Escolar Documentos
Profissional Documentos
Cultura Documentos
LGPD em 10 passos
Lei Geral de Proteção de Dados
V2.3
evitar abusos no
tratamento de
*tratamento é toda operação dados pessoais
realizada com dados
pessoais, da coleta à pelas empresas
exclusão
a quem se aplica empresas
a LGPD estabelecidas no
Brasil
ofereçam serviços a
brasileiros
a que não se dados corporativos
aplica a LGPD e de negócio
vigora a partir de 14
de agosto
de 2020
efeitos do suspensão do banco
descumprimento de dados
legal
suspensão de
operação
multa de até 2% da
receita ou R$50mi por
evento
enquanto a UE teve
desafio brasileiro 2 anos para se
comparado com adaptar já possuindo
o europeu diretrizes de proteção
desde 1995, o Brasil
tem o mesmo prazo,
mas sem a cultura da
proteção de dados
DISSECANDO A LGPD
cultura da
boa-fé
limitação ao mínimo
necessário para
realização da
finalidade
dado dado dado
pessoal sensível anonimizado
terminologias
controlador
tratamento titular
operador
tipificação de
dado pessoal
informação
relacionada à
pessoa natural
*cookie ou qualquer identificada
conjunto de dados de
comportamento online que ou
estabeleça perfil é também identificável
dado pessoal
tipificação de raça e etnia
dado pessoal convicção religiosa
opinião política
sensível
filiação sindical
dados de saúde
opção sexual
genético-biométrico
dados de crianças
dado aquele cujo titular
não possa ser
anonimizado
identificado,
considerando a
utilização de meios
técnicos razoáveis e
*uma vez anonimizado o dado
não é mais considerado pessoal
disponíveis na
salvo quando o processo de ocasião de seu
anonimização puder ser tratamento.
revertido
em uso
estado dos em movimento
dados em nuvem
em repouso
estruturados
não estruturados
tratamento de
dados pessoais
exercício
execução de proteção da
regular de
contrato vida
direito
pessoais que
*desde a sua coleta até a sua realizarem
exclusão, indicando quais dados
serão coletados, sua base legal,
finalidades, tempo de retenção,
e as práticas de segurança
documentação com as
relatório de atividades de
impacto tratamento de dados
DPIA que podem gerar
riscos aos titulares,
Data Protection Impact Assessment
bem como
informações sobre a
*ferramenta para ajudar a
identificar e minimizar os riscos
implementação de
na proteção de dados, que medidas de mitigação
poderá ser requerida pela ANPD
de danos
os princípios gerais da
Privacy LGPD e as medidas de
by Design segurança deverão
ocorrer desde a fase de
concepção dos serviços e
produtos até sua
execução, garantindo
desde o início os direitos
de privacidade e proteção
de dados
por danos patrimoniais,
limites de morais, individuais ou
responsabilidade coletivos acrescentada
da responsabilidade
solidária entre os
sujeitos responsáveis,
controlador e operador,
a fim de garantir a
*a lei também estabelece a
possibilidade de inversão do efetiva indenização dos
ônus da prova em favor do titular interessados
dos dados
pessoa física ou
nomeação do pessoa jurídica
engarregado nomeada pelo
DPO controlador, que
atuará como um canal
de comunicação entre
o controlador, os
*sua identidade e informações
de contato deverão ser
titulares dos dados e a
divulgadas publicamente, de autoridade de
forma clara e objetiva proteção de dados
recomenda-se que a
posicionamento função DPO seja
do DPO exercida por área
independente, de
*a obrigatoriedade de um DPO forma a atuar sem
só se dá por empresa onde haja restrições na
alta volumetria de dados
pessoais e/ou sensíveis, e
orientação e
entidade pública, mas pode fiscalização do
representar um importante sinal
de compromisso perante a cumprimento à
ANPD legislação
aceitar reclamações
tarefas prestar esclarecimentos
do DPO tomar providências
*”O DPO há de ser livre no dialogar com a ANDP
desempenho de suas funções,
ainda que suas recomendações,
orientar funcionários
embora legais, sejam orientar terceiros
desfavoráveis aos negócios da
empresa por ele assistida.
cumprir normas ANDP
manter a governança
Outras funções na empresa não
podem causar conflito com sua
representar controlador
função como DPO.” fiscalizar
independente
postura e articulador
habilidades de um comunicador
bom DPO ético
consultor
*é esperado que um DPO tenha
apoio multidisciplinar de uma domínio de processos
equipe que suportará o DPO de governança de
Office, uma vez que existem
múltiplos domínios, legais e dados segurança e
técnicos, no escopo da função. conformidade
é esperado que a
apetite empresa analise e
de risco interprete seu apetite
de risco para então
decidir que dados
continuarão tratando
para gerar valor para o
negócio
mapear ativos e fluxos
conduta conhecer os riscos
diligente definir políticas
estabelecer processos
registrar tratamentos
responder a incidentes
prestar contas
proteger os dados
*estabelecer um DPO Office
para sistemicamente manter a praticar transparência
governança da privacidade é possuir um plano
uma boa prática aculturar privacidade
macro jornada preparação de privacidade
1 2 3 4 5 6
11 10 9 8 7
Constatada, time DPO é informado Titular solicita Governança deve TI operacionaliza ANDP recebe
de resposta a e comunica a dados, deleção, identificar em BDs/sistemas denúncia e abre
incidentes mede ANPD bem como correção ou legitimidade do e emite recibo investigação e
extensão e dano os titulares revogação pedido e operar para o titular DOP suporta.
12 13 14 15 16 17
SOBRE A ANPD
A criação de uma
LGPD e a GPDR autoridade nacional
independente para
fiscalizar o cumprimento
da LGPD faz com que o
Brasil esteja de acordo
com o Regulamento
Geral sobre a Proteção
*esta condição torna o país
capacitado para o de Dados da União
transacionamento de dados Europeia
pessoais com países da UE
Autoridade Nacional de
o que é a Proteção de Dados, é
ANPD uma autoridade pública
federal independente
estabelecida para
supervisionar e fiscalizar
*deverá funcionar da mesma a execução da Lei Geral
forma que outras agências de Proteção de Dados
reguladoras, podendo
estabelecer diretrizes para a (13.709/2018)
proteção de dados pessoais no
Brasil.
composta por um
composição da Conselho Diretor, um
ANPD Conselho Nacional de
Proteção de Dados
Pessoais e da
Privacidade,
Corregedoria, Ouvidoria,
*o Conselho Diretor será um órgão de apoio
composto por cinco diretores jurídico e unidades
enquanto o Conselho Nacional
será composto por vinte e um especializadas para à
membros aplicação da LGPD
o decreto que estrutura
enquanto a a ANPD ainda pode
ANPD não sofrer alterações. Até
estiver formada aqui, ele traz três eixos
temáticos:
normatização, educação
e articulação
institucional, e
fiscalização e
supervisão
em virtude da natural
exemplos da limitação das agências
GDPR diante do alto volume de
empresas afetadas pela
lei de privacidade, é
esperada que sua
postura seja mais
investigativa mediante
denúncia, do que
pró-ativamente
fiscalizadora.
correspondente bancário
GDPR
LGPD
AUTOMATIZAÇÃO
o ganho de escala na
prós e contras governança da
da automatização privacidade de dados é
um alvo desejado, mas
antes os processos
*ferramentas de descoberta de precisam estar bem
dados, classificação da
informação, anonimização, definidos, funcionais e
pseudonimização, criptografia, suportados por um
gestão de incidentes, gestão de alicerce robusto de
consentimento, registro de
ROPA e DPIA, registro de segurança da
exercício de direito dos titulares informação.
ERROS COMUNS
apesar de parecer o
não pense que o caminho mais fácil, o
consentimento é a consentimento só deve
única ou a melhor ser usado com critérios,
pois autorizações
base legal genéricas ou casos de
vício de consentimento
não serão tolerados
dados processados por
não acredite que a inteligência artificial ou
lei irá acabar com robôs também estão
iniciativas de sujeitos à LGPD, mas
uma vez anonimizado,
inovação deixam de fazer parte do
escopo e podem ser
livremente tratados
a Europa é mais madura
não ignore a na proteção e gestão de
experiência do privacidade e a lei
GDPR GDPR entrou em vigor 2
anos antes da LGPD,
por isso é fonte de
conhecimento valioso
a LGPD tem cobertura
não escolha os multidisciplinar e requer
aspectos legais uma equipe
ou tecnológicos heterogênea para
permitir uma abordagem
integrada e capaz de
produzir uma mudança
organizacional profunda
a mudança proposta
não conduza a pela LGPD requer o
iniciativa como estabelecimento de um
um projeto modelo sistêmico e
continuado de
governança de dados, e
ele não deve acabar
como um projeto
o ímpeto de buscar uma
não é possível solução definitiva de
orçar a conformidade faz
implementação empresas solicitarem
orçamentos fechados
sem diagnóstico para implementação
sem os resultados do
diagnóstico, mas isso
não funciona
em geral ferramentas
não busque promovem automação e
ferramentas no escalabilidade, mas
momento errado antes os processos
precisam estar
definidos,
documentados,
treinados e funcionais
a lei é um instrumento
não assuma já vivo, e que por ainda
dominar a lei não ter entrado em
vigência, não nos deu
pistas sobre como a
ANDP e os magistrados
vão interpretar seus
requerimentos, e qual
será seu rigor de
investigação
governança é algo que
não pense que a pode ganhar maturidade
data de vigência com o tempo, por isso,
é o fim considere a data de
vigência como um marco
em que deverá
demonstrar diligência e
não necessariamente
estar com todos os
controles em seu mais
alto nível de automação
já existem decisões
não acredite na judiciais recentes no
falácia de que Brasil à respeito do trato
a lei pode à privacidade e proteção
de dados, sugerindo
‘não pegar’
existir uma consciência
coletiva na direção da
Lei Geral de Proteção
de Dados
O QUE NÃO SABEMOS
sem a especificação das
posicionamento atribuições funcionais da
da ANPD Autoridade Nacional e a
ausência de casos com
a lei em vigor,
desconhecemos se
ANDP será reativa,
proativa, e com que rigor
irá fiscalizar, investigar e
autuar
se seguirmos os passos
calibragem de da GDPR, a autoridade
rigor e exigência brasileira deverá calibrar
pelo tamanho do o rigor de exigência ao
tamanho e a natureza
negócio
dos dados tratados, por
exemplo cobrando ou
não o DPIA e um DPO
ainda é incerto o
enquadramento enquadramento que a
de dados em autoridade e os
repouso coletados magistrados darão aos
dados pessoais
antes da lei
coletados antes da lei e
que encontram-se em
repouso
é desconhecida a forma
relação entre com que parceiros da
parceiros da cadeia de valor irão se
cadeia de valor relacionar por força da
não conformidade com a
LGPD, contudo, é
esperada grande
cobrança como ocorreu
com a SoX
como os efeitos da não
mercado paralelo conformidade podem
de privacidade ser materiais, ainda não
sabemos se a LGPD
fomentará um mercado
paralelo de ações
judiciais e crimes de
chantagem, sabotagem
e estelionato
a função DPO surgiu
resiliência dos com entusiasmo pelo
DPOs requerimento de
competências
específicas e a alta
relevância, mas só o
tempo vai dizer se todos
estão prontos para a
pressão de uma ANPD
atuante e rigorosa
o end-to-end da
se todos que conformidade é
declaram complexo e caro para
conformidade ser estabelecido e
mantido, por isso a
realmente terão dúvida se todos
processos realmente terão
rodando processos vivos e
capazes, por exemplo,
de cumprir um direito do
titular tempestivamente
pode se tornar comum o
DPOs papel do DPO as a
as a service service assumindo o
custo, a volumetria, a
temporalidade e a
especificidade das
competências
necessárias para
construir e manter um
DPO Office próprio
VISÃO DE NEGÓCIO
uma vez em
como inconformidade ela pode
interpretar a representar uma barreira
LGPD regulatória, mas para os
que estiverem em
conformidade atua como
uma vantagem
competitiva com
*impactos financeiros,
reputacionais, na confiança de potencial para criar um
clientes e fornecedores, nível respeitável de
negócios internacionais etc confiança e reputação
LIÇÕES DA GDPR
https://ec.europa.eu/justice/smedataprotect/index_en.htm
melhor ter o processo
menos é mais aos E2E definido e
olhos da operacional de
autoridade governança de dados e
privacidade cobrindo um
escopo pequeno, do que
mapear todos os fluxos,
*o que as autoridades esperam é documenta-los, ajustar
que a empresa seja capaz de contratos e não
gerir os riscos e garantir os
direitos dos titulares conseguir operar um
sistematicamente modelo funcional
o que as leis de
mudança privacidade requerem
cultural não é um projeto, mas
uma mudança cultural e
na forma de se fazer
negócio, onde a
governança de
privacidade de proteção
*missão de proteger os direitos de dados pessoais deve
das pessoas que fornecem seus
dados e onde confiança é a ser sistêmica, contínua e
palavra chave adaptativa
hub LGPD ey.com.br/lgpd
Desconstruindo a
LGPD em 10 passos
Lei Geral de Proteção de Dados