Escolar Documentos
Profissional Documentos
Cultura Documentos
LGPD Manual
LGPD Manual
PROTEÇÃO DE DADOS
PARA INSTITUIÇÕES
DE ENSINO
ISB
BN 978-65
5-00-08739
9-0
1. Direito à privacidade
p e 2. Instituições
3. Proteção ded dados 44. Proteção o de dados
s - Direito -
Brasil 5. Protteção de d
dados - Leis e legislação I.
Arouca, Adriana Carla.. II. Título.
Co
olaboradores:
João Paulo de Campos Echeverria a | Colaborador | Brassil
José Robertoo Covac Jú nior | Colab
borador | Brasil
Au
ugusto De Albuquerqu
A ue Paludo | Colaborad dor | Brasil
Janaína Rodrrigues Pere
eira | Colabborador | Brrasil
Aline Bastos Lomaz Migguez | Colaaborador | Brasil
B
Th
hiago Graçaa Couto Bra
aun | Colab borador | Alemanha
An
ndressa Caroline Reaiis Pinto | Colaborador
C r | Brasil
Letícia Santa
ana De And
drade Bales stero Pranaaitis | Colabborador | Brrasil
20
0-43869 CDU-3442.721(094
4.56)
CAPÍTULO 10 GERENCIAMENTO DE 77
VIOLAÇÕES DE DADOS
Capítulo 1
Você sabia que algumas farmácias, onde seu CPF é sempre solicita-
do, utilizam seus dados para desenvolver um mapeamento das suas
doenças e vender essa informação para planos de saúde, para que
possam aumentar o valor do seu plano?
Você sabia que o wi-fi público grátis não tem nada de grátis, que você
troca internet por dados pessoais, utilizados para finalidades bem di-
versas à de simplesmente te entregar acesso à internet?
A verdade é que os dados pessoais, bem trato, intangível, que é formado pela univer-
mais do que informações, representam in- salidade de seus comportamentos, desejos,
dicadores de individualidade, únicos e in- preferências, opiniões e buscas feitas em
transponíveis. E, nessa condição de identi- ambiente virtual. Acrescente a esse conjun-
ficadores da nossa personalidade, podem to de valores as informações pessoais pro-
ser usados para manipular nossas próprias priamente ditas, e temos um universo de
escolhas. Ao mesmo tempo, também repre- valor inestimável, ao qual convencionou-se
sentam ativos de extrema importância para denominar “dados pessoais”.
as empresas, na medida em que podem ser
E é justamente por terem se tornado
utilizados para o atingimento de seus objeti-
tão valiosos, que os dados pessoais come-
vos econômicos.
çaram a ser coletados e utilizados indiscri-
Neste contexto, ter acesso às informações minadamente!
pessoais dos consumidores tornou-se obje-
Assim, em um contexto tão valioso e
to de desejo de grandes grupos econômi-
complexo, onde ainda se inserem questões
cos. O consumidor não é mais visto apenas
relativas a incidentes de segurança envol-
como um comprador ou cliente em poten-
vendo vazamentos de dados pessoais, é de
cial. À sua figura foi agregado um valor abs-
suma importância que todos nós, na condi-
14 LGPD | Lei Geral de Proteção de Dados
• Acesso: ato de ingressar, transitar, co- tente obtido por meio de qualquer pro-
nhecer ou consultar a informação, cesso;
bem como possibilidade de usar os • Transferência: mudança de dados de
ativos de informação de um órgão ou uma área de armazenamento para ou-
entidade, observada eventual restrição tra, ou para terceiro;
que se aplique; • Transmissão: movimentação de dados
• Armazenamento: ação ou resultado entre dois pontos por meio de disposi-
de manter ou conservar em repositó- tivos elétricos, eletrônicos, telegráficos,
rio um dado; telefônicos, radioelétricos, pneumáticos,
• Arquivamento: ato ou efeito de man- etc.;
ter registrado um dado, embora já te- • Utilização: ato ou efeito do aproveita-
nha perdido a validade ou esgotado a mento dos dados
sua vigência;
• Avaliação: analisar o dado com o obje-
Como já dito anteriormente, a LGPD se
tivo de produzir informação;
aplica a qualquer operação de tratamento
• Classificação: maneira de ordenar os de dados pessoais realizada tanto por pes-
dados conforme algum critério estabe- soa natural quanto por pessoa jurídica, in-
lecido; dependente de qual seu tamanho, que seja
• Coleta: recolhimento de dados com fi- realizada em território nacional ou com da-
nalidade específica; dos coletados em território nacional ou, ain-
• Comunicação: transmitir informações da, que tenha como titular pessoa localiza-
pertinentes a políticas de ação sobre da em território nacional, tanto no ambiente
os dados; online quanto no off-line.
• Controle: ação ou poder de regular, Importante destacar, contudo, que a
determinar ou monitorar as ações so- LGPD não se aplica ao tratamento de dados
bre o dado; pessoais, quando este tratamento for:
• Difusão: ato ou efeito de divulgação, i. Realizado por pessoa natural para fins
propagação, multiplicação dos dados; exclusivamente particulares e não
• Distribuição: ato ou efeito de dispor econômicos;
de dados de acordo com algum crité- ii. Realizado para fins exclusivamente
rio estabelecido; jornalísticos, artísticos ou acadêmicos;
• Eliminação: ato ou efeito de excluir ou iii. Realizado para fins exclusivos de se-
destruir dado do repositório; gurança pública, defesa nacional, se-
• Extração: ato de copiar ou retirar dados gurança do Estado, atividades de in-
do repositório em que se encontrava; vestigação e repressão de infrações
• Modificação: ato ou efeito de altera- penais;
ção do dado; iv. Proveniente de fora do território na-
• Processamento: ato ou efeito de pro- cional e que não seja objeto de co-
cessar dados visando organizá-los para municação, uso compartilhado de
obtenção de um resultado determinado; dados com agentes de tratamento
• Produção: criação de bens e de servi- brasileiros ou objeto de transferência
ços a partir do tratamento de dados; internacional de dados com outro país
que não o de proveniência, desde que
• Recepção: ato de receber os dados ao
o país de proveniência proporcione
final da transmissão;
grau de proteção de dados pessoais
• Reprodução: cópia de dado preexis- adequado ao previsto na lei.
LGPD | Lei Geral de Proteção de Dados 17
1.3. QUAIS SÃO AS HIPÓTESES seja fornecido por escrito ou por ou-
tro meio que demonstre a manifesta-
DE TRATAMENTO DE DADOS
ção inequívoca de vontade do titular.
PESSOAIS PERMITIDAS PELA Quando for concedido por escrito, de-
LEI - BASES LEGAIS PARA O verá constar em cláusula destacada
das demais cláusulas contratuais, que
TRATAMENTO: não poderá ser genérica, justamen-
te para que reste comprovado que o
A LGPD autoriza, em seu art. 23, empresas
consentimento foi dado para uma fi-
e organizações em geral a realizar o trata-
nalidade específica de tratamento;
mento de dados pessoais unicamente para
o atendimento de sua finalidade específica, 2. Para o cumprimento de obrigação
com o objetivo de executar as competências legal ou regulatória pelo controla-
legais ou cumprir as atribuições contratual- dor: a segunda base legal diz respeito
mente ajustadas, desde que as hipóteses de ao cumprimento de obrigação legal
tratamento sejam informadas ao titular. ou regulatória por parte do controla-
dor, o que possibilita que a LGPD não
O tratamento de dados pessoais poderá
entre em conflito com outras legisla-
ser realizado, portanto, desde que esteja en-
ções vigentes.
quadrado em uma das hipóteses elencadas
no art. 7º. Tais hipóteses devem ser compre- 3. Para execução de políticas públicas:
endidas como condições necessárias para essa base legal indica que também
verificar se o tratamento de dados a ser re- os órgãos públicos estão obrigados
alizado pelo controlador ou operador é per- ao cumprimento das regras da LGPD
mitido. ao tratarem e compartilharem dados
pessoais para execução de políticas
As bases legais que legitimam o trata-
públicas ou respaldadas em contratos,
mento de dados conforme a LGPD são:
convênio ou instrumentos congêne-
1. Mediante Consentimento do titu- res, sem a necessidade de consenti-
lar: essa é, possivelmente, a base le- mento dos titulares.
gal de tratamento mais difundida e a
4. Para a realização de estudos de ór-
que exige mais atenção. Isso porque
gão de pesquisa: Neste caso, deverá
a LGPD exige que o consentimento
ser garantida, sempre que possível, a
LGPD | Lei Geral de Proteção de Dados 19
Criar
Salvar
CICLO DE
Descartar VIDA DA
INFORMAÇÃO
Usar
Arquivar
Compartilhar
ANÁLISE
DE RISCO
Riscos
GERENCIAMENTO
DE RISCO Medidas
24 LGPD | Lei Geral de Proteção de Dados
Capítulo 2
Gestão do Projeto
e Roadmap
A adequação da Lei Geral de Proteção de Dados demanda uma série de procedimentos
que podem ser implementados concomitantemente ou subsequentemente em cada
etapa, dependendo da maneira com for implementado. Nesse cenário, a adequação à
LGPD demanda a utilização de metodologias de gestão, as quais devem ser seleciona-
das dentro do contexto exclusivo de cada instituição de ensino. Após a escolha da me-
todologia de gestão, chegou a hora de implementar o Roadmap de adequação à LGPD.
Importa esclarecer que não existe um modelo específico de roadmap para a adequação da
Lei Geral de Proteção de Dados, pois a sua adequação vai depender de uma gama de vari-
áveis institucionais. Não obstante, o presente modelo leva em consideração não somente o
que dispõe a Lei n.° 13.709, de 14 de agosto de 2018 (LGPD), mas os parâmetros do Regula-
mento Geral de Proteção de Dados (GDPR) (Regulamento Europeu n.° 2016/679 – legislação
europeia de proteção de dados) e do ISO 27001 (Sistema de Gestão de Segurança da Infor-
mação – SGSI) e 27701 (Sistema de Gestão de Privacidade da Informação – SGPI).
Com base na sistemática acima, propõe-se o seguinte roadmap para as instituições
de ensino:
01
• levantar informações sobre a organização (segmento, modelo
de negócio, organograma, terceiros, etc)
• Realizar levantamento de legislações que afetam diretamente
Due Dilligence o negócio da organização;
Inicial • Realizar pré-assessment
• Definir processos prioritários (considerando maior risco de ex-
posição externa).
02
• Definir DPO (Data Protection Officer);
• Criar Comitê de Implementação da LGPD na organização;
Início da • Conduzir Gap assessment;
Implementação • Avaliar grau de maturidade atual da organização com relação
à LGPD;
• Desenvolver e ministrar treinamento de conscientização so-
bre a LGPD e Segurança da Informação para colaboradores e
terceiros.
03
Flows Diagrams);
• Realizar mapeamento de dados (Data Mapping);
Mapeamento • Desenvolver processo para inventário de operações de trata-
mento;
de dados
• Elaborar Registro de Atividades de Tratamento (RoPA).
LGPD | Lei Geral de Proteção de Dados 31
04
Termos de Uso
• Revisar/criar avisos de privacidade;
Políticas de • Revisar e adequar procedimentos de consentimento (incluin-
do menores)
Segurança
• Desenvolver e ministrar treinamento sobre Política de Prote-
da Informação ção de Dados Pessoais.
do Titular
Capítulo 3
Fase Preliminar
Essa é uma fase que antecede o início da adequação à LGPD pelas instituições de ensi-
no, sendo utilizada como fase que objetiva fazer um mapeamento inicial da organização
no intuito de adequar o seu roadmap e formatar o cronograma de execução.
REALIZAÇÃO DE
PRÉ-ASSESSMENT E DEFINIÇÃO
DO ESCOPO
Capítulo 4
Início da implementação
Após a reunião com a alta administração da instituição de ensino, com a apresentação
do pré-assessment e definição de prioridades, a organização já deve ter determinado
a criação do Grupo de Trabalho para a implementação do Programa de Privacidade e
Proteção de Dados, ou seja, o comitê que vai fazer a adequação da instituição à LGPD.
Esse Comitê de Implantação (ou Grupo de mento que deve ser efetivamente compro-
Trabalho) deve realizar um trabalho colabo- vado para dar conformidade à implementa-
rativo com vários membros da própria ins- ção da LGPD. Trata-se de um procedimento
tituição e com terceirizados contratados, próprio de Compliance e que tem funda-
com o objetivo de mapear e tratar os dados mento no Decreto nº 8.420, de 18 de março
pessoais. Dentro desse Grupo de Trabalho de 2015, que regulamenta a lei anticorrupção.
ou Comitê de Implantação, deve ser esco-
O referido Decreto estabelece os pilares
lhido provisoriamente um DPO (Data Pro-
sobre os quais o Programa de Integridade
tection Office – ou Encarregado da Dados),
é desenvolvido e implementado, declaran-
cuja definição e atribuições serão explica-
do ser objeto do primeiro pilar “o compro-
das em tópico adiante.
metimento da alta direção da pessoa ju-
Antes, porém, é necessário que o Gru- rídica, incluindo os conselhos, evidenciado
po de Trabalho ou Comitê de Implantação pelo apoio visível e inequívoco do progra-
busque firmar um compromisso com a alta ma.” (Art. 42, inciso I, do Decreto nº 8.420,
administração da entidade para garantir a de 2015).
eficácia do processo de adequação à LGPD,
Trata-se do que, em compliance, foi de-
bem como o engajamento e a conscienti-
nominado Tone from the top (ou tone at
zação de todos os envolvidos. Logo em se-
the top), podendo ser sintetizado pela ex-
guida, inicia-se a fase de Gap Analysis e a
pressão “o exemplo vem de cima”. Pois
mensuração do nível de maturidade da or-
bem, esse exemplo e comprometimen-
ganização em face dos requisitos da LGPD.
to da alta direção devem ser expressos de
maneira explícita e inequívoca. Algumas
entidades divulgam atos normativos insti-
COMPROMISSO DA ALTA tucionais (portaria, resolução, etc.), outras
ADMINISTRAÇÃO encaminham e-mail ou outra forma de co-
municação institucional que envolva todos
O compromisso da alta administração não os colabores e terceiros, a fim de informar
é uma mera formalidade, mas um procedi- que se trata de um processo de mudança
LGPD | Lei Geral de Proteção de Dados 37
que conta com o apoio integral da alta ad- • Treinar e orientar os funcionários da or-
ministração da instituição e, dessa maneira, ganização sobre os requisitos de con-
garantir o engajamento e colaboração de formidade com o Regulamento (GDPR);
todos os envolvidos. • Realizar avaliações e auditorias regula-
O objetivo é divulgar e justificar a neces- res para garantir a conformidade com
sidade de adequação à LGPD, bem como o GDPR;
as ações que deverão ser adotadas durante • Servir como ponto de contato entre a
a implementação do programa, apresen- empresa e a autoridade supervisora;
tando o grupo de trabalho que realizará os • Manter registros das atividades de pro-
trabalhos de adequação e recomendando cessamento de dados realizadas pela
a todos que auxiliem e prestem as informa- organização;
ções solicitadas pelo grupo de trabalho.
• Responder e informar os titulares de
dados pessoais sobre como seus dados
estão sendo usados e quais as medidas
REQUISITOS PARA A ESCOLHA de proteção implementadas pela orga-
PROVISÓRIA DO DPO (DATA nização;
• Assegurar que os pedidos de acesso ou
PROTECTION OFFICE OU
apagamento de dados feitos por titula-
ENCARREGADO DE DADOS) res de dados sejam atendidos ou res-
pondidos, conforme necessário.
Concomitantemente à efetivação do com-
promisso da alta administração da institui-
ção, é necessário que o DPO (Data Protection Considerando-se que a LGPD brasileira
Office ou Encarregado) seja escolhido provi- foi fortemente inspirada no regulamento
sória ou interinamente. Mas por que razão europeu (o GDPR), a criação do DPO, aqui
escolher o DPO provisoriamente? O objetivo nomeado Encarregado de Dados, também
é que o DPO (Encarregado de dados) tenha foi incorporada, conforme previsão do in-
conhecimento do fluxo de informações dos ciso VIII do art. 5º da LGPD. Não tão abran-
dados pessoais na instituição no momento gentes quanto as previstas pela GDPR, suas
de seu mapeamento, oportunidade em que atribuições são as descritas nos incisos I a IV
conhecerá os principais riscos e ameaças no do art. 41 da LGPD e se constituem em:
momento da adequação à LGPD. I. Aceitar reclamações e comunicações
É evidente que o DPO (encarregado) dos titulares, prestar esclarecimentos
pode ser escolhido posteriormente pela ins- e adotar providências;
tituição, sendo até mesmo terceirizado, mas II. Receber comunicações da autoridade
é imprescindível que conheça os detalhes nacional e adotar providências;
organizativos de fluxo das informações de
III. Orientar os funcionários e os contra-
dados pessoais da organização, motivo pelo
tados da entidade a respeito das prá-
qual sugere-se que participe do comitê de
ticas a serem tomadas em relação à
implantação e acompanhe o processo des-
proteção de dados pessoais;
de o início.
IV. Executar as demais atribuições deter-
A figura do Data Protection Office (DPO),
minadas pelo controlador ou estabe-
que se traduz por Encarregado da proteção
lecidas em normas complementares.
de dados, foi prevista originalmente no Re-
gulamento Geral de Proteção de Dados EU Por essa razão, independentemente de
nº 2016/679 (GDPR), em seu artigo 39, tendo a instituição qualificar algum colaborador
as seguintes funções: ou contratar um DPO, é imprescindível que
38 LGPD | Lei Geral de Proteção de Dados
05 NÃO DISCRIMINAÇÃO
APLICAR O GAP ANALYSIS Não utilização para fins discriminatórios,
E VERIFICAR O NÍVEL DE ilícitos ou abusivos.
MATURIDADE DA LGPD
NA INSTITUIÇÃO 06 ADEQUAÇÃO
(dez) princípios previstos na legislação e for- organização, para aferir o seu gap atual em
nece à organização uma informação trans- face da LGPD.
parente quanto ao nível de alinhamento da
Existem softwares que fazem gap analy-
organização à LGPD.
sis, mas é perfeitamente factível que uma
Para aferir o nível de maturidade à LGPD instituição de educação possa elaborar o
é necessário realizar um diagnóstico, o qual seu próprio procedimento de gap analysis.
é realizado por meio de um questionário Para isso, conforme explicado acima, a or-
de conformidade, separado em tópicos de ganização deve elaborar o questionário de
acordo com os princípios da LGPD, e enca- conformidade e encaminhá-los por depar-
minhado a departamentos estratégicos da tamentos da instituição.
Já existe por parte da alta direção da instituição clareza sobre os efeitos e custos (di-
retos e indiretos) de implementação da LGPD em sua organização/segmento?
Existe uma lista com todos os tipos (nome, endereço, etc) de dados pessoais proces-
sados?
Todos os dados pessoais são tratados de modo legítimo, com propósitos específicos,
explícitos e informados ao titular, sem possibilidade de tratamento posterior de
forma incompatível com as finalidades originais?
Todos os dados pessoais são tratados de forma compatível com as finalidades infor-
madas ao titular, de acordo com o contexto do tratamento?
Grau de maturidade
4%
96%
Em conformidade
Não conformidade
Capítulo 5
Mapeamento dos
dados pessoais
Com o gap analysis pronto, é possível iniciar duas etapas do projeto de forma concomi-
tante: a revisão/implantação da política de segurança da informação e o mapeamento
dos dados pessoais.
NOME
CPF
ENDEREÇO RESIDENCIAL
ENDEREÇO PROFISSIONAL
TELEFONE
RENDA
PROFISSÃO
DADOS DE SAÚDE
O objetivo do questionário acima é saber que tipo de dado pessoal transita por cada departamento
da instituição e de onde esses dados são originários. A partir das respostas acima, é possível identifi-
car a diretoria, área de negócio, departamento ou setor que esteja lidando com mais dados pessoais
e que, por via de consequência, necessitem de maior atenção.
44 LGPD | Lei Geral de Proteção de Dados
Educação Básica
Daniel Cavalcante | June 2.2020
ALUNO ESCOLA
SECRETARIA DE
MINISTÉRIO DA
ESTADO
EDUCAÇÃO
DA EDUCAÇÃO
LGPD | Lei Geral de Proteção de Dados 45
Educação Superior
Daniel Cavalcante | June 2.2020
MINISTÉRIO DA
EDUCAÇÃO
INEP
INSTITUIÇÃO DE
ALUNO CAPES
ENSINO SUPERIOR
FNDE
CAIXA ECONÔMICA
FEDERAL
Pois bem, o primeiro Diagrama de Fluxo Ocorre, no entanto, que o fluxo de in-
de Dados (DFD) apresenta um fluxo sim- formações de dados pessoais dentro de
ples dos dados que são disponibilizados por uma instituição de ensino não flui de uma
alunos às instituições de ensino e que são maneira muito objetiva, pois perpassa por
encaminhados para terceiros ou partes in- uma série de departamentos ou setores
teressadas. Não se trata necessariamente da organização, para que sejam utilizados
do mapeamento, mas apenas de um de- com uma finalidade específica e com uma
monstrativo de como os dados transitam garantia dada pela LGPD ao titular do dado
nas instituições e perpassam para terceiros. (aluno ou professor). Em outras palavras, o
A grosso modo, a LGPD objetiva com que a dado do aluno ou professor só pode ser uti-
Instituição resguarde todos os dados pesso- lizado se atendidos os requisitos estabele-
ais do aluno no ínterim desse fluxo de infor- cidos na LGPD.
mações, sobretudo no que tange às infor-
mações repassadas aos terceiros.
46 LGPD | Lei Geral de Proteção de Dados
Para a compreensão sistêmica desse flu- jeto de garantia dada pela lei e que devem
xo de dados, imagine-se o procedimento ter tratamento específico durante o seu ci-
em que o aluno acessa o website da ins- clo de vida dentro da instituição. Vejamos,
tituição, se inscreve no processo seletivo de uma maneira geral, como seria o fluxo
(vestibular ou seleção via Exame Nacional dos dados pessoais do aluno que passa no
do Ensino Médio - ENEM) e participa do exa- processo seletivo de uma instituição de en-
me. Apenas nesse único processo, o aluno sino superior:
já disponibiliza dados pessoais que são ob-
Departamento Encaminhamento
Pedagógico dos dados para o Contabilidade
(responsável pela departamento
realização do financeiro
processo seletivo)
Encaminhamento
Processo
dos dados para o
seletivo. Sim
setor jurídico
Foi aprovado?
Não
Encaminhamento Armazenamento
dos dados para o dos dados
Fim do setor de TI terceirizados
tratamento dos (nuvens)
dados pessoais
Os dados pessoais transitam por uma precisa realizar para aferir o ciclo de vida
série de departamentos ou setores e são dos dados pessoais dos alunos dentro da
encaminhados para que terceiros os uti- própria instituição.
lizem com alguma finalidade legal/regu- Imagine-se, pois, outra situação análoga:
latória ou mesmo por meio de consenti- um professor encaminha seu curriculum
mento dado pelo próprio aluno. Esse fluxo vitae para passar por um processo seletivo
representa, de maneira bastante limitada, de contratação perante uma instituição de
o mapeamento de dados que a instituição ensino:
Ministério da
Encaminhamento Educação
Encaminha o seu Departamento de
Recursos dos dados para o
Curriculum Vitae setor acadêmico /
Humanos
regulatório
INEP
Departamento de
Pessoal
CAPES
(responsável pela
realização do
processo seletivo)
Encaminhamento
dos dados para o
departamento
financeiro
Contabilidade
Processo Encaminhamento
seletivo. Sim dos dados para o
Foi contratado? setor jurídico
Não
Encaminhamento Armazenamento
dos dados para o dos dados
setor de TI terceirizados
(nuvens)
Fim do
tratamento dos
dados pessoais
empresa terá acesso aos dados pessoais Dentro dessa sistemática, para que a
do professor contratado. instituição desenvolva o mapeamento dos
dados pessoais de maneira integral e sistê-
Na contratação do professor, o encami-
mica, é necessário que faça uma análise de
nhamento dos dados pessoais se constitui
todos os dados pessoais que transitam por
em um processo ou contexto de tratamen-
processos específicos e dentro de cada de-
to de dados pessoais, ou seja, um processo
partamento ou setores da instituição, con-
que deve ser objeto de mapeamento espe-
forme exemplificado abaixo:
cífico desde a efetiva entrega dos dados,
passando-se por todos os departamentos Para iniciar o mapeamento de dados, é
ou setores competentes e pelos terceiriza- necessário que todos os departamentos ou
dos, chegando-se ao momento em que a setores da instituição estejam devidamente
instituição passa a conhecer o fluxo de vida identificados e tenham responsáveis indi-
desses dados.
BASE LEGAL
Departamento 1 - Mediante consentimento?
Regulatório 2 - Cumprimento de obrigação
legal ou regulatória do
Encaminhamento
controlador?
dos dados
pessoais 3 - Uso compartilhado para a
execução de políticas
Setor públicas?
Administrativo 4 - Realização de estudos por
órgãos de pesquisa?
5 - Execução de contrato?
6 - Exercício regular de direito
em processos?
Recursos
Humanos 7 - Proteção da vida ou da
incolumidade física do titular
ou de terceiro?
8 - Tutela da saúde?
9 - Atende aos legítimos
Departamento interesses do controlador ou
de TI terceiros?
10 - Proteção do crédito?
Setor
Jurídico
Daniel Cavalcante | June 2.2020
LGPD | Lei Geral de Proteção de Dados 49
Todos os dados pessoais do professor, desde o momento de sua contratação, devem ser
mapeados por intermédio dos processos que são utilizados no Departamento de RH, se-
guindo os mesmos questionários de aderência à LGPD.
52 LGPD | Lei Geral de Proteção de Dados
Outro exemplo é o Setor Regulatório do Ensino Superior. Todos os processos do setor são
identificados e o fluxo de dados passa a ser mapeado por meio do questionário de aderên-
cia à LGPD. Segue um exemplo dos processos relacionados aos dados pessoais que transi-
tam pelo Setor Regulatório de uma instituição de ensino superior:
PROCESSOS RELACIONADOS
SETOR REGULATÓRIO - COM OS DADOS PESSOAIS
DATA MAPPING
ENSINO SUPERIOR DENTRO DO SETOR
ACADÊMICO E REGULATÓRIO
Processo de avaliação
(dado do docente) 8 - Processo
9 - Nome/descrição do processo
10 - Tipo de dado
11 - Dado sensível? S/N
Processo de supervisão 12 - Finalidade do processamento
(docente e alunos) 13 - Base legal do processamento
14 - Link para a base legal
15 - Legítimo interesse? Link para a LIA
16 - Base legal definitiva?
Censo da Educação 17 - Direitos do titular?
Superior
18 - Elegível para DPIA? S/N/T
Dado Pessoal 19 - Consentimento obtido? S/N/T
do
20 - Link para o consentimento
Aluno/Professor
21 - Titular vulnerável? Qual tipo?
ENADE (INEP)
22 - Caso o titular seja menor, o
consentimento foi obtido com os pais/
responsáveis?
23 - Os dados dos pais/ responsáveis
Pós-graduação stricto foram coletados?
sensu - CAPES 24 - Período de retenção
25 - Local de armazenamento
26 - Fonte de dado
27 - Caso o dado seja enviado para outra
Financiamento área da empresa, especificar qual
estudantil 28 - Dado enviado para terceiros?
29 - Nome do terceiro
30 - Link para contato com o terceiro
31 - Decisão automatizada?
Dados para bolsa
do Prouni 32 - Transferência internacional?
33 - País
34 - Anonimização ou criptografia?
35 - Medidas de segurança aplicadas
36 - Pontos de atenção
Carteira de estudante
37 - Observações
38 - Recomendações preliminares
O Registro das Operações de Tratamento gem das informações que devem compor
de Dados Pessoais, ou Record of Processing o inventário de dados foi balizada pelo Re-
Activies (RoPA), inicialmente previsto no art. gulamento Europeu de Proteção de Dados
30 da GDPR, não é apenas uma boa prática, Pessoais, a GDPR, de onde se destacam as
mas é uma exigência legal, que visa à cria- seguintes:
ção de uma estrutura de controle para ge-
i. A finalidade do tratamento;
renciar e auditar quem, quando e como são
feitos o acesso e a manipulação das bases ii. A descrição das categorias dos dados e
de dados, a fim de garantir sua integridade dos titulares;
e, numa segunda análise, induzir a uma re- iii O fluxo dos dados para fora da organi-
flexão sobre o uso responsável dos dados. zação;
A LGPD também incorporou essa prática, iv. As medidas de segurança existentes;
segundo a qual os agentes de tratamento
de dados devem guardar registros de todas v. As informações de identificação e con-
as suas operações de tratamento de dados tato do controlador;
pessoais, que se encontra prevista em seu vi. Os períodos para exclusão das diferen-
art. 37, que dispõe: tes categorias de dados.
Art. 37. O controlador e o operador devem
A ISO 27701 também reforça a orientação
manter registro das operações de trata-
do registro para dar suporte às obrigações
mento de dados pessoais que realizarem,
relacionadas com o tratamento de dados:
especialmente quando baseado no legí-
timo interesse. ISO 27701: 7.2.8 Registros relativos ao tra-
tamento de DP: Convém que a organiza-
Levando-se em consideração que a defi- ção determine e mantenha de maneira
nição do que é ‘tratamento de dados’ englo- segura os registros necessários ao supor-
ba cerca de 20 (vinte) ações que podem ser te às suas obrigações para o tratamento
realizadas com os dados pessoais (conforme de DP.
já tratado no capítulo 1 desse manual), o re-
gistro das operações deve considerar tudo o Seguindo a mesma lógica do Mapea-
que é feito com os dados, desde a coleta até mento de Dados, o Registro das Opera-
o descarte final. ções de Tratamento de Dados Pessoais,
ou Record of Processing Activies (RoPA), é
Considerando-se, contudo, a amplitu-
realizado logo em seguida à conclusão do
de dessas operações, que poderiam gerar
Mapeamento de Dados feito em cada de-
uma quantidade infindável de informações,
partamento, conforme se pode aferir no
e tendo-se em vista que o objetivo maior
exemplo do Departamento de Marketing e
desse requisito legal é manter o registro das
Comunicação:
atividades de tratamento de dados, a lista-
54 LGPD | Lei Geral de Proteção de Dados
Assim que a instituição tenha realizado Não se trata de criar uma regra nova para
o mapeamento de dados (data mapping), tratamentos específicos por setores, mas
inicia-se a fase do registro das operações que todos os setores trabalhem com a mes-
de tratamento de dados, com o objetivo de ma consciência lógica no tratamento de da-
manter um registro do tratamento que é dos pessoais.
realizado dentro de cada departamento. É
uma regra eminentemente de compliance,
Cada departamento ou setor fará o
pois o referido departamento passa a ser
mapeamento de dados e o registro das
responsável pelo registro das operações de
operações de tratamento de dados,
tratamento de dados que transitam por lá.
sendo que muitas vezes os dados
O responsável pelo departamento também
vêm e vão de departamentos que se
fica responsável pela precisão das informa-
comunicam. O importante, no entanto, é
ções e pela lista atualizada das atividades de
registrar cada dado que passa pelo setor
tratamento de dados que são realizadas na-
e a finalidade do seu tratamento.
quele determinado setor.
LGPD | Lei Geral de Proteção de Dados 55
A partir daí, será possível fazer o mapea- com o outro. Nesse sentido, fica mais fácil
mento completo de todos os dados pesso- compreender o fluxo de dados pessoais de
ais que transitam na instituição, por meio uma maneira mais ampla, conforme expli-
de um diálogo de atividades de processa- cado no exemplo abaixo:
mento de dados que cada setor teria um
Ministério da
Encaminhamento Educação
Encaminha o seu Departamento de
Recursos dos dados para o
Curriculum Vitae setor acadêmico /
Humanos
regulatório
INEP
Departamento de
Pessoal
CAPES
(responsável pela
realização do
processo seletivo)
Encaminhamento
dos dados para o
departamento
financeiro
Contabilidade
Processo Encaminhamento
seletivo. Sim dos dados para o
Foi contratado? setor jurídico
Não
Encaminhamento Armazenamento
dos dados para o dos dados
setor de TI terceirizados
(nuvens)
Fim do
tratamento dos
dados pessoais
U SERNAME
LOGIN
Capítulo 6
Políticas de Segurança
da Informação
Segurança da Informação é a disciplina voltada à proteção da informação, considerada
um ativo da organização, contra os diferentes tipos de ameaças internas e externas, a
fim de prevenir e mitigar riscos, aumentar o retorno sobre os investimentos e garantir a
continuidade do próprio negócio.
Nos tempos atuais, a informação é um bem Esse conceito mais amplo, onde coe-
da organização, que possui valor financeiro xistem segurança e privacidade, fica evi-
e/ou estratégico para o negócio, de forma denciado na LGPD que, em seu art. 6º, es-
que é importante adotar metodologias ca- tabelece vários princípios para nortear as
pazes de protegê-la adequadamente. Com atividades de tratamento de dados pesso-
a promulgação da LGPD, contudo, o foco ais, princípios esses que devem ser, sempre,
antes voltado apenas à informação foi am- considerados em conjunto na atividade de
pliado, para considerar também a proteção tratamento de dados.
dos dados pessoais que compõem a infor-
Cada vez mais necessária para a realiza-
mação, visando à garantia da privacidade
ção e para o lucro dos negócios, a informa-
de seus titulares. Assim, privacidade e se-
ção é um bem da organização e, como tal,
gurança são conceitos distintos e comple-
deve ser gerenciado, protegido, possuindo
mentares, necessitando, ambos, serem pro-
regras e políticas de utilização. Dentro da
tegidos e disciplinados.
instituição, é importante arquitetar um pro-
58 LGPD | Lei Geral de Proteção de Dados
cesso eficiente e seguro de segurança da bilidade (os dados devem estar acessíveis)
informação, calcado sobre três pilares igual- e integridade (os dados não devem sofrer
mente importantes: modificações indesejadas).
• Disponibilidade da informação: a in-
formação deve estar acessível para o
funcionamento da organização e a re- 6.1. REVISAR/IMPLEMENTAR
alização dos negócios; POLÍTICA DE PROTEÇÃO DE
• Integridade da informação: a infor-
DADOS PESSOAIS
mação deve estar correta, ser verdadei-
ra e não estar corrompida;
Quando dispõe sobre obrigatoriedade de
• Confidencialidade da informação: a adoção de medidas de segurança para a
informação deve ser acessada e utiliza- proteção de dados, a LGPD torna a adoção
da exclusivamente pelos usuários auto- de uma política de Segurança da Informa-
rizados. ção uma disciplina obrigatória para a orga-
A Segurança da Informação é uma dis- nização e não apenas mera opção de con-
ciplina norteada pela Norma Técnica ABNT trole interno. É a Política de Segurança da
NBRISO/IEC 27002, considerada um código Informação que garante a efetividade das
de práticas para controles de segurança da ações no momento de proteger informa-
informação, sedimentado sobre as melho- ções e, nesse sentido, deve conter e explici-
res práticas mundialmente reconhecidas tar o conjunto de ações, técnicas e boas prá-
sobre o tema. Essa norma preconiza, essen- ticas relacionadas ao uso seguro de dados.
cialmente, que:
Para a elaboração e implementação de
“A segurança da informação é alcança- uma Política de Segurança da Informação
da pela implementação de um conjunto que seja eficaz para sua instituição, alguns
adequado de controles, incluindo políti- passos devem ser seguidos:
cas, processos, procedimentos, estrutura
organizacional e funções de software e 1º passo: Planejamento:
hardware. Estes controles precisam ser
Essa primeira etapa se destina a verificar
estabelecidos, implementados, moni-
tudo quanto deve ser protegido pela políti-
torados, analisados criticamente e me-
ca, abrangendo todos os setores da institui-
lhorados, quando necessário, para as-
ção.
segurar que os objetivos do negócio e a
segurança da informação da organiza-
ção sejam atendido. ” 2º passo: Definir os responsáveis por es-
crever a política de segurança da infor-
mação:
Nesse sentido, na medida em que a Necessário estabelecer quem irá escrever o
LGPD, em seu art. 46, impõe ao agente de documento e envolver responsáveis de ou-
tratamento de dados pessoais o dever de tras áreas e departamentos da instituição,
adotar medidas de segurança, técnicas e em especial aqueles que já participam do
administrativas, aptas a proteger os dados Grupo de Trabalho para adequação da ins-
pessoais, pode-se dizer que a LGPD almeja, tituição ao regramento da LGPD. Quanto
em relação aos dados pessoais, alcançar os maior for o envolvimento da equipe, mais
mesmos objetivos que sustentam os pila- eficiente será o documento, pois cada insti-
res da Segurança da Informação, conferin- tuição tem suas particularidades e filosofia
do-lhes atributos como confidencialidade própria, que deverão ser levadas em conta
(os dados devem alcançar somente os des- na hora da elaboração do documento.
tinatários desejados pelo titular), disponi-
LGPD | Lei Geral de Proteção de Dados 59
titular e que ele também tenha expresso dados pessoais, é a chave para garantir se-
conhecimento de que seu consentimento gurança da informação e a privacidade.
pode ser revogado a qualquer momento,
De fato, tão importante quanto investir
também por meio de manifestação expres-
em segurança física, em modernos siste-
sa do titular, por procedimento gratuito e
mas computacionais e em ambientes bem
facilitado. Essa manifestação expressa pode
configurados, é garantir o treinamento e a
ser obtida por meio de cláusula destacada
conscientização de todos os colaboradores,
em contratos ou por documentos próprios
pois é isso que irá proteger a Instituição con-
para esse fim.
tra acessos não autorizados, modificações
indevidas, perda, vazamento e exclusão de
Consentimento em casos especiais: dados, bem como contra outros atos provo-
cados pela ação humana.
Em alguns casos, além de respeitar todas
as características acima elencadas acima, a A LGPD definiu um marco a partir do
LGPD exige que o consentimento seja obti- qual as organizações poderão ser respon-
do de forma específica e destacada. São eles: sabilizadas financeiramente em casos de
incidentes e uso indevido de dados, razão
• Dados pessoais sensíveis: quando a
porque terão que investir cada vez mais
base legal for o consentimento, o tra-
em segurança da informação e em prote-
tamento de dados pessoais sensíveis
ção de dados pessoais. O melhor caminho
somente poderá ocorrer quando o ti-
para garantir a efetiva proteção de dados é
tular ou seu responsável legal autorizar,
a criação de políticas robustas de seguran-
de forma específica e destacada, para
ça da informação. Aliado a esse processo, a
finalidades determinadas.
conscientização e o treinamento do Grupo
• Dados pessoais de crianças e de ado- de Trabalho e das equipes diretamente en-
lescentes: o consentimento deve ser volvidas nas diversas etapas de tratamen-
específico e em destaque, fornecido to de dados é parte imprescindível para
por pelo menos um dos pais ou pelo garantir a conformidade da Instituição
responsável legal. com a LGPD, vez que proporcionará aos
• Transferência internacional de dados colaboradores conhecer adequadamente
pessoais: quando também for baseada o conjunto de sistemas e procedimentos
em consentimento, este deve ser espe- utilizados na proteção de dados, além de
cífico e em destaque, com informação reconhecer e responder eventuais amea-
prévia sobre o caráter internacional da ças a esse sistema.
operação, distinguindo claramente de
É sabido que ambientes seguros são
outras finalidades.
construídos sobre três pilares igualmente
importantes: pessoas, processos e tecnolo-
gia, razão porque a criação e o desenvolvi-
6.5. DESENVOLVER E MINISTRAR mento de uma cultura corporativa de prote-
TREINAMENTO SOBRE POLÍTICA ção de dados pode ser o fator determinante
DE PROTEÇÃO DE DADOS para o sucesso do processo de adequação
à LGPD.
PESSOAIS
Capítulo 7
Implementação dos
Direitos dos Titulares
A LEI GERAL DE PROTEÇÃO DE DADOS, em capítulo especialmente dedicado ao tema,
estabelece uma estrutura legal que confere poder aos titulares de dados pessoais, con-
cedendo-lhes direitos a serem exercidos perante os controladores desses dados. Esses
direitos devem ser garantidos durante toda a existência do tratamento dos dados pes-
soais do titular.
Em razão disso, é importante que as insti- Art. 17. Toda pessoa natural tem assegu-
tuições se preparem para que, a partir do rada a titularidade de seus dados pesso-
início da vigência da lei, possam garantir o ais e garantidos os direitos fundamentais
exercício desses direitos aos seus clientes/ de liberdade, de intimidade e de privaci-
alunos/colaboradores, evitando sofrer san- dade, nos termos desta Lei.
ções por parte da Autoridade Nacional de
Proteção de Dados, aplicáveis em caso de Ainda que pareça redundante, a impor-
descumprimento de qualquer norma pre- tância desse comando consiste justamente
vista na lei. no fato conferir ao titular o “direito à titulari-
Para tanto, o primeiro passo é dar ao ti- dade de seus dados pessoais”, com o obje-
tular de dados pessoais conhecer quais são tivo de deixar claro que os dados pessoais
seus direitos. Antes disso, contudo, faz-se não pertencem à Instituição que os coletou,
ainda mais importante ressaltar o comando ou ao controlador ou operador, mas sim ao
estampado no caput do artigo 17 da LGPD, indivíduo, à pessoa física a quem os dados
primeiro artigo do capítulo dedicado aos di- dizem respeito.
reitos dos titulares.
64 LGPD | Lei Geral de Proteção de Dados
Feita essa observação, é importante que o titular de dados pessoais conheça seus direi-
tos e de qual maneira eles podem ser exercidos. São eles:
Trata-se do direito conferido ao titular no sentido de solicitar que seus dados pessoais
sejam corrigidos ou atualizados, de forma que sejam mantidos atualizados e de acordo
com a necessidade para o cumprimento da finalidade de seu tratamento.
Da mesma maneira que no item anterior, esse direito pode ser exercido por meio de
requerimento dirigido à instituição controladora dos dados.
Caso não deseje mais que seus dados pessoais sejam tratados pela empresa, o titular
tem o direito de solicitar a eliminação de seus dados pessoais da base da instituição.
É importante ressaltar, contudo, que esse direito não é absoluto, pois ao controlador
LGPD | Lei Geral de Proteção de Dados 65
é permitido reter aqueles dados que sejam necessários para cumprimento de obri-
gação legal ou regulatória, bem como dados financeiros e outros tratados com fina-
lidade legítima.
Na hipótese de requisição desse direito por parte do titular, devem ser eliminados os
dados relacionados ao consentimento do titular, como aqueles concedidos para fins de
marketing ou cadastro.
7. Revogação de consentimento
10. Oposição
Considerando-se que esses direitos po- ções que possam implicar em riscos à orga-
dem ser exercidos pelo titular a qualquer nização.
tempo durante a vigência do tratamento
de dados e mediante requerimento ao con-
trolador, é extremamente importante que a
Instituição, na qualidade de controladora de 2º. Desenvolver e implementar o proces-
dados, esteja preparada para responder e so de atendimento a Requisições de Titu-
dar vazão às solicitações, que já poderão ser lares
recebidas a partir de agosto de 2020. Definidas as regras internas e os respon-
A adequação da instituição à LGPD, tam- sáveis pelas etapas do processo, é preciso
bém no que se refere a esse quesito, será definir como será implementado e opera-
um processo que envolverá a adoção de cionalizado o Processo de atendimento às
critérios e procedimentos específicos, que Requisições dos titulares.
permitam padronizar o processo de recebi- Considerando-se que a LGPD ainda não
mento e de Respostas a Solicitações de Ti- se encontra em vigor e que a Autoridade
tulares. Isso pode se tornar possível e efetivo Nacional de Proteção de Dados ainda não
com a adoção, pela instituição, dos seguin- definiu métricas e procedimentos que pos-
tes processos: sam auxiliar na criação desses processos e
procedimentos, boas práticas já ampara-
das por legislações estrangeiras, em es-
pecial a GDPR (General Data Protection
1º. Criação da Política interna de Requisi-
Regulation), legislação da União Europeia
ções dos Titular de Dados (Data Subject
que versa sobre a proteção de dados, e
Access Request)
a ICO (Information Comissioner´s Office),
O desenvolvimento desse primeiro passo Autoridade de Proteção de Dados do Reino
consiste na criação de uma Política pró- Unido, nos permitem recomendar um che-
pria para disciplinar o fluxo e o tratamento cklist de procedimentos na operacionali-
das inúmeras requisições que podem ser zação do recebimento e do cumprimento
formuladas pelos titulares de dados, am- das requisições formalizadas pelo titulares
paradas nos direitos acima descritos. Den- de dados, a saber:
tro dessa política, é importante que esteja
claro quem são os responsáveis (pessoas
1. Na preparação para o recebimento de
ou departamentos) por todo o processo de
requisições de titulares, é importante
recebimento, tratamento e resposta das re-
que os seguintes aspectos estejam
quisições dos titulares, qual é o fluxo e o res-
claramente identificados:
pectivo prazo legal para atendimento das
requisições, bem como formas e conteúdos a) Como reconhecer uma requisição de
específicos, a fim de garantir que o docu- titulares de dados pessoais e identifi-
mento seja elaborado com a qualidade ne- car em qual direito está amparada;
cessária, mas sem expor dados de terceiros b) Identificar o titular de dados;
e ou informações sigilosas da controladora.
c) Promover o registro de requisições
O papel do Encarregado de Dados (DPO) recebidas, tanto as formais quanto as
dentro desse fluxo de tratamento das requi- formuladas de maneira verbal;
sições dos titulares é fundamental, como
gestor da política e de todos os procedi- d) Reconhecer quando uma requisição
mentos que a compõem, além de garantir pode ser recusada;
que a instituição não seja exposta de forma e) Identificar as informações que devem
negativa e de tratar adequadamente situa- ser fornecidas ao titular dos dados.
LGPD | Lei Geral de Proteção de Dados 67
Capítulo 8
Ajustes Contratuais e
Transferências Internacional
8.1. AJUSTES DE CONTRATOS vando-se os diversos requisitos introduzi-
dos pela LGPD, vê-se que não será suficien-
O caminho que leva à integral conformida- te a mera comunicação ao titular de que
de da instituição com a LGPD passa pela seus dados serão coletados e tratados. A lei
adequação de todos contratos firmados, in- passa a exigir que novas disposições con-
cluindo contratos com consumidores finais, tratuais sejam criadas e implementadas
clientes, funcionários, parceiros, prestado- para informar ao titular de dados, de for-
res de serviços, fornecedores e com órgãos ma completa e transparente, quais são os
públicos, vez que a grande maioria faz car- procedimentos relativos à coleta de dados,
rega seu conteúdo diversos dados pessoais, forma, duração e finalidade do tratamento,
seja de clientes, funcionários ou terceiros. quais os direitos do titular e as responsabili-
dades do controlador, além da obtenção de
Com efeito, além das necessárias ade-
consentimento para o tratamento de da-
quações e atualizações de softwares, equi-
dos, quando necessário.
pamentos, sistemas operacionais e proce-
dimentos internos com vistas à proteção e Ainda que possa prevalecer a ideia de
segurança no tratamento de dados pesso- que, entre contratos firmados somente en-
ais, também é necessário que a instituição tre pessoas jurídicas não haverá troca de
providencie as adaptações necessárias a dados pessoais e, portanto, não incidência
toda aquela gama de contratos utilizados da LGPD, tal conceito não se confirma pos-
em todos os seus setores, com as mais di- to que, mesmo entre duas organizações, os
versas finalidades, além de preparar cláusu- contratos podem versar, em pequena ou
las padrão e novas minutas para contratos grande proporção, sobre dados pessoais.
a serem futuramente formalizados. Obser- Em celebração de contratos societários, por
70 LGPD | Lei Geral de Proteção de Dados
exemplo, uma parte poderá ter acesso a da- • Coleta de dados suficientes para aten-
dos de titulares da outra parte, contidos em dimento da finalidade, sem dados ex-
contratos sociais, procurações, dados de cessivos;
representantes legais, dentre outros. Con- • Fornecer informações aos titulares de
tratos com prestadores de serviços, por sua maneira objetiva e transparente.
vez, inevitavelmente trarão dados de pesso-
ais autorizadas a adentrar às dependências
de um dos contratantes, dentre vários ou- 3. Elaboração de cláusulas padrão
tros exemplos. para atendimento da LGPD: ainda que a
análise e adaptação de cada contrato seja
Sendo assim, para que esse processo de
uma necessidade, obrigações gerais como
adaptação e criação de novos contratos seja
autorização para coleta e tratamento de
feito de maneira segura e possa atender a
dados, finalidade legítima da instituição e
todos os requisitos expressos pela LGPD, re-
acordo de confidencialidade podem cons-
comenda-se à instituição a observação de
tar em cláusulas padrão, para que possam
alguns pontos, como:
ser inseridas em contratos diversos. Na hi-
pótese de a controladora de dados realizar
1. Obtenção de Consentimento do ti- o tratamento por intermédio de Operador
tular dos dados: a LGPD estabelece, em seu de Dados terceirizado, o que implica em
art. 7º, a exigência quanto ao consentimento responsabilidade solidária entre ambos, é
do titular para o uso e tratamento de seus indispensável o cuidado na elaboração de
dados pessoais, nas hipóteses de tratamen- cláusulas que delimitem obrigações e res-
to onde o consentimento é exigido, o que ponsabilidades de uma das pessoas jurídi-
deve ser representado por cláusula em des- cas contratantes, trazendo, inclusive, pre-
tacado, com conteúdo claro e transparente, visão para cooperação e atuação conjunta
informando ao titular sobre o uso que será em caso de questionamentos e solicitações
feito de seus dados, durante quanto tempo, por parte dos titulares de dados ou em caso
para qual finalidade e qual o procedimento de violações de segurança que impliquem
que será adotado pela organização. em vazamento de dados.
Neste contexto, a gestão de terceiros que
2. Auditoria de contratos em vigor tratem dados pessoais em nome do contro-
(contratos de consumidores/clientes, lador é essencial para garantir que as prá-
funcionários, fornecedores e prestadores ticas de privacidade, proteção e segurança
de serviços): para a completa conformida- de dados pessoais estejam alinhadas com
de da instituição aos requisitos da LGPD, os riscos que as atividades de tratamento
instituição deve estar preparada para rea- representam aos titulares de dados. Para
lizar uma completa auditoria nos contratos tanto, recomenda-se a observação de dois
em vigor, firmados com clientes, consumi- pontos críticos:
dores, com seus próprios colaboradores e
com terceiros em geral, identificando aque- • A mensuração do volume de dados
les que implicam em coleta e tratamento tratados, a quantidade de pessoas que
de dados pessoais e qual o nível de exposi- têm acesso a estes dados, o nível de
ção em cada caso, para que possa realizar a criticidade dos dados (se são dados
adequação de seus termos e implementa- sensíveis, de crianças ou adolescentes)
ção das condições que atendam à previsão e para qual finalidade o tratamento é
legal, em especial quanto à: realizado;
• Determinar o nível de maturidade e
• Finalidade legítima e adequada à lei;
controles de privacidade e proteção de
• Adequação do tratamento à finalidade; dados pessoais que será exigido deste
LGPD | Lei Geral de Proteção de Dados 71
Capítulo 9
Relatório de Impacto à
Proteção de Dados (RIPD)
ou Data Protection Impact
Assessment - DPIA
DPIA é a sigla para Data Protection Impact Assessment, uma metodologia amplamen-
te adotada pela legislação europeia de proteção de dados pessoais, a GDPR (General
Data Protection Regulation). A LGPD importou o conceito, sob o nome de Relatório de
Impacto à Proteção de Dados pessoais – RIPD, que consiste, basicamente, em uma do-
cumentação que descreve os processos de tratamento de dados pessoais que podem
gerar algum risco aos direitos dos titulares, além das medidas e mecanismos emprega-
dos para mitigar esses riscos.
Disciplinado pelo inciso XVII do art. 5º da volva o tratamento de dados pessoais que
LGPD, o relatório de impacto é assim de- possa gerar riscos à instituição, aos direitos
finido: do titular, às liberdades civis ou aos direitos
fundamentais.
“Documentação do controlador que con-
tém a descrição dos processos de tra- O RIPD deve ser incorporado dentro dos
tamento de dados pessoais que podem procedimentos de governança em privaci-
gerar riscos às liberdades civis e aos di- dade corporativa do controlador, servindo
reitos fundamentais, bem como medi- como base para o cumprimento de diver-
das salvaguardas e mecanismos de mi- sos princípios da LGPD, em especial:
tigação de risco”. • Finalidade: mediante a avaliação dos
propósitos legítimos do controlador;
De fato, o RIPD é o instrumento pelo qual
são avaliadas as vulnerabilidades no proces- • Adequação: mediante a avaliação das
so de tratamento de dados e contém o pla- compatibilidades das finalidades pre-
no de ação para resolução ou diminuição tendidas de acordo com o contexto do
dos riscos encontrados. Esse relatório é de tratamento;
responsabilidade do controlador e deve ser • Necessidade: limitando o tratamento
elaborado em qualquer operação que en- ao mínimo necessário para a realização
76 LGPD | Lei Geral de Proteção de Dados
Capítulo 10
Gerenciamento de
Violações de Dados
Segundo preconiza o art. 46 da LGPD, os agentes de tratamento de dados devem
adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados, situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilíci-
to. A ocorrência de qualquer uma dessas situações, portanto, deve ser tratada como
“incidente de segurança por violação de dados pessoais”.
Ainda que a LGPD não traga uma defi- ponder pelos danos decorrentes da viola-
nição específica acerca desse fato, po- ção da segurança caso deixem de adotar as
demos utilizar a definição utilizada pela medidas de segurança previstas no artigo
GPDR, que serviu de inspiração para a for- 46, obrigação essa que se estende a outras
mulação da lei brasileira, segundo a qual o pessoas que intervenham em alguma fase
incidente de segurança é uma “uma viola- do tratamento dos dados (art. 47).
ção da segurança que provoque, de modo
Diante disso, é imprescindível que a ins-
acidental ou ilícito, a destruição, a perda,
tituição esteja preparada não somente para
a alteração, a divulgação ou o acesso, não
compreender essa nova demanda, mas
autorizados, a dados pessoais transmiti-
também para que possa atuar de manei-
dos, conservados ou sujeitos a qualquer
ra preventiva e reativa a ela. É fundamen-
outro tipo de tratamento”
tal estar pronto e saber como agir diante
Independente de não estar expressa- de um episódio de violação de segurança.
mente tipificado pela LGDP, a lei deixa Nesse ínterim é que se encaixa o Plano de
bem claro, contudo, que os agentes de tra- Respostas a Incidentes de segurança em
tamento (controlador e operador) devem dados pessoais, que pode ser compreendi-
adotar formas de proteção para os dados do com um plano de ação apto a ser exe-
em tratamento, podendo, inclusive, res- cutado assim que o incidente ocorra. Esse
82 LGPD | Lei Geral de Proteção de Dados
plano inclui uma lista de tarefas e procedi- Isso porque, apesar da adoção de medidas
mentos a serem executados por uma equi- preventivas de segurança e proteção, inci-
pe previamente selecionada e treinada, que dentes de segurança sempre podem ocor-
irá atuar desde a identificação do acidente rer e é necessário que a organização esteja
até a efetiva mitigação de danos, passando pronta para responder de imediato.
pelo procedimento de investigação interna
Ainda que não existam parâmetros for-
e comunicação às partes envolvidas e/ou
mais para a elaboração do Plano de Respos-
afetadas pelo incidente.
ta a Incidentes, que certamente serão esta-
Vejamos nas etapas a seguir como o Pla- belecidos pela ANPD, é importante, desde
no de Respostas a Incidentes pode ser es- logo, pensar em seu planejamento e estru-
truturado e desenvolvido. turação a partir do cumprimento de algu-
mas etapas recomendadas, a saber:
a) Preparação e Planejamento: ainda
10.1. DESENVOLVER E que todas as medidas de segurança se-
IMPLEMENTAR PLANO DE jam adotadas, incidentes de segurança
sempre vão ocorrer, por isso é importante
RESPOSTA A INCIDENTES (DATA é que o plano seja previamente formula-
BREACH RESPONSE) do e regulamente testado, para assegurar
seu correto funcionamento quando a or-
Os planos de respostas a incidentes, ou ganização realmente precisar utilizá-lo. O
Data Breach Response, são projetados para primeiro passo, portanto, é a existência de
que a organização possa responder ade- uma equipe de colaboradores previamen-
quadamente a um incidente de segurança, te definida, com funções determinadas,
limitando danos ao negócio e reduzindo o que irá atuar na contenção do incidente
tempo e os custos de recuperação. O prin- imediatamente após sua ocorrência. Os
cipal objetivo do plano de resposta é, por- integrantes dessa equipe podem variar
tanto, gerenciar incidentes envolvendo vio- de acordo com a estrutura de cada orga-
lação de dados pessoais, de modo a limitar nização, mas é importante que seja com-
seus danos. posto por, no mínimo, colaboradores das
Um plano de Resposta a Incidentes bem áreas jurídica, de compliance, de TI e de
feito permite coordenar ações envolvendo comunicação, sempre sob a supervisão
diversos departamentos da organização, do Encarregado de Dados, o DPO. Se não
sem perder de vista o que é importante houver estrutura interna suficiente para a
para o negócio e para a cultura da empresa. estruturação do plano de resposta, a orga-
nização pode contar com parceiros exter-
Ter um plano de resposta a incidentes nos. O importante é que isso seja definido
planejado e eficiente torna-se, portanto, ab- já na fase inicial.
solutamente necessário para a organização,
a fim de garantir que a resposta a qualquer O segundo passo dessa etapa consiste
incidente seja feita de maneira apropriada, no planejamento das respostas necessárias,
calcada nas melhores práticas e em confor- a partir de uma cadeia interna de validação.
midade com a legislação. Segundo o art. 18 da LGPD, a organização
deve comunicar o titular de dados acerca
O Plano de Resposta a Incidentes preci- da ocorrência de um incidente, se este pu-
sa ser previamente estruturado e elaborado, der acarretar risco ou dano relevante aos ti-
pois sua existência é recomendável antes tulares. A mesma ideia se aplica a parceiros
mesmo da ocorrência de qualquer inciden- comerciais que saibam do ocorrido, impren-
te, com fases mapeadas e tarefas atribuídas sa e colaboradores internos. É fundamental
a equipes e/ou departamentos específicos. que todas essas respostas sejam rápidas e
LGPD | Lei Geral de Proteção de Dados 83
alinhadas entre si, abarcando todos os riscos da investigação realizada são sempre pro-
existentes. Um plano de respostas bem ela- vidências muito importantes, não somente
borado já terá previamente definido quem para indicar que a organização está tratan-
serão os responsáveis pela formulação das do o incidente com a gravidade que efetiva-
respostas e como elas serão apresentadas. mente possui, mas também para minimizar
eventuais sanções e indenizações.
Um incidente pode ser constatado de
b) Cessar a causa (Contenção): a respos-
diversas formas, como (i) através de de-
ta a um incidente de segurança deve ser
núncia por parte do titular de dados, (ii)
decisiva e executada rapidamente. Essa
pelo emprego de ferramentas automati-
fase não pode conter falhas, de forma que
zadas que detectam vazamento de dados,
é essencial que as práticas de emergência
(iii) através do reporte por parte de um
sejam ensaiadas e os tempos de resposta
operador ou, ainda, (iv) por parte de um
medidos, tal como recomendado no item
terceiro. Identificar a natureza do inciden-
anterior. Dessa maneira, é possível desen-
te é fundamental para a coleta e preserva-
volver uma metodologia que estimule a
ção de provas.
velocidade, minimize o impacto e os poten-
ciais danos causados por uma eventual in- A preservação de evidências, por sua vez,
disponibilidade dos sistemas. é fundamental para entender e combater
o incidente, vez que a forma adequada de
Existem dois tipos de contenção de in-
preservação garante a autenticidade e a in-
cidentes, a ‘longa’ e a ‘curta’ e cabe à equi-
tegridade da prova.
pe responsável adotar as medidas para os
dois tipos. A contenção de curto prazo ca- As provas de um incidente podem ser ca-
racteriza-se por uma resposta imediata, a tegorizadas em duas espécies:
fim de impedir que o incidente cause ou
• Provas simples: são aquelas que estão
continue causando danos. Já a contenção
visíveis na interface (papel, software,
de longo prazo abrange o restabelecimen-
sistema etc.). São exemplos de provas
to do sistema à sua condição normal após
simples: ata notarial, prints de tela, ar-
a neutralização do fato gerador do inciden-
quivos. Para fins de prova, devem pre-
te ou ataque.
valecer os documentos originais sobre
As medidas adotadas para cessar a causa as cópias, vez que os originais podem
de um incidente podem compreender: ser submetidos a perícia. É importante,
ainda, que essas provas sejam guarda-
• Indisponibilização de dados;
das em local protegido, sejam manti-
• Interrupção de sistema que fornece
das em formato original e que seja con-
dados;
firmado o momento temporal de sua
• Busca e apreensão de equipamentos; obtenção.
• Restrição e/ou suspensão de acessos; • Provas complexas: são aquelas que
• Ordens judiciais para cessar medida dependem de profissional habilitado
ilícita. em computação para que sejam lo-
calizadas e obtidas. São exemplos de
provas complexas: dados da memó-
c) Investigação do incidente. Identifica- ria RAM, clonagem de mídias bit-a-bit,
ção, coleta e preservação de evidências: dados trafegados em rede, dados ex-
trata-se, nessa etapa, em conduzir o proces- cluídos ou ocultos, logs de atividades.
so de investigação destinado a identificar, Quanto a essas provas, é importante
coletar e preservar as evidências do inci- observar que o estado dos dados não
dente. Descobrir ou tentar descobrir a cau- deve ser alterado.
sa de um incidente e fazer prova positiva
84 LGPD | Lei Geral de Proteção de Dados
VI – as medidas que foram ou que serão A execução desses testes mantém o plano
adotadas para reverter ou mitigar os de Respostas a Incidentes atualizado e ade-
efeitos do prejuízo. quado à sua finalidade, ao mesmo tempo em
que também ajuda a identificar e ajustar pon-
Considerando-se, portanto, a extensão
tos fracos na segurança e nos procedimentos.
das informações contidas nessa comuni-
cação, é imprescindível que a organização
esteja previamente preparada para adotar
as medidas previstas em seu plano de res- 10.3. DESENVOLVER E MINISTRAR
posta e, na sequência, fazer a necessária TREINAMENTO SOBRE RESPOSTA
comunicação aos envolvidos e à autorida-
de responsável. Vale observar que a LGPD A INCIDENTES/DBN
não determina qual é o prazo para o envio
da comunicação, mas é importante obser- As boas práticas recomendadas nesse
var que o tempo decorrido entre o inciden- segmento demonstram que é muito me-
te e a efetiva comunicação será fatalmente lhor para a organização saber como agir
considerado no momento da aplicação de diante da ocorrência de um incidente de
eventuais sanções. segurança. Além da criação prévia de um
eficiente Plano de Respostas a Inciden-
Se o incidente envolver a prática de al- te, é importante desenvolver e ministrar
gum ato ilícito como, por exemplo, seques- treinamentos para sua aplicação, envol-
tro da base de dados e a exigência de va- vendo equipes e gestores, o que evita que
lor para liberação, recomenda-se, ainda, a decisões apressadas e arriscadas sejam
apresentação de pedido para instauração tomadas. Antes mesmo da promulgação
de inquérito policial. da LGPD, é possível notar que as organiza-
O importante é demonstrar que a orga- ções já vêm reforçando suas medidas de
nização fez tudo o que podia e o que deve- segurança e de proteção de dados, bem
ria fazer assim que a ocorrência do inciden- como criando equipes especializadas,
te foi constatada. como forma de evitar perdas financeiras e
dano reputacional. Não se trata, portanto,
de mera adaptação a uma questão jurídi-
ca, mas sim de fator relevante de sobrevi-
10.2. TESTAR RESPOSTA A
vência no mercado.
INCIDENTES E DBN
Não menos importante do que isso é a
conscientização e a mudança da cultura
Além de previamente estruturado, é de
empresarial, o que se atinge, por exemplo,
fundamental importância para a organiza-
por meio de treinamentos de colaboradores
ção que seu Plano de Respostas a Inciden-
e revisão dos critérios para contratação de
tes seja constantemente testado. É preciso
fornecedores, posto que de nada adianta
saber se realmente funciona e em quanto
investir em sofisticados padrões de segu-
tempo as medidas identificadas poderão
rança contra ameaças externas, se a organi-
ser adotadas. Esse exercício deve envolver
zação continua vulnerável do ponto de vista
toda a equipe previamente definida no pla-
humano. Nesse sentido e, por fim, citamos
no e, idealmente, simular uma violação de
algumas medidas que podem ser adotadas
segurança, para garantir que o sistema de
para aperfeiçoar o sistema de segurança e
segurança está funcionando perfeitamente
proteção de dados e o gerenciamento dos
e que os profissionais estão, de fato, prepa-
respectivos riscos:
rados para atuar em casos de emergência.
LGPD | Lei Geral de Proteção de Dados 87
Capítulo 11
Encerramento do Projeto
Durante o processo de implementação do 11.1. REVISÃO DO GAP
projeto de adequação à LGPD, é recomen-
ASSESSMENT (GAP
dado que sejam definidos indicadores para
as diversas etapas do projeto, que possam ANALYSIS) E CORREÇÃO
representar o cumprimento das metas pro- DE NÃO-CONFORMIDADES
postas. Os indicadores podem medir de
maneira eficaz o sucesso da implementa-
RESIDUAIS
ção do projeto em cada uma de suas fases
O Gap Assessment (ou Gap Analysis), ou
e facilitam a visualização das áreas e pontos
ainda análise de lacunas, conforme já trata-
que estão em conformidade, bem como
do em capítulo anterior, é o procedimento
aquelas que apresentam maiores riscos.
feito na fase inicial de implementação do
Ademais, os indicadores propostos facili-
programa de conformidade com a LGPD,
tam a cobrança de metas e objetivos em
que tem como objetivo obter um diagnósti-
cada etapa.
co da organização em relação a maturidade,
É sabido que o processo de implemen- aderência, governança e processos solicita-
tação dos requisitos da LGPD irá exigir um dos pela LGPD, apontando inconformida-
esforço grande da instituição e de seus co- des e soluções para mitigar ou minimizar
laboradores. O estabelecimento desses in- riscos. Significa verificar quanto de aderên-
dicadores de sucesso em cada etapa per- cia à nova lei a organização já possui e qual
mite que, ao final do processo, cada fase o caminho ainda tem a percorrer.
seja individualmente analisada e que os
Ao final do programa de implemen-
gestores tenham a exata visão dos proces-
tação da LGPD, após vencidas as etapas
sos que foram implementados. A imple-
descritas nas fases anteriores, como ela-
mentação da LGPD é um processo que não
boração de Relatório de Impacto, revisão
se esgota. Ao contrário, o monitoramento
e/ou criação de políticas de segurança,
contínuo dos sistemas, procedimentos e
implementação dos direitos dos titulares
comportamentos implementados é o fator
de dados e ajustes de contratos, é de fun-
que irá permitir que os padrões de segu-
damental importância que o Gap Analy-
rança e de privacidade sejam preservados
sis seja revisitado, a fim de identificar se
e continuamente aplicados.
todas as inconformidades incialmente
90 LGPD | Lei Geral de Proteção de Dados
11.3. REUNIÃO FINAL DE PROJETO der a LGPD como uma mudança de proces-
sos e mudança de cultura, de forma que é
A fase final do projeto de implementação imprescindível certificar-se de que todos os
pode ser oficializada com a reunião de to- envolvidos estão conscientes da necessida-
dos os gestores envolvidos no processo, de de manter presente no dia-a-dia de to-
sob orientação do Encarregado de Dados, o dos a nova cultura de segurança e proteção
DPO, a fim de identificar se o planejamento de dados que foi implementada ao longo
inicial para cada fase foi devidamente cum- do projeto.
prido, além de definir regras de monitora- Além de estarem cientes de todo esse
mento do programa. processo, também é importante que os en-
Com efeito, a etapa final desta jorna- volvidos saibam como comprovar que seus
da de adequação consiste em percorrer o respectivos departamentos estão devida-
diagnóstico inicial, revendo a implementa- mente adequados à LPGD e quais respon-
ção das fases e reavaliando a maturidade sabilidades demandam desse processo.
da organização após essa implementação Enfim, chegando-se ao fim do projeto de
de processos e culturas. implementação da LGPD, alguns pontos de
A verdade é que o fim do projeto de ade- atenção devem permanecer sob constante
quação à LGPD significa apenas o início do alerta, a fim de que sejam constantemente
trabalho de manter a consistência e a ob- monitorados e verificados por seus gesto-
servância prática do programa de privaci- res, a saber:
dade, proteção de dados e direitos funda- • Manter atualizadas as políticas de se-
mentais dos titulares. gurança da segurança e de Privacida-
Um dos requisitos mais importantes de e proteção de dados;
para a organização e seus gestores é enten- • Manter em evidência nas páginas virtu-
92 LGPD | Lei Geral de Proteção de Dados
WARREN e BRANDEIS, The Right to Privacy. In Harvard Law Review, Vol IV, De-
zembro 15, 1890, No.5. Disponível em: <https://www.cs.cornell.edu/~shmat/cour-
ses/cs5436/warren-brandeis.pdf>
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.
htm
<https://www.dataprotection.ie/sites/default/files/uploads/2019-10/Guide%20
to%20Data%20Protection%20Impact%20Assessments%20%28DPIAs%29_
Oct19_0.pdf>
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-ge-
neral-data-protection-regulation-gdpr/accountability-and-governance/data-
-protection-impact-assessments/
Alameda Santos, n.º 2.335, Av. Almirante Barroso, n.º 63, SIG/SUL Quadra 04, Lote 25, Sala
9º Andar, CEP 01419-002 sala 1409, CEP 20031-003 12, Centro Empresarial Barão de
São Paulo – SP Rio de Janeiro – RJ Mauá, CEP 70610-440
+55 (11) 3061-3605 +55 (21) 2114-4444 Brasília – DF
+55 (61) 3344-0433
advcovac.com.br