Sobre o autor  
Sandro Lima de Oliveira
Pai de família, cristão, musicista e
gestor da área de tecnologia.
Linkedin:
https://www.linkedin.com/in/sandro-
lima-de-oliveira/
https://agnusdata.com.br
 
 

ADERIR
AO PMI |
PMI
Angola -
 
 
 
 
Agradecimentos
  
Como toda jornada na nossa vida começa com um passo, no
agradecimento não poderia ser diferente.
Agradeço a minha maravilhosa família pelo apoio e
compreensão. Muito obrigado Claudia, Fernanda, Laura e
Letícia.
Agradeço ao meu Deus senhor, criador e mantenedor de
todas as coisas.
 
 
Sumário
1 - Introdução
Sobre o livro.
2 - Sobre as Leis de privacidade de dados pessoais no mundo
Contextualização da proteção de dados no mundo e principais leis
Itens em comum a todas as legislações:
Leis e Projetos de Lei gerais sobre proteção de dados e privacidade em
2018/2019
Características das novas leis de proteção de dados:
Princípios de cuidado com a privacidade seguidos mundialmente
A GDPR
Comparação entre a LGPD e GDPR
A CCPA e CPRA: As Leis de proteção de dados na Califórnia
3 - Qual o significado de Proteção de Dados?
Como funciona a Proteção de Dados Pessoais?
4 - A Importância da Proteção de dados para a organização.
5 - Entendendo o que é privacidade e sua diferença para segurança da
informação
6 - A LGPD
O que é Dado Pessoal?
Pessoa natural identificável
Tratamento dos dados
Objetivo da Lei
Caso da rede hotéis Marriott:
A quem se aplica?
Quais são as referências?
Atenção aos Riscos
Multas e penalizações
Onde não se aplica?
Encarregado de Proteção de Dados (DPO)
Aplicação (extra)territorial da LGPD
Tarefas e comprometimentos
Avaliação de Processos e Riscos
Redução e Exposição a Riscos
Adoção do Privacy by Design
Procedimentos de política de privacidade e segurança da informação
Interfaces
Marco Civil da Internet
ANPD
BACEN 4.658
Subcontratantes
Ferramentas auxiliares
CSIRTs
Parceiros
Artigo 5
I - Dado Pessoal
II - Dado Pessoal Sensível
III – Dado Anonimizado
IV – Banco de Dados
V – Titular
VI – Controlador
VII – Operador
VIII – Encarregado
IX – Agentes de Tratamento
X – Tratamento
XI – Anonimização
XII – Consentimento
XIII – Bloqueio
XIV – Eliminação
XV – Transferência Internacional de Dados
XVI – Uso Compartilhado dos Dados
XVII – Relatório de Impacto à Proteção de Dados Pessoais
XVIII – Órgão de pesquisa
XIX – Autoridade Nacional
Artigo 6
II – Adequação
III – Necessidade
IV – Livre Acesso
V – Qualidade dos Dados
VI – Transparência
VII – Segurança
VIII – Prevenção
IX – Não Discriminação
 X – Responsabilização e Prestação de Contas
Artigos 7 e 8
Consentimento
Interesse legítimo
Artigo 16
Eliminação dos Dados
Princípios
Legalidade
Consentimento
Direitos do titular dos dados
Oficial de proteção de dados
Avaliações de impacto na proteção de dados
Transferências internacionais
7 - Aplicando os passos iniciais para deixar a organização em conformidade com
a LGPD
1. Compromisso de gerenciamento da segurança
2. Definir funções e responsabilidades
Matriz RACI
3. Comunicação, conscientização e treinamento
4. Inventário de dados pessoais
O que é
Estruturação
Como elaborar o inventário de dados pessoais
5. Avaliações de impacto na proteção de dados
6. Preparar para violações de dados pessoais
7. Analisar transferências internacionais
8 – Entendo o que é uma Política de Privacidade
9 – Desenvolvendo o Sistema de Gestão de Proteção de Dados – SGPD
Preparação da proteção e privacidade de dados
Organização
Desenvolvimento e Implementação
Governança
Avaliação e Melhoria
Resumo da Documentação requerida para compliance com a LGPD
10 - Cookies e a Privacidade
11 - Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
Exemplo de um RIPD (DPIA)
 Análise da Necessidade de realizar uma Avaliação de Impacto sobre a
Proteção de Dados Pessoais (AIPD):
Ciclo de Vida dos Dados:
Análise da necessidade e proporcionalidade do tratamento:
Gestão de Riscos:
Resultados:
12 – Implementando o Programa de governança da privacidade
Indicadores de Performance
Gestão de Incidentes
13 – Entendendo como funciona o Ciclo de vida dos dados e a LGPD
Dados quentes e dados frios
14 – Como ficam as PMEs e startups na LGPD
15 - A Inteligência Artificial na LGPD
A inteligência artificial e o Direito
A inteligência artificial e a LGPD
16 - Aumento de incidentes de violação de dados pessoais.
Métodos atuais de violação de dados
Causas das violações de dados
Contramedidas preventivas
17 - Normas essenciais para as organizações de acordo com a LGPD
Normas gerais
Normas do setor contábil
Normas do setor bancário
Normas do setor educacional
Normas do setor imobiliário
Normas do setor de e-commerce
18 - Resumo da GDPR
Definição da GDPR
Principais componentes da GDPR
Componente 1: conceito mais amplo de "dados pessoais"
Componente 2: notificações para violações de dados
Componente 3: regras de transferência de dados
Componente 4: regras de consentimento
Componente 5: Oficial de proteção de dados
Componente 6: Aplicação
19 - Perguntas e respostas
20 – Anexos
 Exemplo de Política Interna de Privacidade e Proteção de Dados
Introdução
Propósito
Escopo
Diretrizes
Papéis e Responsabilidades
Sanções e Punições
Casos Omissos
Glossário
Revisões
Gestão da Política
Exemplo de Política Externa de Privacidade e Proteção de Dados
Política de Privacidade
Fontes de Dados Pessoais
Nós coletamos seus Dados Pessoais através das seguintes fontes:
Quais são seus de Dados Pessoais que coletamos e como estes são
coletados
Sobre de Dados Pessoais de Crianças e Adolescentes
Sobre o uso de Cookies, arquivos de registos (logs) e similares
Sobre o uso de seus Dados Pessoais
Sobre a divulgação de seus Dados Pessoais
Sobre a retenção e término do tratamento de seus Dados Pessoais
Sobre a divulgação, o armazenamento ou transferência de seus Dados
Pessoais
Sobre seus direitos referentes a Dados Pessoais
Quais são suas escolhas sobre como utilizamos e divulgamos seus Dados
Pessoais
Alterações em nossa Política de Privacidade
Como entrar em contato
Registro de Incidentes de Segurança na ANPD
O que é DLP (data leak prevention)?
CPF não se vende em farmácia!
21 - Referências
1 - Introdução

cada era ou geração a humanidade inventa meios de

facilitar sua vida e como resultado, por muitas vezes

A
estes acabam se fundindo com nossas necessidades
mais básicas. Hoje vivemos um momento ímpar, em
que a informação passou a ter um valor intrínseco
maior do que as grandes empresas do século XX. A
informação tornou-se o motor das empresas e dos indivíduos
como sociedade.
Cada vez que você compra um produto online, usa um
serviço, registra-se para receber e-mail, vai ao seu médico,
paga seus impostos e contas, ou celebra qualquer contrato
ou solicitação de serviço, você deve fornecer algumas de
suas informações pessoais.
Mesmo sem o seu conhecimento explícito, as informações
sobre você estão sendo geradas e capturadas por empresas,
empresas, organizações de todos os tipos e agências
governamentais com as quais você provavelmente nunca
interagiu intencionalmente.
A única maneira de os clientes, cidadãos e consumidores
confiarem e confiarem no governo e nas empresas é por meio
de fortes práticas de proteção de dados, com legislação
eficaz para ajudar a minimizar o monitoramento
desnecessário por autoridades estaduais e regular a
vigilância por empresas.
Desde 1960 e com a expansão das capacidades de
tecnologia da informação e comunicação, empresas e
organizações governamentais têm armazenado essas
informações pessoais em bancos de dados
computadorizados.
Agora vivemos a revolução da informação, em que as antigas
falsas fronteiras, aos poucos, estão sendo ultrapassadas.
Neste cenário, a manutenção do valor da informação torna-se
estratégica e traz em si o dever de sua proteção.
A proteção da informação pode ser aplicada em vários níveis
de nossa sociedade. Nosso governo, assim como outros,
preocupado com o correto tratamento das informações pela
sociedade, elaborou leis e decretos de salvaguarda deste
processo.
O desafio era (e é) encontrar equilíbrio entre as
preocupações com a proteção das liberdades pessoais e a
possibilidade de apoiar o livre comércio entre os países
signatários da regulação de proteção de dados pessoais.
 
 
 
Sobre o livro.
Esclareço que esta obra não é jurídica, não é de tecnologia, e
tampouco é um trabalho científico. O objetivo principal desta
obra é compor uma base de conhecimento sobre ao assunto
da aplicação da LGPD independente do ramo da organização
e prover uma estrutura para a implementação da Lei, sendo,
ao mesmo tempo, simples, objetivo e de fácil leitura.
Convido a você para juntos refletirmos sobre o entendimento
de umas das leis mais recentes aplicadas em nosso país e
como aplicá-la em uma organização, a LGPD.
 
 
 
 
 
2 - Sobre as Leis de privacidade de
dados pessoais no mundo
 

DLA Piper Global Data Protection Laws of the World - World Map (dlapiperdataprotection.com)

Os gestores de privacidade em todos os países têm desafios diferentes e

semelhantes ao mesmo tempo. Suas metas são:
1. Identificar obrigações de privacidade para a organização;
2. Identificar riscos de privacidade de negócios, funcionários e clientes;
3. Identificar a documentação, políticas e procedimentos existentes;
4. Criar, revisar e implementar políticas e procedimentos que afetam
práticas positivas.
 

Contextualização da proteção de dados no

mundo e principais leis
 

Mais de cem países em todo o mundo têm agora leis de

proteção de dados. Abaixo, encontra-se um resumo de quais
países em todo o mundo têm uma legislação de proteção de
dados completa ou de rascunho, com base nesse rastreador.
Regionalmente, há esforços para garantir a proteção de
dados nos blocos regionais. Por exemplo, a Comunidade de
Desenvolvimento da África Austral (SADC) desenvolveu uma
lei modelo que harmoniza as políticas para o mercado de TIC
na África Subsaariana, que inclui componentes sobre
proteção de dados.
Atualmente tanto a Austrália quanto a Nova Zelândia
possuem legislação sobre proteção de dados. Na Austrália, o
governo alterou a Lei de Privacidade da Austrália de 1988
para incluir requisitos obrigatórios de notificação de violação
que exigirão que as organizações denunciem uma "violação
de dados elegível" à autoridade de proteção de dados e
notifiquem os clientes afetados imediatamente. Na Nova
Zelândia, a Lei de Privacidade do país controla como as
"agências" coletam, usam, divulgam, armazenam e dão
acesso a "informações pessoais".
Regionalmente, o continente tem a Estrutura de Privacidade
da Cooperação Econômica da Ásia-Pacífico (APEC), que visa
desenvolver um padrão uniforme de lei de proteção de dados
em toda a região. Somente China, Hong Kong, Indonésia,
Japão, Coréia, Malásia, Filipinas, Cingapura e Vietnã fazem
parte deste bloco regional. O sistema de regras de
privacidade transfronteiriça da APEC (CBPR) foi forjado fora
dessa estrutura. Ao contrário do GDPR, o sistema CBPR não
desloca nem altera as leis e regulamentos nacionais de um
país.
Em toda a América do Norte e América Latina, dezessete
países (Canadá, EUA, México, Nicarágua, Jamaica, Trinidad e
Tobago, Nicarágua, Costa Rica, Colômbia, Peru, Bolívia, Chile,
Argentina, Paraguai, Uruguai, Bahamas, República
Dominicana) possuem legislação. Quatro estão elaborando o
Equador (Honduras, Panamá, Brasil, Jamaica), enquanto os
outros não tinham nenhum ou não tinham dados disponíveis
para determinar se um estava em vigor.
Fora da legislação específica do seu próprio país, os EUA e a
UE adotaram a Estrutura do Escudo de Privacidade UE-EUA.
Esta Estrutura foi concebida pelo Departamento de Comércio
dos EUA e pela Comissão Europeia para fornecer às empresas
dos dois lados do Atlântico um mecanismo para cumprir os
requisitos de proteção de dados da UE ao transferir dados
pessoais da União Europeia para os Estados Unidos em apoio
ao comércio transatlântico.
Os países latino-americanos também fazem parte da Rede
Ibero-Americana de Proteção de Dados (RIPD), composta por
22 autoridades de proteção de dados de Andorra, Argentina,
Chile, Colômbia, Costa Rica, México, Peru e Uruguai. Na
última década, a organização promoveu o desenvolvimento
de uma legislação abrangente de proteção de dados e a
introdução de autoridades de proteção de dados em toda a
América Latina.
Uma pesquisa de 2016 da Consumers International mostrou
que na América Latina as preocupações sobre como os dados
dos indivíduos são coletados e os temores sobre a perda de
privacidade são relativamente altos em comparação com
todas as outras regiões. Setenta por cento (70%) dos
entrevistados da América Latina e do Caribe afirmaram que
os consumidores raramente entendem e controlam como
seus dados são coletados, armazenados e usados.
Em 2019, a IBM realizou entrevistas com mais de 2.200
profissionais de TI, profissionais de proteção e conformidade
de 477 empresas que experimentaram uma violação de
dados nos últimos 12 meses. De acordo com os resultados,
as violações de dados continuam a ser mais caras e resultam
em mais registros de consumidores perdidos ou roubados,
ano após ano.
 

Estados Unidos:
• Health Insurance Portability and Accountability Act
(HIPAA) de 1996;
• Children’s Online Privacy Protection Act (COPPA) de
1998;
• California Consumer Privacy Act (CCPA) de 2018;
 • California’s Consumer Privacy Rights Act (CPRA) de
2020 (em vigor em 2023).
• Japão: Act on the Protection of Personal Information
(“APPI”);
• Canadá: Personal Information Protection and Electronic
Documents Act (“PIPEDA”):
• China : PRC Cybersecurity Law;
• África do Sul : Protection of Personal Information Act
• Argentina: Ley de Protección de los Datos Personales Nº
25.326 (PDPL);
• Chile: Ley Nº 19.628 – Protección de datos de carácter
personal;
• Colômbia: Ley 1.266 de 2008 (Habeas Data) e Ley 1.581
de 2012;
• Costa Rica: Ley Nº 8.968, Protección de la persona frente
al tratamiento de sus datos personales;
• México: Ley federal de protección de datos personales en
posesión de los particulares;
• Peru: Ley N° 29.733 – Ley de Protección de Datos
Personales;
• Uruguai: Ley N° 18.331 – Ley de Protección de Datos
Personales y Acción de Habeas Data.
 
Sobre a legislação norte americana:
Os Estados Unidos são relativamente únicos na maneira
como elaboram sua legislação sobre privacidade. Ainda não
há legislação abrangente – ao estilo do Regulamento europeu
e da LGPD – que regule a coleta de dados pessoais e seu
uso: a legislação é setorial e/ou estadual.
As organizações que operam nos Estados Unidos enfrentam
desafios de privacidade que incluem determinar se sua
organização constitui uma entidade sujeita a uma lei ou
padrão do setor que regula dados ou a coleta de dados de
determinados titulares.
Itens em comum a todas as legislações:
1. Privacy by Design;
2. Deveres de informação e transparência (“minimizar a
surpresa”);
3. Contratos entre controlador e operador;
4. Sistema de resposta aos titulares;
5. Medidas de segurança;
6. Notificações de violações de dados pessoais etc.
• A existência de itens em comum não dispensa o
conhecimento da jurisdição em qual se vai atuar.
 

Leis e Projetos de Lei gerais sobre proteção de dados

e privacidade em 2018/2019
Nos anos de 2018 e 2019 tivemos:
MODELOS REGULATÓRIOS UNIÃO EUROPEIA
Diretiva 95/46/CE
Regulamento Europeu Geral de Proteção de Dados
(GDPR)
MODELOS REGULATÓRIOS NOS ESTADOS UNIDOS
Privacy Act
Modelo setorial (por estados)
Características das novas leis de proteção de dados:
1. Não existe dado pessoal insignificante (conceito amplo:
“identificado ou identificável”)
2. Necessidade de uma base legal para o tratamento de
dados
3. Instrumentos de tutela coletiva e preventiva
Vemos que, globalmente, há um aumento crescente nas leis
de proteção de dados, muitas das quais foram modeladas
diretrizes ou regulamentos abrangentes, como a Diretiva da
UE mencionada acima, ou as Diretrizes da OCDE sobre a
Proteção da Privacidade e Fluxos Transfronteiriços de Dados
Pessoais.
Segundo pesquisa UNCTAD (Conferência das Nações Unidas
sobre Comércio e Desenvolvimento, A UNCTAD é Órgão da 
Assembleia Geral   da Organização das Nações Unidas ( ONU
), mas suas decisões não são obrigatórias. Ela tem sido
utilizada pelos países em desenvolvimento como um grupo
de pressão.
Princípios de cuidado com a privacidade seguidos
mundialmente
 
Melhores práticas na gestão mundial dos dados pessoais:  o
que é justo e apropriado em todas as leis e regulamentações
no serviço do tratamento dos dados pessoais.
A desintermediação digital está virando de ponta cabeça
parcerias e cadeias de fornecimento – nossos parceiros de
negócios de longa data podem tornar-se nossos maiores
concorrentes, se nossos aliados tradicionais começarem a
servir diretamente os clientes.
Por estes motivos que regras intercambiáveis no tratamento
de dados estão sendo introduzidas nas organizações neste
tempo.
 
A GDPR
A GDPR é a lei de proteção de dados para países que fazem
parte da União Européia. Ela foi aprovada no ano 2016,
ficando com uma vacatio legis7de dois anos, sendo vigente,
portanto, a partir de 25 de maio de 2018, quando começaram
a ser realizadas as fiscalizações e aplicadas as multas.
Observação: Por questões de generalização e facilitação na
leitura e compreensão do texto, utilizaremos,
indistintamente, os termos lei, regulação e regulamentação.
A GDPR é uma regulamentação. Na Europa, leis, regulações e
regulamentações têm pequenas diferenças conceituais. No
entanto, como comentado, não faremos diferenciação entre
elas, porque, no nosso caso, não influi, além de ser mais
fluída a leitura se não nos fixarmos neste tipo de detalhes.
Esta regulamentação trouxe modificações significativas no
que tange ao tratamento de dados pessoais. Para começar, o
consentimento do titular de dados passou a ser o elemento
principal para autorizar a coleta e tratamento de dados.
Também o poder de fiscalização e multa, atribuído as
autoridades fiscalizadoras chamou a atenção.
O descumprimento da GDPR pode acarretar sanções de até
4% do faturamento anual da empresa, ou 20 milhões de
euros (o que for mais alto é o limite). Em um ano de vigência,
a lei rendeu, em multas, uma soma astronômica de euros.
Também foi introduzida, no cenário, a figura do DPO - Data
Protection Officer (oficial de proteção de dados), que passou
a ser o elo responsável por fazer a interface entre o titular
dos dados e a empresa ou a autoridade de fiscalização/
regulamentação, o que facilita um controle maior sobre o uso
dos dados pessoais. O principal objetivo de um controle tão
rígido vem da necessidade de evitar os abusos na coleta ou
no processamento das informações dos usuários.
A GDPR é um regulamento orientado por princípios voltados
ao usuário (ou o que chamamos de ‘titular’ dos dados. Entre
estes princípios, como referência, se encontram o princípio
da necessidade, onde os dados só podem ser coletados
mediante comprovação da necessidade dos mesmos; ou o
princípio da transparência, onde o usuário tem o direito de
saber, com clareza, para que seus dados serão utilizados,
com quem serão intercambiados, etc. O usuário também tem
o direito de ser "esquecido", ou seja, solicitar que todos os
seus dados sejam completamente deletados do sistema (seja
um sistema informático, ou processo manual - papel).
A regulamentação também especifica a necessidade de que
quem coleta os dados pessoais de um titular, deve manter
suficientes mecanismos de segurança, de forma a garantir
(ou tentar garantir) que estes dados não serão acessados por
pessoa não autorizadas. Tais dados devem estar
suficientemente resguardados. E o responsável por eles deve
ser capaz de demonstrar isto, ou seja, deve manter evidência
de que este processo de segurança está sendo feito.
 
 
Comparação entre a LGPD e GDPR
Visão geral da estrutura: RGPD – Regulamento Geral sobre a
Proteção de Dados (sigla em inglês: GDPR): principal
legislação europeia sobre o tema.
• Composta por 173 Considerandos e 99 artigos.
       

•               Em vigor desde 25 de maio de 2018 –

disponível em 24 línguas.
•               Há outras legislações extremamente
importantes na Europa e que têm relevância na
proteção de dados:
Diretiva ePrivacy (cookies, marketing
direto);
Legislações nacionais dos Estados-
Membros.
A LGPD foi criada tomando com base a lei europeia RGPD,
logo a maioria dos artigos de nossa lei foram copiadas e
alteradas, entretanto nem todos os artigos foram copiados.
Em análise, a RGPD é bem maior em artigos do que a nossa
LGPD.
 
A CCPA e CPRA: As Leis de proteção de dados na
Califórnia
 
No dia 1º de janeiro de 2020, o CCPA (California Consumer
Privacy Act) entrou em vigor, garantindo novos direitos
relacionados à privacidade dos consumidores do estado da
Califórnia, nos Estados Unidos. Apesar de o CCPA ser uma
legislação estadual, muitas empresas, em busca de
uniformização e segurança jurídica, estenderam o tratamento
dos dados para todo o território americano.
A autodeterminação informativa – o direito de o titular dos
dados ter poder de controle sobre suas informações –
também está contemplada no CCPA. A partir de 1º de janeiro
de 2023, o CCPA será substituído pelo CPRA (California
Privacy Rights Act).
A nova legislação da Califórnia se baseia na estrutura do
CCPA, expandindo os direitos de privacidade para que
estejam alinhados com o GDPR. Além disso, impõe
obrigações adicionais às empresas, cria a subcategoria
“dados pessoais sensíveis” e estabelece a primeira agência
dos EUA de regulamentação e aplicação das normas de
proteção de dados.
Há pressão para que os projetos de lei sobre esse tema
avancem, com possibilidade de que isso ocorra em 2021.
 
 
 
 
 
 
 
 

3 - Qual o significado de Proteção de

Dados?
 

Os indivíduos, como consumidores, cidadãos, clientes,

funcionários etc., precisam ter os meios para exercer seu
direito à privacidade e proteger a si mesmos e a suas
informações pessoais de qualquer tipo de abuso.
A proteção de dados significa salvaguardar e proteger o seu
direito fundamental à privacidade, que está consagrado nas
leis, códigos e convenções nacionais e internacionais.
A proteção de dados é comumente definida como a lei
projetada para proteger seus dados pessoais, que são
coletados, gerenciados, processados e armazenados por
meios informatizados ou "automatizados" ou destinados a
fazer parte de um sistema de arquivamento manual.
Nas sociedades e economias modernas do século 21, para
capacitá-lo a controlar suas informações e protegê-lo de
abusos, é essencial que as leis de proteção de dados
restrinjam e moldem as atividades de empresas,
organizações, empresas e governos. Todas essas instituições
têm demonstrado repetidamente que, a menos que regras e
leis restrinjam suas ações, elas possivelmente se
empenharão em coletar dados pessoais, gerenciá-los, mantê-
los etc., sem nos dizer absolutamente nada, em muitos e
muitos casos.
Na maioria dos casos o RH é fundamental para proporcionar
o aculturamento da lei da Privacidade de Dados Pessoais, o
que deu errado (sem citar nome) o que deu certo, informar e
atualizar procedimentos.
 
Como funciona a Proteção de Dados Pessoais?
 

Onde existe uma lei abrangente de proteção de dados, as

organizações, públicas ou privadas, que coletam e usam suas
informações pessoais têm a obrigação de lidar com esses
dados de acordo com a lei de proteção de dados.
Esta lei é baseada em uma série de princípios gerais que
exigem que:
1. Deve haver limites para quais dados pessoais são
coletados;
2. As informações pessoais devem ser obtidas por meios
lícitos e justos, com o consentimento do indivíduo (titular dos
dados);
3. As informações pessoais devem ser corretas, relevantes
para os fins para os quais são usadas, precisas, completas e
atualizadas etc.
 

4 - A Importância da Proteção de
dados para a organização.
Existem cinco razões principais para alocar recursos, gastar
dinheiro, tempo e esforço e tomar medidas preventivas e
implementar controles para proteger os dados corporativos:
•         Conformidade regulamentar;
•         Evitar Perdas financeiras e outras;

•               Manter alta disponibilidade e tempo de resposta do

negócio;
•         Manter a produtividade dos funcionários;
•         Auxílio na tomada de decisão de gestão.
 
Conformidade regulamentar
O primeiro motivo mais importante para implementar
estratégias de proteção de dados é o medo de multas devido
ao não cumprimento. Isso ocorre porque os governos em todo
o mundo estão implementando novos regulamentos de
privacidade em comunicações eletrônicas e dados
armazenados de todos os tipos.
Até o momento, mais de 100 países em todo o mundo
promulgaram uma legislação abrangente de proteção de
dados, e vários outros países estão em processo de
aprovação de tais leis.
As empresas, portanto, enfrentam enormes consequências e
multas por não conformidade. Alguns países consideram os
executivos da empresa criminalmente responsáveis pelo não
cumprimento das leis relativas a comunicações e
documentos eletrônicos. Esses regulamentos de privacidade
geralmente definem quais informações devem ser retidas,
por quanto tempo e sob quais condições e circunstâncias.
Outras leis são projetadas para garantir a privacidade das
informações contidas em documentos, arquivos e bancos de
dados. A perda de comunicações eletrônicas críticas podem
ser interpretadas como uma violação desses regulamentos e
pode sujeitar a empresa a multas pesadas e os gerentes a
ações legais.
 
Evitar Perdas financeiras
A segunda razão mais importante para implementar
estratégias de proteção de dados é o medo de perdas
financeiras e outras. Isso ocorre porque os dados
corporativos são reconhecidos como um ativo corporativo
importante que precisa ser protegido e protegido contra
ameaças internas e externas.
No passado, os executivos seniores e os conselhos de
administração podem ter sido complacentes com os riscos
apresentados por violações de dados, erros de dados,
problemas de qualidade de dados e ataques cibernéticos
executados por todos os tipos de invasores (internos,
externos) e equipe ineficaz.
No entanto, há uma preocupação crescente com o dano
potencial à reputação, ações judiciais coletivas e tempo de
inatividade oneroso que está motivando os executivos a
prestar mais atenção às práticas de segurança de suas
organizações.
A perda ou alteração de informações empresariais e dados
pessoais também pode levar a perdas financeiras diretas,
como vendas perdidas, multas ou julgamentos monetários
incorretos, bem como outras decisões incorretas do conselho,
do executivo sênior ou da administração.
Além disso, a perda ou alteração de informações corporativas
e dados pessoais podem causar perdas indiretas dos efeitos
de uma queda na confiança do investidor ou clientes fugindo
para os concorrentes, ou efeitos financeiros ou outros danos
consequentes que não são conhecidos pela empresa ou
organização específica até muito mais tarde.
 
Manter alta disponibilidade e tempo de resposta do
negócio
O terceiro motivo mais importante para implementar
estratégias de proteção de dados é o medo de não responder
adequadamente aos requisitos de operações corporativas 24
horas por dia.
Isso ocorre porque, em uma economia global cada vez mais
interdependente, o tempo de inatividade não é aceito ou
tolerado por consumidores e clientes, que podem rápida e
rapidamente levar seus negócios para outro lugar. Eles
esperam e exigem que determinada empresa opere com
eficácia e eficiência em todos os momentos (24 horas por
dia, sete dias por semana).
A incapacidade de uma empresa de operar devido a uma
perda de dados ou mau funcionamento operacional causado
por um ataque, mesmo que temporário, está levando muitas
empresas a implantar estratégias abrangentes de proteção
de dados e implementar várias medidas e controles.
Não são apenas as empresas de comércio eletrônico que
vivenciam essa situação. Todos os tipos de negócios
(incluindo bem-estar, saúde, financeiro, manufatura e
serviços etc.) operam 24 horas por dia ou, pelo menos, seus
sistemas de computador e operações de TI.
Mesmo quando nenhuma equipe da empresa está presente,
os computadores e sistemas de aplicativos informatizados
são instruídos em conformidade e disponíveis para receber,
executar e colocar pedidos, enviar pedidos para o armazém,
executar campanhas de marketing, promover vendas,
registrar transações comerciais, gerenciar transações
financeiras e outras transações e, em geral completar todos
os tipos de transações comerciais.
As empresas, portanto, precisam levar em consideração
todas essas demandas e requisitos operacionais 24 horas por
dia, 7 dias por semana, para projetar e implementar uma
melhor proteção para seus dados corporativos.
Manter a produtividade dos funcionários
O quarto motivo mais importante para implementar
estratégias de proteção de dados é o medo de diminuir a
produtividade dos funcionários. Isso ocorre porque a perda e
os erros de dados corporativos importantes reduzem a
produtividade geral, pois os funcionários precisam lidar com
questões operacionais demoradas (suporte ao cliente,
vendas, contabilidade, produção, estoque, compras etc.) sem
a ajuda e suporte de aplicativos de TI sistemas e bases de
dados informáticas.
Perdas e erros de dados também resultam em falhas de
aplicativos de TI e problemas de sistema semelhantes,
tornando difícil para as pessoas realizarem seus trabalhos em
qualquer nível de eficácia.
Uma estratégia de proteção de dados inadequada pode
deixar os clientes esperando por longos períodos para que os
sistemas sejam restaurados após uma falha. Durante esse
tempo, os funcionários podem ficar ociosos ou capazes de
trabalhar apenas em uma capacidade reduzida, diminuindo
ainda mais a produtividade geral e aumentando a frustração
dos funcionários.
Auxílio na tomada de decisão de gestão
O quinto motivo mais importante para implementar
estratégias de proteção de dados é o medo de tomadas de
decisão de gerenciamento incorretas. Isso ocorre porque
dados incorretos, erros de lógica de processamento e
aspectos de qualidade dos dados levam à tomada de decisão
de gerenciamento incorreta em todos os níveis de
gerenciamento das operações, funções, sistemas e
transações da empresa6.
O Data Warehouse Institute (https://tdwi.org/Home.aspx)
estimou que mais de US $ 600 bilhões são perdidos
anualmente devido a problemas de qualidade de dados.
A qualidade dos dados é uma disciplina importante para
todas as empresas acertarem, embora poucas o sejam
atualmente. De acordo com o Relatório Global de Qualidade
de Dados da Experian para 2016, 92 por cento dos
entrevistados preocuparam-se com o fato de seus dados
estarem incorretos em algum nível, ante 86 por cento no ano
anterior.
Para melhorar a qualidade dos dados e diminuir os erros de
tomada de decisão, é importante para as empresas ver como
os dados são tratados em toda a empresa. Isso inclui
certificar-se de que os dados estão sendo coletados,
processados e armazenados corretamente e que as
informações corretas estão sendo inseridas em primeiro lugar
etc.
 
 
 
 
 
 
 
 

5 - Entendendo o que é privacidade e

sua diferença para segurança da
informação
 
Os gerentes corporativos não devem apenas proteger dados
pessoais e outros dados da empresa contra aspectos de
privacidade e segurança (perdas, erros, danos, fraude,
comunicação de dados a criminosos etc.), mas também
garantir que a qualidade de todos os dados (pessoais,
financeiros, de produção, desempenho etc.) mantendo e
melhorando os processos de execução das operações da
empresa.
É importante entender as semelhanças e diferenças que a
segurança da informação possui com a privacidade e
proteção de dados.
A segurança da informação visa garantir a
confidencialidade, a integridade e a disponibilidade
das informações ao longo do ciclo de vida dos dados. Além
disso, a segurança da informação inclui os conceitos de
responsabilidade e garantia.
•         Responsabilidade: os dados são rastreáveis – a
organização sabe onde estão;
•               Garantia: todos os outros quatro objetivos são
atingidos (CID + responsabilidade).
A segurança da informação envolve um conjunto contínuo e
permanente de práticas aplicadas ao longo do ciclo de vida
dos dados – desde a criação/coleta até sua destruição.

Atenção especial se a
organização decidir pela anonimização. A segurança da
informação define risco como a combinação da
probabilidade de um evento e suas consequências . A
segurança da informação se baseia em práticas de
gerenciamento de risco para fornecer:
• Identificação do risco;
• Seleção e implementação de controles e medidas
para mitigar riscos;
• Rastreamento e avaliação de risco para validar as
duas primeiras partes.
A garantia da segurança da informação não leva,
automaticamente, à garantia da privacidade e da proteção
de dados.
• A privacidade trata dos direitos dos cidadãos de controlar
como e em que medida as informações sobre eles – seus
dados pessoais – são coletadas e tratadas pela organização.
• A segurança da informação visa garantir a CID –
confidencialidade, integridade e disponibilidade dos ativos de
informação.
Embora a privacidade e a segurança da informação tenham
pontos convergentes , também apresentam características
divergentes .
Pontos convergentes:
• O foco da segurança da informação na integridade
dos dados se relaciona ao requisito de precisão da
privacidade, pois ambos visam garantir que os dados
não sejam alterados sem autorização.
• O requisito de disponibilidade da segurança da
informação suporta o requisito de acesso à
privacidade: se os dados não estiverem disponíveis,
não poderão ser acessados.
• As ideias de segurança da informação e de
privacidade exigem que as organizações sejam
responsáveis por proteger os dados de acordo com o
respectivo regime de proteção, que é uma forma de
prestação de contas.
• Quando as informações são não públicas e pessoais,
a confidencialidade oferece suporte à privacidade, pois
dados não públicos precisam ser mantidos não
públicos.
• Ambos estão interessados em impulsionar a
minimização de dados, ter bons mapas e inventários de
dados e garantir que os controles e medidas corretos
estejam em vigor e sejam corretamente utilizados.
• Frequentemente, os processos de análise e avaliação
de privacidade foram incorporados a processos seguros
do ciclo de vida do desenvolvimento do programa de
privacidade.
 
Pontos divergentes:
• A privacidade tem um conjunto mais amplo de
obrigações e responsabilidades do que a segurança da
informação.
• Significa dizer que existem questões que a ideia de
privacidade aborda e que a segurança da informação
não aborda, tais como:
• Limitação de coleta;
• Transparência;
• Relevância;
• Limitação no uso.
• A privacidade classifica os dados pessoais em duas
categorias: dados pessoais “normais” e dados pessoais
sensíveis.
• A segurança da informação protege os dados de
maneira diferente, geralmente de acordo com o grau
de confidencialidade: público, confidencial, altamente
confidencial e restrito ou extremamente secreto.
• Talvez o mais importante: embora as técnicas de
segurança da informação possam ser tecnologias que
permitem a privacidade (privacy-enabling technologies
ou PETs) e são frequentemente necessárias, essas PETs
também podem se tornar “problemáticas” se aplicadas
incorretamente (ou seja, de maneira invasiva aos
dados pessoais).
 
 
 
 
 
 
 
 
 
6 - A LGPD
 
A LGPD é a Lei Geral de Proteção de Dados, criada com a
finalidade de proteger a privacidade de cidadãos brasileiros
ou estrangeiros que se encontrem no Brasil, e que tenham
seus dados coletados ou processados de alguma forma.
Algumas das coisas mais intimidantes da LGPD é a
possibilidade do cliente solicitar a exclusão de todos os seus
dados. A Lei 13.709 define alguns direitos para
usuários/clientes sobre o tratamento de seus dados. Esses
direitos são:
• Direito de receber a confirmação dos tratamentos
realizados;
• Direito de acesso aos seus dados pessoais;
• Direito de corrigir os dados pessoais;
• Direito de eliminar os dados pessoais;
• Direito de retirar o consentimento para algum tratamento;
• Direito de limitar o tratamento de dados pessoais;
• Direito de objeção ao tratamento;
• Direito de Portabilidade de dados (Ainda não
regulamentado)
Do ponto de vista do consumidor de um produto/serviço, os
direitos que as pessoas agora têm com base nessa
regulamentação, garantem a liberdade e controle de seus
próprios dados, determinando como as informações podem
ser utilizadas. É como se fosse um cardápio, você pode
escolher o que deseja comer de acordo com suas
necessidades, vontades… assim, você pode controlar sua
alimentação, seu peso e, de forma geral, sua saúde.
A Lei 13.709/18 estabelece que dado pessoal é toda
informação relacionada a pessoa natural “identificada” ou
“identificável” e determina que o tratamento desses dados
deve considerar os dez princípios de privacidade descritos na
lei.
Ao segui-los, as organizações demonstrarão que os dados
pessoais coletados são necessários, mínimos, corretos, de
qualidade, atendem a uma finalidade de negócio válida,
dentre outras características.  
Um dos pilares da transformação digital nas empresas e
organizações é a atividade de tratamento dos dados, ou seja,
como as empresas produzem, gerenciam e usam a
informação.
Sua empresa (não importa o tamanho dela) pode fazer parte
da cadeia do processamento de dados pessoais como
“Contratado”, ou seja, deverá ter também uma gestão de
privacidade e proteção de dados adequada à LGPD, pois será
exigida pelo “Contratante” que já esteja adequado ou se
adequando à Lei.
Até há algum tempo, os dados eram produtos de ações
deliberadas a pesquisas de clientes e de inventários físicos,
que eram parte dos próprios processos de negócios:
Fabricação
Operações
Vendas
Marketing
Os dados resultantes eram usados principalmente para
previsões, avaliações e tomada de decisões.
Em contrapartida, hoje nos deparamos com um dilúvio de
dados. A maioria dos dados que hoje inunda as empresas não
é gerada por qualquer planejamento sistemático, como
pesquisa de mercado. Em vez disso, é produto da quantidade
sem precedentes de conversas, interações ou processos,
dentro ou fora das empresas.
 
Linha do tempo da Lei
•  Em abril de 2016, se publicou a GDPR, na Europa, com um
Vacatio Legis de 2 anos (24 meses)
•  A GDPR começou a ser aplicada, efetivamente, no dia 25
de maio de 2018, quando muitas empresas europeias já
tinham conseguido adequar-se ao processo de compliance.
Aquelas empresas que ainda não tinham conseguido
adequar-se, seja por "deixar passar" o tempo, ou por estarem
no processo de adequação, mas não conseguirem completar
o mesmo, passaram a ser multadas, conforme a
especificação da GDPR.
•  No mesmo período se aceleraram as tramitações no
Congresso Nacional e Senado, para a aprovação de um
projeto de lei que poderia se transformar na LGPD, a Lei de
Proteção aos dados pessoais. Grande parte do esforço
concentrado neste projeto tinha, como impulsionadores,
alguns dos fatores que vimos no capítulo anterior.
•  Em 14 de agosto de 2018, o então Presidente da
República, Michel Temer, promulgou a lei número 13.709/ 18
(PLANALTO, 2018a), a Lei Geral de Proteção de Dados. Nesta
ocasião, o Presidente apresentou as linhas gerais da lei, o
que a fez muito semelhante à sua "lei mãe", a GDPR.
Também foram apresentados alguns vetos presidenciais
sobre o projeto original. Mais especificamente, o que se fez
notar com maior impacto, foi o fato de que a lei teve vetada
a criação do organismo regulador e fiscalizador. Este
organismo deveria chamar-se ANPD, Agência Nacional de
Proteção de Dados, e sua criação foi vetada por motivos
administrativos que não cabem análise aqui. O que importa,
é que ficamos com uma lei bastante robusta, no sentido de
exigências, responsabilidades e sanções, mas com um vazio
no organismo oficial que deveria se responsabilizar pelas
regulamentações adicionais e pelas fiscalizações sobre o
cumprimento da lei. A LGPD, então criada, possuía uma
Vacatio Legis de 18 meses, devendo passar a reger, portanto,
a partir de 15 de janeiro do ano 2020.
•  Ainda no mesmo ano, no dia 27 de dezembro de 2018, o
Presidente Michel Temer publicou a Medida Provisória número
869/ 18 (PLANALTO, 2018b). Nesta MP-869 (assim a
chamaremos de agora em diante), o Presidente da República
determinou a criação da ANPD, sua estrutura e
determinações de cunho econômico. Para os artigos relativos
à ANPD, a MP-869 determinou vigência imediata, enquanto
para os demais artigos originais a Vacatio Legis foi alterada
para 24 meses, ou dois anos após a publicação da lei. Desta
forma, a data de início de vigência da lei (especialmente para
a exigência de compliance, fiscalizações e aplicações de
multas) passou a ser o dia 15 de agosto de 2020.
Observemos que a MP-869 determinou 24 meses após a
publicação da Lei, não após a publicação da Medida
Provisória. A Lei foi publicada em agosto, portanto, a vigência
da mesma passa a ser após 15 de agosto de 2020, ao
contrário do que muitos técnicos haviam, erroneamente,
interpretado. Também foi significativa a mudança na
especificação do Encarregado de Dados, que veremos com
mais detalhes, oportunamente. Evidentemente, houve,
também, outras pequenas modificações, que não são
significativas para esta resumida análise, e que não serão
citadas por motivos de buscar maior claridade e simplicidade
no texto.
•  Nos primeiros dias de janeiro de 2019, a intenção de
reforçar, cada vez mais, a questão da Segurança da
Informação Nacional, com uma importante ênfase na
proteção dos dados pessoais foi ratificada pelo novo
Presidente eleito, Jair Bolsonaro, sinalizando que as tratativas
com respeito a MP-869 deveriam ser aceleradas. No Brasil,
quando um Presidente da República pública uma Medida
Provisória, ela passa a vigorar de imediato (exceto quando
especifique Vacatio Legis), mas a mesma deve ser
encaminhada para o Congresso Nacional para uma análise e
votação. Posteriormente, se aprovada, deve ser submetida ao
Senado Federal, e, finalmente, retornar, com as eventuais
alterações, para o Presidente da República, para transformar-
se em Lei. Em todo este processo, pode haver vetos a artigos
da MP original, assim como pode haver emendas, que são,
grosso modo, "adendos" à Lei, que são sugeridos pelos
revisores.
•  No dia 07 de maio de 2019 o Congresso Nacional votou e
aprovou a MP869, tendo acolhido 91 das 176 emendas
apresentadas. Isto significou a aprovação, pelo Congresso,
para a ANPD, e para uma série de modificações que
deveriam ser introduzidas na Lei.
•  No dia 08 de julho de 2019 depois que a Medida Provisória
869 fez todo o percurso de ida ao Senado, aprovação, retorno
ao Congresso e emissão à Presidência da República, foi
publicada, pela mesma Presidência da República, a Lei
13.853/ 19 (PLANALTO, 2019), que altera a lei 13.709/ 18.
•  Em agosto de 2021 a ANPD está autorizada e fazer as
auditorias e implementar as multas e procedimentos
corretivos nas empresas.
 
O que é Dado Pessoal?
A Lei Geral de Proteção de Dados foi sancionada em agosto
de 2018 e foi um importante marco normativo brasileiro. Ela
foi criada para estabelecer regras mais claras e transparentes
ao tratamento de dados pessoais, realizado por pessoa
natural ou jurídica, de direito público ou privado, inclusive
nos meios digitais.
 
Mas, afinal, o que é dado pessoal, de acordo com a
Lei?
O conceito de dado pessoal é bastante abrangente, sendo
definido como a “informação relacionada à pessoa
identificada ou identificável”. Isso quer dizer que um dado é
considerado pessoal quando ele permite a identificação,
direta ou indireta, da pessoa natural por trás do dado, como
por exemplo: nome, sobrenome, data de nascimento,
documentos pessoais (como CPF, RG, CNH, Carteira de
Trabalho, Passaporte e Título de Eleitor), endereço residencial
ou comercial, telefone, e-mail, cookies e endereço IP.

A Lei traz também a definição de dados pessoais sensíveis,

que são aqueles que se referem à “origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou à
organização de caráter religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural”. Por seu
maior potencial lesivo, o tratamento desses dados deve
observar regras ainda mais rígidas.
Quando temos um dado que não pode identificar, de forma
direta ou indireta um indivíduo, temos o que a lei chama de

dado anonimizado .
Por exemplo, quando um instituto de pesquisa vai às ruas e
pergunta a religião das pessoas ou em qual candidato elas
votarão com o objetivo de identificar um perfil geral, as
informações são coletadas de forma anônima ou são
anonimizadas posteriormente, a depender do caso.
Essas são as definições que a LGPD traz sobre dados
pessoais, e as empresas que, de alguma maneira, lidam com
eles, devem estar atentas à forma como estão tratando essas
informações, para garantirem que seus processos estão em
conformidade com a nova lei.
Em tempos de Big Data, em que os dados, estruturados e
não estruturados, vêm das mais variadas fontes e são
tratados dentro dos mais diversos sistemas, é essencial que
as empresas redobrem a atenção com a segurança e a
idoneidade das informações.
Pessoa natural identificável
Conjunto de dados de informações secundárias, onde pode-
se identificar uma pessoa natural.
Por exemplo:
CEP
Número de telefone
Triangulação de antenas de celular
Log de GPS
Extrato de contas de serviços básicos
 Cookies em web browsers etc.
Tratamento dos dados
O tratamento dos dados envolve várias atividades, que
podem estar atuando ligadas ou em separado, dependo do
processo e da finalidade da empresa no tratamento de dados
pessoais.
Para atender às exigências do LGPD, as empresas,
especialmente as que investiram pouco em gestão e
segurança de dados nos últimos anos, vão enfrentar uma
série de desafios para desenvolver uma estratégia com base
nos dados coletados dos usuários e a necessidade de excluí-
los quando for a hora.
O primeiro passo para atender essa exigência é ser capaz de
identificar e classificar todas as informações de identificação
pessoal na rede. Dados da Varonis coletados durante a
condução de mais de mil risk assessments para clientes e
potenciais clientes em 2017, mostraram que quarenta e sete
por cento das empresas têm, no mínimo, mil arquivos
sensíveis abertos a todos os funcionários, enquanto vinte e
dois por cento das empresas têm mais de 12 mil arquivos
nessa mesma situação.
Este cenário, principalmente quando falamos sobre a forma
de coletar e gerenciar os dados da internet, estejam estes
armazenados em ambientes físicos ou virtuais, deve sofrer
mudanças drásticas em pouco tempo. Para isso, vai ser
fundamental cuidar das informações de identificação pessoal
que estejam armazenadas em ambiente corporativo, como
números de CPF e cartão de crédito, entre outros
documentos e dados.
O segundo passo para atender às exigências da LGPD é ter
um processo específico para a necessidade de excluir os
dados quando não estiverem mais em uso, como a definição
de configurações de permissionamento que garantam o
armazenamento da menor quantidade possível de
informações de identificação pessoal – apenas as que forem
realmente necessárias para a empresa – e, ainda assim, com
acesso seguro e restrito às pessoas mais indicadas para fazer
uso dos dados, eliminando o quanto antes as informações
desnecessárias para a prestação de serviços.

Exemplos de Tratamento de Dados:

Gestão de pessoal e de folhas de pagamentos;
Acesso/consulta de uma base de dados de contatos que
contenha dados pessoais;
Envio de mensagens de correio eletrônico
promocionais;
Destruição de documentos que contenham dados
pessoais;
Publicação/colocação de uma foto de uma pessoa num
sítio web;
Armazenamento de endereços IP ou endereços MAC;
Gravação de vídeo (CCTV).
 
Objetivo da Lei
 
O objetivo é garantir a privacidade dos dados pessoais das
pessoas e permitir um maior controle sobre eles, criando
regras claras sobre os processos de coleta, armazenamento e
compartilhamento dessas informações, ajudando a promover
o desenvolvimento tecnológico na sociedade e a própria
defesa do consumidor.
A LGPD e o GDPR garantem o direito à privacidade e a
proteção de dados pessoais de indivíduos. Para isso, é preciso
existir um controle maior sobre essas informações dos
cidadãos, por meio de plataformas transparentes e seguras,
apresentando como os dados são coletados, armazenados,
tratados e compartilhados. A intenção é garantir os direitos e
liberdades fundamentais.
Privacidade refere-se a manter informações confidenciais que
sejam pessoalmente identificáveis ou que possam causar
danos, constrangimentos ou risco de vida a alguém, se
reveladas.
O principal motivo dessas novas regulamentações é manter
os dados de usuários e consumidores protegidos, garantindo
a segurança de todas as informações armazenadas.
Quando se trata de clientes, garantir que seus dados sejam
mantidos com a maior segurança possível, é o mínimo que a
maioria deles espera das empresas nas quais investem
tempo ou dinheiro.
Os dados que não são mantidos em segurança são muito
mais fáceis de acessar por hackers e fontes externas, algo
que muitas empresas estão descobrindo devido à proteção
de dados que não está à altura ou não está atualizada.
Caso da rede hotéis Marriott:
A violação de dados do Marriott está sendo investigada em
vários países, onde a gigante de hotéis e resorts está
presente. Na U.E., o Gabinete do Comissário da Informação
(ICO) lidera a investigação. É o órgão independente do Reino
Unido criado para defender os direitos de informação. As
autoridades locais de cada país estão interessadas em
participar como “autoridades de supervisão” no quadro
cooperativo do GDPR. De acordo com a OIC, como a
investigação está em um estágio inicial, nenhuma atribuição
oficial foi feita. Dado que a receita anual global da empresa
alcançou US$ 22,89 bilhões em 2017 e a multa mais rígida foi
de quatro por cento (no valor de US$ 915 milhões), chegou-
se ao montante de US$ 3,5 bilhões, como estimaram
inicialmente os analistas alguns dias após o incidente ter sido
divulgado. Além disso, é possível que alguns clientes possam
tomar medidas legais contra a empresa e reivindicar danos
que elevarão ainda mais o custo da violação. Na pior das
hipóteses, se for provado que a empresa estava totalmente
ciente do ataque dos hackers bem antes de ser revelada, a
Comissão de Valores Mobiliários dos Estados Unidos buscará
uma ação judicial contra a Marriott, alegando prejuízos sérios
para seus investidores.
Com a LGPD, a privacidade para os brasileiros deixa de ser
uma noção e passa a ser considerada um direito da
sociedade.

Como já sabemos, objetivo da LGPD é fortalecer a proteção

da privacidade do titular dos dados, a liberdade de
expressão, de informação, de opinião e de comunicação, a
inviolabilidade da intimidade, da honra e da imagem, o
desenvolvimento econômico e tecnológico, além da livre
iniciativa, livre concorrência e inovação.
  Agentes de tratament o : controlador e o operador –
devem pensar em regras e meios técnicos para proteger os
dados pessoais e comprovar sua efetividade nas empresas.
Seja por criptografia, anonimização dos dados, controle de
acesso, procedimentos, políticas de gestão de dados pessoais
e treinamentos para equipes que garantam a governança dos
dados pessoais e boas práticas.
Estrutura : disposições preliminares, requisitos para
tratamento de dados, direitos dos titulares, tratamento de
dados pessoais pelo poder público, transferência
internacional de dados, agentes de tratamento dos dados
(controlador e operador), segurança e boas práticas na
proteção dos dados pessoais e fiscalização.
Manutenção da privacidade no radar de toda
corporação.
Possibilidade de eliminação e retificação.
Coletar e processar quantidade mínima de dados.
A quem se aplica?
Setores impactados: todos aqueles que tratam de dados,
como bancos, corretoras, seguradoras, clínicas médicas,
hospitais, varejo, hotéis e companhias aéreas.
Exceções: a lei não se aplica quando o tratamento dos dados
é realizado por uma pessoa física para fins exclusivamente
particulares/não econômicos, para fins exclusivamente
jornalísticos (mantendo a liberdade de imprensa) e artísticos,
e para tratamentos realizados para fins de segurança pública
e defesa nacional.
Aplica-se ao setor público e privado qualquer tratamento de
dados pessoais de pessoas naturais. Por tratamento de dados
pessoais entende-se “toda operação realizada com dados
pessoais, como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão
ou extração”.
Transcrevendo a GDPR, a LGPD será aplicável em todos os
locais onde existam dados de cidadãos brasileiros.
Independentemente de como será a auditoria, e se ela
existirá, o fato é que toda empresa estrangeira que tiver filial
no Brasil ou oferecer serviços ao mercado nacional e coletar
e tratar dados de cidadãos brasileiros, estará sujeita à lei.
Quais são as referências?
Vários frameworks disponíveis no mercado hoje podem
ajudar a adequar a organização para a LGPD.
O Projeto de Lei que resultou na "Lei Carolina Dieckmann" foi
diante de situação específica experimentada pela  atriz em
maio de 2012. Ela teve copiadas de seu computador pessoal
36 fotos em situação íntima, incluindo conversas, que
acabaram divulgadas na Internet sem sua autorização.
ISO 31.000, ISO27.701 e ISSO 23.081
GDPR
12.737/2012 (Lei Carolina Dieckman)
Lei nº 4.595/1964, arts. 4º, inciso VIII
Lei nº 4.728/1965, art. 9º.
Lei nº 6.099/1974, arts. 7º e 23, "a".
Lei nº 10.194/2001, art. 1º, inciso II.
Lei Complementar nº 130/2009, art. 1º
COBIT
Decreto 10474
Instrução normativa 117
 
 
Atenção aos Riscos
Atenção aos Riscos – foco da ISO 31000
A ISO31000 é uma norma da família de gestão de risco criada
pela International Organization for Standardization. O
objetivo da ISO 31000 é estabelecer princípios e orientações
genéricas sobre gestão de riscos. A ISO 31000 estabeleceu
um framework universal reconhecido de gestão de processos
de tipos específicos de riscos para organizações de qualquer
segmento, independentemente do seu tamanho.
Além da segurança digital, os itens incluem danos à
reputação ou à marca, risco político e terrorismo. São riscos
que organizações privadas e públicas de todos os tipos e
tamanhos do mundo devem enfrentar cada vez mais.
A norma fornece diretrizes gerais para gerenciar riscos, em
quaisquer atividades, incluindo a tomada de decisão em
todos os níveis. Além disso, fornece também uma abordagem
comum que pode ser personalizada para cada tipo de
organização e seus contextos.
Multas e penalizações
As multas podem variar de 2% do faturamento do ano
anterior a R$ 50 milhões, passando por penalidades diárias.
No caso do descumprimento da LGPD, as penalidades
incluem advertência formal, obrigatoriedade na divulgação
de incidentes, exclusão de dados pessoais, suspensão,
proibição parcial ou total das atividades de coleta de
informações pessoais. Existe ainda uma multa de até 2% do
faturamento da pessoa jurídica, limitada a R$ 50 milhões.
As empresas que violarem os conceitos de privacidade de
dados do LGPD ou não forem transparentes em como utilizam
essas informações, podem pagar multas de até 2% sobre o
volume de negócios global ou 20 milhões de euros.
A maior penalização é com relação a imagem da empresa.
Advertência:
Multa simples, de até 2% do faturamento da
pessoa jurídica de direito privado, grupo ou
conglomerado no Brasil limitada, no total, a
R$ 50.000.000,00 por infração;
Multa diária
Publicização da infração
Bloqueio de dados pessoais
Eliminação dos dados pessoais a que se refere
a infração
Onde não se aplica?
A nova lei de proteção de dados não é aplicada para casos de
Segurança Pública e Defesa Nacional.
As legislações colocam as pessoas no controle sobre seus
dados e a tarefa de cumprir esse regulamento recai sobre
empresas e organizações. Isso significa que a empresa tem
que ser capaz de provar que o indivíduo concordou com uma

determinada ação.
Os negócios que trabalham com dados pessoais devem ter
um setor responsável pela proteção de dados para garantir a
conformidade com a LGPD.
A LGPD afeta qualquer tipo de serviço que seja oferecido ao
cidadão europeu. Dessa forma, se um e-commerce no Brasil
vende algum produto em algum país da União Europeia, a
empresa precisa se adaptar ao regulamento se quiser fazer
negócio com seus clientes estrangeiros.
Como muitos dos serviços online estão disponíveis de forma
global, é mais viável alterar toda a plataforma do que
segmentar diferentes políticas de acordo com a residência do
usuário.
Fica claro que a LGPD não é apenas uma questão de TI. Ela
tem implicações abrangentes para toda a empresa, incluindo
a forma como lidar com as atividades de marketing por dados
e vendas online. Esperamos que este texto tenha reforçado
seu conhecimento sobre revolução da internet.
Encarregado de Proteção de Dados (DPO)
Especialista encarregado de administrar todo o fluxo de
informações em qualquer empresa, desde sua coleta até seu
tratamento. Além disso, servirá como ponte entre uma
empresa e a futura Autoridade Nacional de Dados.
Os desafios para adequação à Lei Geral de Proteção de Dados
em vigor desde janeiro de 2021 no Brasil, não são exclusivos
da gestão de TI, Segurança da Informação ou Jurídico. Áreas
de recursos humanos precisam se preocupar muito com a
questão, visto que à legislação cria o cargo de Encarregado
de Proteção de Dados Pessoais, responsável por toda gestão
do assunto ou, como mais conhecido, o Data Protection
Officer - DPO. Embora a função possa ser ocupada por um
prestador de serviços terceirizado, a maioria das empresas
tendem a voltar os olhos para dentro de casa em busca do
perfil ideal, o que nem sempre é a melhor solução.
Toda empresa responsável por tratamento de dados deverá
nomear um Encarregado de Proteção dos dados pessoais.
A primeira opção das empresas para escolha deste
profissional é o responsável pelo departamento jurídico,
afinal de contas, falamos de uma lei — e quem melhor que
um profissional do Direito para compreender os meandros da
legislação brasileira? Nem sempre, é o melhor caminho.
Nem sempre é o melhor caminho, pois o perfil do
encarregado de proteção de dados pessoais não se limita ao
conhecimento e aplicabilidade da lei, mas do conhecimento
de todo um processo de negócio e um "arcabouço" de
soluções e serviços tecnológicos que permeiam toda a
segurança, não somente à segurança de dados pessoais, mas
todo processo de segurança da informação e proteção de
dados que uma empresa precisa se atentar: desde a gestão
de seus usuários (logins, senhas, acessos, arquivos),
passando por bases de dados, conexões remotas (aqueles
profissionais que muitas vezes utilizando notebooks fora da
empresa) e assim por diante.
Vivemos um momento em que, no processo de contratação,
exige-se que estes profissionais tenham experiência de
mercado, ou seja, que estes profissionais já tenham atuado
como DPO´s em algum outro lugar. Isso não ocorre em uma
ou outra situação de contratação, mas de várias, visto que
muitas empresas questionam sobre o melhor perfil e onde
encontrar estes profissionais.
Segundo a LGPD, este encarregado poderá ser uma pessoa
física ou jurídica (no segundo caso, uma empresa especialista
na prestação deste serviço). Este profissional deve ter
independência de análise e geração de relatórios na
organização em que trabalha ou presta serviço.
Dependendo do tamanho da sua organização ou do tipo do
negócio, talvez seja necessária (ou não) a contratação de
pessoa ou serviço de Encarregado de Proteção de Dados.
Encarregados de Proteção de Dados podem ser recursos
dedicados, compartilhados ou até sob demanda, dependo do
projeto de sua organização. Mas em todas essas situações,
ele deve ocupar uma posição independente de influências
estratégicas ou políticas da organização.
O Encarregado de Proteção de Dados será o principal
responsável por mostrar as evidências da adequação da Lei
perante a Autoridade Nacional de Proteção de Dados.
 
Esse especialista é um dos responsáveis por avaliar o RIPD
(Relatório de Impacto a Proteção de Dados), que toda a
organização deverá prover para a ANPD. É recomendado que
o Encarregado possua um bom conhecimento técnico e
didático das leis de Proteção de Dados nacionais e
estrangeiras.
A lei NÃO obriga que este profissional tenha uma formação
e/ou certificação específica, mas um conjunto de
conhecimentos e competências em legislação, segurança da
informação e proteção de dados suficientes para que este
execute suas funções, como por exemplo:
Sensibilização e informação de todos que tratem dados
pessoais;
• Assegurar o cumprimento das políticas de privacidade e
proteção de dados;
• Controlar e regular a conformidade da LGPD;
• Recolher informação para identificar atividades de
tratamento;
• Controlar e acompanhar a produção do RIPD – Relatório de
Impacto sobre Proteção de Dados;
• Promover as abordagens de Privacidade por Desenho e por
Padrão;
• Realizar a avaliação na exposição aos riscos de violações
de privacidade e mitigados com ações de melhoramento;
• Recolher informação para identificar atividades de
tratamento;
• Manter atualizados os registros das atividades de
tratamento de dados;
• Controlar o cumprimento das cláusulas de proteção de
dados junto aos
fornecedores;
• Promover formações de boas práticas para a proteção de
dados;
• Ser o ponto de contato com os titulares de dados de forma
a esclarecer
questões relacionadas com o tratamento dos dados;
• Ser o ponto de contato com as autoridades de controle etc.
 
Além do DPO, o ideal é que as empresas pensem na tríade:
PROCESSOS + JURÍDICO + SEGURANÇA DA INFORMAÇÃO,
pois esta base trará muito mais benefícios, segurança e
respaldo ao profissional de proteção de dados, que terá, sem
dúvida nenhuma, uma grande importância em toda "vida"
dos dados em uma corporação, e segurança para
desenvolver suas atividades.
Aplicação (extra)territorial da LGPD
 
 
A LGPD aplica-se a qualquer operação de tratamento
realizada por pessoa natural ou por pessoa jurídica de direito

público ou privado,
independentemente do meio, do país de sua sede ou do país
onde estejam localizados os dados, desde que:
• I – a operação de tratamento seja realizada no território
nacional;
• II – a atividade de tratamento tenha por objetivo a oferta ou
o fornecimento de bens ou serviços ou o tratamento de
dados de indivíduos localizados no território nacional; ou
• III – os dados pessoais objeto do tratamento tenha sido
coletados no território nacional.
• § 1º Consideram-se coletados no território nacional os
dados pessoais cujo titular nele se encontre no momento da
coleta.
 
Tarefas e comprometimentos
Avaliação de Processos e Riscos
É o levantamento de quais situações devem ser corrigidas
pela empresa para a garantia de que a LGPD seja cumprida
em todos os departamentos.

RIPD – Relatório de Impacto a Proteção de Dados

Recomenda-se a geração, análise e correção dos dados do
relatório de impacto a proteção de dados de forma
recorrente, independentemente do tipo de função da
organização.
Antes de realizar o RIPD (Relatório de Impacto a Proteção de
Dados), é necessário catalogar todo o tipo de tratamento de
dados que a empresa realiza. Feito isso, deve-se verificar
quais tratamentos podem ensejar elevado risco aos titulares
de dados. A LGPD exige que seja realizada uma análise de
impacto específica, para que a própria empresa busque
medidas que minimizem o risco inicialmente diagnosticado,
relatório DPIA. Caso o risco ainda seja alto após a efetivação
do RIPD, a Autoridade de Proteção de Dados competente
deve ser consultada.
Redução e Exposição a Riscos
É a etapa de implementação das medidas para proteger os
dados pessoais na base da empresa (contramedidas). Elas
podem ser de segurança, técnicas e administrativas, que
evitam, combatem ou minimizam a perda ou
indisponibilidade de ativos de informação devido a ameaças
que atuam sobre algumas vulnerabilidades.
A redução de risco, ou mitigação de risco, é a implementação
de salvaguardas e contramedidas para eliminar
vulnerabilidades ou bloquear ameaças. Escolher a
contramedida mais econômica ou benéfica faz parte do
gerenciamento de risco, mas não é um elemento de
avaliação de risco. Na verdade, a seleção de contramedidas é
uma avaliação pós-risco ou uma atividade pós-análise de
risco. Outra variação potencial da mitigação de risco é a
prevenção de risco.
Inúmeras contramedidas podem ajudar a garantir a
confidencialidade contra possíveis ameaças. Isso inclui
criptografia, preenchimento de tráfego de rede, controle de
acesso rigoroso, procedimentos rigorosos de autenticação,
classificação de dados e treinamento extensivo de pessoal.
Selecionar uma contramedida ou controle (abreviação de
controle de segurança) no âmbito do gerenciamento de risco
depende muito dos resultados da análise de custo / benefício.
No entanto, você deve considerar vários outros fatores ao
avaliar o valor ou a pertinência de um controle de segurança:
O custo da contramedida deve ser menor que o valor
do ativo.
 O custo da contramedida deve ser menor que o
benefício da contramedida.
O resultado da contramedida aplicada deve fazer com
que o custo de um ataque seja maior para o
perpetrador do que o benefício derivado de um ataque.
A contramedida deve fornecer uma solução para um risco
real sabendo-se que a segurança deve ser projetada para
suportar e ativar tarefas e funções de negócios. Assim,
contramedidas e salvaguardas precisam ser avaliadas no
contexto de uma tarefa de negócios.
Adoção do Privacy by Design
Aborda a proteção desde a concepção do produto ou sistema,
sendo incorporada diretamente às estruturas tecnológicas,
ao modelo de negócio e à infraestrutura física. Ou seja, a
privacidade está presente na própria arquitetura, permitindo
que o próprio usuário seja capaz de preservar e gerenciar a
coleta e o tratamento de seus dados pessoais.
De acordo com o LGPD, a proteção de dados por design
significa que você deve adotar medidas técnicas e
organizacionais nas fases iniciais do projeto das operações de
processamento. Desse modo, os princípios de privacidade e
proteção de dados são protegidos desde o início.
O termo "Privacidade por Design" significa simplesmente
"proteção de dados por meio de design de tecnologia".
Por trás disso está o pensamento de que a proteção dos
dados nos procedimentos de gestão da informação é mais
bem adotada quando já está integrada à tecnologia.
O controlador deve implementar medidas técnicas e
organizacionais apropriadas para garantir que, por padrão ,
somente dados pessoais necessários para finalidade do
processamento sejam tratados. Esta obrigação se aplica a
quantidade de dados pessoais coletados, à extensão do
processamento do período de armazenamento e à
acessibilidade dos dados.
A autenticação do usuário e a implementação técnica do
direito ao objeto devem ser consideradas. Além disso, com
precauções, pode-se usar outros padrões, como os padrões
ISO. Em casos individuais, deve-se assegurar que o estado da
arte, bem como os custos de implementação razoáveis, seja
incluído
 
Princípios da proteção da dos by design
Proativo e não reativo
Proteção de dados como configuração padrão
Proteção incorporada ao design
Funcionalidade completa
Segurança de ponta a ponta
Visibilidade e transparência
Respeito pela privacidade do usuário
.
Além dos critérios nomeados, o tipo, o escopo, as
circunstâncias e o propósito do processamento devem ser
considerados. Isso deve ser contrastado com as várias
probabilidades de ocorrência e a gravidade dos riscos
associados ao processamento. O texto da lei leva a concluir
que, muitas vezes, várias medidas de proteção devem ser
usadas entre si para satisfazer os requisitos estatutários. Na
prática, essa consideração já é executada em uma fase inicial
de desenvolvimento ao definir decisões sobre tecnologia. A
certificação reconhecida pode servir como um indicador para
as autoridades de que os responsáveis cumpriram os
requisitos legais de “Privacidade por projeto”.
Perguntas a serem inseridas em todos os projetos da
organização:
Quais são os requerimentos que nós precisamos
cumprir ou seguir?
Qual será o custo para aplicar este requisito ao nosso
produto ou serviço?
 Quando esta regulação precisará estar aplicada?
Procedimentos de política de privacidade e segurança da
informação
A política de segurança da informação nada mais é que um
conjunto de práticas e controles adequados, formada por
diretrizes, normas e procedimentos, com objetivo de
minimizar os riscos com perdas e violações de qualquer bem.
Se aplicada de forma correta ajuda a proteger as informações
que são consideradas como um ativo importante dentro da
organização.
Entender como os dados são capturados e manipulados pela
empresa é fundamental para as próximas etapas e, durante
essa análise, também é importante conhecer as práticas
adotadas para a guarda desses dados.
Após entender os processos de negócio e como os dados são
consumidos, inicia-se a etapa de descoberta e análise das
entidades que precisam ter acesso às informações a serem
protegidas. Aqui normalmente são encontradas as primeiras
dificuldades relativas ao tema proteção de dados, pois
geralmente são descobertas entidades com acessos
questionáveis ou até indevidos, como também as deficiências
em controlar esses acessos.
A ação adequada neste ponto é investir em tecnologia e
processos destinados a controlar de forma mais efetiva
credenciais que possibilitem o acesso aos repositórios de
dados. Sem uma ferramenta para a gestão das credenciais
de acesso bem estruturada e adequadamente implantada,
além de processos para a governança destas credenciais
bem definidos, corre-se sério risco em permitir acessos
indevidos. Isso é Política de Privacidade.
Interfaces
Marco Civil da Internet
O Marco Civil da Internet, oficialmente chamado de Lei N°
12.965/14, é a lei que regula o uso da Internet no Brasil por
meio da previsão de princípios, garantias, direitos e deveres
para quem usa a rede, bem como da determinação de
diretrizes para a atuação do Estado.
O marco civil da internet não garante a privacidade e a
proteção de dados de forma abrangente, completa e
estruturada. Nem todas as disposições sobre proteção de
dados são de natureza protetiva
O marco civil da internet não é uma normativa geral sobre
proteção de dados pessoais. Art. 3º a disciplina do uso da
internet no brasil tem os seguintes princípios:
ii - proteção da privacidade;
iii - proteção dos dados pessoais, na forma da lei;
art. 7º o acesso à internet é essencial ao exercício da cidadania, e ao usuário são
assegurados os seguintes direitos:
i - inviolabilidade da intimidade e da vida privada, sua proteção e indenização
pelo dano material ou moral decorrente de sua violação;
ii - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por
ordem judicial, na forma da lei;
iii - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por
ordem judicial;
vii - não fornecimento a terceiros de seus dados pessoais, inclusive registros de
conexão, e de acesso a aplicações de internet, salvo mediante consentimento
livre, expresso e informado ou nas hipóteses previstas em lei;
…
ix - consentimento expresso sobre coleta, uso, armazenamento e tratamento de
dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas
contratuais;
viii - informações claras e completas sobre coleta, uso, armazenamento,
tratamento e proteção de seus dados pessoais, que somente poderão ser
utilizados para finalidades que:
justifiquem sua coleta;
b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de
prestação de serviços ou em termos de uso de aplicações de internet;
 
 
ANPD
Autoridade nacional: órgão da administração pública
responsável por zelar, implementar e fiscalizar o
cumprimento desta Lei. 
Com a MP 869, a lei está vigente desde 28/12/2018 no que se
refere à criação da ANPD e estará vigente a partir de agosto
de 2020 em relação aos seus demais aspectos.
Uma das atribuições é fiscalizar, e, se necessário, aplicar
multa às empresas que lidam com dados pessoais.
Caberá à autoridade garantir o cumprimento da Lei Geral de
Proteção de Dados.
Zelar
Implementar
Fiscalizar
De um ponto de vista prático, as empresas e o poder público
ganharam seis meses para se adaptar  ao texto legal, e o
novo governo, recém-empossado, deverá se movimentar
para criar, de fato, a ANPD.
No entanto, o que realmente chama a atenção na MP 869 são
as alterações que potencialmente podem expor os titulares
de dados pessoais e reduzir a sua proteção. Um exemplo
disso  está na modificação do artigo  11 da LGPD, que trata
das hipóteses legais para tratamento de dados sensíveis.
A MP 869 passou a permitir expressamente o
compartilhamento de dados sensíveis quando houver
“necessidade de comunicação para a adequada prestação de
serviços de saúde suplementar”. Essa modificação permitirá
que planos e seguros privados de assistência médica tenham
acesso a informações referentes à origem racial, étnica, de
convicção religiosa, de opinião política, de saúde, genéticos
ou biométricos.
Essa exposição, potencialmente, pode permitir a
discriminação de usuários, sendo fundamental que haja, ao
menos, uma regulamentação que especifique claramente
quais informações (e sob que circunstâncias) podem ser
compartilhadas.
Também foi modificado o artigo 20 da LGPD, que estabelece
o direito do titular dos dados de solicitar a revisão, por uma
pessoa natural, de decisões tomadas exclusivamente com
base em tratamento automatizado de dados (ou seja, sem
interferência humana) que afetem seus interesses (como as
decisões referentes a perfis pessoais, profissionais, de
consumo e de crédito).
BACEN 4.658
Dispõe sobre a política de segurança cibernética e sobre os
requisitos para a contratação de serviços de processamento
e armazenamento de dados e de computação em nuvem.
Esses requisitos deverão ser observados pelas instituições
financeiras e demais instituições autorizadas a funcionar pelo
Banco Central do Brasil.
Subcontratantes
A LGPD estende-se também aos subcontratantes de uma
empresa, como fornecedores e parceiros de tecnologia. Eles
também ficam sujeitos às obrigações e podem realizar
pagamentos de indenização.
Ferramentas auxiliares
CSIRTs
Grupos de Resposta a Incidentes de Segurança em
Computadores.
Um “Computer Security Incident Response Team (CSIRT)”, ou
Grupo de Resposta a Incidentes de Segurança, é uma
organização responsável por receber, analisar e responder a
notificações e atividades relacionadas a incidentes de
segurança em computadores. Um CSIRT normalmente presta
serviços para uma comunidade bem definida, que pode ser a
entidade que o mantém, como uma empresa, um órgão
governamental ou uma organização acadêmica. Um CSIRT
também pode prestar serviços a uma comunidade maior,
como um país, uma rede de pesquisa ou clientes que pagam
por seus serviços.
Um CSIRT pode ser um grupo formal ou um grupo “ad hoc”.
Um grupo formal tem no trabalho de resposta a incidentes a
sua principal função. Um grupo “ad hoc” é reunido quando há
um incidente de segurança em andamento ou para responder
a um incidente, quando necessário.
Parceiros
Um parceiro especializado pode auxiliar nesse período de
transição, possibilitando um maior conhecimento e aplicação
de medidas eficientes para o cumprimento da lei.
Artigo 5

I - Dado Pessoal
I - Dado pessoal: informação relacionada a pessoa natural
identificada ou identificável;

Informação que identifica uma pessoa diretamente ou

indiretamente fazendo referência, por exemplo, a nome,
número de identidade, endereço IP, um ou mais fatores
específicos sobre forma física, psicológica, genética, mental,
econômica, cultural ou social. Ou seja, qualquer informação
relativa a uma pessoa singular identificada ou identificável
(titular de dados). Uma pessoa singular identificável é aquela
que pode ser identificada, direta ou indiretamente, por
referência a um identificador como um nome, número de
identificação, dados de localização, identificador on-line ou a
mais fatores específicos da física, fisiologia, identidade
genética, mental, econômica, cultural ou social dessa pessoa.
 
II - Dado Pessoal Sensível

Dado pessoal sensível: dado pessoal sobre origem racial ou

étnica, convicção religiosa, opinião política, filiação a
sindicato ou à organização de caráter religioso, filosófico ou
político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa
natural.
Um dado sensível é aquele que não só possui informações
que você não gostaria que fossem compartilhadas, como
também que pode causar um alto risco de exposição tanto na
sua vida social quanto profissional.
No âmbito do LGPD, para que um dado sensível possa ser
tratado, o consentimento há de ser livre (dado sem nenhum
tipo de pressão ou coação); inequívoco (sem deixar dúvidas
de que o titular consentiu com o tratamento); informado
(deixando claro o que é tratamento de dados e as
implicações do tratamento); expresso (apresentando
indicação clara e objetiva de que o titular concorda com o
tratamento dos dados e suas implicações); e específico
(explicando para o titular o exato propósito do tratamento).
Portanto, empresas farmacêuticas, de diagnósticos e da área
de saúde devem ficar particularmente atentas a tais
exigências, pois é normal que estas empresas coletem e
processem uma colossal quantidade de dados sensíveis.
 
III – Dado Anonimizado

Dado anonimizado: dado relativo à titular que não possa ser

identificado, considerando a utilização de meios técnicos
razoáveis e disponíveis na ocasião de seu tratamento;
Processo da retirada dos identificadores, mas mantendo a
informações explicitamente necessárias para o
processamento.
Neste processo os dados que possam identificar uma
pessoa são excluídos ou invalidados.
Impossibilidade de reversão.
Se forem utilizados para a formação do perfil
comportamental de uma determinada pessoa natural,
ainda que não identificada. Órgão competente poderá
dispor sobre padrões e técnicas utilizadas em processo
de anonimização.
Por exemplo:
Numa pesquisa sobre uma localidade, em que o nome das
pessoas é anonimizado (tornado anônimo) e é levado em
conta somente o fluxo de movimentação dos moradores,
para fins de otimização de transporte.
Um processo de remoção de informações pessoalmente
identificáveis de um conjunto de dados para tornar
impossível ou, pelo menos, mais difícil identificar uma
determinada pessoa.

 
Pseudonimização

Na realização de estudos em saúde pública, os órgãos de

pesquisa poderão ter acesso a bases de dados pessoais, que
serão tratados exclusivamente dentro do órgão e
estritamente para a finalidade de realização de estudos e
pesquisas e mantidos em ambiente controlado e seguro,
conforme práticas de segurança previstas em regulamento
específico e que incluam, sempre que possível, a
anonimização ou pseudonimização dos dados, bem como
considerem os devidos padrões éticos relacionados a estudos
e pesquisas.
§ 1º A divulgação dos resultados ou de qualquer excerto do
estudo ou da pesquisa de que trata o caput deste artigo em
nenhuma hipótese poderá revelar dados pessoais.
§ 2º O órgão de pesquisa será o responsável pela segurança
da informação prevista no caput deste artigo, não permitida,
em circunstância alguma, a transferência dos dados a
terceiro.
§ 3º O acesso aos dados de que trata este artigo será objeto
de regulamentação por parte da autoridade nacional e das
autoridades da área de saúde e sanitárias, no âmbito de suas
competências.
§ 4º Para os efeitos deste artigo, a pseudonimização é o
tratamento por meio do qual um dado perde a possibilidade
de associação, direta ou indireta, a um indivíduo, senão pelo
uso de informação adicional mantida separadamente pelo
controlador em ambiente controlado e seguro.
 
IV – Banco de Dados
 
Segundo o entendimento da LGPD é um conjunto estruturado
de dados pessoais, estabelecido em um ou em vários locais,
em suporte eletrônico ou físico;
Bancos de dados ou bases de dados são conjuntos de
arquivos relacionados entre si com registros sobre pessoas,
lugares ou coisas. São coleções organizadas de dados que se
relacionam de forma a criar algum sentido e dá mais
eficiência durante uma pesquisa ou estudo.
 
V – Titular
Segundo a LGPD, Titular é uma pessoa natural a quem se
referem os dados pessoais que são objeto de tratamento.
 
VI – Controlador
Segundo a LGPD, Controlador é uma pessoa natural ou
jurídica, de direito público ou privado, a quem competem as
decisões referentes ao tratamento de dados pessoais;
A autoridade nacional poderá solicitar ao controlador relatório
de impacto à proteção de dados pessoais, quando o
tratamento tiver como fundamento seu interesse legítimo,
observados os segredos comercial e industrial. 
 
VII – Operador
Segundo a LGPD, Operador caracteriza-se uma pessoa
natural ou jurídica, de direito público ou privado, que realiza
o tratamento de dados pessoais em nome do controlador;
Esta é uma atividade operacional e prática.
VIII – Encarregado
Segundo a LGPD, o Encarregado de Proteção dos Dados é
uma pessoa indicada pelo controlador para atuar como canal
de comunicação entre o controlador, os titulares dos dados e
a Autoridade Nacional de Proteção de Dados; 
 
IX – Agentes de Tratamento
Agentes de tratamento: o controlador e o operador

O controlador de dados determina as finalidades para as

quais e os meios pelos quais os dados pessoais são
processados. Portanto, numa empresa ou organização a
tarefa de decidir "por que" e "como" os dados pessoais
devem ser processados, é do controlador de dados. Os
funcionários que processam dados pessoais em sua
organização, o fazem para cumprir suas tarefas como
controlador de dados.
A sua empresa ou organização é um controlador conjunto
quando, em conjunto com uma ou mais organizações,
determina em conjunto "por que" e "como" os dados pessoais
devem ser processados. Os controladores conjuntos devem
entrar em um acordo estabelecendo suas respectivas
responsabilidades para cumprir as regras da LGPD. Os
principais aspectos do acordo devem ser comunicados aos
indivíduos cujos dados estão sendo processados.
O operador processa dados pessoais somente em nome do
controlador. O processador de dados geralmente é um
terceiro externo à empresa. No entanto, no caso de grupos
de empresas, uma empresa pode atuar como processador
para outra empresa.
Os deveres do Operador em relação ao controlador devem
ser especificados em um contrato ou outro ato legal. Por
exemplo, o contrato deve indicar o que acontece com os
dados pessoais após o término do contrato. Uma atividade
típica de operadores é oferecer soluções de TI, incluindo
armazenamento em nuvem. O operador de dados só pode
subcontratar uma parte de sua tarefa para outro operador ou
nomear um outro quando tiver recebido autorização prévia
por escrito do controlador de dados.
 
X – Tratamento

Segundo a LGPD, Tratamento é toda operação realizada com

dados pessoais, como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão
ou extração.
 
XI – Anonimização
 

Segundo a LGPD, a Anonimização é a utilização de meios

técnicos razoáveis e disponíveis no momento do tratamento,
por meio dos quais um dado perde a possibilidade de
associação, direta ou indireta, a um indivíduo;
Anonimização é a transformação de dados para que eles não
sejam mais identificáveis como associados a uma
determinada pessoa.
Para que a anonimização seja efetiva, a identificação da
pessoa associada aos dados não pode ser mais possível,
mesmo com a adição de outros conhecimentos sobre os
dados anônimos. O problema para controladores de dados e
operadores de dados com a maioria dos casos de
anonimização perfeita é que os dados também são inúteis
para qualquer outra análise. Mesmo assim, no entanto, dados
anônimos ainda podem ser úteis para desenvolvimento e
teste de estudo de casos.
 
XII – Consentimento
Consentimento: manifestação livre, informada e inequívoca
pela qual o titular concorda com o tratamento de seus dados
pessoais para uma finalidade determinada;
O consentimento deve ser dado livremente, específico,
informado e não ambíguo. Para obter o consentimento livre,
deve ser dado voluntariamente. O elemento “livre” implica
uma escolha real pelo titular dos dados. Qualquer elemento
de pressão ou influência inadequada que possa afetar o
resultado dessa escolha torna o consentimento inválido. Ao
fazê-lo, o texto legal leva em consideração um certo
desequilíbrio entre o responsável pelo tratamento e o
assunto dos dados. Por exemplo, em uma relação
empregador-empregado: O funcionário pode se preocupar
que sua recusa ao consentimento possa ter consequências
negativas graves em sua relação de trabalho, portanto, o
consentimento só pode ser uma base legal para o
processamento em algumas circunstâncias excepcionais.
Além disso, a chamada “proibição de acoplamento” ou
“proibição de acoplamento ou amarração” se aplica. Assim, a
execução de um contrato não pode depender do
consentimento para processar outros dados pessoais, o que
não é necessário para a execução desse contrato.
 
XIII – Bloqueio
Bloqueio: suspensão temporária de qualquer operação de
tratamento, mediante guarda do dado pessoal ou do banco
de dados.
 
XIV – Eliminação

Eliminação: exclusão de dado ou de conjunto de dados

armazenados em banco de dados, independentemente do
procedimento empregado;
De acordo com isto, os dados pessoais devem ser
imediatamente apagados quando os dados já não são
necessários para o seu propósito original de processamento,
ou o titular dos dados retirou o seu consentimento e não
existe outro motivo legal para processamento, o titular dos
dados contestou e não existem motivos legítimos para o
processamento.
O controlador está, por um lado, sujeito automaticamente a
obrigações de apagamento legais e deve, por outro lado,
cumprir o direito de apagamento do sujeito dos dados. A lei
não descreve como os dados devem ser apagados em casos
individuais. O elemento determinante é que, como resultado,
não é mais possível discernir dados pessoais sem esforço
desproporcional.
É suficiente se a mídia de dados tiver sido fisicamente
destruída ou se os dados forem permanentemente
sobrescritos com o uso de softwares específicos.
 
XV – Transferência Internacional de Dados

Transferência internacional de dados: transferência de dados

pessoais para outro país ou organismo internacional do qual
o país seja membro;
Fluxos de dados pessoais de e para países fora do Brasil e
organizações internacionais são necessários para a expansão
do comércio internacional e a cooperação internacional.
O aumento desses fluxos levantou novos desafios e
preocupações com relação à proteção de dados pessoais.
No entanto, quando os dados pessoais são transferidos do
Brasil para controladores, operadores ou outros destinatários
em países terceiros ou para organizações internacionais; o
nível de proteção das pessoas singulares assegurada no
Brasil por esta Lei não deve ser comprometido, inclusive nos
casos de frente Transferências de dados pessoais do país
terceiro ou organização internacional para controladores,
operadores no mesmo ou noutro país terceiro ou organização
internacional.
Em qualquer caso, as transferências para países terceiros e
organizações internacionais só podem ser efetuadas em
plena conformidade com o presente regulamento.
Uma transferência só pode ocorrer se, sem prejuízo das
outras disposições da LGPD, as condições estabelecidas nas
disposições do presente regulamento relativas à
transferência de dados pessoais para países terceiros ou
organizações internacionais forem cumpridas pelo
responsável pelo tratamento ou pelo subcontratante.
 
XVI – Uso Compartilhado dos Dados

Uso compartilhado de dados: comunicação, difusão,

transferência internacional, interconexão de dados pessoais
ou tratamento compartilhado de bancos de dados pessoais
por órgãos e entidades públicos no cumprimento de suas
competências legais, ou entre esses e entes privados,
reciprocamente, com autorização específica, para uma ou
mais modalidades de tratamento permitidas por esses entes
públicos, ou entre entes privados;
Lembre-se de que essas restrições e condições só se aplicam
quando o compartilhamento envolve dados pessoais - ou
seja, informações sobre indivíduos vivos identificáveis.
Portanto, o compartilhamento de dados completamente
anonimizados não está sujeito a nenhuma restrição.
Atividades:
 Identifique outros Controladores com quem você
compartilha Dados Pessoais ou é um Controlador de
Dados conjunto.
Identifique os Operadores de Dados.
Determine onde os contratos com cláusulas
apropriadas são necessários para terceiros e inicie.
Assegure-se de que um contrato ou acordo de
compartilhamento de informações esteja em vigor,
quando necessário.
Desenvolver e gerenciar processos locais para garantir
a conformidade com a orientação de contratos.
Configure e implemente um processo para monitorar a
conformidade de seus terceiros.
XVII – Relatório de Impacto à Proteção de Dados Pessoais
Relatório de impacto à proteção de dados pessoais:
documentação do controlador que contém a descrição dos
processos de tratamento de dados pessoais que podem gerar
riscos às liberdades civis e aos direitos fundamentais, bem
como medidas, salvaguardas e mecanismos de mitigação de
risco.
Basicamente, uma avaliação de impacto de proteção de
dados sempre deve ser realizada quando o processamento
pode resultar em um alto risco aos direitos e liberdades das
pessoas físicas.
A Autoridade Nacional deve estabelecer e publicar uma lista
de operações de processamento que sempre exigem uma
avaliação de impacto de proteção de dados em sua jurisdição
(lista legra). A autoridade também pode publicar uma lista de
atividades de processamento que especificamente não
exigem uma avaliação de impacto de privacidade (whitelist).
Se uma empresa nomeou um Encarregado de Proteção de
Dados, seu conselho deve ser levado em consideração ao
conduzir um RIPD. Como e por que critérios as consequências
e riscos para os titulares de dados são avaliados, permanece
em grande parte sem resposta
Exemplos:
RIPD requerido
Um banco exibindo seus clientes em um banco de
dados de referência de crédito; um hospital prestes a
implementar um novo banco de dados de informações
de saúde com dados de saúde dos pacientes; um
operador de ônibus prestes a implementar câmeras on-
board para monitorar o comportamento dos motoristas
e passageiros.
RIPD não é obrigatório
Um médico processando dados pessoais de seus
pacientes. Nesse caso, não há necessidade de um
DPIA, pois o processamento pelos médicos não é feito
em grande escala nos casos em que o número de
pacientes é limitado.
XVIII – Órgão de pesquisa
Órgão de pesquisa: órgão ou entidade da administração
pública direta ou indireta ou pessoa jurídica de direito privado
sem fins lucrativos legalmente constituída sob as leis
brasileiras, com sede e foro no País, que inclua em sua
missão institucional ou em seu objetivo social ou estatutário
a pesquisa básica ou aplicada de caráter histórico, científico,
tecnológico ou estatístico;
XIX – Autoridade Nacional
Autoridade nacional: órgão da administração pública
responsável por zelar, implementar e fiscalizar o
cumprimento desta Lei. O governo anunciou no dia 28 de
dezembro de 2018 a criação da Autoridade Nacional de
Proteção de Dados (ANPD), órgão responsável por
acompanhar e aplicar sanções descritas na Lei Geral de
Proteção de Dados (LGPD), sancionada em agosto deste ano.
A criação foi feita por medida provisória (MP 869/18)
assinada pelo presidente Michel Temer nesta semana. A
ANPD era para ter sido aprovada em agosto, junto com o
texto da Lei Geral de Proteção de Dados. Contudo, o
presidente vetou o texto sob o argumento de “vício de
iniciativa”. Isso porque o órgão estaria vinculado ao
Ministério da Justiça.
O texto aprovado na última semana prevê que a ANPD vai ter
autonomia técnica, mas será vinculada à Presidência da
República. Assim, será composta por um conselho-diretor
formado por cinco diretores, que serão nomeados pelo
presidente, e os membros do conselho terão mandatos de
quatro anos.
De acordo com o texto assinado por Temer, entre as
atribuições da Autoridade Nacional de Proteção de Dados
(ANPD) estão:
Zelar pela proteção de dados pessoais;
Editar normas e procedimentos sobre o tema;
Aplicar sanções em caso de descumprimento de regras.
Artigo 6
II – Adequação
Adequação: compatibilidade do tratamento com as
finalidades informadas ao titular, de acordo com o contexto
do tratamento. Caso seja necessária alguma inclusão de
metadados, redução de dados coletados ou anonimização
que possam facilitar o processamento, de acordo com a
finalidade concedida.
Adequação no formato para transferência internacional dos
dados.
III – Necessidade
Limitação do tratamento ao mínimo necessário para a
realização de suas finalidades, com abrangência dos dados
pertinentes, proporcionais e não excessivos em relação às
finalidades do tratamento de dados.
Dados coletados para fins específicos, explícitos e legítimos e
não processadas posteriormente de maneira incompatível
com esses objetivos, adequados, relevantes e limitados ao
necessário em relação aos fins para os quais são tratados
(minimização de dados);
preciso e, quando necessário, atualizado; todas as medidas
razoáveis devem ser tomadas para garantir que os dados
pessoais que são imprecisos, tendo em conta as finalidades
para as quais são processados, sejam apagados ou
retificados sem demora ("precisão");
O excesso de informação, além de ser prejudicial para o
trabalho de tratamento de dados, aumenta o risco da
revelação não autorizada.
IV – Livre Acesso
Garantia, aos titulares, de consulta facilitada e gratuita sobre
a forma e a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais.
Em suma, o direito de acesso significa que os controladores
de dados devem fornecer uma cópia dos dados pessoais
processados mediante solicitação.
V – Qualidade dos Dados
Qualidade dos dados: garantia, aos titulares, de exatidão,
clareza, relevância e atualização dos dados, de acordo com a
necessidade e para o cumprimento da finalidade de seu
tratamento;
Os dados têm um tremendo impacto na trajetória de uma
organização no que se refere à previsão de comportamentos
e padrões de compra do cliente, auxiliando com o
gerenciamento eficaz do produto, fornecendo informações
competitivas às organizações e muito mais.
No entanto, se os seus dados não forem precisos, completos
e consistentes, podem levar a grandes erros ao tomar
decisões de negócios.
O Instituto de pesquisas empresariais Gartner estima que o
impacto financeiro médio da má qualidade dos dados nas
empresas é de US $ 15 milhões por ano, o que significa que
você não pode deixar de dar prioridade à gestão da
qualidade de dados, especialmente agora que os padrões da
LGPD estão prestes a serem implementados.
Com a LGPD, a maneira pela qual as organizações podem
usar seus dados agora vem com restrições. Para garantir a
conformidade, o gerenciamento da qualidade de dados deve
ser implementado nas organizações para operar
corretamente e usar os dados de acordo com as
regulamentações.
Aqui estão alguns fatores que causam dados incorretos:
Silos de informação - No mundo do bigdata, as
informações vêm de várias fontes e sistemas.
Diversas tecnologias - Dada a variedade de tecnologias
que as empresas utilizam, os dados são apresentados
em diversos formatos.
Dados inconsistentes - Como os dados são
provenientes de várias fontes, pode haver
discrepâncias neles. Por exemplo, os sistemas de
marketing e vendas podem ter registros diferentes do
número de celular de um cliente.
Antes que a conformidade com a LGPD possa ser alcançada,
os dados precisam ser catalogados para registrar quais dados
são armazenados, onde e por quê; seja estruturado ou não
estruturado e se é armazenado digitalmente ou em formato
analógico. Este é mais um exercício consultivo do que um
processo de TI.
A minimização de dados é fundamental para muitos dos
requisitos da LGPD, portanto, é necessário tomar decisões
sobre quais dados pessoais são necessários, sob quais bases
estão sendo coletadas e o que pode ser excluído. Ao mesmo
tempo, a qualidade dos dados restantes precisará ser
melhorada: as duplicatas devem ser encontradas e
resolvidas, e os dados conflitantes devem ser validados em
relação a fontes confiáveis para garantir a precisão.
Essa fase requer um sistema que permita que os dados
sejam consultados e subsequentemente entregues,
excluídos, corrigidos ou portados quando solicitados. O
truque aqui é acessar esses dados em tempo real quando
necessário.
Estabelecer o modelo de governança certo desde o início é
absolutamente crítico. Deve haver um corpo interno, não
apenas com autoridade para orquestrar as fases acima, mas
também com a missão de mudar os processos e
supervisionar sua implementação. Parte desse processo pode
ser designar o encarregado de proteção de dados, conforme
descrito na própria LGPD.
O controlador precisa ter mecanismos que assegurem a
qualidade dos dados para o correto tratamento.
VI – Transparência
Transparência: garantia, aos titulares, de informações claras,
precisas e facilmente acessíveis sobre a realização do
tratamento e os respectivos agentes de tratamento,
observados os segredos comercial e industrial.
Uma das formas de garantir a transparência no tratamento
dos dados é a implementação de serviços de Atendimento ao
Cliente, Ouvidoria e planos de Auditorias Externas.
 
Princípios da transparência:
1. O princípio da transparência exige que qualquer
informação dirigida ao público ou à pessoa em causa
seja concisa, facilmente acessível e fácil de entender, e
que seja utilizada uma linguagem clara e simples e,
adicionalmente, quando apropriado, a visualização.
2. Tais informações podem ser fornecidas em formato
eletrônico, por exemplo, quando endereçadas ao
público, por meio de um site.
3. Isso é particularmente relevante em situações em que
a proliferação de atores e a complexidade tecnológica
 da prática dificultam que o titular de dados conheça e
compreenda se, por quem e com que finalidade os
dados pessoais relativos a ele ou ela está sendo
coletada, como no caso da publicidade online.
4. Dado que as crianças merecem proteção específica,
qualquer informação e comunicação, onde o
processamento é dirigido a uma criança, deve estar em
uma linguagem tão clara e clara que a criança possa
compreender facilmente.
VII – Segurança
Segurança: utilização de medidas técnicas e administrativas
aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou difusão;
Segundo as melhores práticas a segurança baseia-se na
tríade Confidencialidade, Integridade e Disponibilidade.

Confidencialidade é sobre privacidade e garantir que a

informação seja acessível somente para aqueles com uma
necessidade comprovada de vê-la. Seria inaceitável para um
estranho ser capaz de acessar informações confidenciais de
um laptop simplesmente levantando a tampa e ligando-a. É
por isso que um laptop deve ser protegido por senha e os
dados nele criptografados quando desligados.
A integridade refere-se às informações armazenadas em um
banco de dados que são consistentes e não modificadas. Os
sistemas devem ser projetados de forma que a entrada e o
gerenciamento de informações não sejam propensos a erros
humanos e que o fluxo de informações não resulte em perda
ou alteração
A disponibilidade diz respeito a informações que estão
presentes quando são necessárias para dar suporte aos
cuidados. O projeto do sistema deve incluir controles e
verificações de acesso apropriados para que as informações
no sistema tenham consistência e precisão, sejam confiáveis
e corretas e possam ser confiáveis ao fornecer assistência ou
saúde.
 
VIII – Prevenção
Prevenção: adoção de medidas para prevenir a ocorrência de
danos em virtude do tratamento de dados pessoais.
Impedir o manuseio inadequado dos dados com foco em:
Armazenamento
Transmissão
Processamento de informação
A proteção de confidencialidade fornece um meio para
usuários autorizados acessarem e interagirem com recursos,
mas previne que usuários não autorizados façam isso.
Os sistemas de comunicação são vulneráveis a ataques da
mesma maneira que qualquer outro aspecto da infraestrutura
de TI é vulnerável. Entender as ameaças e possíveis
contramedidas é uma parte importante da proteção de um
ambiente. Qualquer atividade ou condição que possa causar
danos a dados, recursos ou pessoal deve ser
abordada e mitigada, se possível. Tenha em mente que o
dano inclui mais do que apenas destruição ou dano; também
inclui divulgação, atraso no acesso, negação de acesso,
fraude, desperdício de recursos, abuso de recursos e perdas.
Ameaças comuns contra a segurança do sistema de
comunicação incluem negação de serviço, espionagem,
representação, reprodução e modificação.
IX – Não Discriminação
Não discriminação: impossibilidade de realização do
tratamento para fins discriminatórios ilícitos ou abusivos;
Alusão ao artigo 5 da Constituição Federal, que garante o
direito de que todos são iguais pela lei.
As novas salvaguardas da lei são particularmente
importantes para os direitos humanos na era digital.
Escândalos recentes envolvendo o Facebook com a
Cambridge Analytica e a preocupação pública com violações
de dados digitais, publicidade direcionada e perfil do setor
privado levaram a pedidos por maiores controles sobre como
os dados pessoais são coletados e usados.
Na era digital, tudo o que uma pessoa faz online gera ou
implica dados que podem ser altamente reveladores sobre
sua vida privada. A LGPD fornece novas maneiras pelas quais
as pessoas podem proteger seus dados pessoais e, por
extensão, sua privacidade e outros direitos humanos. Ele
oferece a todos mais controle e exige que empresas,
governos e outras organizações divulguem mais sobre suas
práticas de dados e regulam a maneira como coletam,
processam e armazenam dados das pessoas.
Proteções especiais se aplicam a informações confidenciais.
O processamento de determinadas categorias especiais de
dados sensíveis é rigorosamente regulamentado. Estes
incluem informações revelando a origem racial ou étnica de
alguém, opiniões políticas, crenças religiosas ou filosóficas,
ou filiação sindical, bem como dados sobre genética, saúde e
biometria (por exemplo, impressões digitais, reconhecimento
facial e outras medidas corporais)
Depois que os dados são coletados, as empresas precisam
ser mais transparentes sobre como elas são compartilhadas
com outras pessoas. Em teoria, isso significa que os usuários
podem aprender mais sobre como as empresas abordam as
parcerias de criação de perfil e de segmentação de anúncios
on-line, especialmente aquelas que oferecem serviços de
análise da Web, publicidade ou mídia social.
  Sistemas que incorporam decisões algorítmicas ou outras
formas de criação de perfil podem levar à discriminação
baseada em raça, sexo, religião, nacionalidade ou outro
status. Mesmo se os indivíduos consentirem, eles ainda têm o
direito de analisar os resultados significativos de sistemas
automatizados de tomada de decisão. À medida que
governos e empresas usam algoritmos para tomar decisões
importantes sobre a vida das pessoas, como se uma pessoa
recebe benefícios públicos, seguro de saúde, crédito ou
emprego, essas proteções prometem um grau de
transparência e responsabilidade e protegem contra a
discriminação que afeta a pessoa. direitos humanos.
X – Responsabilização e Prestação de Contas
Responsabilização e prestação de contas: demonstração,
pelo agente, da adoção de medidas eficazes e capazes de
comprovar a observância e o cumprimento das normas de
proteção de dados pessoais e, inclusive, da eficácia dessas
medidas.
Não repúdio.
O não-repúdio garante que o assunto de uma atividade ou
quem causou um evento não pode negar que o evento
ocorreu. O não-repúdio impede que um sujeito afirme não ter
enviado uma mensagem, não ter executado uma ação ou não
ter sido a causa de um evento.
Isso é possível por meio de identificação, autenticação,
autorização, responsabilidade e auditoria. O não-repúdio
pode ser estabelecido usando certificados digitais,
identificadores de sessão, logs de transação e vários outros
mecanismos de controle de acesso e transações.
Um sistema construído sem a aplicação adequada de não-
repúdio não fornece verificação de que uma entidade realizou
uma determinada ação. O não-repúdio é uma parte essencial
da responsabilidade. Um suspeito não pode ser
responsabilizado se puder repudiar a reclamação contra ele.
 
Artigos 7 e 8
Consentimento
O consentimento previsto no inciso I do art. 7º desta Lei
deverá ser fornecido por escrito ou por outro meio que
demonstre a manifestação de vontade do titular
O controlador que obteve o consentimento referido no inciso I
do  caput  deste artigo que necessitar comunicar ou
compartilhar dados pessoais com outros controladores
deverá obter consentimento específico do titular para esse
fim, ressalvadas as hipóteses de dispensa do consentimento
previstas nesta Lei.
O titular dos dados deve pelo menos ser notificado sobre a
identidade do controlador, que tipo de dados será
processado, como será usado e a finalidade das operações de
processamento como uma proteção contra a "fluência de
função". O titular dos dados também deve ser informado
sobre o seu direito de retirar o consentimento a qualquer
momento. A retirada deve ser tão fácil quanto dar
consentimento. Quando relevante, o controlador também
deve informar sobre o uso dos dados para tomada de
decisões automatizada, os possíveis riscos de transferência
de dados devido à ausência de uma decisão de adequação
ou outras salvaguardas apropriadas.
O consentimento deve estar vinculado a um ou vários
propósitos especificados, que devem ser suficientemente
explicados. Se o consentimento deve legitimar o
processamento de categorias especiais de dados pessoais, as
informações para o titular dos dados devem referir-se
expressamente a isso.
Deve sempre haver uma clara distinção entre as informações
necessárias para o consentimento informado e as
informações sobre outros assuntos contratuais.
Por último, mas não menos importante, o consentimento
deve ser inequívoco , o que significa que requer uma
declaração ou um claro ato afirmativo. O consentimento não
pode ser implícito e deve ser sempre dado por meio de um
opt-in, uma declaração ou uma moção ativa, para que não
haja mal-entendido que o titular dos dados tenha consentido
com o processamento específico. Dito isto, não há exigência
de formulário para consentimento, mesmo que seja
recomendado o consentimento por escrito devido à
responsabilidade do responsável pelo tratamento. Pode,
portanto, também ser dado em formato eletrônico. Nesse
sentido, o consentimento de crianças e adolescentes em
relação aos serviços da sociedade da informação é um caso
especial.
Como se pode ver, o consentimento não é uma bala de prata
quando se trata do processamento de dados pessoais.
Especialmente considerando que lei de proteção de dados
deixaram claro que “se um controlador escolhe confiar no
consentimento para qualquer parte do processamento, ele
deve estar preparado para respeitar essa escolha e
interromper essa parte do processamento se um indivíduo
retirar o consentimento. “Estritamente interpretado, isso
significa que o controlador não está autorizado a mudar do
consentimento da base legal para o interesse legítimo, uma
vez que o titular dos dados retira o seu consentimento. Isso
se aplica mesmo que um interesse legítimo válido existisse
inicialmente. Portanto, o consentimento deve ser sempre
escolhido como última opção para o processamento de dados
pessoais.
O consentimento deve ser fornecido se você acredita que seu
processamento é legal e caso necessário o controlador pode
comprovar o uso.
O texto da solicitação do consentimento deverá ser claro em
sua finalidade, tipo de tratamento e data de expiração.  Deve
ser uma forma inteligível e de fácil acesso em linguagem
clara e clara.
Caso contrário, o consentimento não conta e seu
processamento pode ser considerado ilegal:
O titular precisa conceder
O controlador precisa provar que possui
Precisa ser de claro e fácil entendimento
Uma vez concedido, precisar ter a informação da
duração do tempo do tratamento
Marco Civil da Internet, art 7º
VII - não fornecimento a terceiros de seus dados pessoais,
inclusive registros de conexão, e de acesso a aplicações de
internet, salvo mediante consentimento livre, expresso e
informado ou nas hipóteses previstas em lei;
IX - Consentimento expresso sobre coleta, uso,
armazenamento e tratamento de dados pessoais, que deverá
ocorrer de forma destacada das demais cláusulas contratuais
 
Lei 13.709/2018 Art. 5º
XII – consentimento: manifestação livre, informada e
inequívoca pela qual o titular concorda com o tratamento de
seus dados pessoais para uma finalidade determinada;
 
Interesse legítimo
Um controlador determina os propósitos e meios de
processar dados pessoais. Um processador é responsável
pelo processamento de dados pessoais em nome de um
controlador. Se você é um processador, a LGPD coloca
obrigações legais específicas em você; por exemplo, você é
obrigado a manter registros de dados pessoais e atividades
de processamento.
Você terá responsabilidade legal em caso de ato ou incidente
de violação. No entanto, se você for um controlador, não
ficará desobrigado de suas falhas onde um processador está
envolvido – a LGPD coloca mais obrigações para garantir que
seus contratos com operadores estejam em conformidade
com a lei.
Artigo 16
Eliminação dos Dados
Os dados pessoais serão eliminados após o término de seu
tratamento, no âmbito e nos limites técnicos das atividades,
autorizada a conservação para as seguintes finalidades:
A destruição pode ser designada por um período de
retenção aplicado a uma data de criação de dados ou
registros.
Uma solicitação de um titular ou a conclusão de uma
destruição de transação pode resultar na exclusão de
arquivos de
Os registros de um banco de dados ou a remoção de dados
de um arquivo, deve ser aplicada ao plano de gerenciamento
de registros de uma organização para garantir remoção
apropriada de dados.
Simplesmente declarar que os dados devem ser destruídos
nem sempre é suficiente. Deve haver diretrizes claras sobre
como destruir os dados com base em seu tipo.
Vamos debater sobre conteúdo digital:
 A destruição da maioria dos conteúdos digitais é
simplesmente uma questão de excluir os dados ou os
arquivos que contêm os dados.
É preciso ter cuidado ao excluir dados de uma mídia
off-site manipuladas por terceiros.
Nas tecnologias atuais, a exclusão é feita removendo-
se somente os cabeçalhos usando comandos padrão do
sistema operacional para excluir arquivos,
normalmente exclui apenas as informações de
cabeçalho e deixa o conteúdo dos arquivos intactos.
Formatar a mídia inteira é a melhor maneira de garantir que
os dados sejam removidos do disco. A formatação adequada
é importante porque o uso da formatação padrão limpará
somente os cabeçalhos de cada arquivo e, mais uma vez,
deixará os dados intactos no disco.
 
O gerenciamento de direitos digitais ou DRM é outro método
de remover o acesso a conteúdo digital por meio de meios
programáticos, definindo um período de expiração no
conteúdo.
Quando um dispositivo não está conectado à rede da
organização, a execução de rotinas de exclusão em relação à
hora de dados, ao realizar uma exclusão manual, é
impossível.
O treinamento e os lembretes adequados são a melhor
maneira de manter os funcionários cientes da necessidade de
excluir dados expirados de copiadoras e máquinas de fax de
impressoras de mídia portáteis.
Muitas impressoras copiadoras e aparelhos de fax contêm
discos mecânicos ou sólidos que são usados para armazenar
uma cópia do material impresso que é apresentado a eles.
Isso pode ser uma fonte de risco quando as máquinas são
devolvidas após o período de locação ou descartadas antes
que as máquinas sejam removidas.
Os dispositivos de armazenamento devem ter as informações
a serem eliminadas destruídas. Alguns fabricantes desses
dispositivos automaticamente limpam os discos rígidos após
o uso.
Destruir documentos em papel em uma organização é uma
tarefa extremamente difícil. Não por causa do processo, mas
por causa da dificuldade em determinar quais documentos
precisam ser destruídos. Os documentos em papel raramente
têm uma data de exclusão, pois normalmente são impressões
de arquivos que não possuem datas de exclusão
incorporadas.
Muitos documentos recebem uma classificação de dados que
pode ajudar a determinar uma data de destruição. Desde que
os funcionários sejam devidamente treinados sobre o
significado da classificação de dados e como eles aplicam as
políticas de retenção, é uma boa prática colocar uma data de
destruição no papel.
Se o papel foi impresso de um arquivo que não tem uma data
de destruição, o documento deve ser destruído quando não
for mais necessário e usado a cópia digital para necessidades
futuras.
Para muitas empresas, pode ser mais eficiente contratar uma
empresa de destruição de pessoas para destruir documentos
vencidos.
O desenvolvimento e a execução de um programa de ciclo de
vida informativo ajudam as organizações a garantir que estão
coletando os dados certos, fornecendo transparência
adequada para a coleta processando-a adequadamente e
destruindo os dados, uma vez que não há mais necessidade
de negócios para isso.
Ter um programa de ciclo de vida informativo em vigor é
importante para minimizar o risco para as organizações e os
titulares de dados aos quais os dados pertencem.
 
 
Princípios
1. Legalidade, justiça e transparência - mantenha-a legal e
justo; diga o que você vai fazer com os dados em termos
claros
2. Limitação de finalidade - não faça mais com os dados do
que você disse que faria
3. Minimização de dados - não colete mais dados do que o
necessário
4. Precisão - mantenha dos dados atualizados e lide com
imprecisões o mais rápido possível
5. Limitação de armazenamento - não mantenha os dados
por mais tempo do que o necessário
6. Integridade e confidencialidade - mantenha os dados
seguros enquanto você os possui
7. Responsabilidade - mostre que você está cumprindo os
princípios acima
 
Legalidade
Para que o processamento de dados pessoais seja legal, ele
deve atender aos critérios da lei e estabelecer claramente
qual dos discernimentos se aplica a qualquer situação.
Em essência, os critérios a serem escolhidos em relação à
legalidade do processamento são os seguintes:
1. O titular dos dados consentiu
2. É necessário estabelecer um contrato entre sua
organização e os dados a serem tratados
3. Você legalmente tem que fazer isso
4. Você está protegendo os interesses vitais do titular dos
dados
5. Deve ser do interesse público
6. É para seus interesses legítimos - desde que não afete os
direitos e liberdades do sujeito
Portanto, embora o consentimento seja um aspecto
importante do LGPD, não é a única maneira de que coletar e
processar dados pessoais pode ser legal. De fato, você pode
encontrar que uma proporção significativa dos dados
pessoais que sua organização possui e processos não
requerem consentimento; em vez disso, é necessário para
fins legais, como suporte aos clientes (contratuais), ou lidar
com a autoridade tributária (legal). O processo de obter e
manter o consentimento pode envolver alterações nos
processos de negócios de sistemas.
 
Consentimento
Se você acredita que seu processamento é legal porque
possui o consentimento do titular dos dados, você deve
poder comprová-lo. Você não pode ocultar o termo de
consentimento entre outras divagações contratuais e pode
fugir disso.
Uma vez dado, o consentimento pode ser retirado a qualquer
momento pelo titular dos dados, e isso deve ser tão fácil
quanto antes.
Direitos do titular dos dados
A LGPD estabelece um conjunto de direitos que o titular dos
dados pode exercer e ao qual o controlador que possui seus
dados pessoais deve reagir e responder, geralmente em um
mês.
O direito de ser informado. O ser informado de que
dados serão coletados, porque, por quem, para que
finalidade e para onde os dados irão.
O direito de acesso. A garantia de ver dados pessoais
mantidos.
O direito à retificação. A garantia da correção dos
dados se estiverem errados ou imprecisos.
 O direito de remoção. A garantia de remover dados
pessoais quando não forem mais necessários
O direito de restringir o processamento. A garantia de
interromper o processamento dos dados, se houver
motivos para fazê-lo
O direito à portabilidade de dados. A garantia de obter
os dados de forma transportável e movê-los para um
processador alternativo
O direito de impedimento. A garantia de impedir que os
dados sejam processados.
Esses direitos seguem os princípios que discutimos
anteriormente e visam garantir que os dados pessoais
sejam processados de forma justa e transparente e que o
titular dos dados possa fazer algo a respeito se isso não
acontecer.
 
Oficial de proteção de dados
Dependendo da sua organização e do que ela faz com os
dados pessoais, você pode ou não precisar de um
responsável pela proteção de dados.
Você terá que designar um se:
Você é uma autoridade ou órgão público
Você monitora os titulares dos dados em larga escala
Grandes volumes de dados de categorias especiais
estão envolvidos
Os responsáveis pela proteção de dados podem ser de meio
período, podem ser compartilhados entre organizações e
podem ser recursos ou serviços externos. Eles devem
permanecer independentes e seus detalhes de contato
devem estar disponíveis gratuitamente, especialmente para
os titulares dos dados.
O responsável pela proteção de dados é o principal contato
com a autoridade supervisora e provavelmente se envolverá
quando os principais problemas de privacidade e proteção de
dados forem abordados na organização, como durante as
avaliações de impacto na proteção de dados.
O responsável pela proteção de dados precisará ter pleno
conhecimento da lei de proteção de dados para cumprir a
função.
 
Avaliações de impacto na proteção de dados
Para estabelecer uma cultura em que a privacidade dos
dados seja incorporada a novos processos e sistemas, em vez
de acrescentada como uma reflexão tardia, a LGPD exige que
sejam realizadas avaliações de impacto na proteção de dados
onde os riscos envolvidos para os titulares de dados sejam
razoavelmente sentidos estar alto. Esse processo envolve a
compreensão dos dados pessoais envolvidos e a abordagem
de riscos prováveis através do uso de controles apropriados,
para que a proatividade, e não a reatividade, esteja na ordem
do dia.
 
Transferências internacionais
O envio de dados pessoais de cidadãos brasileiros levanta questões sobre a
proteção dos dados e  impõe restrições sobre como isso pode ser feito. Para ser
útil, a ANPD decidirá regularmente em quais países teremos relação de confiança
para cuidar dos dados pessoais dos brasileiros  e publicará uma lista daqueles
considerados aceitáveis. Outras maneiras de obter aprovação são:

Um acordo juridicamente vinculativo (apenas organismos públicos).

Regras corporativas vinculativas.
Usando cláusulas padrão em seu contrato.
Assinatura de um código de conduta ou esquema de certificação
aprovado.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
7 - Aplicando os passos iniciais para deixar a
organização em conformidade com a LGPD
 
 
1.    Compromisso de gerenciamento da segurança
 
Antes de iniciar um projeto para alcançar a conformidade com a LGPD, é muito
importante garantir o compromisso da alta gerência. Esse é provavelmente o fator
mais significativo neste projeto.

 
2.    Definir funções e responsabilidades
 
É importante estabelecer desde o início quem fará o que,
tanto no seu projeto inicial para cumprir a LGPD, quanto para
a proteção a longo prazo dos dados pessoais que você
possui. O documento Responsabilidades e Autoridades de
Funções da LGPD define várias funções, incluindo um grupo
diretor de segurança da informação para supervisionar a
maneira como a proteção de dados é controlada, um gerente
de segurança da informação e, mais importante, a
informação dos proprietários com o maior envolvimento
diário com os dados em questão. Se ainda não estiver
alocado, é necessário tomar decisões sobre quem cumprirá
essas funções, incluindo o potencial recrutamento.
A única função que é explicitamente mandatada na LGPD é a
do DPO (Encarregado ou Data Protection Officer). Como
mencionamos, você pode ou não precisar nomear um deles.
Se você é um órgão público, não há decisão a ser tomada;
caso contrário, pode ser necessário obter visualizações de
diferentes perspectivas da empresa sobre se você manipula
dados pessoais em uma escala que pode ser considerada
grande.
Se você precisar de um DPO, precisará decidir se deve
nomear internamente, compartilhar um recurso com uma ou
mais organizações similares ou contratar um serviço de
terceiros.
Matriz RACI
A Matriz de Responsabilidades é uma ferramenta de gestão
de pessoas, que define as atribuições de responsabilidades e
atividades para todos os colaboradores envolvidos em
determinado projeto.
Por meio dessa Matriz, é possível ter controle sobre quem é e
o que está fazendo o responsável por cada atividade, seja a
pessoa que toma as decisões ou quem dá suporte aos outros
membros da equipe. Esse documento é uma espécie de
resumo do cronograma de um projeto, pois é mais enxuto e
visa apenas elencar as atividades e os responsáveis por
executá-las.
Na Matriz não cabem tantos detalhes, pois o seu intuito é ser
uma ferramenta prática para apresentar em uma reunião
inicial de projeto, por exemplo. Por isso, deve ser sucinta. O
seu formato pode ser em tabela, planilha, mapa, entre
outros.
A Matriz de Responsabilidade também é conhecida como
Matriz RACI, devido ao significado da sigla, que corresponde
às iniciais das seguintes palavras em inglês:
Responsible (Responsável): é o encarregado de
executar uma determinada tarefa do processo. As
entregas devem ser realizadas por esse colaborador,
que foi quem realizou a atividade.
Accountable (Aprovador ou Responsabilizado;
imputável): é a pessoa com autonomia para aprovar
uma atividade, e que será responsabilizada caso algo
não saia como o esperado na entrega. O(a)
aprovador(a) acompanha a realização do processo,
concede a permissão para que ele seja iniciado, entre
outras tarefas. Em geral, costuma ser o dono do
processo, supervisor ou gerente que assume essa
função.
Consulted (Consultado): é quem deve ser
consultado no momento das decisões e/ou execuções
das atividades, ou seja, contribui diretamente para a
realização do processo. O consultado não precisa
necessariamente fazer parte da organização, e pode
dar dicas e sugestões de ajustes e melhorias, pois é
especialista na área específica.
Informed (Informado): é a pessoa que precisa ser
informada sobre qualquer coisa pertinente às
atividades ou entregas, como o andamento do
processo, performance dos colaboradores e prazos de
entregas.
A Matriz de Responsabilidades também pode ser utilizada
de outras maneiras, e não somente com os princípios
 RACI. Uma opção é fazer uso dos verbos, por exemplo:
executar, desenvolver, implantar, cotar, comprar, aprovar,
desenhar, definir, revisar, apoiar, entre outros. Dessa
forma, é possível atribuir qual colaborador envolvido no
projeto é responsável por cada atividade, de acordo com o
setor ou conhecimentos necessários.
 
Exemplo de matriz RACI:

Com a Matriz, você consegue garantir alguns benefícios para

o seu negócio, tais como:
Eliminar confusões no momento de atribuir as
responsabilidades;
Ter mais clareza no entendimento das atribuições, pois
todos sabem qual a sua função e a de outros;
Evitar falhas de comunicação entre a equipe, uma vez
que é possível acompanhar em qual etapa o processo
está e com quem.
 
3.    Comunicação, conscientização e treinamento
 
Depois de iniciar seu projeto e definir quem desempenhará
qual papel, há muito valor em aumentar a conscientização
geral sobre a LGPD e a segurança da informação em geral,
para que as pessoas saibam o que é e por que é importante.
O público-alvo incluirá várias partes interessadas, como
fornecedores e contratados, além de funcionários, e é útil
criar um programa gerenciado de comunicação para que isso
aconteça regularmente.
Você também precisa identificar as necessidades de
treinamento das pessoas que estão assumindo as várias
funções envolvidas na obtenção da conformidade de forma
contínua. Isso pode ser feito definindo quais competências
são necessárias e, em seguida, conduzindo um exercício de
comparação por questionário para encontrar as lacunas;
estes podem ser preenchidos através de uma combinação de
treinamento formal e informal, incluindo cursos, seminários
on-line, seminários, livros e, é claro, a leitura do próprio
regulamento. Normalmente, é necessário treinamento em
áreas como mapeamento de dados, impacto na proteção de
dados, avaliações e gerenciamento de incidentes.
Documentos / modelos necessários:
Programa de Comunicação LGPD.
Apresentação do LGPD.
Procedimento de Desenvolvimento de Competências
LGPD.
Questionário de desenvolvimento de competências do
LGPD.
Treinamento de conscientização sobre segurança da
informação.
Atas de Reunião.
 
4.    Inventário de dados pessoais
 

Quando o seu time estiver pronto, a próxima etapa é fazer

uma análise da maneira como os dados pessoais são
coletados, armazenados, processados, transferidos e
descartados na sua organização. Existem muitas maneiras de
representar isso, mas a maioria se resume a desenhar
diagramas do fluxo e registrar as informações relevantes em
uma planilha.
Você precisará envolver as pessoas responsáveis por coletar
e processar os dados diariamente para garantir que seja
obtida uma imagem o mais completa possível. Você pode
fazer isso organizando oficinas e usando quadros brancos e
notas autoadesivas, ou pode enviar uma planilha para eles e
pedir que eles a concluam, ou você pode fazer as duas
coisas; o que se encaixa na cultura da sua organização.
O importante aqui é entender os principais fatos, como os
itens de dados que estão sendo coletados, para qual
finalidade, por qual método (por exemplo, no site,
pessoalmente, em papel), onde, como e por quanto tempo os
dados são coletados, armazenados e para onde são enviados.
Isso ajudará a identificar quaisquer controles adicionais que
precisam ser aplicados a ele (como criptografia, por exemplo)
e a estabelecer a base legal sob a qual podem ser coletados
e processados (por exemplo, consentimento contratual).
A abordagem geral que você decide adotar em relação à
retenção de dados pode ser refletida na Política de Retenção
e Proteção de Registros.
O Inventário de Dados Pessoais representa o documento
primordial para documentar o tratamento de dados pessoais
realizados pela instituição em alinhamento ao previsto pelo
art. 37 da Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral
de Proteção de Dados Pessoais (LGPD).
O que é
O Inventário de Dados Pessoais – IDP consiste no registro das
operações de tratamento dos dados pessoais realizados pela
instituição (LGPD. Art. 37).
De uma forma geral, esse registro mantido pelo IDP envolve
descrever informações em relação ao tratamento de dados
pessoais realizado pelo órgão ou entidade como:
• atores envolvidos (agentes de tratamento e o
encarregado);
 • finalidade (o que a instituição faz com o dado
pessoal);
• hipótese (arts. 7º e 11 da LGPD);
• previsão legal;
• dados pessoais tratados pela instituição;
• categoria dos titulares dos dados pessoais;
• tempo de retenção dos dados pessoais;
• instituições com as quais os dados pessoais são
compartilhados;
• transferência internacional de dados (art. 33 LGPD); e
• medidas de segurança atualmente adotadas.
O IDP representa um documento importante de governança
de dados pessoais e de subsídio para avaliação de impacto à
proteção de dados pessoais com vistas a verificar a
conformidade da instituição no que se refere ao preconizado
pela LGPD.
Estruturação
 
A estrutura do IDP apresentado neste documento é inspirado
nos modelos propostos pelas autoridades de proteção de
dados da França1, Bélgica2 e Inglaterra3. O inventário foi
estruturado em formato de planilha eletrônica, disponível no
link <https://www.gov.br/governodigital/pt-br/governanca-de-
dados/TemplateInventariodadospessoais.xlsx>.
A planilha eletrônica que representa o template do IDP é
composta por 4 divisões denominadas:
• “1-Orientações” – orientações gerais sobre preenchimento
do template;
• “2-Lista Inventário” – lista geral dos serviços/processos de
negócio institucionais que realizam o tratamento de dados
pessoais;
• “3-Template” – modelo de inventário de dados pessoais a
ser elaborada para cada serviço/processo de negócio da
instituição; e
• “4-Listas” – apresenta uma sugestão de informações para
preenchimento do inventário de dados com valores
padronizados. A lista não é exaustiva e por isso pode ser
ajustada de acordo com a realidade de cada instituição.
 
Como elaborar o inventário de dados pessoais
 
O formulário de IDP apresentado neste livro constitui uma
sugestão para auxiliar os órgãos e entidades, que exercem
papel de controlador de dados pessoais, na elaboração de
inventário de dados pessoais. Dessa forma, e caso seja
considerado pertinente pela instituição, o modelo de IDP
pode ser adaptado para se adequar a cada contexto
particular. A figura a seguir destaca as fases de elaboração
do inventário.
As fases acima destacadas em azul representam os
elementos mínimos para o IDP, as destacadas em laranja
representam levantamento complementar no inventário de
informações que auxiliarão a elaboração do Relatório de
Impacto de Proteção de Dados Pessoais - RIPD4 (CCGD, 2020)
e a destacada em verde corresponde à identificação inicial de
contrações a serem avaliadas na análise de adequação
contratual. Importante ressaltar que todas as informações do
IDP subsidiarão o RIPD.
Além da proteção de dados, nas organizações, órgãos e
entidades muitas vezes estão sujeitos a vários outros
regulamentos que têm suas próprias obrigações de
documentação, especialmente em setores como seguros e
finanças. Se a organização está sujeita a tais requisitos
regulamentares, então é provável que já exista uma
estrutura de governança de dados estabelecida em vigor que
suporta seus procedimentos de documentação existentes;
pode até se sobrepor aos requisitos de manutenção de
registros da LGPD. Nesse caso, a LGPD não proíbe de
combinar e incorporar a documentação de suas atividades de
tratamento de dados pessoais com as práticas existentes de
inventário de dados. Mas deve-se ter cuidado para garantir
que pode cumprir os requisitos do art. 37 da LGPD, se
necessário, ajustando sua estrutura de governança de dados
para inventariar os dados pessoais.
 
 
 
5.    Avaliações de impacto na proteção de dados
 
Esta é uma área relativamente nova para muitas
organizações, mas claramente definida pela LGPD. Novos
projetos e mudanças significativas nos processos existentes
precisarão considerar cuidadosamente o impacto nos dados
pessoais como parte de sua avaliação e planejamento, com
controles apropriados, com base em uma avaliação justa dos
riscos. Se você tiver um processo de projetos, será
necessário avaliá-lo com relação a Lei; a LGPD declara que
isso é necessário apenas onde houver um risco alto, mas
você pode achar que é uma boa ideia realizar essas
avaliações como uma questão de curso para cada projeto.
Documentos / modelos necessários ter:
Processo de avaliação de impacto na proteção de
dados
Questionário de Avaliação de Impacto na Proteção de
Dados
Pasta de trabalho de avaliação de impacto na proteção
de dados
Relatório de Avaliação de Impacto na Proteção de
Dados
Procedimento de avaliação da LGPD do fornecedor
Formulário de Avaliação da LGPD do Fornecedor
6.    Preparar para violações de dados pessoais
 

Atualmente, o consenso no setor de segurança da informação

não é se uma organização sofrerá uma violação de
segurança, mas quando; e isso já pode ter acontecido, mas
você simplesmente não sabe. Portanto, ter um GUIA DE
IMPLEMENTAÇÃO da LGPD e um procedimento de
gerenciamento de incidentes é obrigatório. A LGPD exige em
que sua autoridade supervisora seja informada sobre
violações conhecidas que representam um alto risco para os
titulares de dados e é específica sobre os prazos e as
informações que devem ser fornecidas.
Documentos:
Procedimento de resposta a incidentes de segurança da
informação
 Procedimento de notificação de violação de dados
pessoais
Formulário de notificação de violação de dados
pessoais
Registro de Violação de Dados Pessoais
 
7.    Analisar transferências internacionais
 
Além de proteger os dados pessoais em sua própria
organização, você também precisa pensar para onde mais os
envia e como estão protegidos lá. Esta é uma área envolvida
e pode ser um assunto longo e prolongado ou simples e
oportuno, dependendo de como os requisitos da LGPD sejam
compreendidos. O primeiro passo é saber quais dados você
envia para onde e por quê. Você tem várias opções
disponíveis para aplicar à transferência, dependendo de
fatores como o destino, tipo de dados e finalidade.
Transferências internacionais de dados pessoais para ajudá-lo
a escolher seu caminho e entender o que precisa ser feito.

8 – Entendo o que é uma Política de

Privacidade
 
 
A Política de Privacidade é um documento informativo pelo
qual o prestador de serviço transparece ao usuário a forma
como o serviço realiza o tratamento dos dados pessoais e
como ele fornece privacidade ao usuário. A Política de
Privacidade, que faz parte do Termo de Uso, origina-se da
responsabilidade de os agentes de tratamento de dados
serem transparentes com o titular de dados e informarem
como as atividades de tratamento de dados atendem os
princípios dispostos no artigo 6º LGPD. Portanto, o
documento é, ao mesmo tempo, um dever do controlador e
um direito do titular. Assim, de acordo com o Guia de
elaboração de Termo de Uso e Política de Privacidade, o
serviço deve informar ao titular do dado como ele fornece a
privacidade necessária para que a confidencialidade dos
dados prestados pelos titulares dos dados seja garantida de
forma eficiente e como os princípios abaixo são atendidos.
As políticas devem conter:
Justificação – esclarecimento da necessidade
Escopo – que tópicos e aspectos são cobertos pela
política
Definições de contatos (papéis) e suas
responsabilidades ( RACI )
Objetivo – Descrição sobre o que se pretende alcançar
e como se relaciona com os objetivos estratégicos da
organização
Explicar como as violações de dados serão tratadas
 
As políticas precisam ser:
Explícitas (documentadas) e concisas
Apoiadas por processos e procedimentos que produzem
“evidências” de conformidade
Auditável (capaz de comprovar a conformidade) e
exequível
Capaz de ser implementada e fácil de entender
 
Conformidade de políticas e procedimentos
As políticas e procedimentos em uma organização devem ser
capazes de cumprir a legislação de proteção de dados.
As organizações que já possuem processos para gerenciar a
conformidade com as leis atuais de proteção de dados e
privacidade precisarão fazer ajustes para garantir que
estejam cumprindo com os novos requisitos da LGPD.
Assumindo que seu programa de conformidade atual já esteja
alinhado com a Diretiva de Proteção de Dados ( DPD ), será
relativamente simples comparar seus requisitos atuais
estabelecidos com os da LGPD.
Modelo de 4 etapas para ajudar na transição de negócios
mantendo conformidade com a LGPD:

 
 
 
 
 
 
 
 
 
 
 

9 – Desenvolvendo o Sistema de
Gestão de Proteção de Dados – SGPD
 
O objetivo deste sistema é o gerenciamento dos dados e a
mitigação dos riscos de proteção a privacidade de dados. O
sucesso na implementação deste programa em sua
organização é o passo crucial para a adequação a
LGPD.
 

A maioria das organizações não estão cientes da proteção de

dados e privacidade, bem como outros riscos cibernéticos
que enfrentam seus dados e sistemas de informação.
Estes riscos podem ser causados por invasores mal-
intencionados: pessoas de dentro da organização, sistemas
ou pessoas externas.
Os invasores visam roubar informações e dados confidenciais
da organização, como registro de clientes, registros de
salários, registros de saúde de funcionários, dados de
pesquisa, propriedade intelectual, registros financeiros,
informações pessoais etc. Porque os dados têm alto valor.
Dados corporativos também estão em risco devido a
funcionários descuidados e negligentes, e por falta de
controle sobre outras contas de usuário que possuem níveis
elevados de acesso, como parceiros e consultores.
As empresas ainda enfrentam os riscos de multas se não
cumprirem as várias regulamentações de Proteção de Dados
e Privacidade.
Tudo isso faz com que seja fundamental para a empresa
projetar, desenvolver e implementar seu próprio Sistema
Integrado de Proteção de Dados e Privacidade (SGPD)
para gerenciar melhor seus dados e mitigar os riscos.
Este sistema deve ser baseado numa metodologia, uma
estratégia e um conjunto de políticas, procedimentos e várias
ferramentas técnicas (por exemplo, software, questionários,
listas de verificação etc.).
O SGPD consiste nas 5 fases:
1. Preparação da proteção e privacidade de dados
2. Organização
3. Desenvolvimento e Implementação
4. Proteção de dados e governança de privacidade
5. Avaliação e Melhoria da Proteção de Dados e
Privacidade
 
Preparação da proteção e privacidade de dados
Objetivos
Analisar os requisitos e necessidades de Proteção e
Privacidade.
Compilar as leis, regulamentos e normas relevantes.
Estabelecer um plano de ação com os recursos
necessários para a conformidade.
Etapas e ações
Realizar análise de privacidade.
Recolher as leis de privacidade.
Analisar o impacto da conformidade em privacidade no
negócio.
Auditar e avaliar os dados iniciais.
Estabelecer a organização de governança de dados.
Estabelecer os fluxos de dados e inventário de dados
pessoais.
 Estabelecer o programa de Proteção de Dados e
Privacidade.
Desenvolver os planos de implementação.
 
Produtos
Relatório de análise.
Manual de legislação.
Relatório de auditoria de dados pessoais.
Sistema de fluxo de dados.
Inventário de dados pessoais.
Políticas.
Plano de treinamento.
Programa de proteção de dados.
Relatório e orçamento da organização de proteção de
dados.
Planos de implementação.
 
Resultado
O resultado é preparar toda a organização para ser mais
eficaz e consciente com os riscos de Proteção de Dados e
Privacidade, administrá-los e resolvê-los para que não ocorra
impacto nas operações, no nome, na marca e nos lucros.
 
Organização
Objetivos
Projetar e configurar o Programa de Privacidade de
Dados Pessoais.
Nomear o encarregado de proteção de dados (DPO).
Envolver e obter o compromisso de todas as partes
interessadas.
 
Etapas e ações
 Gerenciar o programa de proteção de dados, políticas e
ferramentas de governança.
Atribuir e gerenciar responsabilidades de proteção de
dados (RACI).
Gerenciar o envolvimento da gerência sênior.
Gerenciar compromisso
Gerenciar comunicações regulares
Gerenciar o envolvimento das partes interessadas
Implementar e operar sistemas automatizados de
proteção de dados.
 
Produtos
Estratégia atualizada.
Programa atualizado.
Controles de governança atualizados.
Anúncio da nomeação do DPO.
Comunicações relativas a todas as questões
relacionadas com a privacidade e proteção de dados.
Funções e responsabilidades como parte da descrição
formal de cargos (RACI).
Sistemas automatizados de proteção de dados.
 
Resultado
O resultado é estabelecer as estruturas organizacionais de
Proteção de Dados e Privacidade na organização para melhor
proteção de dados e implementação de privacidade.
 
Desenvolvimento e Implementação
Objetivos
Projetar um sistema de classificação de dados.
Desenvolver e implementar políticas, procedimentos e
controles.
 
Etapas e ações
Desenvolver e implementar estratégias, planos e
políticas, à partir das necessidades e requisitos da
organização.
Implementar o procedimento de aprovação para
processamento.
Registrar bancos de dados para dados pessoais.
Desenvolver e implementar um sistema de
transferência de dados transfronteiriço.
Executar atividades de integração.
Executar o plano de treinamento.
Implementar controles de segurança de dados.
 
Produtos
Sistema de classificação de dados pessoais.
Procedimento para aprovação de processamento de
dados.
Documento de registro de banco de dados de dados
pessoais.
Sistema de transferência de dados transfronteiriço.
Atividades de integração concluídas.
Atividades de treinamento concluídas.
Controle de segurança de dados implementados.
 
Resultado
Desenvolver e implementar um conjunto de medidas de
proteção e privacidade dados para controlar o fluxo dos
dados dentro da organização.
 
Governança
Objetivos
Projetar e configurar estruturas de governança.
 Envolver e comprometer todas as partes interessadas
relevantes.
Relatar todos os problemas de Proteção de Dados e
Privacidade (processo contínuo).
 
Etapas e ações
Implementar práticas para gerenciar o uso de dados
pessoais.
Manter avisos de privacidade sobre dados pessoais.
Executar plano de solicitações, reclamações e
retificação.
Executar avaliação de risco de proteção de dados.
Emitir relatórios de Proteção de Dados e Privacidade.
Manter documentação sobre privacidade de dados.
Estabelecer e manter plano de resposta a violação de
dados.
 
Produtos
Estratégia atualizada.
Política de proteção de dados.
Procedimentos para manter avisos de proteção de
dados.
Solicitações, reclamações e plano de retificação.
Processo de avaliação de risco.
Plano de gerenciamento de riscos de terceiros.
Relatório / Notificação de Proteção de dados e
Privacidade.
Documentação de proteção de dados.
Plano de resposta à violação de dados.
 
Resultado
Estabelecer estruturas de governança de Proteção de Dados
e Privacidade para o melhor gerenciamento dos dados e da
privacidade na organização.
Com a implementação de procedimentos, políticas e
controles já será possível a demonstração de conformidade
com a LGPD.
 
 
Avaliação e Melhoria
Objetivo
Monitore a operação e resolução de todas as questões
relacionadas à privacidade.
Avaliar regularmente a conformidade com processos e
políticas internas.
Melhorar a proteção de dados e medidas de
privacidade.
 
Etapas e ações
Realize auditorias internas.
Envolva os terceiros e parceiros nas avaliações.
Realizar avaliações e estabelecer benchmarks.
Execute o RIPD para cada novo negócio.
Execute relatório de análise de riscos.
Monitore as leis e regulamentos.
 
Produtos
Relatório de auditoria interna.
Relatório de auditoria externa.
Relatórios de avaliação.
Relatório de autoavaliação.
Relatórios do RIPD.
Relatório dos riscos resolvidos.
Monitorando o relatório de leis de privacidade.
 
Resultado
Auditar os aspectos de privacidade e proteção de dados na
organização, para encontrar lacunas e erros nas medidas e
controles implementados relacionados à proteção de dados e
privacidade. Agende ações para melhorá-los.
 
Resumo da Documentação requerida para
compliance com a LGPD
Recomenda-se a geração, análise e correção dos dados do
relatório de impacto a proteção de dados de forma
recorrente, independentemente do tipo de função da
organização.
Antes de realizar o RIPD (Relatório de Impacto a Proteção de
Dados), é necessário catalogar todo o tipo de tratamento de
dados que a empresa realiza. Feito isso, deve-se verificar
quais tratamentos podem ensejar elevado risco aos titulares
de dados. A LGPD exige que seja realizada uma análise de
impacto específica, para que a própria empresa busque
medidas que minimizem o risco inicialmente diagnosticado.
Caso o risco ainda seja alto após a efetivação do RIPD, a
Autoridade de Proteção de Dados competente deve ser
consultada.
Art. 6º As atividades de tratamento de dados pessoais
deverão observar a boa-fé e os
seguintes PRINCÍPIOS:
X - Responsabilização e prestação de contas:
demonstração, pelo agente, da adoção de medidas eficazes e
capazes de comprovar a observância e o cumprimento das
normas de proteção de dados pessoais e, inclusive, da
eficácia dessas medidas.
 
Ninguém faz nada sozinho
Não comece pela ferramenta, comece pelo processo. A ferramenta é escrava do
processo.
 

10 - Cookies e a Privacidade
 
 
Um cookie é um pequeno arquivo de letras e números que é
baixado no seu computador quando você visita um site. Os
cookies são usados por muitos sites e podem fazer uma série
de coisas, por exemplo, lembrar suas preferências, registrar o
que você colocou em sua cesta de compras e contar o
número de pessoas que acessam um site.
Você pode encontrar informações sobre cookies e tecnologias
semelhantes em sites e ter opções sobre como alguns
cookies são usados. Isso pode incluir, por exemplo, ser
solicitado a concordar com o uso de um cookie para um
serviço específico, como lembrar suas preferências em um
site.
As organizações devem fornecer informações claras e
abrangentes sobre a forma como usam cookies e garantir
que, para qualquer cookie não estritamente necessário para
seu site, elas forneçam a você um meio apropriado de
consentir que esse cookie seja definido em seu dispositivo.
 
Tipos de cookies
 
Cookies de Geolocalização
Esses cookies indicam sua localização. De qual país ou região
você está navegando.
 
Cookies de Interações de pesquisa
Cookies podem guardar também informações preenchidas
em formulários e pesquisas.
 
Cookies de publicidade
Não é muito bom saber qual foi o último anúncio que você
viu para não repetir, ou aquele que não interessa a você para
que não seja mais exibido? Esses cookies identificam suas
preferências e exibem conteúdo publicitário a partir das suas
preferências.
 
 
 
 
 
 
 
11 - Relatório de Impacto à Proteção
de Dados Pessoais (RIPD)
 

O RIPD representa um instrumento importante de verificação

e demonstração da conformidade do tratamento de dados
pessoais realizado pela instituição e serve tanto para a
análise quanto para a documentação do tratamento dos
dados pessoais. O RIPD visa descrever os processos de
tratamento de dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais, bem como
medidas, salvaguardas e mecanismos de mitigação de risco.
 
Etapas de um RIPD
 1. Identifique a necessidade da demanda do relatório
2. Descrever os fluxos de informação
3. Identifique a privacidade e os riscos relacionados
4. Identifique e avalie as soluções de privacidade
5. Assinar e registrar os resultados
6. Integrar os resultados no plano do projeto
7. Consultar todas as partes interessadas internas e
externas na organização
 
Após a aprovação, você deve integrar os resultados de seu
DPIA de volta ao seu plano de projeto e manter seu DPIA sob
revisão. Ao longo desse processo, você deve consultar
indivíduos e outras partes interessadas, conforme necessário.
O processo RIPD é projetado para ser flexível e escalonável.
Você pode criar um processo que se ajuste à sua abordagem
existente para gerenciar riscos e projetos, contanto que
contenha esses elementos-chave.
Você também pode dimensionar o tempo e os recursos
necessários para que um RIPD se ajuste à natureza do
projeto. Não precisa ser um processo demorado em todos os
casos.
Um único RIPD pode ser usado para avaliar várias operações
de processamento que são semelhantes.
Quem é responsável pelo RIPD?
Você pode decidir quem tem a responsabilidade de realizar
RIPD em sua organização e quem os assina. Você pode
terceirizar seu RIPD, mas continua responsável por ele. Se
você tiver um encarregado de proteção de dados (DPO), deve
pedir conselhos sobre o seu RIPD e documentá-lo como parte
do processo.
Você pode pedir a um processador para realizar um RIPD em
seu nome se ele fizer a operação de processamento
relevante, mas, novamente, você permanece responsável por
isso.
 
Quem deve ser envolvido no RIPD?
Especialista no processo do negócio;
Um DPO, se você tiver um;
Equipe de segurança da informação;
Quaisquer processadores; e
Consultores jurídicos ou outros especialistas, quando
relevante.
 
Etapa 1 - Como saber se vou precisar executar o RIPD?
Peça conselho ao seu DPO. Se você tiver algum projeto
importante que envolva o uso de dados pessoais, é uma boa
prática fazer um RIPD. Se você já pretende fazer um DPIA, vá
direto para a etapa 2.
Caso contrário, você precisa verificar se o seu processamento
está na lista de tipos de processamento que requerem um
RIPD automaticamente. Caso contrário, você precisa verificar
outros fatores que podem indicar que é um tipo de
processamento que provavelmente resultará em alto risco,
como o processamento de dados de indivíduos vulneráveis.
Se você fizer esta triagem e decidir que um RIPD não é
necessário, você deve documentar sua decisão e as razões
para isso, incluindo o conselho de seu DPO. Isso não precisa
ser um exercício burocrático oneroso. Ele só precisa ajudá-lo
a demonstrar que considerou e cumpriu adequadamente
suas obrigações de DPIA. Por exemplo, você pode
simplesmente manter uma cópia anotada da lista de
verificação.
Em caso de dúvida, recomendamos fortemente que você faça
um RIPD.
 
Etapa 2 – Como eu descrevo o processamento dos
dados?
Descreva como e por que você planeja usar os dados
pessoais. Sua descrição deve incluir “a natureza, escopo,
contexto e propósitos do processamento”.
A natureza do processamento é o que você planeja fazer
com os dados pessoais. Isso deve incluir, por exemplo:
como você coleta os dados;
como você armazena os dados;
como você usa os dados;
quem tem acesso aos dados;
com quem você compartilha os dados;
se você usa algum processador;
períodos de retenção;
medidas de segurança;
se você está usando novas tecnologias;
se você está usando algum novo tipo de
processamento; e
quais critérios de triagem você sinalizou como de alto
risco provável.
O escopo do processamento é o que o processamento
cobre. Isso deve incluir, por exemplo:
a natureza dos dados pessoais;
o volume e a variedade dos dados pessoais;
a sensibilidade dos dados pessoais;
a extensão e a frequência do processamento;
a duração do processamento;
o número de titulares de dados envolvidos; e
área geográfica coberta.
 
O contexto do processamento é o quadro mais amplo,
incluindo fatores internos e externos que podem afetar as
expectativas ou impacto. Isso pode incluir, por exemplo:
 a fonte dos dados;
a natureza de seu relacionamento com os indivíduos;
até que ponto os indivíduos têm controle sobre seus
dados;
até que ponto os indivíduos provavelmente esperam o
processamento;
se esses indivíduos incluem crianças ou outras pessoas
vulneráveis;
qualquer experiência anterior neste tipo de
processamento;
quaisquer avanços relevantes em tecnologia ou
segurança;
quaisquer questões atuais de interesse público;
 
O objetivo do processamento é a razão pela qual você
deseja processar os dados pessoais. Isso deve incluir:
seus interesses legítimos, quando relevante;
o resultado pretendido para os indivíduos; e
os benefícios esperados para você ou para a sociedade
como um todo.
 
Etapa 3 – Devemos consultar os titulares dos dados?
Você deve buscar e documentar as opiniões dos titulares (ou
de seus representantes), a menos que haja um bom motivo
para não o fazer.
Na maioria dos casos, deve ser possível consultar titulares de
alguma forma. No entanto, se você decidir que isso não é
apropriado, você deve registrar essa decisão como parte de
seu RIPD, com uma explicação clara. Por exemplo, você pode
demonstrar que a consulta comprometeria a
confidencialidade comercial, prejudicaria a segurança ou
seria desproporcional ou impraticável.
Se o RIPD cobre o processamento de dados pessoais de
contatos existentes (por exemplo, clientes ou funcionários
existentes), você deve planejar um processo de consulta para
obter as opiniões desses titulares em particular ou de seus
representantes.
Se o RIPD cobrir um plano para coletar dados pessoais de
titulares que você ainda não identificou, pode ser necessário
realizar um processo de consulta pública mais geral ou
pesquisa direcionada. Isso pode assumir a forma de pesquisa
de mercado com um determinado grupo demográfico ou
entrar em contato com campanhas ou grupos de
consumidores relevantes para obter suas opiniões.
 

Etapa 3 – Deve-se consultar alguém mais?

Se você usar um processador de dados, pode ser necessário
solicitar informações e assistência. Seus contratos com
processadores devem exigir que eles ajudem.
Você deve consultar todas as partes interessadas internas
relevantes, em particular qualquer pessoa com
responsabilidade pela segurança da informação.
 
Exemplo de um RIPD (DPIA)
A avaliação de Impacto sobre a Proteção de Dados Pessoais
(AIPD) é uma ferramenta que permite avaliar
antecipadamente quais são os riscos potenciais aos quais os
dados pessoais são expostos com base nas atividades de
tratamento realizadas com eles. Na prática, o AIPD permite
determinar o nível de risco envolvido em um tratamento,
com o objetivo de estabelecer as medidas de controle mais
apropriadas para reduzi-lo a um nível considerado aceitável.
 
Data Protection [NOME DPO]
Office (DPO)
Empresa analisada [NOME EMPRESA ANALISADA]
Descrição Breve A empresa [XPTO], líder do
segmento de varejo de
eletrônicos, com matriz global na
Espanha, está sendo pressionada
pelo departamento jurídico pelo
crescente número de fraudes em
compras de clientes.
Muitos clientes estão utilizando
documentos falsificados, se
passando por outras pessoas, e
realizando a compra dos
produtos.
O Departamento Antifraudes
alinhou com o escritório global
que para diminuir a ocorrência de
fraudes iria criar um projeto
interno de biometria facial em
lojas, onde o atendente, no
momento da compra, solicitaria
que o cliente tirasse uma selfie do
seu rosto em um tablet que
rodaria um software de biometria
facial que armazenaria as fotos
no ambiente cloud do fornecedor.
Análise da O DPO da empresa XPTO, após
necessidade de se conhecimento do projeto, e de
realizar uma posse de seus conhecimentos em
avaliação de GDPR/LGPD solicitou que o comitê
impacto de de Privacidade de Dados da
privacidade de empresa realizasse uma avaliação
dados de impacto de privacidade de
dados.
Dentre os principais motivos para
realização, além do carácter
obrigatório por se tratar de
 avaliação sistemática de pessoas
físicas, com possibilidade de
criação de perfis (no caso dos
clientes fraudulentos); são
tratados dados sensíveis e em
larga escala, visto que a [NOME
EMPRESA] possui atendimento
físico em lojas em todos os
estados do Brasil.
Referência modelo Por se tratar de uma empresa de
avaliação de origem espanhola, o DPO global
impacto de propôs a suas filiais nos demais
privacidade de países que utilizassem o modelo
dados de DPIA disponibilizado pela
Agência Española de Protección
de Datos (AEPD):
https://www.aepd.es/herramientas
/gestiona.html
 
Devido ao elevado risco que o projeto acarretaria à
privacidade dos clientes da empresa XPTO, o DPO se
envolveu diretamente nas principais etapas de construção e
validação da avaliação de impacto, atuando principalmente
com caráter de Gestor da Privacidade dos titulares envolvidos
no processo de tratamento de dados pessoais:
 
Análise da Necessidade de realizar uma Avaliação de
Impacto sobre a Proteção de Dados Pessoais (AIPD):
Questionário Resposta Justificativa
O tratamento deve SIM Dentre os principais
ser analisado na motivos para
lista de tipos de realização,
processamento de além do carácter
dados publicados obrigatório por se
pela LGPD que tratar de avaliação
requerem um DPIA? sistemática de
pessoas físicas, com
 possibilidade de
criação de perfis (no
caso dos clientes
fraudulentos); são
tratados dados
sensíveis e em larga
escala, visto que a
[NOME DO
CONTROLADOR]
possui atendimento
físico em lojas em
todos os estados do
Brasil.
Haverá tratamento SIM Serão tratados dados
de categorias sensíveis e em larga
especiais de dados escala, visto que a
em grande escala? [NOME DO
CONTROLADOR]
possui atendimento
físico em lojas em
todos os estados do
Brasil.
Haverá tratamento SIM Serão tratados dados
de categorias biométricos dos
especiais de dados? clientes da empresa
[NOME DO
CONTROLADOR], pois
por meio de um
sistema de parceiro
(Operador), o cliente
irá tirar uma selfie do
seu rosto para
posterior análise
biométrica com o
documento oficial em
casos de suspeita de
fraude.
Com as operações NÃO A ideia inicial não é
de tratamento, os identificar hábitos ou
hábitos, comportamentos de
comportamentos, titulares, mas sim
preferências, contrastar uma
gostos, interesses, possível venda
entre outros, podem fraudulenta
ser determinados? pontualmente a partir
De pessoas de uma demanda do
identificadas ou Departamento
identificáveis? Antifraudes da
 empresa [NOME DO
CONTROLADOR].
Os tratamentos SIM Sim, os tratamentos
avaliados são serão respaldados pelo
baseados na adesão código de conduta da
a um código de [NOME DO
conduta dentro dos CONTROLADOR],
limites anexado à Política de
estabelecidos pela Proteção de Dados da
LGPD. empresa.
Os dados pessoais SIM Para os casos de
serão processados possível venda
para criar perfil, fraudulenta
categorizar / identificada
segmentar, pontualmente pelo
classificar / pontuar Departamento
ou tomar decisões? Antifraudes da [NOME
DO CONTROLADOR],
poderão sim ser
criados perfis de
clientes fraudulentos,
que não poderão ter
acesso aos serviços
prestados pela [NOME
DO CONTROLADOR].
No entanto, não será
uma decisão
automática da
ferramenta.
O tratamento NÃO Para assinar um
envolve dados de contrato ou realizar
menores em relação uma compra na
à proteção de empresa [NOME DO
dados? CONTROLADOR], faz-
se necessário ser
maior de idade.
O propósito do NÃO Não haverá
tratamento envolve diferenciação para
o uso específico de clientes com
dados de pessoas deficiência, caso seja
com deficiência ou dado o consentimento
qualquer outro do titular, no entanto,
grupo em situação não é o foco específico
de vulnerabilidade do projeto de
especial? biometria.
Os dados pessoais NÃO Utilizaram-se
anonimizados são tecnologias para
controlar o banco de
usados de maneira dados onde as
não irreversível? informações coletadas
serão armazenadas
(pseudoanonimização,
criptografia do banco
de dados e gestão de
acessos), no entanto,
não serão
implementados
controles de
anonimização
irreversível.
A base legal do SIM Apesar de que em
tratamento é o ternos legais, o
consentimento? Departamento Jurídico
requereu que fosse
utilizado o
embasamento legal
referente à Interesse
Legítimo do
Controlador, o DPO
preferiu por embasar o
tratamento pelo
consentimento, por
entender que além de
ser uma atividade que
pode soar invasiva
para o cliente,
também foi alinhado
comercialmente que
não seria interessante
para o exercício dos
serviços da [NOME DO
CONTROLADOR],
obrigar o cliente a tirar
uma selfie. Dessa
forma, para que o
cliente tire a foto,
antes da tela principal
do aplicativo, surge
uma mensagem onde
o cliente deve
assinalar por meio de
um combo box que
está consentindo com
o tratamento para sua
biometria.
A partir do SIM Caso seja confirmada
tratamento dos a fraude após a venda
dados, as decisões do serviço, o contrato
tomadas podem com o cliente poderá
afetar ou prejudicar ser quebrado, e a
significativamente decisão de uma ação
as pessoas de judicial caberá ao
alguma forma? Departamento Jurídico
da [NOME DO
CONTROLADOR].
Os dados do cliente NÃO Os tratamentos serão
são processados de uso interno da
para realizar tarefas [NOME DO
de gerenciamento CONTROLADOR], não
de pagamentos alimentarão nenhuma
atrasados ou usar base de dados
arquivos externos externa.
para proteção de
crédito?
Os dados NÃO O intuito do projeto
relacionados à não é realizar
observação observação
sistemática em sistemática em acesso
grande escala das público.
áreas de acesso
público serão
processados?
O tratamento NÃO A utilização da base de
implica que um dados após entrada
número grande de em produção do
pessoas (além sistema será de uso
daquelas restrito ao
necessárias para Departamento de
realizar o mesmo) Antifraude da [NOME
tenha acesso aos DO CONTROLADOR].
dados pessoais Qualquer acesso
processados? Por pontual por outra área
exemplo, um (Exemplo: Jurídico ou
departamento que Comercial) ocorrerá
não participa do apenas de demandado
tratamento. pelo Departamento
Antifraude e após
aprovação da
Diretoria.
Para realizar este NÃO Não haverá acesso
tratamento, os externo se não
conjuntos de dados autorizado
são usados por formalmente pelo
outros gerentes de
tratamento cujo
propósito vai além
das expectativas
combinadas com o
titular?
O uso de SIM
tecnologias pode
ser percebido como
imaturo, recém-
criado ou trazido ao
mercado ou sob alto
risco de acesso não
autorizado previsto?
As transferências de SIM
dados são feitas
para outras
entidades, sejam do
mesmo grupo ou
fornecedores
externos? (se sim,
detalhe quais)
As transferências SIM
internacionais de
dados feitas para
países fora do
território brasileiro
que não possuem
Departamento
Antifraudes.
Apesar de tecnologias
de biometria já serem
utilizadas no país, esse
modelo de utilização a
âmbito nacional pode
trazer riscos ao
decorrer da utilização
do sistema em
produção. Dessa
forma, o DPO da
[NOME DO
CONTROLADOR]
prefere reduzir o risco
referente a acessos
não autorizados com a
aplicação de
diligências constantes
da equipe de
Segurança da
Informação na
empresa contratada
(Operador) e nas
interfaces sistêmicas
com o ambiente da
[NOME DO
CONTROLADOR].
O ambiente cloud em
que roda o aplicativo e
onde os dados
pessoais (no caso as
biometrias) são
transferidos para
[NOME DO
CONTROLADOR]; é de
responsabilidade da
empresa contratada
(Operador).
Os Datacenters da
[NOME DO
CONTROLADOR] e da
contratada são
localizados em Lisboa
e Buenos Aires.
medidas de
proteção de dados
pessoais são
semelhantes
àquelas
estabelecidas pela
Autoridade de
Controle? (se sim,
detalhe quais)
Você delegou SIM O ambiente cloud em
alguma das tarefas que roda o aplicativo e
que compõem o onde os dados
tratamento a um pessoais (no caso as
provedor externo à biometrias) são
entidade? (se sim, coletados, utilizados,
detalhe quais) acessados,
processados,
armazenados,
transferidos e
eliminados; é de
responsabilidade da
empresa contratada
(Operador).
Este tratamento é SIM Já ocorreram
semelhante ao outro processos de
para o qual foi implementação de
necessário realizar biometrias para
um DPIA? acesso de funcionários
ao prédio matriz da
[NOME DO
CONTROLADOR],
localizada na cidade
de São Paulo, onde
também foi necessária
a realização de um
DPIA similar a este.
Considera-se, SIM Como são tratados
independentemente dados sensíveis de
das questões clientes da [NOME DO
indicadas neste CONTROLADOR], em
formulário, que é larga escala no
aconselhável território nacional, o
realizar uma análise DPO considera que os
dos possíveis riscos riscos desse projeto à
para os dados proteção de dados dos
pessoais ao longo titulares devam ser
do ciclo de vida do mitigados
tratamento periodicamente e com
 (recolha, acompanhamento
armazenamento / direto do
classificação, Departamento de
utilização / Privacidade.
tratamento e
destruição)
 

Ciclo de Vida dos Dados:

Questionário Justificativa
Coleta dos Dados
Atividades do Solicitação pelo atendente de que
processo os clientes tirem selfie do próprio
rosto em atendimento físico das
lojas [NOME DO CONTROLADOR],
onde o cliente dá o consentimento
no tablet em que roda o aplicativo e
tira a foto. Após tirar a foto, o
atendente escaneia com ele tablet o
documento original com foto do
cliente. Isso ocorre antes da
assinatura do contrato do serviço
prestado.
Dados tratados Biometria, RG, CPF, Nome e Data de
Nascimento do Titular.
Envolvidos Clientes (Titular), Atendente da loja
física da [NOME DO CONTROLADOR]
(Controlador).
Tecnologias Tablet, aplicativo de biometria,
envolvidas armazenamento em cloud dos
dados coletados.
Classificação e Armazenamento dos Dados
Atividades do Quando os dados são coletados,
processo durante o processo, o atendente
direciona o cliente para 2 janelas do
aplicativo: na primeira, tira uma foto
do rosto (informação classificada
como BIOMETRIA) e posteriormente
o atendente solicita o documento
original com foto do cliente para
escanear o documento (informação
classificada como IDENTIDADE).
Ambos os arquivos são
armazenados diretamente no
ambiente cloud da empresa
contratada, cujo datacenter é
localizado em Lisboa.
Dados tratados Biometria, RG, CPF, Nome e Data de
Nascimento do Titular.
Envolvidos Empresa contratada (Operador).
Tecnologias Aplicativo de biometria,
envolvidas armazenamento em cloud dos
dados coletados, cujo datacenter é
localizado em Lisboa.
Utilização e Tratamento
Atividades do Quando o Departamento de Fraudes
processo identificar uma venda fraudulenta, a
gerência de fraude abrirá uma
solicitação na parte logada do
aplicativo solicitando que o
Operador faça a compatibilidade da
biometria com o documento
fornecido por meio de seu software
de reconhecimento facial. Após
análise, passará o relatório para o
solicitante com o parecer técnico da
probabilidade de que a pessoa na
loja seja realmente o dono do
documento. Após análise, o
Departamento Antifraudes
encaminhará seu parecer à equipe
jurídica que definirá o processo
administrativo correto para o caso
(quebra de contrato ou ação
judicial)
Dados tratados Biometria, RG, CPF, Nome e Data de
Nascimento do Titular.
Envolvidos Empresa contratada (Operador) e
Departamento Antifraudes da
Empresa EV (Controlador).
Tecnologias Aplicativo de biometria,
envolvidas armazenamento em cloud dos
dados coletados e sistemas para
transferência de arquivos protocolo
SFTP entre controlador e Operador.
Transferência dos Dados a Terceiros
Atividades do Após análise, o Operador encaminha
processo o relatório para o solicitante do
Controlador com o parecer técnico
da probabilidade de que a pessoa
na loja seja realmente o dono do
documento. Após análise, o
Departamento Antifraudes
encaminha seu parecer à equipe
 jurídica, por meio do e-mail
corporativo, que definirá o processo
administrativo correto para o caso
(quebra de contrato ou ação
judicial).
Dados tratados Biometria, RG, CPF, Nome e Data de
Nascimento do Titular.
Envolvidos Empresa contratada (Operador) e
Departamentos Antifraudes e
Jurídico da Empresa EV
(Controlador).
Tecnologias Sistemas para transferência de
envolvidas arquivos protocolo SFTP entre
controlador e Operador e e-mail
corporativo.
Eliminação dos Dados
Atividades do Como as vendas da [NOME DO
processo CONTROLADOR] são pontuais, e
devido a questões do código do
consumidor, o departamento
Jurídico solicitou armazenamento de
5 anos para os dados coletados.
Dessa forma, os dados serão
destruídos 5 anos pós coleta,
automaticamente.
Dados tratados Biometria, RG, CPF, Nome e Data de
Nascimento do Titular.
Envolvidos Empresa contratada (Operador) e
Departamento Antifraudes da
Empresa EV (Controlador).
Tecnologias Aplicativo de biometria e
envolvidas Datacenters localizados em Lisboa.
 
Análise da necessidade e proporcionalidade do
tratamento:
Questionário Resposta Justificativa
Qual é a Consentimento De forma a não ser
legitimação? invasivo ao cliente,
respeitando os
direitos à
privacidade, é
solicitado
consentimento do
cliente no momento
do tratamento. Para
 tal, deve se dar um
flag no aplicativo
antes da primeira
foto. O Operador é
responsável pelo
armazenamento do
log de
consentimentos.
O propósito que se SIM Para que seja feito o
pretende cobrir teste de
requer que todos compatibilidade
os dados sejam biométrica é
coletados e para necessário apenas a
todas as pessoas / foto do rosto e os
partes dados presentes nos
interessadas documentos de
afetadas (princípio identificação com
de minimização de foto.
dados)?
As tecnologias SIM Durante a definição
utilizadas para o dos requisitos do
tratamento são projeto, foram
adequadas para os consideradas
fins estabelecidos medidas técnicas
do ponto de vista para diminuir os
do cumprimento riscos à privacidade
dos princípios que esse processo
fundamentais da está susceptível,
privacidade? inclusive os
princípios de Privacy
by Design.
Os dados são NÃO Conforme solicitado
mantidos por mais pelo Jurídico a partir
tempo do que o das leis do
necessário para os consumidor, os
fins do tratamento dados coletados são
(princípio de descartados 5 anos
limitação do após coleta.
período de
armazenamento)?
Os dados coletados SIM A finalidade
serão utilizados declarada durante o
exclusivamente consentimento do
para o fim titular é que as
declarado e não informações
para qualquer coletadas serão
outro não usadas
informado ou posteriormente para
 incompatível com a análise de fraudes
legitimidade de na venda de
seu uso (princípio produtos. Não há
de limitação de utilização dos dados
propósito)? coletados que não
seja para a
finalidade exposta
pelo Departamento
Antifraudes.
 

Gestão de Riscos:
Risco Probabilidade Impacto Risco Medida
Residual
Fazer Significativa Limitado Médio Fazer
transferências transferências
internacionais com base em
para países que garantias
não oferecem um adequadas
nível adequado
de proteção
Falta de Desprezível Significativo Baixo Monitoramento
mecanismos de e revisão de
supervisão e fornecedores
controle sobre as
medidas que
regulam o
relacionamento
com um gerente
de tratamento
Não registrar a Limitado Significativo Médio Criação e
criação, atualização do
modificação ou registro de
cancelamento atividades de
das atividades de tratamento
tratamento
realizadas sob
sua
responsabilidade
Não ter uma Significativo Significativo Alto Segurança da
estrutura   informação no
organizacional, gerenciamento
processos e de projetos
recursos para o
gerenciamento
adequado da
segurança na
organização
 Erro na Limitado Significativo Médio Gestão de
configuração de vulnerabilidades
um sistema, técnicas
aplicativo,
estação de
trabalho,
impressora ou
componente de
rede
Falhas de Significativo Limitado Médio Separação de
segurança no ambientes de
desenvolvimento um novo
de um novo aplicativo ou
aplicativo ou novas
novas funcionalidades
funcionalidades e e / ou correções
/ ou correções de de um
um aplicativo aplicativo
existente existente
Roubo ou perda Limitado Significativo Médio Política para o
de equipamento, uso de
mídia dispositivos de
ou dispositivos mobilidade
com dados  
pessoais
 
Violações da Significativo Máximo Alto Monitoramento
confidencialidade e revisão de
de dados fornecedores
pessoais por
funcionários ou
pessoal externo
da organização
 

Resultados:
Avaliação DPO Aprovado com ressalvas.
Verificar comentários avaliação DPO.
Comentários A partir da construção deste
avaliação DPO documento, é possível definir que o
processo desenhado apresenta risco
elevado à privacidade dos seus
titulares, em caso de algum incidente
envolvendo dados pessoais. Dessa
forma, para que o projeto esteja
adequado à legislação, é necessário
que as medidas propostas para
redução dos riscos sejam atendidas
 pela equipe de projeto. A equipe de
projeto tem 3 meses para reduzir o
risco à privacidade para um nível
aceitável, com riscos da avaliação final
do DPO ser considerada como ˜NO
GO˜
Periodicidade de Trimestral
Revisão deste
Documento
Assinatura  
Diretoria
Responsável pelo
Projeto
 
 
 
 
 
 
 
 
 
 
 
 

12 – Implementando o Programa de
governança da privacidade
 
 
A Lei esclarece em sua Seção II, Das Boas Práticas e da
Governança, informa, no Art. 50 § 2º sobre as características
mínimas de um Programa de Governança em Privacidade –
chamado PGP , conforme a seguinte ilustração:
 Características Mínimas de um Programa Gerenciamento de Privacidade - LGPD

Diante destas das características de um Programa de

Governança em Privacidade – PGP apresentadas pela LGPD é
necessário também destacar seus principais atores:
• No papel central, por sua importância, tem-se o titular ,
qualquer pessoa natural, protegida pelo princípio da
autodeterminação informativa (inciso III do art. 2º da Lei
Geral de Proteção de Dados);
• A seguir, o controlador , pessoa natural ou jurídica, de
direito público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais (inciso VI do art.
5º da Lei Geral de Proteção de Dados). O controlador pode
exercer diretamente o tratamento dos dados. Mas pode,
também, designar um operador ;
• O operador é a pessoa natural ou jurídica, de direito
público ou privado, que realiza o tratamento de dados
pessoais em nome do controlador (inciso VII do art. 5º da
Lei Geral de Proteção de Dados). Ambos, controlador e
operador, recebem a nomeação de “agentes de tratamento”
(inciso IX do art.5º da Lei Geral de Proteção de Dados);
• O encarregado corresponde a uma pessoa natural
inequivocamente investida nessa função (que, na legislação
europeia, corresponde ao Data Protection Officer - DPO). Sua
incumbência é de fazer a intermediação entre o titular e os
agentes de tratamento, mas também entre estes agentes e a
Autoridade Nacional de Proteção de Dados - ANPD - (inciso VII
do art. 5º da Lei Geral de Proteção de Dados);
• finalmente, a Autoridade Nacional de Proteção de
Dados - ANPD tem a missão de regular o setor de
tratamento de dados pessoais. Está autorizada, portanto, a
agir em proteção aos princípios e fundamentos da Lei Geral
de Proteção de Dados.
Vale ressaltar que, ao contrário de um projeto, que tem início,
meio e fim, um programa estabelece uma metodologia
abrangente que influenciará permanentemente os processos
de tomada de decisão com base em riscos e melhorias
contínuas na maturidade.
Pode-se, entretanto, criar projetos para se alcançar objetivos
do programa. Na criação de projetos para se alcançar
objetivos do programa, deve-se selecionar a metodologia
mais adequada a realidade institucional. Após a escolha da
metodologia é necessário definir:
•          os objetivos, as metas e os indicadores;
•         os líderes responsáveis por cada frente de atuação
do projeto (interação com o cidadão, operações de TI,
segurança, jurídico, operadores, entre outros;
•               canais de comunicação com os líderes, cidadãos,
com os operadores e com a Autoridade Nacional de
Proteção de Dados – ANPD.
 
Para a etapa de Iniciação e Planejamento do PGP recomenda-
se a compreensão de quais são as primeiras informações e os
dados importantes que devem ser conhecidos.
 
Outro ponto a se analisar é a maturidade da organização,
observando fatores como a rastreabilidade de dados -
estruturando-os e descrevendo as informações tratadas em
cada sistema -, a comunicação com o cidadão e a
transparência (elaborando, por exemplo, a política de
privacidade e termos de uso de serviços, bem como a
comunicação sobre o uso de cookies ).
A promoção de uma cultura de segurança e proteção de
dados deve ser tratada na etapa de construção e execução
de um PGP com o intuito de comunicar os objetivos, metas e
indicadores utilizados, além de divulgar o papel da
Administração Pública como custodiante dos dados e sua
responsabilidade ao tratar os dados pessoais dos cidadãos.
As informações do PGP devem ser disponibilizadas de forma
clara e eficiente, além de estarem facilmente acessíveis.
Capacitação e treinamento devem ser oferecidos para que
uma cultura de Privacidade desde a Concepção (privacy by
design) seja instituída.
O conceito de Privacidade desde a Concepção significa que a
privacidade e a proteção de dados devem ser consideradas
desde a concepção e durante todo o ciclo de vida do projeto,
sistema, serviço, produto ou processo. Conforme o Guia de
Boas Práticas da LGPD, tal privacidade pode ser alcançada
por meio da aplicação dos 7 Princípios Fundamentais
(Cavoukian, 2009), listados a seguir:
• Proativo, e não reativo; preventivo, e não corretivo: A
       

abordagem de Privacidade desde a Concepção (PdC)

antecipa e evita eventos invasivos de privacidade
antes que eles aconteçam. Desse modo, não espera
que riscos de privacidade se materializem, nem
oferece soluções para as infrações de privacidade após
a ocorrência, mas visa impedir que eles ocorram.
•         Privacidade deve ser o padrão dos sistemas de TI ou
práticas de negócio: Busca-se oferecer o máximo grau
de privacidade, garantindo que os dados pessoais
sejam protegidos automaticamente em qualquer
sistema de TI ou prática de negócios. É uma forma de
evitar que qualquer ação seja necessária por parte do
titular dos dados pessoais para proteger a sua
privacidade, pois ela já estará embutida no sistema,
por padrão.
•               Privacidade incorporada ao projeto (design): A
privacidade deve estar incorporada ao projeto e
arquitetura dos sistemas de TI e práticas de negócios,
não deve ser considerada como complemento
adicional, após o sistema, projeto ou serviço já estar
em implementação ou em execução. O resultado é que
a privacidade se torna um componente essencial da
funcionalidade principal que está sendo entregue. A
privacidade é parte integrante do sistema, sem
diminuir a funcionalidade.
•               Funcionalidade total: A PdC não envolve
simplesmente a formalização de declarações e
compromissos de privacidade. Refere-se a satisfazer
todos os objetivos do projeto, não apenas os objetivos
de privacidade, permitindo funcionalidade total com
resultados reais e práticos. Ao incorporar privacidade
em uma determinada tecnologia, processo ou sistema,
isso é realizado de uma forma que não comprometa a
plena funcionalidade e permita que todas as exigências
do projeto sejam atendidas.
 •        Segurança e proteção de ponta a ponta durante o
ciclo de vida de tratamento dos dados: Por ser
incorporado ao sistema antes de o primeiro elemento
de informação ser coletado, a PdC estende-se por todo
o ciclo de tratamento dos dados envolvidos no projeto,
sistema ou serviço. Medidas fortes de segurança são
essenciais para a privacidade, do início ao fim.
•         Visibilidade e Transparência: A PdC objetiva garantir
a todos os interessados que, independentemente da
prática ou tecnologia comercial envolvida, está de fato
operando de acordo com as premissas e objetivos
declarados, os quais devem ser objeto de verificação
independente. Visibilidade e transparência são
essenciais para estabelecer responsabilidade e
confiança.
•         Respeito pela privacidade do usuário: Acima de tudo,
a privacidade desde a concepção exige que as
instituições respeitem os direitos dos titulares dos
dados pessoais. Isso é alcançado por meio de medidas
como padrões fortes de privacidade, avisos
apropriados e interfaces amigáveis que empoderem o
titular dos dados. Os melhores resultados da
privacidade desde a concepção, geralmente, são
aqueles projetados de acordo com os interesses e
necessidades dos titulares dos dados pessoais, que
têm o maior interesse em gerenciar seus próprios
dados.
Na etapa de Construção e Execução do PGP que o Relatório
de Impacto à Proteção de Dados Pessoais - RIPD deve ser
elaborado. O RIPD representa um instrumento importante de
verificação e demonstração da conformidade do tratamento
de dados pessoais realizado pela instituição e serve tanto
para a análise quanto para a documentação do tratamento
dos dados pessoais. O RIPD visa descrever os processos de
tratamento de dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais, bem como
medidas, salvaguardas e mecanismos de mitigação de risco.
 
Indicadores de Performance
 
Os Indicadores de Performance (Key Performance Indicator -
KPI) incluem a análise regular dos principais indicadores de
desempenho para verificar lacunas no Programa de
Governança em Privacidade assim como o status de outras
iniciativas de privacidade.
Recomenda-se o uso dos seguintes indicadores:
● Monitoramento e acompanhamento do número de
incidentes de violação dedados pessoais e/ou vazamento de
dados pessoais;
● Resultados do Diagnóstico de Adequação à LGPD - índice
de adequação;
● Índice de serviços com dados pessoais inventariados:
número de serviços com dados pessoais inventariados /
número de serviços com dados pessoais do órgão * 100;
● Índice de serviços com termo de uso elaborado:
quantidade de serviços com termo de uso elaborado /
quantidade de serviços do órgão * 100;
● Índice de serviços com RIPD elaborado: quantidade de
serviços com RIPD elaborado / quantidade de serviços do
órgão * 100;
● Índice de conscientização em segurança: quantidade de
treinamentos realizados / quantidade de treinamentos
previstos * 100;
● Índice de quantidade de controles de segurança e
privacidade implementados para um determinado serviço:
quantidade de controles de segurança e privacidade
implementados para um determinado serviço / quantidade
total de controles de segurança e privacidade identificados
ara o serviço * 100.

 
Gestão de Incidentes
 
É importante incluir nesta etapa do PGP um processo de
Gestão de Incidentes, que registre os incidentes de
segurança da informação e de privacidade ocorridos e que
armazene informações como: a descrição dos incidentes ou
eventos; as informações e sistemas envolvidos; as medidas
técnicas e de segurança utilizadas para a proteção das
informações; os riscos relacionados ao incidente e as
medidas tomadas para mitigá-los a fim de evitar
reincidências.
 
 
É válido também implementar e manter controles e
procedimentos específicos para detecção, tratamento,
coleta/preservação de evidências e resposta a incidentes de
segurança da informação e privacidade, de forma a reduzir o
nível de risco ao qual a Solução de TIC e/ou o órgão estão
expostos, considerando os critérios de aceitabilidade de
riscos definidos pelo órgão.
É recomendado ainda que a Gestão de Incidentes possua um
Plano de Comunicação orientando a forma que os incidentes
de segurança, que acarretem risco ou dano, sejam
informados aos órgãos fiscalizatórios e à imprensa.
 
 
 
 
 
 
 
 
 
 
 

13 – Entendendo como funciona o Ciclo

de vida dos dados e a LGPD
A Gestão de Dados é uma forma através da qual são tomadas
as medidas adequadas e adequadas para gerir os dados.
Nesta prática, os dados são organizados ou mantidos em um
formato adequado. Além disso, a variedade de processos de
dados é conservada sob o gerenciamento de dados. A gestão
de dados também se refere à gestão de uma organização ou
empresa onde as informações ou dados relevantes dessa
organização em particular são protegidos de forma adequada
com a ajuda da qual os dados podem ser acessados
facilmente.
A organização dos dados e informações geralmente é feita de
forma que uma estrutura adequada possa ser gerada sobre
as informações. Esta estrutura é muito importante quando se
trata de pesquisar um dado ou arquivo particular que reside
em um local específico do armazenamento.
A tarefa do gerenciamento de dados não é apenas o excesso
e armazenamento de dados, mas também há muitas outras
coisas que podem ser alcançadas com a ajuda do
gerenciamento de dados, como a criação de toda a produção
de políticas governamentais que são especialmente feitas e
introduzidas para a vigilância de dados. Além disso, a Análise
de dados, assim como a arquitetura, é a estrutura na qual os
dados devem ser armazenados, também faz parte do
gerenciamento de dados. Existem programas de computador
muito popular que é usado para o gerenciamento de dados.
Estas ferramentas são conhecidas como sistema de
gerenciamento de dados que auxilia na manutenção
adequada dos dados e na integração de outros recursos
importantes diferentes junto com os dados, como a
identificação de segurança de dados da fonte de onde os
dados são coletados e isolados.
O gerenciamento de dados também é uma coleção
enciclopédica de vários conceitos, procedimentos,
metodologias e uma ampla gama de sistemas que ajuda uma
organização a monitorar seus vários recursos de dados. O
gerenciamento de dados também possui várias técnicas que
são diferentes umas das outras. Essas técnicas de
gerenciamento de dados proporcionam a facilidade e
garantem o monitoramento dos dados e proporcionam um
fluxo adequado a todas as informações e dados que estão
presentes em um sistema de uma determinada empresa ou
organização. O gerenciamento de dados dá a facilidade de
criar novos dados e processá-los, a utilização dos dados
existentes, bem como a exclusão de dados que não são mais
necessários.
 
O volume de dados aumentou, e ainda está aumentando
rapidamente nas organizações, ao mesmo tempo, o
processamento de dados em tempo real é outra tendência
predominante.
 
 
Existem algumas estruturas de mapeamento e gestão desses
dados (big data) que são extremamente úteis. Algumas
dessas estruturas são Hadoop e spark. Não apenas a
quantidade de dados aumentou, mas uma variedade de
dados também está sendo introduzida a cada momento,
gerando por vezes os dados não estruturados.
Dado não estruturado é um tipo de dado que possui um
procedimento complexo para a modelagem de dados e para
a coleta do banco de dados; onde não se utiliza SQL que
também é conhecido como linguagem de consulta
estruturada.
A linguagem de programação SQL está intimamente ligada a
bancos de dados relacionais e amplamente utilizada neste
tipo de banco de dados específico.
Com o big data , as novas tecnologias, por exemplo, Hadoop
e Spark também podem ser implementadas, onde a
capacidade de armazenamento de dados é muito mais do
que o esperado e os dados são armazenados em nuvens ou
na internet.
Com relação as Leis de proteção de dados pessoais, a
atenção deve ser dada na relação que com o passar do
tempo o custo para armazenar os dados vai reduzindo,
quando a organização aplica níveis de tempo acessibilidade
para os dados versus o custo em Lei para a organização dos
dados pessoais ao longo do tempo.
 
 
 
Dados quentes e dados frios
Os dados são tipicamente caracterizados por sua relevância e
valor. Dados novos e atualizados são frequentemente mais
procurados e acessados com mais frequência do que dados
mais antigos e históricos devido à relevância e valor
percebidos. Essa frequência de acesso normalmente
determina o estado dos dados a serem classificados como
quentes, mornos ou frios.
Novos dados são frequentemente acessados com frequência
para processamento e consumo ativo por organizações para
gerar “novas informações” para fins de monetização. Esses
dados são normalmente percebidos como de maior valor e
relevância e, portanto, podem ser considerados dados
“importantes” ou “Tier 1”. Vários dados estruturados, como
aqueles armazenados em um banco de dados OLTP ou um
banco de dados de servidor de e-mail, bem como vários
dados não estruturados, como uma planilha recém-gerada ou
um documento de apresentação, podem ser considerados
exemplos de dados importantes. Esses dados provavelmente
serão acessados ativa e frequentemente por vários usuários
ou aplicativos por um período de tempo, até que as
informações relevantes tenham sido extraídas desses dados
para os requisitos de negócios diários.
Os dados que já foram processados e consumidos
imediatamente e não são mais acessados regularmente são
considerados " quentes ". Esses dados não são usados com
tanta frequência quanto os dados quentes, mas ainda podem
exigir acesso periódico de vários usuários e aplicativos. Os
dados quentes também são comumente chamados de dados
de Camada 2. Exemplos de dados quentes incluem
plataformas de mineração de dados, como aplicativos de big
data e a maioria dos dados não estruturados (como diretórios
iniciais do usuário, compartilhamentos de arquivos).
Dados que não estão mais sendo acessados, mas ainda
precisam ser armazenados a longo prazo para vários fins
(como conformidade), são considerados em um estado " frio
". Exemplos de dados frios incluem dados de backup, dados
arquivados, como correio ou arquivos, ou réplicas de
conjuntos de dados de produção armazenados fora do local
ou na nuvem para fins de recuperação de desastres.
Embora a categorização inteligente dos dados em camadas
de dados quentes e frios beneficie as organizações ao reduzir
o Custo Total de Propriedade (TCO), é intrinsecamente difícil
para muitas organizações diferenciar com precisão e separar
significativamente seus dados de acordo com essas três
categorias.
Por que é que? Considere o exemplo simples de uma
organização de varejo com várias lojas e pontos de venda. A
idade dos dados de vendas pode ser usada como
identificador para diferenciar entre o que é quente e o que é
frio? Você classificaria os dados de vendas em tempo real
provenientes dos terminais de ponto de vendas ou da
plataforma de e-commerce, como a loja online, como dados
importantes de Nível 1, enquanto categoriza os dados do
passado recente (ou seja, 3-6 meses) como quentes e o resto
tão frio? O que acontecerá quando o fim do ano comercial se
aproximar e você precisar executar vários relatórios de
inteligência de negócios (BI) para analisar o desempenho de
vendas ano após ano, quando esses dados históricos agora
precisam ser promovidos novamente para dados importantes
para processamento? E se os dados forem pessoais.
Além da dificuldade de identificar com precisão os dados
quentes e frios, outro desafio que muitas organizações
enfrentam é entender como armazenar e gerenciar cada tipo
de conjunto de dados da maneira mais eficiente. Você
manteria os dados quentes e mornos na mesma plataforma
de armazenamento Tier 1? Você move todos os dados frios
para uma plataforma de armazenamento de objetos em
nuvem mais barata? Como esse desafio de migração de
dados é abordado de maneira integrada para os aplicativos
de front-end que consomem todos os dados? Voltando ao
exemplo anterior, se todos os dados de vendas fossem
armazenados em um único banco de dados que é acessado
por vários aplicativos para fins de relatório e análise, o que
aconteceria quando os dados históricos fossem arquivados
em uma plataforma de armazenamento diferente? Os
aplicativos precisam agora apontar para uma fonte diferente
para obter estatísticas históricas de vendas? Ou se você
mantiver todos os dados no mesmo banco de dados, como
você lidaria com o tamanho cada vez maior do banco de
dados de produção e, por sua vez, o tamanho da solução de
armazenamento subjacente? É econômico continuar
comprando prateleiras de armazenamento adicionais para
sua matriz de armazenamento local?
Devido a esses desafios, muitas organizações
inevitavelmente acabam mantendo a maioria, senão todos os
seus dados quentes e quentes na mesma solução de
armazenamento cara em seu data center corporativo. Isso
resulta em um TCO desnecessariamente alto para esses
clientes, incluindo custos de plataforma de armazenamento
subjacente, bem como custos administrativos relacionados
ao gerenciamento desses dados. Esse alto TCO também é
ampliado devido às necessidades regulatórias e de
conformidade, como recuperação de desastres (DR), em que
o mesmo conjunto de dados agora precisa ser duplicado em
outro lugar, consumindo recursos adicionais.
Uma plataforma de armazenamento de dados corporativos
bem arquitetada deve levar em consideração essas
preocupações na base de sua infraestrutura e no design do
aplicativo. Ter um datafabric eficaz e automatizado que
permite que uma organização se preocupe menos com o
gerenciamento de seus dados pode adicionar benefícios reais
aos seus resultados financeiros por meio da redução do TCO
e aumentar sua capacidade de responder às mudanças nas
demandas dos clientes.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

14 – Como ficam as PMEs e startups na

LGPD
Pequenas organizações e proprietários de pequenas
empresas que consideram suas operações como pequenas e
de baixo risco, às vezes não têm certeza se a proteção de
dados se aplica a eles.
Se isso soa como você, a resposta é: sim. As leis de proteção
de dados provavelmente se aplicam, porque é provável que
você esteja mantendo e usando informações pessoais de
outras pessoas como parte de seu curso normal de negócios.
Isso é conhecido como ‘processamento’ de seus dados
pessoais. Os dados pessoais são informações que se
relacionam com ou identificam um indivíduo. Exemplos de
dados pessoais que você pode manter são nomes e detalhes
de contato, como e-mail ou endereço postal, números de
telefone e informações de pagamento.
A maioria das PMEs e Startups processam dados pessoais de
alguma forma. Por exemplo, os detalhes de seus clientes e
funcionários serão cobertos pelas regras. A lei se aplica a
partir do momento em que os dados pessoais são coletados e
abrange empresas de todos os tamanhos, desde empresários
individuais e pessoas que trabalham por conta própria até
grandes empresas globais.
A conformidade com a proteção de dados é uma jornada, não
um destino. A maior parte é bom senso. Se você já está no
mercado há algum tempo, já tem processos e medidas em
vigor que estão em conformidade com a proteção de dados,
porque são úteis para sua empresa.
O bom manuseio de informações faz sentido para os
negócios. Ser capaz de encontrar as informações certas
quando você precisar delas e mantê-las precisas e seguras
ajudará as pessoas a se sentirem confiantes na maneira
como você lida com suas informações. Isso mostra que você
dirige um navio apertado e que pode ser confiável.
O bom manuseio de informações também economiza tempo.
Por exemplo, se você evitar acumular dados desnecessários,
terá muito menos arquivos para pesquisar quando estiver
procurando as informações de que realmente precisa para
executar suas operações com eficiência.
Alguns tipos de dados estão isentos da lei de proteção de
dados, como:
Dados comerciais, como seu endereço de e-mail
comercial (desde que não contenha o nome de alguém)
ou as demonstrações financeiras de sua empresa;
informações sobre pessoas falecidas (porque a lei de
proteção de dados se aplica apenas a informações
sobre os vivos);
registros em papel que não se destinam a ser mantidos
como parte de um sistema de arquivamento; e
informações que você usa para fins puramente
pessoais, familiares ou domésticos, ao invés de seus
negócios ou serviços.
Por outro lado, o currículo de uma pessoa irá identificá-la
claramente como pessoa, seus detalhes de contato, seu
histórico de empregos anteriores e interesses pessoais. Os
registros internos da folha de pagamento vincularão um
funcionário nomeado ao seu número de NIS/PIS, detalhes da
conta bancária e ganhos. Os detalhes de contato do cliente
dirão quem é a pessoa e - muito provavelmente - onde ela
mora, seu endereço de e-mail, número de telefone e qual
produto ou serviço comprou de você. Todos esses registros
revelam a identidade de uma pessoa e informações
adicionais relacionadas a ela. São dados pessoais que
precisam ser tratados de acordo com as leis de proteção de
dados.
 
É uma boa ideia manter todas as informações relacionadas
ao seu negócio separadas dos arquivos pessoais, como
lembretes de aniversários, comemorações familiares e
finanças pessoais. Isso o ajudará a traçar mais facilmente
uma linha entre os dados que estão sujeitos às obrigações de
proteção de dados e os que estão isentos.
 
No momento da publicação deste livro a ANPD, através da
nota técnica Nº 1/2021/CGN/ANPD, informa o convite aos
cidadãos para a discursão para a Análise de Impacto
Regulatório (AIR) sobre Tomada de subsídios para
regulamentação da aplicação da LGPD para microempresas e
empresas de pequeno porte, bem como iniciativas
empresariais de caráter incremental ou disruptivo que se
autodeclarem startups ou empresas de inovação e pessoas
físicas que tratam dados pessoais com fins econômicos.
 
 
 
 
 
 
 
 
 

15 - A Inteligência Artificial na LGPD

 

A sociedade vem sentindo os profundos impactos das

mudanças tecnológicas, que permitem que soluções
dinâmicas e inovadoras transformem nosso cotidiano. Hoje,
já não é mais exagero dizer que quase tudo o que nos cerca
envolve inteligência artificial.
A quarta revolução industrial baseia-se na revolução digital,
com o desenvolvimento de novas soluções tecnológicas
promissoras, caracterizada pelo uso generalizado da internet,
sensores e dispositivos eletrônicos potentes, dotados de
capacidade de aprender coisas novas e capazes de resolver
problemas (machine learning / deep learning ) e em alguns
casos, tomar decisões, a partir de algoritmos, tal qual como
um humano faria.
Plataformas digitais parecem nos entender melhor do que
nós mesmos, e isso só acontece porque a inteligência
artificial acompanha também o nosso comportamento virtual:
quais buscas fazemos, quais sites acessamos e o que
“curtimos”
 
A inteligência artificial e o Direito
 
A Ciência Jurídica não está alheia, nem isenta, a essa
transformação social decorrente dos avanços tecnológicos,
visto que sua aplicação é instrumento voltado à prevenção
de comportamentos enviesados, decorrente das evoluções
tecnológicas.
Por outro lado, a inteligência artificial é uma experiência
recente para o Poder Judiciário e para os operadores de
Direito. Ela tem sido grande aliada nas consultas inteligentes
realizadas em sites de buscas.
A jurimetria tem otimizado o tempo dos advogados, através
da qual é possível prever as decisões dos magistrados antes
mesmo de iniciarem suas teses, devido à estatística em
conjunto com fórmulas matemáticas, algoritmos e softwares.
O Supremo Tribunal Federal – STF e o Superior Tribunal de
Justiça – STJ, entre outros tribunais brasileiros, já têm projetos
implementados para a celeridade de demandas repetitivas.
Outros exemplos são:
•         O Poti: que executa tarefas de bloqueio, desbloqueio
de valores em contas e emissão de certidões
relacionadas ao Bacenjud. Tais tarefas, quando
realizadas por servidores do Poder Judiciário, levavam
semanas, pois dependiam de um login do juiz e a sua
atuação específica em cada requerimento. Atualmente,
são realizadas em segundos. Dentre outras ações, o
robô atualiza o valor da ação de execução fiscal e
transfere o montante bloqueado para as contas oficiais
indicadas no processo.
•         O software Radar: foi utilizado pela 8ª Câmara Cível
do Tribunal de Justiça de Minas Gerais no julgamento
do total de 280 processos, com apenas um clique do
servidor, de forma célere.
•               Rosie: um robô anticorrupção que identifica gastos
suspeitos de políticos. Rosie é capaz de montar um
banco de dados de irregularidades e, a partir dele,
identificar se elas existem ou não nos pedidos de
reembolso de deputados federais. Comprovada a
suspeita, através de uma análise humana, a denúncia
é encaminhada à Câmara dos Deputados e uma
auditoria é aberta.
 
A inteligência artificial e a LGPD
 
Apesar de diversos benefícios, uma das maiores
preocupações está na forma como os dados são utilizados
para fins de automatização e inteligência artificial: como
mensurar, através da automatização, quais dados são úteis e
relevantes? Há transparência nos algoritmos sobre qual é o
modo de cruzamento de dados? Há atendimento aos
princípios especificados na Lei Geral de Proteção de Dados
Pessoais – LGPD, como quanto à minimização de dados e à
não-discriminação?
Como sabemos, os dados trafegam mundialmente, e todos os
sistemas são propensos a apresentar falhas. No âmbito
jurídico, ainda é um desafio a identificação de sites falsos e
do ser humano que se encontra atrás da máquina para a
devida responsabilização.
Sob a ótica da LGPD, podemos afirmar que as ferramentas de
inteligência artificial que tratem dados pessoais precisam
cumprir os princípios elencados no art. 6º da LGPD,
principalmente sobre finalidade (art. 6º, I), transparência (art.
6º, VI), segurança (art. 6º, VII), prevenção (art. 6º, VIII) e não
discriminação (art. 6º, IX).
Com a entrada em vigor da LGPD, o titular de dados pessoais
poderá solicitar a revisão ao tratamento automatizado de
dados pessoais que afetem seus interesses, principalmente
em situações de profiling de consumo, político, pessoal,
profissional ou de aspectos relacionados à sua personalidade
(art. 20).
O controlador deverá fornecer as informações, claras e
adequadas, para atender a solicitação do titular, indicando
critérios e procedimentos utilizados no tratamento
automatizado (art. 20, §1º). Em caso de negativa, a ANPD
pode liderar auditoria para verificar se há aspectos
discriminatórios no tratamento destes dados (art. 20, §2º).
Também podemos citar a realização de Relatórios de Impacto
à Proteção de Dados (RIPD) como ferramenta para que sejam
identificados e analisados os riscos que essas novas
tecnologias possam gerar para as liberdades e direitos dos
titulares, bem como a definição de medidas protetivas para
os riscos encontrados (art. 5º, XVII e art. 38, caput e
parágrafo único).
É necessário que esse debate ainda perpasse o Privacy by
Design e o Privacy by Default, para que as questões de
privacidade e proteção de dados pessoais sejam
reconhecidas e aplicadas no início e durante o processo de
criação e validação de ferramentas de Inteligência Artificial
(art. 46, caput e §2º da LGPD).
O Brasil não possui regulação específica sobre inteligência
artificial e segundo Eduardo Magrani (Magrani, 2019), temos
uma autorregulação do próprio mercado e uma regulação
realizada através do próprio design das novas tecnologias, de
forma que elas estão avançando mais rápido do que a
garantia de tutela dessas tecnologias. É crucial debater a
privacidade, segurança e ética que deverão nortear os
avanços tecnológicos relacionado ao cenário da inteligência
artificial (Magrani, 2019).
Já existem projetos de leis, como o PL nº 21/2020 da Câmara
Legislativa e os PLs nº 5051/2019 e nº 5691/99, ambos do
Senado Federal, que estabelecem princípios, direitos e
deveres para o uso de inteligência artificial no Brasil.
Os projetos de lei justificam a utilização da inteligência
artificial, tendo em vista a necessidade de desenvolvimento
em pesquisa e inovação para aumento de produtividade,
contribuição para uma atividade econômica sustentável e
positiva, melhorando, também, o bem-estar das pessoas.
Todos os projetos comtemplam a proteção de dados e a
privacidade das pessoas. O PL nº 5051/2019 traz a
preocupação com riscos associados à sua adoção da
inteligência artificial – IA preceituando a supervisão humana
para o alcance de 100% de assertividade da IA.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

16 - Aumento de incidentes de
violação de dados pessoais.
 

Considerando os nove primeiros meses do ano passado

(2020), em escala global, os vazamentos expuseram 36
bilhões de dados pessoais, o dobro do número registrado em
todo ano de 2019, de acordo com a consultoria Risk Based
Security.
Nas mãos de criminosos, esses dados podem ser, e
provavelmente serão utilizados para fraudar contas bancárias
digitais,  cartões de crédito, pedidos de  empréstimos, ou até
mesmo fraudes mais sofisticadas como personificação de
altos executivos de empresas para obtenção das mais
variadas vantagens
 
Diversos órgãos de proteção da sociedade civil como
o Procon, o Ministério Público e a OAB (Ordem dos Advogados
do Brasil)  já se pronunciaram diante do vazamento exigindo
uma investigação rápida  e punição severa para quem, por
ação ou omissão, tornou possível o vazamento dos dados.
Muitas empresas e o Poder Público foram vítimas no Brasil
desses ataques. No mais importante deles, o STJ (Superior
Tribunal de Justiça) teve seu sistema invadido pelos
criminosos, por meio de um ciberataque conhecido como
ransomware – o sistema infectado é interrompido até que
haja o pagamento de resgate.
O aumento do volume de e-mails enviados devido ao
trabalho remoto relacionado ao COVID-19 e à digitalização de
processos manuais também estão contribuindo para o
aumento do risco. 94% dos entrevistados relataram um
aumento no tráfego de e-mail desde o início do COVID-19 e
70% acreditam que trabalhar remotamente aumenta o risco
de dados confidenciais serem colocados em risco por
violações de dados de e-mail de saída.
Vazamento de dados são sempre um sinal de alerta para
empresas e consumidores. Podem expor emails, credenciais
de redes sociais, registros médicos, propriedade intelectual,
segredos de negócio, informações financeiras e bancárias
entre outras informações sensíveis. Apesar de grandes
nomes como Facebook, Equifax e Capital One chamarem a
atenção da grande mídia existem muitos outros casos
acontecendo todos os dias em empresas de todos os
tamanhos.
Dia 28 de Janeiro é o dia internacional da Privacidade
de Dados.
 
Estudo conduzido de forma independente pela Arlington
Research em nome da Egress, entrevistou 538 gerentes
seniores responsáveis pela segurança de TI no Reino Unido e
nos EUA em setores verticais, incluindo serviços financeiros,
saúde, bancos e jurídico.
Os principais insights dos entrevistados incluem:
 93% tiveram violações de dados via e-mail de saída nos
últimos 12 meses.
As organizações relataram pelo menos uma média de
180 incidentes por ano quando dados confidenciais
foram colocados em risco, o que equivale a
aproximadamente um a cada 12 horas de trabalho.
Os tipos de violação mais comuns foram responder a
emails de spear-phishing (80%); emails enviados para
destinatários errados (80%); anexos de arquivo
incorretos (80%).
62% dependem de relatórios liderados por pessoas
para identificar violações de dados de e-mail de saída.
94% das organizações pesquisadas viram um aumento
no volume de e-mails de saída durante o COVID-19.
68% afirmam ter visto aumentos entre 26 e 75%.
70% acreditam que o trabalho remoto aumenta o risco
de dados confidenciais serem colocados em risco de
violações de dados de e-mail de saída.
 
Métodos atuais de violação de dados
Os hackers sempre buscarão novas maneiras de fazer as
coisas, especialmente à medida que mais e mais pessoas
começam a aprender seus métodos atuais. É imperativo que
as empresas, grandes e pequenas, se mantenham
atualizadas sobre os ataques atuais. Os mais comuns neste
momento são os seguintes:
Malware
O software malicioso, mais comumente conhecido como
malware, é um software ou programa que os usuários
costumam pegar quando estão em sites que foram
hackeados, baixam arquivos infectados com malware e
outros meios. O malware pode ser usado por vários motivos,
incluindo o roubo de informações confidenciais do seu
computador.
Ransomware
Ransomware é um software enviado para empresas, negócios
e, às vezes, indivíduos. Na maioria das vezes, ele vem na
forma de um e-mail e geralmente de uma pessoa que o
destinatário conhece.
Quando o e-mail é aberto, o software bloqueia as
informações no computador do destinatário e um pagamento
de resgate exige o desbloqueio das informações.
Denial of Service (DoS)
O DoS é mais comumente usado em empresas cujos sites
estão vinculados a bancos e empresas semelhantes. Esse
ataque é aquele em que o hacker bloqueia a passagem de
solicitações legítimas no site que está visitando.
Phishing
Phishing é outro golpe enviado por e-mail. Esses e-mails
parecem ter sido enviados de uma empresa ou organização
de boa reputação e incluem um link ou anexo que, na
verdade, são meios de roubar seus dados.
Embora isso possa afetar qualquer indivíduo ou empresa, é
importante que as empresas que estão crescendo de forma
consistente fiquem alertas. Pode ser mais difícil para um
esquema de phishing funcionar em um indivíduo ou em uma
pequena empresa porque, à medida que as empresas
crescem, suas caixas de entrada provavelmente também
crescerão. Como a maioria desses e-mails será semelhante a
empresas com as quais você pode estar interessado em
trabalhar, pode ser mais fácil ser vítima de tal esquema.
 
Causas das violações de dados
Roubo físico ou perda de um dispositivo;
Credenciais e senhas fracas;
Vulnerabilidades do sistema;
 Traição intencional, muitas vezes referida como
engenharia social (indivíduos que compartilham dados
confidenciais de boa vontade em troca de dinheiro ou
outra recompensa);
Erro humano (erros, falta de vigilância, ignorando ou
não conhecendo procedimentos ou processos
adequados);
Interesse ilegítimo de empresas de mídias sociais.
 
Contramedidas preventivas
Como disse Benjamin Franklin: “Uma grama de prevenção
vale um quilo de cura”. As palavras de sabedoria de Franklin
ainda podem ser aplicadas hoje, especialmente quando se
trata de segurança. A seguir estão algumas etapas que você
pode seguir para ajudar a prevenir violações de dados.
Busque conhecimento
Estar ciente das ameaças ou ameaças potenciais, bem como
de novos métodos de hacking e segurança, é uma das etapas
mais importantes. É difícil saber como se proteger de uma
ameaça quando você nem mesmo tem certeza do que é essa
ameaça. Mantenha-se atualizado sobre a segurança
cibernética para estar sempre informado e tomar decisões
informadas.
Criptografia de Dados
Criptografar dados significa codificá-los de forma que seja
necessário um código exclusivo para que seja possível
acessá-los. Isso significa que apenas usuários autorizados
podem realmente acessar os dados. Uma das melhores
maneiras de criptografar seus dados e proteger sua
segurança é por meio do uso de uma VPN ou rede privada
virtual.
 
Para segurança máxima, você deseja garantir que usa um
que não registra sua atividade. Você também quer ter
certeza de que ele tem um interruptor de eliminação, o que
significa que se a VPN cair por algum motivo, você será
automaticamente desconectado da Internet, evitando
qualquer atividade desprotegida na Internet. Se você está
procurando proteger as informações em uma empresa em
rápido crescimento, considere aprender mais sobre como
uma VPN pode ajudar a manter seus dados seguros.
Treine os colaboradores em Segurança e Privacidade
de Dados
Na verdade, não importa quantas medidas preventivas você
tome se seus funcionários não estiverem seguindo os
procedimentos. Ao mesmo tempo, sem o devido treinamento,
seus funcionários não saberão quais são esses
procedimentos e como segui-los.
Por exemplo, se seus funcionários não sabem que usar seus
próprios telefones para acessar as mídias sociais durante o
trabalho está abrindo uma porta, eles não têm motivo para
evitá-lo. É função da sua empresa treinar os funcionários em
medidas de segurança e fornecer todos os itens de
segurança de que eles precisam, como uma VPN ou outro
programa.
Limitar o acesso aos dados
Quanto mais empregados você tiver para acessar
informações confidenciais, mais fácil será deixar uma porta
aberta. Limite o número de pessoas que têm acesso aos
dados seguros àqueles que realmente precisam deles.
Quando possível, dívida o acesso. Em vez de ter um punhado
de pessoas que podem acessar todas as suas informações,
tenha diferentes funcionários responsáveis por pequenas
partes dos dados.
Atualizações
Segurança e sistemas antigos e desatualizados são como
uma loja de doces para hackers. Uma das maneiras mais
eficazes de proteger os dados de sua empresa é manter tudo
atualizado.
Manutenção e melhoria contínua
A cibersegurança não é algo que você configura e esquece.
Requer manutenção contínua.
Considere a contratação de uma equipe de segurança física.
Você gasta tempo e dinheiro inicialmente na contratação, no
treinamento e em outras coisas de que eles possam precisar.
Você discute sua programação e suas necessidades de
segurança com eles para que entendam o que o trabalho
realmente envolve. Isso é o fim de tudo?
Claro que não. Você deve fazer pagamentos para a equipe de
segurança, atualizá-los sobre quaisquer mudanças de
cronograma e assim por diante. Do contrário, eles não
conseguirão fazer seu trabalho adequadamente ou
simplesmente deixarão de trabalhar para você.
O mesmo é verdade para sistemas de segurança cibernética.
Após a configuração inicial, deve haver manutenção contínua
para garantir que tudo esteja atualizado e funcionando
corretamente. Você pode precisar fazer alterações para lidar
com novas ameaças.
Uma série de coisas pode abrir uma porta para hackers. Sua
manutenção contínua irá garantir que essas portas
permaneçam fechadas.
Seja hackeado
Embora essa etapa possa parecer o oposto do que você
deseja, esse hack é um pouco diferente. Contratar hackers
qualificados para encontrar uma maneira de hackear seu
sistema pode dizer exatamente onde estão suas
vulnerabilidades.
Ainda assim, você não quer abrir a porta para os hackers
errados. Certifique-se de pedir recomendações e encontrar
profissionais que tenham uma boa reputação para fazer o
hack. Existem muitas pessoas altamente qualificadas que
podem ajudá-lo sem arriscar os dados da sua empresa.
Analise seus riscos
Normalmente, uma abordagem à segurança cibernética
simplesmente não é suficiente. Usar todas as etapas
mencionadas aqui juntas pode diminuir o risco de violações
de dados.
No entanto, certifique-se sempre de considerar
cuidadosamente as etapas que está executando e pesquisá-
las adequadamente. Não importa quantas medidas de
segurança você tenha em vigor, se nenhuma delas for
adequada para sua empresa.
Equipe de resposta a incidentes de violação de dados
Às vezes, você pode tomar todas as medidas possíveis para
evitar violações de dados e ainda assim se tornar uma vítima
de hackers. É por isso que é necessário ter um plano e uma
equipe de resposta em vigor.
Seu plano deve definir exatamente quais etapas precisam ser
executadas para minimizar a vulnerabilidade de sua
empresa, como lidar com ransomware, quem deve ser
contatado em caso de violação e qualquer outra coisa que
pareça necessária. Também deve indicar claramente quais
dados são mantidos onde - para que você possa determinar o
que foi hackeado rapidamente - assim como onde estão os
backups.
Ter uma equipe de resposta pronta para executar esse plano
também é uma medida acertada. Esperar até que ocorra uma
violação para determinar o que precisa ser feito e quem
precisa fazer isso pode custar muito tempo e muito mais
dinheiro para sua empresa.
Em vez disso, tenha tudo no lugar muito antes de ocorrer
uma violação para que, se ocorrer, você possa responder de
acordo, em vez de reagir com base no medo e em outras
emoções. É bom esperar que você nunca precise usar esse
plano ou que a equipe precise entrar em ação. No entanto,
um gestor responsável se prepara para tantas
eventualidades quanto possível.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

17 - Normas essenciais para as

organizações de acordo com a LGPD
 
 

As organizações devem ter em mente que o ordenamento

prático jurídico é constituído de uma gama hierárquica de
normas, onde pode haver conflitos de normas tendo na
pessoa do profissional jurídico, Advogado, a pessoa ideal para
fazer a análise hermenêutica da norma.
O ideal é que o corpo jurídico da sua organização tenha um
conhecimento prévio considerável em direito digital e
específico em privacidade de dados com cursos específicos e
certificação na área.
Normas gerais
Estas normas são as que todas as empresas,
independentemente no ramo ou setor de atuação, devem ter
atenção no momento da implementação de uma nova
política ou alteração daquelas já em vigor.
Deve-se ter zelo quando da relação e o tipo de negócio,
podendo ser o próprio cliente final (B2C), o governo (B2G),
funcionários de uma empresa (B2E) e até mesmo uma outra
empresa (B2B).
Principais legislações e onde encontrá-las:
BRASIL. Constituição da República Federal do
Brasil de 1988. Planalto, 1988. Disponível em <
 http://www.planalto.gov.br/ccivil_03/constituicao/constit
uicao.htm>
BRASIL. Direitos Humanos: atos internacionais e
normas correlatas . Senado Federal, 2013-2014.
Disponível em <
https://www2.senado.leg.br/bdsf/bitstream/handle/id/50
8144/000992124.pdf?sequence=1&isAllowed=y>
BRASIL. Lei No 10.406, de 10 de janeiro de 2002,
institui o Código Civil . Planalto, 2002. Disponível em
<
http://www.planalto.gov.br/ccivil_03/leis/2002/l10406.ht
m>
BRASIL. Lei Nº 8.078, de 11 de setembro de 1990 -
CDC. Planalto, 1990. Dispõe sobre a proteção do
consumidor e dá outras providências. Disponível
em <
http://www.planalto.gov.br/ccivil_03/leis/l8078.htm>
BRASIL. Lei Nº 12965/2014 – Marco Civil da Internet.
Planalto, 2014. Disponível em <
http://www.planalto.gov.br/ccivil_03/_ato2011-
2014/2014/lei/l12965.htm>
BRASIL. Lei Nº 13.709 – Lei Geral de Proteção de
Dados Pessoais. Planalto, 2018. Disponível em
<http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/L13709.htm>
 
Normas do setor contábil
A Contabilidade é a ciência que tem por objetivo o estudo das
variações quantitativas e qualitativas ocorridas no patrimônio
(conjunto de bens, direitos e obrigações) das entidades
(qualquer pessoa física ou jurídica que possui um
patrimônio).
Esta ciência tem como objetivo servir para tomada de
decisões e controle, apresentando informação previamente
registrada de forma sistemática e útil para as diferentes
partes interessadas.
Tem-se abaixo as principais legislações e onde encontrá-las:
BRASIL. Decreto nº 8373/2014 - E-Social . Planalto,
2014. Disponível em <
http://www.planalto.gov.br/ccivil_03/_ato2011-
2014/2014/decreto/d8373.htm>
BRASIL. Lei Nº 5.172/1966 – CTN . Planalto, 1965.
Disponível em <
http://www.planalto.gov.br/ccivil_03/leis/l5172.htm>
BRASIL. Lei Nº 5.452/1943 – CLT . Planalto, 1965.
Disponível em <
http://www.planalto.gov.br/ccivil_03/decreto-
lei/del5452.htm>
BRASIL. Decreto-Lei Nº 9.295/1946 – Profissão
Contábil .  Planalto, 1965. Disponível em
<http://www.planalto.gov.br/ccivil_03/Decreto-
Lei/Del9295.htm>
BRASIL. Lei Nº 8212/91 – Plano de Custeio da
Previdência Social . Planalto, 1965. Disponível em
<http://www.planalto.gov.br/ccivil_03/leis/l8212cons.ht
m>
BRASIL. Lei Nº 8213/91 – Planos de Benefício da
Previdência Social . Planalto, 1965. Disponível em <
http://www.planalto.gov.br/ccivil_03/leis/l8213cons.htm
>
BRASIL. Decreto-Lei Nº 3048/99 – Regulamento da
Previdência Social . Planalto, 1965. Disponível em <
http://www.planalto.gov.br/ccivil_03/decreto/d3048.htm
>
 
Normas do setor bancário
O sistema financeiro é composto por vários órgãos em sua
estrutura, e coube ao Banco Central do Brasil ser o banco dos
bancos, autorizador das demais organizações financeiras,
para operacionalizar no mercado financeiro.
O BACEN é o competente e de forma exclusiva, além de
outras, concede autorização às instituições financeiras para
operar no país, fiscalizar, aplicar penalidades e emitir
normativas para atender ao melhor interesse do Sistema
Financeiro.
Tem-se abaixo as principais legislações e onde encontrá-las:
BRASIL. Lei nº 4.278, de 14 de julho de 1965.
Disciplina o mercado de capitais e estabelece
medidas para o seu desenvolvimento . Planalto,
1965. Disponível em: <
http://www.planalto.gov.br/ccivil_03/leis/L4728compilad
o.htm>
BRASIL. Lei nº 9.613 , de 03 de março de 1998.
Dispõe sobre os crimes de "lavagem" ou ocultação de
bens, direitos e valores; a prevenção da utilização do
sistema financeiro para os ilícitos previstos nesta Lei;
cria o Conselho de Controle de Atividades Financeiras -
COAF, e dá outras providências. Planalto, 1998.
Disponível em: <
http://www.planalto.gov.br/ccivil_03/leis/L9613compilad
o.htm>
BRASIL. Lei Complementar nº 130 , de 17 de abril de
2009. Dispõe sobre o Sistema Nacional de Crédito
Cooperativo e revoga dispositivos das Leis nos 4.595,
de 31 de dezembro de 1964, e 5.764, de 16 de
dezembro de 1971. Planalto, 2009. Disponível em: <
http://www.planalto.gov.br/ccivil_03/leis/lcp/lcp130.htm
>
BRASIL. Lei nº 13.260 , de 16 de março de 2016.
Regulamenta o disposto no inciso XLIII do art. 5º da
Constituição Federal, disciplinando o terrorismo,
tratando de disposições investigatórias e processuais e
reformulando o conceito de organização terrorista; e
 altera as Leis n º 7.960, de 21 de dezembro de 1989, e
12.850, de 2 de agosto de 2013. Planalto, 2016.
Disponível em: <
http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2016/lei/l13260.htm>
BRASIL. Decreto nº 10.222 , de 05 de fevereiro de
2020. Aprova a Estratégia Nacional de Segurança
Cibernética. Planalto, 2020. Disponível em: <
http://www.planalto.gov.br/ccivil_03/_ato2019-
2022/2020/decreto/D10222.htm>
BRASIL. Resolução nº 4.658, de 26 de abril de 2018.
Dispõe sobre a política de segurança cibernética
e sobre os requisitos para a contratação de
serviços de processamento e armazenamento de
dados e de computação em nuvem a serem
observados pelas instituições financeiras e
demais instituições autorizadas a funcionar pelo
Banco Central do Brasil. BCB, 2018. Disponível em:
<
https://www.bcb.gov.br/pre/normativos/busca/download
Normativo.asp?
arquivo=/Lists/Normativos/Attachments/50581/Res_465
8_v1_O.pdf>
BRASIL. Circular nº 3.978, de 23 de janeiro de 2020.
Dispõe sobre a política, os procedimentos e os
controles internos a serem adotados pelas instituições
autorizadas a funcionar pelo Banco Central do Brasil
visando à prevenção da utilização do sistema financeiro
para a prática dos crimes de "lavagem" ou ocultação
de bens, direitos e valores, de que trata a Lei nº 9.613,
de 3 de março de 1998, e de financiamento do
terrorismo, previsto na Lei nº 13.260, de 16 de março
de 2016. BCB, 2020. Disponível em: <
https://www.bcb.gov.br/estabilidadefinanceira/exibenor
mativo?tipo=Circular&numero=3978> 
 
Normas do setor educacional
A educação abrange os processos formativos que se
desenvolvem na vida familiar, na convivência humana, no
trabalho, nas instituições de ensino e pesquisa, nos
movimentos sociais e organizações da sociedade civil e nas
manifestações culturais.
A educação, dever da família e do Estado, inspirada nos
princípios de liberdade e nos ideais de solidariedade humana,
tem por finalidade o pleno desenvolvimento do educando,
seu preparo para o exercício da cidadania e sua qualificação
para o trabalho.
Tem-se abaixo as principais legislações e onde encontrá-las:
BRASIL.  Lei Nº 9.394, de 20 de dezembro de 1996.
Estabelece as diretrizes e bases da educação nacional.
Planalto, 1996. Disponível em: <
http://www.planalto.gov.br/ccivil_03/leis/L9394.htm>
BRASIL.  Ministério da Educação. MEC, 2020. Disponível
em: < http://portal.mec.gov.br/>
BRASIL. Instituto Nacional de Estudos e Pesquisas
Educacionais Anísio Teixeira. INEP, 2020. Disponível em:
< http://portal.inep.gov.br/web/guest/inicio>
BRASIL.  Lei Nº 8.069, de 13 de julho de 1990. Dispõe
sobre o Estatuto da Criança e do Adolescente e
dá outras providências . Planalto, 1990. Disponível
em: <
http://www.planalto.gov.br/ccivil_03/leis/l8069.htm>
 
Normas do setor imobiliário
O mercado imobiliário é um ramo do comércio no setor de
imóveis que negocia terrenos ou qualquer ocupação
construída em um dado espaço.
Na maioria das vezes os atuantes no mercado são, dentre
outros, as pessoas físicas, pessoas jurídicas e as imobiliárias,
que agem na intermediação de venda ou locação de imóveis,
tais como, casas e apartamentos, salas e escritórios.
O setor imobiliário é um ramo do setor secundário da
economia, que são basicamente as atividades industriais, não
confundindo com o chamado segundo setor, que lida com a
produção e a comercialização (neste caso a compra, a venda
e o aluguel) dos bens imóveis.
Tem-se abaixo as principais legislações e onde encontrá-las:
BRASIL.  Lei Nº 8.069, de 13 de julho de 1990. Dispõe
sobre o Estatuto da Criança e do Adolescente e dá
outras providências. Planalto, 1990. Disponível em: <
http://www.planalto.gov.br/ccivil_03/leis/l8069.htm>
BRASIL.  Lei Nº 4.591, de 16 de dezembro de 1964.
Dispõe sobre o condomínio em edificações e as
incorporações imobiliárias. Planalto, 1964. Disponível
em: <
http://www.planalto.gov.br/ccivil_03/leis/l4591.htm>
BRASIL.  Lei No 6.766, de 19 de dezembro de 1979.
Dispõe sobre o Parcelamento do Solo Urbano e dá
outras Providências. Planalto, 1979. Disponível em: <
http://www.planalto.gov.br/ccivil_03/leis/l6766.htm>
BRASIL.  Lei Nº 13.786, de 27 de dezembro de 2018.
Altera as Leis n º 4.591, de 16 de dezembro de 1964, e
6.766, de 19 de dezembro de 1979, para disciplinar a
resolução do contrato por inadimplemento do
adquirente de unidade imobiliária em incorporação
imobiliária e em parcelamento de solo urbano. Planalto,
2018. Disponível em: <
http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2018/Lei/L13786.htm>
BRASIL.  Lei Nº 6.530, de 12 de maio de 1978. Dá nova
regulamentação à profissão de Corretor de Imóveis,
disciplina o funcionamento de seus órgãos de
fiscalização e dá outras providências. Planalto, 1978.
 Disponível em: <
http://www.planalto.gov.br/ccivil_03/LEIS/L6530.htm>
BRASIL. Conselho Federal de Corretores de Imóvel.
COFECI, 2020. Disponível em: <
https://www.cofeci.gov.br/legislacao-1>
Normas do setor de e-commerce
O Comércio eletrônico ou E-commerce ou Ecommerce, é o
comércio virtual ou venda não-presencial, é um tipo de
transação comercial feita especialmente através de um
equipamento eletrônico, como, por exemplo, computadores,
tablets e smartphones.
Tem-se abaixo as principais legislações e onde encontrá-las:
BRASIL. Decreto nº 2.281, de 20 de março de 1997.
Planalto, 1997. Dispõe sobre a organização do
Sistema Nacional de Defesa do Consumidor -
SNDC , estabelece as normas gerais de aplicação das
sanções administrativas previstas na Lei nº 8.078, de
11 de setembro de 1990, revoga o Decreto Nº 861, de
9 julho de 1993, e dá outras providências. Disponível
em <
http://www.planalto.gov.br/ccivil_03/decreto/D2181.htm
>
BRASIL. Decreto Nº 8.771, de 11 de maio de 2016.
Planalto, 2016. Regulamenta a Lei nº 12.965, de 23 de
abril de 2014, para tratar das hipóteses admitidas de
discriminação de pacotes de dados na internet e de
degradação de tráfego, indicar procedimentos para
guarda e proteção de dados por provedores de conexão
e de aplicações, apontar medidas de transparência na
requisição de dados cadastrais pela administração
pública e estabelecer parâmetros para fiscalização e
apuração de infrações. Disponível em <
http://www.planalto.gov.br/ccivil_03/decreto/D2181.htm
>
 
 
 
 
 
 
 
 
 

18 - Resumo da GDPR
 

Este capítulo descreve, em resumo, os seis componentes

principais do GDPR que os executivos corporativos europeus
precisam entender e tomar ações específicas e implementar
controles relevantes para proteger os dados de sua empresa.
Definição da GDPR
O Regulamento Geral de Proteção de Dados da UE (GDPR)
(Regulamento (UE) 2016/679) é um regulamento pelo qual a
Comissão Europeia pretende fortalecer e unificar a proteção
de dados para indivíduos dentro da União Europeia (UE).
Também aborda a exportação de dados pessoais para fora da
UE. Os principais objetivos da Comissão com o GDPR são
devolver aos cidadãos o controle dos seus dados pessoais e
simplificar o ambiente regulamentar para os negócios
internacionais, unificando a regulamentação dentro da UE.
Quando o RGPD entrar em vigor, ele substituirá a Diretiva
oficial 95/46 / CE de 1995.
O regulamento foi adotado em 27 de abril de 2016. Entrou
em vigor em 25 de maio de 2018 após um período de
transição de dois anos e, ao contrário de uma diretiva, não
exige a aprovação de qualquer legislação habilitadora pelos
governos.
A nova lei substituirá uma colcha de retalhos de 28 conjuntos
diferentes de leis nacionais de privacidade, criando um único
conjunto de regras para a proteção de dados na UE.
Esta consolidação para um regulador nacional de privacidade
deve aliviar a carga administrativa das empresas, uma vez
que serão capazes de conduzir negócios em toda a UE sem
ter que monitorar o cumprimento de várias leis de
privacidade autônomas.
Ao mesmo tempo, o GDPR define a barreira da privacidade
bastante alta, colocando limites extensos sobre como as
empresas devem tratar dados pessoais e exigindo controles
consistentes de monitoramento de privacidade.
 
Principais componentes da GDPR
 

Componente 1: conceito mais amplo de "dados

pessoais"
A definição de "dados pessoais" foi amplamente expandida
para incluir informações relacionadas à identidade física,
fisiológica, genética, mental, econômica, cultural ou social do
titular dos dados. Isso vai exigir um repensar das políticas de
privacidade de dados anteriores da maioria das organizações.
Componente 2: notificações para violações de dados
O GDPR estabelece um requisito de notificação de violação
de dados uniforme: no caso de uma violação de dados levar à
perda, acesso ou divulgação de dados pessoais, as
organizações devem notificar os reguladores "sem demora
indevida" e - a menos que os dados sejam criptografados ou
os indivíduos envolvidos ser prejudicados - devem fazê-lo
dentro de 72 horas.
 
Componente 3: regras de transferência de dados
A transferência de dados para fora da UE só será permitida se
a Comissão Europeia avaliou o nível de proteção dos dados
no país para onde os dados estão a ser transferidos e afirmou
que é aceitável.
 
Componente 4: regras de consentimento
No GDPR, o consentimento deve ser dado de forma livre,
específica e informada. Qualquer organização que coleta
dados pessoais deve deixar claro que o indivíduo que fornece
essas informações está tomando uma decisão clara e
inequívoca de que está entrando em um acordo para a
organização coletar e processar esses dados.
 
Componente 5: Oficial de proteção de dados
Se uma empresa monitora ou processa consistentemente
dados pessoais confidenciais - independentemente de onde
esses dados são processados no mundo - ela terá que
nomear um Diretor de Proteção de Dados que tenha
experiência apropriada em legislação de proteção de dados.
O oficial de proteção de dados pode ser contratado pela
empresa ou ter um contrato de serviço, mas de qualquer
forma as tarefas do profissional devem incluir aconselhar a
empresa sobre questões de proteção de dados, monitorar o
cumprimento do GDPR e atuar como ponto de contato para
os reguladores.
Componente 6: Aplicação
O RGPD (GDPR) concede aos consumidores individuais o
direito privado de ação nos tribunais da UE, o que significa
que têm o direito de pedir uma indemnização por quaisquer
danos causados pelo tratamento de dados pessoais.
Enquanto isso, os reguladores têm o poder de emitir opiniões,
adotar decisões vinculativas e supervisionar os processos de
proteção de dados para garantir o cumprimento por parte
das organizações.
O poder de avaliar as multas é alarmante - até 4% das
receitas corporativas mundiais é impressionante - embora o
GDPR deixe claro que o valor da multa dependerá de vários
fatores, como natureza, gravidade e duração da infração.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

19 - Perguntas e respostas
 
1. Do que trata a Lei Geral de Proteção de Dados
pessoais – LGPD?
A Lei Geral de Proteção de Dados – LGPD (Lei n. 13.709, de
2018), dispõe sobre o tratamento de dados pessoais das
pessoas naturais , definindo as hipóteses em que tais
dados podem legitimamente ser utilizados por terceiros e
estabelecendo mecanismos para proteger os titulares dos
dados contra usos inadequados.
A Lei é aplicável ao tratamento de dados realizado por
pessoas naturais ou por pessoas jurídicas de direito
público ou privado , e tem o objetivo de proteger os
direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural.
 
2. Como a legislação de proteção de dados pessoais
pode ajudar o Brasil?
A LGPD tem por objetivo proteger os direitos fundamentais
relacionados à esfera informacional do cidadão. Assim, a Lei
introduz uma série de novos direitos que asseguram maior
transparência quanto ao tratamento dos dados e conferem
protagonismo ao titular quanto ao seu uso.
A aprovação da LGPD e a criação da Autoridade Nacional de
Proteção de Dados – ANPD representam também importantes
passos para colocar o Brasil no mesmo patamar de muitos
outros países que já aprovaram leis e estruturas institucionais
dessa natureza. A constituição de um ambiente jurídico
voltado à proteção de dados pessoais corresponde também
ao alinhamento com diretrizes da Organização para a
Cooperação e Desenvolvimento Econômico – OCDE, que há
décadas vem desempenhando um relevante papel na
promoção do respeito à privacidade como um valor
fundamental e como um pressuposto para o livre fluxo de
dados.
Por fim, do ponto de vista dos agentes de tratamento de
dados, sejam empresas ou o próprio poder público, a LGPD
traz a oportunidade de aperfeiçoamento das políticas de
governança de dados, com adoção de regras de boas práticas
e incorporação de medidas técnicas e administrativas que
mitiguem os riscos e aumentem a confiança dos titulares dos
dados na organização.
 
3. Quando a LGPD entrou em vigor?
A Lei entrou em vigor de maneira escalonada:
Em 28 de dezembro de 2018 , quanto aos arts. 55-A,
55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-
K, 55-L, 58-A e 58-B, que tratam da constituição da
Autoridade Nacional de Proteção de Dados – ANPD e do
Conselho Nacional de Proteção de Dados Pessoais e da
Privacidade – CNPD.
Em 18 de setembro de 2020 , quanto aos demais
artigos da Lei, com exceção dos dispositivos que tratam
da aplicação de sanções administrativas;
Em 1o de agosto de 2021 , quanto aos arts. 52. 53 e
54, que tratam das sanções administrativas
 
4. O que são dados pessoais?
A LGPD adota um conceito aberto de dado pessoal ,
definido como a informação relacionada a uma pessoa
natural identificada ou identificável . Assim, além das
informações básicas relativas ao nome, número de inscrição
no Registro Geral (RG) ou no Cadastro Nacional de Pessoas
Físicas (CPF) e endereço residencial, são também
considerados dados pessoais outros dados que permitam a
identificação de um indivíduo, tais como a orientação sexual,
a filiação político-partidária, o histórico médico e também
aqueles referentes aos seus aspectos biométricos. Segundo a
LGPD, poderão ser igualmente considerados como dados
pessoais aqueles utilizados para formação do perfil
comportamental de determinada pessoa natural, se
identificada.
 
5. O que são dados pessoais sensíveis?
Os dados pessoais sensíveis são aqueles aos quais a LGPD
conferiu uma proteção ainda maior, por estarem diretamente
relacionamentos aos aspectos mais íntimos da personalidade
de um indivíduo. Assim, são dados pessoais sensíveis aqueles
relativos à origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dados referente à
saúde ou à vida sexual, dados genéticos ou biométricos,
quando vinculados a uma pessoa natural.
 
6. Quais dados são protegidos pela LGPD?
A LGPD garante proteção a todos os dados cujos titulares
são pessoas naturais , estejam eles em formato físico ou
digital. Assim, a LGPD não alcança os dados titularizados por
pessoas jurídicas – os quais não são considerados dados
pessoais para os efeitos da Lei.
 
7. O que é tratamento de dados pessoais, de acordo com a
LGPD?
Segundo a LGPD, tratamento de dados pessoais é toda
operação realizada com dados pessoais, como as que se
referem à coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração.
8. Em que hipóteses pode ser realizado o tratamento de
dados pessoais?
Com a entrada em vigor da LGPD, o tratamento de dados
pessoais pode ser realizado quando se verificar a ocorrência
de qualquer uma das hipóteses previstas em seu
artigo 7 o ou, no caso de dados pessoais sensíveis, de uma
das hipóteses previstas no artigo 11 . Existem dez bases
legais distintas para o tratamento de dados pessoais e oito
bases legais que legitimam o tratamento de dados pessoais
sensíveis.
Vale notar que a LGPD é aplicável também aos dados cujo
acesso é público e àqueles tornados manifestamente
públicos pelos titulares, resguardando-se a observância dos
princípios gerais e dos direitos dos titulares previstos na Lei.
 
9. Quais são as bases legais para o tratamento de
dados pessoais?
O tratamento de dados pessoais poderá ser realizado em
qualquer uma das seguintes hipóteses, previstas no art. 7o
da LGPD:
Mediante o fornecimento de consentimento pelo titular;
Para o cumprimento de obrigação legal ou regulatória
pelo controlador;
Para a execução de políticas públicas, pela
administração pública;
Para a realização de estudos por órgão de pesquisa;
Para a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte
o titular, a pedido do titular dos dados;
Para o exercício regular de direitos em processo
judicial, administrativo ou arbitral;
Para a proteção da vida ou da incolumidade física do
titular ou de terceiro;
Para a tutela da saúde, exclusivamente, em
procedimento realizado por profissionais de saúde,
serviços de saúde ou autoridade sanitária;
 Para atender aos interesses legítimos do controlador ou
de terceiro, exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a
proteção dos dados pessoais;
Para a proteção do crédito.
As bases legais para o tratamento de dados pessoais
sensíveis estão previstas no art. 11 da LGPD.
 
10.Quais são os direitos dos cidadãos com a entrada em
vigor da LGPD?
A LGPD prevê uma ampla gama de direitos dos titulares de
dados, dentre os quais podem ser destacados os seguintes:
acesso facilitado às informações sobre o tratamento de
seus dados, que deverão ser disponibilizadas de forma
clara, adequada e ostensiva;
confirmação da existência de tratamento;
acesso aos dados;
correção de dados incompletos, inexatos ou
desatualizados;
anonimização, bloqueio ou eliminação de dados
desnecessários, excessivos ou tratados em
desconformidade com o disposto na LGPD;4
portabilidade dos dados a outro fornecedor de serviço
ou produto, mediante requisição expressa, de acordo
com a regulamentação da autoridade nacional,
observados os segredos comercial e industrial;
eliminação dos dados pessoais tratados com o
consentimento do titular, exceto nas hipóteses
previstas no art. 16 da LGPD;
informação das entidades públicas e privadas com as
quais o controlador realizou uso compartilhado de
dados;
informação sobre a possibilidade de não fornecer
consentimento e sobre as consequências da negativa;
 revogação do consentimento, mediante manifestação
expressa do titular, por procedimento gratuito e
facilitado;
peticionamento em relação aos seus dados contra o
controlador, perante a ANPD e perante os organismos
de defesa do consumidor;
oposição a tratamento realizado com fundamento em
uma das hipóteses de dispensa de consentimento, em
caso de descumprimento ao disposto na LGPD;
solicitação de revisão de decisões tomadas unicamente
com base em tratamento automatizado de dados
pessoais que afetem seus interesses, incluídas as
decisões destinadas a definir o seu perfil pessoal,
profissional, de consumo e de crédito ou os aspectos de
sua personalidade; e
fornecimento, mediante solicitação, de informações
claras e adequadas a respeito dos critérios e dos
procedimentos utilizados para a decisão automatizada,
observados os segredos comercial e industrial.
 
11.O que as empresas e o setor público precisam fazer para
se adequar?
A LGPD estabelece uma série de medidas que devem ser
adotadas pelos agentes de tratamento, que incluem a
identificação das bases legais que justificam as atividades de
tratamento de dados; a adoção de processos e políticas
internas que assegurem o cumprimento das normas de
proteção de dados pessoais; e o estabelecimento de um
canal de contato com os titulares de dados pessoais.
A Lei determina que os controladores de dados devem indicar
um Encarregado para atuar como canal de comunicação
entre o controlador, os titulares dos dados e a ANPD. Em
determinadas circunstâncias, conforme a natureza e o porte
da entidade ou o volume de operações de tratamento de
dados, a ANPD poderá estabelecer hipóteses de dispensa da
necessidade de sua indicação.
 
12.O que é a Autoridade Nacional de Proteção de Dados
Pessoais - ANPD?
A ANPD é o órgão da administração pública federal
responsável por zelar pela proteção de dados pessoais e por
implementar e fiscalizar o cumprimento da LGPD no Brasil.
 
13.Qual é o papel da Autoridade Nacional de Proteção de
Dados – ANPD?
A missão institucional da ANPD é assegurar a mais ampla e
correta observância da LGPD no Brasil e, nessa medida,
garantir a devida proteção aos direitos fundamentais de
liberdade, privacidade e livre desenvolvimento da
personalidade dos indivíduos.
O art. 55-J da LGPD estabelece as principais competências da
ANPD, dentre as quais se destacam as seguintes:
elaborar diretrizes para a Política Nacional de Proteção
de Dados Pessoais
e da Privacidade;
fiscalizar e aplicar sanções em caso de tratamento de
dados realizado em descumprimento à legislação,
mediante processo administrativo que assegure o
contraditório, a ampla defesa e o direito de recurso;
promover na população o conhecimento das normas e
das políticas públicas sobre proteção de dados pessoais
e das medidas de segurança;
estimular a adoção de padrões para serviços e
produtos que facilitem o exercício de controle dos
titulares sobre seus dados pessoais, os quais deverão
levar em consideração as especificidades das
atividades e o porte dos responsáveis;
 promover ações de cooperação com autoridades de
proteção de dados pessoais de outros países, de
natureza internacional ou transnacional;
editar regulamentos e procedimentos sobre proteção
de dados pessoais e privacidade, bem como sobre
relatórios de impacto à proteção de dados pessoais
para os casos em que o tratamento representar alto
risco à garantia dos princípios gerais de proteção de
dados pessoais previstos na LGPD;
ouvir os agentes de tratamento e a sociedade em
matérias de interesse relevante e prestar contas sobre
suas atividades e planejamento;
editar normas, orientações e procedimentos
simplificados e diferenciados, inclusive quanto aos
prazos, para que microempresas e empresas de
pequeno porte, bem como iniciativas empresariais de
caráter incremental ou disruptivo que se autodeclarem
startups ou empresas de inovação, possam adequar-se
à Lei;
deliberar, na esfera administrativa, em caráter
terminativo, sobre a interpretação da LGPD, as suas
competências e os casos omissos;
articular-se com as autoridades reguladoras públicas
para exercer suas competências em setores específicos
de atividades econômicas e governamentais sujeitas à
regulação; e
implementar mecanismos simplificados, inclusive por
meio eletrônico, para o registro de reclamações sobre o
tratamento de dados pessoais em desconformidade
com a LGPD.
 
14.Quando a ANPD foi criada?
A ANPD foi criada pela Medida Provisória n. 869, de 27 de
dezembro de 2018, posteriormente convertida na Lei n.
13.853, de 14 de agosto de 2019. Por sua vez, o Decreto
10.474, de 26 de agosto de 2020, aprovou a Estrutura
Regimental e o Quadro Demonstrativo dos Cargos em
Comissão e das Funções de Confiança da ANPD, com entrada
em vigor na data de publicação da nomeação do Diretor-
Presidente da ANPD no Diário Oficial da União.
 
15.A ANPD é uma autoridade independente?
Apesar de ser um órgão da administração pública federal
direta, a ANPD possui algumas características institucionais
que lhe conferem maior independência, tais como a
autonomia técnica e decisória e o mandato fixo dos Diretores.
A LGPD prevê também que a natureza jurídica da ANPD é
transitória e poderá ser transformada pelo Poder Executivo
em entidade da administração pública federal indireta,
submetida a regime autárquico especial e vinculada à
Presidência da República. Tal avaliação deverá ocorrer em até
2 (dois) anos da data da entrada em vigor da estrutura
regimental da ANPD.
 
16.A ANPD pode aplicar sanções pelo descumprimento da
Lei?
Cabe lembrar, em primeiro lugar, que os dispositivos da
LGPD que tratam de sanções administrativas somente
entrarão em vigor em 1o de agosto de 2021. A partir dessa
data, a ANPD poderá aplicar, após procedimento
administrativo que possibilite a ampla defesa, as seguintes
sanções administrativas:
• advertência, com indicação de prazo para adoção de
medidas corretivas;
• multa simples, de até 2% (dois por cento) do faturamento
da pessoa
jurídica de direito privado, grupo ou conglomerado no Brasil
no seu
7
último exercício, excluídos os tributos, limitada, no total, a R$
50.000.000,00 (cinquenta milhões de reais) por infração;
• multa diária, observado o limite total a que se refere o
inciso II;
• publicização da infração após devidamente apurada e
confirmada a sua
ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até
a sua
regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a
que se refere a
infração pelo período máximo de 6 (seis) meses, prorrogável
por igual
período, até a regularização da atividade de tratamento pelo
controlador;
• suspensão do exercício da atividade de tratamento dos
dados pessoais a
que se refere a infração pelo período máximo de 6 (seis)
meses,
prorrogável por igual período; e
• proibição parcial ou total do exercício de atividades
relacionadas a
tratamento de dados.
 
A LGPD determina que a ANPD deverá editar regulamento
próprio sobre sanções administrativas, que deverá ser objeto
de consulta pública, contendo as metodologias que
orientarão o cálculo do valor-base das sanções de multa. Tais
metodologias devem ser previamente publicadas e devem
apresentar objetivamente as formas e dosimetrias para o
cálculo do valor-base das sanções de multa, que deverão
conter fundamentação detalhada de todos os seus
elementos, demonstrando a observância dos critérios
previstos na LGPD.
Nos termos da Lei, a aplicação de sanções requer, ainda,
criteriosa apreciação e ponderação de inúmeras
circunstâncias, dentre as quais a gravidade e a natureza das
infrações e dos direitos pessoais afetados, a condição
econômica do infrator, o grau do dano, a cooperação do
infrator, a adoção de política de boas práticas e governança e
a pronta adoção de medidas corretivas.
 
17.A Autoridade Nacional de Proteção de Dados Pessoais se
articula com
outras entidades e órgãos públicos no exercício das suas
competências? Sim. A ANPD deve se articular com outras
entidades e órgãos públicos a fim de garantir o cumprimento
de sua missão institucional, atuando como órgão central de
interpretação da LGPD e do estabelecimento de normas e
diretrizes para a sua implementação.
A LGPD determina, por exemplo, que a ANPD e os órgãos e
entidades públicos responsáveis pela regulação de setores
específicos da atividade econômica e governamental devem
coordenar suas atividades, nas correspondentes esferas de
atuação, com vistas a assegurar o cumprimento de suas
atribuições com a maior eficiência e promover o adequado
funcionamento dos setores regulados. Da mesma forma, a
LGPD determina que a ANPD deve comunicar às autoridades
competentes as infrações penais das quais tiver
conhecimento.
É importante observar que a aplicação das sanções previstas
na LGPD compete exclusivamente à ANPD, e suas
competências prevalecerão, no que se refere à proteção de
dados pessoais, sobre as competências correlatas de outras
entidades ou órgãos da administração pública.
20 – Anexos
 

Exemplo de Política Interna de Privacidade e

Proteção de Dados
Introdução
 
1.1.   O NOMEDASUAORGANIZAÇÃO   tem como missão
oferecer produtos e serviços de alta qualidade, que
 satisfaçam os nossos clientes e consumidores por meio
de crescimento sustentável, gerando prosperidade para a
sociedade e valorização dos colaboradores e parceiros.
 
1.2.   O NOMEDASUAORGANIZAÇÃO   entende que a
privacidade é um direito fundamental da pessoa natural.
 
1.3.   O NOMEDASUAORGANIZAÇÃO   compreende que, em
seus processos de negócio onde existe tratamento de
dados pessoais, essa informação passa por diferentes
meios de suporte, armazenamento e comunicação, sendo
estes vulneráveis a fatores externos e internos que
podem comprometer a proteção de dados pessoais e
afetar negativamente a privacidade dos seus titulares.
 
1.4.   Dessa forma, o NOMEDASUAORGANIZAÇÃO   estabelece
sua POLÍTICA GERAL DE PROTEÇÃO DE DADOS PESSOAIS
(PGPDP), como parte integrante do seu sistema de gestão
corporativo, compatível com os requisitos da legislação
brasileira, além de boas práticas e normas
internacionalmente aceitas, com o objetivo de garantir
níveis adequados de proteção para os dados pessoais
tratados pela organização.
 
Propósito
 
1.5.   Esta política tem por proposito estabelecer diretrizes
de Proteção de Dados que permitam o
NOMEDASUAORGANIZAÇÃO   realizar o tratamento de
dados pessoais, em conformidade com a legislação
brasileira;
 
1.6.   Orientar quanto à adoção de controles técnicos e
administrativos para atendimento dos requisitos para
Proteção de Dados Pessoais, conforme a legislação
vigente;
  
1.7.   Resguardar os titulares dos dados pessoais que são
tratados pelo NOMEDASUAORGANIZAÇÃO , garantindo
direitos fundamentais de liberdade e de privacidade e
o livre desenvolvimento da personalidade da pessoa
natural;
 
1.8.   Prevenir possíveis causas de violações de dados
pessoais e incidentes de segurança da informação
relacionados ao tratamento de dados pessoais;
 
1.9.   Minimizar os riscos de perdas financeiras, de
participação no mercado, da confiança de clientes ou
de qualquer outro impacto negativo no negócio do
NOMEDASUAORGANIZAÇÃO   como resultado de
violações de dados.
 
Escopo
 
1.10.                     Esta política se aplica a qualquer operação
de tratamento de dados pessoais realizada pelo
NOMEDASUAORGANIZAÇÃO , independentemente do
meio ou do país onde estejam localizados os dados,
desde que:
 
1.10.1.         A operação de tratamento seja realizada em
território nacional brasileiro;
1.10.2.      Tenha por objetivo a oferta ou o fornecimento
de bens ou serviços ou o tratamento de dados
de indivíduos localizados no território nacional;
1.10.3.         Os dados pessoais, objeto do tratamento,
tenham sido coletados no território nacional.
Diretrizes
 
1.11.                         O objetivo da Proteção de Dados no
NOMEDASUAORGANIZAÇÃO   é garantir a gestão
 sistemática e efetiva de todos os aspectos relacionados à
proteção de dados pessoais e dos direitos dos seus
titulares, provendo suporte as operações críticas do
negócio e minimizando riscos identificados e seus
eventuais impactos a organização.
 
1.12.                         A Presidência, Diretoria Executiva e o Comitê
Gestor de Proteção de Dados Pessoais estão
comprometidos com uma gestão efetiva da Proteção de
Dados Pessoais no NOMEDASUAORGANIZAÇÃO. Desta
forma, adotam todas medidas cabíveis para garantir que
esta política seja adequadamente comunicada, entendida
e seguida em todos os níveis da organização. Revisões
periódicas serão realizadas para garantir sua contínua
pertinência e adequação as necessidades do
NOMEDASUAORGANIZAÇÃO.
 
1.13.              É política do NOMEDASUAORGANIZAÇÃO :
 
1.13.1.       Garantir ao titular a escolha de permitir ou não o
tratamento de seus dados pessoais, excetuando-se
casos em que a lei aplicável permitir
especificamente o processamento de dados
pessoais sem o consentimento do titular;
1.13.2.       Garantir que o objetivo do tratamento de dados
pessoais esteja em conformidade com a legislação
vigente e de acordo com uma base legal permitida;
1.13.3.           Comunicar, de forma clara e adequadamente
adaptada às circunstâncias, o tratamento de dados
pessoais ao titular, antes do momento em que os
dados são coletados ou usados pela primeira vez
para um novo propósito;
1.13.4.           Sempre que necessário, fornecer ao titular
explicações suficientes sobre o tratamento de seus
dados pessoais, conforme previsto na legislação
vigente;
1.13.5. Limitar a coleta de dados pessoais estritamente
     

ao que é permitido de acordo com a legislação

vigente, e os objetivos especificados na coleta do
consentimento do titular dos dados pessoais,
minimizando, onde possível, a coleta dos referidos
dados pessoais.
1.13.6.           Limitar o uso, retenção, divulgação e
transferência de dados pessoais ao necessário para
cumprir com objetivos específicos, explícitos e
legítimos;
1.13.7.           Reter dados pessoais apenas pelo tempo
necessário para cumprir os propósitos declarados e,
posteriormente, destruí-los, bloqueá-los ou
anonimizá-los com segurança;
1.13.8.           Bloquear o acesso a dados pessoais e não
realizar mais nenhum tratamento quando os
propósitos declarados expirarem, mas a retenção
dos dados pessoais for exigida pela legislação
vigente.
1.13.9.           Garantir a precisão e qualidade dos dados
pessoais tratados, excetuando-se casos em que
exista uma base legal para manter dados
desatualizados.
1.13.10.   Fornecer aos titulares dos dados pessoais
tratados, informações claras e facilmente acessíveis
sobre as políticas, procedimentos e práticas com
relação ao tratamento de dados pessoais realizado
pela organização, incluindo quais dados são
efetivamente tratados, a finalidade desse
tratamento e informações sobre como entrar em
contato para obter maiores detalhes.
1.13.11.   Notificar titulares quando ocorrerem alterações
significativas no tratamento dos seus dados
pessoais.
1.13.12.   Garantir que titulares tenham a possibilidade de
acessar e revisar seus dados pessoais, desde que
 sua identidade seja autenticada com um nível
apropriado de garantia, e que não exista nenhuma
restrição legal a esse acesso ou a revisão dos dados
pessoais.
1.13.13.   Garantir a rastreabilidade e prestação de contas
durante todo o tratamento de dados pessoais,
incluindo quando dados pessoais forem
compartilhados com terceiros.
1.13.14.   Tratar integralmente violações de dados,
garantindo que sejam adequadamente registradas,
classificadas, investigadas, corrigidas e
documentadas.
1.13.15.   Garantir que, na ocorrência de uma violação de
dados, todas as partes interessadas serão
notificadas, conforme requisitos e prazos previstos
na legislação vigente.
1.13.16.   Documentar e comunicar, conforme apropriado,
todas as políticas, procedimentos e práticas
relacionadas à privacidade e proteção de dados.
1.13.17.   Garantir a existência de um responsável por
documentar, implementar e comunicar políticas,
procedimentos e práticas relacionadas à
privacidade e proteção de dados;
1.13.18.   Adotar controles de segurança da informação,
tanto técnicos quanto administrativos, suficientes
para garantir níveis de proteção adequados para
Dados Pessoais.
1.13.19.   Disponibilizar políticas, normas e procedimentos
para proteção de dados pessoais a todas as partes
interessadas e autorizadas, tais como: Empregados,
terceiros contratados e, onde pertinente, clientes.
1.13.20.   Garantir a educação e conscientização de
empregados, terceiros contratados e, onde
pertinente, parceiros e clientes, sobre as práticas
de proteção de dados pessoais adotadas pelo
NOMEDASUAORGANIZAÇÃO.
 1.13.21.   Melhorar continuamente a Gestão de Proteção
de Dados Pessoais através da definição e revisão
sistemática de objetivos de privacidade e proteção
de dados pessoais em todos os níveis da
organização.
1.13.22.   Garantir a não discriminação no tratamento de
dados pessoais, impossibilitando que estes sejam
usados para fins discriminatórios, ilícitos ou
abusivos.
1.13.23.   Garantir a conformidade integral com leis e
regulamentações de proteção de Dados Pessoais.
 
Papéis e Responsabilidades
 
COMITÊ GESTOR DE PROTEÇÃO DE DADOS PESSOAIS- CGPDP
 
1.13.24.                      Fica constituído o COMITÊ GESTOR DE
PROTEÇÃO DE DADOS PESSOAIS (CGPDP),
contando com a participação de, pelo menos, um
representante da diretoria e um membro sênior
das seguintes áreas: Tecnologia da Informação,
Segurança da Informação, Recursos Humanos,
Jurídico, Compliance, Marketing, e Escritório de
Proteção de Dados Pessoais.
 
1.13.25.                      É responsabilidade do CGPDP:
 
1.13.25.1.     Analisar, revisar e aprovar políticas e
normas relacionadas à proteção de dados
pessoais;
 
1.13.25.2.     Garantir a disponibilidade dos recursos
necessários para uma efetiva Gestão da
Proteção de Dados Pessoais;
 
 1.13.25.3.     Garantir que o tratamento de Dados
Pessoais seja realizado em conformidade
com a POLÍTICA GERAL DE PROTEÇÃO DE
DADOS PESSOAIS (PGDP) e a legislação
vigente;
 
1.13.25.4.     Promover a divulgação da PGPDP e
tomar as ações necessárias para
disseminar uma cultura de proteção de
Dados Pessoais no ambiente corporativo do
NOMEDASUAORGANIZAÇÃO.
 
ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS
 
1.13.26.                                         É responsabilidade do Encarregado
pelo Tratamento de Dados Pessoais:
 
1.13.26.1.     Aceitar reclamações e comunicações
dos titulares de dados pessoais, prestar
esclarecimentos e adotar as providências
necessárias;
 
1.13.26.2.     Receber comunicações da autoridade
nacional de proteção de dados e adotar as
providências necessárias;
 
1.13.26.3.     Orientar os empregados, terceiros
contratados e demais partes do
NOMEDASUAORGANIZAÇÃO   a respeito
das práticas a serem tomadas em relação à
proteção de dados pessoais;
 
1.13.26.4.     Atender as demais atribuições,
conforme orientação da Autoridade
Nacional de Proteção de Dados, definidas
 em normas complementares publicadas
pelo referido órgão;
 
1.13.26.5.    Apoiar o CGPDP em suas deliberações;
 
1.13.26.6.     Atuar junto ao time de Segurança da
Informação no ajuste das normas e
procedimentos de segurança da
informação, necessários para se fazer
cumprir a PGPDP;
 
1.13.26.7.     Identificar e avaliar as principais
ameaças à proteção de dados, bem como
propor e, quando aprovado, apoiar a
implantação de medidas corretivas para
reduzir o risco;
 
1.13.26.8.     Tomar as ações cabíveis para se fazer
cumprir os termos desta política;
 
1.13.26.9.    Apoiar a gestão das violações de dados
pessoais, garantindo tratamento adequado
e comunicando, em prazo razoável,  a
autoridade nacional e titulares afetados
pela violação sempre que esta representar
risco ou dano relevante aos titulares.
 
TIME DE SEGURANÇA DA INFORMAÇÃO
 
1.13.27.                                         É responsabilidade do time de
Segurança da Informação:
 
1.13.27.1.     Garantir que políticas, normas e
procedimentos de Segurança da
Informação sejam ajustados de forma a
 atender os requisitos da Política Geral de
Proteção de Dados Pessoais;
 
1.13.27.2.     Adotar medidas de segurança, tanto
técnicas quanto administrativas, aptas a
proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de
tratamento inadequado ou ilícito, conforme
padrões mínimos recomendados pela
autoridade nacional de proteção de dados
pessoais.
 
1.13.27.3.     Realizar o tratamento de incidentes de
segurança da informação que envolvam o
tratamento de dados pessoais, garantindo
sua detecção, contenção, eliminação e
recuperação dentro de um prazo razoável.
 
1.13.27.4.     Apoiar o Encarregado pelo tratamento
de dados pessoais na comunicação à
autoridade nacional e ao titular dos dados
pessoais em casos de ocorrência de
incidente de segurança que possam
acarretar risco ou dano relevante aos
titulares.
 
USUÁRIOS DA INFORMAÇÃO
 
1.13.28.                                         É responsabilidade dos Usuários da
Informação:
 
1.13.28.1.     Ler, compreender e cumprir
integralmente os termos da Política Geral
de Proteção de Dados Pessoais, bem como
 as demais normas e procedimentos de
proteção de dados pessoais aplicáveis;
 
1.13.28.2.     Encaminhar quaisquer dúvidas e/ou
pedidos de esclarecimento sobre a Política
Geral de Proteção de Dados Pessoais, suas
normas e procedimentos ao Encarregado
pelo Tratamento de Dados Pessoais ou,
quando pertinente, ao Comitê Gestor de
Proteção de Dados Pessoais;
 
1.13.28.3.     Comunicar ao Encarregado pelo
Tratamento de Dados Pessoais qualquer
evento que viole esta Política ou
coloque/possa vir a colocar em risco Dados
Pessoais tratados pelo
NOMEDASUAORGANIZAÇÃO;
 
1.13.28.4.    Assinar o Termo de Uso de Sistemas de
Informação da NOMEDASUAORGANIZAÇÃO,
formalizando a ciência e o aceite integral
das disposições da Política Geral de
Proteção de Dados Pessoais, bem como as
demais normas e procedimentos de
segurança, assumindo responsabilidade
pelo seu cumprimento;
 
1.13.28.5.     Responder pela inobservância da
Política Geral de Proteção de Dados
Pessoais, normas e procedimentos
relacionados ao tratamento de Dados
Pessoais, conforme definido no item
sanções e punições.
 
Sanções e Punições
 
1.14.                         As violações, mesmo que por mera omissão ou
tentativa não consumada, desta política, bem como
demais normas e procedimentos de proteção de dados
pessoais, serão passíveis de penalidades que incluem
advertência verbal, advertência por escrito, suspensão
não remunerada e a demissão por justa causa;
 
1.15.              A aplicação de sanções e punições será realizada
conforme a análise do Comitê Gestor de Proteção de
Dados Pessoais, devendo-se considerar a gravidade da
infração, efeito alcançado, recorrência e as hipóteses
previstas no artigo 482 da Consolidação das Leis do
Trabalho, podendo o CGPDP, no uso do poder disciplinar
que lhe é atribuído, aplicar a pena que entender cabível
quando tipificada a falta grave.
 
1.16.                         No caso de terceiros contratados ou prestadores
de serviço, o CGPDP deve analisar a ocorrência e
deliberar sobre a efetivação das sanções e punições
conforme termos previstos em contrato;
 
1.17.                         Para o caso de violações que impliquem em
atividades ilegais, ou que possam incorrer em riscos aos
titulares de dados pessoais, ou dano ao
NOMEDASUAORGANIZAÇÃO, o infrator será
responsabilizado pelos prejuízos, cabendo aplicação das
medidas judiciais pertinentes sem prejuízo aos termos
descritos nos itens 6.1, 6.2 e 6.3 desta política.
 
Casos Omissos
 
1.18.                         Os casos omissos serão avaliados pelo Comitê
Gestor de Proteção de Dados Pessoais para posterior
deliberação.
 
1.19.                         As diretrizes estabelecidas nesta política e nas
demais normas e procedimentos de proteção de dados
pessoais, não se esgotam em razão da contínua evolução
tecnológica, da legislação vigente e constante surgimento
de novas ameaças e requisitos. Desta forma, não se
constitui rol enumerativo, sendo obrigação do usuário da
informação do NOMEDASUAORGANIZAÇÃO   adotar,
sempre que possível, outras medidas de segurança além
das aqui previstas, com o objetivo de garantir proteção
de dados pessoais tratados pelo
NOMEDASUAORGANIZAÇÃO.
 
Glossário
 
1.20.       Anonimização: utilização de meios técnicos
razoáveis e disponíveis no momento do tratamento, por
meio dos quais um dado perde a possibilidade de
associação, direta ou indireta, a um indivíduo;
 
1.21.       Autoridade Nacional de Proteção de Dados
Pessoais: órgão da administração pública responsável
por zelar, implementar e fiscalizar o cumprimento da Lei
Geral de Proteção de Dados Pessoais (LEI Nº 13.709, DE
14 DE AGOSTO DE 2018) em todo território nacional
brasileiro;
 
1.22.       Bloqueio: suspensão temporária de qualquer
operação de tratamento, mediante guarda do dado
pessoal ou do banco de dados;
 
1.23.       COMITÊ GESTOR DE PROTEÇÃO DE DADOS
PESSOAIS – CGPDP: Grupo de trabalho multidisciplinar
permanente, efetivado pela diretoria do
NOMEDASUAORGANIZAÇÃO, que tem por finalidade
tratar questões ligadas à Proteção de Dados Pessoais;
 
1.24.       Consentimento: manifestação livre, informada e
inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade
determinada;
 
1.25.       Controlador: pessoa natural ou jurídica, de direito
público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais;
 
1.26.     Dado Anonimizado: dado relativo ao titular que não
possa ser identificado, considerando a utilização de
meios técnicos razoáveis e disponíveis na ocasião de
seu tratamento;
 
1.27.     Dado Pessoal Sensível: dado pessoal sobre origem
racial ou étnica, convicção religiosa, opinião política,
filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado
a uma pessoa natural;
 
1.28.       Dado Pessoal: informação relacionada a pessoa
natural identificada ou identificável;
 
1.29.       Eliminação: exclusão de dado ou de conjunto de
dados armazenados em banco de dados,
independentemente do procedimento empregado;
 
1.30.       Operador: pessoa natural ou jurídica, de direito
público ou privado, que realiza o tratamento de dados
pessoais em nome do controlador;
 
1.31.       Segurança da informação: A preservação das
propriedades de confidencialidade, integridade e
disponibilidade das informações do
NOMEDASUAORGANIZAÇÃO.
  
1.32.       Titular: pessoa natural a quem se referem os dados
pessoais que são objeto de tratamento;
 
1.33.       Tratamento de dados pessoais: toda operação
realizada com dados pessoais, como as que se referem
a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou
extração;
 
1.34.       Usuário da informação: Empregados com vínculo
empregatício de qualquer área das empresas que
compõem o NOMEDASUAORGANIZAÇÃO   ou terceiros
alocados na prestação de serviços ao
NOMEDASUAORGANIZAÇÃO, indiferente do regime
jurídico a que estejam submetidos, assim como outros
indivíduos ou organizações devidamente autorizadas a
utilizar manipular qualquer ativo de informação do
NOMEDASUAORGANIZAÇÃO   para o desempenho de
suas atividades profissionais;
 
1.35.       Violação de dados pessoais: situação em que
dados pessoais são processados violando um ou mais
requisitos relevantes de proteção da privacidade.
 
Revisões
 
1.36.     Esta política é revisada com periodicidade anual ou
conforme o entendimento do Comitê Gestor de Proteção
de Dados Pessoais.
 
Gestão da Política
 
1.37.     A Política Geral de Proteção de Dados Pessoais é
aprovada pelo Comitê Gestor de Proteção de Dados
Pessoais, em conjunto com a Diretoria do
NOMEDASUAORGANIZAÇÃO.
 
1.38.    A presente política foi aprovada no dia 22/09/2021
 
     
   
   
NomedasuaOrganização   –   NomedasuaOrganização  
Presidente – Vice-Presidente
 
 
 
 

Exemplo de Política Externa de Privacidade e

Proteção de Dados
 
Política de Privacidade
Por favor, leia esta Política de Privacidade e Proteção de
Dados Pessoais cuidadosamente para entender nossas
políticas e práticas sobre seus Dados Pessoais e como o
tratamento destes dados é realizado.

Esta Política se aplica a indivíduos (pessoas naturais) que

interagem com serviços NOMEDASUAORGANIZAÇÃO como
consumidores (“Você”). Esta Política explica como seus Dados
Pessoais são coletados, usados e divulgados pelo
NOMEDASUAORGANIZAÇÃO (referido nessa política como
“NOMEDASUAORGANIZAÇÃO”, “NOMEDASUAORGANIZAÇÃO”,
“Nós”, “Conosco”). Ela também informa como Você pode
acessar e atualizar seus Dados Pessoais e tomar certas
decisões sobre como seus Dados Pessoais são utilizados.
Esta Política abrange nossas atividades de coleta de dados
tanto online e offline, abrangendo os Dados Pessoais que nós
coletamos por meio de nossos vários canais, incluindo – mas
não limitado a – Sites na web, Aplicativos, Redes Sociais de
terceiros, Serviço de Atendimento ao Consumidor, Pontos de
Venda, Pesquisas e Eventos. Por favor, note que nós
poderemos agregar Dados Pessoais combinados de diferentes
fontes (por exemplo, nosso site e eventos offline). Como
parte disso, nós combinamos os Dados Pessoais que foram
originalmente coletados por diferentes entidades do
NOMEDASUAORGANIZAÇÃO ou parceiros do
NOMEDASUAORGANIZAÇÃO. Você pode consultar a seção
“Sobre seus direitos referentes a Dados Pessoais” para obter
mais informações sobre como se opor a isso.
Em alguns casos específicos, se você decidir por não nos
fornece os seus Dados Pessoais apontados como necessários
(Nós indicaremos quando esse for o caso, por exemplo,
colocando explicitamente essa informação em nossos
formulários de registro), nós talvez não possamos fornecer a
Você nossos produtos e/ou serviços.

Fontes de Dados Pessoais

Nós coletamos seus Dados Pessoais através das
seguintes fontes:

Sites do NOMEDASUAORGANIZAÇÃO: Todos os

nossos sites podem ser utilizados para coleta de dados
pessoais. Isso inclui tanto site que operamos
diretamente através dos nossos domínios e endereços
IPs, quanto sites ou páginas que nós estabelecemos em
serviços de terceiros, como Facebook, Linkedin, e
demais terceiros que ofertam esse tipo de serviço.
 
Correio Eletrônico e sistemas de troca de
mensagens instantâneas: Serviços utilizados para
manter comunicações eletrônicas entre você e o
 NOMEDASUAORGANIZAÇÃO, incluindo aqueles
disponibilizados diretamente por Nós, ou serviços de
terceiros como WhatsApp, Telegram, SMS (serviço de
mensagens curtas) e similares.
 
Aplicativos móveis do
NOMEDASUAORGANIZAÇÃO: Aplicativos móveis
fornecidos diretamente pelo
NOMEDASUAORGANIZAÇÃO ou através de serviços de
terceiros como Google ou Apple.
 
Atendimento ao consumidor e central de vendas :
Comunicações realizadas com Você através das nossas
centrais de atendimento e vendas.
 
Anúncios, propagandas e formulários online :
Interações com qualquer tipo de anúncios,
propagandas e formulários online do
NOMEDASUAORGANIZAÇÃO.
 
Registros offline : Registros preenchidos offline,
distribuídos durante eventos e outras interações com o
NOMEDASUAORGANIZAÇÃO.
 
Dados recebidos de terceiros : Incluindo, mas não
limitado a, redes sociais e sites de terceiros como, por
exemplo, Facebook, Instagram, Linkedin, e similares,
serviços de agregadores de dados, parceiros do
NOMEDASUAORGANIZAÇÃO, fontes públicas e dados
recebidos durante aquisição de outras empresas.
 

Quais são seus de Dados Pessoais que coletamos e

como estes são coletados
Durante sua interação junto ao NOMEDASUAORGANIZAÇÃO,
usando uma das fontes de coleta previamente mencionadas,
podemos coletar vários tipos de dados pessoais sobre você,
conforme exposto a seguir:

Informações de Contato : Inclui qualquer tipo de

informação que possa facilitar nosso contato com você,
incluindo seu endereço físico de correspondência,
números de telefone, endereços de correio eletrônico,
sites e perfis em redes sociais.
 
Informações de login : Inclui informações para se
identificar e autenticar em serviços fornecidos pelo
NOMEDASUAORGANIZAÇÃO, incluindo seu nome de
registro (login), senha em formato irrecuperável
(criptografado), e perguntas de segurança.
 
Informações demográficas e seus interesses:
Qualquer informação que possa descrever seus dados
demográficos, hábitos ou suas características de
comportamento, incluindo itens como seu aniversário,
data de nascimento, idade ou faixa etária, gênero,
localização geográfica, produtos favoritos, hobbies e
passatempos, demais interesses e informações
familiares ou sobre seu estilo de vida.
 
Informações técnicas sobre seus equipamentos
computacionais ou dispositivos móveis : Detalhes
sobre o seu computador ou outro dispositivo portátil
que foi utilizado para acessar um de nossos sites,
serviços ou aplicativos, incluindo o registro do endereço
IP utilizado para conectar seu computador ou
dispositivo à internet, incluindo sua localização
geográfica, o tipo e a versão de sistema operacional e o
tipo e a versão do navegador da web. Se Você acessar
um site ou aplicativo da NOMEDASUAORGANIZAÇÃO
usando um dispositivo móvel, como um celular
inteligente ou tablet, as informações coletadas também
incluirão, sempre que permitido, o ID de dispositivo
exclusivo de seu telefone, a localização geográfica e
outros dados similares do dispositivo móvel.
 
Informações sobre como Você utiliza nossos sites
e serviços . Durante sua interação com nossos sites e
serviços, nós utilizamos tecnologias de coleta
automática de dados para capturar informações sobre
as ações que Você tomou. Isso pode incluir detalhes
como em quais links você clica, quais páginas ou
conteúdos Você visualiza e por quanto tempo, e outras
informações e estatísticas semelhantes sobre suas
interações, como tempos de resposta a conteúdo, erros
de download e duração das visitas a determinadas
páginas. Essas informações são capturadas por meio de
tecnologias automatizadas, como Cookies (Cookies de
navegador, Cookies Flash e similares) e web beacons, e
via rastreamento de terceiros. Você possui total
liberdade para se opor à utilização de tais tecnologias,
para isso consulte os detalhes, na Seção “Sobre seus
direitos referentes a Dados Pessoais”.
 
Pesquisas de mercado e feedback de
consumidores : São informações que você
compartilha voluntariamente com o
NOMEDASUAORGANIZAÇÃO sobre sua experiência de
uso de nossos produtos e serviços.
 
Conteúdo gerado por consumidores : Incluindo
qualquer conteúdo que você cria e compartilha com o
NOMEDASUAORGANIZAÇÃO em redes sociais de
terceiros ou por meio de carregamento para um de
nossos sites, aplicativos e demais serviços online e
offline, incluindo o uso de aplicativos de rede social de
terceiros, como o Facebook, Instagram, Linkedin e
similares. Esses dados incluem textos, comentários,
artigos, fotos, vídeos, histórias pessoais ou outros
conteúdos e mídias semelhantes. Sempre que
permitido, Nós coletamos e publicamos conteúdos
gerados por consumidores em conexão com uma
variedade de atividades, incluindo divulgação de
produtos e serviços do NOMEDASUAORGANIZAÇÃO,
concursos, premiações e outras promoções, recursos
de comunidade do site, engajamento de consumidores
e redes sociais de terceiros.
 
Informações de redes sociais de terceiros : Trata-
se de quaisquer dados que você compartilha
publicamente em uma rede social de terceiros ou
informações que fazem parte de seu perfil em uma
rede social de terceiros (como o Facebook, Instagram,
Linkedin e similares) e que Você permite que a rede
social de terceiros compartilhe Conosco. Esses dados
podem incluir detalhes como suas informações básicas
de conta (nome, endereço de e-mail, gênero, data de
nascimento, cidade atual, foto de perfil, ID de usuário,
lista de amigos e informações similares.) e quaisquer
outras informações ou atividades adicionais que você
permita que a rede social de terceiros compartilhe
conosco. Nós recebemos suas informações de perfil de
rede social de terceiros (ou partes delas) sempre que
você baixa um item ou interage com um aplicativo ou
serviço da web da NOMEDASUAORGANIZAÇÃO em uma
rede social de terceiros, sempre que Você utiliza um
recurso de rede social que é integrado a um site do
NOMEDASUAORGANIZAÇÃO ou sempre que Você
interage Conosco por meio de uma rede social de
terceiros. Para saber mais sobre como suas
informações de uma rede social de terceiros são
obtidas pelo NOMEDASUAORGANIZAÇÃO ou para optar
por não compartilhar essas informações de rede social,
visite o site da rede social de terceiros específica.
 
Informações financeiras e de pagamento:
Quaisquer dados que o NOMEDASUAORGANIZAÇÃO
necessita para atender a um pedido, ou que você usa
para fazer uma compra, como os dados de seu cartão
de débito ou crédito (nome do titular do cartão, número
do cartão, data de validade e etc.) ou outras formas de
pagamento utilizadas. O NOMEDASUAORGANIZAÇÃO ou
nossos prestadores de serviço de processamento de
pagamentos manuseia suas informações financeiras e
de pagamento em conformidade com as leis, normas e
os padrões de segurança aplicáveis, como o PCI DSS
(“Payment Card Industry Secutiry Standards Council”).
 
Contatos com nosso Serviço de Atendimento ao
Consumidor e Central de Vendas : Suas interações
com nossos Serviço de Atendimento ao Consumidor e
Central de Vendas podem ser gravadas ou ouvidas, de
acordo com as leis aplicáveis, para necessidades
operacionais do NOMEDASUAORGANIZAÇÃO. Detalhes
de informações financeiras e de pagamentos não são
gravados. Quando exigido por lei, você será informado
sobre tal gravação ainda no início de sua chamada.
 
Dados Pessoais Sensíveis : O
NOMEDASUAORGANIZAÇÃO não lida normalmente com
Dados Pessoais considerados sensíveis de acordo com
a legislação vigente, dessa forma não temos a intenção
de coletar ou processor dados pessoais sensíveis no
curso normal de suas interações com nossos produtos
ou serviços. Quando houver legitimo interesse ou for
necessário processar seus dados pessoais sensíveis,
por qualquer motivo, nós obteremos seu prévio,
expresso e formal consentimento para qualquer
processamento que for voluntário (por exemplo, para
finalidades de marketing). Se processarmos seus dados
pessoais sensíveis para outras finalidades, nós nos
 apoiamos nas seguintes bases legais: (i) detecção e
prevenção de crime; e (ii) cumprimento da lei aplicável.

Sobre de Dados Pessoais de Crianças e Adolescentes

O NOMEDASUAORGANIZAÇÃO não solicita, coleta, processa,
armazena ou compartilha, conscientemente, dados pessoais
de crianças e adolescentes menores de idade. Se
descobrirmos a ocorrência de qualquer tipo de manuseio dos
referidos dados, forma não-intencional, removeremos os
dados pessoais daquela criança ou adolescente de nossos
registros rapidamente.

Entretanto, o NOMEDASUAORGANIZAÇÃO pode coletar dados

pessoais de crianças e adolescentes diretamente dos seus
pais ou responsáveis legais, e com consentimento explícito, e
de acordo com as regras da legislação vigente.

Sobre o uso de Cookies, arquivos de registos (logs) e

similares
Cookies são pequenos arquivos de texto que podem ser
colocados no seu computador ou dispositivo portátil por sites
ou serviços na web que Você utiliza. São utilizados para
garantir o bom funcionamento de sites e demais serviços
online, assim como para fornecer informações aos
proprietários do site ou serviço online.

Cookies são utilizados para melhorar o uso e a funcionalidade

dos sites e demais serviços na web compatíveis do
NOMEDASUAORGANIZAÇÃO e entender melhor como nossos
visitantes utilizam os nossos sites e serviços online, bem
como as ferramentas e serviços por eles oferecidos. Os
Cookies nos facilitam o processo de adaptar os sites do
NOMEDASUAORGANIZAÇÃO às suas necessidades pessoais,
facilitando sempre que possível o seu uso, receber feedback
da satisfação dos nossos consumidores.
O NOMEDASUAORGANIZAÇÃO usa os seguintes tipos de
Cookies em seus sites e serviços compatíveis:
Cookies de sessão : São Cookies de uso temporário,
que são excluídos no momento em que você fecha o
seu navegador. Quando Você reinicia o seu navegador e
volta para o site que criou o cookie, esse site trata você
como um novo visitante.
 
Cookies persistentes: São aqueles Cookies que
permanecem no seu navegador até você deletá-los
manualmente ou até o seu navegador deletá-los de
acordo com o período de duração estabelecido pelo
cookie. Esses Cookies reconhecerão seu retorno como
visitante a um site ou serviço do
NOMEDASUAORGANIZAÇÃO.
 
Cookies necessários : São Cookies estritamente
necessários para a operação de um site ou serviço
compatível do NOMEDASUAORGANIZAÇÃO. Eles
permitem que você navegue pelo site e use nossos
recursos.
 
Cookies que nos mandam informações sobre
Você: Nós colocamos esse tipo de Cookies em um site
ou serviço compatível do NOMEDASUAORGANIZAÇÃO e
este tipo de Cookie só podem ser lidos por nossos sites
e serviços compatíveis.
 
Cookies em propagandas da
NOMEDASUAORGANIZAÇÃO: Colocamos Cookies em
propagandas e anúncios que são exibidos em sites e
serviços compatíveis de terceiros. Obtemos
informações através desses Cookies quando você clica
ou interage com a propaganda ou anúncio. Neste caso,
o NOMEDASUAORGANIZAÇÃO está colocando um
cookie “de terceiro”. Nos podermos usar esses dados
obtidos por Cookies de terceiros para mandar-lhe
outras propagandas que acreditamos ser relevantes ou
 de seu interesse com base no seu comportamento
anterior.
 
Cookies que compartilham suas informações para
terceiros: São Cookies colocados em um site do
NOMEDASUAORGANIZAÇÃO por nossas companhias
parceiras, como serviços de anúncios online. Eles
podem usar os dados coletados por esses Cookies para
lhe enviar anonimamente propagandas direcionadas de
outros sites, com base em sua visita a sites ou serviços
compatíveis do NOMEDASUAORGANIZAÇÃO.
Os sites e serviços compatíveis do
NOMEDASUAORGANIZAÇÃO também podem usar outras
tecnologias de rastreamento similares a Cookies, que podem
coletar informações tais como endereços IP, arquivos de
registro e sinalizadores da web, dentre outras. Esses dados
também são utilizados para nos ajudar a adaptar os sites e
demais serviços compatíveis do NOMEDASUAORGANIZAÇÃO
às suas necessidades pessoais.

Veja mais detalhes a seguir:

Endereços de IP : Um endereço de IP é um número

usado na internet ou em uma rede para identificar seu
computador. Todas as vezes que você se conecta na
internet seu computador recebe um IP atribuído pelo
seu provedor de serviços de internet. Podemos registrar
Endereços de IP para as seguintes finalidades:
Tratamento de problemas técnicos;
Manutenção da proteção e segurança dos nossos
sites e demais serviços online;
Obter uma melhor compreensão de como nossos
sites e demais serviços online são utilizados;
Adaptar nosso conteúdo às suas necessidades,
dependendo da sua localização geográfica.
 
Arquivos de Registro: O NOMEDASUAORGANIZAÇÃO
ou um terceiro trabalhando em nosso nome, poderá
coletar informações na forma de arquivos de registro
(logs) que detalham as atividades do site e coletam
estatísticas sobre os hábitos de navegação do usuário.
Normalmente esses registros são gerados
anonimamente e nos ajudam a entender detalhes
como:
O tipo de navegador e o sistema utilizado pelos
usuários de nossos sites ou serviços online;
Detalhes sobre a sessão do usuário, incluindo a
URL de origem, a data, hora e quais páginas o
usuário visitou em nossos sites e serviços
compatíveis, e quanto tempo o usuário
permaneceu utilizando-os;
Demais detalhes de navegação ou de contagem
de cliques incluindo relatórios de tráfego de site,
contagem de visitantes únicos e dados similares.
 
Sinalizadores da web (web beacons): Nós podemos
utilizar os sinalizadores da web (ou GIFs transparentes)
nos sites do NOMEDASUAORGANIZAÇÃO. Os
sinalizadores da web (também conhecidos como
webbugs ou web beacons) são pequenas sequencias de
código que permitem a entrega de uma imagem gráfica
em uma página da web com o objetivo de transferir
dados de volta para nós. Usamos as informações dos
sinalizadores da web para os mais variados propósitos,
incluindo:
Entender como um usuário responde a
campanhas de e-mail;
Relatórios de tráfego dos nossos sites e serviços
compatíveis;
Realizar a contagem de visitantes únicos,
auditoria e relatórios de propaganda e e-mail, e
 personalização em nossos sites e demais serviços
compatíveis.
É importante lembrar que cabe a Você assegurar que as
configurações do seu computador ou dispositivo portátil
reflitam se você consente em aceitar Cookies ou não.
A maioria dos navegadores permite que você estabeleça
regras para avisá-lo antes de aceitar Cookies ou
simplesmente recusá-los. Você não precisa ter Cookies
habilitados para usar ou navegar a maior parte dos sites e
serviços online do NOMEDASUAORGANIZAÇÃO, entretanto
neste caso não podemos assegurar que Você vai conseguir
acessar todos os seus recursos. Recomendamos que Você
veja no botão “ajuda” no seu navegador como realizar esse
tipo de configuração. Lembre-se que se você usar
navegadores, ou mesmo computadores e/ou dispositivos
portáteis diferentes em locais diferentes, Você precisará se
assegurar de que cada dispositivo e navegador esteja
ajustado para suas preferências pessoais de Cookies.
Como os nossos sinalizadores da web (web beacons) podem
fazer parte de uma página da web, não é possível excluir
(“opt-out”) esse tipo de recurso, mas Você pode torná-lo
completamente não-funcional ativando o recurso “opt-out”
para os Cookies colocados por esse sinalizador.

Sobre o uso de seus Dados Pessoais

Os itens a seguir descrevem as finalidades para as quais o
NOMEDASUAORGANIZAÇÃO coleta seus Dados Pessoais, e os
diferentes tipos de Dados Pessoais que coletamos para cada
finalidade. Note, por favor, que nem todos os usos abaixo
serão relevantes para todos os indivíduos e podem se aplicar
apenas a situações específicas.

Serviços ao consumidor : Seus Dados Pessoais são

utilizados para finalidade de prestar serviços ao
consumidor, incluindo responder a suas dúvidas,
questionamentos e sugestões. Usualmente, isso requer
certas informações pessoais de contato e informações
sobre o motivo de seu questionamento, dúvida ou
sugestão, por exemplo, qual foi o seu pedido, se existe
um problema técnico, questão ou reclamação sobre
produto, questionamento em geral.
Motivo para uso dos seus dados pessoais
nessa situação :
Cumprir obrigações contratuais;
Cumprir obrigações legais;
Nossos interesses legítimos.
Nossos interesses legítimos nessa situação :
Melhorar continuamente produtos e serviços
do NOMEDASUAORGANIZAÇÃO;
Melhorar continuamente a efetividade do
nosso atendimento ao consumidor.
Realização de concursos, promoções e demais
ações de marketing : Com seu consentimento
(quando necessário conforme legislação vigente), o
NOMEDASUAORGANIZAÇÃO utiliza seus Dados Pessoais
para fornecer informações sobre produtos ou serviços
como, por exemplo, comunicações de marketing,
campanhas publicitárias ou promoções. Isso pode ser
feito por diversos meios de comunicação, incluindo o e-
mail, anúncios, envio de mensagens por SMS, ligações
telefônicas e correspondências postais (conforme
permitido pela legislação vigente), além de nossos
próprios sites e/ou sites e redes sociais de terceiros.
Nesta situação, o uso de seus Dados Pessoais é
completamente voluntário, o que significa que você
pode se opor, ou mesmo retirar seu consentimento a
qualquer momento, ao processamento de seus Dados
Pessoais para estas finalidades. Para obter maiores
detalhes sobre como alterar suas preferências sobre
comunicações de marketing, veja a seção “Sobre seus
direitos referentes a Dados Pessoais” nesta política.
Para mais informações sobre nossos concursos e outras
Promoções, veja os regulamentos ou detalhes postados
sobre cada concurso/promoção.
 
Motivo para uso dos seus dados pessoais
nessa situação :
Cumprir obrigações contratuais;
Nossos interesses legítimos;
Obtivemos o seu consentimento (quando
necessário).
Nossos interesses legítimos nessa situação
:
Entender quais de nossos produtos e
serviços podem interessar a Você e fornecer
informações sobre eles;
Definir consumidores para novos produtos
ou serviços.
 
Redes sociais e sites de terceiros : Usamos seus
Dados Pessoais quando Você interage com funções de
redes sociais e sites de terceiros, como “curtir”, para
fornecer anúncios e interagir com Você em redes
sociais de terceiros. A forma como essas interações
funcionam, os dados de perfil que o
NOMEDASUAORGANIZAÇÃO obtém sobre Você, e como
cancelá-los (“opt-out”) podem ser entendidas revisando
as políticas de privacidade diretamente nas respectivas
redes sociais e sites de terceiros.
Motivo para uso dos seus dados pessoais
nessa situação :
Nossos interesses legítimos;
Obtivemos o seu consentimento (quando
necessário).
Nossos interesses legítimos nessa situação :
Entender quais de nossos produtos e
serviços podem interessar a Você e fornecer
 informações sobre eles;
Definir consumidores para novos produtos ou
serviços.
 
Personalização (offline e online) : Com base em seu
consentimento (quando exigido conforme legislação
vigente), o NOMEDASUAORGANIZAÇÃO utiliza seus
Dados Pessoais (i) para entender suas preferências e
hábitos, (ii) para antecipar suas necessidades,
baseadas em nosso entendimento do seu perfil, (iii)
para melhorar e personalizar sua experiência em
nossos sites e aplicativos; (iv) para assegurar quer o
conteúdo de nossos sites e aplicativos seja otimizado
para Você e para seu computador ou dispositivo; (v)
para enviar a Você publicidade e conteúdo dirigidos, e
(vi) para permitir que Você participe de funções
interativas, sempre que decidir fazê-lo. Nesta situação,
o uso de seus Dados Pessoais é completamente
voluntário, o que significa que Você pode se opor, ou
mesmo retirar seu consentimento a qualquer momento,
ao processamento de seus Dados Pessoais para estas
finalidades. Para obter maiores detalhes, veja a seção
“Sobre seus direitos referentes a Dados Pessoais” nesta
política.
Motivo para uso dos seus dados pessoais
nessa situação :
Nossos interesses legítimos;
Obtivemos o seu consentimento (quando
necessário).
Nossos interesses legítimos nessa situação :
Entender quais de nossos produtos e
serviços podem interessar a Você e fornecer
informações sobre eles;
Definir consumidores para novos produtos ou
serviços.
 
Atendimento aos seus pedidos : Usamos seus
Dados Pessoais para processar e enviar seus pedidos,
além de informá-lo sobre a situação dos seus pedidos,
corrigir endereços e conduzir verificação de identidade
e outras atividades para verificação de fraudes. Isso
envolve o uso de certos Dados Pessoais e, em certas
situações, informações de pagamento.
Motivo para uso dos seus dados pessoais
nessa situação :
Cumprir obrigações contratuais;
Obrigações legais;
Nossos interesses legítimos;
Obtivemos o seu consentimento (quando
necessário).
Nossos interesses legítimos nessa situação :
Melhorar e desenvolver novos produtos e
serviços;
Ser mais eficientes no atendimento aos seus
pedidos;
Proteger nossos sistemas, redes e
colaboradores;
Cumprir integralmente obrigações legais.
 
Motivos legais ou fusão/aquisição : Caso o
NOMEDASUAORGANIZAÇÃO ou seus bens sejam
adquiridos por, ou fundidos com, outra empresa,
incluindo por motivo de falência, compartilharemos
seus Dados Pessoais com nossos sucessores legais,
respeitando as exigências da legislação vigente.
Também divulgaremos seus Dados Pessoais a terceiros
(i) quando requerido pela lei aplicável; (ii) em resposta
a procedimentos legais; (iii) em resposta a um pedido
da autoridade legal competente; (iv) para proteger
nossos direitos, privacidade, segurança ou propriedade;
ou (v) para fazer cumprir os termos de qualquer acordo
ou os termos do nosso site, produtos e serviços,
conforme a legislação vigente.
Motivo para uso dos seus dados pessoais
nessa situação :
Obrigações legais;
Nossos interesses legítimos;
Nossos interesses legítimos nessa situação :
Atender integralmente obrigações legais;
Proteger nossos sistemas, bens e
colaboradores.
 
Outras finalidades e situações em geral : De
acordo com a legislação vigente, o
NOMEDASUAORGANIZAÇÃO utiliza seus Dados Pessoais
para outras finalidades gerais de negócio, como fazer
manutenção em sua conta, conduzir pesquisas internas
ou de mercado e medir a efetividade de nossas
campanhas publicitárias. Nós nos reservamos o direito,
se Você tiver contas NOMEDASUAORGANIZAÇÃO, de
integrar estas contas em uma conta única. Nós
também usamos seus Dados Pessoais para
gerenciamento e operação de nossas comunicações, TI
e sistemas de segurança e proteção de dados.
Motivo para uso dos seus dados pessoais
nessa situação :
Cumprir obrigações contratuais;
Obrigações legais;
Nossos interesses legítimos;
Obtivemos o seu consentimento (quando
necessário).
Nossos interesses legítimos nessa situação :
Melhorar e desenvolver novos produtos e
serviços;
Ser mais eficientes no atendimento aos seus
pedidos;
 Proteger nossos sistemas, redes e
colaboradores;
Cumprir integralmente obrigações legais.
Sobre a divulgação de seus Dados Pessoais
Além das entidades que fazem parte do
NOMEDASUAORGANIZAÇÃO, nós podemos compartilhar seus
Dados Pessoais com os seguintes tipos de organizações de
terceiros:

Provedores de serviços : Incluem companhias

externas que são utilizadas pelo
NOMEDASUAORGANIZAÇÃO para auxiliar a operar
nosso negócio. Provedores de serviços e seus
colaboradores selecionados, só estão autorizados a
acessar seus Dados Pessoais em nome do
NOMEDASUAORGANIZAÇÃO para as tarefas específicas,
que forem requisitadas a eles com base em nossas
instruções diretas. Nossos provedores de serviços são
obrigados contratualmente e a manter seus Dados
Pessoais confidenciais e seguros, e em casos de
violação respondem solidariamente conforme a
legislação vigente.
 
Agências de análise de crédito, cobrança de
dívidas e serviços financeiros: Conforme permitido
pela lei aplicável, agências de análise de crédito e/ou
de cobrança de dívidas são empresas externas que o
NOMEDASUAORGANIZAÇÃO pode utilizar para nos
auxiliarem a verificar a situação do seu crédito ou para
coletar pagamentos vencidos.
 
Empresas terceiras que usam Dados Pessoais
para suas próprias finalidades de marketing :
Excetuando-se situações em que você deu seu
consentimento específico, o
NOMEDASUAORGANIZAÇÃO não licencia ou vende seus
 Dados Pessoais a empresas terceiras para suas próprias
finalidades de marketing. Em casos em que esse tipo
de compartilhamento ocorra, a identidade destas
empresas terceiras será revelada antes da obtenção do
seu consentimento.
 
Terceiros que usam seus Dados Pessoais por
motivos legais ou devido a fusão/aquisição :
Divulgaremos seus Dados Pessoais a terceiros por
motivos legais ou no contexto de uma fusão ou
aquisição no NOMEDASUAORGANIZAÇÃO

Sobre a retenção e término do tratamento de seus

Dados Pessoais
De acordo com a legislação vigente, O
NOMEDASUAORGANIZAÇÃO utiliza seus Dados Pessoais por
quanto tempo for necessário para satisfazer as finalidades
para as quais seus Dados Pessoais foram coletados, conforme
descrito nesta política, ou para cumprir com os
requerimentos legais aplicáveis.

Dados Pessoais usados para fornecer uma experiência

personalizada a Você serão mantidos exclusivamente pelo
tempo permitido, de acordo com a legislação vigente.

Você pode obter maiores detalhes sobre a retenção dos seus

Dados Pessoais através dos canais de comunicação
detalhados nesta política.

Quando no término do tratamento de seus Dados Pessoais,

estes serão eliminados no âmbito e nos limites técnicos das
atividades, autorizada a conservação nas situações previstas
na legislação vigente.
 

Sobre a divulgação, o armazenamento ou

transferência de seus Dados Pessoais
O NOMEDASUAORGANIZAÇÃO adota medidas adequadas
para garantir que seus Dados Pessoais sejam mantidos de
forma confidencial e segura. Entretanto, que estas proteções
não se aplicam a informações que você tenha escolhido
compartilhar em áreas públicas, como redes sociais de
terceiros.

Pessoas que podem acessar seus Dados

Pessoais: Seus Dados Pessoais serão processados por
nossos colaboradores ou agentes autorizados, desde
que estes precisem ter acesso a tais informações,
dependendo dos propósitos específicos para os quais
seus Dados Pessoais tenham sido coletados.
 
Medidas tomadas em ambientes operacionais :
Armazenamos seus Dados Pessoais em ambientes
operacionais que usam medidas de segurança
razoáveis, tanto técnicas quanto administrativas, para
prevenir qualquer tipo de acesso não autorizado.
Seguimos protocolos razoáveis para proteger Dados
Pessoais.
 
Medidas que o NOMEDASUAORGANIZAÇÃO
espera que você tome: É importante que você
também tenha um papel em manter seus Dados
Pessoais seguros. Quando criar uma conta online, por
favor, assegure-se de escolher uma senha que seja
forte para evitar que partes não autorizadas a
adivinhem. Recomendamos que você nunca revele ou
compartilhe sua senha com outras pessoas. Você é o
único responsável por manter esta senha confidencial e
por qualquer ação realizada através de sua conta nos
sites e serviços compatíveis do
NOMEDASUAORGANIZAÇÃO.
 
Se Você usar um computador compartilhado ou
público, nunca escolha a opção de lembrar seu nome
 de login, endereço de e-mail ou senha, e certifique-se
que você saiu da sua conta (realizou o log out) sempre
que deixar o computador. Você também deve usar
quaisquer configurações de privacidade ou controles
que o NOMEDASUAORGANIZAÇÃO fornece em nosso
site, serviços ou aplicativos, inclusive aquelas
consideradas opcionais.
 
Transferência de seus Dados Pessoais : Dada a
natureza do nosso negócio, é possível que tenhamos
que transferir seus Dados Pessoais armazenados
dentro do NOMEDASUAORGANIZAÇÃO para terceiros,
de acordo com as finalidades estabelecidas nesta
Política de Privacidade. Por este motivo, poderemos
transferir seus Dados Pessoais para outros países,
desde que estes possuam leis e regulamentações
compatíveis com as vigentes no Brasil.
Sobre seus direitos referentes a Dados Pessoais
Você tem direito de confirmar a existência, acessar, revisar,
modificar e/ou requisitar uma cópia eletrônica da informação
dos seus Dados Pessoais que são tratados pelo
NOMEDASUAORGANIZAÇÃO.

Você também tem direito de requisitar detalhes sobre a

origem de seus Dados Pessoais ou o compartilhamento
destes dados com terceiros.

A qualquer momento, você também poderá limitar o uso e

divulgação, ou revogar o consentimento a qualquer uma de
nossas atividades de processamento de seus Dados Pessoais,
excetuando-se em situações previstas na legislação vigente.

Estes direitos podem ser exercidos através dos canais de

comunicação detalhados nesta política, sendo necessário à
validação da sua identidade através do fornecimento de uma
cópia de seu RG ou meios equivalentes de identificação, em
conformidade com a legislação vigente.
Sempre que um pedido for submetido sem o fornecimento
das provas necessárias a comprovação da legitimidade do
titular dos dados, o pedido será automaticamente rejeitado.
Ressaltamos que qualquer informação de identificação
fornecida ao NOMEDASUAORGANIZAÇÃO somente será
processada de acordo com, e na medida permitida pelas leis
vigentes.
Ressaltamos que em determinados casos, não podermos
excluir seus Dados Pessoais sem também excluir sua conta
de usuário. Adicionalmente, algumas situações requerem a
retenção de seus Dados Pessoais depois que você pedir sua
exclusão, para satisfazer obrigações legais ou contratuais.

Quando disponíveis, nossos sites, aplicativos e serviços

online podem ter uma função dedicada onde será possível
você revisar e editar os seus Dados Pessoais. Ressaltamos
que o NOMEDASUAORGANIZAÇÃO solicita a validação de sua
identidade usando, por exemplo, um sistema de login com
senha de acesso ou recurso similar, antes de permitir o
acesso ou a modificação de seus Dados Pessoais, dessa
forma garantindo que não exista acesso não autorizado à sua
conta e dados pessoais associados.

O NOMEDASUAORGANIZAÇÃO faz o máximo possível para

poder atender todas as questões que você possa ter sobre a
forma a qual processamos seus Dados Pessoais. Contudo, se
você tiver preocupações não resolvidas, Você tem o direito de
reclamar às autoridades de proteção de dados competentes.

Quais são suas escolhas sobre como utilizamos e

divulgamos seus Dados Pessoais
O NOMEDASUAORGANIZAÇÃO faz o máximo para dar a Você
liberdade de escolha sobre os Dados Pessoais que você nos
fornece. Os seguintes mecanismos dão a Você o controle
sobre o tratamento de seus Dados Pessoais:
Cookies/Tecnologias Similares : Você pode gerenciar
o seu consentimento usando:
Nossas soluções de gerenciamento de
consentimento;
As configurações do seu navegador para recusar
alguns ou todos os Cookies e tecnologias
similares, ou para alertá-lo quando estão sendo
usados.
 
Publicidade, marketing e promoções : Você pode
consentir para que seus Dados Pessoais sejam usados
pelo NOMEDASUAORGANIZAÇÃO para promover nossos
produtos ou serviços por meio de caixas de verificação
localizadas nos formulários de registro ou respondendo
questões apresentadas pelos nossos representantes.
 
Se Você decidir que não deseja mais receber tais
comunicações, você pode cancelar sua subscrição para
receber comunicações relacionadas a marketing a em
qualquer momento, seguindo as instruções fornecidas
em tais comunicações.
Para cancelar a subscrição de comunicações de
marketing enviadas por qualquer meio, incluindo redes
sociais de terceiros, você pode optar por sair a
qualquer tempo, cancelando sua subscrição, pelos links
disponíveis em nossas comunicações, fazendo login em
nossos sites, aplicativos, serviços online compatíveis
ou redes sociais de terceiros, e ajustando suas
preferências de usuário ou ligando diretamente para
nosso serviço de atendimento ao consumidor.
 
É importante lembrar que, mesmo com o seu
cancelamento de subscrição às nossas comunicações
de marketing, Você continuará a receber comunicações
administrativas do NOMEDASUAORGANIZAÇÃO, como
pedidos, confirmações de transação, notificações sobre
suas atividades de conta em nossos sites e serviços
compatíveis, e outros anúncios importantes não
relacionados a marketing.
 
Personalização (offline e online): Sempre que
permitido por lei, se você quiser que seus Dados
Pessoais sejam usados pelo NOMEDASUAORGANIZAÇÃO
para fornecer-lhe uma experiência personalizada ou
publicidade e conteúdo dirigidos, você pode indicar isso
por meio das caixas de checagem relevantes
localizadas no formulário de registro ou respondendo a
perguntas apresentadas pelos nosso representantes.
 
Se Você decidir que não quer mais se beneficiar desta
personalização, você pode optar por sair a qualquer
tempo, fazendo login nos nossos sites, aplicativos e
serviços compatíveis, e selecionando as preferências
de usuário no perfil da sua conta ou ligando
diretamente para nosso serviço de atendimento ao
consumidor.
 
Publicidade direcionada: O
NOMEDASUAORGANIZAÇÃO pode realizar parcerias
com redes de anúncios e outros provedores de serviços
ou anúncios, que apresentam propagandas e demais
anúncios em nosso nome ou no nome de outras
empresas não-afiliadas ao NOMEDASUAORGANIZAÇÃO.
Alguns destes anúncios podem ser ajustados aos seus
interesses, com base nas informações coletadas nos
sites e demais serviços compatíveis do
NOMEDASUAORGANIZAÇÃO ou em sites de
organizações não-afiliadas ao
NOMEDASUAORGANIZAÇÃO.
Você pode entrar em contato usando os canais de
comunicação detalhados nesta política para obter mais
 informações sobre como gerenciar ou cancelar sua
participação em publicidade direcionada.

Alterações em nossa Política de Privacidade

Sempre que o NOMEDASUAORGANIZAÇÃO decidir mudar a
forma que tratamos seus Dados Pessoais, esta Política será
atualizada. Nos reservamos o direito de fazer alterações às
nossas práticas e a esta Política a qualquer tempo, desde que
mantida a conformidade com a legislação vigente.
Recomendamos que você a acesse frequentemente, ou
sempre que tiver dúvidas, para ver quaisquer atualizações ou
mudanças à nossa Política de Privacidade.
 

Como entrar em contato

Você pode entrar em contato para:
Fazer perguntas ou comentários sobre esta Política e
nossas práticas de privacidade e proteção de Dados
Pessoais;
Fazer uma reclamação;
Confirmação da existência de tratamento de seus
Dados Pessoais;
Obter informações sobre como acessar seus Dados
Pessoais;
Realizar a correção de dados pessoais incompletos,
inexatos ou desatualizados;
Obter informações sobre a anonimização, bloqueio ou
eliminação de dados desnecessários, excessivos ou
tratados em desconformidade com o disposto na
legislação vigente;
Obter informações sobre a portabilidade dos seus
dados pessoais a outro fornecedor de serviço ou
produto, mediante requisição expressa, em
conformidade com a legislação vigente;
Solicitar a eliminação dos dados pessoais tratados com
o seu consentimento, excetuando-se as hipóteses
 previstas na legislação vigente;
Solicitar detalhes das entidades públicas e privadas
com as quais realizamos o compartilhamento de seus
Dados Pessoais;
Obter informações sobre a possibilidade de não
fornecer consentimento e sobre as consequências
dessa negativa;
Realizar a revogação do consentimento para o
tratamento dos seus Dados Pessoais, excetuando-se as
hipóteses previstas na legislação vigente;
Demais direitos do titular dos dados pessoais, conforme
legislação vigente.

Para isso, solicitamos que você entre em contato conosco

usando os seguintes canais:

Encarregado pelo Tratamento de Dados Pessoais

:
Nome do DPE
nomedpo@grupoNomedasuaOrganização
55 99 9999-9999
Portal da Privacidade:
www.NomedasuaOrganização.com.br/pricacidade
Por telefone:
55 99 9999-9999
Pessoalmente ou por correio convencional:

O NOMEDASUAORGANIZAÇÃO receberá, investigará e

responderá, dentro de um prazo considerado razoável,
qualquer solicitação ou reclamação sobre a forma como Nós
tratamos seus Dados Pessoais, incluindo reclamações sobre
desrespeito aos seus direitos sob as leis de privacidade e
proteção de Dados Pessoais vigentes.
 

Registro de Incidentes de Segurança na ANPD

ANPD lançou em 22/02/2021 o procedimento de Registro de Incidentes de
Segurança
  

O que é DLP (data leak prevention)?

 

Qualquer vazamento de dados causa impacto negativo nas

empresas. As abordagens tradicionais de segurança, como
firewalls, não podem proteger os dados contra vazamentos.
Os sistemas de prevenção de vazamento / perda de dados
(DLP) são soluções que protegem os dados confidenciais de
estar em mãos não confiáveis.
Dados sensíveis e confidenciais são um requisito para a
maioria das empresas, portanto, a proteção desses dados é
muito solicitada pelos principais gerentes, administradores e
gerentes de TI da empresa. As abordagens tradicionais de
segurança, como firewalls, não podem proteger os dados
contra vazamentos. Os sistemas de prevenção de vazamento
/ perda de dados (DLP) são soluções que protegem os dados
confidenciais de estar em mãos não confiáveis.
A prevenção de vazamento de dados (DLP, data leak
prevention) é um conjunto de tecnologias voltadas para a
perda de informações confidenciais que ocorrem em
empresas em todo o mundo. Concentrando-se na localização,
classificação e monitoramento de informações em repouso,
em uso e em movimento, essa solução pode ajudar muito
uma empresa a identificar as informações que possui e
impedir os inúmeros vazamentos de informações que
ocorrem a cada dia. O DLP não é uma solução plug-and-play.
A implementação bem-sucedida desta tecnologia requer
preparação significativa e manutenção contínua diligente. As
empresas que buscam integrar e implementar o DLP devem
estar preparadas para um esforço significativo que, se feito
corretamente, pode reduzir significativamente o risco para a
organização. Aqueles que implementam a solução devem
adotar uma abordagem estratégica que aborde riscos,
impactos e medidas de mitigação, juntamente com medidas
apropriadas de governança e garantia.
 
CPF não se vende em farmácia!
 
Como podemos hoje em plena vigência da LGPD permitirmos
o engano do desconto baseado na troca dos nossos dados
pessoais?
Se os nossos dados não tivessem valor, não existiria uma lei
específica para protegê-los, logo nossa sociedade precisa se
conscientizar disso, pois de nada adianta um Lei para
proteger uma sociedade conivente com a transgressão da
coleta dos dados sem a informação da finalidade e o devido
consentimento.
Nossos dados pessoais valem muito. Várias empresas estão
logrando êxito em seus negócios trabalhando com os dados
pessoais e infelizmente outras não estão tendo o zelo correto
no tratamento permitindo e assumindo o risco de violação de
dados.
Estamos agora no Brasil com uma das maiores suspeitas de
violação de dados pessoais dos nossos cidadãos e
precisamos cobrar dos controladores, processadores e
operadores que implementem o conceito de que a
privacidade dos dados deve ser o padrão de toda a linha de
negócio e não podemos nos eximir de nossa responsabilidade
na cobrança das autoridades da garantia do uso correto de
nosso valor mais íntimo.
Cada vez que você adquire um produto online, usa um
serviço, registra-se para receber e-mail, vai ao seu médico,
compra medicamentos na farmácia, paga seus impostos e
contas, ou celebra qualquer contrato ou solicitação de
serviço, você deve fornecer algumas de suas informações
pessoais.
Mesmo sem o seu conhecimento explícito, as informações
sobre você estão sendo geradas e capturadas por empresas,
empresas, organizações de todos os tipos e agências
governamentais com as quais você provavelmente nunca
interagiu intencionalmente.
A única maneira dos clientes, cidadãos e consumidores
confiarem em si mesmos e confiarem no governo e nas
empresas é por meio de fortes práticas de proteção de dados
como a nossa LGPD, com uma legislação eficaz para ajudar a
minimizar o monitoramento desnecessário por autoridades
estaduais e regular a vigilância por empresas.
Globalmente, há um aumento crescente nas leis de proteção
de dados, muitas das quais foram modeladas diretrizes ou
regulamentos abrangentes, como a Diretiva da UE
mencionada acima, ou as Diretrizes da OCDE sobre a
Proteção da Privacidade e Fluxos Transfronteiriços de Dados
Pessoais.
Não se venda! Não troque suas informações pessoais por
balas, descontos ou afiliações inexistentes. Questione sempre
qual é a finalidade da coleta, tratamento e descarte de seus
dados pessoais.
 

21 - Referências
 
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em
<http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/L13709compilado.htm>. Acesso em 15 de julho de 2020.
 
FERNANDES, Aguinaldo Aragon; DINIZ, Jose Luis; ABREU, Vladimir
Ferraz de. Governança 4.0. Editora BRASPORT, Rio de Janeiro, 2019.
Inteligência artificial: uma realidade no Poder Judiciário. Disponível em <
https://www.tjdft.jus.br/institucional/imprensa/artigos-discursos-
eentrevistas/artigos/2020/inteligencia-artificial>. Acesso em 15 de julho
de 2020.
 
Origem da computação, Máquina de Turing
<https://revistagalileu.globo.com/Tecnologia/noticia/2018/03/origem-
dacomputacao-maquina-de-turing-e-construida-em-madeira.html>.
Acesso em 15 de julho de 2020.
Disponível em <https://forbes.com.br/negocios/2019/11/apple-carde-.acusado-de-
discriminacao-contra-mulheres/>. Acesso em 14 de julho
de 2020.
Disponível em <https://www.cnil.fr/fr/comment-permettre-lhomme-degarder-la-
main-rapport-sur-les-enjeux-ethiques-des-algorithmes-etde>. Acesso em 14 de
julho de 2020.
Disponível em https://www.migalhas.com.br/depeso/319005/inteligenciaartificial-
e-o-direito-uma-realidade-inevitavel
LGPD e AI 25/08/20 10:09
https://www.exin.com/br-pt/lgpd-inteligencia-artificial/ Page 6 of 7
 
MAGRANI, Eduardo. Entre dados e robôs: ética e privacidade na era da
hiperconectividade. 2. edição. Porto Alegre: Arquipélago Editorial, 2019.
PL nº 5691/2019 – disponível em:
https://legis.senado.leg.br/sdleggetter/documento?
dm=8031122&ts=1594037338983&disposition=inlie. acesso em 14 de
julho de 2020.
 
PL nº 21/2020 – disponível em:
https://www.camara.leg.br/proposicoesweb/prop_mostrarintegra;jsession
id=aeaa888521510dda28e8bd69d68972d2.proposicoeswebexterno2?
codteor=1853928&filename=pl+21/2020. Acesso em 14 de julho de
2020.
 
PL nº 5051/2019 – disponível em:
https://legis.senado.leg.br/sdleggetter/documento?
dm=8009064&ts=1594036674670&disposition=inlie. Acesso em 14 de
julho de 2020.
 
Cavoukian, Ann. Privacy by Design: The 7 Foundational Principles. August, 2009.
Disponível
em: https://iapp.org/media/pdf/resource_center/Privacy%20by%20Design%20-
%207%20Foundational%20Principles.pdf. Acesso em: 13 jan. 2020.
 
Malisow, Ben. How To Pass Your INFOSEC Certification Test: A Guide To Passing The
CISSP, CISA, CISM, Network+, Security+, and CCSP . Maladjusted Works. Edição do
Kindle.