Escolar Documentos
Profissional Documentos
Cultura Documentos
Formação de DPO - O Método DPOnet - Compressed
Formação de DPO - O Método DPOnet - Compressed
O MÉTODO DPONET
Universidade de Marília
Avenida Hygino Muzzy Filho, 1001
CEP 17.525–902- Marília-SP
ISBN xxxxxxxxxxxxx
CDD – 00000
*Todos os gráficos, tabelas e esquemas são creditados à autoria, salvo quando indicada a referência. Informamos
que é de inteira responsabilidade da autoria a emissão de conceitos.
Nenhuma parte desta publicação poderá ser reproduzida por qualquer meio ou forma sem autorização. A
violação dos direitos autorais é crime estabelecido pela Lei n.º 9.610/98 e punido pelo artigo 184 do Código Penal.
Bons estudos!
4
008 Aula 01: Apresentação
5
Introdução
Olá, aluno! Bem-vindo ao curso Formação de DPO: O método DPOnet.
Para iniciar, a sugestão é que você esqueça aquele padrão de curso em que você
irá aprender por um longo período a parte teórica e, depois, já quase sem forças,
terá algumas aulas práticas. O nosso curso irá trabalhar conceitos e prática de
maneira dinâmica. Quer saber o que são dados pessoais? Vamos ver como isso se
aplica no DPOnet. Visualizando a ferramenta, você aprende o conceito.
É assim que, na maior medida possível, vamos fazer. O objetivo é que você consiga
entender como trabalhar como DPO (data protection officer), colocando
efetivamente a mão na massa. E sabemos que se você já está aqui, é porque já tem
noções gerais sobre o tema. Em vários momentos, vamos disponibilizar recursos
extra para o caso em que você queira aprofundar o estudo de algum ponto
especificamente.
Bons estudos!
6
Confidencialidade e direitos autorais reservados
Este material foi preparado para apoiar uma parceria/associação
estratégica da Immunize com a parte receptora. O material está sendo
apresentado sujeito à execução prévia de um Acordo de
Confidencialidade. O único objetivo deste material é auxiliar as partes
interessadas em sua decisão sobre prosseguir com a parceria
educacional para o fim de ofertar o curso preparatório de DPO.
7
01
Apresentação
8
O que é o DPOnet
Olá, aluno! Bem-vindo ao curso Formação de DPO: O método DPOnet.
Vamos começar com uma visão sobre o DPOnet, que é uma solução para
organizações públicas e privadas e cujo objetivo é democratizar a Lei Geral de
Proteção de Dados (LGPD).
9
Trata-se de uma plataforma completa para a empresa
1
gerenciar a proteção de dados pessoais, o que
compreende tanto as ferramentas e as orientações
recomendadas especificamente ao segmento de
mercado e tamanho da organização quanto os cursos
de conscientização.
2
como DPO – data protection officer) terceirizado. Ou
seja, o DPOnet é o DPO das organizações, e para isso
tem seu próprio canal de atendimento para os titulares
e para a ANPD (Autoridade Nacional de Proteção de
Dados).
3
Por meio do Portal Privacidade & Você
(privacidade.com.br), exibe o portal de certificação
das organizações consultadas e é nele em que estão os
canais de atendimento tanto ao titular de dados
quanto à ANPD.
10
Veja como o DPOnet se apresenta para o público e entenda sua missão
(o porquê de ele existir): www.dponet.com.br
11
Além disso, as políticas e documentos relacionados à proteção de dados que são
de interesse de todo o público ficam disponíveis para consulta. E nesta mesma
página, constam os canais de comunicação com os titulares de dados e com a
ANPD.
12
Sobre a Lei Geral de Proteção de
Dados
Não se engane ao pensar que a LGPD é uma inovação no Brasil. Na verdade, a
promulgação da LGPD aconteceu em 14 de agosto de 2018 foi impulsionada pela
aprovação da nova legislação europeia sobre proteção de dados, conhecida como
RGPD (Regulamento Geral de Proteção de Dados) em 25 de maio de 2018.
Antes disso, porém, não podemos ignorar que leis específicas sobre proteção de
dados pessoais existem desde a década de 1970. A primeira delas é de exatamente
1970, a Lei do Land de Hesse (como se fosse um Estado; o Estado “Hesse”) da
Alemanha. Depois, em 1973, tem-se a primeira Lei nacional sobre o tema, que é
Sueca, denominada “Estatuto para Bancos de dados de 1973”, e que criou o
denominado “inspetor para o uso de dados pessoais” (DONEDA, 2019, p. 174-175).
13
Nesse contexto, a LGPD tem o objetivo de proteger os
dados das pessoas físicas (BRASIL, 2018), pessoas de
carne e osso, como você. Aqui, já é interessante
deixar claro que a LGPD não protege dados de
pessoas jurídicas – isso pode acontecer em algumas
legislações mundo afora, como é o caso da Argentina
e do Uruguai, que protegem amplamente os dados
pessoais tanto de pessoas físicas quanto jurídicas.
Mas lembre-se: a LGPD protege apenas os titulares de
dados pessoas físicas.
A LGPD não diz para as empresas “faça isso” ou “faça aquilo” em situações
específicas, mas estabelece um conjunto de normas, em determinados aspectos,
que dão o norte sobre como as organizações devem lidar com os dados pessoais
que circulam em sua rotina. Estabelece, ainda, que as organizações devem adotar
medidas de segurança desde que sejam razoáveis para as atividades que são
realizadas com os dados pessoais.
A LGPD não irá dizer: “A empresa pode entrar em contato com o cliente
pelo WhatsApp para avisar que ele pode retirar na loja o produto que
adquiriu”, mas irá estabelecer que, por exemplo, existem as bases legais
de tratamento. Neste caso, hipoteticamente, o contato se faz necessário
devido à compra do produto em si e poderia ser entendido como um
tratamento necessário à execução do contrato (uma das situações em
que a LGPD autoriza o tratamento de dados – art. 7º, inciso V, da LGPD)
caso essa pessoa tenha informado o seu número à empresa justamente
para que ela seja avisada sobre a disponibilidade do produto.
14
A LGPD tem apenas 65 artigos. Se você ler apenas dois artigos por dia,
em um mês já conseguirá ter lido praticamente a Lei inteira. Sabe
aqueles cinco minutinhos rolando o feed das redes sociais? Substitua
por rolar a LGPD:
Quem é o DPO
A sigla DPO significa data protection officer. Em uma tradução livre, seria o
administrador, o gestor da proteção de dados. Na LGPD, o nome ficou menos
chamativo do que DPO: “encarregado pelo tratamento de dados pessoais”, cujo
conceito, literalmente, é “pessoa indicada pelo controlador e operador para atuar
como canal de comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD)” (BRASIL, 2018).
Pense então que, com a LGPD, as organizações precisam cuidar desse tema da
proteção de dados com muito mais vigor, e nada melhor do que ter alguém
especializado nesse assunto para apoiar a organização no dia a dia, implementar
todo um projeto para que a organização comece a fazer suas atividades cotidianas
já de acordo com a LGPD, alguém para orientar os colaboradores em caso de
dúvidas e para receber e avaliar solicitações tanto dos titulares de dados quanto da
ANPD. Esse alguém é o DPO.
A LGPD, inclusive, traz uma lista (que não é definitiva) sobre as atividades do DPO:
15
[...] I - aceitar reclamações e comunicações dos titulares, prestar
esclarecimentos e adotar providências; II - receber comunicações da
autoridade nacional e adotar providências; III - orientar os funcionários
e os contratados da entidade a respeito das práticas a serem tomadas
em relação à proteção de dados pessoais [...] (BRASIL, 2018).
Veja que ser DPO é ser uma pessoa que irá orientar e se comunicar.
Ela vai orientar a organização sobre como mapear dados, riscos e bases legais que
autorizam o tratamento de dados sobre medidas de segurança, contratos, termos e
sobre transparência, e não apenas sobre o que está escrito na LGPD, mas sobre
proteção de dados em si, que abrange a estruturação de um programa de
governança de dados pessoais, análise de processos e segurança da informação.
Além disso, a comunicação do titular de dados (caso este tenha alguma solicitação
sobre proteção de dados para fazer à organização) será sempre direcionada ao
DPO, que deverá recebê-la e contar com toda a equipe da organização para avaliar
e dar o devido retorno sobre o que foi pedido.
16
presta serviços (BRASIL, 2021). Ainda, que o DPO deve ter liberdade ao exercer suas
funções, e que a sua qualificação deve ser verificada mediante análise do seu
conhecimento tanto sobre proteção de dados pessoais quanto sobre segurança da
informação (BRASIL, 2021).
17
Visão Geral do Programa de Gestão
da Proteção de Dados com o
DPOnet
O DPOnet divide todo o programa de gestão da proteção de dados em dois
grandes momentos: a implementação e, após isso, a manutenção. Nesta divisão,
basicamente visualizamos as principais atividades de todos os atores envolvidos:
18
Oportunidade de Mercado
A figura do DPO estava prevista já expressamente na Diretiva 46 de 1995 do
Conselho Europeu (imagine uma Lei como o RGPD, mas que servia como uma
orientação que poderia ser sobreposta pelas legislações nacionais dos países
europeus – esta era a Diretiva 46). No art. 18, item 2 (UNIÃO EUROPEIA, 1996):
Podemos ver que o DPO não é exatamente uma figura tão nova em nível mundial,
mas no Brasil esse tema ganha enfoque apenas agora, o que é uma grande
oportunidade, pois demonstra que esse movimento da proteção de dados é um
caminho sem volta.
19
2020).
Some a essa informação, também, o fato de que desde 1970 existem Leis sobre
proteção de dados. Isso quer dizer que a LGPD não é uma moda, e jamais uma Lei
que não vai pegar. Muito pelo contrário: estamos vivenciando no Brasil um
movimento que iniciou há até cinco décadas em outros países, e é um movimento
que apenas se fortalece e se espalha cada vez mais, jamais reduzindo a sua
abrangência.
20
02
Mapeamento de Dados -
Parte 1
21
Identificando uma Atividade de
Tratamento
Vamos iniciar esta aula aprendendo a mapear uma atividade que envolve dados
pessoais. Para isso, precisamos identificar uma atividade de tratamento, isto é, o que
fazemos dentro da nossa empresa que possui informações de uma pessoa. Quais
são as etapas de um mapeamento?
Não se assuste! Vamos passar por cada uma das etapas, explicando os conceitos que
serão necessários para que você aprenda a fazer essa atividade sem qualquer
dificuldade.
22
O que seriam esses dois conceitos? Vamos começar entendendo o que são “dados
pessoais”. A própria lei diz que dados pessoais são as informações relacionadas à
pessoa natural identificada ou identificável (BRASIL, 2018). Então, pode ser desde um
endereço, um CPF ou um RG, até um conjunto de características capaz de identificar
uma pessoa mesmo sem o nome dela ser citado diretamente.
Dessa forma, alguns dados sozinhos são capazes de identificar uma pessoa de forma
direta, sem nenhuma dúvida, como é o caso do número de documentos (RG, CPF, PIS,
CNH, CTPS, dentre outros). Outros dados, contudo, precisam ser somados, pois
somente juntos conseguem identificar alguém.
Não entendeu nada? Vamos tentar identificar essa pessoa: mulher (sexo), brasileira
(nacionalidade), loira (característica física) e apresentadora de televisão (profissão).
Até aqui, podemos estar falando das apresentadoras Eliana, Angélica, Ana Maria
Braga, dentre outras – ou seja, essas informações isoladas são incapazes de
identificar alguém de forma direta, mas se adicionamos a informação de que essa
mulher é conhecida como “rainha dos baixinhos”, todos sabemos que só pode ser a
Xuxa.
Assim, não precisamos saber o CPF, o RG ou nome completo da Xuxa para saber que
esse conjunto de características a identificam e, por isso, são chamados de “dados
pessoais” e são protegidos pela LGPD. Os dados pessoais podem ser “identificados”,
isto é, quando apenas um dado já é suficiente para saber de quem se trata ou
“identificáveis”, nos casos em que é necessário somar mais de uma informação para
saber de qual pessoa estamos falando.
23
Independentemente disso, ambos são considerados dados pessoais e são protegidos
pela LGPD, pois tais informações pertencem a uma pessoa e ela deve saber quem
tem acesso aos seus dados e por quê, a fim de ter a chamada autodeterminação
informativa.
E você? Quais são as características que te tornam “identificável”? O que faz de você
um indivíduo único?
Agora, você é capaz de saber quais informações podem ser consideradas ou não
dados pessoais e já pode começar a entender quais departamentos da sua empresa
possuem esse tipo de informação.
24
Todos sabemos o conceito de dados pessoais, mas será que uma calota
de carro pode ser um dado pessoal? Ao utilizar o Google Street View para
ver a casa de uma amiga, uma mulher, na Inglaterra, reconheceu o carro
de seu marido que estava estacionado no local. O marido, que disse que
estaria viajando, foi reconhecido, pois seu carro tinha calotas
personalizadas. O caso, segundo a imprensa, terminou em divórcio. Muito
cuidado com suas informações pessoais e o quanto você pode ser
reconhecido.
25
Se você sentiu falta de alguma atividade realizada com dados pessoais, pode ter
certeza: ela também se encaixa como tratamento, pois as apresentadas pela lei são
apenas exemplificativas.
Mesmo se essa empresa não fizer “nada” com os dados, ainda há tratamento?
Observem que a LGPD trouxe a palavra acesso. Por isso, a simples possibilidade de
ver o que está escrito em um documento já faz com que a empresa trate dados
pessoais e tenha que respeitar a LGPD. Assim, a secretária de um médico que anota o
nome do paciente e o horário da consulta em sua agenda pessoal ou o médico que
acessa o prontuário desse mesmo paciente para entender seu histórico clínico
também tratam dados pessoais.
Observe que a LGPD cuida apenas de dados pessoais, isto é, informações que se
referem a uma pessoa física e não pessoa jurídica. Dessa forma, para fins desta lei,
não será preciso se preocupar com o número do CNPJ (Cadastro Nacional de Pessoas
Jurídicas) de uma empresa, com sua razão social ou faturamento.
26
Assim, a LGPD não cuida de dados apenas empresariais, isto é, “(...) dados de pessoa
jurídica, documentos sigilosos ou confidenciais, segredos de negócio, planos
estratégicos, algoritmos, fórmulas, softwares, patentes, entre outros documentos ou
informações que não sejam relacionados a pessoa natural identificada ou
identificável” (VAINZOF, 2019, p. 17).
Mas precisamos estar atentos: mesmo nos casos citados acima ou, ainda, nos casos
em que os clientes de uma organização são apenas pessoas jurídicas, a empresa,
provavelmente, tratará dados pessoais de seus colaboradores, dos sócios de seus
clientes e dos funcionários de seus fornecedores. É impossível uma pessoa jurídica
realizar suas atividades sem pessoas físicas por trás, não é mesmo?
27
Uma das suas funções como DPO, portanto, é identificar quais são as atividades
dentro da empresa que envolvem o tratamento de dados pessoais. Para isso, é
necessário que seja feito o mapeamento de todos os processos, isto é, pensar quais
atividades da rotina da sua empresa envolvem o tratamento de dados pessoais e
fazer o registro dessas informações.
28
Porque devo mapear as atividades que envolvem dados pessoais? A
resposta é muitosimples: é uma exigência da lei! O artigo 37 da LGPD
(BRASIL, 2018) diz que: “Ocontrolador e o operador devem manter
registro das operações de tratamento dedados pessoais que realizarem,
especialmente quando baseado no legítimointeresse”.
O importante é que haja um controle do responsável pelo projeto a fim de que possa
haver um monitoramento e um registro contínuo dessas informações. Sugere-se,
ainda, que sejam estabelecidos prazos para a importação dos processos, como 1
(um) processo por dia, totalizando 5 (cinco) por semana.
29
Não se esqueça de vincular essa atividade a um
determinado departamento, pois assim você consegue
saber por quais departamentos uma mesma atividade
circula. No caso de incidentes, por exemplo, podemos
investigar com maior assertividade quais são os setores
envolvidos.
Princípio da Finalidade
Além de identificar o processo, precisamos observar a finalidade, isto é, o porquê é
necessário e importante realizar determinada atividade. Segundo o conceito trazido
pela LGPD, no artigo 6º, inciso I (BRASIL, 2018), a finalidade é um princípio que deve
buscar a “realização do tratamento para propósitos legítimos, específicos, explícitos e
informados ao titular, sem possibilidade de tratamento posterior de forma
incompatível com essas finalidades”.
Assim, todo DPO, estando diante de uma atividade de tratamento de dados pessoais,
deve questionar: Para quê? Por qual motivo a empresa trata os dados contidos nessa
atividade? Qual nosso objetivo ao ter acesso a essas informações? O que isso agrega
à nossa empresa?
30
No caso da “Emissão de folha de pagamento”, por exemplo, a principal finalidade
dessa atividade é registrar aquilo que foi pago, o que é devido, o que está creditado
ou foi descontado de um colaborador durante o mês. Mas mais do que isso, essa
atividade pode comprovar as transações realizadas em caso de fiscalização de
natureza previdenciária ou trabalhista por parte dos órgãos competentes.
Princípio da Adequação
Deve-se ter atenção ao princípio da adequação que, segundo a LGPD, no artigo 6º,
inciso II (BRASIL, 2018), refere-se à “compatibilidade do tratamento com as finalidades
informadas ao titular, de acordo com o contexto do tratamento”, isto é, após
escolhida a razão do tratamento de dados pessoais, as informações que eu seleciono
devem ser compatíveis com a finalidade.
31
No registro que estamos estudando (emissão de folha de
pagamento) são dados adequados: nome, documento de
identificação, departamento, salário, assinatura e eventuais
descontos realizados durante o mês trabalhado, sendo todos os
dados referentes a um colaborador.
32
2 para cumprimento
regulatória;
de uma obrigação legal ou
Dessa forma, se não há mais razões para que os dados estejam circulando dentro da
empresa, eles devem ser eliminados. Em outras palavras, se a organização percebe
que a finalidade daquela atividade foi cumprida e não há nenhuma outra finalidade,
o tratamento perde a razão de existir. Manter esses dados inúteis para a empresa
representa apenas risco, sem nenhum benefício.
33
Essa é só a primeira etapa, que contempla as Informações Gerais, para que
tenhamos o registro completo de todos os dados dentro da nossa empresa. Assim,
sugerimos ter nesta primeira etapa:
Somente essas informações não são suficientes para um mapeamento completo. Por
isso, na próxima unidade vamos ver outros pontos importantes a serem
considerados no data mapping.
34
03
Mapeamento de Dados –
Parte 2
35
Olá, cursando!
Agora que você já sabe o que é um dado pessoal e tratamento, vamos iniciar nosso
estudo a respeito das categorias de dados pessoais e apresentar a estrela da LGPD: o
titular de dados. Aqui, vamos dar início a etapa 2: dados tratados.
Para que possamos continuar realizando o Data Mapping dos processos identificados,
é crucial saber diferenciar os diversos tipos de dados pessoais que circulam dentro
da empresa para que seja feita uma avaliação correta dos riscos, pois cada tipo de
dado pessoal pode gerar diferentes riscos para a empresa.
O titular de dados pessoais é a razão de ser da LGPD, uma vez que sua maior
preocupação é proteger os direitos fundamentais de liberdade, de privacidade e o
livre desenvolvimento da personalidade da pessoa natural.
36
Fonte: Imagem produzida pelos próprios autores
37
representantes, funcionários e clientes da empresa são protegidos pela
LGPD.
Agora, você já está preparado para entender que um dado deixa de ser pessoal se ele
for anônimo, isto é, quando for incapaz de identificar uma pessoa específica. A
anonimização é o processo em que o titular deixa de estar vinculado a um dado. Em
outras palavras, com essa informação é impossível identificar alguém e, por isso, não
é uma preocupação da LGPD, conforme dito no artigo 12, caput, da lei (BRASIL, 2018).
38
Para entender melhor e mais profundamente os conceitos de
anonimização e dado anonimizado, indicamos o artigo do Professor
Bruno Bioni, intitulado "Compreendendo o conceito de anonimização e
dado anonimizado” e publicado pela Escola Paulista da Magistratura:
Dessa forma, precisamos estar cientes não apenas de quais dados pessoais circulam
em nossa organização, mas à qual categoria eles pertencem, pois somente assim
poderemos saber o quão grave um possível incidente pode ser ou qual o nível de
proteção devemos dispensar a determinado processo – isso porque o investimento
(financeiro, tecnológico e até humano) e cuidado para proteger um simples
formulário não deve ser, em tese, o mesmo que um prontuário médico exige.
Além de importante, diferenciar esses tipos de dados pessoais não é difícil. Assim, os
dados pessoais podem ser categorizados como sensíveis, financeiros,
comportamentais, simples e de menores. Vamos a eles:
39
Dados Pessoais Sensíveis
O dado pessoal sensível refere-se a informações que revelem a origem racial ou
étnica, convicção religiosa, opinião política, filiação à sindicato ou à organização de
caráter religioso, filosófico ou político, referente à saúde ou à vida sexual e dado
genético ou biométrico quando vinculado a uma pessoa física (BRASIL, 2018).
A LGPD traz esses dados como sensíveis porque são delicados e, caso expostos ou
acessados por terceiros que não tenham autorização, podem gerar
constrangimentos ou discriminação aos seus titulares. É importante dizer que apenas
os dados que trouxemos são sensíveis, pois foram selecionados cuidadosamente
pelo legislador e, em regra, nenhum outro poderá ser adicionado a essa lista.
40
E a tatuagem, por exemplo, é um dado sensível?
Esteja atento para que os dados selecionados sejam sempre relacionados a uma
pessoa física para serem considerados dados pessoais, ou seja, não confunda
eventuais dados financeiros exclusivamente relacionados à organização, sem vínculo
41
com pessoas físicas, com dados pessoais. Dessa forma, o faturamento de uma
empresa, as receitas e despesas, em tese, não são dados que precisam ser
mapeados.
Dados comportamentais
Sugere-se que os dados comportamentais também sejam categorizados, pois
revelam um certo comportamento específico do titular e são produzidos pelos
próprios titulares de dados. Em geral, esses dados são utilizados para entender quem
é o titular de dados, quais suas preferências, gostos e atitudes recorrentes que
podem ajudar a empresa a fornecer melhores experiências aos seus clientes, por
exemplo.
42
A própria LGPD reconhece dados comportamentais como pessoais, pois no artigo 12,
parágrafo segundo, é expresso que “Poderão ser igualmente considerados como
dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil
comportamental de determinada pessoa natural, se identificada” (BRASIL, 2018).
Agora, você está apto a entender que se a uma empresa, a XYZ, por exemplo, trata
apenas dados simples de seus clientes, enquanto a empresa 123, em contrapartida,
trata dados pessoais sensíveis e comportamentais, não é difícil concluir que é mais
arriscado trabalhar na empresa 123, pois os dados tratados por ela possuem um
risco maior e, em caso de incidente, o possível dano gerado ao titular de dados
também será maior.
43
infanto-juvenil não tem discernimento suficiente para entender a complexidade de
um tratamento de dados, a LGPD confere uma proteção ainda mais forte a esses
titulares.
E mesmo que tais informações sejam claras, nas ocasiões em que forem abusivas,
será que essa criança deixaria de ter acesso ao seu jogo porque sua foto pode ser
enviada para outro país? Possivelmente, essa criança nem vai ler esse documento.
A verdade é que hoje as crianças e adolescentes têm acesso, cada vez mais cedo, à
internet e a todas as possibilidades que o mundo virtual oferece. Todavia, essa
geração tem sido observada de perto e todas suas informações e comportamentos
recorrentes vêm sendo registrados, mas não se sabe ao certo por quem, quanto
disso tem sido compartilhado e o quanto pode impactar na formação desses
menores (Borelli, 2020, p.180). Justamente por isso, a LGPD trouxe que o tratamento
de dados pessoais de menores pode ser realizado, mas sempre buscando o melhor
interesse desses menores (BRASIL, 2018).
Assim, o artigo 14, parágrafo primeiro, diz que “O tratamento de dados pessoais de
crianças deverá ser realizado com o consentimento específico e em destaque dado
por pelo menos um dos pais ou pelo responsável legal” (BRASIL, 2018).
44
A preocupação com os dados pessoais de crianças e adolescentes não é
apenas uma preocupação brasileira. A Autoridade de Proteção de Dados
holandesa (CBP) multou em quase 900.000 dólares a rede social TikTok,
febre entre o público infanto-juvenil. Segundo a Autoridade, os termos de
uso da plataforma estavam em inglês, o que dificultava a transparência
com aqueles que faziam o download do aplicativo. Em outras palavras, os
usuários não tinham um conhecimento facilitado sobre como seus dados
seriam tratados caso fizessem uso da rede social.
45
Fonte: Imagem produzida pelos próprios autores
ii. quais dados são coletados no processo em análise: um dos quesitos mais
importantes é saber quais serão os dados utilizados no registro analisado, pois assim,
começaremos a ter uma exata noção de quais dados circulam dentro de nossa
empresa. Seguindo o exemplo da folha de pagamento, posso coletar: nome, cargo,
salário e assinatura do colaborador;
O DPOnet otimizou a etapa de coleta de dados, a fim de que toda organização possa
ter um mapeamento mais fácil e dinâmico. Assim, para etapa de coleta de dados
temos:
46
Atente-se aos documentos que possuem mais de um
titular para cadastrar todos os dados com os
respectivos titulares. Em um atestado médico, por
exemplo, teremos os dados do paciente (nome, CPF e
dados de saúde) e também do médico (assinatura,
nome e CRM).
Por fim, é importante ficar claro que você não deve se preocupar com o número de
processos ou a quem eles se referem especificamente. Em outras palavras, no caso
do registro da folha de pagamento, o setor de Recursos Humanos faz esse processo
inúmeras vezes, colocando os dados que correspondem a cada um dos funcionários.
Ao DPO não interessa saber quanto o colaborador João ganha.
47
Para fins de Data Mapping, é preciso registrar a atividade uma única vez, o tipo de
titular envolvido e quais dados, e não é necessário apurar de forma específica: João
ganha R$ 10.000,00 (dez mil reais); Maria recebe R$ 12.000,00 (doze mil reais), pois
essas informações devem ser sigilosas e restritas aos setores que participam da
emissão de folha de pagamento.
Chegamos ao final da etapa 2, e agora você já sabe quais dados são tratados. Até a
próxima!
48
04
Então, quando falamos em “ciclo de vida dos dados pessoais”, nos referimos a tudo
que envolve as informações obtidas por uma organização, desde a sua coleta até a
sua devida eliminação, ou seja, o caminho que o dado percorre desde o momento
em que ele entra na organização até o momento em que sai.
Quinta fase: eliminação – qualquer operação que visa apagar, descartar ou eliminar
os dados pessoais.
50
A seguir, veja uma tabela que relaciona exatamente o que foi falado até aqui: as
operações de tratamento com as fases do ciclo de vida de dados pessoais.
51
DADOS PESSOAIS
FASE DO CICLO DE
OPERAÇÕES DE TRATAMENTO – LGPD, ART. 5º, X
TRATAMENTO
Eliminação Eliminação
Fonte: Adaptado de Guia de Boas Práticas da Lei Geral de Proteção de Dados (LGPD)
(2021, p. 42).
52
A base de dados nada mais é do que o conjunto de dados pessoais
coletados e armazenados pela empresa. Os documentos são as unidades
de registro de informação, podendo ser físicos ou eletrônicos. O
equipamento é o objeto necessário para o exercício de uma atividade
(por exemplo: computador, impressora). Já o local físico refere-se ao
ambiente no qual pode haver a existência de informações pessoais (por
exemplo: um arquivo, uma sala, uma mesa). A pessoa é qualquer
indivíduo que executa alguma atividade de tratamento de dados pessoais.
O sistema refere-se a qualquer software que esteja envolvido com as
fases do ciclo de vida do tratamento de dados pessoais. Por fim, a
unidade organizacional refere-se aos órgãos e entidades da
Administração Pública.
53
Você sabia que a operação de tratamento denominada
como “acesso” está presente em todas as fases do ciclo
de vida dos dados pessoais? De algum modo,
precisamos realizar o acesso ao dado pessoal para
efetuar sua coleta, retenção, processamento,
compartilhamento ou eliminação. Quer um exemplo?
Se um colaborador de outro departamento te ligar
pedindo para que você consulte a agenda de telefones
dos médicos da empresa, o simples acesso a essa
agenda já é um tratamento de dados pessoais, assim
como o armazenamento dessa agenda e o
compartilhamento do número de telefone desse
médico para o colaborador solicitante.
O princípio da transparência, previsto no art. 6º, inciso VI, garante aos titulares de
dados informações claras, precisas e facilmente acessíveis sobre a realização do
tratamento de seus dados pessoais. Em outras palavras, o titular tem o direito de
conhecer a finalidade da coleta de seus dados, os possíveis compartilhamentos que
serão realizados, bem como o ciclo de vida de suas informações dentro da
organização.
54
adotar meios que garantam a segurança desses dados pessoais, por exemplo: o
sistema que armazena dados pessoais é seguro se o arquivo utilizado para
armazenar informações é acessado somente por pessoas autorizadas?
55
Tela da terceira etapa do mapeamento de dados pessoais da plataforma DPOnet
56
Recursos Humanos, ou seja, interno.
Como os dados são dispostos: o cliente deve descrever o que é feito com o registro
após o término do tempo de retenção, por exemplo: se a organização irá destruir,
deletar, enviar para terceiros ou, se não há descarte. Assim como na unidade de
tempo, considera-se que o registro deve ser mantido na organização enquanto o
contrato de trabalho for vigente, ou pelo prazo prescricional em que o colaborador
possa acionar a empresa judicialmente, reclamando seus ganhos mensais.
Forma de recuperação: aqui, o cliente nos informa como localiza o registro dentro
da organização, isto é, quando é necessário encontrá-lo, após seu armazenamento,
qual a forma que o colaborador utilizará. Por exemplo: nome do colaborador, mês.
57
Compartilhamento de Dados
Pessoais
Como visto no tópico anterior, tratamento é toda operação realizada com dados
pessoais. Dentre elas, encontramos uma das atividades que merece maior atenção
no tocante à adequação da Lei Geral de Proteção de Dados nas organizações: o
compartilhamento de dados, que corresponde à toda comunicação, transmissão ou
transferência de informações pessoais.
58
Vale dizer que o compartilhamento de dados deverá ser
feito em razão de uma finalidade, com propósitos
necessários e claramente explicados ao titular de
dados, permitindo o livre acesso aos mesmos sobre a
forma e duração do tratamento, garantindo a
segurança e cabendo às empresas a responsabilização
e a prestação de contas.
O primeiro é o princípio da segurança, previsto no art. 6º, inciso VII, que garante a
utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais
de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou difusão. Por exemplo: agora que a Lei Geral de Proteção
de Dados está valendo, os colaboradores das empresas recebem orientações no
sentido de não permitir que terceiros não autorizados acessem documentos que
contenham dados pessoais, não compartilhem senhas, tomem cuidado ao enviar um
e-mail contendo informações pessoais ao destinatário errado e não forneçam
informações pessoais por telefone sem ter a certeza de que está falando com o
titular detentor destas.
59
Você já ouviu falar em phishing? Trata-se de um dos crimes virtuais mais
conhecidos, por meio do qual o cibercriminoso “pesca” as informações do
usuário-vítima através de links falsos, porém, muito atrativos, como
propagandas de lojas famosas informando o fornecimento de brindes
gratuitos. Para ganhar, o usuário precisa preencher um formulário e, ao
final, descobre que não era verdade. Contudo, só percebeu isso após
fornecer seus dados pessoais.
Por exemplo: você, depois de conhecer seus direitos como titular de dados, ficou
curioso para saber como a clínica na qual você costuma realizar seus exames de
rotina armazena e compartilha seus dados pessoais, de modo que espera que todo o
cuidado seja tomado para que terceiros não autorizados tenham acesso a essas
informações.
Agora que a lei passou a valer, os estabelecimentos têm o dever de prestar contas
relacionadas a esse tipo de informação, desde que solicitadas pelo titular, ou pela
Autoridade Nacional de Proteção de Dados (ANPD), que também será abordada mais
adiante.
60
qual o país de origem seja membro. O art. 33, da Lei Geral de Proteção de Dados,
estabelece as hipóteses que permitem a transferência internacional de dados:
b) cláusulas-padrão contratuais;
61
Se você está no Brasil e encaminha um e-mail para um
indivíduo localizado na Inglaterra, contendo documentos com
dados de candidatos à determinada vaga, esta operação
caracteriza-se como uma transferência internacional de dados.
Mais exemplos como este disponíveis no link:
62
Compartilhamento de Dados no DPOnet
Agora que passamos pelos conceitos legais e alguns exemplos práticos sobre a
transferência de dados pessoais, que tal continuarmos a mapear nosso registro de
folha de pagamento? A próxima etapa refere-se justamente ao compartilhamento
de dados pessoais.
63
Você sabia que quando compartilhamos informações via e-mail ou
WhatsApp, por exemplo, além do compartilhamento feito com o
destinatário da mensagem, também existe um compartilhamento com a
própria ferramenta utilizada? Ou seja, se você envia um documento
contendo dados pessoais para um colaborador de outro setor por
WhatsApp, existem dois compartilhamentos – um compartilhamento
interno com o colaborador e um compartilhamento externo com o
provedor de WhatsApp. O mesmo ocorrerá caso os dados sejam
compartilhados por meio de um sistema, e-mail, Skype, Facebook, site.
64
3 Como o dado é compartilhado? E-mail.
65
Tela da quarta etapa do mapeamento de dados pessoais da plataforma DPOnet
66
Todos os compartilhamentos realizados com o registro deverão ser listados nesta
etapa. Assim, é muito mais fácil visualizar as finalidades e necessidades de cada um
deles. Por exemplo: se é uma determinação legal, se corresponde à rotina interna da
empresa.
Viu como é simples trabalhar em uma plataforma desenvolvida com enorme atenção
às exigências da lei? Nosso objetivo é facilitar, cada vez mais, o entendimento sobre a
importância dessa nova cultura de proteção de dados. E saiba que estamos apenas
começando, pois ainda temos muitos assuntos interessantes para conversar. Até a
próxima aula!
67
05
Princípio da
Necessidade/Minimização
Previsto no art. 6º, inciso III, o princípio da necessidade (ou minimização) garante a
limitação do tratamento ao mínimo necessário para a realização de suas finalidades,
com abrangência dos dados pertinentes, proporcionais e não excessivos em relação
às finalidades do tratamento de dados. Em outras palavras, significa dizer que os
dados pessoais serão minimizados, ou seja, só serão utilizados os dados
extremamente necessários para que o objetivo da finalidade seja alcançado,
evitando, assim, que o titular seja exposto de maneira inconveniente.
69
Vamos analisar um exemplo prático: você ficou sabendo que uma empresa abriu
uma vaga de emprego que se encaixa no seu perfil e, então, se dirigiu até o local para
entregar seu currículo. Ao ser atendido pela secretária responsável pelo recolhimento
desse documento, você foi questionado acerca de seu estado de saúde, se possuía
alguma doença cardiorrespiratória, etc. Se a finalidade do tratamento de dados, até
então, é apenas a coleta dos currículos dos candidatos para futura seleção a
entrevistas, qual seria a finalidade de coleta de seus dados sensíveis referentes à
saúde? Você se sentiria confortável em fornecer essa informação sem saber se isso
implicaria na eliminação do seu currículo ao preenchimento da vaga?
70
de entrega da folha de pagamento, o colaborador responsável utiliza apenas alguns
desses dados. Dessa forma, a coleta dos demais dados torna-se desnecessária.
71
Tela da quinta etapa do mapeamento de dados pessoais da plataforma DPOnet
72
O RMC de necessidade e proporcionalidade tem por objetivo a conclusão da
avaliação dos dados tratados, compartilhamentos e formas de proteção que
integram o processo. Assim como menciona o princípio da necessidade, quanto
menos dados tratados, compartilhamentos e formas de proteção utilizadas, menor
será o risco aos titulares de dados.
73
06
Mapeamento de Dados –
Parte 5
74
Bases Legais – Parte 1 -
Bases Legais de Tratamento de
Dados
O início dos estudos referente às bases legais de tratamento recomenda uma
abordagem sobre o conceito de base legal e em que situações podem ser aplicadas, a
depender da natureza do dado tratado, seja simples ou sensível.
Assim, temos as seguintes bases legais e a aplicação para dados simples ou sensíveis:
75
Fonte: Produzida Pelos Autores
76
Para a adequação à base legal, é necessário o entendimento no sentido de que se faz
necessária o enquadramento em ao menos uma das hipóteses, o que não exclui a
possibilidade de que para uma mesma atividade possa haver mais de uma base legal
que o autorize.
Consentimento
Seguindo a ordem trazida pela lei, estudaremos aqui o consentimento, que está
assim regulamentado:
Apesar de a lei trazer como o primeiro indicado nos incisos o consentimento, este
não deve ser o primeiro a ser utilizado para enquadrar a atividade ou tratamento
mapeados à hipótese legal. Há debate intenso a respeito e entendimento no sentido
de que é frágil a utilização dessa base, justamente pela possibilidade de revogação a
qualquer tempo.
Segundo o próprio art. 5º, XII da LGPR, consentimento nada mais é do que
manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada, ou seja, os
titulares devem ter a possibilidade de escolher livremente quais dados serão tratados
em cada operação sem a mínima “pressão” para tal consentimento, sob pena de
nulidade do mesmo.
77
Ainda sobre a definição legal, o consentimento deve ser informado na medida em
que o titular do dado deve ser amplamente comunicado sobre o ciclo de vida do
tratamento de seus dados pessoais, cumprindo assim o Princípio da Transparência já
estudado. Para se alcançar o objetivo previsto na norma, a informação deve abranger
a indicação sobre, por exemplo, a finalidade, forma e duração do tratamento,
identificação do controlador, responsabilidades e direitos, dentre outros.
A LGPD traz ainda regras sobre o consentimento no sentido de que caso seja
necessário o controlador comunicar ou compartilhar dados pessoais com outros
controladores, ele deve obter um consentimento específico do titular para esse fim.
78
Qualquer alteração de informação referente à finalidade específica do
tratamento; forma e duração do tratamento; identificação do controlador;
informações acerca do uso compartilhado de dados pelo controlador e a
finalidade deverão ser informadas ao titular pelo controlador, podendo o
titular revogar o consentimento caso discorde da alteração. Exemplo: será
considerado nulo caso as informações fornecidas ao titular tenham
conteúdo enganoso ou abusivo ou não tenham sido apresentadas
previamente com transparência, de forma clara e inequívoca.
79
Obrigação Legal
A base legal a ser abordada refere-se à obrigação legal ou normativa que também é
de aplicação comum para o tratamento de dados simples e sensíveis.
É importante observar que o tratamento de dados pessoais não acontece por mera
liberalidade ou vontade do agente de tratamento, mas em decorrência de uma
obrigação prevista em lei. A base legal de cumprimento de obrigação legal ou
regulatória possibilita que a LGPD não entre em conflito com outras legislações
vigentes no Brasil, ou seja, essa hipótese de tratamento de dados se concretiza por
força de lei anterior ou para garantir a ordem e a segurança social.
Com relação ao tratamento de dados pessoais sensíveis, a Lei prevê em seu art. 11,
inciso II, alínea “a”, que o mesmo poderá ocorrer sem o fornecimento de
consentimento do titular, na hipótese em que for indispensável para o cumprimento
de obrigação legal ou regulatória.
80
Assim, é necessário que haja alguma obrigação legal, seja por força de lei
complementar, lei ordinária, lei delegada, lei, medida provisória, decreto,
regulamento, regimento, resolução ou qualquer ato normativo que obrigue o agente
de tratamento realizar aquele tratamento.
81
Exemplo de enquadramento no DPOnet:
Políticas Públicas
A próxima hipótese de tratamento a ser abordada neste curso é também aplicável ao
tratamento de dados pessoais simples e sensíveis é a prevista no III do art. 7º e 11, II,
“b”, qual seja para aplicação de políticas públicas.
82
Utilizada para dados sensíveis e para dados simples
A referida base legal aplica-se apenas à Administração Pública porque, via de regra, é
ela que as desenvolve e as aplica.
83
O uso ou tratamento compartilhado mencionados no texto de lei é conceituado
como a comunicação, difusão, transferência internacional, interconexão de dados
pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e
entidades públicos no cumprimento de suas competências legais, ou entre esses e
entes privados, reciprocamente, com autorização específica, para uma ou mais
modalidades de tratamento permitidas por esses entes públicos, ou entre entes
privados.
Ademais, para o tratamento de dados pelo poder público considerando a base legal
estudada, destaca-se que deverá ter como norte regras como manter a finalidade
pública e persecução do interesse público com o objetivo de cumprir as atribuições
impostas pela lei na execução das políticas abordadas.
84
O tratamento de dados pessoais pelo poder público tem como
pressupostos o atendimento de uma finalidade pública, a busca do
interesse público e a execução das competências legais e cumprimento
das atribuições do ente referido, conforme preceitua o art. 23 da LGPD.
Ó 85
Estudo por Órgãos de Pesquisa
Vamos estudar agora a base legal que permite o tratamento de dados para a
realização de estudos por órgãos de pesquisa que, desta forma, aplica-se tanto para
enquadramento referente a dados simples, quanto para dados sensíveis.
O conceito é trazido na própria LGPD e traz diversos requisitos que precisam ser
preenchidos para que seja reconhecido como tal. Dessa forma e apenas assim, a
entidade poderá, através da utilização de dados pessoais, promover ações de caráter
histórico, tecnológico ou estatístico.
86
Sobre o tema, existe previsão no artigo 12 e seguintes da LGPD quanto à abordagem
e detalhamento sobre a segurança e modos de anonimização. Nesse sentido, os
dados anonimizados não serão considerados dados pessoais para os fins desta Lei,
salvo quando o processo de anonimização ao qual foram submetidos for revertido,
utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder
ser revertido.
87
Quando da realização de estudos em saúde pública, os dados pessoais
são tratados exclusivamente dentro do órgão e estritamente para a
finalidade de realização de estudos e pesquisas, e mantidos em ambiente
controlado e seguro, e incluem, sempre que possível, a anonimização ou
pseudonimização dos dados.
Execução de Contrato
Com intuito de preservar as disposições expressas nas relações contratuais e, dessa
forma, garantir a segurança jurídica dos mesmos, a LGPD traz como base legal as
obrigações contratuais. Neste caso, porém, chamamos a atenção para o fato de que a
referida hipótese de tratamento se aplica apenas a atividades que envolvam dados
pessoais simples e não pode, por exclusão, sustentar atividades que envolvam dados
pessoais sensíveis.
88
Trata-se aqui de situações em que determinados dados pessoais precisam,
necessariamente, ser tratados para que se atinja o resultado perseguido pelas partes
envolvidas em relação contratada, na medida em que o titular solicite e seja parte
integrante da relação.
Dúvidas podem surgir com relação ao consentimento. Neste caso, seria implícito,
desde que os dados utilizados sejam necessários e úteis para cumprir o objeto
contratual.
Um dos pontos principais da execução de contrato, é que o titular dos dados não
poderá revogar o seu consentimento a qualquer momento, uma vez que a outra
parte estará resguardada pela obrigatoriedade contratual, bem como pela permissão
da LGPD para manter os dados fornecidos pelo titular, no mínimo, enquanto durar a
execução do contrato.
89
As hipóteses legais podem existir por si só ou podem coexistir, a
depender do caso concreto. Assim, casos em que uma organização (como
uma operadora de plano de saúde) possui contrato com seus
beneficiários e, consequentemente, obrigações legais advindas desse
contrato, você deverá enquadrar tanto em Execução de Contrato quanto
em Cumprimento de Obrigação legal.
Registro: Férias
90
07
Mapeamento de Dados –
Parte 6
91
Bases Legais – Parte 2 - Exercício
Regular do Direito
Utilizada para dados sensíveis e para dados simples
Sendo assim, é pacífico que, ao tratar de situações que possam servir como
elementos para o exercício regular do direito em demandas em geral, o tratamento
de dados poderá ocorrer desde que utilizados para essa exclusiva finalidade e
enquanto houver necessidade.
92
Essa base legal esclarece que a proteção aos dados pessoais não
compromete o direito que as partes têm de produzir provas umas
contra as outras, ainda que estas se refiram a dados pessoais do
adversário. Em resumo, significa que não cabe oposição ao tratamento
de dados pessoais no contexto dos processos judiciais, administrativos
e arbitrais. Assim, a previsão do tratamento de dados para exercício
regular de direito, possui o objetivo de proporcionar o contraditório, a
ampla defesa e o devido processo legal.
93
Exemplo de enquadramento no DPOnet:
94
Proteção da Vida
Para entender a base legal proteção da vida, vejamos a prescrição legal abaixo:
Essa hipótese legal, a base de proteção da vida está relacionada às questões graves
e que ponham em risco a vida ou a integridade física do titular de dados, logo,
diante dessa condição (risco de vida e integridade física), essa base legal somente
será usada em situações em que tal fato for constatado.
95
Essa base legal deve ser utilizada quando for impossível coletar o
consentimento ou utilizar qualquer outra hipótese legal para justificar o
tratamento de dados, que, na maioria das vezes, precisará ser realizado
com agilidade e até mesmo urgência, pois a intenção é a proteger a
vida ou à segurança física do titular, fazendo com que assim os agentes
de tratamento possam tratar os dados e prestar socorro ao titular dos
dados, sem impedimentos causados pela LGPD, visto que o direito à
vida deve ser preponderante à privacidade.
96
Exemplo de enquadramento no DPOnet:
Nos casos vistos acima, nos elementos Para Gabaritar e Abordagem Prática, em
ambos os casos, a empresa coleta o tipo sanguíneo do colaborador e também
deixa exposto no crachá. Indagados sobre o porquê de tal coleta e exibição, do
dado sensível, eles nos informaram que era uma prevenção em caso de algum
acidente grave com o colaborador. Diante dessa informação, o DPOnet optou por
enquadrar tal atividade na base legal de proteção à vida.
97
Tutela da Saúde
Agora, vamos estudar e compreender uma das bases legais mais utilizadas no
segmento de saúde, seja para dados simples quanto para dados sensíveis: a
tutela da saúde.
98
natureza. São considerados autoridades sanitárias as entidades membros do
SNVS (Sistema Nacional de Vigilância Sanitária), que são: ANVISA, LACENS, FIOCRUZ
e INCQS, dentre outros.
Sendo assim, apenas profissionais dessas áreas poderão se valer dessa base legal
para o tratamento de dados pessoais, lembrando que com o objetivo específico de
tutela da saúde, sendo vedado qualquer outro uso que fuja dessas condições.
Exemplo: Um indivíduo está com febre e vai até o hospital. Chegando lá, passa pela
recepção e fornece dados pessoais (nome, endereço, RG, CPF, telefone, número da
carteirinha do plano de saúde e sintomas). Em seguida, recebe uma pulseira de
classificação de risco na cor verde (menos urgente). Ao passar pelo primeiro
atendimento, novamente confirma os dados coletados na recepção, bem como
explica, com mais detalhes, todos os sintomas. Em seguida, ao passar por
atendimento médico, faz um exame de sangue. Após a saída do resultado do
exame, recebe uma receita com os medicamentos que precisará tomar e um
atestado, para levar ao trabalho. Ao sair do hospital, passa na farmácia para
comprar a medicação. Finalizado o período de repouso do atestado, o apresenta no
departamento de Recursos Humanos de seu trabalho.
99
A recepcionista do hospital coletou dados pessoais e sensíveis do
paciente que iria passar por atendimento médico, com base na
execução de contratos (pessoais) e tutela da saúde (pessoais e
sensíveis);
A pulseira de classificação identifica o grau de risco e determina
um tempo máximo para atendimento ao paciente. Dessa forma,
também corresponde a um dado referente à saúde (sensível);
O enfermeiro responsável pelo primeiro atendimento confirmou
os dados anteriormente coletados pela recepcionista, além de
coletar, de forma mais específica, os dados referentes à saúde do
paciente, com base na execução de contratos (pessoais) e tutela
da saúde (pessoais e sensíveis);
O médico responsável pelo segundo atendimento examina o
paciente e solicita o exame de sangue, com base na tutela da
saúde (pessoais e sensíveis);
O resultado do exame analisado pelo médico também se refere
aos dados referentes à saúde do paciente;
O farmacêutico, ao ter acesso à receita médica,
consequentemente tem acesso aos dados referentes à saúde do
paciente, podendo até, caso tenha sido receitado um antibiótico,
efetuar a retenção de uma cópia da mesma no estabelecimento
(tutela da saúde e cumprimento de obrigação legal).
100
Exemplo de enquadramento no DPOnet
101
08
Mapeamento de Dados –
Parte 7
102
Bases Legais – Parte 3
Estamos chegando na reta final dos nossos estudos das bases legais, e como já
mencionado no início do curso, o art. 7º traz um total de dez bases legais, enquanto o
art. 11 prevê um total de oito bases legais, sendo que existe identidade em sete
delas. Até agora abordamos, dentre as três hipóteses que não se identificam,
somente a hipótese de execução de contrato, agora vamos entender as demais.
Legítimo Interesse
Ao tratarmos de legítimo interesse, precisamos estar cientes de que a LGPD foi
constituída tendo como base a necessidade de equilíbrio entre a proteção de dados
pessoais e o desenvolvimento econômico e inovação. Dessa forma, o legítimo
interesse surge como uma das hipóteses legais que visa equacionar os interesses do
controlador e os direitos do titular de dados. Assim, o controlador poderá, por
exemplo, utilizar os dados pessoais contidos nas suas Leads sem o necessário
consentimento dos titulares.
O legítimo interesse é uma base legal de aplicação mais genérica, o que permite que
seja utilizada em situações não previstas especificamente na LGPD e o diferencia das
demais bases legais que tratam de hipóteses mais específicas, tais como execução de
contrato e cumprimento de obrigação legal (art. 7º, II e V).
Conforme bem pontuado por Bioni (2021), essa base legal pode ser utilizada como
uma carta-coringa regulatória que pode ser utilizada para legitimar uma ampla
variedade de tratamentos de dados. Todavia, ela não deixa de ser considerada um
cheque em branco que pode levar os agentes de tratamento a utilizá-la de forma
indiscriminada. Portanto, o legítimo interesse deve ser utilizado com cautela.
103
Ressaltamos que essa hipótese legal somente poderá
ser utilizada com base no legítimo interesse do
controlador ou de terceiros, e somente poderá ser
utilizada quando tal interesse não se sobrepuser aos
direitos e as liberdades fundamentais dos titulares de
dados.
3
Proteção, em relação ao titular, do exercício regular de
seus direitos ou prestação de serviços que o beneficiem,
respeitadas as legítimas expectativas dele e os direitos e
liberdades fundamentais, nos termos desta Lei.
104
Nesse cenário, é imprescindível que haja uma avaliação se o legítimo interesse
cumpre os requisitos para que ele não seja usado indiscriminadamente, sem
qualquer critério ou explicação dos padrões utilizados.
Na Europa, esse teste de proporcionalidade foi uma orientação prévia da GDPR que
propôs um teste de ponderação conhecido como Legitimate Interest Assessment (LIA),
que é recomendado a todos os controladores que utilizam a base legal "legítimo
interesse” em suas operações de tratamento. Conforme afirma Bioni, “o fio condutor
de toda essa avaliação é balancear os direitos em jogo”, ou seja, de um lado o titular
de dados, e do outro quem faz o uso dessas informações.
105
Sendo assim, o teste de proporcionalidade é primordial para determinar se o
tratamento de dados com base nos interesses controlador estaria de acordo com as
expectativas razoáveis de privacidade do titular dos dados, isto é, se frustra ou não o
que é esperado por ele.
Para ilustrar como deve ser realizado o teste de proporcionalidade, abaixo seguem
dois modelos utilizados com recorrência e também citados em doutrinas.
I - Visão do Ico
O ICO (Information Commissioner's Office), a Autoridade de Proteção de Dados
britânica, estabeleceu três etapas de verificação para o uso do legítimo interesse, que
deverão ser registradas em um relatório de avaliação (LIA).
106
3. Balancing test: você precisa considerar o impacto sobre os interesses, direitos e
liberdades dos indivíduos e avaliar se isso se sobrepõe aos seus interesses legítimos.
1. Legitimidade:
2. Necessidade:
3. Balanceamento:
a. Base Legal: art. 6º, I, 7º, IX, e art. 10º, II, da LGPD
b. Requisitos: Após seguir as duas primeiras etapas, será necessário realizar um
balanceamento entre a legítima expectativa do controlador ou terceiro e os
Direitos e liberdades fundamentais do titular. Assim, não basta que apenas o
agente de tratamento obtenha vantagens com o tratamento de dados por
legítimo interesse; para o titular o tratamento também deve possuir alguma
107
valia, isto é, o titular também tem de estar interessado com essa atividade e
não haverá nenhum prejuízo aos seus direitos e liberdades legalmente
constituídos.
4. Salvaguardas:
108
Exemplo de enquadramento no DPOnet
Proteção ao Crédito
A base legal de proteção ao crédito justifica as atividades que tem por finalidade de
obter informações acerca da adimplência e inadimplência sobre determinado titular,
a fim de conceder ou não crédito a esse mesmo titular.
109
Nesse ponto, é importante observar a menção à legislação pertinente, a qual
contempla a Lei Do Cadastro Positivo (Lei 12.414, de 9 de junho de 2021), bem como
ao Código de Proteção de Defesa do Consumidor (Lei 8.078, de 11 de setembro de
1990), cujas disposições também precisam ser observadas quando houver o uso de
tal base legal para fundamentar o tratamento de dados.
110
111
09
Isso é considerado bom, mas se dentro desse processo são tratados somente
dados simples, o risco desse incidente é baixo, ou seja, o seu impacto é baixo, ao
contrário se estivéssemos tratando, nesse caso, de dados sensíveis ou dados do
menor.
Dito isso, conseguimos entender que a matriz de risco consiste em uma tabela
orientada por duas dimensões: probabilidade e o impacto. Por meio dessas duas
dimensões, é possível calcular e visualizar a classificação do risco
(baixo/médio/alto/severo), que consiste na avaliação do impacto versus a
probabilidade.
113
Matriz de risco
114
10
Segurança da Informação –
Parte 1
115
Introdução à Segurança da
Informação
No contexto atual, a segurança da informação é uma preocupação central em todos
negócios, independentemente do tamanho da empresa ou da área de atuação.
Confidencialidade
A confidencialidade é o primeiro pilar da segurança da informação, pois garante que
os dados estejam acessíveis a determinados usuários e protegidos contra pessoas
não autorizadas. É um componente essencial da privacidade, que se aplica
especialmente a dados pessoais, sensíveis, financeiros, psicográficos e outras
informações sigilosas.
Para garantir esse pilar nas suas políticas de segurança de TI, você deve incluir
medidas de proteção tais como controle de acesso, criptografia e senhas fortes, entre
outras estratégias. Inclusive, a confidencialidade dos dados pessoais de usuários é
um dos requisitos centrais de conformidade com a LGPD (Lei Geral de Proteção de
Dados Pessoais).
116
Integridade
A integridade na segurança da informação diz respeito à preservação, precisão,
consistência e confiabilidade dos dados durante todo o seu ciclo de vida.
Disponibilidade
A disponibilidade está relacionada ao tempo e à acessibilidade que se têm dos dados
e sistemas da empresa, ou seja, se eles podem ser consultados a qualquer momento
pelos colaboradores, clientes e interessados autorizados. Também, na maioria das
vezes, está relacionada a falhas de sistemas, mensuração errada da capacidade de
atendimento da infraestrutura de TI e ciberataques.
Para uma empresa garantir estes pilares, seguem-se as normas da série ISO 27000,
que descrevem a concepção de um Sistema de Gestão da Segurança da Informação
que se apoia nas melhores práticas internacionais.
117
O que é a série ISO 27000
Aqui, é importante estudar a série de normas 27000, criada pela International
Organization for Standardization (ISO) e a International Electrotechnical Commission
(IEC). De maneira abrangente, o conjunto de orientações engloba todas as diretrizes
para a implementação da segurança da informação. Flexível, a norma internacional
pode ser empregada por organizações de todos os portes.
118
Os questionários de (i) Governança e Cultura e (ii) Infraestrutura e
Tecnologia do DPOnet contemplam os requisitos previstos na ISO 27001 e
ISO 27002.
119
e recursos financeiros, além de danos à reputação da marca e riscos à própria
sobrevivência das empresas. A seguir, os principais benefícios da aplicação das
normas:
120
As normas da família ISO 27000 são atualizadas para acompanhar os
novos cenários dos negócios e atos regulatórios. Com o advento das leis
de privacidade de proteção de dados no mundo, esse processo foi
acelerado não apenas quanto à atualização, mas também quanto à
criação de novas normas – como é o caso da ISO 27701, que define
requisitos para tratar do pilar da privacidade.
121
2 Organização da Segurança da Informação;
4 Gestão de ativos;
5 Controle de Acesso; e
122
6 Criptografia.
123
1. Você pode personalizar a PSI com uma mensagem do
Presidente/Diretor Geral da Empresa.
124
1. É comum em uma empresa as pessoas e setores
estarem associados a responsabilidades operacionais, e
você pode aproveitar essa relação para atribuir os
papéis relacionados à segurança da informação.
Seleção
Termos e condições de contratação
Responsabilidades da direção
Conscientização, educação e treinamento em segurança da
informação
Processo disciplinar
Responsabilidades pelo encerramento ou mudança da contratação
125
1. Com relação à LGPD, o processo de conscientização e
treinamento é um item muito importante.
126
1. Criar modelo de classificação e rotulação da
informação. Atribuir regras para seu uso e
compartilhamento é um controle importante e que
deve ser realizado.
127
1. Muitas empresas têm mecanismos de controle de
acesso, mas se encontram não revisados ou não
aplicados.
1
É importante o gerenciamento de chaves criptográficas
ao longo de todo o seu ciclo de vida, incluindo a geração,
armazenagem, arquivo, recuperação, distribuição,
retirada e destruição das chaves.
128
3
Todas as chaves criptográficas sejam protegidas contra
modificação e perda. Adicionalmente, chaves secretas e
privadas necessitam de proteção contra o uso ou a
divulgação não autorizada.
129
11
Segurança da Informação
130
Principais Seções da NBR ISO/IEC
27002 (Seção 11 a 18)
Nesta aula, serão tratadas as seguintes seções da ISO 27002:
131
1. Perímetro de segurança física
8. Utilidades
9. Segurança do cabeamento
132
Seção 12: Segurança nas operações
Nesta seção, destaca-se a importância de garantir a operação (uso) segura e correta
dos recursos de processamento da informação, principalmente os seguintes
requisitos:
2. Gestão de mudanças
3. Gestão de capacidade
7. Registros de eventos
133
A segurança nas operações previne muitos incidentes de segurança da informação,
além de interrupção, mau funcionamento e inconsistências. Também auxilia no
mapeamento e restauração de incidentes de segurança da informação
1 Controles de redes
3 Segregação de redes
134
4 Políticas e procedimentos
informações
para transferência de
6 Mensagens eletrônicas
135
Acordos para transferência de informações e acordos de
confidencialidade e não divulgação devem ser incluídos em contratos e
termos. É importante fazer a revisão jurídica destes itens.
136
Atenção aos conceitos de Privacy by Design e Privacy by Default
relacionados à aquisição, desenvolvimento e manutenção de sistemas de
informação. Tanto para novos projetos quanto para os existentes, deve-se
aplicar a privacidade como padrão.
137
Seção 15: Relacionamento na cadeia de
suprimento
A seção 15 garante a proteção dos ativos da organização que são acessíveis pelos
fornecedores.
As informações podem ser colocadas em risco por fornecedores caso façam a gestão
da segurança da informação de forma inadequada. Convém que controles sejam
identificados e aplicados para administrar os acessos dos fornecedores aos recursos
de processamento da informação. Por exemplo: se existir uma necessidade especial
de confidencialidade da informação, acordos de não divulgação podem ser utilizados.
Outro exemplo são os riscos de proteção dos dados quando os acordos com
fornecedores envolvem a transferência ou o acesso à informação. A organização
precisa estar ciente de que as responsabilidades contratuais e legais para proteger a
informação permanecem com a organização. Seguem alguns controles de segurança
da informação para esta seção:
138
3 Cadeia de suprimento na tecnologia da comunicação e
informação
5 Gerenciamento
fornecedores
de mudanças para serviços com
139
Seção 16: Gestão de incidentes de segurança da
informação
Dispõe sobre a definição de procedimentos formais para a notificação de incidentes
de segurança da informação, assegurando que esses eventos sejam rapidamente
comunicados e corrigidos em tempo hábil. A seguir, os controles de segurança da
informação tratados nesta seção:
1. Responsabilidades e procedimentos
7. Coleta de evidências
140
Seção 17 – Aspectos da segurança da informação
na gestão da continuidade do negócio
Dentro do contexto da continuidade do negócio ou da recuperação de desastre, pode
ser necessário que procedimentos e processos específicos sejam definidos. Convém
que informações que sejam tratadas nestes processos e procedimentos ou em
sistemas de informação dedicados para apoiá-los sejam protegidas. A seguir, os
requisitos que compõem esta seção:
Seção 18 – Conformidade
Essa seção visa evitar a violação de quaisquer obrigações legais, estatutárias,
regulamentares ou contratuais relacionadas à segurança da informação e a
quaisquer requisitos de segurança. A seguir, os principais controles neste contexto:
141
1. Identificação da legislação aplicável e de requisitos contratuais
3. Proteção de registros
142
Governança Infraestrutura
Controles de segurança da informação
e Cultura e Tecnologia
Políticas de segurança de
5 x
informações
Organização da segurança da
6 x x
informação
8 Gestão de ativos x x
9 Controle de acesso x
10 Criptografia x
Aquisição, desenvolvimento e
14 x x
manutenção de sistemas
Relacionamento na cadeia de
15 x
suprimento
17 Aspectos da segurança da x x
143
informação na gestão da
continuidade do negócio
18 Conformidade x x
ISO 27701
A norma ISO 27001 – Sistema de Gestão de Segurança da Informação – é uma norma
para implementação de um sistema de gestão com foco em segurança da
informação, enquanto a norma ISO 27701 – Sistema de Gestão de Segurança Privada
– é uma extensão da norma 27001. Tem como objetivo adicionar novos controles no
sistema de gestão para garantir a total privacidade especificamente dos dados
pessoais.
Isso significa que, além dos controles previstos pelo Sistema de Gestão de Segurança
da Informação (SGSI), tais como a garantia da integridade, confidencialidade e
disponibilidade dos dados, para atender a norma ISO 27701, esse sistema de gestão
144
deve ser expandido para um “Privacy Information Management System” (PIMS), que é
um sistema de gestão preocupado também com a gestão da privacidade dos dados
pessoais.
145
12
146
Chegamos a uma parte muito importante da jornada LGPD: os Direitos dos
Titulares.
Além disso, os direitos dos titulares de dados estão totalmente atrelados aos
princípios dispostos no Art. 6 da LGPD, ficando evidente a relação com as normas de
proteção de dados pessoais com o fundamento da autodeterminação informativa.
Para quem deseja atuar como DPO, que é o responsável por intermediar a relação
entre o agente de tratamento e os titulares de dados, é imprescindível a
compreensão dos direitos dos titulares de dados. Por este motivo, passamos agora
para a abordagem de cada um deles.
147
Confirmação da Existência de
Tratamento
Trata-se do direito mais simples dentre aqueles contidos na LGPD. Aqui o titular
pode, a qualquer momento e mediante requisição, requerer ao controlador que
confirme a existência do tratamento dos seus dados pessoais, e o prazo para o envio
da resposta desta solicitação do titular é de 15 dias.
Por tal direito, o titular pode confirmar a existência do tratamento sem que precise
apresentar qualquer justificativa ao controlador, podendo utilizar-se, ainda, do Art. 9
da LGPD, que o titular de dados deve ser informado sobre o início do tratamento dos
dados ainda que não solicite tal informação, ou seja, o titular de dados deve ter
conhecimento sobre o tratamento tão logo operada a coleta de dados (MALDONADO,
2019, p. 221-222).
No entanto, existem casos em que a empresa de fato não é o agente que realizou o
tratamento de dados e isto pode confundir o titular de dados. Nestas situações, a
empresa por meio de seu DPO deverá comunicar que não é o agente de tratamento
dos dados e indicar, sempre que possível, quem é o agente responsável.
148
Uma empresa de produtos de limpeza realiza uma promoção colocando
um painel na gôndola do supermercado informando que o consumidor
pode se cadastrar acessando um QR code para receber descontos
especiais. Dias depois, um consumidor solicita ao supermercado a
confirmação do tratamento. Este deve informar que não é o agente, mas
indica a empresa de limpeza que coletou tais dados quando o titular se
cadastrou através do QR code.
Além disso, precisamos entender que mesmo antes de o titular exercer o direito de
acesso, é pressuposto a existência de tratamentos, razão pela qual referido direito
pode ser exercido e o titular tem o direito de acessar essas informações: "[...]
finalidades, categorias, destinatários, prazo de conservação, origem dos dados,
existência de decisões automatizadas, apenas para elencar algumas" (MALDONADO,
2019, p. 222).
149
Com relação tanto ao direito de confirmação da existência de
tratamento quanto do direito de acesso, o art. 19 da LGPD dispõe
sobre a forma por meio do qual tais direitos podem ser exercidos,
garantindo que após a requisição do titular, o controlador deverá
responder de forma simplificada e imediatamente caso se trate
de uma requisição simples ou no prazo de quinze dias a partir do
requerimento em situações de tratamento de maior complexidade
(BRASIL, 2018).
150
a) imediatamente, em formato simplificado, ou;
Neste exemplo, a empresa não pode se negar e muito menos cobrar por
esta resposta. São duas condutas irregulares com relação aos direitos dos
titulares. Muitas empresas podem querer ganhar dinheiro com isso, mas
é ilegal!
151
Correção de Dados Incompletos
O titular tem o direito de assegurar que seus dados pessoais estejam completos,
exatos e/ou atualizados. Assim, "[...] os dados devem ser atualizados por decorrência
de alteração de nome, endereço, estado civil, gênero, entre outros, desde que, por
óbvio, haja a devida e formal requisição do titular ao controlador"(MALDONADO,
2019, p. 224).
152
Dessa forma, o titular dos dados terá direito de obter do controlador, sem demora
injustificada, a retificação de dados pessoais incorretos que lhe digam respeito. Em
vista disso, é interessante que a empresa esteja preparada para responder a este
direito, de forma a não prejudicar ou burocratizar seu processo interno.
Anonimização, Bloqueio e
Eliminação
Anonimização
Falaremos agora de anonimização, bloqueio e eliminação de dados desnecessários,
excessivos ou tratados em desconformidade com a LGPD.
É justamente isso que prevê o artigo 12 da LGPD quando diz que “dados anonimizados
não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de
anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios
próprios, ou quando, com esforços razoáveis, puder ser revertido.”
153
que uma mera exclusão da coluna de algum dado em uma planilha de Excel.
Aplica-se a dados que são tratados sob consentimento ou não do titular desde que
sejam desnecessários, excessivos ou tratados em desconformidade.
Bloqueio
O bloqueio significa a suspensão temporária de qualquer operação de tratamento,
mediante guarda do dado pessoal ou do banco de dados. É o direito que tem o titular
de obter restrição quanto ao tratamento em situações específicas.
Esse direito não se confunde com o direito de apagar dados, que pressupõe a
completa eliminação dos dados quando há o requerimento do titular e quando não
existe base legal para a subsistência do tratamento.
154
Eliminação
Quando falamos em eliminação, existem duas possibilidades de solicitação, pelo
titular, da eliminação dos seus dados pessoais:
O motivo da coleta do dado pessoal deve ser compatível com o objetivo final do
tratamento, ou seja, não é possível coletar um dado pessoal para uma determinada
finalidade e aproveitá-lo para usar em outra, ainda que ambas tenham amparo legal,
conforme especificado no princípio da finalidade. De igual maneira, deve-se avaliar
quais dados são realmente imprescindíveis verificando-se a adequação ou
necessidade de tal coleta. Se verificado que determinado dado pessoal não é
necessário, mas ainda assim houver uma coleta recorrente pela empresa, isto pode
acarretar prejuízos futuros.
Conforme disposto na lei, para toda atividade realizada com dados pessoais é preciso
que exista uma base legal. E, nesse sentido, a LGPD traz dez bases legais, que
compõem um rol taxativo, ou seja, nenhuma outra hipótese além daquelas
expressamente descritas no texto da lei.
155
Consentimento é a manifestação livre, informada e inequívoca pela qual o
titular concorda com o tratamento de seus dados pessoais para uma
finalidade determinada.
No entanto, nestes casos em que o tratamento é realizado tendo como base legal o
consentimento, o titular tem o direito de solicitar que o tratamento cesse e que seus
dados pessoais sejam eliminados imediatamente.
156
Em certas hipóteses, o agente de tratamento deve conservar os dados e
não será possível a eliminação nos seguintes casos excepcionais contidos
na LGPD. São eles:
IV) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde
que anonimizados os dados.
Reiteramos que, ainda que não seja possível a eliminação dos dados pessoais nas
exceções trazidas pela lei, o controlador deve comunicar e justificar tal
impossibilidade ao titular.
157
Portabilidade dos Dados
O direito de ''portabilidade dos dados a outro fornecedor de serviço ou produto,
mediante requisição expressa, de acordo com a regulamentação da autoridade
nacional, observados os segredos comercial e industrial" se insere no inciso V do art.
18 da LGPD (BRASIL, 2018). Tal direito não é exigível caso já tenha ocorrido o
procedimento de anonimização desses dados, conforme o § 7° do art. 18 (BRASIL,
2018). Logo, "com a obrigatoriedade de atendimento ao direito de portabilidade,
permite-se ao titular dos dados encaminhá-los a outro controlador de maneira fácil e
estruturada'' (MALDONADO, 2019, p. 232).
Portanto, o titular tem o direito de obter junto ao controlador seus dados pessoais de
forma estruturada e de modo que possam ser transmitidos a outro controlador,
incluindo o histórico do uso de um determinado serviço. No entanto, o que a LGPD
garante ao titular é a transferência dos dados ao agente que indicar, sem que se
transfira o produto da atividade de tratamento operada pelo agente anterior.
158
Informações sobre
Compartilhamento de Dados
O titular poderá "solicitar informações das entidades públicas e privadas com as
quais o controlador realizou uso compartilhado de seus dados'' (BRASIL, 2018).
Desta forma, afirma Maldonado (2019, p. 233) que uma vez que a lei permite o uso
compartilhado de dados pessoais (em conformidade com as demais disposições da
LGPD), o legislador preocupou-se em assegurar ao titular a possibilidade de buscar
informações sobre entidades públicas e privadas com as quais o controlador realizou
o uso compartilhado de dados.
159
Após fazer o check-in on-line em seu restaurante favorito, o cliente
começou a receber informações sobre atrações turísticas na cidade e
resolveu solicitar ao restaurante informações sobre entidades que ele
compartilhou seus dados.
Entretanto, a postura que deve ser adotada pelo controlador, com base nos deveres
de transparência e de informação, é antecipar-se a informar, com clareza, se o titular
de dados poderá deixar de consentir ou não e o que decorrerá desse não
consentimento (MALDONADO, 2019, p. 234).
160
Um cliente ao acessar seu site é alertado sobre a coleta de dados via
cookie, e ele pode ou não aceitar, além de ser informado de limitações da
não aceitação.
ou
Revogação do Consentimento
Conforme já mencionado anteriormente, trata-se aqui, da possibilidade de o titular
de dados revogar o consentimento de modo a impedir, imediatamente, toda e
qualquer atividade de tratamento cuja base legal se restrinja ao consentimento.
161
O consentimento pode ser revogado a qualquer momento mediante manifestação
expressa do titular, por procedimento gratuito e facilitado.
162
Neste sentido, sabemos que será cada vez mais frequente o uso de tecnologias
envolvendo inteligência artificial na sociedade, momento em que a previsão legal da
possibilidade de revisão das decisões automatizadas foi uma opção muito acertada.
Vale mencionar outro aspecto importante, que é como realizar a revisão da decisão.
Ao contrário do que prevê o artigo 22 (2) do Regulamento Europeu (GDPR), a LGPD
não impõe, expressamente, a necessidade de que a revisão seja feita por meio de
intervenção humana. Contudo, a revisão por meio da intervenção humana talvez seja
essencial, neste sentido (NYBO, 2019) afirma:
Por isso a LGPD não vai afetar somente as empresas, pois também vai envolver
decisões e consequências críticas dos próprios titulares dos dados.
163
Quando houver segredo comercial e industrial, a
autoridade nacional poderá realizar auditoria para
verificação de aspectos discriminatórios em tratamento
automatizado de dados pessoais.
164
Contratos para o titular de dados – Contratos para o titular de dados
colaborador – clientes
Contrato de estágio
165
166
167
13
Agentes de Tratamento
168
Nesta aula, vamos conhecer os responsáveis pelo tratamento de dados: os agentes
de tratamento, e entender como essas figuras se comportam na prática é primordial
para que possamos compreender a dinâmica da LGPD.
Vamos conhecer, então, quem são as pessoas que têm acesso aos nossos dados e
como é a relação delas na prática.
Identificando os Agentes de
Tratamento
A LGPD traz as figuras dos chamados agentes de tratamento, isto é, pessoas
naturais ou jurídicas, de direito público ou privado que realizam o tratamento de
dados pessoais (BRASIL, 2018).
Controladores e Operadores
Segundo a LGPD, no artigo 5º, incisos VI e VII, o Controlador é a “pessoa natural ou
jurídica, de direito público ou privado, a quem competem as decisões referentes ao
tratamento de dados pessoais”; enquanto o Operador é a “pessoa natural ou jurídica,
de direito público ou privado, que realiza o tratamento de dados pessoais em nome
do controlador” (BRASIL, 2018).
Esse papel não é fixo, isto é, em uma determinada situação, o sujeito pode ser
controlador de dados, mas em outra atua como operador, pois esses papéis são
funcionais, isto é, dependem da função que cada sujeito exerce em determinado
contexto e cenário específico.
169
Link direto para download do guia orientativo da ANPD para Definições
dos Agentes de Tratamento de Dados Pessoais e do Encarregado:
170
funcionários, os servidores públicos ou as equipes de trabalho de uma organização,
já que atuam sob o poder diretivo do agente de tratamento” (ANPD, 2021, p. 5).
Logo, as pessoas naturais podem, sim, ser agentes de tratamento, mas desde que a
finalidade dessa atividade tenha propósitos econômicos. Uma vendedora informal de
doces, por exemplo, que armazena o contato de seus clientes em sua agenda
telefônica no celular é um agente de tratamento.
Assim, podemos afirmar que o tratamento não precisa ser feito diretamente pelo
controlador. O tratamento pode ser terceirizado, isto é, feito por um operador, mas
com as diretrizes do controlador. Isso quer dizer que nem todas as decisões serão
tomadas pelo controlador, mas somente as principais e mais relevantes. Assim,
algumas decisões de menor relevância poderão ficar a cargo do operador.
171
Portanto, conseguimos diferenciar quem é um
controlador de operador basicamente pelo poder de
decisão em relação aos dados que o controlador detém
e o operador não. Ao contrário, a ele só cabe respeitar e
seguir as orientações do controlador, sobretudo as
finalidades de tratamento delimitadas.
Nesse sentido, o operador só poderá agir nos limites impostos pelo controlador, isto
é, seguir as finalidades que o controlador impôs, além de se tratar os dados que o
controlador permitiu e durante o período estabelecido, não se esquecendo de outras
diretrizes que porventura forem expostas.
A seguir vamos ver alguns exemplos mais práticos que ajudam a identificar e
diferenciar essas duas figuras e, principalmente, qual a importância dessa
diferenciação:
172
A empresa de tecelagem TECER FIOS que contrata a empresa de
marketing SUCESSO NET para divulgar sua marca. Tentando humanizar a
TECER FIOS, a SUCESSO NA NET sugere que sejam divulgadas fotos dos
colaboradores e clientes da tecelagem em suas redes sociais. A direção da
TECER concorda com a sugestão e compartilha com o marketing o nome e
a foto dos funcionários e clientes. Nesse caso, a tecelagem será a
controladora de dados, sendo a ela que o titular confiou seus dados e, por
isso, ela deverá instruir a contratada/operadora (SUCESSO):
(i). o que ela deverá fazer com esses dados, como somente divulgar nas
redes sociais da TECER visando promover a marca, por exemplo;
Outros exemplos:
173
A empresa PINTURAS EXPRESS, prestadora de serviços de pintura em
prédios comerciais, contratou a corretora de seguros BEM SEGURO para
que ela realizasse o seguro de vida de todos os seus funcionários. Para
tanto, a BEM SEGURO precisará de alguns dados dos colaboradores que
serão segurados, bem como de seus familiares que serão os beneficiários
do seguro. De posse de todos os dados, a BEM FUTURO estará limitada a
tratá-los para os fins delimitados pela PINTURA EXPRESS, que é
controladora de dados, pois a relação de confiança dos titulares é com a
sua empregadora e, por isso, ela deve zelar pelas informações de seus
funcionários.
174
são em conjunto, visando um objetivo em comum (ANPD, 2021). Pode acontecer, por
exemplo, quando duas empresas se unem para promover uma mesma campanha de
marketing visando a promoção de ambas as marcas.
Importância Prática da
Diferenciação
A maior importância prática dessa diferenciação é o fato que a LGPD traz obrigações
específicas a cada uma das figuras, mas principalmente ao controlador, que possui
uma série de obrigações.
Além disso, caberá aos dois agentes manter registro das operações de tratamento de
dados pessoais que realizarem (art. 37) e ao operador, obviamente, respeitar as
diretrizes impostas pelo controlador (BRASIL, 2021).
175
excepcionalidade, já que em regra a responsabilidade é do controlador.
A princípio, essa é a única hipótese em que o operador é equiparado ao
controlador.
Relações Contratuais
A melhor forma de estabelecer expressamente o papel de cada um dos agentes de
tratamento, bem como de suas funções é justamente por meio da elaboração de
instrumentos contratuais.
176
i. finalidades do tratamento: qual o objetivo do tratamento de dados, qual
o limite desse tratamento para o operador, o que o operador de fato
pode fazer com os dados pessoais que está recebendo; qual o objetivo do
tratamento de dados em conjunto, se for o caso;
ii: quais são dados serão tratados: selecione os exatos dados aos quais os
operadores poderão ser acesso para que possam utilizar nos estritos
limites estabelecidos;
177
É de extrema importância que as obrigações dos agentes de tratamento sejam
claramente expostas nos contratos com o intuito de aumentar a segurança para
todas as partes envolvidas.
178
14
180
É evidente que todas essas atividades, em algum
momento, passarão pelo crivo do encarregado, que é o
responsável pelas políticas de tratamento de dados
pessoais adotadas e deve indicar eventuais melhorias e
correções que ele entenda necessárias.
181
A importância de manter tais documentos sempre atualizados está no
fato de que, em caso de solicitações por parte da Agência Nacional ou
outro órgão fiscalizador (Ministério Público, Procon, entre outros), o
encarregado de dados da organização esteja respaldado para informar e
comprovar que o processo de adequação acontece e é devidamente
documentado.
182
O passo seguinte refere-se à indicação e nomeação do representante, que, na
metodologia desenvolvida e aplicada para a implementação, é o ponto de ligação
entre a organização.
183
É importante ainda que se elenque dentro da
organização os líderes setoriais, que serão os
responsáveis por receber treinamentos a respeito dos
conceitos existentes na LGPD, segurança da
informação, governança e cultura, bem como gestão de
processos.
Essa reunião com a diretoria tem relevância para que todos tomem ciência do
trabalho a ser realizado e o caminho a ser percorrido, inclusive com apresentação de
cronograma ideal para cumprimento de fases. Dessa forma, todos podem se engajar,
acompanhar e cobrar os responsáveis pela adequação.
184
Após a contextualização da diretoria sobre o tema, passa-se ao treinamento dos
líderes setoriais escolhidos, em que aprenderão sobre os conceitos trazidos pela lei
tais como dado pessoal e suas classificações, titular de dados, compartilhamento de
dados, enfim, todas as diretrizes trazidas pela LGPD.
Assim, a criação de um Comitê deve ser considerada uma boa prática de proteção de
dados pessoais porque se trata de uma forma de demonstrar que a empresa se
preocupa com os dados pessoais que circulam diariamente dentro dos
departamentos.
185
O referido comitê tem ainda a função de aumentar o debate na tomada de decisão, o
objetivo de ter um Comitê é não centralizar em apenas uma pessoa as questões
envolvendo dados pessoais, e sim em um grupo de pessoas. Isso quer dizer, então,
que é interessante que participem desse Comitê líderes de departamentos chave,
bem como especialistas em segurança da informação e jurídico. Os departamentos
que entendemos como os mais recomendados para ter líderes no Comitê, são os
seguintes: Recursos Humanos, Jurídico, Compliance e Marketing.
186
Pilares Essenciais para a
Manutenção do Projeto
187
15
Assim, para dar a melhor interpretação à LGPD, o que cabe aqui é entender a
descrição “riscos às liberdades civis e aos direitos fundamentais” como “altos riscos às
liberdades civis e aos direitos fundamentais”. Logo, esses altos riscos são as
atividades de tratamento de risco alto e severo no DPOnet.
Assim, as atividades de tratamento de maior risco constam no RIPD com todo o
conteúdo de cada processo de risco alto e severo. São reproduzidas, dessa forma,
trazendo as informações gerais, o que inclui nome da atividade, finalidade, os dados
tratados e seus titulares vinculados, o ciclo de vida dos dados, os compartilhamentos,
a análise de necessidade e proporcionalidade e também a base legal de tratamento.
Mas não apenas das atividades é composto o RIPD. O RIPD também traz as medidas
de segurança que são aplicadas para cada uma destas atividades. Todas as atividades
de tratamento de risco alto e severo automaticamente geram os chamados RMCs,
que são os Registros de Melhoria Contínua.
Nesses RMCs, a organização deve vincular para cada processo quais são as medidas
de segurança aplicadas. A organização pode já contar com várias medidas de
segurança implementadas, como um código de conduta, que é uma medida
administrativa de segurança sugerida pelo DPOnet. Ela poderá indicar, então, que
para aquele processo de risco severo, esse código de conduta se aplica, servindo,
então, como um controle para garantir a proteção de dados.
Dessa forma, o RIPD do DPOnet traz um conteúdo completo neste documento tão
fundamental para demonstrar a maturidade da organização sobre o tema da
proteção de dados pessoais, pois contempla tanto uma metodologia objetiva para
analisar os riscos das atividades, evitando subjetivismos (como “acho que o risco é
alto aqui e ali é baixo”), quanto contempla elementos fundamentais de cada
atividade, tais como a análise de necessidade e proporcionalidade e as bases legais
que autorizam o tratamento de dados, e, ainda, as medidas de segurança que a
organização efetivamente adota e abrangem essas atividades de maior risco.
Mas, afinal, você sabe o que é um incidente de segurança? Vamos analisar esse
conceito com foco nos dados pessoais.
Imagine que uma pessoa mal-intencionada invadiu o computador da sua empresa e
conseguiu visualizar diversos documentos com dados pessoais de clientes. Imagine
que aconteceu uma enchente e todos os documentos que estavam na recepção da
empresa foram perdidos. Imagine que sua empresa usa um sistema para guardar
vários dados pessoais de clientes e esse sistema ficou “fora do ar” por dois dias e isso
prejudicou o cliente que precisava dessas informações justo nesses dois dias.
Nesses três exemplos, olhamos para incidentes que afetam os três pilares da
segurança da informação. Assim, um incidente de dados pessoais é qualquer
problema que acontece, envolvendo dados pessoais, e causa uma quebra de (1)
confidencialidade, (2) integridade, (3) ou disponibilidade (de dados pessoais).
Vamos analisar um por um, começando pelo pilar mais conhecido da segurança da
informação, a confidencialidade. “Confidencialidade de dados pessoais” quer dizer
que os dados pessoais só podem ser conhecidos por pessoas que estão autorizadas.
Ou seja, se os dados pessoais forem acessados por alguém que não é autorizado,
vamos ter uma quebra da confidencialidade.
Se uma pessoa mal-intencionada invadiu o computador de uma
organização e conseguiu visualizar diversos documentos com dados
pessoais de clientes, aconteceu um incidente de dados pessoais que
atingiu a confidencialidade. Geralmente, o senso comum pode nos levar a
pensar que apenas essa violação de confidencialidade seria um incidente.
É muito comum, em vez de as pessoas falarem sobre incidente de dados,
mencionarem “vazamento”, o que se refere apenas a essa quebra da
confidencialidade. Assim, lembre-se sempre de que também existe a
integridade a disponibilidade dos dados, e que se forem afetadas, haverá
igualmente um incidente de dados.
“Integridade de dados pessoais” quer dizer que os dados pessoais devem estar
corretos e devem ser mostrados sem qualquer alteração. Ou seja, se acontece algo
que atinge esses dados pessoais, se eles são alterados, destruídos, sejam esses
dados eletrônicos ou físicos, em papel, vamos ter uma quebra da integridade.
Por fim, mas igualmente relevante, a “Disponibilidade de dados pessoais” quer dizer
que os dados pessoais podem ser acessados sempre que for necessário, que devem
estar à disposição sempre para quem precisar deles. Ou seja, se acontece algo com
esses dados pessoais e eles não ficam totalmente à disposição para serem utilizados,
vamos ter uma quebra da disponibilidade.
Se ocorreu uma enchente e todos os documentos que estavam na
recepção da empresa foram perdidos, aconteceu um incidente de dados
pessoais que atingiu a integridade.
Se a organização utiliza um sistema para guardar vários dados pessoais
de clientes e esse sistema ficou “fora do ar” por dois dias e isso prejudicou
o cliente que precisava dessas informações justamente nesses dois dias,
aconteceu um incidente de dados pessoais que atingiu a disponibilidade.
Agora que você já entendeu que existe a obrigação de a ANPD ser comunicada em
alguns casos de incidentes e também já aprendeu os três tipos de incidentes que
podem ocorrer, vamos entender na prática quais são as condutas fundamentais que
precisam ser adotadas no momento em que se verifica que efetivamente ocorreu um
incidente de dados.
Existem três possíveis condutas que devem ser realizadas pela organização quando
ocorre um incidente:
1
Avaliação Interna: qual a natureza, categoria e
quantidade de titulares afetados, categoria e quantidade
de dados envolvidos, consequências possíveis.
2 Comunicar o fato ao DPO.
Assim, para controle dos incidentes e adoção de medidas por meio das
recomendações dos RMCs de incidentes, sempre será o caso de registrar todo e
qualquer incidente dentro da organização. Após isso, será o caso de avaliar a
necessidade de notificação ao titular de dados e à ANPD, o que irá depender do risco
ou dano relevante para o titular de dados.
Fonte: ANPD.
Conselho Diretor, órgão máximo de direção, que será composto por 5 diretores.
Terá com uma de suas funções dispor sobre o Regimento Interno da ANPD.
Conselho Nacional de Privacidade de Dados Pessoais e da Privacidade, quer será
composto por 23 representantes, definidas pelo art. 58-A e seus incisos, da LGPD.
Corregedoria;
Ouvidoria;
Órgão de Assessoramento Jurídico Próprio;
Unidades administrativas e unidades especializadas necessárias à aplicação da
LGPD.
Funções
Fiscalizadora-sancionadora:
I - zelar pela proteção dos dados pessoais, nos termos da legislação;
II - zelar pela observância dos segredos comercial e industrial, observada a
proteção de dados pessoais e do sigilo das informações quando protegido por lei
ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em
descumprimento à legislação, mediante processo administrativo que assegure o
contraditório, a ampla defesa e o direito de recurso;
IX - promover ações de cooperação com autoridades de proteção de dados
pessoais de outros países, de natureza internacional ou transnacional;
XI - solicitar, a qualquer momento, às entidades do poder público que realizem
operações de tratamento de dados pessoais informe específico sobre o âmbito, a
natureza dos dados e os demais detalhes do tratamento realizado, com a
possibilidade de emitir parecer técnico complementar para garantir o cumprimento
desta Lei;
XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de
fiscalização de que trata o inciso IV e com a devida observância do disposto no
inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado
pelos agentes de tratamento, incluído o poder público;
XVII - celebrar, a qualquer momento, compromisso com agentes de tratamento
para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito
de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de
4 de setembro de 1942;
XIX - garantir que o tratamento de dados de idosos seja efetuado de maneira
simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei
XXI - comunicar às autoridades competentes as infrações penais das quais tiver
conhecimento;
XXII - comunicar aos órgãos de controle interno o descumprimento do disposto
nesta Lei por órgãos e entidades da administração pública federal;
Educativa, de conscientização e fomentadora do debate
sobre a proteção de dados pessoais:
III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da
Privacidade;
VI - promover na população o conhecimento das normas e das políticas públicas
sobre proteção de dados pessoais e das medidas de segurança;
VII - promover e elaborar estudos sobre as práticas nacionais e internacionais de
proteção de dados pessoais e privacidade;
VIII - estimular a adoção de padrões para serviços e produtos que facilitem o
exercício de controle dos titulares sobre seus dados pessoais, os quais deverão
levar em consideração as especificidades das atividades e o porte dos
responsáveis;
XIV - ouvir os agentes de tratamento e a sociedade em matérias de interesse
relevante e prestar contas sobre suas atividades e planejamento;
Normativa-interpretativa:
X - dispor sobre as formas de publicidade das operações de tratamento de dados
pessoais, respeitados os segredos comercial e industrial;
XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e
privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais
para os casos em que o tratamento representar alto risco à garantia dos princípios
gerais de proteção de dados pessoais previstos nesta Lei;
XVIII - editar normas, orientações e procedimentos simplificados e diferenciados,
inclusive quanto aos prazos, para que microempresas e empresas de pequeno
porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que
se autodeclararem startups ou empresas de inovação, possam adequar-se a esta
Lei;
XX - deliberar, na esfera administrativa, em caráter terminativo, sobre a
interpretação desta Lei, as suas competências e os casos omissos;
XXIII - articular-se com as autoridades reguladoras públicas para exercer suas
competências em setores específicos de atividades econômicas e governamentais
sujeitas à regulação;
Transparência da autogestão
XII - elaborar relatórios de gestão anuais acerca de suas atividades;
XV - arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se
refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e
despesas;
Responsabilidades
A ANPD possui autonomia técnica e decisória e seus diretores têm mandato fixo,
assegurando-se, assim, a sua independência na tomada de decisões. A ANPD
trabalhará em conjunto com o Conselho Nacional de Proteção de Dados Pessoais e
da Privacidade, entidade de natureza consultiva que viabiliza a participação dos
diferentes segmentos sociais na conformação do ambiente regulatório de proteção
de dados pessoais (ANPD, 2020).
Ela irá articular sua atuação com outros órgãos e entidades com competências
sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o
órgão central de interpretação desta Lei e do estabelecimento de normas e
diretrizes para a sua implementação.
Confira algumas das principais responsabilidades da ANPD:
elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e
da Privacidade;
fiscalizar e aplicar sanções em caso de tratamento de dados realizado em
descumprimento à legislação, mediante processo administrativo que
assegure o contraditório, a ampla defesa e o direito de recurso;
promover na população o conhecimento das normas e das políticas públicas
sobre proteção de dados pessoais e das medidas de segurança;
estimular a adoção de padrões para serviços e produtos que facilitem o
exercício de controle dos titulares sobre seus dados pessoais, os quais
deverão levar em consideração as especificidades das atividades e o porte
dos responsáveis;
promover ações de cooperação com autoridades de proteção de dados
pessoais de outros países, de natureza internacional ou transnacional;
editar regulamentos e procedimentos sobre proteção de dados pessoais e
privacidade, bem como sobre relatórios de impacto à proteção de dados
pessoais para os casos em que o tratamento representar alto risco à garantia
dos princípios gerais de proteção de dados pessoais previstos na LGPD;
ouvir os agentes de tratamento e a sociedade em matérias de interesse
relevante e prestar contas sobre suas atividades e planejamento;
editar normas, orientações e procedimentos simplificados e diferenciados,
inclusive quanto aos prazos, para que microempresas e empresas de
pequeno porte, bem como iniciativas empresariais de caráter incremental ou
disruptivo que se autodeclarem startups ou empresas de inovação, possam
adequar-se à Lei;
deliberar, na esfera administrativa, em caráter terminativo, sobre a
interpretação da LGPD, as suas competências e os casos omissos;
articular-se com as autoridades reguladoras públicas para exercer suas
competências em setores específicos de atividades econômicas e
governamentais sujeitas à regulação; e
implementar mecanismos simplificados, inclusive por meio eletrônico, para o
registro de reclamações sobre o tratamento de dados pessoais em
desconformidade com a LGPD.
Sanções administrativas
Sanções administrativas aplicáveis pela autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de
direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos
os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por
infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua
ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
X - suspensão parcial do funcionamento do banco de dados a que se refere a
infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até
a regularização da atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se
refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual
período;
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento
de dados.
As sanções serão aplicadas após procedimento administrativo que
possibilite a oportunidade da ampla defesa, de forma gradativa, isolada
ou cumulativa, de acordo com as peculiaridades do caso concreto e
considerados os seguintes parâmetros e critérios:
I - a gravidade e a natureza das infrações e dos direitos pessoais
afetados;
II - a boa-fé do infrator;
III - a vantagem auferida ou pretendida pelo infrator;
IV - a condição econômica do infrator;
V - a reincidência;
VI - o grau do dano;
VII - a cooperação do infrator;
VIII - a adoção reiterada e demonstrada de mecanismos e
procedimentos internos capazes de minimizar o dano, voltados ao
tratamento seguro e adequado de dados, em consonância com o
disposto no inciso II do § 2º do art. 48 desta Lei;
IX - a adoção de política de boas práticas e governança;
X - a pronta adoção de medidas corretivas; e
XI - a proporcionalidade entre a gravidade da falta e a intensidade da
sanção.
Livro
Para se aprofundar sobre a origem da privacidade e do direito à
proteção de dados, bem como entender a distinção teórica entre
ambos, e entender os contextos e evoluções relacionados,
recomenda-se a obra de Danilo Doneda, “Da privacidade à
proteção de dados pessoais”: DONEDA, Danilo. Da privacidade à
proteção de dados pessoais. 2. ed. São Paulo: Thomson Reuters
Brasil, 2019.
236
Referências
BIONI, B. R. Compreendendo o conceito de anonimização e dado anonimizado.
In: Cadernos Jurídicos, Escola Paulista da Magistratura, São Paulo, ano 21, nº 53, p.
192-201.
BLUM, R.O.; VAINZOF, R. MORAES, H.F. Data Protection Officer - Teoria e Prática de
Acordo com a LGPD e o GDPR. Revista dos Tribunais, 2020.
237
DEFINIÇÕES de Probabilidade e Impacto dos Riscos. On-line, 2013. Disponível em:
https://universoprojeto.wordpress.com/2013/10/21/definicoes-de-
probabilidade-e-impacto-dos-riscos/
LGPD: Consumidor tem direito limitado à exclusão de dados por empresas. On-line,
2020. Disponível em: https://br.lexlatin.com/noticias/lgpd-consumidor-tem-
direito-limitado-exclusao-de-dados-por-empresas
MALDONADO, V.N.; BLUM, R.O., BORELLI, A. LGPD: Lei Geral de Proteção de Dados –
Comentada. Revista dos Tribunais, 2019.
238
RODRIGUES, L. LGPD e decisões automatizadas: onde vamos parar? CONJUR, 03,
maio, 2021. Disponível em: https://www.conjur.com.br/2021-mai-03/opiniao-lgpd-
decisoes-automatizadas-onde-vamos-parar
239