19/07/2021
• Unidade de Ensino:02
Privacidade e
Proteção de Dados
Princípios da LGPD para o tratamento de dados e
direitos de titulares de dados
Profa Ms. Adriane Ap. Loper
Contextualização
 Você trabalha em uma empresa de consultoria em
tecnologia que é conhecida no mercado por utilizar
métodos e abordagens modernas para desenvolver
serviços a serem oferecidos aos seus clientes e
também para a entrega das consultorias.
 Você é um dos principais consultores da empresa,
tendo já contribuído fortemente para a criação de
serviços para o mercado que ajudaram a consolidar a
reputação da empresa como inovadora.
 Neste momento você está à frente de um novo serviço
inovador e a estratégia foi elaborar um artigo com um
título chamativo que introduz o assunto e os benefícios
Contextualização
 A partir do hot site, você pretende conhecer quem são
esses potenciais clientes para qualificá-los e iniciar
posteriormente as negociações.
• Competência da Unidade: Fundamentos da proteção e
privacidade de dados
• Resumo: princípios da Lei Geral de Proteção de Dados
Pessoais (LGPD) para o tratamento de dados e
também os direitos dos titulares de dados.
• Palavras-chave: Privacidade, proteção, dados
• Título da Teleaula: Princípios da LGPD para o
tratamento de dados e direitos de titulares de dados.
Teleaula nº: 02
Contextualização
para os clientes.
 O assunto é o uso integrado de inteligência artificial,
blockchain e internet das coisas (Internet of Things,
IoT) para agilizar a transformação digital de empresas
do setor industrial, agregando ainda a redução de
Fonte: Shutterstock custos, a segurança e a privacidade. Fonte: Shutterstock
 O artigo está sendo divulgado em mídias sociais e
também na mídia impressa.
 O objetivo é fazer com que potenciais clientes sejam
direcionados ao hot site que foi criado, para que
tenham mais informações sobre o novo serviço.
Ciclo de vida dos
dados
Fonte: Shutterstock
1

Contextualizando – Sua Missão
Apresente o seu plano para o lançamento deste serviço,
com foco em privacidade e proteção de dados,
considerando, pelo menos, os seguintes tópicos:
 Website ou hot site e cookies;
 Geração de leads;
 Ciclo de vida dos dados / mapeamento de dados;
 Coleta de dados.
Ciclo de vida dos dados
 armazenados, compartilhados e arquivados.
 Em todo esse ciclo, os dados podem sofrer incidentes
de segurança que podem comprometer a privacidade
dos titulares de dados, portanto devem ser protegidos
em todos os seus pontos.
 O ciclo de vida dos dados inclui (ROTHMAN, 2020):
 Criação: geração de um novo dado ou a
alteração/atualização de um dado existente, dentro ou
fora da nuvem, por um humano ou por uma máquina
ou algoritmo;
 Armazenamento: ato de colocar o dado em um
repositório de armazenamento, e tipicamente ocorre
Operações com dados pessoais
 O dado pessoal é de propriedade do titular de dados e
nas interações com outras entidades, a sua criação
ocorre na coleta dos dados, representando o início do
ciclo de vida e do tratamento de dados pela empresa,
que passa a ter as responsabilidades pela sua
proteção.
 Segundo a Lei Geral de Proteção de Dados Pessoais
(LGPD), o tratamento de dados pessoais é toda
operação realizada com dados pessoais, como as que
se referem a coleta, produção, recepção, classificação,
19/07/2021
Ciclo de vida dos dados
 O ciclo de vida dos dados é parte importante da
privacidade dos titulares de dados, compreendendo a
existência dos dados dos titulares, desde a sua criação
até a sua destruição.
 Os dados passam a existir para as empresas a partir
Fonte: Shutterstock da coleta, quando eles são criados.
 A criação dos dados na empresa também pode ocorrer Fonte: adaptado de (ROTHMAN, 2020).
quando recebem os dados pelo compartilhamento ou
transferência.
 A partir da criação, há as responsabilidades das
empresas pelos dados coletados.
 Após a sua coleta, os dados podem ainda ser
Ciclo de vida dos dados
 quase simultaneamente à criação;
 Uso: dados são vistos, processados ou utilizados em
outras atividades, por humanos, por algoritmos e por
máquinas;
 Compartilhamento: troca de dados entre entidades
diferentes, tais como usuários, consumidores ou
Fonte: adaptado de (ROTHMAN, 2020). parceiros; Fonte: adaptado de (ROTHMAN, 2020).
 Arquivamento: dados deixam de ser utilizados
ativamente e vão para o armazenamento de longo
prazo, mesmo off-line;
 Destruição: destruição permanente dos dados, com a
utilização de meios físicos ou digitais.
Operações com dados pessoais
utilização, acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração (LGPD, 2021).
Fonte: adaptado de (LGPD, 2020).
2

Coleta dos dados
 Deve ser feita de forma transparente para o titular de
dados, seguindo os princípios da LGPD e de acordo
com a base legal que autoriza o tratamento de dados
pessoais.
 O titular de dados deve ser informado sobre as
operações que serão realizadas com seus dados,
incluindo por exemplo, quais dados estão sendo
coletados, a finalidade, a forma de proteção e o tempo
de retenção. Essas informações que os titulares de
dados precisam ter antes da coleta dos dados.
Hipóteses
Ano: 2020 Banca: CESPE / CEBRASPE Órgão: TJ-PA Prova: CESPE
- 2020 - TJ-PA - Analista Judiciário - Análise de Sistemas
(Desenvolvimento)
A Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais)
prevê a realização do tratamento de dados pessoais, mediante o
consentimento do titular dos dados, para o cumprimento de
obrigação legal ou regulatória e para a realização de estudos ou
execução de contratos a pedido do titular. As hipóteses em
questão são exemplos de
a) princípios das atividades de tratamento de dados pessoais.
b) requisitos para o tratamento de dados pessoais sensíveis.
c) tratamento de dados pessoais de crianças e adolescentes.
d) direitos do titular dos dados.
e) requisitos para o tratamento de dados pessoais.
19/07/2021
Coleta dos dados
A base legal da LGPD (Art. 7º) que define que o
tratamento de dados pessoais somente poderá ser
realizado em determinadas hipóteses, é composta por:
 Consentimento;
 Obrigação legal ou regulatória;
 Execução de políticas públicas;
 Estudos por órgãos de pesquisa; Contratos;
 Processo judicial, administrativo ou arbitral;
 Proteção da vida ou da incolumidade física do titular
ou de terceiro;
 Tutela da saúde;
 Legítimo interesse; Proteção do crédito.
Ano: 2020 Banca: CESPE / CEBRASPE Órgão: TJ-PA Prova: CESPE
- 2020 - TJ-PA - Analista Judiciário - Análise de Sistemas
(Desenvolvimento)
A Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais)
prevê a realização do tratamento de dados pessoais, mediante o
consentimento do titular dos dados, para o cumprimento de
obrigação legal ou regulatória e para a realização de estudos ou
execução de contratos a pedido do titular. As hipóteses em
questão são exemplos de
a) princípios das atividades de tratamento de dados pessoais.
b) requisitos para o tratamento de dados pessoais sensíveis.
c) tratamento de dados pessoais de crianças e adolescentes.
d) direitos do titular dos dados.
e) requisitos para o tratamento de dados pessoais.
Dados
3

Mapeamento dos dados físicos e digitais
 Os dados, a partir da coleta, passam a fluir por uma série
de elementos, que representam pontos de ataques que
podem refletir no comprometimento da privacidade dos
titulares de dados.
 Como a empresa é a responsável pela proteção dos
dados após a coleta e início do tratamento de dados, é
preciso que a mapeamento dos dados seja feito para
identificar quais dados possuem riscos associados em
cada um dos pontos em que eles fluem.
 Os dados podem existir em diferentes meios.
Exemplo de fluxo de dados
Você em um assistência técnica:
O fluxo de dados é importante porque nos permite identificar
e mapear todos os pontos em que os dados pessoais podem
sofrer vazamento e que devem ser protegidos.
Segurança em websites
Os websites possuem vários componentes, como sistemas operacionais, banco
de dados e a aplicação, que podem conter vulnerabilidades e que se exploradas
por meio de ataques podem levar ao vazamento de dados pessoais.
19/07/2021
Mapeamento dos dados físicos e digitais
 No meio físico, por exemplo, há dados em papeis. Há
dados também com as pessoas, que podem divulgá-los
inadvertidamente. E há os dados em meio digital, como
os armazenados em computadores ou servidores.
Segurança em websites
Websites são uma das principais ferramentas para a
coleta de dados pessoais, sendo utilizados pela grande
maioria das empresas de todas as naturezas e também
por órgãos governamentais.
Um dos principais alvos de ataques cibernéticos são os
órgãos públicos, por motivos que incluem a possibilidade
de acesso a um vasto banco de dados e a rápida
monetização de dados obtidos (TAGIAROLI, 2021).
Segurança em websites
A Open Web Application Security Project (OWASP) indica os
dez principais riscos envolvidos com aplicações Web que
podem levar a incidentes de segurança (OWASP, 2021):
Injection: falhas que resultam no envio de dados construídos
para executarem comandos a partir de parâmetros de
entrada do website;
Broken authentication: falhas no gerenciamento da
autenticação ou da sessão, que levam a acessos indevidos;
Sensitive data exposure: falhas na proteção de dados em
transmissão (DIM) e em armazenamento (DAR);
4

Segurança em websites
XML External Entities (XXE): má configuração de XML que
possibilitam o uso de entidades externas para a execução de
códigos remotos, varreduras, negação de serviço ou
compartilhamento de arquivos internos;
Broken access control: falhas na autorização, que
possibilitam usuários com diferentes privilégios a terem
acesso a dados e funcionalidades que não deveriam;
Security misconfiguration: uso de configurações padrão,
incompletas ou na base de tentativa e erro, que expõe
diretamente os dados ou elementos que são utilizados em
ataques;
Segurança em websites
Insufficient logging & monitoring: falhas com a obtenção de
dados de segurança para a identificação de ataques em
andamento, a resposta a incidentes e recuperação do
ambiente.
Cookies e leads
Compartilhamento de informações: informações coletadas
pelos cookies compartilhadas com outros sites, como quando
você acessa um site de notícias e encontra publicidade de
produtos que você buscou em uma loja online;
Referências de seu equipamento: navegador disponibiliza
uma série de informações como hardware, sistema
operacional e softwares instalados;
Autenticações futuras: informações sobre sua conta são
gravadas em cookies e utilizadas para o acesso a sites, como
em opções como “lembre-se de mim” ou “continuar
conectado”;
19/07/2021
Segurança em websites
Cross-Site Scripting (XSS): falha na validação de dados que
possibilitam ataques cruzados com a execução de códigos
maliciosos no navegador da vítima;
Insecure deserialization: falha no tratamento de dados que
resulta na execução de códigos remotos ou escalação de
privilégios;
Using components with known vulnerabilities: websites são
compostos por diferentes componentes, como bibliotecas,
frameworks ou outros módulos de software, que podem
conter vulnerabilidades e são executados com os mesmos
privilégios das aplicações;
Cookies e leads
Segundo o CERT.br (2017), cookies são pequenos arquivos
que são gravados em seu computador quando você acessa
sites na internet e que são reenviados a estes mesmos sites
quando novamente visitados. São usados para manter
informações sobre você, como carrinho de compras, lista de
produtos e preferências de navegação (CERT, 2017).
O uso dos cookies e a devida comunicação são observações
importantes para a adequação das empresas à LGPD, por
serem utilizados em websites para uma série de
funcionalidades, normalmente relacionados à melhor
experiência de navegação do usuário, em diferentes formas:
Cookies e leads
Coleta de dados pessoais: dados preenchidos em formulários
podem ser gravados em cookies, como no preenchimento de
pesquisas com múltiplas páginas;
Coleta de hábitos de navegação: uso de cookies de terceiros
que fazem a correlação dos diferentes websites visitados.
Há cookies funcionais que são necessários para o uso do
website, como no caso de bancos.
Há cookies analíticos, utilizados para estatísticas do website
e os comportamentais, que direcionam o conteúdo de acordo
com o interesse particular.
5

Cookies e leads
Há cookies promocionais, como para a coleta de hábitos de
navegação e os cookies preferenciais, que configuram, por
exemplo, uma língua preferida ou configuração visual
específica.
Cookie persistente: fica armazenado no dispositivo até
expirar ou ser removido pelo usuário;
Você pode definir o uso de cookies com base no seu tipo e
torná-la opcional.
Os leads são parte importante do marketing, fazendo parte
de um funil de vendas que começa com uma visita e termina
numa venda, passando pela qualificação e oportunidades.
Proposta do plano
para lançamento do
produto
e levar ao vazamento dos dados. O mapeamento dos
dados será também realizado, o que irá indicar os pontos
a serem protegidos. Você também pode sugerir que uma
verificação de todo o ambiente seja feita, de acordo com
o Top Ten da Open Web Application Security Project
(OWASP), que indica os dez principais riscos envolvidos
com aplicações Web e levam a incidentes de segurança,
tais como: injeção, autenticação quebrada, exposição de
dados sensíveis, XML External Entities (XXE), controle de
acesso quebrado, má configuração de segurança, Cross-
Site Scripting (XSS), deserialização insegura, uso de
componentes com vulnerabilidades conhecidas e registro
de logs e monitoramento insuficientes.
19/07/2021
Cookies e leads
O lead é um registro dos visitantes em websites que
demonstram interesse em determinado produto ou serviço.
Como envolve o tratamento de dados, os leads devem ser
trabalhados de acordo com a LGPD, com os potenciais
clientes tendo a comunicação correta sobre a finalidade da
coleta de dados, a forma de proteção dos dados e os
direitos que ele possui sobre o tratamento dos dados.
A sua proposta de plano para o lançamento deste
serviço, com foco em privacidade e proteção de dados, é:
Website ou hot site: o objetivo é fazer com que
potenciais clientes sejam direcionados ao hot site que foi
criado, para que tenham mais informações sobre o novo
serviço. O artigo está sendo divulgado em mídias sociais
e também na mídia impressa, o que deve aumentar o
tráfego do website. Você sabe que o website é composto
por diferentes elementos, tais como sistema operacional,
servidor de aplicação, aplicação e banco de dados, entre
outros. O website está em um provedor de nuvem, o que
expande os pontos de ataques que podem ser explorados
Sobre os cookies, há a possibilidade de coleta de uma
série de dados a partir do equipamento dos usuários.
Para diminuir a complexidade, você sugere não utilizar
cookies no hot site, nem os funcionais (necessários para
o website funcionar) e nem os analíticos (estatísticas),
comportamentais (direcionam o conteúdo de acordo com
o interesse particular), promocionais (hábitos de
navegação), ou preferenciais (configurações
particulares);
Geração de leads: a partir do hot site, você pretende
conhecer quem são esses potenciais clientes para
qualificá-los e iniciar posteriormente as negociações.
6

Além das proteções do ambiente em que os dados serão
coletados, você irá preparar um aviso de privacidade
indicando quais dados serão coletados, a finalidade da
coleta, como os dados serão protegidos, o contato da
empresa, os direitos dos titulares de dados e como
atenderá a solicitação de remoção dos dados.
Para a adequação da empresa à LGPD é preciso também
preparar o relatório de impacto à proteção de dados
pessoais, descrevendo os processos de tratamento de
dados pessoais que podem gerar riscos às liberdades
civis e aos direitos fundamentais, bem como medidas,
salvaguardas e mecanismos de mitigação de risco;
Todos os pontos identificados no mapeamento
representam pontos de vazamento de dados,
considerando os dados em processamento, em
transmissão e em armazenamento. O fluxo de dados
envolve ainda diferentes ambientes, como os provedores
de nuvem, que podem estar hospedando os servidores
do website;
Coleta de dados: a coleta de dados é o início do
tratamento de dados pessoais e deve ser realizado de
acordo com princípios como a minimização, finalidade e
segurança da informação. Isso significa que você só deve
coletar os dados que serão necessários para o objetivo
19/07/2021
Ciclo de vida dos dados / mapeamento de dados: o
tratamento de dados pessoais envolve todo o ciclo de
vida dos dados, que se inicia com a coleta dos dados dos
usuários. Uma vez que os dados são coletados, eles
passam a existir e a empresa é responsável por toda a
proteção. Quais são os elementos do ciclo de vida dos
dados? E quais os elementos do tratamento de dados
pessoais, segundo a LGPD?
A proteção deve existir considerando todos esses
elementos do ciclo de vida dos dados e do tratamento de
dados pessoais. O mapeamento de dados pessoais
considera o fluxo dos dados a partir da coleta.
da empresa, que é de negociar os novos serviços a partir
dos leads gerados com o hot site. Esta finalidade deve
estar clara para os potenciais clientes que terão o acesso
ao artigo e você deve garantir que os dados não serão
utilizados para outros fins. Você deve incluir no hot site
um termo de privacidade, política de privacidade, termo
de uso ou aviso de privacidade indicando os elementos
discutidos para que os usuários tenham ciência dos
dados que estão sendo coletados, a finalidade, a
proteção dos dados, o tempo de vida, o contato e os
direitos, como a solicitação de remoção.
Entenderam a importância de aliar uma estratégia com a
adequação da LGPD
Fonte: https://gifer.com/en/XlOL9
7

Princípios da LGPD
para tratamento de
dados pessoais
Atividades de tratamento de dados
 A Lei Geral de Proteção de Dados Pessoais (LGPD) define em seu artigo 6º que
as atividades de tratamento de dados pessoais deverão observar a boa-fé e um
conjunto de dez princípios , que são : finalidade, adequação, necessidade, livre
acesso, qualidade dos dados, transparência, segurança, prevenção, não
discriminação, e responsabilização e prestação de contas.
Princípios da finalidade, adequação e necessidade
O princípio da adequação exige a compatibilidade do
tratamento com as finalidades informadas ao titular, de
acordo com o contexto do tratamento (LGPD, 2021).
Assim, a adequação está ligada diretamente à finalidade,
com os dados coletados podendo ser utilizados somente com
o que se espera e foi comunicado ao titular de dados, com o
impedimento do seu uso com outros propósitos.
Já o princípio da necessidade limita o tratamento ao mínimo
necessário para a realização de suas finalidades, com
abrangência dos dados pertinentes, proporcionais e não
excessivos em relação às finalidades do tratamento de dados
(LGPD, 2021).
O princípio da necessidade é um fator que resulta em uma
19/07/2021
Contextualizando – Sua Missão
Apresente o seu plano para o lançamento deste serviço, com
foco em privacidade e proteção de dados, considerando, pelo
menos, os seguintes tópicos:
• Princípios da finalidade, adequação e necessidade;
• Princípios do livre acesso, qualidade dos dados e
transparência;
• Princípios da segurança e prevenção;
Fonte: Shutterstock
• Princípios da não discriminação, e responsabilização e
prestação de contas.
Princípios da finalidade, adequação e necessidade
O tratamento de dados pessoais pelas empresas deve ser
feito somente de acordo com o princípio da finalidade, ou
seja, de acordo com propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com essas
finalidades.
O titular de dados, assim, pode concordar com o tratamento
de seus dados pessoais para essa finalidade determinada,
por uma manifestação livre, informada e inequívoca – o
consentimento.
A finalidade deve ser claramente determinada, de modo que
as autorizações genéricas para o tratamento de dados
pessoais serão nulas (LGPD, 2021).
Princípios da finalidade, adequação e necessidade
melhor organização dos dados a serem tratados pela
empresa, o que reflete também em menores volumes de
dados e também em impactos menores em caso de
incidentes de segurança.
Com a minimização dos dados, podemos considerar também
que o princípio da necessidade é um redutor de custos para
as empresas (SALDANHA, 2019).
8
 19/07/2021

Princípios do livre acesso, qualidade dos dados e transparência Princípios do livre acesso, qualidade dos dados e transparência

O princípio do livre acesso garante aos titulares a consulta acesso as informações sobre o tratamento dos seus dados,
de forma fácil e gratuita sobre a forma como seus dados de forma clara, fácil e precisa, além de informar sobre os
são tradados, bem como a duração do tratamento e a respectivos agentes de tratamento, observados os
integralidade de seus dados pessoais (LGPD, 2021). segredos comercial e industrial (LGPD, 2021).
O princípio da qualidade dos dados complementa o do livre
acesso, com a garantia aos titulares sobre a exatidão,
clareza, relevância e atualização dos dados, de acordo com
a necessidade e para o cumprimento da finalidade de seu
tratamento (LGPD, 2021).
O princípio da transparência dá a garantia aos titulares de

Princípios da segurança e prevenção Princípios da segurança e prevenção

Com o princípio da segurança, as empresas devem utilizar Todos estes componentes podem ser atacados.
medidas técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão (LGPD, 2021).
A LGPD estabelece que os sistemas utilizados para o
tratamento de dados pessoais devem ser estruturados de
forma a atender aos requisitos de segurança, aos padrões
de boas práticas e de governança e aos princípios gerais
previstos nesta Lei e às demais normas regulamentares.

Medidas de segurança dos princípios da segurança Medidas de segurança dos princípios da segurança

O princípio da prevenção visa evitar os incidentes com os

dados pessoais e é uma das principais funções de segurança.
A segurança possui como funções principais: identificação,
proteção, detecção, resposta e recuperação (NIST, 2018).
A função de resposta da segurança também está presente
na LGPD, que estabelece que o controlador deverá
comunicar à autoridade nacional e ao titular a ocorrência de
incidente de segurança que possa acarretar risco ou dano
relevante aos titulares.

9

Princípios da não discriminação, responsabilização
e prestação de contas
A LGPD possui o princípio da não discriminação, que
impossibilita a realização do tratamento para fins
discriminatórios ilícitos ou abusivos (LGPD, 2021).
O princípio da responsabilização e prestação de contas, que
visa a demonstração pelo agente da adoção de medidas
eficazes, capazes de comprovar a observância e o
cumprimento das normas de proteção de dados pessoais e
inclusive, da eficácia dessas medidas (LGPD, 2021).
A sua proposta de plano para o lançamento deste serviço, com
foco em privacidade e proteção de dados, é:
Princípios da finalidade, adequação e necessidade: o início do
ciclo de vida dos dados na empresa é a partir do cadastro dos
potenciais clientes no hot site, para que possam ter acesso ao
artigo sobre o uso integrado de inteligência artificial, blockchain e
Internet das Coisas (Internet of Things, IoT) para agilizar a
transformação digital de empresas do setor industrial, agregando
ainda a redução de custos, a segurança e a privacidade.
A finalidade da coleta dos dados é para os potenciais clientes
sejam qualificados para posterior negociações do serviço.
A minimização dos dados é essencial e os dados a serem
coletados são: nome, empresa, área de atuação da empresa,
DIREITOS DE
TITULARES DE
DADOS
19/07/2021
Principios
informações de contato do controlador, informações sobre o uso
compartilhado, responsabilidades dos agentes que realizarão o
tratamento, e os direitos do titular;
Princípios da segurança e prevenção: uma vez que o tratamento
de dados se iniciou com a coleta, os dados devem ser protegidos
contra as ameaças, com a empresa tendo que cumprir os
princípios da segurança e prevenção.
Princípios da não discriminação, e responsabilização e prestação
de contas: o princípio da não discriminação é cumprido ao não
existir a coleta de dados que possibilitam uma segmentação
discriminatória. Já a responsabilização e prestação de contas é
cumprida pela empresa ao documentar e disponibilizar elementos
importantes que protegem a privacidade dos potenciais clientes.
Contextualizando – Sua Missão
Apresente o seu plano para o lançamento deste serviço, com
foco em privacidade e proteção de dados, considerando, pelo
menos, os seguintes tópicos:
• Direitos do titular de dados que devem ser considerados para
a empresa;
• Mecanismos que sua empresa irá implantar para responder
Fonte: Shutterstock
aos direitos do titular;
• Notificação de violação ou incidente de segurança.
10
 19/07/2021

Contextualizando Direitos do titular

Assim, você é o dono de seus dados pessoais e como
titular dos dados possui um conjunto de direitos que
devem ser cumpridos pelas empresas que realizam as
atividades de tratamento de dados pessoais.
As empresas devem se preparar para atender às
requisições dos titulares, sem custos para eles e com
prazos estabelecidos para as respostas.
Além de atender aos direitos dos titulares, há outras
responsabilidades na LGPD, como as de notificação de
violação e a de transferência de dados.

Vazamento de dados pessoais e notificação de violação

A LGPD estabelece que a empresa deverá comunicar à
Autoridade Nacional e ao titular a ocorrência de incidente de
segurança que possa acarretar risco ou dano relevante aos
titulares. A notificação de violação ou a comunicação deve ser
feita em prazo razoável, conforme definido pela Autoridade
Direitos
Nacional e deverá mencionar no mínimo:
• descrição da natureza dos dados pessoais afetados;
• informações sobre os titulares envolvidos;
• indicação das medidas técnicas e de segurança utilizadas
para a proteção dos dados, observados os segredos
comercial e industrial; riscos relacionados ao incidente;
• motivos da demora, no caso de a comunicação não ter sido
imediata; e medidas que foram ou que serão adotadas
para reverter ou mitigar os efeitos do prejuízo.

A sua proposta de plano para o lançamento deste
serviço, com foco em privacidade e proteção de dados, é:
Direitos do titular de dados que devem ser considerados
para a empresa: a empresa deve saber que, uma vez
iniciado o tratamento de dados pessoais, que deve ser
feito de acordo com os princípios da LGPD, os titulares de
dados possuem seus direitos, que podem ser exercidos a
qualquer momento e mediante requisição: i. confirmação
da existência de tratamento; ii. acesso aos dados; iii.
correção de dados incompletos, inexatos ou
desatualizados; iv. anonimização, bloqueio ou eliminação
de dados desnecessários, excessivos ou tratados em
desconformidade com a LGPD; v. portabilidade dos dados
a outro fornecedor de serviço ou produto, mediante
requisição expressa, de acordo com a regulamentação da
autoridade nacional, observados os segredos comercial e
industrial; vi. eliminação dos dados pessoais tratados
com o consentimento do titular, exceto em algumas
hipóteses previstas na LGPD; vii. informação das
entidades públicas e privadas com as quais o controlador
realizou uso compartilhado de dados; viii. informação
sobre a possibilidade de não fornecer consentimento e
sobre as consequências da negativa; ix. revogação do
consentimento.

11
 19/07/2021

Mecanismos que sua empresa irá implantar para monitoramento para detectar incidentes de segurança,
responder aos direitos do titular: a empresa irá preparar notificação interna de incidente, triagem da notificação e
uma estrutura para o atendimento aos direitos dos distribuição de ações, correção de vulnerabilidades,
titulares, composto pela definição de processos, uso de restauração do sistema, comunicação com autoridade
ferramentas e definição de papeis e responsabilidades de nacional, comunicação com a imprensa e mercado, e
diferentes áreas da empresa. Um dos elementos da comunicação com titulares de dados afetados.
estrutura é um portal da privacidade, que após a
validação da identidade do titular, por autenticação, o
acesso aos dados é concedido.
Notificação de violação ou incidente de segurança: a
empresa irá preparar um plano de resposta a incidentes,
considerando os principais elementos: sistema de

Entenderam os direitos que nós usuários temos em

relação à LGPD?

Fonte: https://gifer.com/en/XlOL9

Recapitulando

 Princípios da LGPD para o tratamento de dados e

direitos de titulares de dados.
Recapitulando

12
19/07/2021

13