Lei Geral de Proteção

de Dados
AGNUS Agente Autônomo de Investimentos
Lei Geral de Proteção de Dados
O conteúdo deste workshop é exclusivamente
destinado para uso interno da Agnus Investimentos. É
estritamente proibido compartilhar qualquer parte
deste workshop com terceiros e/ou outros sem a
autorização formal da KPMG
O que é privacidade?
De acordo com a Constituição Federal de 1988:

Art. 5º Todos são iguais perante a lei, sem distinção de

qualquer natureza, garantindo-se aos brasileiros e aos
estrangeiros residentes no País a inviolabilidade do
direito à vida, à liberdade, à igualdade, à segurança e à
propriedade, nos termos seguintes:

X - são invioláveis a intimidade, a vida privada, a honra e

a imagem das pessoas, assegurado o direito a
indenização pelo dano material ou moral decorrente de
sua violação;
Lei Geral de Proteção de Dados
Lei 13.709
PUBLICADA EM: 14 DE AGOSTO DE 2018

A QUEM SE ENDEREÇA: Organizações que realizam o

tratamento de dados pessoais no território brasileiro ou oferecem
produtos ou serviços a indivíduos -
localizados no Brasil
2021
REGULAÇÕES SETORIAIS
NÃO FORAM REVOGADAS
2020 OU IMPEDIDAS DE SEREM
AGO/2021: ENTRADA APLICADAS.
EM VIGOR DAS
2018 SANÇÕES - PROJETO
SET/2020: ENTRADA EM LEI Nº 1179/20
VIGOR DA LEI –
2018 MP959/2020
MEDIDA PROVISÓRIA
nº 869, DE 27 DE
DEZEMBRO DE 2018 –
LEI Nº 13.709, DE 14 ANPD
DE AGOSTO DE 2018 SANÇÕES
Multas de 2% do faturamento anual da empresa, até o limite de R$ 50.000.000,00.
Publicização da infração após devidamente apurada e confirmada a sua ocorrência.
Suspensão parcial do funcionamento do banco de dados pelo período máximo de 6 (seis) meses, prorrogável por igual período.
Como interpretar a
LGPD em conjunto
com as demais LCP LGPD
normas?
Art. 55-K. A aplicação das sanções previstas
nesta Lei compete exclusivamente à ANPD,
Exemplo:
Resolução 4658/2018 Acesso à CDC
e suas competências prevalecerão, no que se Informação
refere à proteção de dados pessoais, sobre as
competências correlatas de outras entidades
ou órgãos da administração pública.
Parágrafo único. A ANPD articulará sua
Normas
atuação com outros órgãos e entidades com
competências sancionatórias e normativas
afetas ao tema de proteção de dados pessoais
MCI BACEN
e será o órgão central de interpretação desta
Lei e do estabelecimento de normas e
diretrizes para a sua implementação.
Impactos
Sanções (e.g.)
Multa de até 2% do
faturamento do grupo
econômico no Brasil

Teto de 50 milhões de
reais por ato/infração

Advertência

Publicação da infração
em jornais de grande
circulação
 Entre maio de 2018 e novembro de 2019, 22 órgãos

Impactos Reputacionais reguladores da União Europeia/Área Econômica Europeia

(EEE) aplicaram 785 multas às empresas e organizações que
violaram dados

A companhia British Airways lidera esse ranking de multas

aplicadas com 213 milhões de euros (em conversão direta,
Sanções (e.g.) 983 milhões de reais), aplicada em julho de 2019, após
ataques cibernéticos resultarem em vazamento de dados
Multa de até 2% do pessoais de cerca de 500 mil clientes sendo roubados pelos
faturamento do grupo invasores.
econômico no Brasil
Um dia depois, mais uma multa foi emitida pelo órgão.
Teto de 50 milhões de
Agora, de 124 milhões de dólares (em conversão direta,
reais por ato/infração aproximadamente 500 milhões de reais) destinada aos hotéis
Marriott por uma violação de dados que expunha os dados
Advertência pessoais de quase 339 milhões de hóspedes em todo
mundo.
Publicação da infração
em jornais de grande Google foi punida em €50 milhões. O que causou a
circulação penalidade ao Google envolve o fato de a empresa não ter
fornecido informações suficientes aos usuários sobre suas
políticas de consentimento de dados
 Incidentes de proteção de dados

Fonte: https://g1.globo.com/ro/rondonia/noticia/2020/02/27/loja-usa-curriculos-de-candidatos-para-embalar-produtos-de-clientes-e-gera-revolta-internet.ghtml
Conceitos
gerais da Lei

DADO DADO
PESSOAL PESSOAL
SENSÍVEL
 • Nome completo
• Naturalidade
• Profissão
• Estado Civil
• Endereços físico e
eletrônico /
Geolocalização
DADOS • Telefone
PESSOAIS • Endereço de IP
• Dados biométricos
• Origem racial ou étnica
• Convicção religiosa
• Opinião Política
• Filiação a sindicato ou
organização de caráter religioso,
filosófico ou político
• Saúde ou Vida Sexual
• Dado genético DADOS
PESSOAIS
SENSÍVEIS
 Conceitos gerais da Lei

Tratamento de Titular Dado Dado

Dado Pessoal do Dado Anonimizado Pseudonimizado
Colaboradores
Candidatos
Terceiros
 Conceitos gerais da Lei

Controlador Operador
Quem detêm o poder Quem realiza o tratamento em
decisório sobre os dados nome do Controlador
 Pessoa natural ou
jurídica, de direito
público ou privado,
a quem competem
as decisões
Controlador referentes ao
tratamento de
Quem detêm o poder dados pessoais
decisório sobre os dados
Pessoa natural ou
jurídica, de direito
público ou privado, que
realiza o tratamento de
dados pessoais em
nome do controlador Operador
Quem realiza o tratamento em
nome do Controlador
Responsabilidade Solidária
Dados
Pessoais

Titular Controlador Controladores/

dos Dados Operadores
Responsabilidade Solidária
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não
fornecer a segurança que o titular dele pode esperar (...)

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o
operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.
O que mudará na relação com nosso Terceiro?

Revisão de Questionário Background Relatório de

Contratos Check Visita
in Loco
 Conceitoosn Officer
Data Protecti
gerais da Lei
Pessoa indicada pelo controlador que
tem como atribuição servir como
Encarregado canal de comunicação entre o
controlador, os titulares dos dados e
de Proteção a autoridade nacional.
de Dados (DPO) Deve orientar os funcionários e
contratados sobre as práticas em
relação à proteção de dados.
Área de privacidade e suas atribuições
A Área de Privacidade atuará em conjunto com o DPO. Enquanto o DPO tem um papel de aprovador de muitas tomadas de
decisões, a Área de Privacidade é o responsável por executar as atividades nas diretrizes passadas pelo DPO.

As principais atividades dos integrantes da Área podem ser compiladas nos seguintes itens:

Suporte
Atuar como Reporte de
atendimento a
ponto focal incidentes
Titulares

D Execução do
Área de Relatório de Atualização do
P programa (e
Privacidade Impacto ROPA
manuais)
O
Suporte Monitoramento
Treinamento e
atendimento de Controles de
Conscientização
ANPD Privacidade
O que é o tratamento de um dado pessoal?
O tratamento de dado pessoal inclui toda operação que envolve um dado
pessoal, desde a coleta até o seu descarte. Vejam alguns exemplos abaixo:

Coleta Recepção Armazenamento Transmissão Avalização

Produção Utilização Classificação Processamento Eliminação

Como devemos proceder no tratamento?

Não Transparência
Finalidade Adequação Livre acesso
discriminação

Qualidade Responsabilidade
Necessidade Segurança Prevenção e prestação
dos dados
de contas
Quais os direitos dos titulares?

Revisão de Eliminação
Acesso Portabilidade Explicação decisões
Bloqueio
automatizadas

Confirmação
Correção e Revogação do
da existência Anonimização
atualização consentimento
do tratamento

Os controladores devem adequar seus procedimentos internos para atender às requisições dos titulares,
no prazo de 15 (quinze) dias, sob pena de descumprimento e aplicação de sanções.
 Quando se poder tratar o dado pessoal?
Bases legais dados pessoais
Cumprimento Realização de Exercício de Para
de obrigação estudo por órgãos diretos em Para tutela Proteção ao
regulatória ou legal de pesquisa processos da Saúde Crédito

1 2 3 4 5 6 7 8 9 10

Consentimento Pela Administração Para a execução de Proteção à vida e Para atender

Pública na execução contratos ou itens integridade física interesses
de políticas a ele relacionados Legítimos do
controlador
 Quando se poder tratar o dado pessoal?
Bases legais dados pessoais sensíveis
Cumprimento Realização de Exercício Para
de obrigação estudo por órgãos regular de tutela da Para Proteção
regulatória ou legal de pesquisa diretos Saúde ao Crédito

1 2 3 4 x 5 6 7 x x 8

Consentimento Pela Administração Para a execução de Proteção à vida e Para atender Prevenção
Pública na execução contratos ou itens integridade física interesses à Fraude e
de políticas a ele relacionados Legítimos do Segurança
controlador do Titular
 ROPA LIA DPIA
( Records of processing ( Legitimate interests ( Data protection impact
activities) assessment) assessment )
Inventário do ciclo de vida Avaliação dos critérios Elaboração de relatório de
dos dados pessoais da estabelecidos pela ANPD impacto à proteção de
empresa, considerando o para o uso do Legítimo dados pessoais para
seu tratamento desde o Interesse como base avaliação dos riscos pelo
início até a sua exclusão, legal. Essa avaliação é DPO, bem como para
compartilhamento com armazenada pelo DPO armazenamento e geração
terceiros, etc. para geração de de evidências de
evidências de Compliance.
Compliance.
Autoridade Nacional de Proteção de Dados (ANPD)

Órgão da administração pública, vinculado à

Presidência da República, responsável por
zelar, implementar e fiscalizar o cumprimento
da LGPD.

O órgão foi criado pela medida provisória nº

839, publicada em 28 de dezembro de 2018
(convertida na lei nº: 13.853/2019 de 08 de
julho de 2019.)
Segurança da Informação

Art. 46. Os agentes de tratamento devem adotar medidas de segurança,

técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de
tratamento inadequado ou ilícito.

§ 1º A autoridade nacional poderá dispor sobre padrões técnicos

mínimos para tornar aplicável o disposto no caput deste artigo,
considerados a natureza das informações tratadas, as características
específicas do tratamento e o estado atual da tecnologia, especialmente
no caso de dados pessoais sensíveis, assim como os princípios previstos
no caput do art. 6º desta Lei.
Transferência internacional
(Art. 33)
• Mesmo grau de proteção;
• Garantias:
a. cláusulas contratuais específicas para determinada transferência;
b. cláusulas-padrão contratuais;
c. normas corporativas globais;
d. selos, certificados e códigos de conduta regularmente emitidos;
• Cooperação jurídica internacional;
• Proteção da vida ou da incolumidade física do titular ou de terceiro;
• Quando a autoridade nacional autorizar;
• Execução de política pública ou atribuição legal do serviço público;
• Consentimento específico e em destaque;
• Obrigação legal ou regulatória pelo controlador;
• Para a execução de contrato ou de procedimentos preliminares;
• Para o exercício regular de direitos em processo judicial, administrativo ou
arbitral;
Como evitar problemas com a LGPD?
• Forneça para o usuário a opção de autorizar ou não o tratamento de seus dados;
• Demonstre quais dados estão sendo coletados e explique onde serão utilizados;
• Respeite a solicitação de exclusão ou bloqueio de tratamento de dados pessoais
arquivados;
• Seja transparente e claro em sua política de privacidade;
• Notifique rapidamente as autoridades em caso de vazamento de dados;
• Mantenha registro organizado de todas as atividades de tratamento de dados;
• Transfira dados apenas para países que se enquadrem dentro do quesito “proteção de
dados satisfatória”;
• Conte com um responsável para gerir os dados, o chamado DPO (Data Protection
Officer);
• Tenha a comprovação de autorização para tratamento de dados;
• Facilite a disponibilização de cópias dos dados dos titulares, quando solicitado por
estes ou pelos órgãos reguladores;
• Aplique salvaguardas tecnológicas para proteção dos dados pessoais.
Quer saber mais sobre o assunto?
SUJEITO À TERMOS E CONDIÇÕES PRIVACIDADE HACKEADA

Disponível no Youtube Disponível no Netflix

O DILEMA DAS REDES

Disponível no Netflix
Obrigado!