Escolar Documentos
Profissional Documentos
Cultura Documentos
Sobre o autor
Sandro Lima de Oliveira
Pai de família, cristão, musicista e
gestor da área de tecnologia.
Linkedin:
https://www.linkedin.com/in/sandro-
lima-de-oliveira/
https://agnusdata.com.br
ADERIR
AO PMI |
PMI
Angola -
Agradecimentos
Como toda jornada na nossa vida começa com um passo, no
agradecimento não poderia ser diferente.
Agradeço a minha maravilhosa família pelo apoio e
compreensão. Muito obrigado Claudia, Fernanda, Laura e
Letícia.
Agradeço ao meu Deus senhor, criador e mantenedor de
todas as coisas.
Sumário
1 - Introdução
Sobre o livro.
2 - Sobre as Leis de privacidade de dados pessoais no mundo
Contextualização da proteção de dados no mundo e principais leis
Itens em comum a todas as legislações:
Leis e Projetos de Lei gerais sobre proteção de dados e privacidade em
2018/2019
Características das novas leis de proteção de dados:
Princípios de cuidado com a privacidade seguidos mundialmente
A GDPR
Comparação entre a LGPD e GDPR
A CCPA e CPRA: As Leis de proteção de dados na Califórnia
3 - Qual o significado de Proteção de Dados?
Como funciona a Proteção de Dados Pessoais?
4 - A Importância da Proteção de dados para a organização.
5 - Entendendo o que é privacidade e sua diferença para segurança da
informação
6 - A LGPD
O que é Dado Pessoal?
Pessoa natural identificável
Tratamento dos dados
Objetivo da Lei
Caso da rede hotéis Marriott:
A quem se aplica?
Quais são as referências?
Atenção aos Riscos
Multas e penalizações
Onde não se aplica?
Encarregado de Proteção de Dados (DPO)
Aplicação (extra)territorial da LGPD
Tarefas e comprometimentos
Avaliação de Processos e Riscos
Redução e Exposição a Riscos
Adoção do Privacy by Design
Procedimentos de política de privacidade e segurança da informação
Interfaces
Marco Civil da Internet
ANPD
BACEN 4.658
Subcontratantes
Ferramentas auxiliares
CSIRTs
Parceiros
Artigo 5
I - Dado Pessoal
II - Dado Pessoal Sensível
III – Dado Anonimizado
IV – Banco de Dados
V – Titular
VI – Controlador
VII – Operador
VIII – Encarregado
IX – Agentes de Tratamento
X – Tratamento
XI – Anonimização
XII – Consentimento
XIII – Bloqueio
XIV – Eliminação
XV – Transferência Internacional de Dados
XVI – Uso Compartilhado dos Dados
XVII – Relatório de Impacto à Proteção de Dados Pessoais
XVIII – Órgão de pesquisa
XIX – Autoridade Nacional
Artigo 6
II – Adequação
III – Necessidade
IV – Livre Acesso
V – Qualidade dos Dados
VI – Transparência
VII – Segurança
VIII – Prevenção
IX – Não Discriminação
X – Responsabilização e Prestação de Contas
Artigos 7 e 8
Consentimento
Interesse legítimo
Artigo 16
Eliminação dos Dados
Princípios
Legalidade
Consentimento
Direitos do titular dos dados
Oficial de proteção de dados
Avaliações de impacto na proteção de dados
Transferências internacionais
7 - Aplicando os passos iniciais para deixar a organização em conformidade com
a LGPD
1. Compromisso de gerenciamento da segurança
2. Definir funções e responsabilidades
Matriz RACI
3. Comunicação, conscientização e treinamento
4. Inventário de dados pessoais
O que é
Estruturação
Como elaborar o inventário de dados pessoais
5. Avaliações de impacto na proteção de dados
6. Preparar para violações de dados pessoais
7. Analisar transferências internacionais
8 – Entendo o que é uma Política de Privacidade
9 – Desenvolvendo o Sistema de Gestão de Proteção de Dados – SGPD
Preparação da proteção e privacidade de dados
Organização
Desenvolvimento e Implementação
Governança
Avaliação e Melhoria
Resumo da Documentação requerida para compliance com a LGPD
10 - Cookies e a Privacidade
11 - Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
Exemplo de um RIPD (DPIA)
Análise da Necessidade de realizar uma Avaliação de Impacto sobre a
Proteção de Dados Pessoais (AIPD):
Ciclo de Vida dos Dados:
Análise da necessidade e proporcionalidade do tratamento:
Gestão de Riscos:
Resultados:
12 – Implementando o Programa de governança da privacidade
Indicadores de Performance
Gestão de Incidentes
13 – Entendendo como funciona o Ciclo de vida dos dados e a LGPD
Dados quentes e dados frios
14 – Como ficam as PMEs e startups na LGPD
15 - A Inteligência Artificial na LGPD
A inteligência artificial e o Direito
A inteligência artificial e a LGPD
16 - Aumento de incidentes de violação de dados pessoais.
Métodos atuais de violação de dados
Causas das violações de dados
Contramedidas preventivas
17 - Normas essenciais para as organizações de acordo com a LGPD
Normas gerais
Normas do setor contábil
Normas do setor bancário
Normas do setor educacional
Normas do setor imobiliário
Normas do setor de e-commerce
18 - Resumo da GDPR
Definição da GDPR
Principais componentes da GDPR
Componente 1: conceito mais amplo de "dados pessoais"
Componente 2: notificações para violações de dados
Componente 3: regras de transferência de dados
Componente 4: regras de consentimento
Componente 5: Oficial de proteção de dados
Componente 6: Aplicação
19 - Perguntas e respostas
20 – Anexos
Exemplo de Política Interna de Privacidade e Proteção de Dados
Introdução
Propósito
Escopo
Diretrizes
Papéis e Responsabilidades
Sanções e Punições
Casos Omissos
Glossário
Revisões
Gestão da Política
Exemplo de Política Externa de Privacidade e Proteção de Dados
Política de Privacidade
Fontes de Dados Pessoais
Nós coletamos seus Dados Pessoais através das seguintes fontes:
Quais são seus de Dados Pessoais que coletamos e como estes são
coletados
Sobre de Dados Pessoais de Crianças e Adolescentes
Sobre o uso de Cookies, arquivos de registos (logs) e similares
Sobre o uso de seus Dados Pessoais
Sobre a divulgação de seus Dados Pessoais
Sobre a retenção e término do tratamento de seus Dados Pessoais
Sobre a divulgação, o armazenamento ou transferência de seus Dados
Pessoais
Sobre seus direitos referentes a Dados Pessoais
Quais são suas escolhas sobre como utilizamos e divulgamos seus Dados
Pessoais
Alterações em nossa Política de Privacidade
Como entrar em contato
Registro de Incidentes de Segurança na ANPD
O que é DLP (data leak prevention)?
CPF não se vende em farmácia!
21 - Referências
1 - Introdução
A
estes acabam se fundindo com nossas necessidades
mais básicas. Hoje vivemos um momento ímpar, em
que a informação passou a ter um valor intrínseco
maior do que as grandes empresas do século XX. A
informação tornou-se o motor das empresas e dos indivíduos
como sociedade.
Cada vez que você compra um produto online, usa um
serviço, registra-se para receber e-mail, vai ao seu médico,
paga seus impostos e contas, ou celebra qualquer contrato
ou solicitação de serviço, você deve fornecer algumas de
suas informações pessoais.
Mesmo sem o seu conhecimento explícito, as informações
sobre você estão sendo geradas e capturadas por empresas,
empresas, organizações de todos os tipos e agências
governamentais com as quais você provavelmente nunca
interagiu intencionalmente.
A única maneira de os clientes, cidadãos e consumidores
confiarem e confiarem no governo e nas empresas é por meio
de fortes práticas de proteção de dados, com legislação
eficaz para ajudar a minimizar o monitoramento
desnecessário por autoridades estaduais e regular a
vigilância por empresas.
Desde 1960 e com a expansão das capacidades de
tecnologia da informação e comunicação, empresas e
organizações governamentais têm armazenado essas
informações pessoais em bancos de dados
computadorizados.
Agora vivemos a revolução da informação, em que as antigas
falsas fronteiras, aos poucos, estão sendo ultrapassadas.
Neste cenário, a manutenção do valor da informação torna-se
estratégica e traz em si o dever de sua proteção.
A proteção da informação pode ser aplicada em vários níveis
de nossa sociedade. Nosso governo, assim como outros,
preocupado com o correto tratamento das informações pela
sociedade, elaborou leis e decretos de salvaguarda deste
processo.
O desafio era (e é) encontrar equilíbrio entre as
preocupações com a proteção das liberdades pessoais e a
possibilidade de apoiar o livre comércio entre os países
signatários da regulação de proteção de dados pessoais.
Sobre o livro.
Esclareço que esta obra não é jurídica, não é de tecnologia, e
tampouco é um trabalho científico. O objetivo principal desta
obra é compor uma base de conhecimento sobre ao assunto
da aplicação da LGPD independente do ramo da organização
e prover uma estrutura para a implementação da Lei, sendo,
ao mesmo tempo, simples, objetivo e de fácil leitura.
Convido a você para juntos refletirmos sobre o entendimento
de umas das leis mais recentes aplicadas em nosso país e
como aplicá-la em uma organização, a LGPD.
2 - Sobre as Leis de privacidade de
dados pessoais no mundo
DLA Piper Global Data Protection Laws of the World - World Map (dlapiperdataprotection.com)
Estados Unidos:
• Health Insurance Portability and Accountability Act
(HIPAA) de 1996;
• Children’s Online Privacy Protection Act (COPPA) de
1998;
• California Consumer Privacy Act (CCPA) de 2018;
• California’s Consumer Privacy Rights Act (CPRA) de
2020 (em vigor em 2023).
• Japão: Act on the Protection of Personal Information
(“APPI”);
• Canadá: Personal Information Protection and Electronic
Documents Act (“PIPEDA”):
• China : PRC Cybersecurity Law;
• África do Sul : Protection of Personal Information Act
• Argentina: Ley de Protección de los Datos Personales Nº
25.326 (PDPL);
• Chile: Ley Nº 19.628 – Protección de datos de carácter
personal;
• Colômbia: Ley 1.266 de 2008 (Habeas Data) e Ley 1.581
de 2012;
• Costa Rica: Ley Nº 8.968, Protección de la persona frente
al tratamiento de sus datos personales;
• México: Ley federal de protección de datos personales en
posesión de los particulares;
• Peru: Ley N° 29.733 – Ley de Protección de Datos
Personales;
• Uruguai: Ley N° 18.331 – Ley de Protección de Datos
Personales y Acción de Habeas Data.
Sobre a legislação norte americana:
Os Estados Unidos são relativamente únicos na maneira
como elaboram sua legislação sobre privacidade. Ainda não
há legislação abrangente – ao estilo do Regulamento europeu
e da LGPD – que regule a coleta de dados pessoais e seu
uso: a legislação é setorial e/ou estadual.
As organizações que operam nos Estados Unidos enfrentam
desafios de privacidade que incluem determinar se sua
organização constitui uma entidade sujeita a uma lei ou
padrão do setor que regula dados ou a coleta de dados de
determinados titulares.
Itens em comum a todas as legislações:
1. Privacy by Design;
2. Deveres de informação e transparência (“minimizar a
surpresa”);
3. Contratos entre controlador e operador;
4. Sistema de resposta aos titulares;
5. Medidas de segurança;
6. Notificações de violações de dados pessoais etc.
• A existência de itens em comum não dispensa o
conhecimento da jurisdição em qual se vai atuar.
disponível em 24 línguas.
• Há outras legislações extremamente
importantes na Europa e que têm relevância na
proteção de dados:
Diretiva ePrivacy (cookies, marketing
direto);
Legislações nacionais dos Estados-
Membros.
A LGPD foi criada tomando com base a lei europeia RGPD,
logo a maioria dos artigos de nossa lei foram copiadas e
alteradas, entretanto nem todos os artigos foram copiados.
Em análise, a RGPD é bem maior em artigos do que a nossa
LGPD.
A CCPA e CPRA: As Leis de proteção de dados na
Califórnia
No dia 1º de janeiro de 2020, o CCPA (California Consumer
Privacy Act) entrou em vigor, garantindo novos direitos
relacionados à privacidade dos consumidores do estado da
Califórnia, nos Estados Unidos. Apesar de o CCPA ser uma
legislação estadual, muitas empresas, em busca de
uniformização e segurança jurídica, estenderam o tratamento
dos dados para todo o território americano.
A autodeterminação informativa – o direito de o titular dos
dados ter poder de controle sobre suas informações –
também está contemplada no CCPA. A partir de 1º de janeiro
de 2023, o CCPA será substituído pelo CPRA (California
Privacy Rights Act).
A nova legislação da Califórnia se baseia na estrutura do
CCPA, expandindo os direitos de privacidade para que
estejam alinhados com o GDPR. Além disso, impõe
obrigações adicionais às empresas, cria a subcategoria
“dados pessoais sensíveis” e estabelece a primeira agência
dos EUA de regulamentação e aplicação das normas de
proteção de dados.
Há pressão para que os projetos de lei sobre esse tema
avancem, com possibilidade de que isso ocorra em 2021.
4 - A Importância da Proteção de
dados para a organização.
Existem cinco razões principais para alocar recursos, gastar
dinheiro, tempo e esforço e tomar medidas preventivas e
implementar controles para proteger os dados corporativos:
• Conformidade regulamentar;
• Evitar Perdas financeiras e outras;
negócio;
• Manter a produtividade dos funcionários;
• Auxílio na tomada de decisão de gestão.
Conformidade regulamentar
O primeiro motivo mais importante para implementar
estratégias de proteção de dados é o medo de multas devido
ao não cumprimento. Isso ocorre porque os governos em todo
o mundo estão implementando novos regulamentos de
privacidade em comunicações eletrônicas e dados
armazenados de todos os tipos.
Até o momento, mais de 100 países em todo o mundo
promulgaram uma legislação abrangente de proteção de
dados, e vários outros países estão em processo de
aprovação de tais leis.
As empresas, portanto, enfrentam enormes consequências e
multas por não conformidade. Alguns países consideram os
executivos da empresa criminalmente responsáveis pelo não
cumprimento das leis relativas a comunicações e
documentos eletrônicos. Esses regulamentos de privacidade
geralmente definem quais informações devem ser retidas,
por quanto tempo e sob quais condições e circunstâncias.
Outras leis são projetadas para garantir a privacidade das
informações contidas em documentos, arquivos e bancos de
dados. A perda de comunicações eletrônicas críticas podem
ser interpretadas como uma violação desses regulamentos e
pode sujeitar a empresa a multas pesadas e os gerentes a
ações legais.
Evitar Perdas financeiras
A segunda razão mais importante para implementar
estratégias de proteção de dados é o medo de perdas
financeiras e outras. Isso ocorre porque os dados
corporativos são reconhecidos como um ativo corporativo
importante que precisa ser protegido e protegido contra
ameaças internas e externas.
No passado, os executivos seniores e os conselhos de
administração podem ter sido complacentes com os riscos
apresentados por violações de dados, erros de dados,
problemas de qualidade de dados e ataques cibernéticos
executados por todos os tipos de invasores (internos,
externos) e equipe ineficaz.
No entanto, há uma preocupação crescente com o dano
potencial à reputação, ações judiciais coletivas e tempo de
inatividade oneroso que está motivando os executivos a
prestar mais atenção às práticas de segurança de suas
organizações.
A perda ou alteração de informações empresariais e dados
pessoais também pode levar a perdas financeiras diretas,
como vendas perdidas, multas ou julgamentos monetários
incorretos, bem como outras decisões incorretas do conselho,
do executivo sênior ou da administração.
Além disso, a perda ou alteração de informações corporativas
e dados pessoais podem causar perdas indiretas dos efeitos
de uma queda na confiança do investidor ou clientes fugindo
para os concorrentes, ou efeitos financeiros ou outros danos
consequentes que não são conhecidos pela empresa ou
organização específica até muito mais tarde.
Manter alta disponibilidade e tempo de resposta do
negócio
O terceiro motivo mais importante para implementar
estratégias de proteção de dados é o medo de não responder
adequadamente aos requisitos de operações corporativas 24
horas por dia.
Isso ocorre porque, em uma economia global cada vez mais
interdependente, o tempo de inatividade não é aceito ou
tolerado por consumidores e clientes, que podem rápida e
rapidamente levar seus negócios para outro lugar. Eles
esperam e exigem que determinada empresa opere com
eficácia e eficiência em todos os momentos (24 horas por
dia, sete dias por semana).
A incapacidade de uma empresa de operar devido a uma
perda de dados ou mau funcionamento operacional causado
por um ataque, mesmo que temporário, está levando muitas
empresas a implantar estratégias abrangentes de proteção
de dados e implementar várias medidas e controles.
Não são apenas as empresas de comércio eletrônico que
vivenciam essa situação. Todos os tipos de negócios
(incluindo bem-estar, saúde, financeiro, manufatura e
serviços etc.) operam 24 horas por dia ou, pelo menos, seus
sistemas de computador e operações de TI.
Mesmo quando nenhuma equipe da empresa está presente,
os computadores e sistemas de aplicativos informatizados
são instruídos em conformidade e disponíveis para receber,
executar e colocar pedidos, enviar pedidos para o armazém,
executar campanhas de marketing, promover vendas,
registrar transações comerciais, gerenciar transações
financeiras e outras transações e, em geral completar todos
os tipos de transações comerciais.
As empresas, portanto, precisam levar em consideração
todas essas demandas e requisitos operacionais 24 horas por
dia, 7 dias por semana, para projetar e implementar uma
melhor proteção para seus dados corporativos.
Manter a produtividade dos funcionários
O quarto motivo mais importante para implementar
estratégias de proteção de dados é o medo de diminuir a
produtividade dos funcionários. Isso ocorre porque a perda e
os erros de dados corporativos importantes reduzem a
produtividade geral, pois os funcionários precisam lidar com
questões operacionais demoradas (suporte ao cliente,
vendas, contabilidade, produção, estoque, compras etc.) sem
a ajuda e suporte de aplicativos de TI sistemas e bases de
dados informáticas.
Perdas e erros de dados também resultam em falhas de
aplicativos de TI e problemas de sistema semelhantes,
tornando difícil para as pessoas realizarem seus trabalhos em
qualquer nível de eficácia.
Uma estratégia de proteção de dados inadequada pode
deixar os clientes esperando por longos períodos para que os
sistemas sejam restaurados após uma falha. Durante esse
tempo, os funcionários podem ficar ociosos ou capazes de
trabalhar apenas em uma capacidade reduzida, diminuindo
ainda mais a produtividade geral e aumentando a frustração
dos funcionários.
Auxílio na tomada de decisão de gestão
O quinto motivo mais importante para implementar
estratégias de proteção de dados é o medo de tomadas de
decisão de gerenciamento incorretas. Isso ocorre porque
dados incorretos, erros de lógica de processamento e
aspectos de qualidade dos dados levam à tomada de decisão
de gerenciamento incorreta em todos os níveis de
gerenciamento das operações, funções, sistemas e
transações da empresa6.
O Data Warehouse Institute (https://tdwi.org/Home.aspx)
estimou que mais de US $ 600 bilhões são perdidos
anualmente devido a problemas de qualidade de dados.
A qualidade dos dados é uma disciplina importante para
todas as empresas acertarem, embora poucas o sejam
atualmente. De acordo com o Relatório Global de Qualidade
de Dados da Experian para 2016, 92 por cento dos
entrevistados preocuparam-se com o fato de seus dados
estarem incorretos em algum nível, ante 86 por cento no ano
anterior.
Para melhorar a qualidade dos dados e diminuir os erros de
tomada de decisão, é importante para as empresas ver como
os dados são tratados em toda a empresa. Isso inclui
certificar-se de que os dados estão sendo coletados,
processados e armazenados corretamente e que as
informações corretas estão sendo inseridas em primeiro lugar
etc.
Atenção especial se a
organização decidir pela anonimização. A segurança da
informação define risco como a combinação da
probabilidade de um evento e suas consequências . A
segurança da informação se baseia em práticas de
gerenciamento de risco para fornecer:
• Identificação do risco;
• Seleção e implementação de controles e medidas
para mitigar riscos;
• Rastreamento e avaliação de risco para validar as
duas primeiras partes.
A garantia da segurança da informação não leva,
automaticamente, à garantia da privacidade e da proteção
de dados.
• A privacidade trata dos direitos dos cidadãos de controlar
como e em que medida as informações sobre eles – seus
dados pessoais – são coletadas e tratadas pela organização.
• A segurança da informação visa garantir a CID –
confidencialidade, integridade e disponibilidade dos ativos de
informação.
Embora a privacidade e a segurança da informação tenham
pontos convergentes , também apresentam características
divergentes .
Pontos convergentes:
• O foco da segurança da informação na integridade
dos dados se relaciona ao requisito de precisão da
privacidade, pois ambos visam garantir que os dados
não sejam alterados sem autorização.
• O requisito de disponibilidade da segurança da
informação suporta o requisito de acesso à
privacidade: se os dados não estiverem disponíveis,
não poderão ser acessados.
• As ideias de segurança da informação e de
privacidade exigem que as organizações sejam
responsáveis por proteger os dados de acordo com o
respectivo regime de proteção, que é uma forma de
prestação de contas.
• Quando as informações são não públicas e pessoais,
a confidencialidade oferece suporte à privacidade, pois
dados não públicos precisam ser mantidos não
públicos.
• Ambos estão interessados em impulsionar a
minimização de dados, ter bons mapas e inventários de
dados e garantir que os controles e medidas corretos
estejam em vigor e sejam corretamente utilizados.
• Frequentemente, os processos de análise e avaliação
de privacidade foram incorporados a processos seguros
do ciclo de vida do desenvolvimento do programa de
privacidade.
Pontos divergentes:
• A privacidade tem um conjunto mais amplo de
obrigações e responsabilidades do que a segurança da
informação.
• Significa dizer que existem questões que a ideia de
privacidade aborda e que a segurança da informação
não aborda, tais como:
• Limitação de coleta;
• Transparência;
• Relevância;
• Limitação no uso.
• A privacidade classifica os dados pessoais em duas
categorias: dados pessoais “normais” e dados pessoais
sensíveis.
• A segurança da informação protege os dados de
maneira diferente, geralmente de acordo com o grau
de confidencialidade: público, confidencial, altamente
confidencial e restrito ou extremamente secreto.
• Talvez o mais importante: embora as técnicas de
segurança da informação possam ser tecnologias que
permitem a privacidade (privacy-enabling technologies
ou PETs) e são frequentemente necessárias, essas PETs
também podem se tornar “problemáticas” se aplicadas
incorretamente (ou seja, de maneira invasiva aos
dados pessoais).
6 - A LGPD
A LGPD é a Lei Geral de Proteção de Dados, criada com a
finalidade de proteger a privacidade de cidadãos brasileiros
ou estrangeiros que se encontrem no Brasil, e que tenham
seus dados coletados ou processados de alguma forma.
Algumas das coisas mais intimidantes da LGPD é a
possibilidade do cliente solicitar a exclusão de todos os seus
dados. A Lei 13.709 define alguns direitos para
usuários/clientes sobre o tratamento de seus dados. Esses
direitos são:
• Direito de receber a confirmação dos tratamentos
realizados;
• Direito de acesso aos seus dados pessoais;
• Direito de corrigir os dados pessoais;
• Direito de eliminar os dados pessoais;
• Direito de retirar o consentimento para algum tratamento;
• Direito de limitar o tratamento de dados pessoais;
• Direito de objeção ao tratamento;
• Direito de Portabilidade de dados (Ainda não
regulamentado)
Do ponto de vista do consumidor de um produto/serviço, os
direitos que as pessoas agora têm com base nessa
regulamentação, garantem a liberdade e controle de seus
próprios dados, determinando como as informações podem
ser utilizadas. É como se fosse um cardápio, você pode
escolher o que deseja comer de acordo com suas
necessidades, vontades… assim, você pode controlar sua
alimentação, seu peso e, de forma geral, sua saúde.
A Lei 13.709/18 estabelece que dado pessoal é toda
informação relacionada a pessoa natural “identificada” ou
“identificável” e determina que o tratamento desses dados
deve considerar os dez princípios de privacidade descritos na
lei.
Ao segui-los, as organizações demonstrarão que os dados
pessoais coletados são necessários, mínimos, corretos, de
qualidade, atendem a uma finalidade de negócio válida,
dentre outras características.
Um dos pilares da transformação digital nas empresas e
organizações é a atividade de tratamento dos dados, ou seja,
como as empresas produzem, gerenciam e usam a
informação.
Sua empresa (não importa o tamanho dela) pode fazer parte
da cadeia do processamento de dados pessoais como
“Contratado”, ou seja, deverá ter também uma gestão de
privacidade e proteção de dados adequada à LGPD, pois será
exigida pelo “Contratante” que já esteja adequado ou se
adequando à Lei.
Até há algum tempo, os dados eram produtos de ações
deliberadas a pesquisas de clientes e de inventários físicos,
que eram parte dos próprios processos de negócios:
Fabricação
Operações
Vendas
Marketing
Os dados resultantes eram usados principalmente para
previsões, avaliações e tomada de decisões.
Em contrapartida, hoje nos deparamos com um dilúvio de
dados. A maioria dos dados que hoje inunda as empresas não
é gerada por qualquer planejamento sistemático, como
pesquisa de mercado. Em vez disso, é produto da quantidade
sem precedentes de conversas, interações ou processos,
dentro ou fora das empresas.
Linha do tempo da Lei
• Em abril de 2016, se publicou a GDPR, na Europa, com um
Vacatio Legis de 2 anos (24 meses)
• A GDPR começou a ser aplicada, efetivamente, no dia 25
de maio de 2018, quando muitas empresas europeias já
tinham conseguido adequar-se ao processo de compliance.
Aquelas empresas que ainda não tinham conseguido
adequar-se, seja por "deixar passar" o tempo, ou por estarem
no processo de adequação, mas não conseguirem completar
o mesmo, passaram a ser multadas, conforme a
especificação da GDPR.
• No mesmo período se aceleraram as tramitações no
Congresso Nacional e Senado, para a aprovação de um
projeto de lei que poderia se transformar na LGPD, a Lei de
Proteção aos dados pessoais. Grande parte do esforço
concentrado neste projeto tinha, como impulsionadores,
alguns dos fatores que vimos no capítulo anterior.
• Em 14 de agosto de 2018, o então Presidente da
República, Michel Temer, promulgou a lei número 13.709/ 18
(PLANALTO, 2018a), a Lei Geral de Proteção de Dados. Nesta
ocasião, o Presidente apresentou as linhas gerais da lei, o
que a fez muito semelhante à sua "lei mãe", a GDPR.
Também foram apresentados alguns vetos presidenciais
sobre o projeto original. Mais especificamente, o que se fez
notar com maior impacto, foi o fato de que a lei teve vetada
a criação do organismo regulador e fiscalizador. Este
organismo deveria chamar-se ANPD, Agência Nacional de
Proteção de Dados, e sua criação foi vetada por motivos
administrativos que não cabem análise aqui. O que importa,
é que ficamos com uma lei bastante robusta, no sentido de
exigências, responsabilidades e sanções, mas com um vazio
no organismo oficial que deveria se responsabilizar pelas
regulamentações adicionais e pelas fiscalizações sobre o
cumprimento da lei. A LGPD, então criada, possuía uma
Vacatio Legis de 18 meses, devendo passar a reger, portanto,
a partir de 15 de janeiro do ano 2020.
• Ainda no mesmo ano, no dia 27 de dezembro de 2018, o
Presidente Michel Temer publicou a Medida Provisória número
869/ 18 (PLANALTO, 2018b). Nesta MP-869 (assim a
chamaremos de agora em diante), o Presidente da República
determinou a criação da ANPD, sua estrutura e
determinações de cunho econômico. Para os artigos relativos
à ANPD, a MP-869 determinou vigência imediata, enquanto
para os demais artigos originais a Vacatio Legis foi alterada
para 24 meses, ou dois anos após a publicação da lei. Desta
forma, a data de início de vigência da lei (especialmente para
a exigência de compliance, fiscalizações e aplicações de
multas) passou a ser o dia 15 de agosto de 2020.
Observemos que a MP-869 determinou 24 meses após a
publicação da Lei, não após a publicação da Medida
Provisória. A Lei foi publicada em agosto, portanto, a vigência
da mesma passa a ser após 15 de agosto de 2020, ao
contrário do que muitos técnicos haviam, erroneamente,
interpretado. Também foi significativa a mudança na
especificação do Encarregado de Dados, que veremos com
mais detalhes, oportunamente. Evidentemente, houve,
também, outras pequenas modificações, que não são
significativas para esta resumida análise, e que não serão
citadas por motivos de buscar maior claridade e simplicidade
no texto.
• Nos primeiros dias de janeiro de 2019, a intenção de
reforçar, cada vez mais, a questão da Segurança da
Informação Nacional, com uma importante ênfase na
proteção dos dados pessoais foi ratificada pelo novo
Presidente eleito, Jair Bolsonaro, sinalizando que as tratativas
com respeito a MP-869 deveriam ser aceleradas. No Brasil,
quando um Presidente da República pública uma Medida
Provisória, ela passa a vigorar de imediato (exceto quando
especifique Vacatio Legis), mas a mesma deve ser
encaminhada para o Congresso Nacional para uma análise e
votação. Posteriormente, se aprovada, deve ser submetida ao
Senado Federal, e, finalmente, retornar, com as eventuais
alterações, para o Presidente da República, para transformar-
se em Lei. Em todo este processo, pode haver vetos a artigos
da MP original, assim como pode haver emendas, que são,
grosso modo, "adendos" à Lei, que são sugeridos pelos
revisores.
• No dia 07 de maio de 2019 o Congresso Nacional votou e
aprovou a MP869, tendo acolhido 91 das 176 emendas
apresentadas. Isto significou a aprovação, pelo Congresso,
para a ANPD, e para uma série de modificações que
deveriam ser introduzidas na Lei.
• No dia 08 de julho de 2019 depois que a Medida Provisória
869 fez todo o percurso de ida ao Senado, aprovação, retorno
ao Congresso e emissão à Presidência da República, foi
publicada, pela mesma Presidência da República, a Lei
13.853/ 19 (PLANALTO, 2019), que altera a lei 13.709/ 18.
• Em agosto de 2021 a ANPD está autorizada e fazer as
auditorias e implementar as multas e procedimentos
corretivos nas empresas.
O que é Dado Pessoal?
A Lei Geral de Proteção de Dados foi sancionada em agosto
de 2018 e foi um importante marco normativo brasileiro. Ela
foi criada para estabelecer regras mais claras e transparentes
ao tratamento de dados pessoais, realizado por pessoa
natural ou jurídica, de direito público ou privado, inclusive
nos meios digitais.
Mas, afinal, o que é dado pessoal, de acordo com a
Lei?
O conceito de dado pessoal é bastante abrangente, sendo
definido como a “informação relacionada à pessoa
identificada ou identificável”. Isso quer dizer que um dado é
considerado pessoal quando ele permite a identificação,
direta ou indireta, da pessoa natural por trás do dado, como
por exemplo: nome, sobrenome, data de nascimento,
documentos pessoais (como CPF, RG, CNH, Carteira de
Trabalho, Passaporte e Título de Eleitor), endereço residencial
ou comercial, telefone, e-mail, cookies e endereço IP.
dado anonimizado .
Por exemplo, quando um instituto de pesquisa vai às ruas e
pergunta a religião das pessoas ou em qual candidato elas
votarão com o objetivo de identificar um perfil geral, as
informações são coletadas de forma anônima ou são
anonimizadas posteriormente, a depender do caso.
Essas são as definições que a LGPD traz sobre dados
pessoais, e as empresas que, de alguma maneira, lidam com
eles, devem estar atentas à forma como estão tratando essas
informações, para garantirem que seus processos estão em
conformidade com a nova lei.
Em tempos de Big Data, em que os dados, estruturados e
não estruturados, vêm das mais variadas fontes e são
tratados dentro dos mais diversos sistemas, é essencial que
as empresas redobrem a atenção com a segurança e a
idoneidade das informações.
Pessoa natural identificável
Conjunto de dados de informações secundárias, onde pode-
se identificar uma pessoa natural.
Por exemplo:
CEP
Número de telefone
Triangulação de antenas de celular
Log de GPS
Extrato de contas de serviços básicos
Cookies em web browsers etc.
Tratamento dos dados
O tratamento dos dados envolve várias atividades, que
podem estar atuando ligadas ou em separado, dependo do
processo e da finalidade da empresa no tratamento de dados
pessoais.
Para atender às exigências do LGPD, as empresas,
especialmente as que investiram pouco em gestão e
segurança de dados nos últimos anos, vão enfrentar uma
série de desafios para desenvolver uma estratégia com base
nos dados coletados dos usuários e a necessidade de excluí-
los quando for a hora.
O primeiro passo para atender essa exigência é ser capaz de
identificar e classificar todas as informações de identificação
pessoal na rede. Dados da Varonis coletados durante a
condução de mais de mil risk assessments para clientes e
potenciais clientes em 2017, mostraram que quarenta e sete
por cento das empresas têm, no mínimo, mil arquivos
sensíveis abertos a todos os funcionários, enquanto vinte e
dois por cento das empresas têm mais de 12 mil arquivos
nessa mesma situação.
Este cenário, principalmente quando falamos sobre a forma
de coletar e gerenciar os dados da internet, estejam estes
armazenados em ambientes físicos ou virtuais, deve sofrer
mudanças drásticas em pouco tempo. Para isso, vai ser
fundamental cuidar das informações de identificação pessoal
que estejam armazenadas em ambiente corporativo, como
números de CPF e cartão de crédito, entre outros
documentos e dados.
O segundo passo para atender às exigências da LGPD é ter
um processo específico para a necessidade de excluir os
dados quando não estiverem mais em uso, como a definição
de configurações de permissionamento que garantam o
armazenamento da menor quantidade possível de
informações de identificação pessoal – apenas as que forem
realmente necessárias para a empresa – e, ainda assim, com
acesso seguro e restrito às pessoas mais indicadas para fazer
uso dos dados, eliminando o quanto antes as informações
desnecessárias para a prestação de serviços.
determinada ação.
Os negócios que trabalham com dados pessoais devem ter
um setor responsável pela proteção de dados para garantir a
conformidade com a LGPD.
A LGPD afeta qualquer tipo de serviço que seja oferecido ao
cidadão europeu. Dessa forma, se um e-commerce no Brasil
vende algum produto em algum país da União Europeia, a
empresa precisa se adaptar ao regulamento se quiser fazer
negócio com seus clientes estrangeiros.
Como muitos dos serviços online estão disponíveis de forma
global, é mais viável alterar toda a plataforma do que
segmentar diferentes políticas de acordo com a residência do
usuário.
Fica claro que a LGPD não é apenas uma questão de TI. Ela
tem implicações abrangentes para toda a empresa, incluindo
a forma como lidar com as atividades de marketing por dados
e vendas online. Esperamos que este texto tenha reforçado
seu conhecimento sobre revolução da internet.
Encarregado de Proteção de Dados (DPO)
Especialista encarregado de administrar todo o fluxo de
informações em qualquer empresa, desde sua coleta até seu
tratamento. Além disso, servirá como ponte entre uma
empresa e a futura Autoridade Nacional de Dados.
Os desafios para adequação à Lei Geral de Proteção de Dados
em vigor desde janeiro de 2021 no Brasil, não são exclusivos
da gestão de TI, Segurança da Informação ou Jurídico. Áreas
de recursos humanos precisam se preocupar muito com a
questão, visto que à legislação cria o cargo de Encarregado
de Proteção de Dados Pessoais, responsável por toda gestão
do assunto ou, como mais conhecido, o Data Protection
Officer - DPO. Embora a função possa ser ocupada por um
prestador de serviços terceirizado, a maioria das empresas
tendem a voltar os olhos para dentro de casa em busca do
perfil ideal, o que nem sempre é a melhor solução.
Toda empresa responsável por tratamento de dados deverá
nomear um Encarregado de Proteção dos dados pessoais.
A primeira opção das empresas para escolha deste
profissional é o responsável pelo departamento jurídico,
afinal de contas, falamos de uma lei — e quem melhor que
um profissional do Direito para compreender os meandros da
legislação brasileira? Nem sempre, é o melhor caminho.
Nem sempre é o melhor caminho, pois o perfil do
encarregado de proteção de dados pessoais não se limita ao
conhecimento e aplicabilidade da lei, mas do conhecimento
de todo um processo de negócio e um "arcabouço" de
soluções e serviços tecnológicos que permeiam toda a
segurança, não somente à segurança de dados pessoais, mas
todo processo de segurança da informação e proteção de
dados que uma empresa precisa se atentar: desde a gestão
de seus usuários (logins, senhas, acessos, arquivos),
passando por bases de dados, conexões remotas (aqueles
profissionais que muitas vezes utilizando notebooks fora da
empresa) e assim por diante.
Vivemos um momento em que, no processo de contratação,
exige-se que estes profissionais tenham experiência de
mercado, ou seja, que estes profissionais já tenham atuado
como DPO´s em algum outro lugar. Isso não ocorre em uma
ou outra situação de contratação, mas de várias, visto que
muitas empresas questionam sobre o melhor perfil e onde
encontrar estes profissionais.
Segundo a LGPD, este encarregado poderá ser uma pessoa
física ou jurídica (no segundo caso, uma empresa especialista
na prestação deste serviço). Este profissional deve ter
independência de análise e geração de relatórios na
organização em que trabalha ou presta serviço.
Dependendo do tamanho da sua organização ou do tipo do
negócio, talvez seja necessária (ou não) a contratação de
pessoa ou serviço de Encarregado de Proteção de Dados.
Encarregados de Proteção de Dados podem ser recursos
dedicados, compartilhados ou até sob demanda, dependo do
projeto de sua organização. Mas em todas essas situações,
ele deve ocupar uma posição independente de influências
estratégicas ou políticas da organização.
O Encarregado de Proteção de Dados será o principal
responsável por mostrar as evidências da adequação da Lei
perante a Autoridade Nacional de Proteção de Dados.
Esse especialista é um dos responsáveis por avaliar o RIPD
(Relatório de Impacto a Proteção de Dados), que toda a
organização deverá prover para a ANPD. É recomendado que
o Encarregado possua um bom conhecimento técnico e
didático das leis de Proteção de Dados nacionais e
estrangeiras.
A lei NÃO obriga que este profissional tenha uma formação
e/ou certificação específica, mas um conjunto de
conhecimentos e competências em legislação, segurança da
informação e proteção de dados suficientes para que este
execute suas funções, como por exemplo:
Sensibilização e informação de todos que tratem dados
pessoais;
• Assegurar o cumprimento das políticas de privacidade e
proteção de dados;
• Controlar e regular a conformidade da LGPD;
• Recolher informação para identificar atividades de
tratamento;
• Controlar e acompanhar a produção do RIPD – Relatório de
Impacto sobre Proteção de Dados;
• Promover as abordagens de Privacidade por Desenho e por
Padrão;
• Realizar a avaliação na exposição aos riscos de violações
de privacidade e mitigados com ações de melhoramento;
• Recolher informação para identificar atividades de
tratamento;
• Manter atualizados os registros das atividades de
tratamento de dados;
• Controlar o cumprimento das cláusulas de proteção de
dados junto aos
fornecedores;
• Promover formações de boas práticas para a proteção de
dados;
• Ser o ponto de contato com os titulares de dados de forma
a esclarecer
questões relacionadas com o tratamento dos dados;
• Ser o ponto de contato com as autoridades de controle etc.
Além do DPO, o ideal é que as empresas pensem na tríade:
PROCESSOS + JURÍDICO + SEGURANÇA DA INFORMAÇÃO,
pois esta base trará muito mais benefícios, segurança e
respaldo ao profissional de proteção de dados, que terá, sem
dúvida nenhuma, uma grande importância em toda "vida"
dos dados em uma corporação, e segurança para
desenvolver suas atividades.
Aplicação (extra)territorial da LGPD
A LGPD aplica-se a qualquer operação de tratamento
realizada por pessoa natural ou por pessoa jurídica de direito
público ou privado,
independentemente do meio, do país de sua sede ou do país
onde estejam localizados os dados, desde que:
• I – a operação de tratamento seja realizada no território
nacional;
• II – a atividade de tratamento tenha por objetivo a oferta ou
o fornecimento de bens ou serviços ou o tratamento de
dados de indivíduos localizados no território nacional; ou
• III – os dados pessoais objeto do tratamento tenha sido
coletados no território nacional.
• § 1º Consideram-se coletados no território nacional os
dados pessoais cujo titular nele se encontre no momento da
coleta.
Tarefas e comprometimentos
Avaliação de Processos e Riscos
É o levantamento de quais situações devem ser corrigidas
pela empresa para a garantia de que a LGPD seja cumprida
em todos os departamentos.
I - Dado Pessoal
I - Dado pessoal: informação relacionada a pessoa natural
identificada ou identificável;
Pseudonimização
2. Definir funções e responsabilidades
É importante estabelecer desde o início quem fará o que,
tanto no seu projeto inicial para cumprir a LGPD, quanto para
a proteção a longo prazo dos dados pessoais que você
possui. O documento Responsabilidades e Autoridades de
Funções da LGPD define várias funções, incluindo um grupo
diretor de segurança da informação para supervisionar a
maneira como a proteção de dados é controlada, um gerente
de segurança da informação e, mais importante, a
informação dos proprietários com o maior envolvimento
diário com os dados em questão. Se ainda não estiver
alocado, é necessário tomar decisões sobre quem cumprirá
essas funções, incluindo o potencial recrutamento.
A única função que é explicitamente mandatada na LGPD é a
do DPO (Encarregado ou Data Protection Officer). Como
mencionamos, você pode ou não precisar nomear um deles.
Se você é um órgão público, não há decisão a ser tomada;
caso contrário, pode ser necessário obter visualizações de
diferentes perspectivas da empresa sobre se você manipula
dados pessoais em uma escala que pode ser considerada
grande.
Se você precisar de um DPO, precisará decidir se deve
nomear internamente, compartilhar um recurso com uma ou
mais organizações similares ou contratar um serviço de
terceiros.
Matriz RACI
A Matriz de Responsabilidades é uma ferramenta de gestão
de pessoas, que define as atribuições de responsabilidades e
atividades para todos os colaboradores envolvidos em
determinado projeto.
Por meio dessa Matriz, é possível ter controle sobre quem é e
o que está fazendo o responsável por cada atividade, seja a
pessoa que toma as decisões ou quem dá suporte aos outros
membros da equipe. Esse documento é uma espécie de
resumo do cronograma de um projeto, pois é mais enxuto e
visa apenas elencar as atividades e os responsáveis por
executá-las.
Na Matriz não cabem tantos detalhes, pois o seu intuito é ser
uma ferramenta prática para apresentar em uma reunião
inicial de projeto, por exemplo. Por isso, deve ser sucinta. O
seu formato pode ser em tabela, planilha, mapa, entre
outros.
A Matriz de Responsabilidade também é conhecida como
Matriz RACI, devido ao significado da sigla, que corresponde
às iniciais das seguintes palavras em inglês:
Responsible (Responsável): é o encarregado de
executar uma determinada tarefa do processo. As
entregas devem ser realizadas por esse colaborador,
que foi quem realizou a atividade.
Accountable (Aprovador ou Responsabilizado;
imputável): é a pessoa com autonomia para aprovar
uma atividade, e que será responsabilizada caso algo
não saia como o esperado na entrega. O(a)
aprovador(a) acompanha a realização do processo,
concede a permissão para que ele seja iniciado, entre
outras tarefas. Em geral, costuma ser o dono do
processo, supervisor ou gerente que assume essa
função.
Consulted (Consultado): é quem deve ser
consultado no momento das decisões e/ou execuções
das atividades, ou seja, contribui diretamente para a
realização do processo. O consultado não precisa
necessariamente fazer parte da organização, e pode
dar dicas e sugestões de ajustes e melhorias, pois é
especialista na área específica.
Informed (Informado): é a pessoa que precisa ser
informada sobre qualquer coisa pertinente às
atividades ou entregas, como o andamento do
processo, performance dos colaboradores e prazos de
entregas.
A Matriz de Responsabilidades também pode ser utilizada
de outras maneiras, e não somente com os princípios
RACI. Uma opção é fazer uso dos verbos, por exemplo:
executar, desenvolver, implantar, cotar, comprar, aprovar,
desenhar, definir, revisar, apoiar, entre outros. Dessa
forma, é possível atribuir qual colaborador envolvido no
projeto é responsável por cada atividade, de acordo com o
setor ou conhecimentos necessários.
Exemplo de matriz RACI:
9 – Desenvolvendo o Sistema de
Gestão de Proteção de Dados – SGPD
O objetivo deste sistema é o gerenciamento dos dados e a
mitigação dos riscos de proteção a privacidade de dados. O
sucesso na implementação deste programa em sua
organização é o passo crucial para a adequação a
LGPD.
10 - Cookies e a Privacidade
Um cookie é um pequeno arquivo de letras e números que é
baixado no seu computador quando você visita um site. Os
cookies são usados por muitos sites e podem fazer uma série
de coisas, por exemplo, lembrar suas preferências, registrar o
que você colocou em sua cesta de compras e contar o
número de pessoas que acessam um site.
Você pode encontrar informações sobre cookies e tecnologias
semelhantes em sites e ter opções sobre como alguns
cookies são usados. Isso pode incluir, por exemplo, ser
solicitado a concordar com o uso de um cookie para um
serviço específico, como lembrar suas preferências em um
site.
As organizações devem fornecer informações claras e
abrangentes sobre a forma como usam cookies e garantir
que, para qualquer cookie não estritamente necessário para
seu site, elas forneçam a você um meio apropriado de
consentir que esse cookie seja definido em seu dispositivo.
Tipos de cookies
Cookies de Geolocalização
Esses cookies indicam sua localização. De qual país ou região
você está navegando.
Cookies de Interações de pesquisa
Cookies podem guardar também informações preenchidas
em formulários e pesquisas.
Cookies de publicidade
Não é muito bom saber qual foi o último anúncio que você
viu para não repetir, ou aquele que não interessa a você para
que não seja mais exibido? Esses cookies identificam suas
preferências e exibem conteúdo publicitário a partir das suas
preferências.
11 - Relatório de Impacto à Proteção
de Dados Pessoais (RIPD)
Gestão de Riscos:
Risco Probabilidade Impacto Risco Medida
Residual
Fazer Significativa Limitado Médio Fazer
transferências transferências
internacionais com base em
para países que garantias
não oferecem um adequadas
nível adequado
de proteção
Falta de Desprezível Significativo Baixo Monitoramento
mecanismos de e revisão de
supervisão e fornecedores
controle sobre as
medidas que
regulam o
relacionamento
com um gerente
de tratamento
Não registrar a Limitado Significativo Médio Criação e
criação, atualização do
modificação ou registro de
cancelamento atividades de
das atividades de tratamento
tratamento
realizadas sob
sua
responsabilidade
Não ter uma Significativo Significativo Alto Segurança da
estrutura informação no
organizacional, gerenciamento
processos e de projetos
recursos para o
gerenciamento
adequado da
segurança na
organização
Erro na Limitado Significativo Médio Gestão de
configuração de vulnerabilidades
um sistema, técnicas
aplicativo,
estação de
trabalho,
impressora ou
componente de
rede
Falhas de Significativo Limitado Médio Separação de
segurança no ambientes de
desenvolvimento um novo
de um novo aplicativo ou
aplicativo ou novas
novas funcionalidades
funcionalidades e e / ou correções
/ ou correções de de um
um aplicativo aplicativo
existente existente
Roubo ou perda Limitado Significativo Médio Política para o
de equipamento, uso de
mídia dispositivos de
ou dispositivos mobilidade
com dados
pessoais
Violações da Significativo Máximo Alto Monitoramento
confidencialidade e revisão de
de dados fornecedores
pessoais por
funcionários ou
pessoal externo
da organização
Resultados:
Avaliação DPO Aprovado com ressalvas.
Verificar comentários avaliação DPO.
Comentários A partir da construção deste
avaliação DPO documento, é possível definir que o
processo desenhado apresenta risco
elevado à privacidade dos seus
titulares, em caso de algum incidente
envolvendo dados pessoais. Dessa
forma, para que o projeto esteja
adequado à legislação, é necessário
que as medidas propostas para
redução dos riscos sejam atendidas
pela equipe de projeto. A equipe de
projeto tem 3 meses para reduzir o
risco à privacidade para um nível
aceitável, com riscos da avaliação final
do DPO ser considerada como ˜NO
GO˜
Periodicidade de Trimestral
Revisão deste
Documento
Assinatura
Diretoria
Responsável pelo
Projeto
12 – Implementando o Programa de
governança da privacidade
A Lei esclarece em sua Seção II, Das Boas Práticas e da
Governança, informa, no Art. 50 § 2º sobre as características
mínimas de um Programa de Governança em Privacidade –
chamado PGP , conforme a seguinte ilustração:
Características Mínimas de um Programa Gerenciamento de Privacidade - LGPD
Gestão de Incidentes
É importante incluir nesta etapa do PGP um processo de
Gestão de Incidentes, que registre os incidentes de
segurança da informação e de privacidade ocorridos e que
armazene informações como: a descrição dos incidentes ou
eventos; as informações e sistemas envolvidos; as medidas
técnicas e de segurança utilizadas para a proteção das
informações; os riscos relacionados ao incidente e as
medidas tomadas para mitigá-los a fim de evitar
reincidências.
É válido também implementar e manter controles e
procedimentos específicos para detecção, tratamento,
coleta/preservação de evidências e resposta a incidentes de
segurança da informação e privacidade, de forma a reduzir o
nível de risco ao qual a Solução de TIC e/ou o órgão estão
expostos, considerando os critérios de aceitabilidade de
riscos definidos pelo órgão.
É recomendado ainda que a Gestão de Incidentes possua um
Plano de Comunicação orientando a forma que os incidentes
de segurança, que acarretem risco ou dano, sejam
informados aos órgãos fiscalizatórios e à imprensa.
16 - Aumento de incidentes de
violação de dados pessoais.
18 - Resumo da GDPR
19 - Perguntas e respostas
1. Do que trata a Lei Geral de Proteção de Dados
pessoais – LGPD?
A Lei Geral de Proteção de Dados – LGPD (Lei n. 13.709, de
2018), dispõe sobre o tratamento de dados pessoais das
pessoas naturais , definindo as hipóteses em que tais
dados podem legitimamente ser utilizados por terceiros e
estabelecendo mecanismos para proteger os titulares dos
dados contra usos inadequados.
A Lei é aplicável ao tratamento de dados realizado por
pessoas naturais ou por pessoas jurídicas de direito
público ou privado , e tem o objetivo de proteger os
direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural.
2. Como a legislação de proteção de dados pessoais
pode ajudar o Brasil?
A LGPD tem por objetivo proteger os direitos fundamentais
relacionados à esfera informacional do cidadão. Assim, a Lei
introduz uma série de novos direitos que asseguram maior
transparência quanto ao tratamento dos dados e conferem
protagonismo ao titular quanto ao seu uso.
A aprovação da LGPD e a criação da Autoridade Nacional de
Proteção de Dados – ANPD representam também importantes
passos para colocar o Brasil no mesmo patamar de muitos
outros países que já aprovaram leis e estruturas institucionais
dessa natureza. A constituição de um ambiente jurídico
voltado à proteção de dados pessoais corresponde também
ao alinhamento com diretrizes da Organização para a
Cooperação e Desenvolvimento Econômico – OCDE, que há
décadas vem desempenhando um relevante papel na
promoção do respeito à privacidade como um valor
fundamental e como um pressuposto para o livre fluxo de
dados.
Por fim, do ponto de vista dos agentes de tratamento de
dados, sejam empresas ou o próprio poder público, a LGPD
traz a oportunidade de aperfeiçoamento das políticas de
governança de dados, com adoção de regras de boas práticas
e incorporação de medidas técnicas e administrativas que
mitiguem os riscos e aumentem a confiança dos titulares dos
dados na organização.
3. Quando a LGPD entrou em vigor?
A Lei entrou em vigor de maneira escalonada:
Em 28 de dezembro de 2018 , quanto aos arts. 55-A,
55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-
K, 55-L, 58-A e 58-B, que tratam da constituição da
Autoridade Nacional de Proteção de Dados – ANPD e do
Conselho Nacional de Proteção de Dados Pessoais e da
Privacidade – CNPD.
Em 18 de setembro de 2020 , quanto aos demais
artigos da Lei, com exceção dos dispositivos que tratam
da aplicação de sanções administrativas;
Em 1o de agosto de 2021 , quanto aos arts. 52. 53 e
54, que tratam das sanções administrativas
4. O que são dados pessoais?
A LGPD adota um conceito aberto de dado pessoal ,
definido como a informação relacionada a uma pessoa
natural identificada ou identificável . Assim, além das
informações básicas relativas ao nome, número de inscrição
no Registro Geral (RG) ou no Cadastro Nacional de Pessoas
Físicas (CPF) e endereço residencial, são também
considerados dados pessoais outros dados que permitam a
identificação de um indivíduo, tais como a orientação sexual,
a filiação político-partidária, o histórico médico e também
aqueles referentes aos seus aspectos biométricos. Segundo a
LGPD, poderão ser igualmente considerados como dados
pessoais aqueles utilizados para formação do perfil
comportamental de determinada pessoa natural, se
identificada.
5. O que são dados pessoais sensíveis?
Os dados pessoais sensíveis são aqueles aos quais a LGPD
conferiu uma proteção ainda maior, por estarem diretamente
relacionamentos aos aspectos mais íntimos da personalidade
de um indivíduo. Assim, são dados pessoais sensíveis aqueles
relativos à origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dados referente à
saúde ou à vida sexual, dados genéticos ou biométricos,
quando vinculados a uma pessoa natural.
6. Quais dados são protegidos pela LGPD?
A LGPD garante proteção a todos os dados cujos titulares
são pessoas naturais , estejam eles em formato físico ou
digital. Assim, a LGPD não alcança os dados titularizados por
pessoas jurídicas – os quais não são considerados dados
pessoais para os efeitos da Lei.
7. O que é tratamento de dados pessoais, de acordo com a
LGPD?
Segundo a LGPD, tratamento de dados pessoais é toda
operação realizada com dados pessoais, como as que se
referem à coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração.
8. Em que hipóteses pode ser realizado o tratamento de
dados pessoais?
Com a entrada em vigor da LGPD, o tratamento de dados
pessoais pode ser realizado quando se verificar a ocorrência
de qualquer uma das hipóteses previstas em seu
artigo 7 o ou, no caso de dados pessoais sensíveis, de uma
das hipóteses previstas no artigo 11 . Existem dez bases
legais distintas para o tratamento de dados pessoais e oito
bases legais que legitimam o tratamento de dados pessoais
sensíveis.
Vale notar que a LGPD é aplicável também aos dados cujo
acesso é público e àqueles tornados manifestamente
públicos pelos titulares, resguardando-se a observância dos
princípios gerais e dos direitos dos titulares previstos na Lei.
9. Quais são as bases legais para o tratamento de
dados pessoais?
O tratamento de dados pessoais poderá ser realizado em
qualquer uma das seguintes hipóteses, previstas no art. 7o
da LGPD:
Mediante o fornecimento de consentimento pelo titular;
Para o cumprimento de obrigação legal ou regulatória
pelo controlador;
Para a execução de políticas públicas, pela
administração pública;
Para a realização de estudos por órgão de pesquisa;
Para a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte
o titular, a pedido do titular dos dados;
Para o exercício regular de direitos em processo
judicial, administrativo ou arbitral;
Para a proteção da vida ou da incolumidade física do
titular ou de terceiro;
Para a tutela da saúde, exclusivamente, em
procedimento realizado por profissionais de saúde,
serviços de saúde ou autoridade sanitária;
Para atender aos interesses legítimos do controlador ou
de terceiro, exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a
proteção dos dados pessoais;
Para a proteção do crédito.
As bases legais para o tratamento de dados pessoais
sensíveis estão previstas no art. 11 da LGPD.
10.Quais são os direitos dos cidadãos com a entrada em
vigor da LGPD?
A LGPD prevê uma ampla gama de direitos dos titulares de
dados, dentre os quais podem ser destacados os seguintes:
acesso facilitado às informações sobre o tratamento de
seus dados, que deverão ser disponibilizadas de forma
clara, adequada e ostensiva;
confirmação da existência de tratamento;
acesso aos dados;
correção de dados incompletos, inexatos ou
desatualizados;
anonimização, bloqueio ou eliminação de dados
desnecessários, excessivos ou tratados em
desconformidade com o disposto na LGPD;4
portabilidade dos dados a outro fornecedor de serviço
ou produto, mediante requisição expressa, de acordo
com a regulamentação da autoridade nacional,
observados os segredos comercial e industrial;
eliminação dos dados pessoais tratados com o
consentimento do titular, exceto nas hipóteses
previstas no art. 16 da LGPD;
informação das entidades públicas e privadas com as
quais o controlador realizou uso compartilhado de
dados;
informação sobre a possibilidade de não fornecer
consentimento e sobre as consequências da negativa;
revogação do consentimento, mediante manifestação
expressa do titular, por procedimento gratuito e
facilitado;
peticionamento em relação aos seus dados contra o
controlador, perante a ANPD e perante os organismos
de defesa do consumidor;
oposição a tratamento realizado com fundamento em
uma das hipóteses de dispensa de consentimento, em
caso de descumprimento ao disposto na LGPD;
solicitação de revisão de decisões tomadas unicamente
com base em tratamento automatizado de dados
pessoais que afetem seus interesses, incluídas as
decisões destinadas a definir o seu perfil pessoal,
profissional, de consumo e de crédito ou os aspectos de
sua personalidade; e
fornecimento, mediante solicitação, de informações
claras e adequadas a respeito dos critérios e dos
procedimentos utilizados para a decisão automatizada,
observados os segredos comercial e industrial.
11.O que as empresas e o setor público precisam fazer para
se adequar?
A LGPD estabelece uma série de medidas que devem ser
adotadas pelos agentes de tratamento, que incluem a
identificação das bases legais que justificam as atividades de
tratamento de dados; a adoção de processos e políticas
internas que assegurem o cumprimento das normas de
proteção de dados pessoais; e o estabelecimento de um
canal de contato com os titulares de dados pessoais.
A Lei determina que os controladores de dados devem indicar
um Encarregado para atuar como canal de comunicação
entre o controlador, os titulares dos dados e a ANPD. Em
determinadas circunstâncias, conforme a natureza e o porte
da entidade ou o volume de operações de tratamento de
dados, a ANPD poderá estabelecer hipóteses de dispensa da
necessidade de sua indicação.
12.O que é a Autoridade Nacional de Proteção de Dados
Pessoais - ANPD?
A ANPD é o órgão da administração pública federal
responsável por zelar pela proteção de dados pessoais e por
implementar e fiscalizar o cumprimento da LGPD no Brasil.
13.Qual é o papel da Autoridade Nacional de Proteção de
Dados – ANPD?
A missão institucional da ANPD é assegurar a mais ampla e
correta observância da LGPD no Brasil e, nessa medida,
garantir a devida proteção aos direitos fundamentais de
liberdade, privacidade e livre desenvolvimento da
personalidade dos indivíduos.
O art. 55-J da LGPD estabelece as principais competências da
ANPD, dentre as quais se destacam as seguintes:
elaborar diretrizes para a Política Nacional de Proteção
de Dados Pessoais
e da Privacidade;
fiscalizar e aplicar sanções em caso de tratamento de
dados realizado em descumprimento à legislação,
mediante processo administrativo que assegure o
contraditório, a ampla defesa e o direito de recurso;
promover na população o conhecimento das normas e
das políticas públicas sobre proteção de dados pessoais
e das medidas de segurança;
estimular a adoção de padrões para serviços e
produtos que facilitem o exercício de controle dos
titulares sobre seus dados pessoais, os quais deverão
levar em consideração as especificidades das
atividades e o porte dos responsáveis;
promover ações de cooperação com autoridades de
proteção de dados pessoais de outros países, de
natureza internacional ou transnacional;
editar regulamentos e procedimentos sobre proteção
de dados pessoais e privacidade, bem como sobre
relatórios de impacto à proteção de dados pessoais
para os casos em que o tratamento representar alto
risco à garantia dos princípios gerais de proteção de
dados pessoais previstos na LGPD;
ouvir os agentes de tratamento e a sociedade em
matérias de interesse relevante e prestar contas sobre
suas atividades e planejamento;
editar normas, orientações e procedimentos
simplificados e diferenciados, inclusive quanto aos
prazos, para que microempresas e empresas de
pequeno porte, bem como iniciativas empresariais de
caráter incremental ou disruptivo que se autodeclarem
startups ou empresas de inovação, possam adequar-se
à Lei;
deliberar, na esfera administrativa, em caráter
terminativo, sobre a interpretação da LGPD, as suas
competências e os casos omissos;
articular-se com as autoridades reguladoras públicas
para exercer suas competências em setores específicos
de atividades econômicas e governamentais sujeitas à
regulação; e
implementar mecanismos simplificados, inclusive por
meio eletrônico, para o registro de reclamações sobre o
tratamento de dados pessoais em desconformidade
com a LGPD.
14.Quando a ANPD foi criada?
A ANPD foi criada pela Medida Provisória n. 869, de 27 de
dezembro de 2018, posteriormente convertida na Lei n.
13.853, de 14 de agosto de 2019. Por sua vez, o Decreto
10.474, de 26 de agosto de 2020, aprovou a Estrutura
Regimental e o Quadro Demonstrativo dos Cargos em
Comissão e das Funções de Confiança da ANPD, com entrada
em vigor na data de publicação da nomeação do Diretor-
Presidente da ANPD no Diário Oficial da União.
15.A ANPD é uma autoridade independente?
Apesar de ser um órgão da administração pública federal
direta, a ANPD possui algumas características institucionais
que lhe conferem maior independência, tais como a
autonomia técnica e decisória e o mandato fixo dos Diretores.
A LGPD prevê também que a natureza jurídica da ANPD é
transitória e poderá ser transformada pelo Poder Executivo
em entidade da administração pública federal indireta,
submetida a regime autárquico especial e vinculada à
Presidência da República. Tal avaliação deverá ocorrer em até
2 (dois) anos da data da entrada em vigor da estrutura
regimental da ANPD.
16.A ANPD pode aplicar sanções pelo descumprimento da
Lei?
Cabe lembrar, em primeiro lugar, que os dispositivos da
LGPD que tratam de sanções administrativas somente
entrarão em vigor em 1o de agosto de 2021. A partir dessa
data, a ANPD poderá aplicar, após procedimento
administrativo que possibilite a ampla defesa, as seguintes
sanções administrativas:
• advertência, com indicação de prazo para adoção de
medidas corretivas;
• multa simples, de até 2% (dois por cento) do faturamento
da pessoa
jurídica de direito privado, grupo ou conglomerado no Brasil
no seu
7
último exercício, excluídos os tributos, limitada, no total, a R$
50.000.000,00 (cinquenta milhões de reais) por infração;
• multa diária, observado o limite total a que se refere o
inciso II;
• publicização da infração após devidamente apurada e
confirmada a sua
ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até
a sua
regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a
que se refere a
infração pelo período máximo de 6 (seis) meses, prorrogável
por igual
período, até a regularização da atividade de tratamento pelo
controlador;
• suspensão do exercício da atividade de tratamento dos
dados pessoais a
que se refere a infração pelo período máximo de 6 (seis)
meses,
prorrogável por igual período; e
• proibição parcial ou total do exercício de atividades
relacionadas a
tratamento de dados.
A LGPD determina que a ANPD deverá editar regulamento
próprio sobre sanções administrativas, que deverá ser objeto
de consulta pública, contendo as metodologias que
orientarão o cálculo do valor-base das sanções de multa. Tais
metodologias devem ser previamente publicadas e devem
apresentar objetivamente as formas e dosimetrias para o
cálculo do valor-base das sanções de multa, que deverão
conter fundamentação detalhada de todos os seus
elementos, demonstrando a observância dos critérios
previstos na LGPD.
Nos termos da Lei, a aplicação de sanções requer, ainda,
criteriosa apreciação e ponderação de inúmeras
circunstâncias, dentre as quais a gravidade e a natureza das
infrações e dos direitos pessoais afetados, a condição
econômica do infrator, o grau do dano, a cooperação do
infrator, a adoção de política de boas práticas e governança e
a pronta adoção de medidas corretivas.
17.A Autoridade Nacional de Proteção de Dados Pessoais se
articula com
outras entidades e órgãos públicos no exercício das suas
competências? Sim. A ANPD deve se articular com outras
entidades e órgãos públicos a fim de garantir o cumprimento
de sua missão institucional, atuando como órgão central de
interpretação da LGPD e do estabelecimento de normas e
diretrizes para a sua implementação.
A LGPD determina, por exemplo, que a ANPD e os órgãos e
entidades públicos responsáveis pela regulação de setores
específicos da atividade econômica e governamental devem
coordenar suas atividades, nas correspondentes esferas de
atuação, com vistas a assegurar o cumprimento de suas
atribuições com a maior eficiência e promover o adequado
funcionamento dos setores regulados. Da mesma forma, a
LGPD determina que a ANPD deve comunicar às autoridades
competentes as infrações penais das quais tiver
conhecimento.
É importante observar que a aplicação das sanções previstas
na LGPD compete exclusivamente à ANPD, e suas
competências prevalecerão, no que se refere à proteção de
dados pessoais, sobre as competências correlatas de outras
entidades ou órgãos da administração pública.
20 – Anexos
21 - Referências
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em
<http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/L13709compilado.htm>. Acesso em 15 de julho de 2020.
FERNANDES, Aguinaldo Aragon; DINIZ, Jose Luis; ABREU, Vladimir
Ferraz de. Governança 4.0. Editora BRASPORT, Rio de Janeiro, 2019.
Inteligência artificial: uma realidade no Poder Judiciário. Disponível em <
https://www.tjdft.jus.br/institucional/imprensa/artigos-discursos-
eentrevistas/artigos/2020/inteligencia-artificial>. Acesso em 15 de julho
de 2020.
Origem da computação, Máquina de Turing
<https://revistagalileu.globo.com/Tecnologia/noticia/2018/03/origem-
dacomputacao-maquina-de-turing-e-construida-em-madeira.html>.
Acesso em 15 de julho de 2020.
Disponível em <https://forbes.com.br/negocios/2019/11/apple-carde-.acusado-de-
discriminacao-contra-mulheres/>. Acesso em 14 de julho
de 2020.
Disponível em <https://www.cnil.fr/fr/comment-permettre-lhomme-degarder-la-
main-rapport-sur-les-enjeux-ethiques-des-algorithmes-etde>. Acesso em 14 de
julho de 2020.
Disponível em https://www.migalhas.com.br/depeso/319005/inteligenciaartificial-
e-o-direito-uma-realidade-inevitavel
LGPD e AI 25/08/20 10:09
https://www.exin.com/br-pt/lgpd-inteligencia-artificial/ Page 6 of 7
MAGRANI, Eduardo. Entre dados e robôs: ética e privacidade na era da
hiperconectividade. 2. edição. Porto Alegre: Arquipélago Editorial, 2019.
PL nº 5691/2019 – disponível em:
https://legis.senado.leg.br/sdleggetter/documento?
dm=8031122&ts=1594037338983&disposition=inlie. acesso em 14 de
julho de 2020.
PL nº 21/2020 – disponível em:
https://www.camara.leg.br/proposicoesweb/prop_mostrarintegra;jsession
id=aeaa888521510dda28e8bd69d68972d2.proposicoeswebexterno2?
codteor=1853928&filename=pl+21/2020. Acesso em 14 de julho de
2020.
PL nº 5051/2019 – disponível em:
https://legis.senado.leg.br/sdleggetter/documento?
dm=8009064&ts=1594036674670&disposition=inlie. Acesso em 14 de
julho de 2020.
Cavoukian, Ann. Privacy by Design: The 7 Foundational Principles. August, 2009.
Disponível
em: https://iapp.org/media/pdf/resource_center/Privacy%20by%20Design%20-
%207%20Foundational%20Principles.pdf. Acesso em: 13 jan. 2020.
Malisow, Ben. How To Pass Your INFOSEC Certification Test: A Guide To Passing The
CISSP, CISA, CISM, Network+, Security+, and CCSP . Maladjusted Works. Edição do
Kindle.