados (Data
Protection Management System – DPMS)
proporcional à sua estrutura. Nesse caso, a
organização deve aproveitar ao máximo sua
estrutura administrativa já enxuta para ade-
quar-se à LGPD de forma mais eficiente.
REALIZAÇÃO DE
PRÉ-ASSESSMENT E DEFINIÇÃO
DO ESCOPO
Após o levantamento das informações da

instituição, inicia-se a realização do pré-as-
sessment (pré-avaliação), com o objetivo de
verificar o status atual da instituição e consi-
derar quais seriam os ajustes e implementa-
ções a serem propostos. O pré-assessment
é uma ação estratégica imprescindível para
APRESENTAÇÃO DO RESULTADO
a definição do escopo do trabalho, o qual DA AVALIAÇÃO PRÉVIA E
levará em consideração todas as áreas da DEFINIÇÃO DE PRIORIDADES
instituição que tratam dos dados pessoais,
que coletam, processam, transferem ou re- O resultado do pré-assessment, com base
cebem dados pessoais dos titulares (alunos, no inventário de informações iniciais, será
prospects, professores, pessoal administra- apresentado à alta administração da insti-
tivo, terceirizados, parceiros e fornecedores). tuição, que avaliará o nível e maturidade de
Esse escopo será refinado no decorrer da adequação da organização à LGPD. Com
implementação do Programa de Privacida- base nessa apresentação, a instituição de-
de e Proteção de Dados. verá definir as seguintes estratégias iniciais:
• Aprovará os prazos estabelecidos no • Indicará um colaborador engajado no

roadmap; processo para assumir interinamente a
• Estabelecerá os processos prioritários função de DPO (Data Protection Office
(processos de transmissão de dados – ou Encarregado de Dados); e,
que sejam considerados de maior risco • Aprovará as recomendações iniciais do
de exposição externa); pré-assessment, inclusive no que tan-
• Definirá a formação inicial do Grupo de ge aos treinamentos necessários para a
Trabalho para Implementação do Pro- implementação.
grama de Privacidade e Proteção de
Dados (Comitê de Implementação da
LGPD);
Capítulo 4
Início da implementação
Após a reunião com a alta administração da instituição de ensino, com a apresentação
do pré-assessment e definição de prioridades, a organização já deve ter determinado
a criação do Grupo de Trabalho para a implementação do Programa de Privacidade e
Proteção de Dados, ou seja, o comitê que vai fazer a adequação da instituição à LGPD.
Esse Comitê de Implantação (ou Grupo de mento que deve ser efetivamente compro-
Trabalho) deve realizar um trabalho colabo- vado para dar conformidade à implementa-
rativo com vários membros da própria ins- ção da LGPD. Trata-se de um procedimento
tituição e com terceirizados contratados, próprio de Compliance e que tem funda-
com o objetivo de mapear e tratar os dados mento no Decreto nº 8.420, de 18 de março
pessoais. Dentro desse Grupo de Trabalho de 2015, que regulamenta a lei anticorrupção.
ou Comitê de Implantação, deve ser esco-
O referido Decreto estabelece os pilares
lhido provisoriamente um DPO (Data Pro-
sobre os quais o Programa de Integridade
tection Office – ou Encarregado da Dados),
é desenvolvido e implementado, declaran-
cuja definição e atribuições serão explica-
do ser objeto do primeiro pilar “o compro-
das em tópico adiante.
metimento da alta direção da pessoa ju-
Antes, porém, é necessário que o Gru- rídica, incluindo os conselhos, evidenciado
po de Trabalho ou Comitê de Implantação pelo apoio visível e inequívoco do progra-
busque firmar um compromisso com a alta ma.” (Art. 42, inciso I, do Decreto nº 8.420,
administração da entidade para garantir a de 2015).
eficácia do processo de adequação à LGPD,
Trata-se do que, em compliance, foi de-
bem como o engajamento e a conscienti-
nominado Tone from the top (ou tone at
zação de todos os envolvidos. Logo em se-
the top), podendo ser sintetizado pela ex-
guida, inicia-se a fase de Gap Analysis e a
pressão “o exemplo vem de cima”. Pois
mensuração do nível de maturidade da or-
bem, esse exemplo e comprometimen-
ganização em face dos requisitos da LGPD.
to da alta direção devem ser expressos de
maneira explícita e inequívoca. Algumas
entidades divulgam atos normativos insti-
COMPROMISSO DA ALTA tucionais (portaria, resolução, etc.), outras
ADMINISTRAÇÃO encaminham e-mail ou outra forma de co-
municação institucional que envolva todos
O compromisso da alta administração não os colabores e terceiros, a fim de informar
é uma mera formalidade, mas um procedi- que se trata de um processo de mudança
que conta com o apoio integral da alta ad- • Treinar e orientar os funcionários da or-
ministração da instituição e, dessa maneira, ganização sobre os requisitos de con-
garantir o engajamento e colaboração de formidade com o Regulamento (GDPR);
todos os envolvidos. • Realizar avaliações e auditorias regula-
O objetivo é divulgar e justificar a neces- res para garantir a conformidade com
sidade de adequação à LGPD, bem como o GDPR;
as ações que deverão ser adotadas durante • Servir como ponto de contato entre a
a implementação do programa, apresen- empresa e a autoridade supervisora;
tando o grupo de trabalho que realizará os • Manter registros das atividades de pro-
trabalhos de adequação e recomendando cessamento de dados realizadas pela
a todos que auxiliem e prestem as informa- organização;
ções solicitadas pelo grupo de trabalho.
• Responder e informar os titulares de
dados pessoais sobre como seus dados
estão sendo usados e quais as medidas
REQUISITOS PARA A ESCOLHA de proteção implementadas pela orga-
PROVISÓRIA DO DPO (DATA nização;
• Assegurar que os pedidos de acesso ou
PROTECTION OFFICE OU
apagamento de dados feitos por titula-
ENCARREGADO DE DADOS) res de dados sejam atendidos ou res-
pondidos, conforme necessário.
Concomitantemente à efetivação do com-
promisso da alta administração da institui-
ção, é necessário que o DPO (Data Protection Considerando-se que a LGPD brasileira
Office ou Encarregado) seja escolhido provi- foi fortemente inspirada no regulamento
sória ou interinamente. Mas por que razão europeu (o GDPR), a criação do DPO, aqui
escolher o DPO provisoriamente? O objetivo nomeado Encarregado de Dados, também
é que o DPO (Encarregado de dados) tenha foi incorporada, conforme previsão do in-
conhecimento do fluxo de informações dos ciso VIII do art. 5º da LGPD. Não tão abran-
dados pessoais na instituição no momento gentes quanto as previstas pela GDPR, suas
de seu mapeamento, oportunidade em que atribuições são as descritas nos incisos I a IV
conhecerá os principais riscos e ameaças no do art. 41 da LGPD e se constituem em:
momento da adequação à LGPD. I. Aceitar reclamações e comunicações
É evidente que o DPO (encarregado) dos titulares, prestar esclarecimentos
pode ser escolhido posteriormente pela ins- e adotar providências;
tituição, sendo até mesmo terceirizado, mas II. Receber comunicações da autoridade
é imprescindível que conheça os detalhes nacional e adotar providências;
organizativos de fluxo das informações de
III. Orientar os funcionários e os contra-
dados pessoais da organização, motivo pelo
tados da entidade a respeito das prá-
qual sugere-se que participe do comitê de
ticas a serem tomadas em relação à
implantação e acompanhe o processo des-
proteção de dados pessoais;
de o início.
IV. Executar as demais atribuições deter-
A figura do Data Protection Office (DPO),
minadas pelo controlador ou estabe-
que se traduz por Encarregado da proteção
lecidas em normas complementares.
de dados, foi prevista originalmente no Re-
gulamento Geral de Proteção de Dados EU Por essa razão, independentemente de
nº 2016/679 (GDPR), em seu artigo 39, tendo a instituição qualificar algum colaborador
as seguintes funções: ou contratar um DPO, é imprescindível que
tome conhecimento das exigências que são

necessárias para o desempenho da função, 01 FINALIDADE
conforme a legislação. Existem, ainda, di-
versas certificações que podem qualificar o Propósitos legítimos, específicos e
colaborador para as atribuições de um DPO. informados.
Por outro lado, importa esclarecer que a 02 NECESSIDADE

figura do DPO não precisa ser necessaria-
mente contratada da organização, ou seja, Utilização (apenas) de dados estritamente
pode ser uma figura terceirizada. Na Europa necessários.
é muito comum a figura do Data Protection
Officer as a Service (DPOaaS), ou Serviço de 03 QUALIDADE DE DADOS
Oficial de Proteção de Dados, que é um ser-
viço prestado por uma empresa terceirizada Dados extras, claros, relevantes e
que possui especialização, isenção e maior atualizados.
pragmatismos para resolver os problemas
relacionados com a segurança de dados
da empresa contratante. A contratação do
04 SEGURANÇA
DPOaaS objetiva reduzir custos, mas é con- Mídias técnicas e administrativas aptas a
trastada com a necessidade de ter expertise proteger dados pessoais.
no setor e nos detalhamentos da empresa.
05 NÃO DISCRIMINAÇÃO
APLICAR O GAP ANALYSIS Não utilização para fins discriminatórios,
E VERIFICAR O NÍVEL DE ilícitos ou abusivos.
MATURIDADE DA LGPD
NA INSTITUIÇÃO 06 ADEQUAÇÃO
Compatível com as finalizades adequadas.

O Gap Analysis, ou análise de lacunas, é um
procedimento utilizado para aferir o nível
de conformidade dos procedimentos usual- 07 LIVRE ACESSO
mente adotados pela organização em fun-
ção dos requisitos exigidos pela Lei Geral de Acesso ao tratamento e à integridade dos
Proteção de Dados. É um exame do desem- dados.
penho atual da organização que visa identi-
ficar quais são as diferenças entre o estado 08 TRANSPARÊNCIA
atual de adequação à LGPD e onde a organi-
zação gostaria de estar. Trata-se de um pro- Informações claras e precisas as titulares.
cedimento de verificação de integridade, ou
seja, um procedimento de compliance que 09 PREVENÇÃO
se configura como uma forma de diagnosti-
car a aderência da organização à LGPD. Adoção de medida para evitar danos aos
titulares.
Não existe uma padronização específica
para fazer o gap analysis no Brasil, motivo
RESPONSABILIDADE E
pelo qual se utiliza a análise GAP da prote- 10 PRESTAÇÃO DE CONTAS
ção de dados e conformidade com o GDPR,
alinhando-se também com a ISO 27001/02. Demonstração de adoção de medidas ao
O gap analysis da LGPD baseia-se nos 10 cumprimento das normas.
(dez) princípios previstos na legislação e for- organização, para aferir o seu gap atual em
nece à organização uma informação trans- face da LGPD.
parente quanto ao nível de alinhamento da
Existem softwares que fazem gap analy-
organização à LGPD.
sis, mas é perfeitamente factível que uma
Para aferir o nível de maturidade à LGPD instituição de educação possa elaborar o
é necessário realizar um diagnóstico, o qual seu próprio procedimento de gap analysis.
é realizado por meio de um questionário Para isso, conforme explicado acima, a or-
de conformidade, separado em tópicos de ganização deve elaborar o questionário de
acordo com os princípios da LGPD, e enca- conformidade e encaminhá-los por depar-
minhado a departamentos estratégicos da tamentos da instituição.
Como sugestão para a elaboração do questionário de conformidade para o gap

analysis, pode-se sugerir os seguintes questionamentos iniciais:
Já existe por parte da alta direção da instituição clareza sobre os efeitos e custos (di-
retos e indiretos) de implementação da LGPD em sua organização/segmento?
A organização dispõe de manuais de processos internos?
São feitas campanhas de conscientização quanto ao uso responsável da informação/

internet?
A instituição tem um setor específico responsável por Tecnologia da Informação? (se

a empresa terceiriza o setor, a resposta é não).
A organização dispõe de uma lista de todos seus fornecedores, de modo estrutu-

rado?
A organização dispõe de um programa de gestão de riscos que inclui privacidade e

proteção de dados pessoais?
A instituição possui programa de gestão de riscos corporativos, incluindo considera-

ções (financeiras, reputacionais ou outras) relativas aos riscos de tratamento incor-
reto dos dados pessoais?
A governança de dados faz parte da cultura e organização da entidade?
Existe um plano de Continuidade de Negócios?
Os principais stakeholders já foram consultados quanto ao status da adequação à

LGPD em suas organizações?
Já existe um comitê de implementação da LGPD na organização?
O DPO (encarregado) dispõe de uma equipe sob sua coordenação?

Caso o DPO não tenha dedicação exclusiva, a qual departamento pertence?
A LGPD se aplica às atividades de processamento de dados pessoais que a institu-

ição realiza?
Com relação aos titulares afetados, a LGPD se aplica a essa organização?
Existe uma lista com todos os tipos (nome, endereço, etc) de dados pessoais proces-
sados?
A organização processa dados sensíveis?
Existem parâmetros e controles quanto ao tempo de guarda dos dados processa-

dos?
Existem parâmetros e controles aplicáveis quanto ao processo de descarte dos da-

dos?
Todos os dados pessoais são tratados de modo legítimo, com propósitos específicos,
explícitos e informados ao titular, sem possibilidade de tratamento posterior de
forma incompatível com as finalidades originais?
Todos os dados pessoais são tratados de forma compatível com as finalidades infor-
madas ao titular, de acordo com o contexto do tratamento?
O tratamento de dados pessoais é limitado ao mínimo necessário para a realização

de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não
excessivos em relação às finalidades do tratamento de dados?
É assegurado aos titulares consulta facilitada e gratuita sobre a forma e a duração do

tratamento, bem como sobre a integralidade de seus dados pessoais?
Grau de maturidade
4%
96%
Em conformidade
Não conformidade
Após a realização do questionário de ção anterior) os processos prioritários que

conformidade, a instituição deve tabular os devem ser implementados na ocasião do
resultados obtidos nos diversos setores da mapeamento dos dados, que é a próxima
organização, cujos questionários são dife- etapa do programa.
rentes em razão da expertise de cada setor.
A partir da tabulação de todos os resultados,
a instituição poderá elaborar um gráfico de
TREINAMENTO INICIAL COM
maturidade em relação à conformidade da
organização à LGPD. COLABORADORES E TERCEIROS
O gráfico de maturidade auxilia a orga- Com a obtenção do compromisso da alta
nização a compreender os riscos existentes administração e conclusão do gap analysis
na falta de aderência à LGPD e em relação à com setores específicos da organização, é
segurança da informação, além de consta- necessário que o Grupo de Trabalho ou Co-
tar as seguintes necessidades: mitê de Implementação realize um treina-
• Implementar métodos que amenizem mento inicial com todos os colaboradores e
os riscos; terceirizados da organização.
• Identificar ocorrências que represen- O objetivo desse treinamento inicial é
tem os riscos; explicitar a extensão do trabalho de ade-
• Responder aos incidentes detectados; quação a ser desenvolvido, explicar sobre
e a necessidade de mudança de cultura da
• Implementar planos de contingencia- organização com o tratamento dos dados
mento na hipótese de vazamento de pessoais, explicar as etapas do roadmap e,
dados. principalmente, preparar todos os colabo-
radores e seus setores para a realização do
O resultado do gap analysis e a verifica-
mapeamento de dados, que é a próxima
ção da maturidade da LGPD apontam para
etapa do programa.
as principais necessidades da organização
e identificam (ou confirmam a identifica-
Capítulo 5
Mapeamento dos
dados pessoais
Com o gap analysis pronto, é possível iniciar duas etapas do projeto de forma concomi-
tante: a revisão/implantação da política de segurança da informação e o mapeamento
dos dados pessoais.
A política de segurança da informação en- clica e em constante revisão, pois é im-

volve a Política de Proteção de dados pesso- prescindível refinar com precisão o fluxo e
ais, a Política de Privacidade e consequente o mapeamento dos dados pessoais, para
avaliação de riscos dessas políticas. Essa que sejam devidamente inventariados e de
etapa poderia preceder a etapa do mape- forma segura. Existem ferramentas de mer-
amento dos dados pessoais, mas pode ser cado que trazem regras de data mapping,
desenvolvida concomitantemente ou mes- no entanto, é preciso customizar para que
mo posteriormente, haja vista que é muito determinadas regras atendam às particula-
mais seguro revistar/implantar a política de ridades das instituições de ensino.
segurança da informação com todos os da-
dos devidamente inventariados.
Nessa etapa, os dados pessoais são ma- 5.1. LEVANTAMENTO DE
peados e devidamente inventariados. Para DADOS PESSOAIS
cada processo ou contexto de dado será
criado um fluxo de todo o ciclo de vida do O Grupo de Trabalho ou Comitê de Implan-
dado, ou seja, de onde o dado pessoal vem, tação deve realizar o levantamento de to-
para onde vai e qual a sua finalidade. Para dos os dados pessoais que trafegam na ins-
desenvolver essa etapa, a organização deve tituição. Para isso, o Grupo de Trabalho deve
realizar 4 (quatro) importantes ações: iniciar o levantamento a partir de uma abor-
1. Levantar os Dados Pessoais; dagem de processos ou contexto de dados
pessoais dentro de cada departamento,
2. Utilizar Diagrama de Fluxo de Dados
área de negócio ou setor da entidade.
(data flow diagrams) para início do
mapeamento; Esse levantamento de dados pessoais
é realizado por meio de questionários, en-
3. Realizar o Mapeamento de Dados
trevistas e análise documental. Para agilizar
(data mapping); e,
o procedimento, a ideia é que o Grupo de
4. Elaborar o Registro das Operações de Trabalho encaminhe um questionário inicial
Tratamento de Dados Pessoais (Re- para todos os setores da instituição, cujas
cord of Processing Activies - RoPA) respostas serão confrontadas e tabuladas
Importa esclarecer que essa etapa é cí- no próximo procedimento. O questionário
é simples:
Tipo de dado Existente? Origem do dado
NOME
CPF
ENDEREÇO RESIDENCIAL
ENDEREÇO PROFISSIONAL
TELEFONE
E-MAIL
RENDA
PROFISSÃO
DADOS DE NAVEGAÇÃO (COOKIES)
DADOS DE TRANSAÇÕES DE COMPRAS/

SERVIÇOS
DADO DE CRIANÇA OU ADOLESCENTE
DADOS DE SAÚDE
DADOS GENÉTICO OU BIOMÉTRICO
DADOS SOBRE ORIENTAÇÃO SEXUAL
DADO DE ORIGEM RACIAL OU ÉTNICA
DADO SOBRE RELIGIÃO OU OPINIÃO

POLÍTICA
DADO SOBRE FILIAÇÃO A SINDICATO OU A

ORGANIZAÇÃO DE CARÁTER RELIGIOSO
OUTROS DADOS (QUAIS?)
O objetivo do questionário acima é saber que tipo de dado pessoal transita por cada departamento
da instituição e de onde esses dados são originários. A partir das respostas acima, é possível identifi-
car a diretoria, área de negócio, departamento ou setor que esteja lidando com mais dados pessoais
e que, por via de consequência, necessitem de maior atenção.
5.2. UTILIZAÇÃO DE DIAGRAMA vidos em um sistema para transferir dados

da entrada para o armazenamento de ar-
DE FLUXO DE DADOS (DFD - DATA quivos e geração de relatórios. A represen-
FLOW DIAGRAMS) PARA INÍCIO tação visual se torna uma boa ferramenta
DO MAPEAMENTO de comunicação para implementar a LGPD
em instituição de ensino, motivo pelo qual
Para fazer o mapeamento de dados é im- a estrutura do DFD permite iniciar a partir
portante que o Grupo de Trabalho ou Co- de uma ampla visão geral e expandi-la para
mitê de Implantação utilize ferramentas de uma hierarquia de diagramas mais detalha-
representações visuais desse mapeamento, dos.
com o objetivo de retratar o fluxo de dados A sugestão é que o Grupo de Trabalho ou
através de um sistema ou processo, levan- Comitê de Implantação utilize o DFD para
tando e documentando os elementos dos compreender o funcionamento do fluxo de
dados envolvidos, auxiliando a identificar dados dentro da instituição e mapear todos
os riscos em diferentes estágios do ciclo de os processos do fluxo dos dados pessoais,
vida dos dados e aumentando sua transpa- de onde os dados são captados e para onde
rência. são encaminhados, momento a partir do
O Data Flow Diagrams, ou Diagrama de qual poderá fazer o tratamento específico
Fluxo de Dados (DFD), é utilizado para re- para cada dado mapeado e inventariado.
presentar graficamente o fluxo de dados Inicialmente, com base no DFD, o Grupo
em um sistema de informações de negó- de Trabalho poderá começar a fazer o ma-
cios, previsto como uma boa prática na ISO peamento por meio de uma demonstração
27701. O DFD descreve os processos envol- simples do fluxo de dados na educação bá-
sica e no ensino superior:
Educação Básica
Daniel Cavalcante | June 2.2020
ALUNO ESCOLA
SECRETARIA DE
MINISTÉRIO DA
ESTADO
EDUCAÇÃO
DA EDUCAÇÃO
Educação Superior
MINISTÉRIO DA
EDUCAÇÃO
INEP
INSTITUIÇÃO DE
ALUNO CAPES
ENSINO SUPERIOR
FNDE
CAIXA ECONÔMICA
FEDERAL
Pois bem, o primeiro Diagrama de Fluxo Ocorre, no entanto, que o fluxo de in-
de Dados (DFD) apresenta um fluxo sim- formações de dados pessoais dentro de
ples dos dados que são disponibilizados por uma instituição de ensino não flui de uma
alunos às instituições de ensino e que são maneira muito objetiva, pois perpassa por
encaminhados para terceiros ou partes in- uma série de departamentos ou setores
teressadas. Não se trata necessariamente da organização, para que sejam utilizados
do mapeamento, mas apenas de um de- com uma finalidade específica e com uma
monstrativo de como os dados transitam garantia dada pela LGPD ao titular do dado
nas instituições e perpassam para terceiros. (aluno ou professor). Em outras palavras, o
A grosso modo, a LGPD objetiva com que a dado do aluno ou professor só pode ser uti-
Instituição resguarde todos os dados pesso- lizado se atendidos os requisitos estabele-
ais do aluno no ínterim desse fluxo de infor- cidos na LGPD.
mações, sobretudo no que tange às infor-
mações repassadas aos terceiros.
Para a compreensão sistêmica desse flu- jeto de garantia dada pela lei e que devem
xo de dados, imagine-se o procedimento ter tratamento específico durante o seu ci-
em que o aluno acessa o website da ins- clo de vida dentro da instituição. Vejamos,
tituição, se inscreve no processo seletivo de uma maneira geral, como seria o fluxo
(vestibular ou seleção via Exame Nacional dos dados pessoais do aluno que passa no
do Ensino Médio - ENEM) e participa do exa- processo seletivo de uma instituição de en-
me. Apenas nesse único processo, o aluno sino superior:
já disponibiliza dados pessoais que são ob-
ALUNO INSTITUIÇÃO DE ENSINO TERCEIROS
Visualiza o site da Departamento de Encaminhamento

instituição e se Marketing e dos dados para o Ministério da
inscreve no Comunicação setor acadêmico / Educação
processo seletivo (capta o lead) regulatório
Departamento Encaminhamento
Pedagógico dos dados para o Contabilidade
(responsável pela departamento
realização do financeiro
processo seletivo)
Encaminhamento
Processo
dos dados para o
seletivo. Sim
setor jurídico
Foi aprovado?
Não
Encaminhamento Armazenamento
dos dados para o dos dados
Fim do setor de TI terceirizados
tratamento dos (nuvens)
dados pessoais

Os dados pessoais transitam por uma precisa realizar para aferir o ciclo de vida
série de departamentos ou setores e são dos dados pessoais dos alunos dentro da
encaminhados para que terceiros os uti- própria instituição.
lizem com alguma finalidade legal/regu- Imagine-se, pois, outra situação análoga:
latória ou mesmo por meio de consenti- um professor encaminha seu curriculum
mento dado pelo próprio aluno. Esse fluxo vitae para passar por um processo seletivo
representa, de maneira bastante limitada, de contratação perante uma instituição de
o mapeamento de dados que a instituição ensino:
PROFESSOR INSTITUIÇÃO DE ENSINO TERCEIROS
Ministério da
Encaminhamento Educação
Encaminha o seu Departamento de
Recursos dos dados para o
Curriculum Vitae setor acadêmico /
Humanos
regulatório
INEP
Departamento de
Pessoal
CAPES
(responsável pela
realização do
processo seletivo)
Encaminhamento
dos dados para o
departamento
financeiro
Contabilidade
Processo Encaminhamento
seletivo. Sim dos dados para o
Foi contratado? setor jurídico
Não
setor de TI terceirizados
(nuvens)
Fim do
tratamento dos
dados pessoais
Os dados pessoais que os professores vo conduzido diretamente pela instituição.

encaminham para a instituição, desde o No entanto, é cediço que vários processos
início do processo seletivo para contrata- seletivos são realizados por empresas ter-
ção, também devem ser objeto de trata- ceirizadas e especializadas, o que deve ser
mento específico. O fluxo de dados acima objeto de tratamento também por parte da
demonstra a realização de processo seleti- instituição contratante, haja vista que essa
empresa terá acesso aos dados pessoais Dentro dessa sistemática, para que a
do professor contratado. instituição desenvolva o mapeamento dos
dados pessoais de maneira integral e sistê-
Na contratação do professor, o encami-
mica, é necessário que faça uma análise de
nhamento dos dados pessoais se constitui
todos os dados pessoais que transitam por
em um processo ou contexto de tratamen-
processos específicos e dentro de cada de-
to de dados pessoais, ou seja, um processo
partamento ou setores da instituição, con-
que deve ser objeto de mapeamento espe-
forme exemplificado abaixo:
cífico desde a efetiva entrega dos dados,
passando-se por todos os departamentos Para iniciar o mapeamento de dados, é
ou setores competentes e pelos terceiriza- necessário que todos os departamentos ou
dos, chegando-se ao momento em que a setores da instituição estejam devidamente
instituição passa a conhecer o fluxo de vida identificados e tenham responsáveis indi-
desses dados.
ALUNO E PROFESSOR INSTITUIÇÃO DE ENSINO COMPREENSÃO SISTÊMICA
Departamento 1 - Onde e como os dados

de Marketing e pessoais são armazenados?
Comunicação 2 - Quem tem acesso a essas
informações?
3 - De onde os dados foram
encaminhados?
4 - Para onde esses dados
Departamento
foram encaminhados?
Financeiro
5 - Qual é a finalidade da
utilização dos dados pessoais?
6 - Qual é a base legal para a
utilização dos dados pessoais?
Departamento
Pedagógico
BASE LEGAL
Departamento 1 - Mediante consentimento?
Regulatório 2 - Cumprimento de obrigação
legal ou regulatória do
Encaminhamento
controlador?
dos dados
pessoais 3 - Uso compartilhado para a
execução de políticas
Setor públicas?
Administrativo 4 - Realização de estudos por
órgãos de pesquisa?
5 - Execução de contrato?
6 - Exercício regular de direito
em processos?
Recursos
Humanos 7 - Proteção da vida ou da
incolumidade física do titular
ou de terceiro?
8 - Tutela da saúde?
9 - Atende aos legítimos
Departamento interesses do controlador ou
de TI terceiros?
10 - Proteção do crédito?
Setor
Jurídico
viduais para condução dos processos. Essa 5.3. REALIZAÇÃO DO

identificação é realizada na primeira fase de
MAPEAMENTO DE DADOS
implantação da LGDP. O objetivo de fazer o
mapeamento por setores ou departamento (DATA MAPPING)
é para aferir as respostas de alguns questio-
namentos básicos: Após a elaboração de um Diagrama de Flu-
xo de Dados (DFD) geral da instituição, com
1. ONDE E COMO OS DADOS PESSOAIS a identificação de todos os setores e depar-
SÃO ARMAZENADOS? tamentos da instituição por onde os dados
pessoais transitam, o Grupo de Trabalho ou
2. QUEM TEM ACESSO A ESSAS Comitê de Implantação começará a realizar
INFORMAÇÕES? o mapeamento dos dados pessoais. Esse
mapeamento se iniciará por meio de análi-
3. DE ONDE OS DADOS FORAM ses realizadas diretamente em cada depar-
ENCAMINHADOS? tamento ou setor da instituição.
4. PARA ONDE ESSES DADOS PESSOAIS

Em cada setor ou departamento, todos
os processos relacionados com os dados
SÃO ENCAMINHADOS?
pessoais são identificados e passam a ser
5. QUAL É A FINALIDADE DA UTILIZAÇÃO mapeados, com o objetivo de saber es-
pecificidades de como o dado pessoal é
DOS DADOS PESSOAIS?
utilizado e tratado no respectivo setor ou
6. QUAL É A BASE LEGAL PARA A departamento. O responsável pelo setor
UTILIZAÇÃO DOS DADOS PESSOAIS? é identificado, assim como o responsável
pelo processo específico.
O ideal seria realizar o mapeamento de No Departamento de Marketing e Co-
dados seguindo-se unicamente seu rastro, municação, por exemplo, identifica-se a
ou seja, o dado pessoal é disponibilizado diretoria à qual o departamento está liga-
pelo aluno ou professor e vai para deter- do, diretor ou representante do setor e o
minado setor, onde recebe um tratamen- responsável por executar cada processo.
to específico, deste determinado setor o A partir daí, cada processo realizado por
dado segue para outro setor, onde recebe aquele departamento é individualmente
outro tipo de tratamento, e assim por dian- mapeado, como por exemplo: campanha
te, até, enfim, chegar em um setor ou ter- de marketing, relacionamento com aluno,
ceirizado em que os dados deixam de tran- envio de newsletter, informes acadêmicos,
sitar e são armazenados ou excluídos após convide para eventos, envio de cobranças,
um período de tempo. Ocorre, no entanto, informes de renovação de matrículas, en-
que esse tipo de metodologia esbarra no vio de leads para processos seletivos, in-
seguinte problema: cada setor tem suas formes do Ministério da Educação e da
peculiaridades e muitas vezes os dados Secretaria de Educação, dentre outros. Es-
pessoais não seguem um trajeto específi- ses processos são exemplificativos, sendo
co, são compartilhados de forma aleatória bastante ampla a gama de processos re-
ou são armazenados de forma totalmente lacionados com o marketing de uma ins-
diferentes entre os setores. Esse problema tituição.
pode implicar na falha do mapeamento de
Cada processo, após devidamente iden-
dados e, com isso, deixar a instituição em
tificado pelo setor, passa a ser submetido
situação de não conformidade.
a uma análise e catalogado com base na
LGPD, devendo render as seguintes infor-
mações:
DEPARTAMENTO PROCESSOS RELACIONADOS

DE MARKETING COM OS DADOS PESSOAIS DATA MAPPING
E COMUNICAÇÃO DE MARKETING
1 - Unidade de negócio ou diretoria

Campanha de marketing
2 - Departamento
3 - Setor
4 - Nome do entrevistado
5 - Respondido pelo dono do
Relacionamento com processo?
o aluno 6 - Dono do processo
7 - Entrevista definitiva?
Envio de newsletter 8 - Processo

9 - Nome/descrição do processo
10 - Tipo de dado
11 - Dado sensível? S/N
Informes acadêmicos 12 - Finalidade do processamento
13 - Base legal do processamento
14 - Link para a base legal
15 - Legítimo interesse? Link para a LIA
16 - Base legal definitiva?
Convite para eventos 17 - Direitos do titular?
18 - Elegível para DPIA? S/N/T
Dado Pessoal do 19 - Consentimento obtido? S/N/T
Aluno/Professor 20 - Link para o consentimento
21 - Titular vulnerável? Qual tipo?
Envio de cobranças
22 - Caso o titular seja menor, o
consentimento foi obtido com os pais/
responsáveis?
23 - Os dados dos pais/ responsáveis
Informe de renovação de foram coletados?
matrículas 24 - Período de retenção
25 - Local de armazenamento
26 - Fonte de dado
27 - Caso o dado seja enviado para outra
Leads para processos área da empresa, especificar qual
seletivos 28 - Dado enviado para terceiros?
29 - Nome do terceiro
30 - Link para contato com o terceiro
31 - Decisão automatizada?
Informes do Ministério
da Educação 32 - Transferência internacional?
33 - País
34 - Anonimização ou criptografia?
35 - Medidas de segurança aplicadas
Informes da Secretaria 36 - Pontos de atenção
de Educação 37 - Observações
38 - Recomendações preliminares
1 – Processo; 2 – Nome/descrição do pro- ponsáveis foram coletados? 17 – Período

cesso; 3 – Tipo de Dado; 4 – Dado sensí- de retenção; 18 – Local de Armazenamento;
vel? S/N; 5 – Finalidade do Processamento; 19 – Fonte do dado; 20 – Caso o dado seja envia-
6 – Base Legal do Processamento; 7 – Link do para outra área da empresa, especificar qual;
para a base legal; 8 – Legítimo Interesse? 21 – Dado enviado para terceiros? 22 – Nome do
9 – Base legal definitiva? 10 – Direitos do terceiro; 23 – Link para contato com o terceiro
titular?; 11 – Elegível para DPIA? S/N/T; 24 – Decisão automatizada? 25 – Transferência
12 – Consentimento obtido? S/N/T; 13 – Link internacional? 26 – País; 27 – Anonimização ou
para o consentimento; 14 – Titular vulnerá- criptografia? 28 – Medidas de segurança aplica-
vel? Qual tipo? 15 – Caso o titular seja me- das; 29 – Pontos de atenção; 30 – Observações;
nor, o consentimento foi obtido com os pais/ 31 – Recomendações preliminares.
responsáveis? 16 – Os dados dos pais/res-
No departamento de Marketing e Comu- Grupo de Trabalho, juntamente com a equi-

nicação, por exemplo, o mapeamento po- pe do Departamento, preencha todo o fluxo
deria ocorrer da seguinte forma, segundo de informações de dados pessoais contidas
o contexto de dados pessoais relacionados na “campanha de marketing”, além de sa-
com cada processo específico do Departa- ber se esses dados são encaminhados para
mento de Marketing: outros setores ou terceirizados.
Para cada processo específico é neces- Da mesma forma ocorre, por exemplo,
sário preencher todo o questionário ao lado, com os dados encaminhados ao Departa-
ou seja, para o processo relacionado à “cam- mento de Recursos Humanos:
panha de marketing” é necessário que o
DEPARTAMENTO PROCESSOS RELACIONADOS

DE RECURSOS COM OS DADOS PESSOAIS DATA MAPPING
HUMANOS DENTRO DO DEPARTAMENTO
DE RH
1 - Unidade de negócio ou diretoria

Processo de recrutamento
2 - Departamento
3 - Setor
Folha de pagamento processo?
6 - Dono do processo
Gestão de benefícios 8 - Processo

10 - Tipo de dado
Campanhas de bem-estar 12 - Finalidade do processamento
13 - Base legal do processamento
Segurança do trabalho 17 - Direitos do titular?
Dado Pessoal 19 - Consentimento obtido? S/N/T
do Professor 20 - Link para o consentimento
Eventos 22 - Caso o titular seja menor, o
responsáveis?
Capacitações e foram coletados?
treinamentos 24 - Período de retenção
26 - Fonte de dado
Monitoramento de área da empresa, especificar qual
métricas 28 - Dado enviado para terceiros?
Desligamento do
funcionário 32 - Transferência internacional?
33 - País
36 - Pontos de atenção
Subsídio para o jurídico
37 - Observações
Todos os dados pessoais do professor, desde o momento de sua contratação, devem ser
mapeados por intermédio dos processos que são utilizados no Departamento de RH, se-
guindo os mesmos questionários de aderência à LGPD.
Outro exemplo é o Setor Regulatório do Ensino Superior. Todos os processos do setor são
identificados e o fluxo de dados passa a ser mapeado por meio do questionário de aderên-
cia à LGPD. Segue um exemplo dos processos relacionados aos dados pessoais que transi-
tam pelo Setor Regulatório de uma instituição de ensino superior:
PROCESSOS RELACIONADOS
SETOR REGULATÓRIO - COM OS DADOS PESSOAIS
DATA MAPPING
ENSINO SUPERIOR DENTRO DO SETOR
ACADÊMICO E REGULATÓRIO
Informes sobre docentes 1 - Unidade de negócio ou diretoria

no e-MEC 2 - Departamento
3 - Setor
Comprovação de processo?
titularidade acadêmica 6 - Dono do processo
Processo de avaliação
(dado do docente) 8 - Processo
10 - Tipo de dado
Processo de supervisão 12 - Finalidade do processamento
(docente e alunos) 13 - Base legal do processamento
Censo da Educação 17 - Direitos do titular?
Superior
Dado Pessoal 19 - Consentimento obtido? S/N/T
do
20 - Link para o consentimento
Aluno/Professor
ENADE (INEP)
responsáveis?
Pós-graduação stricto foram coletados?
sensu - CAPES 24 - Período de retenção
26 - Fonte de dado
Financiamento área da empresa, especificar qual
estudantil 28 - Dado enviado para terceiros?
Dados para bolsa
do Prouni 32 - Transferência internacional?
33 - País
36 - Pontos de atenção
Carteira de estudante
37 - Observações

ELABORAR REGISTRO DAS

OPERAÇÕES DE TRATAMENTO DE
DADOS PESSOAIS (RECORD OF
PROCESSING ACTIVIES - ROPA)
O Registro das Operações de Tratamento gem das informações que devem compor
de Dados Pessoais, ou Record of Processing o inventário de dados foi balizada pelo Re-
Activies (RoPA), inicialmente previsto no art. gulamento Europeu de Proteção de Dados
30 da GDPR, não é apenas uma boa prática, Pessoais, a GDPR, de onde se destacam as
mas é uma exigência legal, que visa à cria- seguintes:
ção de uma estrutura de controle para ge-
i. A finalidade do tratamento;
renciar e auditar quem, quando e como são
feitos o acesso e a manipulação das bases ii. A descrição das categorias dos dados e
de dados, a fim de garantir sua integridade dos titulares;
e, numa segunda análise, induzir a uma re- iii O fluxo dos dados para fora da organi-
flexão sobre o uso responsável dos dados. zação;
A LGPD também incorporou essa prática, iv. As medidas de segurança existentes;
segundo a qual os agentes de tratamento
de dados devem guardar registros de todas v. As informações de identificação e con-
as suas operações de tratamento de dados tato do controlador;
pessoais, que se encontra prevista em seu vi. Os períodos para exclusão das diferen-
art. 37, que dispõe: tes categorias de dados.
Art. 37. O controlador e o operador devem
A ISO 27701 também reforça a orientação
manter registro das operações de trata-
do registro para dar suporte às obrigações
mento de dados pessoais que realizarem,
relacionadas com o tratamento de dados:
especialmente quando baseado no legí-
timo interesse. ISO 27701: 7.2.8 Registros relativos ao tra-
tamento de DP: Convém que a organiza-
Levando-se em consideração que a defi- ção determine e mantenha de maneira
nição do que é ‘tratamento de dados’ englo- segura os registros necessários ao supor-
ba cerca de 20 (vinte) ações que podem ser te às suas obrigações para o tratamento
realizadas com os dados pessoais (conforme de DP.
já tratado no capítulo 1 desse manual), o re-
gistro das operações deve considerar tudo o Seguindo a mesma lógica do Mapea-
que é feito com os dados, desde a coleta até mento de Dados, o Registro das Opera-
o descarte final. ções de Tratamento de Dados Pessoais,
ou Record of Processing Activies (RoPA), é
Considerando-se, contudo, a amplitu-
realizado logo em seguida à conclusão do
de dessas operações, que poderiam gerar
Mapeamento de Dados feito em cada de-
uma quantidade infindável de informações,
partamento, conforme se pode aferir no
e tendo-se em vista que o objetivo maior
exemplo do Departamento de Marketing e
desse requisito legal é manter o registro das
Comunicação:
atividades de tratamento de dados, a lista-
DEPARTAMENTO PROCESSOS RELACIONADOS REGISTRO DE ATIVIDADES DE

DE MARKETING DENTRO DO DEPARTAMENTO DATA MAPPING PROCESSAMENTO (RECORD
E COMUNICAÇÃO DE MARKETIG OF PROCESSING ACTIVITIES -
RoPA)
1 - Unidade de negócio ou diretoria RoPA ou Inventário dos Dados

Campanha de marketing
2 - Departamento Pessoais (ISO 277701) - Diretrizes
3 - Setor
para implementação:
Relacionamento com processo? Uma maneira de manter os registros
o aluno 6 - Dono do processo de tratamento do dado pessoal é ter
um inventário ou uma lista das
atividades de tratamento do dado
Envio de newsletter 8 - Processo pessoal que a organização realiza.
9 - Nome/descrição do processo Esta lista de inventário pode incluir:
10 - Tipo de dado
12 - Finalidade do processamento 1 - tipo de tratamento;
Informes acadêmicos
13 - Base legal do processamento 2 - propósitos para o tratamento;
14 - Link para a base legal 3 - uma descrição das categorias de
dados pessoais e dos titulares dos
Convite para eventos 17 - Direitos do titular? dados (por exemplo, crianças);
18 - Elegível para DPIA? S/N/T 4 - as categorias de destinatário para
Dado Pessoal do 19 - Consentimento obtido? S/N/T quem o dado pessoal tem sido ou
Aluno/Professor 20 - Link para o consentimento será divulgado, incluindo os
Envio de cobranças destinatários em outros países ou
consentimento foi obtido com os pais/ organizações internacionais;
responsáveis? 5 - uma descrição geral das medidas
de segurança técnica e
Informe de renovação foram coletados?
24 - Período de retenção organizacional; e
de matrículas
25 - Local de armazenamento 6 - um relatório de Avaliação de
26 - Fonte de dado Impacto de Privacidade.
Leads para processos área da empresa, especificar qual
seletivos 28 - Dado enviado para terceiros? Convém que este inventário tenha
29 - Nome do terceiro um proprietário, que seja
30 - Link para contato com o terceiro responsável por sua integridade e
Informes do Ministério precisão.
da Educação 32 - Transferência internacional?
33 - País
Informes da Secretaria 36 - Pontos de atenção
de Educação 37 - Observações
Assim que a instituição tenha realizado Não se trata de criar uma regra nova para
o mapeamento de dados (data mapping), tratamentos específicos por setores, mas
inicia-se a fase do registro das operações que todos os setores trabalhem com a mes-
de tratamento de dados, com o objetivo de ma consciência lógica no tratamento de da-
manter um registro do tratamento que é dos pessoais.
realizado dentro de cada departamento. É
uma regra eminentemente de compliance,
Cada departamento ou setor fará o
pois o referido departamento passa a ser
mapeamento de dados e o registro das
responsável pelo registro das operações de
operações de tratamento de dados,
tratamento de dados que transitam por lá.
sendo que muitas vezes os dados
O responsável pelo departamento também
vêm e vão de departamentos que se
fica responsável pela precisão das informa-
comunicam. O importante, no entanto, é
ções e pela lista atualizada das atividades de
registrar cada dado que passa pelo setor
tratamento de dados que são realizadas na-
e a finalidade do seu tratamento.
quele determinado setor.
A partir daí, será possível fazer o mapea- com o outro. Nesse sentido, fica mais fácil
mento completo de todos os dados pesso- compreender o fluxo de dados pessoais de
ais que transitam na instituição, por meio uma maneira mais ampla, conforme expli-
de um diálogo de atividades de processa- cado no exemplo abaixo:
mento de dados que cada setor teria um
PROFESSOR INSTITUIÇÃO DE ENSINO TERCEIROS
Ministério da
Encaminhamento Educação
Encaminha o seu Departamento de
Recursos dos dados para o
Curriculum Vitae setor acadêmico /
Humanos
regulatório
INEP
Departamento de
Pessoal
CAPES
(responsável pela
realização do
processo seletivo)
Encaminhamento
dos dados para o
departamento
financeiro
Contabilidade
Processo Encaminhamento
seletivo. Sim dos dados para o
Foi contratado? setor jurídico
Não
setor de TI terceirizados
(nuvens)
Fim do
tratamento dos
dados pessoais
E quando os dados pessoais saem da ins- operador (escritório de contabilidade), mas

tituição e são encaminhados para terceiros? que somente é amparada mediante uma
Esse terceiro, assim compreendido como relação contratual de prestação de serviços.
sendo o Operador (pessoa física ou jurídi- Se houver vazamento de dados pessoais,
ca, de direito público ou privado) que realiza o controlador (instituição de ensino) é res-
o tratamento de dados pessoais em nome ponsável e o operador (escritório de conta-
do controlado, passa a ser solidariamente bilidade) responderá contratualmente por
responsável pelo dado do disponibilizado esse vazamento, embora a Autoridade Na-
pelo controlador (instituição de ensino). Se cional de Proteção de Dados (ANPD) tam-
o dado pessoal sai da instituição e vai para bém possa aplicar-lhe alguma sanção.
a contabilidade terceirizada, essa gestão
O se o terceirizado for o Ministério
de dados pessoais é de responsabilidade
da Educação? Nesse caso, o tratamento
do controlador (instituição de ensino) e do
do dado pessoal encaminhado do contro-
lador (instituição de ensino) para o opera-

dor (Ministério da Educação) se dá em vir-
tude do cumprimento de obrigação legal
ou regulatória pelo controlador (institui-
ção de ensino), nos termos do art. 7º, II, da
LGPD, ou seja, o controlador tem a obriga-
ção legal de encaminhar o dado pessoal
do aluno ou professor.
Ora, mas se houver o vazamento de da-
dos pessoais do Ministério da Educação?
Nesse caso, existem regras específicas para
o tratamento de dados pessoais pelo poder
público, assim como ocorre com o Ministé-
rio da Educação e os demais entes públicos.
U SERNAME
LOGIN
Capítulo 6
Políticas de Segurança
da Informação
Segurança da Informação é a disciplina voltada à proteção da informação, considerada
um ativo da organização, contra os diferentes tipos de ameaças internas e externas, a
fim de prevenir e mitigar riscos, aumentar o retorno sobre os investimentos e garantir a
continuidade do próprio negócio.
Nos tempos atuais, a informação é um bem Esse conceito mais amplo, onde coe-
da organização, que possui valor financeiro xistem segurança e privacidade, fica evi-
e/ou estratégico para o negócio, de forma denciado na LGPD que, em seu art. 6º, es-
que é importante adotar metodologias ca- tabelece vários princípios para nortear as
pazes de protegê-la adequadamente. Com atividades de tratamento de dados pesso-
a promulgação da LGPD, contudo, o foco ais, princípios esses que devem ser, sempre,
antes voltado apenas à informação foi am- considerados em conjunto na atividade de
pliado, para considerar também a proteção tratamento de dados.
dos dados pessoais que compõem a infor-
Cada vez mais necessária para a realiza-
mação, visando à garantia da privacidade
ção e para o lucro dos negócios, a informa-
de seus titulares. Assim, privacidade e se-
ção é um bem da organização e, como tal,
gurança são conceitos distintos e comple-
deve ser gerenciado, protegido, possuindo
mentares, necessitando, ambos, serem pro-
regras e políticas de utilização. Dentro da
tegidos e disciplinados.
instituição, é importante arquitetar um pro-
cesso eficiente e seguro de segurança da bilidade (os dados devem estar acessíveis)
informação, calcado sobre três pilares igual- e integridade (os dados não devem sofrer
mente importantes: modificações indesejadas).
• Disponibilidade da informação: a in-
formação deve estar acessível para o
funcionamento da organização e a re- 6.1. REVISAR/IMPLEMENTAR
alização dos negócios; POLÍTICA DE PROTEÇÃO DE
• Integridade da informação: a infor-
DADOS PESSOAIS
mação deve estar correta, ser verdadei-
ra e não estar corrompida;
Quando dispõe sobre obrigatoriedade de
• Confidencialidade da informação: a adoção de medidas de segurança para a
informação deve ser acessada e utiliza- proteção de dados, a LGPD torna a adoção
da exclusivamente pelos usuários auto- de uma política de Segurança da Informa-
rizados. ção uma disciplina obrigatória para a orga-
A Segurança da Informação é uma dis- nização e não apenas mera opção de con-
ciplina norteada pela Norma Técnica ABNT trole interno. É a Política de Segurança da
NBRISO/IEC 27002, considerada um código Informação que garante a efetividade das
de práticas para controles de segurança da ações no momento de proteger informa-
informação, sedimentado sobre as melho- ções e, nesse sentido, deve conter e explici-
res práticas mundialmente reconhecidas tar o conjunto de ações, técnicas e boas prá-
sobre o tema. Essa norma preconiza, essen- ticas relacionadas ao uso seguro de dados.
cialmente, que:
Para a elaboração e implementação de
“A segurança da informação é alcança- uma Política de Segurança da Informação
da pela implementação de um conjunto que seja eficaz para sua instituição, alguns
adequado de controles, incluindo políti- passos devem ser seguidos:
cas, processos, procedimentos, estrutura
organizacional e funções de software e 1º passo: Planejamento:
hardware. Estes controles precisam ser
Essa primeira etapa se destina a verificar
estabelecidos, implementados, moni-
tudo quanto deve ser protegido pela políti-
torados, analisados criticamente e me-
ca, abrangendo todos os setores da institui-
lhorados, quando necessário, para as-
ção.
segurar que os objetivos do negócio e a
segurança da informação da organiza-
ção sejam atendido. ” 2º passo: Definir os responsáveis por es-
crever a política de segurança da infor-
mação:
Nesse sentido, na medida em que a Necessário estabelecer quem irá escrever o
LGPD, em seu art. 46, impõe ao agente de documento e envolver responsáveis de ou-
tratamento de dados pessoais o dever de tras áreas e departamentos da instituição,
adotar medidas de segurança, técnicas e em especial aqueles que já participam do
administrativas, aptas a proteger os dados Grupo de Trabalho para adequação da ins-
pessoais, pode-se dizer que a LGPD almeja, tituição ao regramento da LGPD. Quanto
em relação aos dados pessoais, alcançar os maior for o envolvimento da equipe, mais
mesmos objetivos que sustentam os pila- eficiente será o documento, pois cada insti-
res da Segurança da Informação, conferin- tuição tem suas particularidades e filosofia
do-lhes atributos como confidencialidade própria, que deverão ser levadas em conta
(os dados devem alcançar somente os des- na hora da elaboração do documento.
tinatários desejados pelo titular), disponi-
3º passo: Definir os níveis de acesso aos Finalmente, é importante que o conteú-

dados: do estabelecido pela Política de Segurança
da Informação seja submetido à aprovação
Esse tópico é de grande importância, pois
de gestores da organização para que possa,
define, em relação às informações e dados
ao fim, ser devidamente divulgada e aplica-
pessoais coletados e tratados pela organiza-
do em todos os setores e departamentos.
ção (i) quem acessa, (ii) como acessa e (iii)
quando acessa. A definição estanque des-
ses níveis permite garantir a confidencia-
lidade dos dados apenas para as pessoas 6.2. ATUALIZAR POLÍTICA DE
autorizadas, além de assegurar a disponibi- PRIVACIDADE E DE COOKIES +
lidade de níveis de acesso conforme áreas e
setores necessários. TERMO DE USO
A Política de Privacidade é um dos instru-

4º passo: Definir as consequências da vio-
mentos de implementação do chamado
lação das normas:
Privacy by Design, conceito que contempla
A Política de Segurança da Informação deve, a privacidade desde a concepção do pro-
por fim, declarar quais são as consequências duto ou serviço, já definido e explicitado no
pela violação de suas diretrizes. Essas conse- capítulo 1 desse manual, e faz parte da es-
quências podem variar desde advertências trutura de documentos para a proteção de
verbais até a demissão por justa causa. dados. O objetivo principal da política é dar
visibilidade ao tratamento de dados pesso-
5º passo: conteúdo: ais em um determinado serviço, atenden-
do aos princípios da LGPD. Normalmente,
Recomendável que a política escrita conte-
é disponibilizada em forma de documento
nha orientações sobre os seguintes itens:
público endereçado aos usuários ou clien-
• Utilização e uso indevido de ativos de TI tes de um site, serviço ou sistema, que são
• Controle de Acesso os titulares dos dados.
• Controle de Senha Para que a Política de Privacidade seja
• Uso de E-mails eficiente e tenha aderência aos requisitos
• Uso de Internet da LGPD, é importante considerar, duran-
te o processo de estruturação, os seguin-
• Antivírus
tes aspectos:
• Classificação de Informações
a) Na fase de elaboração: um dos re-
• Classificação de Documentos
quisitos mais importantes para a
• Acesso Remoto/Teletrabalho elaboração de uma correta Políti-
• Descarte de Ativos ca de Privacidade é compreender
• Política de Proteção de Dados de Fun- o contexto de tratamento de dados
cionários adotados pela instituição e como os
• Retenção de Dados princípios preconizados pela LGPD
estão sendo atendidos. Para essa
• Controle de Acesso
completa compreensão, é necessá-
• BYOD (Traga Seu Próprio Dispositivo) rio conhecer como se dá o trânsi-
• Dispositivos Móveis to de dados dentro da organização,
• Mesa Limpa e Tela Limpa quais as finalidades e as bases legais
• Anonimização e Pseudonimização utilizadas no tratamento, bem como
a forma como estão sendo atendi-
• Criptografia
dos os direitos do titular.
• Backup e Restore
A participação do departamento jurídico • Também é importante que a política

nesse processo é de extrema importância, a discipline sobre as seguintes questões,
fim de conferir a adequação do tratamento, sempre que aplicáveis:
as bases legais, além de outras normas ou i. Informações sobre compartilhamento
regulamentos aplicáveis ao setor de atua- de dados com terceiros e com qual fi-
ção da organização. nalidade;
ii. Transferência internacional de dados;
b) No conteúdo da Política de Privaci- iii. Tratamento por legítimo interesse;
dade: em relação ao conteúdo, a pri-
meira recomendação importante é iv.
Autorização para recebimento de
que o texto seja essencialmente volta- e-mail marketing e como retirar o
do ao serviço ou produto da organiza- consentimento;
ção, evitando-se conteúdos genéricos v. Decisões automatizadas;
ou informais. Igualmente importante,
vi. Proteção de dados de menores de
é garantir que o conteúdo seja objeti-
idade;
vo, de fácil acesso e fácil compreensão
e, sempre que possível, enriquecido vii. Proteção de dados pessoais sensíveis.
com imagens e vídeos, que possam
auxiliar no entendimento.
• Adicionar aviso sobre o uso de
• Especificamente em relação ao conte- cookies: Por fim, a política deve trazer
údo, os seguintes requisitos devem es- informações claras sobre a utilização de
tar corretamente informados: cookies, identificando quais são e para
i. Informações sobre a organização res- qual finalidade. Caso entenda cabível, a
ponsável pelo tratamento de dados; organização também pode apresentar
ii. Finalidades do tratamento; esse tema em documento separado,
conhecido como Política de Cookies.
iii. Base jurídica do tratamento;
iv. Prazo de retenção dos dados pesso-
c) Após a elaboração: uma vez elabora-
ais;
da, a Política de Privacidade deve estar
v. Informações de contato do encarre- disponível ao titular dos dados antes
gado de dados da organização (DPO). do início do tratamento do dado pes-
soal dele, permitindo que os termos
de uso do site ou do serviço sejam cor-
• Quanto aos direitos dos titulares, a po- retamente avaliados, lembrando, mais
lítica deve informar como serão aten- uma vez que a política e os termos de
didos e como deve proceder o titular uso devem estar disponíveis em lin-
para acessar, retificar, solicitar a exclu- guagem apropriada ao seu público-al-
são de dados, transferir, limitar ou se vo e com o conteúdo suficiente, claro
opor ao tratamento, além de retirar o e preciso para declarar todas as infor-
consentimento. No caso da inviabilida- mações necessárias, permitindo que
de de alguma operação, é necessário o usuário demonstre seu expresso
deixar claro o motivo, sendo recomen- consentimento e concordância com
dável, contudo, que esses casos sejam os termos da política antes do início
avaliados e autorizados pela área jurídi- desse tratamento.
ca, sendo justificados por algum outro
requisito legal.
6.3. REVISAR/CRIAR AVISOS a) Livre: o titular não pode ser obriga-

do a dar o seu consentimento e este
DE PRIVACIDADE
também não pode ser obtido de for-
ma automática, como em caixas de
Outro dos documentos dedicados a prote-
textos já pré-selecionadas ou em ca-
ger a privacidade do titular e a proteção de
sos em que a própria navegação na
seus dados pessoais é o Aviso de Privaci-
plataforma já pressupõe o aceite de
dade, que, assim como a política de privaci-
todas as condições.
dade, deve estar disponível aos usuários do
serviço ou produto (o titular de dados) da b) Informada: o titular deve compre-
Instituição, em linguagem objetiva e de cla- ender exatamente o que está con-
ra compreensão. Em linhas gerais, o aviso sentindo, por qual razão e com qual
de privacidade deve descrever os tipos de finalidade antes de tomar qualquer
dados pessoais que serão coletados do usu- decisão. Além disso, a informação
ário, para quais finalidades os dados serão deve ser passada de forma completa,
coletados, se haverá compartilhamento de transparente e simples.
dados com terceiros e em quais hipóteses, c) Inequívoca: não pode haver dúvidas
bem como as medidas que são adotadas sobre a verdadeira aceitação daque-
para proteger a segurança de seus dados. las condições pelo titular e a organiza-
ção deve se esforçar ao máximo para
garantir essa compreensão, lembran-
6.4. REVISAR E ADEQUAR
do que cabe ao controlador (à orga-
PROCEDIMENTOS DE nização) o ônus da prova de que o
CONSENTIMENTO (INCLUINDO consentimento foi obtido em confor-
midade com a lei.
MENORES)
É imprescindível que a organização te-
O consentimento é definido na LGPD como nha o cuidado no momento de obter o con-
sendo a “manifestação livre, informada e sentimento, vez que todos esses requisitos
inequívoca pela qual o titular concorda com devem ser observados. Vale lembrar nova-
o tratamento de seus dados pessoais para mente que o consentimento deverá ser for-
uma finalidade determinada”. Segundo necido por escrito ou por outro meio que
essa regra, essa autorização deve ser: demonstre a manifestação de vontade do
titular e que ele também tenha expresso dados pessoais, é a chave para garantir se-
conhecimento de que seu consentimento gurança da informação e a privacidade.
pode ser revogado a qualquer momento,
De fato, tão importante quanto investir
também por meio de manifestação expres-
em segurança física, em modernos siste-
sa do titular, por procedimento gratuito e
mas computacionais e em ambientes bem
facilitado. Essa manifestação expressa pode
configurados, é garantir o treinamento e a
ser obtida por meio de cláusula destacada
conscientização de todos os colaboradores,
em contratos ou por documentos próprios
pois é isso que irá proteger a Instituição con-
para esse fim.
tra acessos não autorizados, modificações
indevidas, perda, vazamento e exclusão de
Consentimento em casos especiais: dados, bem como contra outros atos provo-
cados pela ação humana.
Em alguns casos, além de respeitar todas
as características acima elencadas acima, a A LGPD definiu um marco a partir do
LGPD exige que o consentimento seja obti- qual as organizações poderão ser respon-
do de forma específica e destacada. São eles: sabilizadas financeiramente em casos de
incidentes e uso indevido de dados, razão
• Dados pessoais sensíveis: quando a
porque terão que investir cada vez mais
base legal for o consentimento, o tra-
em segurança da informação e em prote-
tamento de dados pessoais sensíveis
ção de dados pessoais. O melhor caminho
somente poderá ocorrer quando o ti-
para garantir a efetiva proteção de dados é
tular ou seu responsável legal autorizar,
a criação de políticas robustas de seguran-
de forma específica e destacada, para
ça da informação. Aliado a esse processo, a
finalidades determinadas.
conscientização e o treinamento do Grupo
• Dados pessoais de crianças e de ado- de Trabalho e das equipes diretamente en-
lescentes: o consentimento deve ser volvidas nas diversas etapas de tratamen-
específico e em destaque, fornecido to de dados é parte imprescindível para
por pelo menos um dos pais ou pelo garantir a conformidade da Instituição
responsável legal. com a LGPD, vez que proporcionará aos
• Transferência internacional de dados colaboradores conhecer adequadamente
pessoais: quando também for baseada o conjunto de sistemas e procedimentos
em consentimento, este deve ser espe- utilizados na proteção de dados, além de
cífico e em destaque, com informação reconhecer e responder eventuais amea-
prévia sobre o caráter internacional da ças a esse sistema.
operação, distinguindo claramente de
É sabido que ambientes seguros são
outras finalidades.
construídos sobre três pilares igualmente
importantes: pessoas, processos e tecnolo-
gia, razão porque a criação e o desenvolvi-
6.5. DESENVOLVER E MINISTRAR mento de uma cultura corporativa de prote-
TREINAMENTO SOBRE POLÍTICA ção de dados pode ser o fator determinante
DE PROTEÇÃO DE DADOS para o sucesso do processo de adequação
à LGPD.
PESSOAIS
É inegável que a conscientização de colabo-

radores e de todos aqueles que, dentro da
instituição, se dedicam ao tratamento de
Capítulo 7
Implementação dos
Direitos dos Titulares
A LEI GERAL DE PROTEÇÃO DE DADOS, em capítulo especialmente dedicado ao tema,
estabelece uma estrutura legal que confere poder aos titulares de dados pessoais, con-
cedendo-lhes direitos a serem exercidos perante os controladores desses dados. Esses
direitos devem ser garantidos durante toda a existência do tratamento dos dados pes-
soais do titular.
Em razão disso, é importante que as insti- Art. 17. Toda pessoa natural tem assegu-
tuições se preparem para que, a partir do rada a titularidade de seus dados pesso-
início da vigência da lei, possam garantir o ais e garantidos os direitos fundamentais
exercício desses direitos aos seus clientes/ de liberdade, de intimidade e de privaci-
alunos/colaboradores, evitando sofrer san- dade, nos termos desta Lei.
ções por parte da Autoridade Nacional de
Proteção de Dados, aplicáveis em caso de Ainda que pareça redundante, a impor-
descumprimento de qualquer norma pre- tância desse comando consiste justamente
vista na lei. no fato conferir ao titular o “direito à titulari-
Para tanto, o primeiro passo é dar ao ti- dade de seus dados pessoais”, com o obje-
tular de dados pessoais conhecer quais são tivo de deixar claro que os dados pessoais
seus direitos. Antes disso, contudo, faz-se não pertencem à Instituição que os coletou,
ainda mais importante ressaltar o comando ou ao controlador ou operador, mas sim ao
estampado no caput do artigo 17 da LGPD, indivíduo, à pessoa física a quem os dados
primeiro artigo do capítulo dedicado aos di- dizem respeito.
reitos dos titulares.
Feita essa observação, é importante que o titular de dados pessoais conheça seus direi-
tos e de qual maneira eles podem ser exercidos. São eles:
1. Confirmação da existência do tratamento de dados e

direito de Acesso aos próprios dados
Dentro do princípio da Autodeterminação Informativa, é garantido ao titular de dados

o direito de confirmar se a instituição (controladora/operadora) realiza o tratamento de
seus dados pessoais e de que forma esse tratamento é realizado, tendo direito, ainda,
a obter informações que evidenciem regras utilizadas no tratamento, finalidade espe-
cífica, forma e duração do trabalho, qual o alcance de eventual compartilhamento de
seus dados, além de direito de exigir cópia fiel de seus dados pessoais armazenados
pela instituição.
Esse direito pode ser exercido em forma de requerimento direcionado à Instituição,
que deverá responde-lo no prazo máximo de 15, cabendo ainda à instituição disponibi-
lizar ao titular um requerimento próprio para a solicitação dessa informação.
2. Correção de dados incompletos, inexatos ou desatualizados
Trata-se do direito conferido ao titular no sentido de solicitar que seus dados pessoais
sejam corrigidos ou atualizados, de forma que sejam mantidos atualizados e de acordo
com a necessidade para o cumprimento da finalidade de seu tratamento.
Da mesma maneira que no item anterior, esse direito pode ser exercido por meio de
requerimento dirigido à instituição controladora dos dados.
3. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou

tratados ilicitamente
O titular tem o direito de pedir a anonimização, bloqueio ou eliminação, caso os dados

pessoais tratados pela instituição se mostrem (i) desnecessários para a finalidade que
justifica a realização do tratamento, (ii) excessivos em relação ao necessário alcance da
finalidade, e (iii) em desconformidade, ou seja, caso não estejam sendo tratados para
finalidades específicas ou o tratamento não seja justificável por nenhuma base legal.
4. Portabilidade dos dados a outro fornecedor de serviço ou produto
É garantido ao titular o direito de solicitar o compartilhamento dos dados fornecidos

à instituição, ou seja, a portabilidade dos dados a outro fornecedor de serviço ou pro-
duto. Uma vez solicitado, esses dados devem ser transferidos em formato estruturado
e interoperável, que permita sua leitura de forma simples e aproveitável por quem os
recebeu.
5. Eliminação dos dados pessoais tratados com o consentimento do titular
Caso não deseje mais que seus dados pessoais sejam tratados pela empresa, o titular
tem o direito de solicitar a eliminação de seus dados pessoais da base da instituição.
É importante ressaltar, contudo, que esse direito não é absoluto, pois ao controlador
é permitido reter aqueles dados que sejam necessários para cumprimento de obri-
gação legal ou regulatória, bem como dados financeiros e outros tratados com fina-
lidade legítima.
Na hipótese de requisição desse direito por parte do titular, devem ser eliminados os
dados relacionados ao consentimento do titular, como aqueles concedidos para fins de
marketing ou cadastro.
6. Informação sobre a possibilidade de não fornecer o consentimento
Em observância ao princípio da Transparência na concessão do consentimento, é ne-

cessário que o titular seja informado acerca da possibilidade de não fornecer o consen-
timento e, em não o fornecendo, seja cientificado acerca das consequências caso não
permita o tratamento de seus dados, no todo ou em parte dele. Essas consequências
incluem, dentre outras, possíveis prejuízos em relação a benefícios concedidos pela ins-
tituição, limitação de acesso a determinadas áreas que necessitem de consentimento.
7. Revogação de consentimento
O consentimento para o tratamento de dados pode ser revogado, a qualquer momen-

to, caso o titular discorde de alterações quanto ao tratamento de dados, seja na finali-
dade, forma e duração do tratamento, alteração do controlador ou compartilhamento.
A revogação deve expressamente solicitada pelo titular, mediante requerimento diri-
gido à instituição, que deve disponibilizar, para tanto, procedimento gratuito e facilita-
do. Importante observar que a revogação do consentimento não tem efeito retroativo,
de forma que os tratamentos realizados sob a égide do consentimento anteriormente
concedido continuam válidos.
8. Informação das entidades públicas e privadas com as quais o Controlador real-

izou uso compartilhado de dados
Também em atenção ao Princípio da Transparência, é direito do titular saber com quem

seus dados estão sendo compartilhados, identificando-se cada entidade pública ou par-
ticular com as quais a controladora realizou o compartilhamento e com qual finalidade.
9. Revisão das decisões automatizadas
Trata-se do direito conferido ao titular de solicitar a revisão de decisões tomadas uni-

camente com base em tratamento automatizado de dados pessoais, que afetem seus
interesses, aqui incluídas aquelas decisões destinadas a incluí-lo em determinados
grupos pessoais, profissionais, de crédito, de consumo, dentre outros. Dentro desse
mesmo conceito, tem o titular o direito de conhecer critérios e procedimentos utiliza-
dos para a tomada de decisões automatizadas, preservando-se, por óbvio, os segredos
comerciais e industriais de negócio.
10. Oposição
Trata-se aqui do direito à interrupção do tratamento de dados nas hipóteses para as

quais o consentimento é dispensado.
Considerando-se que esses direitos po- ções que possam implicar em riscos à orga-
dem ser exercidos pelo titular a qualquer nização.
tempo durante a vigência do tratamento
de dados e mediante requerimento ao con-
trolador, é extremamente importante que a
Instituição, na qualidade de controladora de 2º. Desenvolver e implementar o proces-
dados, esteja preparada para responder e so de atendimento a Requisições de Titu-
dar vazão às solicitações, que já poderão ser lares
recebidas a partir de agosto de 2020. Definidas as regras internas e os respon-
A adequação da instituição à LGPD, tam- sáveis pelas etapas do processo, é preciso
bém no que se refere a esse quesito, será definir como será implementado e opera-
um processo que envolverá a adoção de cionalizado o Processo de atendimento às
critérios e procedimentos específicos, que Requisições dos titulares.
permitam padronizar o processo de recebi- Considerando-se que a LGPD ainda não
mento e de Respostas a Solicitações de Ti- se encontra em vigor e que a Autoridade
tulares. Isso pode se tornar possível e efetivo Nacional de Proteção de Dados ainda não
com a adoção, pela instituição, dos seguin- definiu métricas e procedimentos que pos-
tes processos: sam auxiliar na criação desses processos e
procedimentos, boas práticas já ampara-
das por legislações estrangeiras, em es-
pecial a GDPR (General Data Protection
1º. Criação da Política interna de Requisi-
Regulation), legislação da União Europeia
ções dos Titular de Dados (Data Subject
que versa sobre a proteção de dados, e
Access Request)
a ICO (Information Comissioner´s Office),
O desenvolvimento desse primeiro passo Autoridade de Proteção de Dados do Reino
consiste na criação de uma Política pró- Unido, nos permitem recomendar um che-
pria para disciplinar o fluxo e o tratamento cklist de procedimentos na operacionali-
das inúmeras requisições que podem ser zação do recebimento e do cumprimento
formuladas pelos titulares de dados, am- das requisições formalizadas pelo titulares
paradas nos direitos acima descritos. Den- de dados, a saber:
tro dessa política, é importante que esteja
claro quem são os responsáveis (pessoas
1. Na preparação para o recebimento de
ou departamentos) por todo o processo de
requisições de titulares, é importante
recebimento, tratamento e resposta das re-
que os seguintes aspectos estejam
quisições dos titulares, qual é o fluxo e o res-
claramente identificados:
pectivo prazo legal para atendimento das
requisições, bem como formas e conteúdos a) Como reconhecer uma requisição de
específicos, a fim de garantir que o docu- titulares de dados pessoais e identifi-
mento seja elaborado com a qualidade ne- car em qual direito está amparada;
cessária, mas sem expor dados de terceiros b) Identificar o titular de dados;
e ou informações sigilosas da controladora.
c) Promover o registro de requisições
O papel do Encarregado de Dados (DPO) recebidas, tanto as formais quanto as
dentro desse fluxo de tratamento das requi- formuladas de maneira verbal;
sições dos titulares é fundamental, como
gestor da política e de todos os procedi- d) Reconhecer quando uma requisição
mentos que a compõem, além de garantir pode ser recusada;
que a instituição não seja exposta de forma e) Identificar as informações que devem
negativa e de tratar adequadamente situa- ser fornecidas ao titular dos dados.
2. No cumprimento das requisições dos próprio tema da requisição.

titulares (elaboração da resposta), é
Por fim, em complemento ao proces-
igualmente importante a presença dos
so de implementação e operacionalização
seguintes itens:
de requisições, é importante observar que,
a) Definir o procedimento interno que como todo processo, este também deve
permita que a requisição seja respon- ser capaz de gerar evidências, relatórios e
dida sem atrasos injustificados e den- controles. De fato, cabe ao controlador de
tro do prazo determinado pela legis- dados (ou seu Encarregado de dados) não
lação; somente cumprir em tempo hábil a requi-
b) Estabelecer circunstâncias que per- sição formalizada pelo titular, mas também
mitirão estender o prazo para atendi- implementar um processo capaz de gerar
mento de uma requisição; controles a respeito de todas as requisições
recebidas, qual o volume, por meio de qual
c) Definir um padrão de linguagem
canal foram enviadas, quem as respondeu e
claro, simples e objetivo para as res-
em qual prazo, como foram arquivadas, se
postas às requisições e, preferencial-
implicam em riscos à organização, dentre
mente, adotar modelos internamen-
outras informações, a fim de que a institui-
te referendados para as requisições
ção esteja devidamente resguardada con-
mais frequentes;
tra reclamações por parte dos titulares ou
d) Avaliar se a resposta inclui informa- mesmo fiscalizações futuras. É importante,
ções sobre terceiros. ainda, lembrar que essas requisições po-
dem ser feitas dentro do contexto de uma
relação de consumo, onde, por força de dis-
Para o recebimento dessas requisições, a posições contidas no Código de Defesa do
instituição poderá disponibilizar aos titula- Consumidor, será invertido o ônus da prova,
res um canal próprio ou especializado, que cabendo ao controlador provar o que lhe foi
deverá ser amplamente divulgado, tanto requerido e de que maneira se deu a res-
interna quanto externamente, valendo aqui posta.
observar que as requisições podem ser for-
Essas evidências podem, ainda, ser re-
muladas tanto por alunos ou qualquer ou-
queridas em ações judiciais, procedimentos
tro agente externo que tenha dado tratados
perante entidades de defesa dos consumi-
pela instituição, quanto por seus próprios
dores, investigações conduzidas pelo Minis-
colaboradores.
tério Público ou fiscalizações promovidas
Dentro desse procedimento, cabe ao Autoridade Nacional de Proteção de Dados,
gestor do processo estabelecer critérios razão porque é de extrema importância que
que permitam sempre identificar, com fa- todo o processo de recebimento e resposta
cilidade, o titular dos dados, a fim de evitar às Requisições dos Titulares seja suportado
que dados de outros titulares sejam expos- por Política interna própria, que identifique
tos no processo. e desenvolva todo o seu passo-a-passo.
Considerando-se, enfim, o volume que
essas requisições possam alcançar, é reco-
mendável que o processo de atendimento
3º. Desenvolver e ministrar treinamentos
a Requisições de Titulares seja suportado
sobre Resposta a Requisições de Titulares
por ferramentas tecnológicas que permi-
tam a rápida identificação do titular, o local Buscar a conformidade à LGPD, tão cheia
onde seus dados estão armazenados, bem de nuances e detalhes específicos, além de
a identificação de informações relativas a demandar uma mudança ampla e profun-
consentimento, quando aplicável, ou ao da dentro de vários setores da Instituição,
irá implicar em uma transformação cultural nova legislação.

na maneira de lidar com os dados que circu-
Esses treinamentos nos novos procedi-
lam dentro da organização. Para tanto, será
mentos devem ser conduzidos, preferen-
preciso não somente criar e implementar
cialmente, pelo Encarregado de Dados, que
processos novos, mas, fundamentalmente,
pode ministra-los por si próprio ou com aju-
conscientizar colaboradores a respeito da
da de empresas especializadas, e podem
responsabilidade no trato de dados pesso-
ser constantemente repetidos e atualizados
ais e ensiná-los a cumpri e praticar os pro-
feitos por meio de palestras, workshops,
cessos criados.
ações em grupo ou até mesmo por meio
Nesse sentido, os treinamentos são peças de vídeos ou animações enviadas aos cola-
essenciais para que todos os colaboradores boradores. O importante é que o conteúdo
recebam informações e treinamento acerca desse conjunto de novos procedimentos
do conteúdo da LGPD, bem como das polí- seja amplamente divulgado e que atinja
ticas e procedimentos criados e implemen- todo departamento e/ou colaborador que
tados pela Instituição para fazer cumprir a tenha contato com dados pessoais.
Capítulo 8
Ajustes Contratuais e
Transferências Internacional
8.1. AJUSTES DE CONTRATOS vando-se os diversos requisitos introduzi-
dos pela LGPD, vê-se que não será suficien-
O caminho que leva à integral conformida- te a mera comunicação ao titular de que
de da instituição com a LGPD passa pela seus dados serão coletados e tratados. A lei
adequação de todos contratos firmados, in- passa a exigir que novas disposições con-
cluindo contratos com consumidores finais, tratuais sejam criadas e implementadas
clientes, funcionários, parceiros, prestado- para informar ao titular de dados, de for-
res de serviços, fornecedores e com órgãos ma completa e transparente, quais são os
públicos, vez que a grande maioria faz car- procedimentos relativos à coleta de dados,
rega seu conteúdo diversos dados pessoais, forma, duração e finalidade do tratamento,
seja de clientes, funcionários ou terceiros. quais os direitos do titular e as responsabili-
dades do controlador, além da obtenção de
Com efeito, além das necessárias ade-
consentimento para o tratamento de da-
quações e atualizações de softwares, equi-
dos, quando necessário.
pamentos, sistemas operacionais e proce-
dimentos internos com vistas à proteção e Ainda que possa prevalecer a ideia de
segurança no tratamento de dados pesso- que, entre contratos firmados somente en-
ais, também é necessário que a instituição tre pessoas jurídicas não haverá troca de
providencie as adaptações necessárias a dados pessoais e, portanto, não incidência
toda aquela gama de contratos utilizados da LGPD, tal conceito não se confirma pos-
em todos os seus setores, com as mais di- to que, mesmo entre duas organizações, os
versas finalidades, além de preparar cláusu- contratos podem versar, em pequena ou
las padrão e novas minutas para contratos grande proporção, sobre dados pessoais.
a serem futuramente formalizados. Obser- Em celebração de contratos societários, por
exemplo, uma parte poderá ter acesso a da- • Coleta de dados suficientes para aten-
dos de titulares da outra parte, contidos em dimento da finalidade, sem dados ex-
contratos sociais, procurações, dados de cessivos;
representantes legais, dentre outros. Con- • Fornecer informações aos titulares de
tratos com prestadores de serviços, por sua maneira objetiva e transparente.
vez, inevitavelmente trarão dados de pesso-
ais autorizadas a adentrar às dependências
de um dos contratantes, dentre vários ou- 3. Elaboração de cláusulas padrão
tros exemplos. para atendimento da LGPD: ainda que a
análise e adaptação de cada contrato seja
Sendo assim, para que esse processo de
uma necessidade, obrigações gerais como
adaptação e criação de novos contratos seja
autorização para coleta e tratamento de
feito de maneira segura e possa atender a
dados, finalidade legítima da instituição e
todos os requisitos expressos pela LGPD, re-
acordo de confidencialidade podem cons-
comenda-se à instituição a observação de
tar em cláusulas padrão, para que possam
alguns pontos, como:
ser inseridas em contratos diversos. Na hi-
pótese de a controladora de dados realizar
1. Obtenção de Consentimento do ti- o tratamento por intermédio de Operador
tular dos dados: a LGPD estabelece, em seu de Dados terceirizado, o que implica em
art. 7º, a exigência quanto ao consentimento responsabilidade solidária entre ambos, é
do titular para o uso e tratamento de seus indispensável o cuidado na elaboração de
dados pessoais, nas hipóteses de tratamen- cláusulas que delimitem obrigações e res-
to onde o consentimento é exigido, o que ponsabilidades de uma das pessoas jurídi-
deve ser representado por cláusula em des- cas contratantes, trazendo, inclusive, pre-
tacado, com conteúdo claro e transparente, visão para cooperação e atuação conjunta
informando ao titular sobre o uso que será em caso de questionamentos e solicitações
feito de seus dados, durante quanto tempo, por parte dos titulares de dados ou em caso
para qual finalidade e qual o procedimento de violações de segurança que impliquem
que será adotado pela organização. em vazamento de dados.
Neste contexto, a gestão de terceiros que
2. Auditoria de contratos em vigor tratem dados pessoais em nome do contro-
(contratos de consumidores/clientes, lador é essencial para garantir que as prá-
funcionários, fornecedores e prestadores ticas de privacidade, proteção e segurança
de serviços): para a completa conformidade dados pessoais estejam alinhadas com
de da instituição aos requisitos da LGPD, os riscos que as atividades de tratamento
instituição deve estar preparada para rea- representam aos titulares de dados. Para
lizar uma completa auditoria nos contratos tanto, recomenda-se a observação de dois
em vigor, firmados com clientes, consumi- pontos críticos:
dores, com seus próprios colaboradores e
com terceiros em geral, identificando aque- • A mensuração do volume de dados
les que implicam em coleta e tratamento tratados, a quantidade de pessoas que
de dados pessoais e qual o nível de exposi- têm acesso a estes dados, o nível de
ção em cada caso, para que possa realizar a criticidade dos dados (se são dados
adequação de seus termos e implementa- sensíveis, de crianças ou adolescentes)
ção das condições que atendam à previsão e para qual finalidade o tratamento é
legal, em especial quanto à: realizado;
• Determinar o nível de maturidade e
• Finalidade legítima e adequada à lei;
controles de privacidade e proteção de
• Adequação do tratamento à finalidade; dados pessoais que será exigido deste
terceiro, que deverá apresentar as evi- dos do controlador, com informações

dências destes controles. para contato;
• Informações a respeito de medidas de
4. Avaliação das empresas contrata- proteção e segurança de dados pesso-
das: considerando-se que, por imposição ais adotadas pela instituição;
da LGPD, todos os fornecedores e prestado- • Cláusula acerca da política de privaci-
res de serviços devem cumprir os requisitos dade adotada pela instituição para ga-
legais, é muito importante avaliar o nível de rantir a confidencialidade dos dados
segurança de empresas que receberão e fa- coletados.
rão o tratamento de dados pessoais, assim
como a assunção do compromisso de con-
fidencialidade expressamente formalizado Por fim, é importante que a instituição se
em contrato. assegure de que todos os contratos firma-
dos ou que venham a ser formalizados este-
5. O máximo de informações, com jam adequados e em conformidade com a
transparência: para que a cultura de res- Lei Geral de Proteção de Dados. Uma impor-
ponsabilidade no tratamento de dados tante sugestão é a criação de um processo
pessoais se torne uma constante, uma das interno, se possível com ferramenta de ges-
obrigações trazidas pela LGPD diz respeito tão, com cadastro de contratos ativos, clas-
à transparência no tratamento dos dados e sificação de acordo com riscos relacionados
nas informações prestadas ao titular. Para à privacidade e proteção de dados, cadastro
que os contratos tenham esse elevado grau de fornecedores e exigências compatíveis
de transparência, recomenda-se a inserção com os respectivos riscos, comunicações e
de cláusulas que tratem dos diversos requi- evidências solicitadas junto ao operador, na
sitos introduzidos pela LGPD, tais como: hipótese de operador terceirizado.
• Possibilidade de revogação, no todo ou A adoção de todas essas providências

em parte, do consentimento concedi- certamente ajudará a prevenir ou mitigar a
do pelo titular de dados; ocorrência de danos, além de demonstrar
que o controlador possui um eficiente e se-
• Especificação, pelo controlador (a insti-
guro sistema de proteção à privacidade e
tuição), como é feita a coleta e o trata-
segurança dos dados pessoais que circulam
mento de dados, quais tipos de dados
em seus contratos.
serão coletados e tratados no escopo
do contrato;
• Informações a respeito dos procedi-
mentos para correção, bloqueio ou eli- 8.2. CONSOLIDAR INFORMAÇÕES
minação de dados a pedido do titular; SOBRE TRANSFERÊNCIAS
• Informações sobre eventual comparti- INTERNACIONAIS
lhamento de dados pessoais do titular
e com qual finalidade; Assim como existe a circulação de bens e
• Possibilidade de acesso, pelo titular, serviços entre países, é evidente que, com
aos dados coletados e armazenados, dados pessoais não seria diferente, de for-
bem como aos procedimentos para ma que faz sentido regular condições para
correção e exclusão por pedido do in- o tratamento dos dados pessoais no âmbito
teressado ou por limite de tempo; internacional (cross border data transfer).
• Especificações acerca de quem ou Na União Europeia, o Regulamento Ge-
quais departamento têm acesso aos ral sobre Proteção de Dados (Regulamento
dados e quem é o Encarregado de Da- EU 2016/679) determina que as transferên-
cias internacionais estão condicionadas d) Se necessária para a proteção da vida

ao cumprimento da GDPR (General Data ou da incolumidade física do titular ou
Protection Regulation), dentre as quais se de terceiro;
destacam (i) a necessidade de avaliação e) Mediante autorização emitida pela
de adequação, por parte da Comissão Eu- ANPD;
ropeia, se o país terceiro que participará da
transferência oferece nível adequado de f) Se for resultante de compromisso assu-
proteção de dados e, (ii) na ausência dessa mido em acordo de cooperação inter-
comissão, que os responsáveis apresentem nacional, execução de políticas públicas
garantias adequadas, como instrumentos ou atribuição legal do serviço público;
jurídicos contratuais, processos de certifi- g) Mediante consentimento específico e
cação, códigos de conduta. destacado do titular dos dados, com
Lembrando que a elaboração da lei bra- informação prévia sobre o caráter in-
sileira foi fortemente inspirada na GDPR, a ternacional da operação e com finali-
LGPD também trouxe uma redação especí- dade distinta de qualquer outra even-
fica para a transferência internacional de da- tualmente existente, e,
dos, listando as bases legais que permitem h) Se necessária para o cumprimento de
que essa transferência seja feita de forma obrigação legal ou regulatória pelo
legal e segura e estabelecendo limitações controlador, para a execução de con-
à transferência internacional de dados pes- trato ou de procedimentos prelimi-
soais para países que não ofereçam grau de nares contratuais ou para o exercício
proteção de dados pessoais adequados aos regular de direito em processo judicial,
mesmos previstos na LGDP. Dentre as bases administrativo ou arbitral.
legais para transferência internacional de da-
dos listadas pela LGPD, destacamos os se-
guintes: Importante acrescentar que essas limita-
ções se aplicam, inclusive, às transferências
a) Países ou organismos internacionais
internacionais decorrentes de serviços de
destinatários com grau de proteção
cloud e armazenamento em datacenters lo-
compatível com o estabelecido pela
calizados em outros países.
LGPD, sujeito, ainda, à validação pela
ANPD; Do ponto de vista prático, antes de reali-
zar qualquer transferência internacional de
b) Mediante o oferecimento e a compro-
dados pessoais, mesmo que decorrentes da
vação de garantias, pelo controlador,
utilização de serviços de cloud, é importante
de cumprimento dos princípios legais,
analisar cuidadosamente se a transferência
dos direitos do titular e do regime de
é permitida e qual o mecanismo legal que
proteção de dados previstos na LGPD,
será utilizado para justifica-la, dentre aque-
na forma de cláusulas contratuais
les específicos permitidos pela lei.
específicas, de normas corporativas,
selos e certificados ou de códigos de Além disso, como a LGPD se aplica a
conduta regularmente emitidos, que qualquer empresa, nacional ou estrangei-
também poderão ser submetidos à ra, que queira tratar dados pessoais de
análise da ANPD; pessoas localizadas em território brasilei-
ro, inclusive no contexto do oferecimento
c) Se for necessária para a cooperação
de produtos ou serviços, é importante que
jurídica internacional entre órgãos pú-
os profissionais de marketing se atentem
blicos de inteligência, de investigação
que eventuais parceiros comerciais estran-
e de persecução, de acordo com os
geiros também estarão sujeitos à LGPD se
instrumentos de direito internacional;
efetuarem o tratamento de dados pessoais
nessas condições. dos e, ao mesmo tempo, salvaguardar to-

dos os padrões adequados de proteção de
dados e privacidade.
8.3. DEFINIR E PRODUZIR No âmbito da União Europeia e sob a égi-
de da GDPR, antes que uma organização
INSTRUMENTOS LEGAIS ADEQUADOS
possa transferir informações de participan-
PARA TRANSFERÊNCIAS tes da UE para um país de fora da União Eu-
INTERNACIONAIS ropeia, os padrões de privacidade deste país
devem ser aprovados pela Comissão Euro-
Além de promover a proteção dos direitos peia, nos chamados Acordos de Adequação,
fundamentais de liberdade e de privacidade, ou se devem ser estabelecidas regras cor-
é possível destacar que a LGPD impulsiona porativas vinculativas, as chamadas ”BCR”,
o Brasil ao encontro do padrão promovido que irão tratar do procedimento de transfe-
pela GDPR para a proteção de dados, fazen- rência internacional de dados. Esses instru-
do-o também no que se refere à transferên- mentos podem ser assim definidos:
cia internacional de dados. Pode-se dizer
que os reguladores da União Europeia cria- 1º instrumento: Acordos de Adequação
ram um padrão para a regulamentação da
Para continuar as relações comerciais com
privacidade de dados a ser seguido não ape-
a UE no âmbito do GDPR, muitos países
nas pela EU, mas também pelo mundo. Isso
não pertencentes à UE buscam acordos de
exige que os países que buscam processos
adequação. Os acordos de adequação mi-
descontínuos de transferência internacional
nimizam consideravelmente a carga regu-
de dados tenham seus próprios regulamen-
latória sobre as organizações que precisam
tos e mecanismos que atendam aos rígidos
transferir dados internacionalmente para
parâmetros estabelecidos pela GDPR.
realizar negócios. Para obter um acordo
Assim, além de observar as bases legais de adequação, esses países devem aprovar
permitidas pela legislação, é preciso definir seus próprios regulamentos de privacidade
como promover o fomento da economia que correspondam de maneira suficiente
trazida pela transferência internacional da- aos requisitos do GDPR, como fornecedores
de proteção de dados adequada. cias de dados estabelecidas entre empresas

Para obter uma decisão de adequação, multinacionais e governos da União Euro-
um país deve primeiro avaliar se sua estru- peia. Nos termos das BCR, uma organização
tura de proteção de dados atende aos requi- pode transferir dados pessoais da UE para
sitos estabelecidos no Artigo 45 do GDPR. A suas instalações fora da UE. As organiza-
Comissão Europeia, por sua vez, utiliza dois ções têm a capacidade de construir suas
fatores principais para determinar se o país próprias BCRs, desde que essas regras se
estabeleceu nível de proteção adequado: alinhem com os padrões do European Data
Protection Board (EDPB) para proteção de
1. Nível de Segurança Humana: exami-
dados.
na a similaridade entre a regulamen-
tação de outro país quando se trata de
seu estado de direito, a legislação de Como receber autorização BCR:
direitos humanos e a implementação i. Primeiro, é necessário selecionar um
de regulamentos de privacidade e se- DPA (Data Protection Authorities) da
gurança. Foi por essa razão que mui- UE para ser a autoridade principal
tos países, incluindo o Brasil, ao publi- (dependendo da localização da sua
car sua legislação sobre proteção da organização dentro da UE). O DPA lí-
dados, procurou seguir as diretrizes já der circula suas metodologias entre
preconizadas pela GDPR. outras DPAs para garantir o acordo e
2. Estabelecimento de uma Autori- a uniformidade entre as autoridades
dade Supervisora Independente: de supervisão;
também é analisado se o país possui ii. Receber e endereçar quaisquer co-
uma autoridade supervisora e qual a mentários ou preocupações das DPAs.
influência e poder de controle dessa
autoridade na implementação e regu- iii. Inscreva-se e aguarde a aprovação.
lamentação das leis de privacidade de As BCRs ajudam significativamente or-
dados dentro do país, assemelhando- ganizações com instalações em países que
-se às europeias. Nessa avaliação, são não têm um acordo de adequação com a UE.
consideradas, por exemplo, a existên- Existem, atualmente, mais de 100 grandes
cia de multas por violação de padrões. empresas com BCRs estabelecidas, sendo a
Depois que a Comissão determinar que grande maioria sediada nos EUA. As BCRs
um país atende a seus padrões de adequa- são consideradas a melhor opção para or-
ção, ele adicionará esse país à sua “lista de ganizações que são compatíveis com GDPR,
permissões”, permitindo a transferência ir- mas não estão estabelecidas em um país
restrita de dados. Uma vez estabelecida essa da lista de permissões da UE.
relação, a Comissão tem autoridade para re-
alizar uma revisão periódica do acordo de
adequação do país a cada quatro anos, ou
simplesmente sempre que julgar necessário.
2º instrumento: Regras Corporativas Vin-

culantes – BCR
As regras corporativas vinculativas (BCRs)
são um conjunto de regras para transferên-
Capítulo 9
Relatório de Impacto à
Proteção de Dados (RIPD)
ou Data Protection Impact
Assessment - DPIA
DPIA é a sigla para Data Protection Impact Assessment, uma metodologia amplamen-
te adotada pela legislação europeia de proteção de dados pessoais, a GDPR (General
Data Protection Regulation). A LGPD importou o conceito, sob o nome de Relatório de
Impacto à Proteção de Dados pessoais – RIPD, que consiste, basicamente, em uma do-
cumentação que descreve os processos de tratamento de dados pessoais que podem
gerar algum risco aos direitos dos titulares, além das medidas e mecanismos emprega-
dos para mitigar esses riscos.
Disciplinado pelo inciso XVII do art. 5º da volva o tratamento de dados pessoais que
LGPD, o relatório de impacto é assim de- possa gerar riscos à instituição, aos direitos
finido: do titular, às liberdades civis ou aos direitos
fundamentais.
“Documentação do controlador que con-
tém a descrição dos processos de tra- O RIPD deve ser incorporado dentro dos
tamento de dados pessoais que podem procedimentos de governança em privaci-
gerar riscos às liberdades civis e aos di- dade corporativa do controlador, servindo
reitos fundamentais, bem como medi- como base para o cumprimento de diver-
das salvaguardas e mecanismos de mi- sos princípios da LGPD, em especial:
tigação de risco”. • Finalidade: mediante a avaliação dos
propósitos legítimos do controlador;
De fato, o RIPD é o instrumento pelo qual
são avaliadas as vulnerabilidades no proces- • Adequação: mediante a avaliação das
so de tratamento de dados e contém o pla- compatibilidades das finalidades pre-
no de ação para resolução ou diminuição tendidas de acordo com o contexto do
dos riscos encontrados. Esse relatório é de tratamento;
responsabilidade do controlador e deve ser • Necessidade: limitando o tratamento
elaborado em qualquer operação que en- ao mínimo necessário para a realização
de suas finalidades, com abrangência tratamento pelos quais os dados pessoais

dos dados pertinentes, proporcionais e passam durante o seu ciclo de vida na ope-
não excessivos; ração, assim como das respectivas bases le-
• Segurança: com a avaliação das medi- gais e as medidas de segurança adotadas.
das técnicas e administrativas aptas a A descrição detalhada do ciclo de vida
proteger os dados pessoais de acessos dos dados pessoais, associados à consulta
não autorizados e de situações aciden- e à colaboração com os agentes envolvidos,
tais ou ilícitas de destruição, perda, al- permite identificar os pontos de fragilidade
teração, comunicação ou difusão; da operação, que podem representar al-
• Prevenção: com a adoção de medi- gum risco aos direitos dos titulares dos da-
das para prevenir a ocorrência de dados. A partir da avaliação desses riscos, são
dos em virtude do tratamento de da- identificadas as medidas necessárias para
dos pessoais. sua contenção, que devem ser implemen-
tadas e testadas.
Como o relatório de impacto à proteção O RIPD pode ser elaborado de forma úni-
de dados pessoais tem o propósito de mitigar ca, envolvendo todas as operações de tra-
riscos, ele deverá ser realizado antes do início tamento de dados pessoais realizada pela
do tratamento, mas com uma visão comple- instituição, ou também pode ser elaborado
ta de todo o ciclo de vida dos dados. Assim, um RIPD para cada projeto, sistema ou ser-
o controlador poderá enxergar, claramente, viço. Isso deve ser avaliado pela instituição,
quais serão os principais fatores que poderão de acordo com seus processos internos de
impactar as liberdades civis e os direitos fun- trabalho e o volume de dados e de trata-
damentais para a tomada de decisão, desde mentos realizados. De toda forma, o RIPD
a implementação de medidas e mecanismos deve ser elaborado ou atualizado sempre
que demonstrem o cumprimento da lei, até a que existir a possibilidade de ocorrer impac-
descontinuidade do projeto. to na privacidade dos dados pessoais, resul-
tante de:
Essas medidas e mecanismos podem ser
administrativos ou técnicos, como a abs- • Utilização de nova tecnologia, serviço
tenção da coleta de uma determinada es- ou projeto em que dados pessoais e/
pécie de dado pessoal, restrição de acessos ou dados pessoais sensíveis devam ser
aos dados tratados, reforçar a tecnologia de tratados;
criptografia ou realizar o procedimento de • Rastreamento da localização dos indi-
pseudoanonimização dos dados, apenas víduos ou qualquer outra ação de trata-
para citar alguns. mento de que vise a formação de perfil
comportamental de pessoa natural, se
identificada;
9.1. DESENVOLVER E • Processamento de dados pessoais
usados para decisões automatizadas
IMPLEMENTAR PROCESSO
que possam ter efeitos legais, incluídas
DE DPIA (DATA PROTECTION as decisões destinadas a definir o seu
IMPACT ASSESSMENT) OU RIPD perfil pessoal, profissional, de consu-
mo e de crédito ou os aspectos de sua
(RELATÓRIO DE IMPACTO À
personalidade;
PROTEÇÃO DE DADOS) • Tratamento de dados pessoais de crian-
ças e adolescentes;
A construção do relatório de impacto parte
• Tratamento de dados que possa resul-
do detalhamento de todos os processos de
tar em algum tipo de dano patrimonial,
moral, individual ou coletivo aos titula- Parágrafo Único: Observado o disposto

res de dados, se houver vazamento; no caput deste artigo, o relatório deverá
• Tratamento baseado no interesse legí- conter, no mínimo, a descrição dos tipos
timo do controlador; de dados coletados, a metodologia utili-
zada para a coleta e para a garantia da
• Alterações nas leis e regulamentos
segurança das informações e a análise
aplicáveis à privacidade, política e nor-
do controlador com relação a medidas,
mas internas.
salvaguardas e mecanismos de mitiga-
ção de risco adotados.
9.2. REALIZAÇÃO DO RELATÓRIO

DE IMPACTO DE PROTEÇÃO DE De qualquer forma, é importante que o
DADOS (DPIAS) RIPD contenha as seguintes partes e espe-
cificações:
De modo geral, o Relatório de Impacto à 1. Identificação dos Agentes de Tratamen-
Proteção de Dados precisa ser elaborado an- to e o Encarregado: consiste na identifica-
tes do início do tratamento dos dados, pre- ção inicial do controlador e/ou operador e o
ferencialmente na fase inicial do programa Encarregado de Dados que conduzirá a ela-
ou projeto que tem o propósito de utilizar os boração do RIPD.
dados. O ideal é que ele apresente um pano-
rama geral de todo o processo, para que o
controlador consiga identificar quais são as 2. Identificação da necessidade de ela-
principais ameaças e/ou riscos envolvidos. boração do relatório (Objetivo e Objeto
do RIPD): a preparação do relatório de im-
O RIPD deve apresentar a descrição so-
pacto deve ser de acordo com seu objetivo
bre os tipos de dados coletados, o método
específico, que pode ser, dentre aqueles
utilizado para obtê-los e indicar quais fo-
previstos pela LGPD e já descritos no tópi-
ram as garantias de segurança oferecidas
co anterior: (i) demonstrar a conformidade
ao titular dos dados. O responsável pela
da operação de tratamento; (ii) demonstrar
elaboração do RIPD é o controlador, mas
eventuais fraquezas e ou riscos da opera-
também pode ser realizado por terceiros,
ção; (iii) identificar o melhor software ou
sempre sob o acompanhamento do Encar-
sistema para a organização e, (iv) identificar
regado (DPO), que também deve oferecer a
uma vulnerabilidade. O objeto de avaliação
análise acerca de todas as ações realizadas
do relatório, por sua vez, pode ser um sis-
para conter os riscos.
tema, um departamento, um produto, um
A LGPD não traz especificações acerca serviço ou uma solução a ser aplicada den-
da forma do relatório de impacto à prote- tro da organização.
ção de dados, o que permite às organiza-
ções estruturar seus modelos próprios. Seu
conteúdo mínimo, contudo, vem indicado 3. Equipe responsável: o controlador de
pelo parágrafo único do art. 38 da LGPD: dados é sempre o responsável por garantir
que o Relatório de Impacto seja executado.
Art. 38. A autoridade nacional poderá de- A equipe deve ser formada sob a responsa-
terminar ao controlador que elabore re- bilidade do Encarregado de Dados (o DPO)
latório de impacto à proteção de dados e constituída por pessoas que estejam di-
pessoais, inclusive de dados sensíveis, refe- retamente envolvidas no projeto de trata-
rente a suas operações de tratamento de mento de dados, com conhecimento e ex-
dados, nos termos de regulamento, obser- periência apropriados.
vados os segredos comercial e industrial.
4. Descrição do processo de tratamento grupo vulnerável, se o tratamento

adotado: o objetivo dessa descrição é for- realizado sobre os dados é condizen-
necer o cenário relativo aos processos que te com a expectativa dos titulares e
envolvem o tratamento de dados pessoais, se está de acordo com o determina-
fornecendo subsídios para avaliação e tra- do pela lei e regulamentos.
tamento de riscos. Conforme definido pela d) Finalidade do tratamento: nesse tó-
LGPD, o processo de tratamento de dados pico é indicada, por fim, a razão pela
pessoais envolve as seguintes fases: qual se deseja tratar os dados pesso-
a) Natureza do tratamento: descrever ais. A finalidade do tratamento deve
nessa etapa como a instituição trata ser indicada com absoluta clareza,
ou pretende tratar os dados pesso- pois é ela que justifica o tratamento.
ais, indicando informações como (i) As finalidades vêm elencadas no ar-
como os dados pessoais são coleta- tigo 11 da LGPD, sendo que as princi-
dos, armazenados, tratados, usados pais são:
e eliminados; (ii) qual a fonte utiliza- • cumprimento de obrigação legal ou
da para a coleta de dados; (iii) com regulatória pelo controlador;
quais órgãos e empresas são com-
• execução de políticas públicas;
partilhados; (iv) se existe operador
que realiza o tratamento em nome • alguma espécie de estudo realizado
do controlador; (v) se houve adoção por órgão de pesquisa;
recente de nova tecnologia ou mé- • execução de contrato ou de procedi-
todo de tratamento de dados e, (vi) mentos preliminares relacionados a
quais as medidas de segurança atu- contrato do qual seja parte o titular, a
almente adotadas. pedido do titular dos dados;
b) Escopo do tratamento: representa • exercício regular de direitos em proces-

a abrangência do tratamento de da- so judicial, administrativo ou arbitral;
dos, sendo importante destacar nesse • proteção da vida ou da incolumidade
item as informações sobre os tipos de física do titular ou de terceiro;
dados coletados, o volume, a extensão • tutela da saúde;
e frequência do tratamento, o período • atender aos interesses legítimos do
de retenção, o número de titulares afe- controlador ou de terceiro;
tados pelo tratamento e a abrangên-
• proteção do crédito; e
cia geográfica do tratamento.
• garantia da prevenção à fraude e à se-
c) Contexto do tratamento: essa eta- gurança do titular.
pa é destinada indicar a existência
de fatores internos e externos que
podem afetar as expectativas do ti- Essas finalidades não são exaustivas, de
tular ou o impacto sobre o tratamen- modo que o controlador deve informar e
to de dados, de modo a demonstrar detalhar qualquer outra finalidade especí-
o equilíbrio entre os interesses e a fica do tratamento de dados, dando espe-
necessidade do controlador em tra- cial destaque para aquelas realizadas com
tar os dados pessoais e os direitos base exclusivamente no consentimento do
dos titulares de dados. As principais titular.
informações dessa fase etapa, por- 5. Descrever necessidade e proporciona-
tanto, dizem respeito à natureza do lidade dos dados: Descrever como a insti-
relacionamento da instituição com tuição avalia a necessidade e proporciona-
os indivíduos, se há envolvimento lidade dos dados. É necessário demonstrar
de crianças, adolescentes ou outro que as operações realizadas sobre os dados
pessoais limitam o tratamento ao mínimo • Vinculação de dados de forma não au-

necessário para a realização de suas finali- torizada ou imprópria
dades, com abrangência dos dados perti- • Retenção prolongada de dados
nentes, proporcionais e não excessivos em
• Insuficiência de informações quanto à
relação às finalidades do tratamento de
finalidade do tratamento
dados (LGPD, art. 6º, III). Para atendimento
desse quesito, é importante destacar: (i) a • Compartilhamento de dados ou refor-
fundamentação legal para o tratamento; mulação da finalidade sem o consenti-
(ii) como será garantida a qualidade e exa- mento do titular
tidão dos dados; (iii) a conformidade do • Desatendimento dos direitos do titular
tratamento às regras da LGPD; (iv) como de dados
estão implementadas as medidas que as- • Tratamento de dados sem consenti-
seguram os direitos dos titulares dos dados; mento ou fora das hipóteses legais.
(v) como são fornecidas as informações de
privacidade para os titulares, e (vi) quais são
as salvaguardas para transferências inter- Sobre esse quesito, importante ainda
nacionais de dados, se for o caso. mencionar que a identificação de riscos
decorre também de um processo rotineiro
de avaliação e investigação do controlador
6. Avaliação dos Riscos identificados: O em seus processos internos. Para avaliação
art. 5º, XVII da LGPD preconiza que o Rela- e identificação de riscos, recomenda-se as
tório de Impacto deve descrever “medidas, seguintes práticas:
salvaguardas e mecanismos de mitigação • Entrevistas com colaboradores e apli-
de risco”. Antes de definir tais medidas, cação de questionários prévios
salvaguardas e mecanismos, contudo, é
• Leitura constante de documentos da
necessário identificar os riscos que geram
instituição (políticas, regras etc)
impacto potencial sobre o titular dos da-
dos pessoais. Para cada risco identificado, • Observação das atividades de trata-
define-se (i) a probabilidade de ocorrência mento in loco
do evento de risco e, (ii) o possível impacto • Análise de logs e registros de operação
caso o risco ocorra, avaliando o nível poten- • Avaliação de recomendações anterio-
cial de risco para cada evento. res, se houver.
Para melhor visualização dos riscos e
possíveis impactos, é recomendável a ela- 7. Decisão acerca dos riscos mapeados:
boração de matriz de risco (Probabilidade x uma vez que os riscos tenham sido mapea-
Impacto), que auxiliará no direcionamento dos e identificados, é necessário apresentar
a da aplicação de medidas de segurança. quais foram as medidas de segurança ado-
Nesse tópico, deve ser identificado qual- tadas pela instituição. De acordo com a na-
quer risco que afete o tratamento de dados tureza do risco, essas medidas podem ser:
pessoais. Dentre os principais riscos à priva- • Mudança no processo de tratamento
cidade, destacam-se os seguintes: de dados
• Acesso não autorizado • Alterações organizacionais
• Modificação indevida ou não autoriza- • Capacitação de pessoal
da de dados • Absorção do risco
• Perda, vazamento ou exclusão de dados • Interrupção da atividade de tratamento
• Perda de controle por coleta excessiva • Contratação de seguro para indeniza-
de dados ção por riscos.
8. Aprovação do relatório: Esta etapa visa 9.3. DESENVOLVER E MINISTRAR

formalizar a aprovação do RIPD por meio da
TREINAMENTO SOBRE RELATÓRIO
obtenção das assinaturas do responsável
pela elaboração, pelo encarregado e pelas DE IMPACTO À PROTEÇÃO DE
autoridades que representam o controlador DADOS
e operador. O responsável pela elaboração
do Relatório pode ser o próprio encarregado O RIPD deve ser elaborado e conduzido o
ou qualquer outra pessoa designada pelo mais cedo possível no ciclo de vida do pro-
controlador com conhecimento necessário jeto de tratamento de dados pessoais, para
para realizar tal tarefa. que suas descobertas e avaliações possam
ser incorporadas à operação. Para isso, é
fundamental que a instituição promova
9. Conclusão e manutenção: o RIPD deve um constante treinamento de suas equipes
ser revisto e atualizado anualmente ou não somente no procedimento de elabora-
sempre que existir qualquer tipo de mu- ção do Relatório de Impacto à Proteção de
dança que afete o tratamento de dados Dados, mas também acerca do reconheci-
pessoais realizado pela instituição. De uma mento de todas as circunstâncias que justi-
forma geral, essa mudança pode ser moti- ficam a elaboração desse relatório.
vada por:
A correta elaboração e manutenção do
• Alteração na finalidade do tratamento RIPD permite a proteção da privacidade
de dados desde o início da operação de tratamento,
• Alteração que impacte no processo de trazendo benefícios à instituição, dentre os
tratamento de dados quais destacamos:
• Mudança expressiva na quantidade de • Potenciais problemas são identifica-
dados pessoais coletados dos em estágio inicial;
• Identificação de falha de segurança ou • Menor custo no enfrentamento de pro-
uso de nova tecnologia. blemas de forma precoce;
• Maior conscientização sobre privacida-
É importante que a instituição mantenha de e proteção de dados em toda a or-
o processo de revisão do RIPD, a fim de de- ganização;
monstrar que avalia continuamente os ris- • Maior conformidade às leis, regula-
cos de tratamento de dados pessoais que mentos e normas;
surgem em consequência do dinamismo • Ações menos intrusivas para a privaci-
das transformações tecnológicas, normati- dade e menos impacto negativo nos
vas e corporativas. indivíduos;
• Auxilia na reflexão sobre privacidade
em amplo aspecto.
Para acessar um modelo de RELATÓRIO DE IMPACTO

À PROTEÇÃO DE DADOS que pode ser utilizado por
sua instituição no cumprimento dessa obrigação,
CLIQUE AQUI.
Capítulo 10
Gerenciamento de
Violações de Dados
Segundo preconiza o art. 46 da LGPD, os agentes de tratamento de dados devem
adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados, situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilíci-
to. A ocorrência de qualquer uma dessas situações, portanto, deve ser tratada como
“incidente de segurança por violação de dados pessoais”.
Ainda que a LGPD não traga uma defi- ponder pelos danos decorrentes da viola-
nição específica acerca desse fato, po- ção da segurança caso deixem de adotar as
demos utilizar a definição utilizada pela medidas de segurança previstas no artigo
GPDR, que serviu de inspiração para a for- 46, obrigação essa que se estende a outras
mulação da lei brasileira, segundo a qual o pessoas que intervenham em alguma fase
incidente de segurança é uma “uma viola- do tratamento dos dados (art. 47).
ção da segurança que provoque, de modo
Diante disso, é imprescindível que a ins-
acidental ou ilícito, a destruição, a perda,
tituição esteja preparada não somente para
a alteração, a divulgação ou o acesso, não
compreender essa nova demanda, mas
autorizados, a dados pessoais transmiti-
também para que possa atuar de manei-
dos, conservados ou sujeitos a qualquer
ra preventiva e reativa a ela. É fundamen-
outro tipo de tratamento”
tal estar pronto e saber como agir diante
Independente de não estar expressa- de um episódio de violação de segurança.
mente tipificado pela LGDP, a lei deixa Nesse ínterim é que se encaixa o Plano de
bem claro, contudo, que os agentes de tra- Respostas a Incidentes de segurança em
tamento (controlador e operador) devem dados pessoais, que pode ser compreendi-
adotar formas de proteção para os dados do com um plano de ação apto a ser exe-
em tratamento, podendo, inclusive, res- cutado assim que o incidente ocorra. Esse
plano inclui uma lista de tarefas e procedi- Isso porque, apesar da adoção de medidas
mentos a serem executados por uma equi- preventivas de segurança e proteção, inci-
pe previamente selecionada e treinada, que dentes de segurança sempre podem ocor-
irá atuar desde a identificação do acidente rer e é necessário que a organização esteja
até a efetiva mitigação de danos, passando pronta para responder de imediato.
pelo procedimento de investigação interna
Ainda que não existam parâmetros for-
e comunicação às partes envolvidas e/ou
mais para a elaboração do Plano de Respos-
afetadas pelo incidente.
ta a Incidentes, que certamente serão esta-
Vejamos nas etapas a seguir como o Pla- belecidos pela ANPD, é importante, desde
no de Respostas a Incidentes pode ser es- logo, pensar em seu planejamento e estru-
truturado e desenvolvido. turação a partir do cumprimento de algu-
mas etapas recomendadas, a saber:
a) Preparação e Planejamento: ainda
10.1. DESENVOLVER E que todas as medidas de segurança se-
IMPLEMENTAR PLANO DE jam adotadas, incidentes de segurança
sempre vão ocorrer, por isso é importante
RESPOSTA A INCIDENTES (DATA é que o plano seja previamente formula-
BREACH RESPONSE) do e regulamente testado, para assegurar
seu correto funcionamento quando a or-
Os planos de respostas a incidentes, ou ganização realmente precisar utilizá-lo. O
Data Breach Response, são projetados para primeiro passo, portanto, é a existência de
que a organização possa responder ade- uma equipe de colaboradores previamen-
quadamente a um incidente de segurança, te definida, com funções determinadas,
limitando danos ao negócio e reduzindo o que irá atuar na contenção do incidente
tempo e os custos de recuperação. O prin- imediatamente após sua ocorrência. Os
cipal objetivo do plano de resposta é, por- integrantes dessa equipe podem variar
tanto, gerenciar incidentes envolvendo vio- de acordo com a estrutura de cada orga-
lação de dados pessoais, de modo a limitar nização, mas é importante que seja com-
seus danos. posto por, no mínimo, colaboradores das
Um plano de Resposta a Incidentes bem áreas jurídica, de compliance, de TI e de
feito permite coordenar ações envolvendo comunicação, sempre sob a supervisão
diversos departamentos da organização, do Encarregado de Dados, o DPO. Se não
sem perder de vista o que é importante houver estrutura interna suficiente para a
para o negócio e para a cultura da empresa. estruturação do plano de resposta, a orga-
nização pode contar com parceiros exter-
Ter um plano de resposta a incidentes nos. O importante é que isso seja definido
planejado e eficiente torna-se, portanto, ab- já na fase inicial.
solutamente necessário para a organização,
a fim de garantir que a resposta a qualquer O segundo passo dessa etapa consiste
incidente seja feita de maneira apropriada, no planejamento das respostas necessárias,
calcada nas melhores práticas e em confor- a partir de uma cadeia interna de validação.
midade com a legislação. Segundo o art. 18 da LGPD, a organização
deve comunicar o titular de dados acerca
O Plano de Resposta a Incidentes preci- da ocorrência de um incidente, se este pu-
sa ser previamente estruturado e elaborado, der acarretar risco ou dano relevante aos ti-
pois sua existência é recomendável antes tulares. A mesma ideia se aplica a parceiros
mesmo da ocorrência de qualquer inciden- comerciais que saibam do ocorrido, impren-
te, com fases mapeadas e tarefas atribuídas sa e colaboradores internos. É fundamental
a equipes e/ou departamentos específicos. que todas essas respostas sejam rápidas e
alinhadas entre si, abarcando todos os riscos da investigação realizada são sempre pro-
existentes. Um plano de respostas bem ela- vidências muito importantes, não somente
borado já terá previamente definido quem para indicar que a organização está tratan-
serão os responsáveis pela formulação das do o incidente com a gravidade que efetiva-
respostas e como elas serão apresentadas. mente possui, mas também para minimizar
eventuais sanções e indenizações.
Um incidente pode ser constatado de
b) Cessar a causa (Contenção): a respos-
diversas formas, como (i) através de de-
ta a um incidente de segurança deve ser
núncia por parte do titular de dados, (ii)
decisiva e executada rapidamente. Essa
pelo emprego de ferramentas automati-
fase não pode conter falhas, de forma que
zadas que detectam vazamento de dados,
é essencial que as práticas de emergência
(iii) através do reporte por parte de um
sejam ensaiadas e os tempos de resposta
operador ou, ainda, (iv) por parte de um
medidos, tal como recomendado no item
terceiro. Identificar a natureza do inciden-
anterior. Dessa maneira, é possível desen-
te é fundamental para a coleta e preserva-
volver uma metodologia que estimule a
ção de provas.
velocidade, minimize o impacto e os poten-
ciais danos causados por uma eventual in- A preservação de evidências, por sua vez,
disponibilidade dos sistemas. é fundamental para entender e combater
o incidente, vez que a forma adequada de
Existem dois tipos de contenção de in-
preservação garante a autenticidade e a in-
cidentes, a ‘longa’ e a ‘curta’ e cabe à equi-
tegridade da prova.
pe responsável adotar as medidas para os
dois tipos. A contenção de curto prazo ca- As provas de um incidente podem ser ca-
racteriza-se por uma resposta imediata, a tegorizadas em duas espécies:
fim de impedir que o incidente cause ou
• Provas simples: são aquelas que estão
continue causando danos. Já a contenção
visíveis na interface (papel, software,
de longo prazo abrange o restabelecimen-
sistema etc.). São exemplos de provas
to do sistema à sua condição normal após
simples: ata notarial, prints de tela, ar-
a neutralização do fato gerador do inciden-
quivos. Para fins de prova, devem pre-
te ou ataque.
valecer os documentos originais sobre
As medidas adotadas para cessar a causa as cópias, vez que os originais podem
de um incidente podem compreender: ser submetidos a perícia. É importante,
ainda, que essas provas sejam guarda-
• Indisponibilização de dados;
das em local protegido, sejam manti-
• Interrupção de sistema que fornece
das em formato original e que seja con-
dados;
firmado o momento temporal de sua
• Busca e apreensão de equipamentos; obtenção.
• Restrição e/ou suspensão de acessos; • Provas complexas: são aquelas que
• Ordens judiciais para cessar medida dependem de profissional habilitado
ilícita. em computação para que sejam lo-
calizadas e obtidas. São exemplos de
provas complexas: dados da memó-
c) Investigação do incidente. Identifica- ria RAM, clonagem de mídias bit-a-bit,
ção, coleta e preservação de evidências: dados trafegados em rede, dados ex-
trata-se, nessa etapa, em conduzir o proces- cluídos ou ocultos, logs de atividades.
so de investigação destinado a identificar, Quanto a essas provas, é importante
coletar e preservar as evidências do inci- observar que o estado dos dados não
dente. Descobrir ou tentar descobrir a cau- deve ser alterado.
sa de um incidente e fazer prova positiva
O processo de investigação que leva à te ocorrido. Se necessário, sistemas deverão

identificação e coleta de evidências deve ser atualizados ou melhorados, para que o
ser conduzido de maneira segura e eficien- mesmo tipo de incidente não ocorra nova-
te, sempre com o objetivo de apuração de mente.
fatos, não se confundindo com acusação
A recuperação, por sua vez, tem por ob-
ou defesa. É importante que esse processo
jetivo determinar como todos os sistemas
seja baseado nas seguintes premissas:
serão trazidos de volta à normalidade em
• Deve ser conduzido com ética e trans- termos de produção, depois de verificar se
parência; estão limpos de livres de qualquer brecha
• Deve ser efetuado nos limites da lei, que possa levar a um novo incidente. Even-
sem causar constrangimento aos en- tuais perdas de dados e/ou sistemas são
volvidos; avaliadas nessa etapa, sendo importante a
• Deve ser mantido sigilo durante o pro- existência de cópias de segurança em um
cedimento. sistema de nuvem para que o fluxo normal
de informações seja restabelecido.
A investigação interna pode ser compos-

ta pelas seguintes etapas: e) Elaboração do relatório do incidente e
identificação dos procedimentos adota-
i. Depoimento de testemunhas: sem-
dos: uma vez que a equipe responsável pelo
pre com sigilo, não pode gerar san-
Plano de Resposta concluiu todos os proce-
ções ou represálias;
dimentos previstos, caberá ao supervisor (o
ii. Inspeção em dispositivos corpo- Encarregado de Dados) elaborar o relatório
rativos: podem ser analisados tanto devidamente circunstanciado acerca do in-
aqueles que são utilizados por co- cidente ocorrido e de todas as providências
laboradores dentro da organização, que tiverem sido adotadas.
quanto aqueles utilizados fora da or-
O primeiro item a ser relatado é a des-
ganização, valendo lembrar que, para
crição do próprio acidente, com as seguin-
equipamentos entregues em como-
tes informações:
dato para terceiros, será necessária
expedição de ordem judicial para a • Identificação do evento
inspeção. • Integrantes do comitê de crise respon-
iii. Relatório: conclusões fundamenta- sável pelos trabalhos de contenção
das, sem juízo de valor. • Dados atingidos pelo evento ou inci-
dente
Para as hipóteses de incidente envolven-
do a apuração de ato ilícito, também haverá • Primeiros impactos e consequências
a consequente investigação judicial. identificadas
• Para quem houve o reporte do incidente
• Medidas de contorno ou prevenção
d) Erradicação e Recuperação: a erradica- adotadas
ção é etapa fundamental para a continuida-
de dos negócios da organização, pois visa
restaurar todos os sistemas corporativos afe- A boa prática na elaboração do Pla-
tados pelo incidente de segurança. O plano no de Respostas recomenda também a
de respostas a incidentes deve estabelecer elaboração de uma Cadeia de Custódia
um processo para restauração de todos os contendo a relação de todas as provas e/
sistemas afetados e remover quaisquer ves- ou evidências relativas ao incidente, a fim
tígios, de acordo com a natureza do inciden- de garantir a idoneidade e rastreabilidade
dos vestígios, com a finalidade de preser- do relatório, contendo a Comunicação em

var a confiabilidade e a transparência do si, dirigida à ANPD, contemplando as in-
processo. formações destacadas no §1º do art. 48 da
O relatório também deve apresentar a LGPD. Trata-se, portanto, da elaboração do
identificação dos impactos gerados pelo Data Breach Notification, que consiste no
incidente, bem como a classificação desse ato de informar o incidente ocorrido tanto
impacto de acordo com sua gravidade, com a à Autoridade Nacional de Proteção de Da-
correspondente matriz de risco. Os impactos dos, quanto aos titulares de dados envolvi-
devem ser considerados não somente sob a dos, identificando os possíveis danos e as
perspectiva dos danos causados aos titulares providências que foram e que estão sendo
de dados envolvidos, mas também em rela- tomadas para mitigar tais danos. Essa co-
ção à atividade negocial como um todo. municação deve apresentar alguns pontos
previamente definidos pelo artigo acima ci-
A elaboração do relatório, por fim, é impor- tado, que são:
tante não somente para a comprovação da
atuação da organização diante do incidente, I – a descrição da natureza dos dados
mas também para que o episódio fique do- pessoais afetados;
cumentado e sirva como referência para a II – as informações sobre os titulares en-
revisão de procedimentos internos, melhoria volvidos;
e atualização de sistemas e evolução do pró- III – a indicação das medidas técnicas e
prio Plano de Respostas a Incidentes. de segurança utilizadas para a prote-
ção dos dados, observados os segre-
dos comercial e industrial;
f) Comunicação – Data Breach Notifi-
IV – os riscos relacionados ao incidente;
cation: o processo do plano de resposta a
incidente se completa com a formatação V – os motivos da demora, no caso de
a comunicação não ter sido imediata;
VI – as medidas que foram ou que serão A execução desses testes mantém o plano
adotadas para reverter ou mitigar os de Respostas a Incidentes atualizado e ade-
efeitos do prejuízo. quado à sua finalidade, ao mesmo tempo em
que também ajuda a identificar e ajustar pon-
Considerando-se, portanto, a extensão
tos fracos na segurança e nos procedimentos.
das informações contidas nessa comuni-
cação, é imprescindível que a organização
esteja previamente preparada para adotar
as medidas previstas em seu plano de res- 10.3. DESENVOLVER E MINISTRAR
posta e, na sequência, fazer a necessária TREINAMENTO SOBRE RESPOSTA
comunicação aos envolvidos e à autorida-
de responsável. Vale observar que a LGPD A INCIDENTES/DBN
não determina qual é o prazo para o envio
da comunicação, mas é importante obser- As boas práticas recomendadas nesse
var que o tempo decorrido entre o inciden- segmento demonstram que é muito me-
te e a efetiva comunicação será fatalmente lhor para a organização saber como agir
considerado no momento da aplicação de diante da ocorrência de um incidente de
eventuais sanções. segurança. Além da criação prévia de um
eficiente Plano de Respostas a Inciden-
Se o incidente envolver a prática de al- te, é importante desenvolver e ministrar
gum ato ilícito como, por exemplo, seques- treinamentos para sua aplicação, envol-
tro da base de dados e a exigência de va- vendo equipes e gestores, o que evita que
lor para liberação, recomenda-se, ainda, a decisões apressadas e arriscadas sejam
apresentação de pedido para instauração tomadas. Antes mesmo da promulgação
de inquérito policial. da LGPD, é possível notar que as organiza-
O importante é demonstrar que a orga- ções já vêm reforçando suas medidas de
nização fez tudo o que podia e o que deve- segurança e de proteção de dados, bem
ria fazer assim que a ocorrência do inciden- como criando equipes especializadas,
te foi constatada. como forma de evitar perdas financeiras e
dano reputacional. Não se trata, portanto,
de mera adaptação a uma questão jurídi-
ca, mas sim de fator relevante de sobrevi-
10.2. TESTAR RESPOSTA A
vência no mercado.
INCIDENTES E DBN
Não menos importante do que isso é a
conscientização e a mudança da cultura
Além de previamente estruturado, é de
empresarial, o que se atinge, por exemplo,
fundamental importância para a organiza-
por meio de treinamentos de colaboradores
ção que seu Plano de Respostas a Inciden-
e revisão dos critérios para contratação de
tes seja constantemente testado. É preciso
fornecedores, posto que de nada adianta
saber se realmente funciona e em quanto
investir em sofisticados padrões de segu-
tempo as medidas identificadas poderão
rança contra ameaças externas, se a organi-
ser adotadas. Esse exercício deve envolver
zação continua vulnerável do ponto de vista
toda a equipe previamente definida no pla-
humano. Nesse sentido e, por fim, citamos
no e, idealmente, simular uma violação de
algumas medidas que podem ser adotadas
segurança, para garantir que o sistema de
para aperfeiçoar o sistema de segurança e
segurança está funcionando perfeitamente
proteção de dados e o gerenciamento dos
e que os profissionais estão, de fato, prepa-
respectivos riscos:
rados para atuar em casos de emergência.
• Integrar o risco de privacidade de da- • Manter medidas de segurança de re-

dos na matriz global de avaliação de cursos humanos que garantam que o
riscos de segurança, identificando acesso a dados pessoais seja feito por
ameaças e vulnerabilidades relaciona- pessoas que tenham assinado termos
das com a proteção de dados pessoais. de responsabilidade e confidenciali-
dade específicos. Em complemento a
• Manter medidas técnicas de seguran-
essa medida, devem ser adotados pro-
ça visando evitar, neutralizar ou mitigar
cedimentos que assegurem a imediata
os riscos identificados.
inacessibilidade ao sistema por parte
• Manter medidas de criptografia de
de colaboradores desligados da orga-
dados pessoais, fornecendo proteção
nização.
contra o processamento não autoriza-
• Integrar a privacidade de dados nos
do ou ilegal de dados pessoais.
planos de continuidade de negócios
• Restringir o acesso a dados pessoais a
(Data Loss Prevention).
colaboradores e/ou terceiros com ne-
• Manter uma certificação de segurança
cessidade legítima.
como, por exemplo, a ISO 27001.
Capítulo 11
Encerramento do Projeto
Durante o processo de implementação do 11.1. REVISÃO DO GAP
projeto de adequação à LGPD, é recomen-
ASSESSMENT (GAP
dado que sejam definidos indicadores para
as diversas etapas do projeto, que possam ANALYSIS) E CORREÇÃO
representar o cumprimento das metas pro- DE NÃO-CONFORMIDADES
postas. Os indicadores podem medir de
maneira eficaz o sucesso da implementa-
RESIDUAIS
ção do projeto em cada uma de suas fases
O Gap Assessment (ou Gap Analysis), ou
e facilitam a visualização das áreas e pontos
ainda análise de lacunas, conforme já trata-
que estão em conformidade, bem como
do em capítulo anterior, é o procedimento
aquelas que apresentam maiores riscos.
feito na fase inicial de implementação do
Ademais, os indicadores propostos facili-
programa de conformidade com a LGPD,
tam a cobrança de metas e objetivos em
que tem como objetivo obter um diagnósti-
cada etapa.
co da organização em relação a maturidade,
É sabido que o processo de implemen- aderência, governança e processos solicita-
tação dos requisitos da LGPD irá exigir um dos pela LGPD, apontando inconformida-
esforço grande da instituição e de seus co- des e soluções para mitigar ou minimizar
laboradores. O estabelecimento desses in- riscos. Significa verificar quanto de aderên-
dicadores de sucesso em cada etapa per- cia à nova lei a organização já possui e qual
mite que, ao final do processo, cada fase o caminho ainda tem a percorrer.
seja individualmente analisada e que os
Ao final do programa de implemen-
gestores tenham a exata visão dos proces-
tação da LGPD, após vencidas as etapas
sos que foram implementados. A imple-
descritas nas fases anteriores, como ela-
mentação da LGPD é um processo que não
boração de Relatório de Impacto, revisão
se esgota. Ao contrário, o monitoramento
e/ou criação de políticas de segurança,
contínuo dos sistemas, procedimentos e
implementação dos direitos dos titulares
comportamentos implementados é o fator
de dados e ajustes de contratos, é de fun-
que irá permitir que os padrões de segu-
damental importância que o Gap Analy-
rança e de privacidade sejam preservados
sis seja revisitado, a fim de identificar se
e continuamente aplicados.
todas as inconformidades incialmente
encontradas foram supridas, se as pro- didas recomendadas para fechamento

vidências inicialmente mapeadas foram das lacunas inicialmente encontradas.
implementadas, se os mecanismos de
salvaguarda e proteção se encontram em
funcionamento e se ainda persiste alguma 11.2. CRIAR E IMPLEMENTAR
inconformidade residual, que poderá de-
GERENCIAMENTO DE MUDANÇAS
mandar o reforço de algum procedimento
já criado ou a criação e implementação de
Após estabelecida a integralidade do pro-
mecanismos novos.
grama de implementação da LGPD que
A revisão do Gap Analysis demanda a será feito dentro da Instituição, incluindo
revisão de todo o processo implementado todas as suas fases, os profissionais e a pró-
junto à Instituição, mas a verificação dos pria instituição devem enfrentar o desafio
seguintes pontos deve ser especialmente de fazer a transição entre os status anterior
considerada, a fim de que nenhuma lacuna e a efetiva aderência aos requisitos exigidos
seja esquecida: pela legislação, bem como implantar um
• Dados armazenados: foi feito mapea- conjunto de processos que se tornarão par-
mento de dados pessoais e sensíveis te do “modelo padrão de processos organi-
que a organização trata? De que for- zacionais”. Para usar uma expressão atual,
ma são obtidos, como são armazena- a instituição deverá encontrar o seu “novo
dos, quem tem acesso, com quem são normal” no que se refere ao tratamento de
compartilhados, qual a efetiva necessi- dados pessoais.
dade dos dados coletados; O processo de implementação dos re-
• Consentimento: revisão dos processos quisitos da LGPD implicará não somente na
de obtenção do consentimento do titu- adoção de sistemas computacionais sofisti-
lar na captura de dados pessoais; cados para segurança e proteção de dados,
• Política de privacidade: encontra-se mas também em mudanças culturais, com-
elaborada e atualizada? O texto deve portamentais e de processos operacionais,
avaliar como a organização informa os envolvendo os diversos departamentos da
titulares sobre a política de privacidade organização. É importante, portanto, que
da organização, tratamento de dados, esse processo seja gerenciado e acompa-
incluindo informação sobre dados cap- nhado in loco, com cada departamento,
turados de forma automatizada, como cada gestor, cada responsável.
cookies; São dicas importantes para a implemen-
• Segurança e proteção de dados: avalia- tação e o gerenciamento das mudanças im-
ção dos controles de segurança da or- postas pelo processo de adaptação às exi-
ganização frente ao risco de violações gências da LGPD:
internas e externas que possam impli- • Integrar os novos processos àqueles já
car em vazamento de dados e outros existentes;
incidentes;
• Evitar a duplicação de processos e es-
• Conscientização: assegurar que a equi- forços sempre que possível;
pe de colaboradores está ciente sobre
• Cuidar para que inconsistências e fra-
a LGPD e realmente engajada nos pro-
quezas sejam corrigidas ao longo do
cedimentos implementados;
tempo de implementação do progra-
• Análise geral: consolidação dos resulta- ma, mantendo processos em melhoria
dos, análise crítica do status atual após contínua;
o processo de implementação dos re-
• Promover a capacitação de pessoas e
quisitos da legislação e adoção das me-
ajustes das ferramentas existentes.
11.3. REUNIÃO FINAL DE PROJETO der a LGPD como uma mudança de proces-
sos e mudança de cultura, de forma que é
A fase final do projeto de implementação imprescindível certificar-se de que todos os
pode ser oficializada com a reunião de to- envolvidos estão conscientes da necessida-
dos os gestores envolvidos no processo, de de manter presente no dia-a-dia de to-
sob orientação do Encarregado de Dados, o dos a nova cultura de segurança e proteção
DPO, a fim de identificar se o planejamento de dados que foi implementada ao longo
inicial para cada fase foi devidamente cum- do projeto.
prido, além de definir regras de monitora- Além de estarem cientes de todo esse
mento do programa. processo, também é importante que os en-
Com efeito, a etapa final desta jorna- volvidos saibam como comprovar que seus
da de adequação consiste em percorrer o respectivos departamentos estão devida-
diagnóstico inicial, revendo a implementa- mente adequados à LPGD e quais respon-
ção das fases e reavaliando a maturidade sabilidades demandam desse processo.
da organização após essa implementação Enfim, chegando-se ao fim do projeto de
de processos e culturas. implementação da LGPD, alguns pontos de
A verdade é que o fim do projeto de ade- atenção devem permanecer sob constante
quação à LGPD significa apenas o início do alerta, a fim de que sejam constantemente
trabalho de manter a consistência e a ob- monitorados e verificados por seus gesto-
servância prática do programa de privaci- res, a saber:
dade, proteção de dados e direitos funda- • Manter atualizadas as políticas de se-
mentais dos titulares. gurança da segurança e de Privacida-
Um dos requisitos mais importantes de e proteção de dados;
para a organização e seus gestores é enten- • Manter em evidência nas páginas virtu-
ais de seu negócio os termos de confi- mitadas a R$50.000.000,00 (cinquenta mi-

dencialidade e de uso, bem como aler- lhões de reais), e o impacto que incidentes
tas sobre cookies de navegação; dessa natureza tem sobre os negócios.
• Manter atualizado o Relatório de Im- Os sistemas antivírus e firewalls, que são
pacto de proteção de Dados; as soluções mais conhecidas de proteção,
• Manter atualizados registros do proces- inibem ataques cibernéticos no dia-a-dia
samento de dados pessoais; das organizações, mas não são suficientes
• Revisar contratos com consumidores, para impedi-los de constante e ininterrupta,
colaboradores, fornecedores e parcei- uma vez que a sofisticação dos ataques e
ros, firmando os necessários termos de invasões costumam acompanhar os avan-
confidencialidade e incluindo as cláu- ços da tecnologia.
sulas padrão da LGPD. A estagnação nos processos de trata-
• Realizar periodicamente uma auditoria mento de riscos torna a organização vulne-
no fluxo e no mapeamento de dados; rável, de forma que é imprescindível a ado-
• Investir em treinamentos regulares ção de medidas cada vez mais modernas
para colaboradores e agentes de trata- e atualizadas para impedir ou prevenir ata-
mento de dados. ques cibernéticos. A segurança da informa-
ção, a atualização da infraestrutura de TI e
os procedimentos de treinamento e cons-
11.4. CONTRATAÇÃO DE SEGURO cientização de equipes precisam ser vistos
como investimento para a organização.
DE RISCOS CIBERNÉTICOS
No contexto das medidas de segurança
A LGPD, ao regular e proteger o uso e pro- que podem ser adotadas, também há que
cessamento de dados pessoais, também ser considerado a contratação do Seguro
garante aos titulares destes dados seus di- de Responsabilidade Cibernética, que tem
reitos fundamentais à liberdade e à privaci- como objetivo proteger as organizações em
dade, de forma que as organizações ficam casos de reclamação de terceiros por res-
obrigadas a adotar medidas de segurança, ponsabilidade na administração de dados
técnicas e administrativas, aptas a proteger pessoais.
os dados pessoais contra acessos não auto- A contratação de seguro dessa natureza
rizados e contra situações acidentais ou ilí- pode representar a complementação da
citas que resultem em perda, alteração, va- estrutura de proteção das organizações e
zamento de dados ou qualquer outra forma pode cobrir muitos dos desdobramentos
de tratamento inadequado ou ilícito. de um ataque cibernético, por vezes re-
O alto volume e a sofisticação de recen- embolsando as organizações por despesas
tes ataques cibernéticos, aliados à respon- relacionadas a uma eventual violação de
sabilidade que o controlador possui pela segurança e divulgação não autorizada de
integridade e confidencialidade dos dados dados sob sua custódia. Para melhor con-
pessoais de seus clientes/alunos, têm obri- textualizar os riscos envolvidos, é preciso
gado as organizações a repensar sobre mé- ter em mente que os custos decorrentes de
todos de segurança e proteção, a fim de uma violação de segurança podem envol-
garantir proteção mais efetiva contra inci- ver, dentre várias outras, despesas com:
dentes dessa natureza. Somados a esses fa- • Defesa
tos, também é necessário considerar o alto • Investigação administrativa
custo das multas e sanções previstas pela
• Peritos forenses
LPGD, que podem chegar até 2% (dois por
cento) do faturamento da pessoa jurídica, li- • Pagamento de indenizações a clientes
prejudicados do implementados. Isso porque a busca da

• Pagamento de resgate em caso de se- conformidade é da natureza intrínseca dos
questro de dados Programas de Integridade.
• Notificações e monitoramento de da- Vale ressaltar, assim, que a LGPD irá exigir,
dos de clientes afetados mais do que nunca, que as instituições bus-
• Assessoria de imprensa para recupera- quem a implementação de Programas de
ção de imagem e reputação no merca- Compliance, não somente para adequação
do às questões regulatórias e legais, mas tam-
bém para dar visibilidade e transparência
• Lucros cessantes devido a interrupção
às questões envolvendo privacidade e pro-
de rede.
teção de dados pessoais. São duas frentes
que se complementam perfeitamente bem,
Dessa forma, a contratação de seguro ci- especialmente porque a LGPD também
bernético pode atuar de maneira importan- consagra em seu texto os princípios da se-
te e eficiente no cenário de preparação da gurança, ética e responsabilidade no trata-
organização frente a riscos, permitindo que, mento de dados pessoais, mesmos princí-
por meio dele, a resposta seja mais rápida, pios consagrados pela Lei Anticorrupção e
eficiente e menos custosa. seu Regulamento na implementação dos
Programas de Integridade.
Com efeito, assim como o Compliance
11.5. COMPLIANCE COMO é adotado em outras esferas da cultura
organizacional, especialmente para asse-
RESPONSÁVEL PELA ADEQUAÇÃO
gurar a conformidade quanto à legisla-
DAS ORGANIZAÇÕES À LGPD ção Anticorrupção, tributária e regulatória,
também é altamente recomendado como
É certo que praticamente todas os depar- meio efetivo para implementação das di-
tamentos da instituição terão, em algum retrizes que regem a LGPD, além de asse-
momento, contato com informações de ter- gurar a transparência, responsabilidade e
ceiros, na forma de dados pessoais. Dessa confidencialidade no tratamento de da-
maneira, não parece ser tarefa fácil reorga- dos pessoais e aos direitos fundamentais
nizar a instituição para o tratamento de dados titulares de dados.
dos nos moldes exigidos pela Lei Geral de
Um programa de Compliance que traga
Proteção de Dados, tanto em relação para o
na estruturação de seus pilares mecanis-
tratamento dos dados já coletados pela ins-
mos de gestão e proteção de dados pesso-
tituição, como para aqueles que serão futu-
ais, em consonância com os requisitos da
ramente coletados e tratados.
LGPD, poderá, além de evitar riscos e danos
Responsável por assegurar a conformi- decorrentes da inconformidade, funcionar
dade legal, regulatória e operacional dentro como atenuante na eventual aplicação de
de empresas e instituições, incentivando, qualquer sanção.
ainda, a adoção de comportamentos éticos
Fazendo o entrelaçamento dos pilares
e transparentes, o setor de Compliance (re-
que compõem o Programa de integridade
presentado pelo CFO, comitê, departamen-
com as fases da adequação aos requisitos
to ou consultoria externa) pode também
da LGPD, indicamos, nos passos a seguir
abraçar a desafiadora missão de conduzir a
como o Compliance pode colaborar na im-
adequação da organização às diretrizes da
plementação dos requisitos da LGPD den-
LGPD, acompanhando-a em todas as fases
tro da organização:
enquanto os ajustes necessários vão sen-
01 / Definição do DPO: a nomeação de um En-

carregado de Dados, ou Data Protection Officer
– DPO, é peça fundamental para que a instituição
estabeleça uma comunicação eficiente e segura
entre os titulares de dados, a Autoridade Nacional
de Proteção de Dados e a alta administração da
própria organização. A presença de um responsável
pelo processo de adequação irá garantir o engaja-
mento de todos os envolvidos no processo.
02 / Diagnóstico da empresa (Due Diligence): re-

alizado na fase inicial do programa de Integridade,
a Due Diligence irá fornecer um diagnóstico inicial
também em relação à privacidade e proteção de da-
dos, a fim de verificar o nível de aderência atual que
a organização possui em relação aos requisitos da
LGPD, quais suas inconformidades e riscos.
• Mapeamento de Dados e Elaboração de Matriz
de risco: inserida na fase de diagnóstico, o ma-
peamento de dados e a elaboração da matriz
de risco contribuem para o desenvolvimento do
plano de ação, indicando o nível de risco exis-
tente nos procedimentos atuais da organização
e estabelecendo controles técnicos, documen-
tos e procedimentais que devem ser inseridos,
além de indicar o grau de maturidade da orga-
nização em relação aos requisitos da LPGD.
03 / Código de conduta ética: documento impres-

cindível dentro do programa de Integridade e igual-
mente importante na implementação da LGPD, o
código de conduta ética da organização deve ter
inserido em seus artigos aqueles que visam disse-
minar a cultura de proteção, transparência e integri-
dade em relação ao tratamento de dados, reforçan-
do a importância da preservação da privacidade e
respeito aos direitos fundamentais dos titulares de
dados.
04 / Políticas Institucionais: as políticas institucionais representam as

diretrizes, os parâmetros dentro dos quais as ações da organização e de
seus integrantes devem se desenvolver, sempre permeada por seu con-
junto de valores e princípios éticos, permitindo a uniformidade e correta
execução nos processos, a utilização constante de boas práticas e a inte-
ração entre os diversos departamentos. Dentre esse conjunto de políti-
cas, incluem-se as políticas próprias para o tratamento e proteção de da-
dos, como Política de Segurança da Informação, Termos de Uso, Política
de Privacidade e de Cookies, expondo com clareza sobre o tratamento
dos dados, a finalidade de seu uso, as bases do tratamento, além dos di-
reitos dos titulares de dados.
05 / Atualização de contratos: a etapa de adequação contratual exis-

tente nos processos de compliance também é imprescindível para a ade-
quação à LGPD, pois é necessário que os contratos estejam em confor-
midade com a legislação, tanto no sentido de proteger o controlador em
relação em relação às bases para tratamento de dados, quanto para se
certificar de que terceiros relacionados com o controlador estão adotando
as mesmas regras de proteção e segurança de dados. Assim, devem ser
revistos e reajustados contratos com consumidores finais, com funcioná-
rios, parceiros e fornecedores, incluindo-se também os respectivos termos
de confidencialidade.
06 / Monitoramento: como em todo programa de Integridade, tam-

bém em relação à implementação das regras da LGPD, será necessário
monitorar se todas as regras, políticas, processos e procedimentos estão
sendo observados e cumpridos na prática. Além de identificar possíveis
inconsistências e fragilidades, o monitoramento pode gerar indicadores
que auxiliam na gestão da privacidade e proteção de dados.
07 / Treinamento e Comunicação: assim como o Compliance incenti-

va a adoção de condutas e comportamentos alicerçados na ética, na so-
lidariedade e na transparência, a criação de uma cultura de privacidade e
respeito aos direitos fundamentais dos titulares de dados é indispensável
para que todos os colaboradores sejam agentes da privacidade e ajudem
a instituição a permanecer em conformidade com os requisitos da LGPD.
Dessa forma, os treinamentos são essenciais para que todos os colabora-
dores e envolvidos no tratamento de dados recebam informações sobre
técnicas, sistemas, procedimentos e condutas que estejam alinhados com
o programa de adequação à LGPD, contribuindo, assim de forma funda-
mental para a criação de uma cultura de proteção à privacidade e manu-
tenção da conformidade.
REFERÊNCIAS BIBLIOGRÁFICAS
WARREN e BRANDEIS, The Right to Privacy. In Harvard Law Review, Vol IV, De-
zembro 15, 1890, No.5. Disponível em: <https://www.cs.cornell.edu/~shmat/cour-
ses/cs5436/warren-brandeis.pdf>
LEI GERAL DE PROTEÇÃO DE DADOS, Lei nº 13.709, de 14 de agosto de 2018,

Planalto. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.
htm
GENERAL DATA PROTECTION REGULATION, REGULAMENTO (EU) 2016/679 DO

PARLAMENTO EUROPEU E DO CONSELHO, de 27 de abril de 2016. Versão em
português disponível em: <https://ueno.com.br/blog/gdpr-em-portugues/>
Coimisiún um Chosaint Sonraí (Data Protection Commission), GUIDE TO DATA

PROTECTION IMPACT ASSESSMENTS (DPIAs), October, 2019. Disponível em:
<https://www.dataprotection.ie/sites/default/files/uploads/2019-10/Guide%20
to%20Data%20Protection%20Impact%20Assessments%20%28DPIAs%29_
Oct19_0.pdf>
INFORMATION COMMISSIONER´S OFFICE – ICO – Autoridade de Proteção de

Dados do Reino Unido - Fundada em 1984. Disponível em:
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-ge-
neral-data-protection-regulation-gdpr/accountability-and-governance/data-
-protection-impact-assessments/
COMITÊ EUROPEU DE PROTEÇÃO DE DADOS, Bruxelas, 2018. <https://edpb.

europa.eu/about-edpb/about-edpb>
ISO/IEC 27001 – Internacional Organization for Standardization e Internatio-

nal Electrotechinical Commission, October, 2005. Disponível em: <https://
www.27001.pt/>
IXO/IEC 27701:2019 - Internacional Organization for Standardization – August,

2019. Disponível em: <https://www.iso.org/standard/71670.html>
*Páginas acessadas entre julho e setembro de 2020.

SÃO PAULO RIO DE JANEIRO BRASÍLIA
Alameda Santos, n.º 2.335, Av. Almirante Barroso, n.º 63, SIG/SUL Quadra 04, Lote 25, Sala
9º Andar, CEP 01419-002 sala 1409, CEP 20031-003 12, Centro Empresarial Barão de
São Paulo – SP Rio de Janeiro – RJ Mauá, CEP 70610-440
+55 (11) 3061-3605 +55 (21) 2114-4444 Brasília – DF
+55 (61) 3344-0433
advcovac.com.br

LGPD Manual

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

LGPD Manual

Enviado por

Direitos autorais:

Formatos disponíveis

MANUAL DA LEI GERAL DE

Covac Sociedade de Advogados | lgpd@advcovac.com.br | www.advcovac.com.br

Sillva, Daniel Cavalcan te

Índices para catálogo sistemático:

A Lei Geral de Proteção de Dados (LGPD), de agosto de 2018, que

O escritor inglês William McFee, que além de escritor também era

Daniel Cavalcante Silva

CAPÍTULO 1 APRESENTAÇÃO DA LGPD – LEI GERAL 07

CAPÍTULO 2 GESTÃO DE PROJETO E ROADMAP 24

CAPÍTULO 3 FASE PRELIMINAR 29

CAPÍTULO 4 INÍCIO DA IMPLEMENTAÇÃO 32

CAPÍTULO 5 MAPEAMENTO DOS DADOS PESSOAIS 38

CAPÍTULO 6 POLÍTICAS DE SEGURANÇA 53

CAPÍTULO 7 IMPLEMENTAÇÃO DOS DIREITOS 59

CAPÍTULO 8 AJUSTES CONTRATUAIS E 65

CAPÍTULO 9 RELATÓRIO DE IMPACTO (RIPD) 71

CAPÍTULO 11 ENCERRAMENTO DO PROJETO 85

Apresentação da LGPD - Lei

O debate em torno da privacidade, contu- que reconheceu o direito fundamental à

dados pessoais é uma evolução do direito à

POR QUE OS DADOS PESSOAIS SE

PARE PARA PENSAR!

Você se preocupa em perguntar para qual finalidade seu documento

Você sabia que algumas empresas verificam qual é o modelo do seu

Você sabia que existe uma indústria de venda de mailing de clientes

ção de titulares desse conjunto de bens tão

1.1 VISÃO GERAL DA LGPD

A Lei Geral de Proteção de Dados, Lei nº

relacionada à pessoa natural identificada

1.4 QUEM É QUEM NA LGPD?

Esse tópico destina-se a identificar os

É o sujeito diretamente protegido pela lei, é a pessoa

Pessoa física ou jurídica, de direito público ou privado,

É a pessoa física ou jurídica que efetivamente realiza o

É a pessoa natural, indicada pelo Controlador para atu-

É o órgão da administração pública indireta que ficará

anonimização dos dados pessoais por beneficiem o titular de dados, desde

8. Tutela da saúde: no mesmo compas- 4. SEGURANÇA: utilização das medi-

9. Interesses legítimos do Controlador 5. PREVENÇÃO: adoção de medidas

dados pessoais e, inclusive, a eficácia 7. Informações sobre o tratamento dos

tes dentro das organizações, que devem ser

• Qualquer forma de tratamento inade- passa por atualizações e, ao final do proces-

1.7.3. GESTÃO DE RISCOS cada vez maior. Ao englobar a segurança

do negócio; 1.7.4. PRIVACY BY DESIGN (PbD)

Ativos Ameaças Vulnerabilidades

e compartilhamento, até a exclusão das in- moramento constante de sistemas, proce-

objetividade do design, com as capacida- LGPD e outras normas legais de proteção

e governança em proteção de dados não ções periódicas;

• Contar com planos de resposta a inci- • A gravidade e a natureza das infrações

• A adoção de política de boas práticas e lares envolvidos na infração;

Gestão de Projeto dicionais, geralmente se encontra um

estado de mudanças e transformação, vi- O roadmap pode ser compreendido

Fonte: Aha! (https://www.aha.io/)

APRESENTANDO UM MODELO DE ROADMAP PARA A IMPLANTAÇÃO DA

• Acessar Matriz de Risco Corporativo para enquadrar Privacy

• Obter compromisso da alta direção para projeto de imple-

• Realizar levantamento de data points por área de negócio;

• Revisar/implementar Política de Proteção de Dados Pessoais

05 • Criar política interna de DSARs

• Solicitar e Consolidar informações de operadores;

06 • Criar/atualizar contratos com operadores;

07 • Desenvolver e implementar processo de RIPD

• Desenvolver e implementar processo de Resposta a

08 • Desenvolver e implementar processo de DBR