Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • ABNT - Avisos de Privacidade Online e Consentimento

    Enviado por

    Cjotta Santos
    7 visualizações34 páginas

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    7 visualizações34 páginas

    ABNT - Avisos de Privacidade Online e Consentimento

    Enviado por

    Cjotta Santos

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 34
    Exemplar para uso exclusivo - Cervera Advogados Associades - 08.164,971/0001-72 (Pedide 802759 Impresso: 21/07/2021) NORMA ABNT NBR BRASILEIRA ISO/IEC 29184 Primeira edig0 25.06.2021 Tecnologia da informagao — Avisos de privacidade on-line e consentimento Information technology — Online privacy notices and consent ICS 35.030 ISBN 978-85-07-08526-3 ASSOCIACAO Numero de referencia Git BRASILIA ABNT NBR ISO/IEC 29184:2021 TECNICAS 27 paginas © ISOMEC 2020 - © ABNT 2021 Exemplar para uso exclusivo - Cerveira Advogados Assoctados - 06,154.97 1/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 © 1SONEC 2020 ‘Todos 0s direitos reservados. Amenos que especiticado de outro modo, nenhuma parte desta publicago pode ser reproduzida ou utlizada por qualquer meio, eletrOnico ou mecénico, incluindo fotocépia e microfime, sem permissSo por ‘escrito da ABNT, Unico representante da ISO no teritorio brasileiro. @ABNT 2024 Todos os direitos reservados, Amenos que especificado de outro modo, nenhuma parte desta publicagéo pode ser reproduzida ou utiizada por quaiquer meio, eletrOnico ou mecdnico, incluindo fotocépia e micrafime, sem permisso por escrito da ABNT, ABNT Av, Treze de Maio, 13 - 28° andar 2031-901 - Rio de Janeiro - RJ Tel: + 55 21 3974-2300 Fax: +5521 3974-2346 abnt@abnt.org.br wonwabnt.org.br ii ‘© ISONEC 2020- @ ABNT 2021 - Todos os direitos reservados, Exemplar para uso exclusive - Cerveita Advogados Associados - 06.164.971/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 Sumario Pagina Prefacio Nacional .. Introdugao... Escopo.. Referéncia normativa. Termos e definigée: Simbolos e termos abreviados .. Requisitos ¢ recomendagées gerais Objetivo geral . Avisos... Geral Obrigagao de fornecer aviso. Expresso apropriad: Aviso multilingue, Momento apropriado. Locais apropriados Forma apropriad: Referéncia continua. Acessibilidade Contetido do aviso. Geral. Descrig&o da finalidade. Apresentacao da descrigao da finalidad Identificagéo do controlador de DI Coleta de DP Método de coleta Momento e localizagao da coleta de DP... Método de uso. Geolocalizacao e jurisdi¢do legal sobre os DP armazenados.. Transferéncia para terceiro: Periodo de retengao.. Participagao do titular de DP . Consulta e reclamagao Informagées sobre como acessar as escolhas feitas para consentimento.. Bases para tratamento. Riscos. Consentimento Geral Identificacao de se 0 consentimento é apropriad. Consentimento informado e dado livremente... Fornecimento de informagées sobre qual conta o titular de DP esta usando. Independéncia de outro consentimento (© ISONEC 2020 - © ABNT 2021 - Todos os direitos reservados: iit s : 3 & j s g 3 8 2 : : : 3 ABNT NBR ISO/IEC 29184:2021 Consentimento separado para elementos necessarios e opcionais de DP... Frequénci Oportunidade.. Mudanga de condigées. Geral.. Aviso de renovaga 3 Renovagao do consentimento AAnexo A (informativo) Exemplo de interface do usuario para ebter o consentimento do titular do DP em computadores e smartphones AA Geral.. AZ Exemplos de interface do usuario para obter consentimento computadores e smartphone: ee A241 Identificagao de qual conta o titular de DP esté usando. A.2.2 Ordem dos itens a serem exibido: 2.3 Exibindo valores reais ‘Anexo B (informative) Exemplo de recibo de consentimento ou registro de consentiment« Ba Informagées gerais e finalidade de um recibo de consentimento .. B2 Contetido e leiaute de um recibo de consentimento B21 Geral. B.2.2 _ Exemplo de recibo de consentimento legivel — Bibliografia.. Simples. Figuras Figura A.1 ~ Tela de selegdo de conta Figura A.2 ~ Aviso em formato de tab Figura A.3 - Caso em que 0 titulo 6 omitido. oe Figura A.4 - Caso em que o consentimento é recusad Figura A.5 - Exibindo valores concretos. Figura A.6 - Exibindo um exemplo.. Figura B.1 - Exemplo de recibo de consentimento legivel - Simple: Figura B.2 - Exemplo de detalhes sobre os dados coletados e 0 que a organizacio fard com eles .. iv @ISOMEC 2020 - @ ABNT 2021 - Todos os direitos reservados, Exemplar para uso exclusivo - Cerveira Advogados Associados - 06.154.971/0001-72 (Pedido 802750 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 Prefacio Nacional AAssociagéo Brasileira de Normas Técnicas (ABNT) é 0 Foro Nacional de Normalizagao. As Normas Brasileiras, cujo contetido 6 de responsabilidade dos Comités Brasileiros (ABNT/CB), dos Organismos de Normalizagao Setorial (ABNT/ONS) e das Comissées de Estudo Especiais (ABNT/CEE), so elaboradas por Comissées de Estudo (CE), formadas pelas partes interessadas no tema objeto da normalizacao. Os Documentos Técnicos internacionais adotados séo elaborados conforme as regras da ABNT Diretiva 3. AABNT chama a atenc&o para que, apesar de ter sido solicitada manifestago sobre eventuais direltos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados & ABNT a qualquer momento (Lei n® 9.279, de 14 de maio de 1996). ‘Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO ¢ IEC), so voluntérios @ néo incluem requisitos contratuais, legais ou estatutdrios. Os Documentos Técnicos ABNT nao substituem Leis, Decretos ou Regulamentos, aos quais os usuarios devem atender, tendo precedéncia sobre qualquer Documento Técnico ABNT. Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citagdo em Regulamentos Técnicos. Nestes casos, os érgéos responsdveis pelos Regulamentos Técnicos podem determinar as datas para exigéncia dos requisitos de quaisquer Documentos Técnicos ABNT. AABNT NBR ISO/IEC 29184 foi elaborada no Comité Brasileiro de Computadores e Processamento de Dados (ABNT/CB-021), pela Comissdo de Estudo de Seguranca da Informagio, seguranca cibemética e protegao da privacidade (CE-021:000.027). O Projeto circulou em Consulta Nacional conforme Edital n? 05, de 13.05.2021 a 14.06.2021 A ABNT NBR ISO/IEC 29184 6 uma adogao idéntica, em contetido técnico, estrutura e redagao, a ISO/EC 29184:2020, que foi elaborada pelo Joint Technical Committee Information Technology (ISO/IEC JTC 1), Subcommittee Information security, cybersecurity and privacy protection (SC 27). O Escopo da ABNT NBR ISO/IEC 29184 em inglés é o seguinte: Scope This document specifies controls which shape the content and the structure of onfine privacy notices as well as the process of asking for consent to collect and process personally identifiable information (Pll) from Pll principals. © ISOEC 2020 - © ABNT 2021 - Todos os direitos reservados v Exemplar para uso exclusivo - Cerveira Advogados Asociados - 06,154.97 1/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 Introdugao Amaior disporibilidade de infraestruturas de comunicacao, como conexées de banda larga residenciais eaintemet global, o crescimento no uso de smartphones e outros dispositivos (por exemplo, wearables technologies) que coletam detalhes das atividades dos individuos e as melhorias na capacidade de ‘ratamento de informagdes permitiram um alcance muito mais amplo de coleta e andlise de informagées essoais. Essas melhorias tecnolégicas oferecem uma melhor perspectiva de vida mais conveniente ara o consumidor, novas oportunidades de negécios, servicos mais atraentes e mais valor agregado. Por outro lado, os consumidores estéo cada vez mais “cientes da privacidade” e questionam o impacto da privacidade da coleta e uso de dados pessoais (DP) por servigos on-line. Essa critica geralmente 6 relacionada a falta de uma explicagao clara de como seus DP so tratados, armazenados, mantidos @ gerenciados. Este documento especifica controles e informagées adicionais associadas para organizagées: — fornecerem a base para a apresentago de informagoes claras e de facil compreenséio para individuos cujos DP sao coletados, sobre como a organizacdo trata seus DP (por exemplo, a0 fomecer servigos a consumidores ou em uma relagao de trabalho); e, — obterem o consentimento dos titulares de DP de maneira justa, demonstravel, transparente, inequivoca e revogavel (retiravel). Este documento fomece detalhes sobre a implementagéo de dois principios de privacidade da ABNT NBR ISO/IEC 29100 (ou seja, Principio 1: Consentimento e escolha, Principio 7: Abertura, transparéncia e notificagao). vi © ISONEC 2020 - @ABNT 2021 - Todos 0s direlios reservados Exemplar para uso exclusive - Cerveira Advogados Assoctades ~ 08.164.97 1/0001-72 (Pedido 802759 Impresso: 21/07/2021) NORMA BRASILEIRA ABNT NBR ISO/IEC 29184:2024 Tecnologia da informagao — Avisos de privacidade on-line e consentimento 4 Escopo Este documento especifica os controles que formatam o contetdo e a estrutura dos avisos de privacidade on-line, bem como o processo de solicitagdéo de consentimento para coletar e tratar dados pessoais (DP) de titulares de DP. Este documento € aplicdvel em qualquer contexto on-line onde um controlador de DP ou qualquer outra entidade tratando DP informa os titulares de DP sobre o tratamento. 2. Referéncia normativa © documento a seguir é citado no texto de tal forma que seu contetido, total ou parcial, constitu requisitos para este Documento. Para referéncias datadas, aplicam-se somente as edigdes citadas. Para referéncias nao datadas, aplicam-se as edigdes mais recentes do referido documento (incluindo emendas). ABNT NBR ISO/IEC 29100, Tecnologia da informagéo — Técnicas de seguranga ~ Estrutura de privacidade 3 Termos e definigdes Para os efeitos deste documento, aplicam-se os termos e definigdes da ABNT NBR ISO/IEC 29100 € 0s seguintes. A ISO e IEC mantém bancos de dados terminolégicos para uso na normalizagdo nos seguintes enderegos: — Plataforma de navegagao ISO Online: disponivel em https:/www.iso.org/obp —_ IEC Electropedia: disponivel em http://www.electropedia.org/ 34 consentimento explicito concordancia especifica e informada, nao ambigua e dada livremente pelo titular de dados pessoais (DP) para tratamento de seus DP, exercida por meio de um atoafirmativo indicando este consentimento pelo titular de DP Nota 1 de entrada: Consentimento explicito ¢ 0 resultado de um opt-in. Nota 2 de entrada: © consentimento explicito também pode ser referido como consentimento expresso. EXEMPLO —_O consentimento & obtido solicitando ao titular de DP que execute uma ago espectfica no contexto de um aviso. © ISONEC 2020 - © ABNT 2021 - Todos 0s dirltos reservados: Exemplar para uso exclusiva - Cerveira Advogados Asociados - 08.154.971/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 [FONTE: ABNT NBR ISO/IEC 28100: 2020, 2.4, modificado -As palavras “exercida por meio de um ato afirmativo indicando este consentimento pelo titular de DP” foram adicionadas.] NOTABRASILEIRA As diretrizes estabelecidas na ABNT NBR ISO/IEC 27701 ajudam na compreenséo do conceito de consentimento. 32 aviso informagées sobre o tratamento de DP Nota 1 de entrada: Apresentado aos titulares de DP por meio de diferentes canals, de forma concisa, transparente, inteligivel ¢ facilmente acessivel e utilizando linguagem clara e simples. 33 elemento de DP categoria de DP pedago de DP descritor para um tipo de informagao ou um conjunto de tipos de informagao 4 Simbolos e termos abreviados JSON — Notaggo de objeto JavaScript PC Computador pessoal DP —_ Dados pessoais XML Extensible Markup Language 5 Requisitos e recomendagées gerais 5.1. Objetivo geral O objetivo geral deste documento é permitir que titulares de DP compreendam e ajam de acordo com as implicagdes dos tratamentos de DP, como a probabilidade @ severidade de qualquer potencial impacto que 0 tratamento possa ter, assim como as consequéncias diretas e/ou indiretas do tratamento. As organizagées que desejarem demonstrar conformidade com este documento devem registrar para cada controle da Segdo 5: a) seo controle se aplica; b) quando houver raz6es que possam justificar a nao aplicagéio do controle, que a justificativa seja documentada e validada; ¢)_ como a implementagao do controle é verificada e validada. 2 © ISOMIEC 2029 - © ABNT 2021 - Todos 0s dries reservados Exemplar para uso exclusivo - Cerveira Advogados Assoclades - 06.164.971/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 5.2 Avisos 5.2.4 Geral Objetivo: Providenciar avisos onde for necessério, em uma linguagem apropriada para os titulares de DP, em um momento que permita que os titulares de DP exergam de forma consciente o consentimento, em locais onde sejam facilmente reconhecidos pelos titulares de DP, e com referéncias que fornecam acesso a material suplementar, incluindo avisos prévios e suas respostas. 5.22 Obrigagao de fornecer aviso Controle A organizagao deve identificar situagdes em que o fomecimento de aviso soja necessdrio e deve fomecer aviso em conformidade com 5.3 aos titulares de DP sempre que necessario. Informacées adicionais Convém que o aviso fomega a todas as partes interessadas, incluindo de fora da organizagao, as praticas de privacidade da organizagao, bem como outras informagSes relevantes, como detalhes de contato, incluindo a identidade e 0 endereco do controlador de DP, e pontos de contato dos quais fitulares de DP possam obter informagdes adicionais (ver Anexo A). Exibir um aviso visual é uma forma de fornecer aviso. Para acessibilidade, leitores automatizados de tela para avisos visuais ou avisos diretamente audiveis podem ser apropriados para auxiliar os deficientes visuais. Outras formas de aviso também podem ser apropriadas (ver 5.2.9). Convém que a organizagéo fornega um aviso aos titulares de DP. O aviso pode ser necessério, entre outras situagdes, quando a organizagdo planeja coletar novos DP (do titular de DP ou de outra fonte) ou quando planeja usar DP ja coletados para novas finalidades. 5.2.3. Expresséo apropriada Controle A organizagao deve fornecer o aviso de uma forma que seja clara ¢ facil de entender para os titulares de DP visados. O aviso deve ser faciimente legivel e em uma linguagem concisa que uma pessoa sem qualquer formagao juridica ou técnica possa razoavelmente compreender. Informacées adicionais Convém que 0 aviso seja redigido de acordo com as categorias ou tipos particulares de titulares de DP {por exemplo, subgrupos sociais desfavorecidos). 5.24 Aviso multilingue Controle Aorganizacao deve fomecer a notificago no(s) idioma(s) de acordo com as expectativas de idioma do titular visado. Informacées adicionais Por exemplo, a organizagéo pode apresentar ao titular de DP uma lista de idiomas suportados exibidos nos respectivos idiomas e permitir que o titular de DP escolha 0 idioma. Exibir o nome de © ISOMEC 2020 -© ABNT 2021 - Todos os direitos reservados 3 Exemplar para uso exclusive - Cerveira Advogados Asociados - 06.154.971/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 cada idioma no proprio idioma 6 importante, pois 0 titular de DP pode nao ser capaz de reconhecé-lo se for apresentado em outro idioma. Um navegador da web tem uma configuragao de preferéncia para um idioma preferido e pode ser usado para essa finalidade. No entanto, pode n&o ser uma boa idela depender exclusivamente da preferéncia de idioma do navegador, j4 que o titular de DP pode estar usando um computador ‘compartithado. 5.2.5 Momento apropriado Controle A organizagio deve determinar e documentar o momento apropriado (por exemplo, imediatamente antes de coletar os DP) para fornecer aviso aos titulares de DP quando a atividade em questao for relevante para os interesses de privacidade dos titulares de DP. Informacdes adicionais Quando uma organizagéo fomece um aviso ao titular de DP e, entdo, coleta os DP posteriormente, incluindo casos em que os dados s4o coletados de outra fonte, o momento do aviso e a coleta de DP podem diferir significativamente. Convém que a organizagéio avise onde o uso de DP pode ter efeitos inesperados ou significativos sobre os titulares de DP. Se uma organizago pretende coletar DP adicionais, convém que ela fornega um aviso adicional. 5.2.6 Locais apropriados Controle A organizago deve fornecer avisos de maneira apropriada para 0 produto ou servigo em questo, de forma que os titulares de DP possam encontrar e acessar os avisos eletronicamente ¢ facilmente, inclusive em locais on-line. Informaces adicionais Os locais on-line apropriados podem incluir, sem se limitar a, links nas paginas iniciais da organizacao em seus websites ou na pagina de destino, a pagina inicial de aplicativos méveis, formulérios on-line ou em portais de captura. Em alguns casos, os DP podem ser tratados sem interagao prévia com o titular de DP. Do ponto de Vista dos titulares de DP, seria muito dificil até mesmo descobrir quem esté tratando seus dados e, portanto, néo ajuda postar 0 aviso de privacidade apenas no site da organizaco. E util ter um lugar onde um titular de DP possa ir ¢ obter os avisos de privacidade destas organizagoes. Assim, quando aplicavel e vidvel, convém que @ organizacao considere o uso de um repositério comum acessivel ao piblico, onde as partes interessadas possam facilmente encontrar e acessar os avisos relevantes. 5.2.7 Forma apropriada Controle Aorganizagao deve determinar como 0 aviso é fornecido e tornado acessivel em relago ao momento de tratamento. 4 © ISO/IEC 2020 - @ABNT 2021 - Todos os cretos reservados Exemplar para uso exclusivo - Cerveira Advogados Associados - 06.154.971/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 Informacées adicionais Aorganizagéo pode implementar o controle usando diferentes técnicas: avisos em camadas, painéis, avisos just-in-time e icones e, pode fornecer avisos em um formato legivel por maquina para que © software que © esté apresentando ao titular de DP possa analisa-lo para otimizar a interface do usuério e ajudar os titulares de DP a tomar decisées. Se a organizacao implementar o controle usando um aviso em camadas, convém que a primeira camada detalhe algo inesperado ou coisas que possam impactar significativamente um titular de DP, com esse impacto determinado na avaliagdo descrita em 5.3.3. Convém que as outras camadas fornegam avisos de todas as atividades de coleta e/ou tratamento, a fim de fornecer aos titulares de DP informagdes detalhadas dessas atividades, Convém que as organizagées exibam a primeira camada de cada aviso de forma que os titulares de DP possam Ié-lo o mais rapido possivel. Convém que nao abranja mais do que algumas telas. Devido as restrigées de volume, pode nao ser possivel exibir todo 0 contetido em uma tela. Nesse caso, convém que as organizagées exibam 0 resumo primeiro. No contexto de dispositivos méveis e smartphones, para melhor legibilidade, seria util introduzir uma “abordagem multicamadas” para aviso consentimento, apresentando um texto curto, com informagdes-chave e com um link para o “texto completo” do aviso/consentimento. Quando as organizagdes exibem elementos de DP a serem coletados, convém que elas os exibam em grupos, com aqueles que tém o maior impacto potencial sobre a privacidade sendo listados primeiro ara que os titulares de DP possam reconhecer claramente as diferengas. Convém que as organizagées disponibilizem contetido, incluindo informagdes relevantes omitidas da primeira tela ou das telas subsequentes, disponivel para referéncia pelos titulares de DP, se assim 0 desejarem. NOTA _Nocaso de notificagéio on-line, pop-ups e detalhamentos podem ser usados para exibir o contetido. Os titulares de DP podem ter dificuldade em ler uma grande quantidade de termos e condigdes em um contrato, especialmente quando estdo prestes a realizar uma determinada aco. Avisos legiveis por maquina podem ser fomecidos em um formato padronizado XML ou JSON. Ao fazer isso, torna-se posstvel para os dispositivos selecionar itens apropriadamente e exibir graficos e {cones quando aplicavel. No entanto, as organizagdes precisam observar que a interpretacao da representagéo gréfica pelo titular de DP pode diferir significativamente, dependendo das origens culturais. Orientagdes para a regiéo ou cultura em questo podem ser criadas para evilar que os titulares de DP se confundam. 5.2.8 Referéncia continua Controle A organizagao deve manter e disponibilizar a verso da notificagdo apresentada quando o titular de DP der consentimento, bem como a versdo relevante mais recente para facil consulta por esse titular de DP. Informacées adicionais Convém que as versdes dos avisos sejam retidas enquanto estiverem associadas aos DP retidos, (© ISONEC 2020 -© ABNT 2021 - Todos os citeltos reservados 5 Exemplar para uso exclusivo - Cerveira Advogados Asociados - 06,154.971/0001-72 (Pedido 802759 Imoresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 5.2.9 Acessibilidade Controle A organizagao deve forecer um aviso de forma acessivel que seja apropriada as tecnologias subjacentes ao servigo on-fine, Informacées adicionais Particularmente nos casos em que se espera que individuos com problemas de acessibilidade acessem avisos, convém que os avisos permitam que eles entendam o contetido dos avisos. Isso pode envolver a necessidade de assegurar que o texto do aviso possa ser convertido em som para os individuos com problemas visuais. Diretrizes como a ISO/IEC 40500 ajudam no projeto de acessi lade. 5.3 Contetido do aviso 5.3.1 Geral ‘Objetivo: assegurar que o titular de DP tenha informagées suficientes no aviso para entender como os DP estiio sendo tratados e quais direitos tsm. 5.3.2 Descrig&o da finalidade controle A organizagao deve assegurar que 0 aviso inclua informagées sobre a(s) finalidade(s) para as quais os DP serdo tratados. Informagées adicionais E importante que os titulares de DP compreendam as finalidades do tratamento dos DP coletados para que possam fornecer consentimento consciente. Para abreviar 0 aviso, um nome ou frase curta ara cada finalidade pode ser usado, mas convém que seja possivel (por exemplo, por meio de um hiperlink) associar esse nome ou frase a uma visdo geral da finalidade suficiente para que os titulares de DP fomegam consentimento consciente. E necessério ter cuidado ao redigir avisos, pois a incluséo de muitos detalhes pode resultar na necessidade de reeditd-los em intervalos frequentes. 5.3.3 Apresentacao da descrigdo da finalidade Controle A organizagao deve especificar as finalidades relacionadas coleta de cada elemento de DP © informagdes adequadas sobre o risco plausivel do tratamento, em uma ordem de acordo com a avaliagao geral do risco. NOTA O impacto e 0 risco sao necessariamente dbvios. A organizagéo explica como os DP serao usados de uma maneira que permita que o titular de DP entenda de forma clara e imediata o propésito. Se a finalidade do uso variar entre os elementos de DP 6 © ISOMEC 2029 -@ABNT 2021 - Todos 08 ciretos reservados Exemplar para uso exclusivo - Cerveira Advogados Associades - 08.154,971/0001-72 (Pedido 802759 Improsso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 que esto sendo coletados, convém que a organizacao marque claramente qual finalidade se aplica a qual elemento de DP. 5.3.4 Identificagao do controlador de DP Controle A organizagao deve fornecer ao titular de DP as informagées relevantes (por exemplo, a identidade @ 08 detalhes de contato) sobre o controlador de DP. Informacies adicionais Aidentificagao do controlador de DP é normalmente feita pelo nome da empresa, mas também pode envolver a exibigdo do numero da empresa, da sede/endereco operacional e (se apropriado) das informagSes departamentais. 5.3.5 Coleta de DP Controle A organizagéo deve forecer informagdes que permitam que os titulares de DP entendam quais elementos de DP estdo sendo coletados, mesmo quando a coleta de elementos particulares de DP € ébvia, Informacées adicionais ‘Além de usar uma linguagem genérica, como “Coletamos suas informagées pessoais’, quando apropriado, combase noimpacto determinadonaavaliagao descrita em5.3.3, convém quea organizacao fomega a lista de elementos especiticos de DP que so coletados (por exemplo, “Coletamos seu nome, enderego e numero de telefone.”), mesmo que seja Sbvio quais s4o as informagdes coletadas. Para identificar 0 que contaria como os DP a serem listados no aviso, convém que a organizagao consuite a ABNT NBR ISO/IEC 29100: 2020, 4.4. Convém que a organizagao apresente o valor real de um elemento de DP a ser coletado no momento da coleta, onde for relevante, vidvel e pratico. Onde isso nao for viével, a organizacao pode fornecer um exemplo claro dos valores do elemento sendo coletados com 0 nome associado de um elemento de DP. Ao fazer isso, 0 titular pode entender o que é referido pelo nome de um elemento de DP e que tipo de valores serdo coletados. EXEMPLO __ Em vez de se referira “numero de telefon (01-234-5678)’ a organizag&o pode declarar "numero de telefone Quando © controlador de DP coleta DP do titular por meio de seus dispositivos ou provedor de identidade, o valor real pode ser mostrado ao titular de DP com o aviso antes de ser transferido para © controlador DP (ver A.2.3 para estes exemplos). Mostrar os valores reais dos elementos de DP ajuda os titulares de DP a determinar se desejam fornecé-los ao controlador de DP, especialmente nos casos em que ha varios elementos do mesmo tipo. Por exemplo, para um nimero de telefone, o titular de DP pode concordar em fornecer seu niimero de telefone comercial, mas nao seu nimero de celular pessoal. Convém que se tome cuidado para diminulr 0 risco de vazamento de DP através do surfe de ombro (shoulder surfing) etc. Convém que técnicas como mascaramento e detalhamento sejam consideradas. © ISOEC 2020 -© ABNT 2021 - Todos os direitos reservados 7 Exemplar para uso exclusivo - Cerveira Advagados Assoctados - 08.154,971/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 Se novos DP forem gerados por meio de algum tipo de tratamento de DP, mostrar o valor real antes do consentimento é impossivel, Nestes casos, fornecer um valor de exemplo pode ser des Por exemplo, quando os dados de compra de uma loja devem ser fornecidos, e o titular de DP néo tem uma compra no momento do consentimento, néo hé dados reais disponiveis para exibic&o. Nesse caso, pode ser desejavel obter a compreensao do titular de DP, mostrando exemplos de dados de compra e informando ao titular de DP que tipo de dado ser coletado. 5.3.6 Método de coleta Controle Aorganizagéo deve fomecer aos titulares de DP explicagdes claras sobre os métodos de coleta que esto sendo usados, juntamente com informagées sobre quaisquer riscos associados a métodos de coleta especificos. Informacées adicionais Os DP podem ser coletados de diferentes maneiras. Por exemplo, DP podem ser: a) coletados diretamente do titular de DP, por exemplo, por meio de um formuldrio da web; b) coletados indiretamente, por exemplo, de um terceiro, como uma agéncia de crédito; ©) observados pelo controlador de DP, por exemplo, observar a impressao digital do navegador e as paginas da web acessadas; 4) inferido pelo controlador de DP, por exemplo, tragar o perfil do titular de DP por meio da andlise dos dados coletados por meio dos métodos de a) ac). Com base no impacto determinado na avaliacdo descrita em 5.3.3, se os métodos de coleta forem diferentes dependendo do elemento de DP, convém que a organizacdo informe ao titular de DP qual método de coleta ¢ aplicado a cada elemento de DP. Quando o mesmo método de coleta for aplicado a varios elementos de DP, os elementos de DP podem ser agrupados em cada método de coleta. No entanto, se 0 impacto de privacidade de um ou mais elementos de DP no grupo for substancialmente maior do que outros de acordo com uma avaliagéio geral de impacto para a populagdo correspondente de titulares de DP, entdo convém que seja comunicado separadamente para que o fitular de DP fique ciente disto. NOTA _ Isso evita o ataque “ocultar uma drvore em uma floresta", em que 0 invasor oculta os elementos de alto impacto de DP em elementos benignos para enganar o titular de DP a dar consentimento. 5.3.7 Momento e localizagao da coleta de DP Controle Aoorganizago deve explicar de forma geral no aviso quando onde os DP so coletados, embora tal notificagio no possa ser exigida em circunstancias em que a coleta de DP ocorra onde e quando um titular de DP empreende uma aco, como 0 envio explicito de informagoes. forma i ‘Se os DP nio forem coletados diretamente, o momento e a localizagao da coleta de DP podem nao ser dbvios para o titular de DP. Incluir essas informagées no aviso ajuda o titular de DP a entender a situagao. 8 © ISONEC 2020-@ABNT 2021 - Todos os dtltos reservados Exemplar para uso exclusivo - Cerveira Advogades Associados - 06.154.971/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 Normaimente, convém que as notificagdes sejam forecidas antes da coleta dos DP. Por exemplo, quando os DP sao coletados em um formulario baseado na web, a parte superior do formuldrio pode incluir o aviso de privacidade (ou um resumo do aviso com um link para o aviso completo). Um segundo ‘exemplo onde hé coleta de DP por CFTV em uma drea publica, convém que um aviso de que "CFTV est em operagao” junto com detalhes do controlador de DP e que detalhes de contato sejam exibidos na entrada da drea coberta pelo CFTV. 5.3.8 Método de uso Controle Acrganizagéo deve incluir no aviso como os DP sero utilizados. InformagSes adicionais DP podem ser: —_ usados como estao; — usados apés algum tratamento (por exemplo, derivagao, inferéncia, desidentiicagao ou combinagéo com outros dados); — combinados com outros dados (por exemplo, geolocalizados, por meio do uso de cookies, de terceiros); — usados por técnicas automatizadas de tomada de decisdo (por exemplo, criagao de perfil, classificacao). Se algum tratamento (por exemplo, desidentificagao, agregagdo) for aplicado aos DP antes do uso, 6 desejavel indicar quais tipos de transformagées esto sendo aplicadas. 5.3.9 Geolocalizagao e jurisdigao legal sobre os DP armazenados Controle A organizagéo deve especificar a(s) localizagéo(Ses) geogrétfica(s) onde os DP seréo armazenados ¢ tratados e referir-se a(s) jurisdigao(des) legal(ais) que regem o tratamento dos dados. Informacées adicionais ‘Convém que a organizagao determine a granularidade apropriada da(s) localizagao(6es) geogratica(s) {por exemplo, pais, regiéio) de acordo com todos os requisites de salvaguarda de privacidade explicados na ABNT NBR ISO/IEC 28100: 2020, 4.5. 5.3.10 Transferéncia para terceiros Controle Aorganizagdo deve informar no aviso se os DP sero transferidos para terceiros no curso normal dos negécios. NOTA‘ A transferéncia inclui divulgagaof comunicagao de DP. (© ISONEC 2020 -© ABNT 2021 - Todos os dreltos reservados 9 Exemplar para uso exclusiva - Gerveira Advogados Associados - 08.154.971/0001-72 (Pedido 802759 Imoresso: 21/07/2021) ABNT NBR ISO/IEC 291: formac ais ‘Se uma organizago for transferir DP a um terceiro, o aviso deve incluir, direta ou indiretamente: — para quem os DP serdo transferidos; — as) localizagao(6es) geogréifica(s) para onde os DP sero transferidos e quaisquer mudancas a(S) jurisdig&0(6es) legal(ais) que possam surgir; — para que finalidade os DP serdo transferidos; — _ osimpactos negativos sobre o titular de DP, ou riscos destes impactos causados pela transferéncia de dados; e — _aprotego relacionada a transferéncia (por exemplo, protegao de confidencialidade e integridade). Embora a organizacao precise identificar e fornecer notificagao de destinatarios terceiros individuais, ela Pode especificar um grupo de destinatarios usando critérios claramente definidos quando apropriado. Convém que os critérios especificados em 5.3.10 sejam claramente especificados como parte de uma categoria ou definigdio de especificagao de finalidade. NOTA2 A subsegiio 5.3.10 s6 se aplica a transferéncias de terceiros e ndo se aplica a uma transferéncia Para um operador de DP, 5.3.11 Periodo de retengao Controle A organizagéo deve fornecer informagées sobre 0 periodo de retengéio e/ou cronograma de descarte de DP que esta coletando. InformagSes adicionais: AAs informagdes sobre o periodo de retengao e/ou cronograma de descarte podem estar na forma de um periodo especificado (por exemplo, 5 anos) a partir da data de coleta ou da ocorréncia de um evento especifico, ou uma data especificada (por exemplo, para ser descartado em 1 janeiro de 2025). ‘Também pode consistir nos critérios usados para determinar esse periodo ou cronograma. NOTA _Uma organizagéo pode coletar DP para varias finalidades. Dependendo das finalidades, 0 periodo de retengaio pode ser diferente. Como tal, 0 periodo de retencao de dados também pode ser especificado por finalidade. 5.3.12 Participagao do titular de DP Controle A organizagao deve forecer informagées sobre os direitos do titular de DP (por exemplo, acesso, retificacao, exclusio, objecdo, restricao, portabilidade de dads, retirada de consentimento etc.) para acessar seus DP, bem como seus direitos de corrigir ou excluir seus DP. Informacdes adicionais ‘Convém que o aviso inclua, direta ou indiretamente, os seguintes aspectos do acesso: a) para quais elementos de DP o titular de DP pode solicitar acesso e os meios pelos quals 0 titular de DP pode fazer esta solicitaga 10 © ISONEC 2020- @ABNT 2021 - Todos os direitos reservedos ‘Exemplar para uso exclusivo - Cerveita Advogedos Associados - 08,154.97 1/0001-72 (Pedido 802750 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2024 b) quais informagées 0 titular de DP fornece para se autenticar em um nivel aceitavel antes que o acesso a qualquer DP seja autorizado (para evitar 0 risco de divulgacao inadequado); ©) 08 prazos dentro dos quais uma solicitagao seré atendida; d) quaisquer taxas que possam ser cobradas por este acesso, quando a cobranga destas taxas seja permitida; €) 08 meios pelos quais 0s titulares de DP podem contestar a preciséo e a integridade dos DP e fazer com que sejam alterados conforme apropriado; f) as circunstancias em que as informagdes nao serdo alteradas ou excluidas detalhando oportunidades para indicar as objegSes do titular de DP em relago & exatidao dos DP; e 9) quando o consentimento for a base legal, como pode ser revogado se a revogagao for vivel ou exigida pela legislacao aplicavel. 5.3.13 Consulta e reclamagao Controle ‘A organizag3o deve fornecer informag6es sobre os dados de contato para consultas sobre 0 tratamento de DP indicado no aviso e sobre o direito de apresentar uma reclamago a uma autoridade de supervisdo. Informacées adicionais As informag6es de contato consistem em, mas nao se limitam a, nimeros de telefone, websites, enderegos de e-mail e localizagbes fisicas para onde as consultas podem ser direcionadas. 5.3.14 Informagdes sobre como acessar as escolhas feitas para consentimento Controle ‘A organizagéo deve informar ao titular de DP onde e como acessar as evidéncias preservadas da escolha exercida inicialmente e conforme posteriormente revisada pelo titular de DP (incluindo a revogagao), juntamente com a data em que estas escolhas foram feitas. Informagées adicionais Escolha e consentimento so conceitos distintos. A escolha é a aco feita pelo titular de DP. A menos que a base sobre a qual o titular de DP fez a escolha seja informada e justa, a escolha nao implica necessariamente em consentimento. Este controle esta lidando com escolha em vez de consentimento para preservar a aco objetiva do titular de DP. Isso pode ser necessério para referéncia futura, Por exemplo, o titular de DP solicité-lo para revisar © consentimento dado anteriormente. Também pode ser necessério em caso de litigio. Quando o aviso ou a politica de privacidade referenciada no aviso passam por uma revisdo significativa, convém que tadas essas revisbes sejam preservadas. ‘Convém que as organizagdes, a0 obterem 0 consentimento explicito conforme descrito em 5.4, Notifiquem os titulares de DP para que os titulares de DP possam ver contetido de seu consentimento {© ISONEC 2020 -© ABNT 2021 - Todos os dteltos reservados "1 Exemplar para uso exclusivo - Cerveira Advogados Asociados - 06.154.971/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 Por qualquer meio apropriado, a qualquer momento dentro de limites razodveis adequados ao mecanismo fomecido, 5.3.15 Bases para tratamento Controle A organizagao deve assegurar que o aviso inclua informagées sobre a base pela qual os DP serao tratados. h dic © consentimento 6 uma base possivel para o tratamento. Outras bases, como a execugao de um contrato, podem ser possiveis, 5.3.16 Riscos Controle Convém que a organizagao fornega informagées especificas sobre riscos plausiveis para os titulares de DP, onde o impacto de privacidade e a probabilidade de acorréncia (apés as mitigagdes serem consideradas) sejam altos ou esses riscos nao possam ser inferidos de outras informages fornecidas ao titular de DP. InformacSes adicionais Convém que as informagées fornecidas nos avisos geralmente sejam suficientes para que o titular de DP possa razoavelmente identificar riscos potenciais a sua privacidade. Convém que o risco seja ‘comunicado explicitamente: — onde a organizagao determina um alto risco; ou — se ndo for possivel esperar um risco de outras informagGes fornecidas pelo titular de DP (neste caso, convém que o controlador de DP comunique esse risco independentemente da probabilidade de ocorréncia), Para os riscos que forem comunicados especificamente ao titular de DP, isso pode ser feito em uma ego separada ou dentro da sego correspondente (por exemplo, se os riscos mais elevados plausiveis se relacionam com a finalidade de tratamento e tipos de dados especificos, pode ser comunicado dentro dessa seg4o, ou pode ser comunicado em uma seco separada do aviso especitico para riscos). Em alguns casos, pode ser preferivel melhorar as outras informagées fornecidas para que os riscos Possam ser mais bem inferidos a partir dessas informagies, por exemplo, sendo mais especifico em descrigdes de finalidade ou elementos de DP tratados, NOTA 0 risco residual para a privacidade de um titular de DP pode ser determinado a partir de uma avaliagao de risco ou avaliagéo de impacto de privacidade. 12 © ISONEC 2020 -© ABNT 2021 - Todos 08 creltos reservados Exemplar para uso exclusivo - Cerveira Advogados Associados - 08.154,971/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 5.4 Consentimento 5.41 Geral Objetivo: Assegurar que a organizacéo obtenha o consentimento do titular de DP quando 0 consentimento- for a base para a coleta de DP de maneira justa, demonstravel, transparent, inequivoca ¢ revogével (retirével). 5.4.2 \dentificagao de se o consentimento é apropriado Controle A organizacao deve identificar as situagées em que o consentimento ou 0 consentimento explicit 6 apropriado e deve solicitar 0 consentimento dos titulares de DP nessas situagdes. Informacéo adicional © consentimento explicito pode ser necessério, entre outras coisas: — quando a organizagdo planeja coletar DP sensiveis; — quando a organizag&o planeja usar DP sensiveis jé coletados para novos fins; — sea coleta ou novas finalidades causam ou indicam um impacto negativo particularmente alto no titular de DP ou um tisco particularmente alto deste impacto. Aorganizag&o pode ser solicitada para obter consentimento em relacdo a coleta de DP dos titulares de DP pela legistaco de protegao/ privacidade de dados relevante. O consentimento pode ser exigido, entre outras coisas, quando a organizacao planeja coletar novos DP ou quando planeja usar DP ja coletados para novos fins. O consentimento nao é a Unica base legal para o tratamento de DP e, portanto, nem sempre exigido. Em algumas jurisdigdes, outras bases legais incluem: a) _necessidade contratual; b) cumprimento das obrigagées legais; ©) interesse vital; 4d) _interesse pubblico; ©) interesses legitimos. 5.4.3 Consentimento informado e dado livremente Controle A crganizacao deve fomecer detalhes suficientes sobre 0 tratamento de DP para que o titular de DP possa dar consentimento para 0 tratamento de forma livre, especifica e com conhecimento, e possa acessar, modificar e/ou retirar facilmente esse consentimento. 8 ISONEC 2020 -© ABNT 2021 - Todos 08 citltos reservados 13 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 h al Convém que os detalhes contenham as informagées especificadas em 5.3. © consentimento 36 é considerado informado se houver evidéncia de que o titular de DP recebeu um aviso claro e compreensivel. O consentimento precisa ser dado livremente, sem que 0 titular de DP perceba qualquer forma de coergao ou compulséo. Convém que as organizag6es, ao obter consentimento, obtenham-no por meio da aco intencional do fitular de DP. Uma ago intencional é uma ago que est inequivocamente associada a propria intengdo do titular de DP. Por exemplo, agées da interface do usuario, como clicar em uma caixa de selego, pressionar um botio ou destizar uma barra deslizante, podem ser consideradas como formando uma ago intencional. Se a tela para exibir 0 aviso e a tela para executar a apao estiverem separadas, os titulares de DP podem ficar confusos sobre o que esto prestes a fazer. Portanto, é melhor exibir o aviso na mesma tela daquela que obtém o consentimento. Quando néo for vidvel exibir 0 aviso e a solicitagdo de consentimento na mesma tela, convém que as organizagdes tomem medidas adicionais (como um Fesumo dos pontos-chave do aviso) para assegurar que o titular de DP compreenda claramente o que est consentindo, Convém que a modificagao e a retirada do consentimento sejam to féceis quanto para conceder. Isso Pode ser conseguide fornecendo uma pagina de configuragées de conta ou privacidade para o titular de DP. NOTA Uma abordagem possivel para documentar o consentimento 6 usar 0 recibo de consentimento, conforme explicado no Anexo B. 5.4.4 Fornecimento de informagées sobre qual conta o titular de DP esta usando. Controle Quando uma organizagao estiver coletando consentimento associado a uma conta, a organizagao deve indicar claramente qual conta do titular de DP esta solicitando consentimento. informagao adicional Um titular de DP pode ter mais de uma conta on-line no controlador DP. Por exemplo, o titular de DP pode ter sessdes de navegador para um servico com sua conta de trabalho e sua conta privada. Outro exemplo comum é um caso em que membros de uma familia estéo compartilhando o mesmo PC 6 0 navegador da web esté mantendo as sessées para todos eles e 0 usuario pode selecionar a conta em um menu suspenso. ‘Convém que as organizagées exibam a conta do usudrio ou identidade que esté sendo usada para dar consentimento da maneira que o titular de DP esta acostumado ao usar o sistema, No inicio, 0 controlador de DP assegura que o titular de DP reivindicado seja verificado para que 0 controlador de DP possa ter certeza de que o DP est legalmente relacionado a esse titular de DP. Observer também que ha casos em que o titular de DP nao estabeleceu uma conta com o servigo, ‘mas 0 servigo esta identificando o titular de DP com uma conta implicita que pode ser vinculada a uma conta explicita posteriormente. 14 © ISONEC 2020 - © ABNT 2021 - Todos os drellos reservados Exemplar para uso exclusivo - Cerveira Advogados Associados - 06.154.971/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 5.4.5 Independéncia de outro consentimento Controle, A organizac&o deve obter consentimento para questées relacionadas a privacidade, separadamente do consentimento para outras questdes nao relacionadas a privacidade. Informacéo adicional Convém que o consentimento para uso, coleta ¢ tratamento de DP seja claramente diferenciado dos Termos de Uso. Combinar 0 aviso relacionado a privacidade com outros assuntos pode obscurecer © aviso e potencialmente ter um impacto negativo sobre a compreensibilidade do aviso. Convém que ‘as organizagées obtenham consentimento por meio de uma ago independente do consentimento para quaisquer outros termos nao relacionados privacidade (por exemplo, termos e condigdes contratuais). 5.4.6 Consentimento separado para elementos necessdrios e opcionais de DP cont A organizacao deve permitir que o titular de DP reconhega os elementos necessarios (obrigatérios) ¢ opcionais de DP para cada finalidade identificada. icional Se os elementos necessérios de DP ndo forem fornecidos, no é possivel que o tratamento prossiga, mas ndo 6 0 caso para os elementos opcionais de DP. Convém que a organizagao possibilite que o titular de DP fomega consentimento separadamente sobre os elementos necessarios de DP e os elementos opcionais de DP. ‘Quando DP forem fornecidos para um elemento opcional de DP, convém considerar que o consentimento foi concedido. 54,7 Frequéncia ntrole A organizaco deve procurar confirmar 0 consentimento existente ou obter o novo consentimento de um titular de DP em um intervalo apropriado. Informacao adicional Se a organizacao solicitar o consentimento do titular de DP com muita frequénela, o titular de OP pode ignorar do que se trata o consentimento e comegar a aceité-lo sem realmente entender suas implicagées. Isso as vezes € conhecido como treinamento de clique ou dessensibilizagao do usuario, No convém que a organizago busque consentimento com muita frequéncia para evitar que isso acontega, Convém que um indicador para as consideracdes feitas antes sejam os impactos negativos sobre o titular de DP ou os riscos deste impacto (ou seja, convém que a frequéncia de confirmagao do consentimento existente ou obtengo de novo consentimento permita que o titular de OP reaja de forma eficaz e eficiente ou se prepare para impactos ou riscos correspondentes). Normalmente, o novo consentimento é necessério apenas quando existe uma mudanga de condiges (ver 5.5). © ISONEC 2020 -© ABNT 2021 - Todos 0s direitos reservados 15 = Cerveira Advogados Associadas - 06.154.971/0001-72 (Pedido 802759 Impresso: 21/07/2021) lusivo Exemplar para uso exci ABNT NBR ISO/IEC 29184:2021 5.4.8 Oportunidade Controle A organizago deve obter 0 consentimento do titular de DP em tempo habil. form: Buscar 0 consentimento do titular de DP muito cedo pode ter problemas praticos na escolha do consentimento. Nao convém que a organizagao busque o consentimento do titular de DP muito cedo. 5.5 Mudanga de condigées 5.5.1 Geral Objetivo: Assegurar que os titulares de DP tenham a oportunidade de consentir novamente quando ‘mudangas significativas forem feitas em relago a questées relacionadas ao consentimento inicial (ver 5.4), 5.5.2 Aviso de renovagdo ntrole Aorganizagao deve informar o titular de DP quando 0 contetido do aviso (ver 5.3) for atualizado. Infor nal As situagdes em que convém & organizaco informar o titular de DP sao, por exemplo: a) alterag&o dos dados de contato do controlador DP; b) alteragao dos detalhes do ponto de contato; ©) destinatarios ou categorias de destinatérios; 4) _alterag6es no periodo de retengao de DP. 5.5.3 Renovagao do consentimento Controle A organizagao deve obter um novo consentimento do titular de DP quando as condigées mudarem, @ nao efetuar tais mudangas para o titular de DP até que 0 novo consentimento seja obtido, ‘especialmente em circunsténcias em que o titular de DP possa ser impactado negativamente. Informaco adicional Situagdes quando o titular de DP é requerido a consentir novamente so, por exemplo, quando: a) o controlador de DP altera a finalidade de uso de DP coletados para algo fora do escopo do que foi notificado ao titular de DP no momento da coleta de DP; b) houver uma mudanga organizacional substancial no controlador de DP (por exemplo, mudanga de proprietério, mudanga de negécio); 16 © ISONEC 2920 -© ABNT 2021 - Todos 08 cltetas reservados Exemplar para uso exclusivo - Cerveira Advogados Associados - 08.154.971/0001-72 (Pedido 602759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 c) o controlador de DP altera os DP que esto sendo coletadas (por exemplo, as alteragdes de DP que esto sendo tratadas); d) controlador de DP altera o tratamento de DP; ) controlador DP altera o método de coleta de DP (por exemplo, os métodos usados para tratar a alteragdo de DP); f) © controlador de DP altera questées relacionadas transferéncia de DP para um terceiro (a menos que o titular de DP tenha sido previamente notificado de que DP seriam fornecido a uma série de terceiros e a alteragdo feita nao expande o escopo da transferéncia); 9) © controlador de DP prorroga o periodo de reten¢ao ou altera a data de alienacao notificada a0 titular de DP no momento da coleta de DP; h) ocontrolador de DP altera questdes relacionadas a divulgaco, ao uso e ao periodo de retencdo, corregdo, exclusdo, transferéncia de terceiros ou revogagao de consentimento; i) controlador de DP altera a localizacao geogréfica da coleta de dados. Quando convém que as organizagSes busquem consentimento para alteragdes como as descritas aqui, convém que elas considerem se o titular de DP tem acesso a um registro (de algum tipo) de seu consentimento original, bem como quanto tempo decorreu entre o consentimento original © 0 presente. Se o titular de DP puder acessar prontamente um registro de seu consentimento prévio @ se 0 tempo decorrido nao for significativo, as organizagdes podem notificar as alteragdes e buscar consentimento para as mesmas. Caso contrério, convém que a organizagao busque a reconfirmagao do consentimento original, além de consentir com as mudancas notificadas. Quando um novo consentimento é solicitado e nenhuma resposta é recebida, convém presumir que © consentimento original foi retirado. ‘Se um titular de DP foi notificado de uma alteracao e essa alteracdo seré feita dentro de um contexto notificado, a organizago pode mudar sem obter o consentimento do titular de OP. Em muitos casos, o consentimento para um titular de DP individual seria obtido no momento do login do titular de DP. © ISONEC 2020 - © ABNT 2021 - Todos 08 cretos reservados 7 Exemplar para uso exclusivo - Cerveira Advogades Asociados - 06,154.97 1/0001-72 (Pedido 602759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2024 Anexo A (informativo) Exemplo de interface do usuario para obter o consentimento do titular do DP em computadores e smartphones A‘ Geral Este Anexo cobre alguns aspectos da apresentago do aviso e da interface do usuario para obter consentimento. A apresentagao e a interface do usuario de consentimento podem variar amplamente, dependendo das circunstancias e do contexto. Por exemplo, as apresentagdes adequadas para um rel6gio inteligente © um computador pessoal podem ser muito diferentes, Como tal, convém que @ apresentagao e a interface do usuério sejam otimizadas em cada caso e convém utilizar boas praticas para cada tipo de caso. Neste Anexo, 0s aspectos de apresentagéo ¢ interface do usuario de computadores pessoais smartphones séo abordados como um ponto de partida para tais consideragées. A.2__Exemplos de interface do usuario para obter consentimento inicial para computadores e smartphones A.2.1 Identificagdo de qual conta o titular de DP est usando Antes que as organizagdes possam coletar DP do titular de DP, convém que elas identifiquem os titulares de DP explicita ou implicitamente. Em alguns casos, o titular de DP estabeleceu varias contas ‘com o controlador de DP. Em outros casos, 0 dispositivo é compartinado e pode manter varias sess6es do software do controlador de DP. Em ambos os casos, conforme descrito em 5.4.4, 6 importante assegurar que o titular de DP esteja ciente de qual conta esta sendo usada para dar consentimento ¢ selecione o titular de DP correto e a conta, caso nao esteja Existem muitas maneiras de fazer isso. A maneira mais simples 6 pedir ao titular de DP um nome de usudrio @ uma senha. Outros métodos estéo se tornando populares, como a exibigéo de uma tela de selegdo da conta solicitando que o titular de DP selecione qual conta usar para conceder consentimento (ver a Figura A.1). 18 ISO/IEC 2020 -@ ABNT 2021 - Todos os dreltos reservados ABNT NBR ISO/IEC 29184:2024 allTelco @ 4G 12:09 83 965m Exemiplo Co, Ltd Servigo de Mapeamento do Historica do Localizagio | Escolha sua conta | a alice @exemplo.org ® lice, wonda@exemplo.com | # info@exemplo.com |2 Ou escoiher outra conta: [|< o f O @ Figura A ~ Tela de selegao de conta 2.2 Ordem dos itens a serem exibidos Quando as organizagées buscam o consentimento dos titulares de DP, convém que elas exibam o item escolhido na ordem especificada em 5.3. Convém que o item escolhido seja exibido como um titulo em formato de tabela para os valores correspondentes. No entanto, na auséncia do valor correspondent, a linha pode ser omitida. Se a tela for muito pequena para caber todas as informagGes relevantes em um formato de tabela, um formato de texto pode ser usado. No entanto, nao convém que a ordem de aparecimento seja alterada. Exibir itens em uma ordem fixa em um formato de tabela facilita a comparagao de diferentes avisos, ajudando os titulares de DP a tomar a sua decisao (ver a Figura A.2). Exemplar para uso exclusivo - Cerveira Advogados Associados - 08.164.97 1/0001-72 (Pedido 802759 Impresso: 21/07/2021) {© ISONEC 2020 - © ABNT 2021 - Todos 08 ditetos reservados 19 802759 Impresso: 21/07/2021) Exemplar para uso exclusive - Cerveira Advogados Asociados - 06.184,971/0001-72 (Pedi ABNT NBR ISO/IEC 291: EXEMPLO 1 Visio geral do servigo “Onde Eu Estava’ Servigo de mapeamento do histérico de localizagao. Controlador de DP Dados coletados via ee fu Estave App". Os dados coletados: 'sBo ‘combinados para inferir a localizago do aparetho no qual o App estiver ativado. (aS IeeaTRERRG MGS OR TSETNIERTY ‘Caltcinia, EVA ae ‘Transferencia para tercelrs. registradas e verificar 0 gerenciamento de opces de consentimento para compartilhamento de informagdes: | exempto.com/mepas/ Figura A.2 — Aviso em formato de tabela ‘Ao exibir 0 aviso em uma tela restrita, como em um smartphone, as organizagées podem querer omitir os nomes dos itens. EXEMPLO2 Os nomes dos itens sao omitidos (ver Figuras A.3 € A.4), 20 (© ISONEC 2020 -© ABNT 2021 - Todos 08 citeitos reservados ‘Exemplar para uso exclusiva - Cerveira Advogados Associados - 08.154,971/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 allteco & 46 12:09 83. % O Senge deWapaarieninds gy Histrico de LocaizagBo, ‘CExemplo Co,, Li.) gosiatia dé acessar as Ssoguintesinformagbes para fornecer seu histerico deiocalizagio emum mapa 1 Enderego de e-mail @ B Localizagao GPS: |(coletados enquanto o aplicativo ‘mesmo que em segundo piano) Datls so conbinados para tert sun lcalizacto| Os dados serdo armazenados na Califomia, GUA. Eles ndo serdo compartihados com terces. Deseartados apée armazonados por sels meses ‘Yee pode visuals, auatzar remover #8 “onnagiesrgietcaas ¢ vricaro goreclamento de opgBes de coneentmanto para compariParnto de informagtes em: htpfexempo.commapas! ‘Conhega os isos de gerantracesso 20s DP em: hip: slexemplo.comapasitscos ‘Uma copia dest avico est csponvel para acesso| em: hip: Zexemplo.com/mapasievises Solichagbes e reclamagdes: “dlofone:n3 on0n.c0n0: Emel infoGexemplo:comv Website: ites: lexemplo.convinto/ ‘Autoridade Supervisora: PPC fase Legal: ExecugSo do contrato e consentimento (pa < S. Figura A.3 ~ Caso em que 0 titulo é omitido © ISONEC 2020 - © ABNT 2021 - Todos 08 citetos reservados 2 a s i = 3 3 3 é § 3 8 3 3 3 3 i 2 s & i 8 e a 5 c a ABNT NBR ISO/IEC 29184:2021 siltelco @ 46 42:09 83 ame ‘Servigo de Mapeamento do ¥ Historico de Localizagdo | Ao selecionar *negar’ vacd nao poderé acessar @ {gerenciar seus dados de nenhum lugar a nao ser através da instalagso deste aplicativo. Caso voc’: desinstale este aplicativo, seu acesso sera | permanentemente revogade. | Caso vacé concorde com estes termos, pressione | “continuar servigos limitados”, do contrério | pressione *voltar. | Note que eemos coletar cua ecaizage GPS ¢ enderogo IP, uma vez quo ecses s30 assoncais para nos fomnecer ‘base suficiente para ofuncionamento dese apicativa, ‘Coso vood no deseje que tals dados sojam coletados, favor nfo ullzareateaplcativ, Figura A.4 - Caso em que o consentimento é recusado Nos EXEMPLOS 1 2, quando (e se) 0 botéo “Recusar’ for pressionado, o que esté representado na Figura A sera exibido. Observar que a conta que o titular de DP esta usando para dar consentimento 6 claramente exibide na parte superior da tela como um avatar. Este 6 um exemplo de controle para cumprir o requisito de5.4.4, A.2.3 Exibindo valores reais As informagées adicionais em 5.3.5 também sugerem a possibilidade de fornecer um exemplo se os dados reais nao estiverem disponiveis. No exemplo a seguir, ele esta mostrando tal exemplo quando @ na Figura A.3 foi pressionado (ver a Figura A.5), 22 © ISONEC 2020 - © ABNT 2021 - Todos os creltos reservados ABNT NBR ISO/IEC 29184:2024 EXEMPLO 1 alltoco # 4G 12:09 63% Enderego de email alice@exampte.com (© enderego de ell estado er su conta Figura A.5 — Exibindo valores concretos 802759 Impresso: 21/07/2021) No mesmo pardgrafo, também é sugerido fomecer um exemplo onde ndo possivel que os valores reais sejam apresentados. A Figura A.6 mostra esse exemplo no caso da coleta de recibos de compra. EXEMPLO2 —Recibo de compra. Aqui esté um exemplo de recibo. Farm&cia exemplar Data: 27/08/2014 15:04:01 9a9614so2 Cerveira Advogados Assoctades - 06.154.971/0001-72 (Pedi ota Dormix agore 1 24,50 Subtotel 22,50 Impostos (188) 14,85 3 ‘oval 97,38 3 g a Figura A.6 — Exibindo um exemplo 3 i ‘© ISOIIEC 2020 -@ ABNT 2021 - Todos os direitos reservados 23 Exemplar para uso exclusiva - Cerveira Advogados Associadas - 08.1654.971/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2024 Anexo B (informativo) Exemplo de recibo de consentimento ou registro de consentimento (NOTA em 5.4.3) B.1_ Informagées gerais e finalidade de um recibo de consentimento Um recibo de consentimento, ou documentos de registro de consentimento, é 0 consentimento concedido por um titular de DP a um controlador de DP para tratamento de DP do titular. Este exemplo genérico e resumido ¢ extraido de conceitos documentados em Referéncia bibliografica [8]. Um formato de recibo comum aumenta a capacidade de observer, manter e gerenciar permissdes para os DP do titular tanto pelo individuo quanto pela organizagao. Assim como um varejista fornece a um cliente um recibo de caixa registradora como um registro pessoal de uma transacao de compra, uma organizagéo pode decidir criar de forma semelhante um registro digital de uma interag&o de consentimento on-line, gerando um recibo e fomecendo-o ao individuo. B.2 Contetdo e leiaute de um recibo de consentimento B21 Geral Os campos de um recibo de consentimento tipico séo agrupados em trés subsegées: 1) Campos da transagao de recebimento de consentimento: Campos administrativos para a transaco de consentimento ¢ os metadados para o recebimento de consentimento geral. 2) Campos das partes da transagao de consentimento: Informagées sobre as partes envolvidas no proceso de consentimento. 3) Campos de dados, coleta e uso: campos para servigos, categorias de informagées pessoais, atributos, DP e DP sensiveis. B.2.2_ Exemplo de recibo de consentimento legivel - Simples As Figuras 8.1 ¢ B.2 mostram um exemplo do contetido e leiaute do recebimento de consentimento para um titular de DP que visitou um website e deseja assinar informagées de marketing sobre a organizago, seus produtos e servicos. Os campos do recibo de consentimento fornecem detalhes e compromissos do controlador de DP em relagdo aos DP coletadas do titular. 24 © ISO/IEC 2029- @ABNT 2021 - Todos 0s creitos reservados Exemplar para uso exclusive - Cerveira Advogados Associados - 06.154.971/0001-72 (Pedido 802759 Impresso: 21/07/2021) ABNT NBR ISO/IEC 29184:2021 Recibo de Consentimento Versio KI-CRV1.1.0 Jurisdigéo Diseword Carimbo de Tempo do 13/11/2017, 12:00:00 PM EST Consentimento Método de Coleta Formulério Web de subscrigéo com opt-in para marketing ID do Recibo de Consentimento _| Ctbefd3e-b7e5-4ea6-8688-e9a565aade21 Chave Publica 04:a3:1d:40:53:f0:4b:f1:19:1b:b2:3%83:a9:d1: 40:02:c0:31:b6:4a:77:bf:5e:a0:db:4f:

    Você também pode gostar