Formação de DPO - O Método DPOnet - Compressed

FORMAÇÃO DE DPO:
O MÉTODO DPONET
Universidade de Marília
Avenida Hygino Muzzy Filho, 1001
CEP 17.525–902- Marília-SP
Reitor Pró-reitor Administrativo

Márcio Mesquita Serva Marco Antonio Teixeira
Vice-reitora Direção do Núcleo de Educação a Distância
Profª. Regina Lúcia Ottaiano Losasso Serva Paulo Pardo
Pró-Reitor Acadêmico Coordenação Pedagógica do Curso
Prof. José Roberto Marques de Castro Francis Marília Pádua
Pró-reitora de Pesquisa, Pós-graduação e Ação Edição de Arte, Diagramação, Design Gráfico
Comunitária B42 Design
Profª. Drª. Fernanda Mesquita Serva
F385m sobrenome, nome

nome livro / nome autor. nome /coordenador (coord.) - Marília:
Unimar, 2021.
PDF (00p.) : il. color.
ISBN xxxxxxxxxxxxx
1. tag 2. tag 3. tag 4. tag – Graduação I. Título.
CDD – 00000
*Todos os gráficos, tabelas e esquemas são creditados à autoria, salvo quando indicada a referência. Informamos
que é de inteira responsabilidade da autoria a emissão de conceitos.
Nenhuma parte desta publicação poderá ser reproduzida por qualquer meio ou forma sem autorização. A
violação dos direitos autorais é crime estabelecido pela Lei n.º 9.610/98 e punido pelo artigo 184 do Código Penal.
Imagens, ícones e capa: ©envato, ©pexels, ©pixabay, ©Twenty20 e ©wikimedia

2
BOAS-VINDAS
Ao iniciar a leitura deste material, que é parte do apoio pedagógico dos
nossos queridos discentes, convido o leitor a conhecer a UNIMAR –
Universidade de Marília.
Na UNIMAR, a educação sempre foi sinônimo de transformação, e não

conseguimos enxergar um melhor caminho senão por meio de um ensino
superior bem feito.
A história da UNIMAR, iniciada há mais de 60 anos, foi construída com base

na excelência do ensino superior para transformar vidas, com a missão
de formar profissionais éticos e competentes, inseridos na comunidade,
capazes de constituir o conhecimento e promover a cultura e o intercâmbio,
a fim de desenvolver a consciência coletiva na busca contínua da valorização
e da solidariedade humanas.
A história da UNIMAR é bela e de sucesso, e já projeta para o futuro novos

sonhos, conquistas e desafios.
A beleza e o sucesso, porém, não vêm somente do seu campus de mais de

350 alqueires e de suas construções funcionais e conectadas; vêm também
do seu corpo docente altamente qualificado e dos seus egressos: mais
de 100 mil pessoas, espalhados por todo o Brasil e o mundo, que tiveram
suas vidas impactadas e transformadas pelo ensino superior da UNIMAR.
Assim, é com orgulho que apresentamos a Educação a Distância da UNIMAR

com o mesmo propósito: promover transformação de forma democrática
e acessível em todos os cantos do nosso país. Se há alguma expectativa
de progresso e mudança de realidade do nosso povo, essa expectativa
está ligada de forma indissociável à educação.
Nós nos comprometemos com essa educação transformadora,

investimos nela, trabalhamos noite e dia para que ela seja
ofertada e esteja acessível a todos.
Muito obrigado por confiar uma parte importante do seu

futuro a nós, à UNIMAR e, tenha a certeza de que seremos
parceiros neste momento e não mediremos esforços para
o seu sucesso!
Não vamos parar, vamos continuar com investimentos

importantes na educação superior, sonhando sempre.
Afinal, não é possível nunca parar de sonhar!
Bons estudos!
Dr. Márcio Mesquita Serva

Reitor da UNIMAR
3
Que alegria poder fazer parte deste momento tão especial da sua vida!
Sempre trabalhei com jovens e sei o quanto estar matriculado

em um curso de ensino superior em uma Universidade de
excelência deve ser valorizado. Por isso, aproveite cada
minuto do seu tempo aqui na UNIMAR, vivenciando o ensino,
a pesquisa e a extensão universitária.
Fique atento aos comunicados institucionais, aproveite as

oportunidades, faça amizades e viva as experiências que
somente um ensino superior consegue proporcionar.
Acompanhe a UNIMAR pelas redes sociais, visite a sede

do campus universitário localizado na cidade de Marília,
navegue pelo nosso site unimar.br, comente no nosso blog
e compartilhe suas experiências. Viva a UNIMAR!
Muito obrigada por escolher esta Universidade para a Profa. Fernanda

realização do seu sonho profissional. Seguiremos, Mesquita Serva
Pró-reitora de Pesquisa,
juntos, com nossa missão e com nossos valores, Pós-graduação e Ação
sempre com muita dedicação. Comunitária da UNIMAR
Bem-vindo(a) à Família UNIMAR.
Educar para transformar: esse é o foco da Universidade de Marília no seu

projeto de Educação a Distância. Como dizia um grande educador, são
as pessoas que transformam o mundo, e elas só o transformam
se estiverem capacitadas para isso.
Esse é o nosso propósito: contribuir para sua transformação

pessoal, oferecendo um ensino de qualidade, interativo,
inovador, e buscando nos superar a cada dia para que você
tenha a melhor experiência educacional. E, mais do que isso,
que você possa desenvolver as competências e habilidades
necessárias não somente para o seu futuro, mas para o seu
presente, neste momento mágico em que vivemos.
A UNIMAR será sua parceira em todos os momentos de

sua educação superior. Conte conosco! Estamos aqui para
apoiá-lo! Sabemos que você é o principal responsável pelo
seu crescimento pessoal e profissional, mas agora você
tem a gente para seguir junto com você. Prof. Me. Paulo Pardo
Coordenador do Núcleo
Sucesso sempre! EAD da UNIMAR
4
008 Aula 01: Apresentação
021 Aula 02: Mapeamento de Dados - Parte 1
035 Aula 03: Mapeamento de Dados – Parte 2
049 Aula 04: Mapeamento dos Dados - Parte 3
068 Aula 05: apeamento dos Dados - Parte 4
112 Aula 09: Risco como Probabilidade X Impacto
115 Aula 10: Segurança da Informação – Parte 1
130 Aula 11: Segurança da Informação
146 Aula 12: Os Direitos dos Titulares
168 Aula 13: Agentes de Tratamento
179 Aula 14: Prática da Jornada DPOnet – Parte 1
188 Aula 15: Prática da Jornada DPOnet – Parte 2
223 Aula 16: Prática da Jornada DPOnet - Parte 3
5
Introdução
Olá, aluno! Bem-vindo ao curso Formação de DPO: O método DPOnet.
Para iniciar, a sugestão é que você esqueça aquele padrão de curso em que você
irá aprender por um longo período a parte teórica e, depois, já quase sem forças,
terá algumas aulas práticas. O nosso curso irá trabalhar conceitos e prática de
maneira dinâmica. Quer saber o que são dados pessoais? Vamos ver como isso se
aplica no DPOnet. Visualizando a ferramenta, você aprende o conceito.
Hoje, na sociedade da informação, não é necessário trazer todos os conceitos

previamente para depois tratar de um tema de maneira prática. A informação está
na palma da mão. Um conceito pode ser facilmente entendido e a abordagem
prática seguir fluida, sem necessidade de grandes divagações, e vamos sempre
direto ao ponto.
É assim que, na maior medida possível, vamos fazer. O objetivo é que você consiga
entender como trabalhar como DPO (data protection officer), colocando
efetivamente a mão na massa. E sabemos que se você já está aqui, é porque já tem
noções gerais sobre o tema. Em vários momentos, vamos disponibilizar recursos
extra para o caso em que você queira aprofundar o estudo de algum ponto
especificamente.
Bons estudos!
6
Confidencialidade e direitos autorais reservados
Este material foi preparado para apoiar uma parceria/associação
estratégica da Immunize com a parte receptora. O material está sendo
apresentado sujeito à execução prévia de um Acordo de
Confidencialidade. O único objetivo deste material é auxiliar as partes
interessadas em sua decisão sobre prosseguir com a parceria
educacional para o fim de ofertar o curso preparatório de DPO.
Ao aceitar este documento, o destinatário concorda em manter a

confidencialidade das informações contidas neste documento ou
disponibilizadas em associação com qualquer outro material. As partes
interessadas devem se familiarizar com esta e outras obrigações às
quais o destinatário está sujeito ao Acordo de Confidencialidade. Este
documento não pode ser fotocopiado, reproduzido ou distribuído a
terceiros em qualquer tempo sem consentimento prévio por escrito da
Immunize. Mediante solicitação, todos os destinatários devolverão
imediatamente todo o material recebido da Immunize sem reter
quaisquer cópias do mesmo.
As informações aqui contidas foram preparadas para auxiliar a

Immunize na negociação de uma parceria/associação estratégica e não
se destinam a atender a todas demandas informativas que um parceiro
de negócios interessado possa ter.
Ao fornecer este documento, a Immunize não assume qualquer

obrigação com a destinatária em especial a cessão dos direitos autorais,
o que se dará por meio de instrumento futuro, próprio e específico.
7
01
Apresentação
8
O que é o DPOnet
Olá, aluno! Bem-vindo ao curso Formação de DPO: O método DPOnet.
Vamos começar com uma visão sobre o DPOnet, que é uma solução para
organizações públicas e privadas e cujo objetivo é democratizar a Lei Geral de
Proteção de Dados (LGPD).
O “democratizar” é no sentido mais recente do termo: ampliar o acesso,

popularizar, permitir que todos consigam obter – no caso, no sentido de
popularizar o cumprimento da LGPD. Essa missão do DPOnet surgiu no contexto
do Brasil em que consultorias sobre proteção de dados pessoais pareciam
inalcançáveis devido, em grande parte dos casos, aos altos valores cobrados.
Fonte: acesse o link Disponível aqui
9
Trata-se de uma plataforma completa para a empresa
1
gerenciar a proteção de dados pessoais, o que
compreende tanto as ferramentas e as orientações
recomendadas especificamente ao segmento de
mercado e tamanho da organização quanto os cursos
de conscientização.
É também o encarregado de dados (muito conhecido
2
como DPO – data protection officer) terceirizado. Ou
seja, o DPOnet é o DPO das organizações, e para isso
tem seu próprio canal de atendimento para os titulares
e para a ANPD (Autoridade Nacional de Proteção de
Dados).
3
Por meio do Portal Privacidade & Você
(privacidade.com.br), exibe o portal de certificação
das organizações consultadas e é nele em que estão os
canais de atendimento tanto ao titular de dados
quanto à ANPD.
Ou seja, trabalhando em duas frentes – tanto como ferramenta de gestão quanto

como DPO da organização – o DPOnet consegue abraçar amplamente as
necessidades relacionadas à LGPD.
10
Veja como o DPOnet se apresenta para o público e entenda sua missão
(o porquê de ele existir): www.dponet.com.br
Se já quiser embalar em uma rica fonte de conteúdo prático sobre

proteção de dados, acesse o Portal Privacidade & Você:
www.privacidade.com.br
Esta é a tela inicial do DPOnet, e nela podemos visualizar as diferentes

funcionalidades que esta ferramenta entrega às organizações.
Este é o exemplo da página de certificação de uma organização que tem

maturidade em proteção de dados. A organização é exibida por meio da consulta
do seu CNPJ na home do Portal ou por meio do Selo “Dados Pessoais Protegidos”.
11
Além disso, as políticas e documentos relacionados à proteção de dados que são
de interesse de todo o público ficam disponíveis para consulta. E nesta mesma
página, constam os canais de comunicação com os titulares de dados e com a
ANPD.
12
Sobre a Lei Geral de Proteção de
Dados
Não se engane ao pensar que a LGPD é uma inovação no Brasil. Na verdade, a
promulgação da LGPD aconteceu em 14 de agosto de 2018 foi impulsionada pela
aprovação da nova legislação europeia sobre proteção de dados, conhecida como
RGPD (Regulamento Geral de Proteção de Dados) em 25 de maio de 2018.
Essa rapidez com que concluímos o processo legislativo depois da aprovação do

RGPD aconteceu por dois fatores muito claros: se uma organização, mesmo que
esteja fora da Europa, fizer qualquer operação de tratamento com dados de
europeus, estará obrigada a cumprir o RGPD (MALDONADO, 2019, p. 14), e se uma
organização que faça qualquer operação de tratamento de dados de europeus
quiser transferir dados para uma organização em outro país, este país deve adotar
garantias de proteção de dados no mesmo nível das garantias do RGPD
(MALDONADO, 2019, p. 14).
Em termos práticos, se o Brasil não demonstrasse investidas quanto ao tema da

proteção de dados pessoais, a economia brasileira poderia enfrentar graves
problemas relacionados ao fluxo de informações pessoais.
Antes disso, porém, não podemos ignorar que leis específicas sobre proteção de
dados pessoais existem desde a década de 1970. A primeira delas é de exatamente
1970, a Lei do Land de Hesse (como se fosse um Estado; o Estado “Hesse”) da
Alemanha. Depois, em 1973, tem-se a primeira Lei nacional sobre o tema, que é
Sueca, denominada “Estatuto para Bancos de dados de 1973”, e que criou o
denominado “inspetor para o uso de dados pessoais” (DONEDA, 2019, p. 174-175).
13
Nesse contexto, a LGPD tem o objetivo de proteger os
dados das pessoas físicas (BRASIL, 2018), pessoas de
carne e osso, como você. Aqui, já é interessante
deixar claro que a LGPD não protege dados de
pessoas jurídicas – isso pode acontecer em algumas
legislações mundo afora, como é o caso da Argentina
e do Uruguai, que protegem amplamente os dados
pessoais tanto de pessoas físicas quanto jurídicas.
Mas lembre-se: a LGPD protege apenas os titulares de
dados pessoas físicas.
A LGPD não diz para as empresas “faça isso” ou “faça aquilo” em situações
específicas, mas estabelece um conjunto de normas, em determinados aspectos,
que dão o norte sobre como as organizações devem lidar com os dados pessoais
que circulam em sua rotina. Estabelece, ainda, que as organizações devem adotar
medidas de segurança desde que sejam razoáveis para as atividades que são
realizadas com os dados pessoais.
A LGPD não irá dizer: “A empresa pode entrar em contato com o cliente
pelo WhatsApp para avisar que ele pode retirar na loja o produto que
adquiriu”, mas irá estabelecer que, por exemplo, existem as bases legais
de tratamento. Neste caso, hipoteticamente, o contato se faz necessário
devido à compra do produto em si e poderia ser entendido como um
tratamento necessário à execução do contrato (uma das situações em
que a LGPD autoriza o tratamento de dados – art. 7º, inciso V, da LGPD)
caso essa pessoa tenha informado o seu número à empresa justamente
para que ela seja avisada sobre a disponibilidade do produto.
14
A LGPD tem apenas 65 artigos. Se você ler apenas dois artigos por dia,
em um mês já conseguirá ter lido praticamente a Lei inteira. Sabe
aqueles cinco minutinhos rolando o feed das redes sociais? Substitua
por rolar a LGPD:
Quem é o DPO
A sigla DPO significa data protection officer. Em uma tradução livre, seria o
administrador, o gestor da proteção de dados. Na LGPD, o nome ficou menos
chamativo do que DPO: “encarregado pelo tratamento de dados pessoais”, cujo
conceito, literalmente, é “pessoa indicada pelo controlador e operador para atuar
como canal de comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD)” (BRASIL, 2018).
Pense então que, com a LGPD, as organizações precisam cuidar desse tema da
proteção de dados com muito mais vigor, e nada melhor do que ter alguém
especializado nesse assunto para apoiar a organização no dia a dia, implementar
todo um projeto para que a organização comece a fazer suas atividades cotidianas
já de acordo com a LGPD, alguém para orientar os colaboradores em caso de
dúvidas e para receber e avaliar solicitações tanto dos titulares de dados quanto da
ANPD. Esse alguém é o DPO.
A LGPD, inclusive, traz uma lista (que não é definitiva) sobre as atividades do DPO:
15
[...] I - aceitar reclamações e comunicações dos titulares, prestar
esclarecimentos e adotar providências; II - receber comunicações da
autoridade nacional e adotar providências; III - orientar os funcionários
e os contratados da entidade a respeito das práticas a serem tomadas
em relação à proteção de dados pessoais [...] (BRASIL, 2018).
Veja que ser DPO é ser uma pessoa que irá orientar e se comunicar.
Ela vai orientar a organização sobre como mapear dados, riscos e bases legais que
autorizam o tratamento de dados sobre medidas de segurança, contratos, termos e
sobre transparência, e não apenas sobre o que está escrito na LGPD, mas sobre
proteção de dados em si, que abrange a estruturação de um programa de
governança de dados pessoais, análise de processos e segurança da informação.
Além disso, a comunicação do titular de dados (caso este tenha alguma solicitação
sobre proteção de dados para fazer à organização) será sempre direcionada ao
DPO, que deverá recebê-la e contar com toda a equipe da organização para avaliar
e dar o devido retorno sobre o que foi pedido.
E, por fim, mas de igual relevância, será a comunicação com a

ANPD, que poderá se dirigir à organização e ainda fazer
solicitações para as quais o DPO deverá adotar providências.
O art. 41 da LGPD é exclusivamente dedicado ao encarregado de

dados pessoais e estabelece que é obrigatório que todo operador
de dados indique um encarregado, a necessidade de serem
publicadas pela organização as informações de contato do DPO,
as funções do DPO e também que é possível a ANPD estabelecer
outras regras sobre a definição e atribuições do encarregado.
Além disso, no primeiro guia orientativo da ANPD, publicado em maio de 2021, já

foram estabelecidas diretrizes sobre o encarregado de proteção de dados. O guia
estabeleceu que o DPO poderá ser pessoa física ou jurídica, que trabalhe
internamente ou externamente à organização, como alguém que para esse fim
16
presta serviços (BRASIL, 2021). Ainda, que o DPO deve ter liberdade ao exercer suas
funções, e que a sua qualificação deve ser verificada mediante análise do seu
conhecimento tanto sobre proteção de dados pessoais quanto sobre segurança da
informação (BRASIL, 2021).
Logo, fica evidente a importância do DPO no contexto da proteção de dados para o

cotidiano das organizações, sobre a qual a própria ANPD cuidou de tratar na
primeira oportunidade de vir a público estabelecer orientações a toda e qualquer
organização pública ou privada brasileira ou atuante no Brasil.
Atualmente, o DPO é mencionado seis vezes no corpo do texto em vigor

da LGPD:
Menção Dispositivo O que estabelece

1 Art. 5o, VIII o conceito de encarregado
a obrigatoriedade de a organização do poder
2 Art. 23, III
público indicar um encarregado
Art. 41, a obrigatoriedade de toda organização
3
caput controladora de dados indicar um encarregado
a necessidade de serem publicadas pela
4 Art. 41, § 1o organização as informações de contato do
encarregado
5 Art. 41, § 2o as funções do encarregado
a possibilidade de a ANPD estabelecer outras
6 Art. 41, § 3o regras sobre a definição e atribuições do
encarregado
17
Visão Geral do Programa de Gestão
da Proteção de Dados com o
DPOnet
O DPOnet divide todo o programa de gestão da proteção de dados em dois
grandes momentos: a implementação e, após isso, a manutenção. Nesta divisão,
basicamente visualizamos as principais atividades de todos os atores envolvidos:
18
Oportunidade de Mercado
A figura do DPO estava prevista já expressamente na Diretiva 46 de 1995 do
Conselho Europeu (imagine uma Lei como o RGPD, mas que servia como uma
orientação que poderia ser sobreposta pelas legislações nacionais dos países
europeus – esta era a Diretiva 46). No art. 18, item 2 (UNIÃO EUROPEIA, 1996):
Os Estados-membros apenas poderão estabelecer a simplificação ou a

isenção da notificação nos seguintes casos a condições: - se o
responsável pelo tratamento nomear, nos termos do direito nacional a
que está sujeito, um encarregado da proteção dos dados pessoais,
responsável nomeadamente por - garantir, de modo independente, a
aplicação, a nível interno, das disposições nacionais tomadas nos
termos da presente directiva, manter um registro dos tratamentos
efectuados pelo responsável do tratamento, contendo as informações
referidas no nº 2 do artigo 21º, assegurando assim que os tratamentos
não são susceptíveis de prejudicar os direitos e liberdades das pessoas
em causa.
Podemos ver que o DPO não é exatamente uma figura tão nova em nível mundial,
mas no Brasil esse tema ganha enfoque apenas agora, o que é uma grande
oportunidade, pois demonstra que esse movimento da proteção de dados é um
caminho sem volta.
O guia orientativo da ANPD, inclusive, estabelece que o entendimento deve ser no

sentido de que toda e qualquer organização deve indicar um encarregado de
proteção de dados:
Ao contrário de outras legislações de proteção de dados estrangeiras,

a LGPD não determinou em que circunstâncias uma organização deve
indicar um encarregado. Assim, deve-se assumir, como regra geral,
que toda organização deverá indicar uma pessoa para assumir
esse papel (BRASIL, 2021, grifo nosso).
Soma-se a essa informação o fato de que, segundo o DataSebrae, em maio de 2020

o Brasil registrava 19.228.025 empresas (Sim! Dezenove milhões!) e veja a grande
oportunidade que a atuação com proteção de dados pessoais é no Brasil (SEBRAE,
19
2020).
Some a essa informação, também, o fato de que desde 1970 existem Leis sobre
proteção de dados. Isso quer dizer que a LGPD não é uma moda, e jamais uma Lei
que não vai pegar. Muito pelo contrário: estamos vivenciando no Brasil um
movimento que iniciou há até cinco décadas em outros países, e é um movimento
que apenas se fortalece e se espalha cada vez mais, jamais reduzindo a sua
abrangência.
20
02
Mapeamento de Dados -
Parte 1
21
Identificando uma Atividade de
Tratamento
Vamos iniciar esta aula aprendendo a mapear uma atividade que envolve dados
pessoais. Para isso, precisamos identificar uma atividade de tratamento, isto é, o que
fazemos dentro da nossa empresa que possui informações de uma pessoa. Quais
são as etapas de um mapeamento?
Fonte: Imagem produzida pelos autores
Não se assuste! Vamos passar por cada uma das etapas, explicando os conceitos que
serão necessários para que você aprenda a fazer essa atividade sem qualquer
dificuldade.
O que são dados pessoais?

Como vimos, o DPO é o profissional responsável por trazer a cultura da proteção de
dados para a rotina das organizações. Justamente por isso, quem deseja exercer essa
função precisa estar atento aos conceitos trazidos pela lei. Já em seu artigo 1º
(BRASIL, 2018), a LGPD esclarece que esta lei cuida do tratamento de dados
pessoais.
22
O que seriam esses dois conceitos? Vamos começar entendendo o que são “dados
pessoais”. A própria lei diz que dados pessoais são as informações relacionadas à
pessoa natural identificada ou identificável (BRASIL, 2018). Então, pode ser desde um
endereço, um CPF ou um RG, até um conjunto de características capaz de identificar
uma pessoa mesmo sem o nome dela ser citado diretamente.
Dessa forma, alguns dados sozinhos são capazes de identificar uma pessoa de forma
direta, sem nenhuma dúvida, como é o caso do número de documentos (RG, CPF, PIS,
CNH, CTPS, dentre outros). Outros dados, contudo, precisam ser somados, pois
somente juntos conseguem identificar alguém.
Não entendeu nada? Vamos tentar identificar essa pessoa: mulher (sexo), brasileira
(nacionalidade), loira (característica física) e apresentadora de televisão (profissão).
Até aqui, podemos estar falando das apresentadoras Eliana, Angélica, Ana Maria
Braga, dentre outras – ou seja, essas informações isoladas são incapazes de
identificar alguém de forma direta, mas se adicionamos a informação de que essa
mulher é conhecida como “rainha dos baixinhos”, todos sabemos que só pode ser a
Xuxa.
Assim, não precisamos saber o CPF, o RG ou nome completo da Xuxa para saber que
esse conjunto de características a identificam e, por isso, são chamados de “dados
pessoais” e são protegidos pela LGPD. Os dados pessoais podem ser “identificados”,
isto é, quando apenas um dado já é suficiente para saber de quem se trata ou
“identificáveis”, nos casos em que é necessário somar mais de uma informação para
saber de qual pessoa estamos falando.
23
Independentemente disso, ambos são considerados dados pessoais e são protegidos
pela LGPD, pois tais informações pertencem a uma pessoa e ela deve saber quem
tem acesso aos seus dados e por quê, a fim de ter a chamada autodeterminação
informativa.
A autodeterminação informativa é um dos fundamentos da LGPD,

expresso no artigo 2º, inciso II (BRASIL, 2018) e refere-se ao direito que
toda pessoa física tem de controlar seus próprios dados pessoais, em
determinadas situações, a fim de ter o conhecimento de quem realiza o
tratamento dessas informações, para quais finalidades, por quanto
tempo, dentre outras informações que julgar necessário.
E você? Quais são as características que te tornam “identificável”? O que faz de você
um indivíduo único?
Agora, você é capaz de saber quais informações podem ser consideradas ou não
dados pessoais e já pode começar a entender quais departamentos da sua empresa
possuem esse tipo de informação.
24
Todos sabemos o conceito de dados pessoais, mas será que uma calota
de carro pode ser um dado pessoal? Ao utilizar o Google Street View para
ver a casa de uma amiga, uma mulher, na Inglaterra, reconheceu o carro
de seu marido que estava estacionado no local. O marido, que disse que
estaria viajando, foi reconhecido, pois seu carro tinha calotas
personalizadas. O caso, segundo a imprensa, terminou em divórcio. Muito
cuidado com suas informações pessoais e o quanto você pode ser
reconhecido.
O que é tratamento de dados pessoais?

Agora, precisamos entender o conceito de tratamento. Em seu artigo 5º, inciso X
(BRASIL, 2018), a LGPD nos dá a definição desse termo:
INPUT, PROCESS AND OUTPUT
Tratamento de dados pessoais é toda operação/atividade que envolve a

coleta, produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração de dados
pessoais.
25
Se você sentiu falta de alguma atividade realizada com dados pessoais, pode ter
certeza: ela também se encaixa como tratamento, pois as apresentadas pela lei são
apenas exemplificativas.
Em nossas organizações realizamos diversas atividades que podem ser enquadradas

como tratamento de dados, pois cada departamento tem sua atividade. Vamos
pensar em casos práticos? Suponha que uma empresa de software ofereça uma
solução para que seus clientes possam armazenar informações na nuvem. Aqui, há
tratamento de dados pessoais? Depende! Se as informações que o cliente estiver
armazenando puderem identificar uma pessoa física, há tratamento de dados! Então,
nome de funcionários, CPF de clientes e assinatura de sócios são dados pessoais.
Inclusive as empresas que apenas armazenam essas informações também tratam

dados pessoais, pois essa é uma das atividades que a lei expressamente trouxe como
tipo de tratamento e, como veremos adiante, se não houver uma base legal que
sustente o armazenamento dessas informações, o tratamento deverá ser cessado
imediatamente (MALDONADO, 2019, p.16).
Mesmo se essa empresa não fizer “nada” com os dados, ainda há tratamento?
Observem que a LGPD trouxe a palavra acesso. Por isso, a simples possibilidade de
ver o que está escrito em um documento já faz com que a empresa trate dados
pessoais e tenha que respeitar a LGPD. Assim, a secretária de um médico que anota o
nome do paciente e o horário da consulta em sua agenda pessoal ou o médico que
acessa o prontuário desse mesmo paciente para entender seu histórico clínico
também tratam dados pessoais.
Nesse sentido, há tratamento de dados pessoais no

cadastro de nossos clientes em nossos sistemas, no
envio de boletos para clientes, recebimento de
currículos, seleção de novos colaboradores, elaboração
de contratos, captação de novos clientes, emissão de
folha de pagamento, dentre outras tantas atividades
que realizamos na rotina de nossas empresas.
Observe que a LGPD cuida apenas de dados pessoais, isto é, informações que se
referem a uma pessoa física e não pessoa jurídica. Dessa forma, para fins desta lei,
não será preciso se preocupar com o número do CNPJ (Cadastro Nacional de Pessoas
Jurídicas) de uma empresa, com sua razão social ou faturamento.
26
Assim, a LGPD não cuida de dados apenas empresariais, isto é, “(...) dados de pessoa
jurídica, documentos sigilosos ou confidenciais, segredos de negócio, planos
estratégicos, algoritmos, fórmulas, softwares, patentes, entre outros documentos ou
informações que não sejam relacionados a pessoa natural identificada ou
identificável” (VAINZOF, 2019, p. 17).
Mas precisamos estar atentos: mesmo nos casos citados acima ou, ainda, nos casos
em que os clientes de uma organização são apenas pessoas jurídicas, a empresa,
provavelmente, tratará dados pessoais de seus colaboradores, dos sócios de seus
clientes e dos funcionários de seus fornecedores. É impossível uma pessoa jurídica
realizar suas atividades sem pessoas físicas por trás, não é mesmo?
Tratamento de dados é toda atividade que fazemos dentro da empresa

que envolva dados de pessoas físicas, podendo ser desde um simples
nome, RG ou CPF até o conjunto de características que a tornam
identificável.
Como Identificar uma Atividade de

Tratamento
As atividades de tratamento que envolvem dados pessoais poderão ser chamadas de
processos. A LGPD diz que toda empresa precisa conhecer todos os seus processos
que envolvam dados pessoais e, mais do que isso, é necessário que tais processos
sejam registrados, detalhados e rotineiramente atualizados.
Para termos um exemplo prático, vamos analisar o seguinte caso: no setor de

Recursos Humanos de qualquer empresa, existe a atividade “emissão de folha de
pagamento” e que é muito corriqueira, pois é necessária para realizar o pagamento
dos funcionários e, com certeza, conta com dados pessoais. Por isso, estamos diante
de um processo.
27
Uma das suas funções como DPO, portanto, é identificar quais são as atividades
dentro da empresa que envolvem o tratamento de dados pessoais. Para isso, é
necessário que seja feito o mapeamento de todos os processos, isto é, pensar quais
atividades da rotina da sua empresa envolvem o tratamento de dados pessoais e
fazer o registro dessas informações.
Para facilitar a atividade de mapeamento, que tal separarmos a empresa por

departamentos? O DPOnet sugere que você cadastre os departamentos de sua
empresa de forma que você poderá acompanhar quais departamentos estão
inserindo os processos, quais mais tiverem processos reprovados e quais já estão
totalmente adequados.
Conhecendo quais os departamentos e setores da empresa, você terá uma visão

mais completa das atividades que são realizadas por setor dentro da organização.
Lembre-se: esse trabalho não será efetivo se apenas você investigar

quais dados pessoais estão circulando dentro da empresa, pois os
colaboradores que trabalham todos os dias nas atividades serão as
melhores e mais competentes pessoas para te ajudar nesta tarefa!
28
Porque devo mapear as atividades que envolvem dados pessoais? A
resposta é muitosimples: é uma exigência da lei! O artigo 37 da LGPD
(BRASIL, 2018) diz que: “Ocontrolador e o operador devem manter
registro das operações de tratamento dedados pessoais que realizarem,
especialmente quando baseado no legítimointeresse”.
Em cada departamento de uma empresa, existem várias atividades que são

realizadas diariamente. Como identificar uma atividade de tratamento de dados? O
primeiro passo é usar seus conhecimentos recém-adquiridos para saber quais
operações o colaborador realiza dentro de seu departamento, bem como se a
atividade em questão trata ou não dados pessoais – se a atividade é ou não um
processo. Em caso positivo, deve-se começar a pensar em como registrá-la.
O DPOnet disponibiliza o módulo de Data Mapping (mapeamento de dados) para

auxiliar no mapeamento de todas as atividades de tratamento de dados pessoais da
sua empresa, dividido em etapas. E como funciona esse mapeamento?
A metodologia do DPOnet sugere que cada líder de departamento seja responsável

por fazer esse mapeamento com o auxílio de outros colaboradores, se necessário,
dependendo da realidade da sua empresa. É importante analisar especificamente
como será mais fácil e produtivo organizar o mapeamento de dados na sua empresa.
O importante é que haja um controle do responsável pelo projeto a fim de que possa
haver um monitoramento e um registro contínuo dessas informações. Sugere-se,
ainda, que sejam estabelecidos prazos para a importação dos processos, como 1
(um) processo por dia, totalizando 5 (cinco) por semana.
Como vimos anteriormente, será necessário realizar um inventário das atividades de

tratamento de dados. Após selecionar uma atividade que você, enquanto DPO,
identificou como um processo, deverá haver a nomeação dessa atividade, pois assim
você poderá localizá-la sempre que necessário. É interessante, ainda, que você
atribua um código que identifique sua atividade como boa prática.
29
Não se esqueça de vincular essa atividade a um
determinado departamento, pois assim você consegue
saber por quais departamentos uma mesma atividade
circula. No caso de incidentes, por exemplo, podemos
investigar com maior assertividade quais são os setores
envolvidos.
Princípio da Finalidade
Além de identificar o processo, precisamos observar a finalidade, isto é, o porquê é
necessário e importante realizar determinada atividade. Segundo o conceito trazido
pela LGPD, no artigo 6º, inciso I (BRASIL, 2018), a finalidade é um princípio que deve
buscar a “realização do tratamento para propósitos legítimos, específicos, explícitos e
informados ao titular, sem possibilidade de tratamento posterior de forma
incompatível com essas finalidades”.
Ter uma finalidade para o tratamento de dados pessoais é ter um porquê ou um

propósito que justifique ter aquela informação dentro da sua empresa. A LGPD não
convida as empresas a pararem de tratar dados pessoais, mas trabalharem com os
dados que tenham alguma razão para estarem ali dentro e durante um período
razoável (BIONI, 2021, p.77). Ainda sobre o tema, Bioni destaca que:
Infelizmente muitas entidades ainda têm a mentalidade de coletar a

maior quantidade possível de dados sem antes refletir sobre a sua real
utilidade. Basta abrir nossos smartphones e notar a série de aplicativos
que pedem acesso à lista de contatos, câmera, microfone, dentre outras
coisas, que são desnecessários para o modelo de negócio ou serviço
público que nele roda. O resultado é, além da subutilização desses
dados, a sua transformação em um elemento tóxico que, depois de
“vazado”, ocasionam as catástrofes dessa nova economia movida a
dados.
Assim, todo DPO, estando diante de uma atividade de tratamento de dados pessoais,
deve questionar: Para quê? Por qual motivo a empresa trata os dados contidos nessa
atividade? Qual nosso objetivo ao ter acesso a essas informações? O que isso agrega
à nossa empresa?
30
No caso da “Emissão de folha de pagamento”, por exemplo, a principal finalidade
dessa atividade é registrar aquilo que foi pago, o que é devido, o que está creditado
ou foi descontado de um colaborador durante o mês. Mas mais do que isso, essa
atividade pode comprovar as transações realizadas em caso de fiscalização de
natureza previdenciária ou trabalhista por parte dos órgãos competentes.
É importante lembrar que a finalidade deve ser específica, isto é, se os

dados foram coletados para um único fim, eles não poderão ser utilizados
para outro propósitos diferentes, sem o conhecimento do titular de
dados. Se ao coletar o endereço de um cliente, por exemplo, a empresa
informa que o objetivo de ter acesso a esse dado é apenas para fins de
envio de boleto para cobrar o serviço contratado, não é recomendável
que essa mesma empresa utilize esse endereço para enviar propagandas
ou, ainda, compartilhe essa informação para que terceiros, tais como
empresas de marketing, façam divulgação de produtos.
Devemos destacar também que a finalidade de uma atividade impacta diretamente

no enquadramento legal, isto é, auxilia a encontrar a melhor hipótese trazida pela lei
que torna o processo lícito e que iremos aprender mais a frente, no módulo 6 e
seguintes. Isto porque se o objetivo de uma atividade é realizar o cumprimento de
uma obrigação legal, como atender a uma Resolução Normativa emitida por uma
Agência Reguladora, por exemplo, é mais fácil encontrar a justificativa do tratamento,
que não é por simples escolha da organização.
Princípio da Adequação
Deve-se ter atenção ao princípio da adequação que, segundo a LGPD, no artigo 6º,
inciso II (BRASIL, 2018), refere-se à “compatibilidade do tratamento com as finalidades
informadas ao titular, de acordo com o contexto do tratamento”, isto é, após
escolhida a razão do tratamento de dados pessoais, as informações que eu seleciono
devem ser compatíveis com a finalidade.
31
No registro que estamos estudando (emissão de folha de
pagamento) são dados adequados: nome, documento de
identificação, departamento, salário, assinatura e eventuais
descontos realizados durante o mês trabalhado, sendo todos os
dados referentes a um colaborador.
Assim, apenas para realizar esse registro, não há razão aparente

que justifique a coleta da cor da pele dessa pessoa, por exemplo.
Em outras palavras, para registrar o pagamento feito ao
colaborador, não faz sentido que a empresa colete dados referente
à sua etnia, pois não é compatível com a finalidade do registro, ou
seja, ultrapassa a finalidade proposta.
Término do Tratamento de Dados

Já no início do mapeamento, o responsável também deve ter ciência do tempo de
armazenamento na organização de forma geral, isto é, quanto tempo o registro e,
principalmente, os dados pessoais nele contidos permanecem dentro da empresa.
Um dos grandes objetivos da LGPD é que os dados pessoais circulem dentro da

organização:
1 enquanto forem úteis para a finalidade determinada;
32
2 para cumprimento
regulatória;
de uma obrigação legal ou
3 para comprovação de que aquela atividade foi feita.
Dessa forma, se não há mais razões para que os dados estejam circulando dentro da
empresa, eles devem ser eliminados. Em outras palavras, se a organização percebe
que a finalidade daquela atividade foi cumprida e não há nenhuma outra finalidade,
o tratamento perde a razão de existir. Manter esses dados inúteis para a empresa
representa apenas risco, sem nenhum benefício.
É preciso que haja uma mudança de cultura nas

organizações para que apenas os dados que
apresentem uma finalidade sejam mantidos sob nossa
guarda e, assim, evitar riscos desnecessários.
Ainda no caso da emissão de folha de pagamento, o processo deve ser mantido na

organização enquanto o contrato de trabalho for vigente ou pelo prazo prescricional
em que o colaborador possa acionar a empresa judicialmente, reclamando seus
ganhos mensais.
33
Essa é só a primeira etapa, que contempla as Informações Gerais, para que
tenhamos o registro completo de todos os dados dentro da nossa empresa. Assim,
sugerimos ter nesta primeira etapa:
Tela da primeira etapa de mapeamento da plataforma DPOnet
Estamos apenas iniciando o processo de mapeamento dos dados pessoais dentro

das organizações em que você poderá atuar como DPO. Assim, fique atento:
a. quais atividades possuem dados pessoais (processos);

b. qual a finalidade dessa atividade;
c. quanto tempo o processo permanece dentro da organização, isto é, qual o
prazo necessário para ele atingir a finalidade.
Somente essas informações não são suficientes para um mapeamento completo. Por
isso, na próxima unidade vamos ver outros pontos importantes a serem
considerados no data mapping.
34
03
Mapeamento de Dados –
Parte 2
35
Olá, cursando!
Agora que você já sabe o que é um dado pessoal e tratamento, vamos iniciar nosso
estudo a respeito das categorias de dados pessoais e apresentar a estrela da LGPD: o
titular de dados. Aqui, vamos dar início a etapa 2: dados tratados.
Os Titulares de Dados Pessoais

A LGPD pretende equilibrar os interesses dos titulares de dados, que precisam
alcançar a autodeterminação informativa, isto é, quem tem os seus dados, quais
dados terceiros têm acesso e para quais finalidades com os interesses empresariais.
Para que possamos continuar realizando o Data Mapping dos processos identificados,
é crucial saber diferenciar os diversos tipos de dados pessoais que circulam dentro
da empresa para que seja feita uma avaliação correta dos riscos, pois cada tipo de
dado pessoal pode gerar diferentes riscos para a empresa.
Como vimos anteriormente, um dado pessoal é toda informação relacionada a uma

pessoa natural identificada ou identificável. A pessoal natural a quem se referem os
dados pessoais, objeto de tratamento, são chamadas de titulares de dados. Para o
Direito Civil Brasileiro, a pessoa natural é todo ser humano, capaz de contrair direitos
e obrigações.
O titular de dados pessoais é a razão de ser da LGPD, uma vez que sua maior
preocupação é proteger os direitos fundamentais de liberdade, de privacidade e o
livre desenvolvimento da personalidade da pessoa natural.
A personalidade civil da pessoa natural tem início no momento do nascimento com

vida, conforme expresso no artigo 2º do Código Civil (BRASIL, 2018). Dessa forma, “(...)
assim que uma pessoa nasce e respira (nasce com vida), automaticamente já conta
com os direitos tutelados pela LGPD” (VAINZOF, 2019, p.102). Dessa forma, você é um
titular de dados, assim como sua mãe, seu colega de trabalho, seu chefe, seu
colaborador, seu prestador de serviço, seu cliente (enquanto pessoa física), enfim:
qualquer pessoa!
O conceito de titular de dados é, de fato, tão simples quanto parece: se estamos

falando de uma pessoa física, ela é automaticamente um titular de dados, sem
exceção!
36
Fonte: Imagem produzida pelos próprios autores
Não podemos confundir o conceito de titular de dados com o de

consumidor. Observe que o titular de dados é toda pessoa natural a
quem se referem dados pessoais. Dessa forma, um empregado de uma
empresa é sempre titular de dados, mas não necessariamente será um
consumidor dessa mesma empresa. Do mesmo modo, consumidores
podem ser pessoas jurídicas, sendo o titular apenas pessoas físicas.
Lembre-se: as pessoas jurídicas (empresas) não possuem dados

pessoais e, portanto, não são protegidas pela LGPD. Sendo assim, os
dados referentes à empresa, como por exemplo, razão social e CNPJ
não devem constar no Data Mapping. Os dados pessoais dos sócios,
37
representantes, funcionários e clientes da empresa são protegidos pela
LGPD.
Não se esqueça que o dado pessoal não precisa,

necessariamente, ser de propriedade de uma pessoa
física, mas estar a ela relacionado. O e-mail corporativo,
por exemplo, já é pacificado que pertence à empresa e
não ao colaborador. Assim, quando é desligado, o
colaborador não tem direito ao domínio. Contudo, caso
o e-mail seja
maria.silva@supermercadoprecobom.com.br, trata-
se de um dado pessoal, pois é possível saber que
estamos falando da Maria Silva que trabalha no
Supermercado Preço Bom.
O conceito de dados pessoais pode seguir uma orientação expansionista, como no

caso da LGPD, em que o dado identificável é considerado pessoal ou reducionista
quando apenas a identificação direta é considerada informação pessoal. Contudo,
um dado é pessoal somente se o esforço utilizado para identificar uma pessoa for
razoável (BIONI, 2021, p. 192). Assim, se para identificar uma pessoa é preciso de
muitos outros dados e, mesmo assim, sua identificação não é precisa, não estamos
diante de um dado pessoal.
Agora, você já está preparado para entender que um dado deixa de ser pessoal se ele
for anônimo, isto é, quando for incapaz de identificar uma pessoa específica. A
anonimização é o processo em que o titular deixa de estar vinculado a um dado. Em
outras palavras, com essa informação é impossível identificar alguém e, por isso, não
é uma preocupação da LGPD, conforme dito no artigo 12, caput, da lei (BRASIL, 2018).
Diferentemente disso é a pseudonimização, que é o tratamento no qual o dado

perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo
uso de informação adicional mantida separadamente. Assim, aquele que trata o dado
mantém uma informação crucial para identificação em ambiente diferente.
38
Para entender melhor e mais profundamente os conceitos de
anonimização e dado anonimizado, indicamos o artigo do Professor
Bruno Bioni, intitulado "Compreendendo o conceito de anonimização e
dado anonimizado” e publicado pela Escola Paulista da Magistratura:
Categorias de Dados Pessoais

A maioria dos dados que circulam na sua empresa é pessoal e, assim, caberá a você,
enquanto DPO, conseguir identificar a categoria a qual esses dados pertencem, pois
isso pode impactar na fragilidade do processo.
Dessa forma, precisamos estar cientes não apenas de quais dados pessoais circulam
em nossa organização, mas à qual categoria eles pertencem, pois somente assim
poderemos saber o quão grave um possível incidente pode ser ou qual o nível de
proteção devemos dispensar a determinado processo – isso porque o investimento
(financeiro, tecnológico e até humano) e cuidado para proteger um simples
formulário não deve ser, em tese, o mesmo que um prontuário médico exige.
Além de importante, diferenciar esses tipos de dados pessoais não é difícil. Assim, os
dados pessoais podem ser categorizados como sensíveis, financeiros,
comportamentais, simples e de menores. Vamos a eles:
39
Dados Pessoais Sensíveis
O dado pessoal sensível refere-se a informações que revelem a origem racial ou
étnica, convicção religiosa, opinião política, filiação à sindicato ou à organização de
caráter religioso, filosófico ou político, referente à saúde ou à vida sexual e dado
genético ou biométrico quando vinculado a uma pessoa física (BRASIL, 2018).
São exemplos de dados pessoais sensíveis na prática: biometria digital ou

facial, CID (Classificação Internacional de Doenças), ser católico,
evangélico, umbandista, judeu, homossexual, heterossexual, bissexual,
seguir viés político à esquerda ou à direita, dentre outras informações. No
caso da biometria, a maior problemática envolvida é que, caso ela venha a
ser utilizada por terceiros não autorizados para cometimento de fraudes,
por exemplo, ela não poderá ser alterada, pois é única, ao contrário de
uma senha.
A LGPD traz esses dados como sensíveis porque são delicados e, caso expostos ou
acessados por terceiros que não tenham autorização, podem gerar
constrangimentos ou discriminação aos seus titulares. É importante dizer que apenas
os dados que trouxemos são sensíveis, pois foram selecionados cuidadosamente
pelo legislador e, em regra, nenhum outro poderá ser adicionado a essa lista.
40
E a tatuagem, por exemplo, é um dado sensível?
Os especialistas em proteção de dados têm estudado a possibilidade de

outros dados que geram discriminação e que podem vir a ser tratados
como sensíveis. Para ver como o assunto tem sido tratado por aí, acesse:
Dados Pessoais Financeiros

A metodologia pertinente sugere, ainda, que os dados financeiros que circulam sejam
categorizados. Dados financeiros são aqueles que possuem relação com atividades
ou valores financeiros.
São exemplos de dados pessoais financeiros na prática: salário,

mensalidade, pagamentos, valores monetários em reais ou outras
moedas, dados de cartão de crédito ou débito, dados de cheques, boletos,
dados de instituições financeiras e contas correntes.
Esteja atento para que os dados selecionados sejam sempre relacionados a uma
pessoa física para serem considerados dados pessoais, ou seja, não confunda
eventuais dados financeiros exclusivamente relacionados à organização, sem vínculo
41
com pessoas físicas, com dados pessoais. Dessa forma, o faturamento de uma
empresa, as receitas e despesas, em tese, não são dados que precisam ser
mapeados.
Dados comportamentais
Sugere-se que os dados comportamentais também sejam categorizados, pois
revelam um certo comportamento específico do titular e são produzidos pelos
próprios titulares de dados. Em geral, esses dados são utilizados para entender quem
é o titular de dados, quais suas preferências, gostos e atitudes recorrentes que
podem ajudar a empresa a fornecer melhores experiências aos seus clientes, por
exemplo.
Os dados comportamentais necessitam de um cuidado especial, pois se acessados

por terceiros com finalidades maliciosas, podem ser utilizados para manipular o
titular de dados, isto é, fornecer informações falsas, mas alinhadas com suas
preferências políticas, por exemplo.
Essas informações podem ser coletadas por meio de dispositivos eletrônicos

conectados à internet tais como computadores, tablets e celulares, pois esses
dispositivos rastreiam o comportamento do usuário sobre sites visitados, produtos
comprados e jogos baixados, entre outros.
42
A própria LGPD reconhece dados comportamentais como pessoais, pois no artigo 12,
parágrafo segundo, é expresso que “Poderão ser igualmente considerados como
dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil
comportamental de determinada pessoa natural, se identificada” (BRASIL, 2018).
São exemplos de dados pessoais comportamentais na prática: dados

obtidos do histórico de compras, cookies, hábitos alimentares, horário de
trabalho, dentre outros.
Dados Pessoais Simples

Dados pessoais simples são todos os dados que não se encaixam como sensíveis,
financeiros ou comportamentais.
São exemplos de dados pessoais simples na prática: nome, sobrenome,

RG, PIS, e-mail, endereço, telefone, data de nascimento, dentre outros.
Agora, você está apto a entender que se a uma empresa, a XYZ, por exemplo, trata
apenas dados simples de seus clientes, enquanto a empresa 123, em contrapartida,
trata dados pessoais sensíveis e comportamentais, não é difícil concluir que é mais
arriscado trabalhar na empresa 123, pois os dados tratados por ela possuem um
risco maior e, em caso de incidente, o possível dano gerado ao titular de dados
também será maior.
Dados Pessoais de Menores

Por fim, é importante destacarmos os dados pessoais relacionados aos menores de
idade (menores de 18 anos), isto é, crianças e adolescentes.
Os dados pessoais dos menores não são diferentes de um adulto. Todavia, é

importante, sempre que possível, conhecer quais são os processos que
potencialmente possuem dados de menores, pois sabendo o quanto o público
43
infanto-juvenil não tem discernimento suficiente para entender a complexidade de
um tratamento de dados, a LGPD confere uma proteção ainda mais forte a esses
titulares.
Em outras palavras, muito possivelmente ao acessar os termos de uso de um

aplicativo de jogos, por exemplo, a criança não possui conhecimento suficiente para
entender quais são as condições que a empresa impõe para que ela possa jogar.
Quais dados dela serão coletados, para quais finalidades, quem terá acesso a isso e
por quanto tempo são algumas das perguntas que a empresa precisa fornecer aos
titulares e, muitas vezes, essas informações não são disponibilizadas ou quando são,
não são suficientemente claras.
E mesmo que tais informações sejam claras, nas ocasiões em que forem abusivas,
será que essa criança deixaria de ter acesso ao seu jogo porque sua foto pode ser
enviada para outro país? Possivelmente, essa criança nem vai ler esse documento.
A verdade é que hoje as crianças e adolescentes têm acesso, cada vez mais cedo, à
internet e a todas as possibilidades que o mundo virtual oferece. Todavia, essa
geração tem sido observada de perto e todas suas informações e comportamentos
recorrentes vêm sendo registrados, mas não se sabe ao certo por quem, quanto
disso tem sido compartilhado e o quanto pode impactar na formação desses
menores (Borelli, 2020, p.180). Justamente por isso, a LGPD trouxe que o tratamento
de dados pessoais de menores pode ser realizado, mas sempre buscando o melhor
interesse desses menores (BRASIL, 2018).
Assim, o artigo 14, parágrafo primeiro, diz que “O tratamento de dados pessoais de
crianças deverá ser realizado com o consentimento específico e em destaque dado
por pelo menos um dos pais ou pelo responsável legal” (BRASIL, 2018).
Dessa forma, se não categorizarmos os dados de menores de forma separada, será

impossível saber quais processos precisarão ou não ter o consentimento específico e
expresso dos pais ou responsáveis legais.
44
A preocupação com os dados pessoais de crianças e adolescentes não é
apenas uma preocupação brasileira. A Autoridade de Proteção de Dados
holandesa (CBP) multou em quase 900.000 dólares a rede social TikTok,
febre entre o público infanto-juvenil. Segundo a Autoridade, os termos de
uso da plataforma estavam em inglês, o que dificultava a transparência
com aqueles que faziam o download do aplicativo. Em outras palavras, os
usuários não tinham um conhecimento facilitado sobre como seus dados
seriam tratados caso fizessem uso da rede social.
Para facilitar o seu mapeamento e, principalmente, apurar o risco de

determinado processo, separe os dados em sensíveis, financeiros,
comportamentais e simples. Além disso, tenham os dados de menores
em destaque para facilitar o recolhimento do consentimento dos
responsáveis legais.
As categorias de dados pessoais, portanto, são as seguintes:
45
Fonte: Imagem produzida pelos próprios autores
Assim, sugerimos que você, enquanto DPO, oriente os colaboradores envolvidos no

Data Mapping a selecionar:
i. a categoria de titular a que o dado se refere: deve-se observar de quem esse

registro tem informações, isto é, qual a pessoa natural de quem serão coletadas
informações pessoais. No caso da emissão de folha de pagamento, por exemplo,
deve selecionar o “colaborador”, pois os dados que irei coletar dizem respeito aos
funcionários de uma empresa;
ii. quais dados são coletados no processo em análise: um dos quesitos mais
importantes é saber quais serão os dados utilizados no registro analisado, pois assim,
começaremos a ter uma exata noção de quais dados circulam dentro de nossa
empresa. Seguindo o exemplo da folha de pagamento, posso coletar: nome, cargo,
salário e assinatura do colaborador;
iii. a atividade tem potencial de coletar dados de menor: conforme vimos

anteriormente, é necessário termos muito cuidado se o registro envolve dado de
crianças para que haja o consentimento específico dos pais para que o tratamento
possa acontecer.
O DPOnet otimizou a etapa de coleta de dados, a fim de que toda organização possa
ter um mapeamento mais fácil e dinâmico. Assim, para etapa de coleta de dados
temos:
46
Atente-se aos documentos que possuem mais de um
titular para cadastrar todos os dados com os
respectivos titulares. Em um atestado médico, por
exemplo, teremos os dados do paciente (nome, CPF e
dados de saúde) e também do médico (assinatura,
nome e CRM).
Por fim, é importante ficar claro que você não deve se preocupar com o número de
processos ou a quem eles se referem especificamente. Em outras palavras, no caso
do registro da folha de pagamento, o setor de Recursos Humanos faz esse processo
inúmeras vezes, colocando os dados que correspondem a cada um dos funcionários.
Ao DPO não interessa saber quanto o colaborador João ganha.
47
Para fins de Data Mapping, é preciso registrar a atividade uma única vez, o tipo de
titular envolvido e quais dados, e não é necessário apurar de forma específica: João
ganha R$ 10.000,00 (dez mil reais); Maria recebe R$ 12.000,00 (doze mil reais), pois
essas informações devem ser sigilosas e restritas aos setores que participam da
emissão de folha de pagamento.
Chegamos ao final da etapa 2, e agora você já sabe quais dados são tratados. Até a
próxima!
48
04
Mapeamento dos Dados -

Parte 3
49
Ciclo de Vida dos Dados
Como visto nas aulas anteriores, a Lei Geral de Proteção de Dados aborda, em seu
art. 5º, inciso X, que tratamento é toda operação realizada com dados pessoais,
como as que se referem a coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração. Ou seja, toda e qualquer atividade
que envolva dados pessoais é considerada como um tratamento.
Então, quando falamos em “ciclo de vida dos dados pessoais”, nos referimos a tudo
que envolve as informações obtidas por uma organização, desde a sua coleta até a
sua devida eliminação, ou seja, o caminho que o dado percorre desde o momento
em que ele entra na organização até o momento em que sai.
Baseando-se no conceito de tratamento acima mencionado e, de acordo com o Guia

de Boas Práticas da Lei Geral de Proteção de Dados, divide-se o ciclo de vida dos
dados pessoais em cinco fases: coleta, retenção, processamento,
compartilhamento e eliminação. Vamos conhecer cada uma delas.
Primeira fase: coleta – produção ou recepção de dados pessoais,

independentemente do meio utilizado (físico ou digital).
Segunda fase: retenção – corresponde ao arquivamento ou armazenamento dos

dados pessoais, também independentemente do meio utilizado.
Terceira fase: processamento – refere-se a qualquer operação que envolva a

classificação, utilização, reprodução, avaliação, controle, extração ou modificação dos
dados pessoais.
Quarta fase: compartilhamento – corresponde a qualquer operação que envolva a

transmissão, distribuição, comunicação, transferência e difusão de dados pessoais.
Quinta fase: eliminação – qualquer operação que visa apagar, descartar ou eliminar
os dados pessoais.
50
A seguir, veja uma tabela que relaciona exatamente o que foi falado até aqui: as
operações de tratamento com as fases do ciclo de vida de dados pessoais.
51
DADOS PESSOAIS
FASE DO CICLO DE
OPERAÇÕES DE TRATAMENTO – LGPD, ART. 5º, X
TRATAMENTO
Coleta Coleta, produção, recepção
Retenção Arquivamento e armazenamento
Classificação, utilização, reprodução,

Processamento processamento, avaliação ou controle da
informação, extração e modificação.
Transmissão, distribuição, comunicação,

Compartilhamento
transferência e difusão.
Eliminação Eliminação
Fonte: Adaptado de Guia de Boas Práticas da Lei Geral de Proteção de Dados (LGPD)
(2021, p. 42).
Além das fases do ciclo de vida, também é importante identificar os ativos

organizacionais presentes na empresa. Os principais ativos são: bases de dados,
documentos, equipamentos, locais físicos, pessoas, sistemas e unidades
organizacionais. Que tal entender o funcionamento de cada um deles?
52
A base de dados nada mais é do que o conjunto de dados pessoais
coletados e armazenados pela empresa. Os documentos são as unidades
de registro de informação, podendo ser físicos ou eletrônicos. O
equipamento é o objeto necessário para o exercício de uma atividade
(por exemplo: computador, impressora). Já o local físico refere-se ao
ambiente no qual pode haver a existência de informações pessoais (por
exemplo: um arquivo, uma sala, uma mesa). A pessoa é qualquer
indivíduo que executa alguma atividade de tratamento de dados pessoais.
O sistema refere-se a qualquer software que esteja envolvido com as
fases do ciclo de vida do tratamento de dados pessoais. Por fim, a
unidade organizacional refere-se aos órgãos e entidades da
Administração Pública.
Agora que conhecemos as fases do ciclo de vida dos dados pessoais e os

ativos organizacionais que podem estar relacionados a elas, vamos
identificar um exemplo na prática?
Você foi a uma consulta médica em um consultório, pela primeira vez.

Chegando lá, a secretária solicitou alguns de seus dados pessoais com a
finalidade de efetuar o cadastro de paciente. Nesse momento, os dados
pessoais foram coletados na ficha de cadastro, que pode ser física ou
digital (sistema). No momento da consulta, a secretária compartilha essa
ficha com o médico responsável pelo seu atendimento. Após a utilização,
os dados ficam armazenados para utilização em posterior consulta.
53
Você sabia que a operação de tratamento denominada
como “acesso” está presente em todas as fases do ciclo
de vida dos dados pessoais? De algum modo,
precisamos realizar o acesso ao dado pessoal para
efetuar sua coleta, retenção, processamento,
compartilhamento ou eliminação. Quer um exemplo?
Se um colaborador de outro departamento te ligar
pedindo para que você consulte a agenda de telefones
dos médicos da empresa, o simples acesso a essa
agenda já é um tratamento de dados pessoais, assim
como o armazenamento dessa agenda e o
compartilhamento do número de telefone desse
médico para o colaborador solicitante.
Princípios da Transparência e da Prevenção

A Lei Geral de Proteção de Dados não proíbe a realização de operações de
tratamento de dados pessoais, mas estabelece que essas atividades devem ser
efetuadas com base na boa-fé e nos princípios listados no art. 6º. As organizações
podem tratar dados de diversos tipos de titulares, tais como colaboradores, clientes,
parceiros, possíveis clientes, candidatos a vagas de emprego e dependentes de
colaboradores. Por essa razão, tendo conhecimento ou não sobre a lei, esses titulares
devem ter ciência de como essa empresa cuida de seus dados pessoais, o que
falaremos a seguir.
O princípio da transparência, previsto no art. 6º, inciso VI, garante aos titulares de
dados informações claras, precisas e facilmente acessíveis sobre a realização do
tratamento de seus dados pessoais. Em outras palavras, o titular tem o direito de
conhecer a finalidade da coleta de seus dados, os possíveis compartilhamentos que
serão realizados, bem como o ciclo de vida de suas informações dentro da
organização.
Em consonância com esse princípio, temos o princípio da prevenção, previsto no

inciso VIII, o qual determina a adoção de medidas para prevenir a ocorrência de
dados em virtude do tratamento de dados pessoais. Ou seja, a empresa deverá
54
adotar meios que garantam a segurança desses dados pessoais, por exemplo: o
sistema que armazena dados pessoais é seguro se o arquivo utilizado para
armazenar informações é acessado somente por pessoas autorizadas?
Percebeu a importância em saber como as empresas cuidam de seus

dados pessoais? Leia um artigo sobre o compartilhamento de dados feitos
a partir da realização de compras on-line:
Salvaguarda e Ciclo de Vida no DPOnet

E aí, conseguiu visualizar como a Lei Geral de Proteção de Dados veio para cuidar das
nossas informações? Para facilitar ainda mais o nosso entendimento, vamos
continuar o mapeamento iniciado nos módulos anteriores e visualizar tudo o que foi
falado até aqui, na prática, como DPO.
Na etapa 03 do mapeamento, denominada como “salvaguarda e ciclo de vida”,

deverá ser descrito o caminho que o dado percorre desde o momento em que ele
entra na organização, até o momento em que sai. Aqui, conseguiremos visualizar,
com clareza, todos os tópicos abordados anteriormente neste módulo.
55
Tela da terceira etapa do mapeamento de dados pessoais da plataforma DPOnet
Primeiramente, é importante ressaltar que a plataforma é extremamente intuitiva,

portanto, as informações a serem incluídas acabam conversando entre si, pois uma
complementa a outra. Além disso, todos os campos de preenchimento possuem
pequenos lembretes sobre o que deve ser escrito ali. Abordaremos, portanto, cada
campo de preenchimento, apontando o que deve ser incluído em cada um deles e
dando continuidade ao exemplo utilizado nos módulos anteriores (folha de
pagamento):
Onde os dados são armazenados: aqui, o cliente deve indicar o local de

armazenamento do seu registro dentro do seu departamento. Atente-se: o campo
denominado como “forma de proteção” deve estar em consonância com esse, ou
seja, se o cliente informou que o registro é armazenado, por exemplo, em um
sistema, e-mail, servidor ou WhatsApp, deverá possuir proteção eletrônica. Iremos
considerar, portanto, que a folha de pagamento é armazenada em pastas físicas,
dentro de um armário.
Ambiente de alocação: indica se o registro é alocado internamente (dentro da

organização), externo (fora da organização) ou em ambos (interno e externo). Iremos
considerar, portanto, que esse armário fica armazenado dentro do departamento de
56
Recursos Humanos, ou seja, interno.
Valor: indica a quantidade de tempo, em números, que o registro ficará armazenado

dentro da organização.
Unidade de tempo: em complemento ao campo de preenchimento anterior, indica o

formato de tempo que o registro ficará armazenado. Por exemplo: dias, meses ou
anos. No caso da folha de pagamento, considera-se que o registro deve ser mantido
na organização enquanto o contrato de trabalho for vigente, ou pelo prazo
prescricional em que o colaborador possa acionar a empresa judicialmente,
reclamando seus ganhos mensais.
Justificativa de retenção: o cliente deverá apresentar a razão que justifique o

período pelo qual o documento permanece dentro do departamento. No caso da
folha de pagamento, podemos mencionar a comprovação do pagamento ao
colaborador.
Como os dados são dispostos: o cliente deve descrever o que é feito com o registro
após o término do tempo de retenção, por exemplo: se a organização irá destruir,
deletar, enviar para terceiros ou, se não há descarte. Assim como na unidade de
tempo, considera-se que o registro deve ser mantido na organização enquanto o
contrato de trabalho for vigente, ou pelo prazo prescricional em que o colaborador
possa acionar a empresa judicialmente, reclamando seus ganhos mensais.
Forma de recuperação: aqui, o cliente nos informa como localiza o registro dentro
da organização, isto é, quando é necessário encontrá-lo, após seu armazenamento,
qual a forma que o colaborador utilizará. Por exemplo: nome do colaborador, mês.
Forma de proteção: nesse campo, o cliente deverá informar se esse registro é

protegido por via eletrônica (sistema, e-mail, WhatsApp, servidor) ou física (impresso).
No caso da folha de pagamento armazenada em armário, a forma de proteção será
física.
Ao serem informadas ao titular de dados, essas informações listadas correspondem

ao cumprimento dos princípios anteriormente estudados, tendo em vista que,
conhecendo o ciclo de vida dos dados dentro da organização e a maneira como a
empresa se preocupa em garantir o armazenamento seguro dessas informações, a
transparência e a prevenção são colocadas em prática, fazendo com que o titular de
dados estabeleça uma relação de confiança com a empresa na qual disponibiliza suas
informações pessoais.
57
Compartilhamento de Dados
Pessoais
Como visto no tópico anterior, tratamento é toda operação realizada com dados
pessoais. Dentre elas, encontramos uma das atividades que merece maior atenção
no tocante à adequação da Lei Geral de Proteção de Dados nas organizações: o
compartilhamento de dados, que corresponde à toda comunicação, transmissão ou
transferência de informações pessoais.
Para que o compartilhamento de dados ocorra em cumprimento com a Lei, é

necessário que esteja em consonância com os princípios e bases legais nela
previstos, as quais serão abordadas mais adiante, detalhadamente.
58
Vale dizer que o compartilhamento de dados deverá ser
feito em razão de uma finalidade, com propósitos
necessários e claramente explicados ao titular de
dados, permitindo o livre acesso aos mesmos sobre a
forma e duração do tratamento, garantindo a
segurança e cabendo às empresas a responsabilização
e a prestação de contas.
Princípios da Segurança, Responsabilização e

Prestação de Contas
Seguindo essa linha de raciocínio, te convido a conhecer mais dois dos dez princípios
previstos na Lei.
O primeiro é o princípio da segurança, previsto no art. 6º, inciso VII, que garante a
utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais
de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou difusão. Por exemplo: agora que a Lei Geral de Proteção
de Dados está valendo, os colaboradores das empresas recebem orientações no
sentido de não permitir que terceiros não autorizados acessem documentos que
contenham dados pessoais, não compartilhem senhas, tomem cuidado ao enviar um
e-mail contendo informações pessoais ao destinatário errado e não forneçam
informações pessoais por telefone sem ter a certeza de que está falando com o
titular detentor destas.
59
Você já ouviu falar em phishing? Trata-se de um dos crimes virtuais mais
conhecidos, por meio do qual o cibercriminoso “pesca” as informações do
usuário-vítima através de links falsos, porém, muito atrativos, como
propagandas de lojas famosas informando o fornecimento de brindes
gratuitos. Para ganhar, o usuário precisa preencher um formulário e, ao
final, descobre que não era verdade. Contudo, só percebeu isso após
fornecer seus dados pessoais.
Já o princípio da responsabilização e prestação de contas, previsto no inciso X,

garante a demonstração, pelo agente de tratamento, da adoção de medidas eficazes
e capazes de comprovar a observância e o cumprimento das normas de proteção de
dados pessoais e, inclusive, da eficácia dessas medidas.
Por exemplo: você, depois de conhecer seus direitos como titular de dados, ficou
curioso para saber como a clínica na qual você costuma realizar seus exames de
rotina armazena e compartilha seus dados pessoais, de modo que espera que todo o
cuidado seja tomado para que terceiros não autorizados tenham acesso a essas
informações.
Agora que a lei passou a valer, os estabelecimentos têm o dever de prestar contas
relacionadas a esse tipo de informação, desde que solicitadas pelo titular, ou pela
Autoridade Nacional de Proteção de Dados (ANPD), que também será abordada mais
adiante.
Transferência Internacional de Dados

Pode acontecer também, dependendo da finalidade das atividades de tratamento, o
compartilhamento de dados com instituições estrangeiras, com as quais tenham sido
estabelecidas parcerias.
Nesses casos, se dará a mencionada transferência internacional de dados, ou seja,

conforme descrito no art. 5º, inciso XV, da Lei Geral de Proteção de Dados, os dados
pessoais serão transferidos para um país estrangeiro ou organismo internacional do
60
qual o país de origem seja membro. O art. 33, da Lei Geral de Proteção de Dados,
estabelece as hipóteses que permitem a transferência internacional de dados:
Art. 33. A transferência internacional de dados pessoais somente é

permitida nos seguintes casos:
I - para países ou organismos internacionais que proporcionem grau de

proteção de dados pessoais adequado ao previsto nesta Lei;
II - quando o controlador oferecer e comprovar garantias de

cumprimento dos princípios, dos direitos do titular e do regime de
proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
III - quando a transferência for necessária para a cooperação jurídica

internacional entre órgãos públicos de inteligência, de investigação e de
persecução, de acordo com os instrumentos de direito internacional;
IV - quando a transferência for necessária para a proteção da vida ou da

incolumidade física do titular ou de terceiro;
V - quando a autoridade nacional autorizar a transferência;
VI - quando a transferência resultar em compromisso assumido em

acordo de cooperação internacional;
VII - quando a transferência for necessária para a execução de política

pública ou atribuição legal do serviço público, sendo dada publicidade
nos termos do inciso I do caput do art. 23 desta Lei;
VIII - quando o titular tiver fornecido o seu consentimento específico e

em destaque para a transferência, com informação prévia sobre o
caráter internacional da operação, distinguindo claramente esta de
outras finalidades; ou
IX - quando necessário para atender às hipóteses previstas nos incisos II,

V e VI do art. 7º desta Lei.
61
Se você está no Brasil e encaminha um e-mail para um
indivíduo localizado na Inglaterra, contendo documentos com
dados de candidatos à determinada vaga, esta operação
caracteriza-se como uma transferência internacional de dados.
Mais exemplos como este disponíveis no link:
62
Compartilhamento de Dados no DPOnet
Agora que passamos pelos conceitos legais e alguns exemplos práticos sobre a
transferência de dados pessoais, que tal continuarmos a mapear nosso registro de
folha de pagamento? A próxima etapa refere-se justamente ao compartilhamento
de dados pessoais.
Tela da quarta etapa do mapeamento de dados pessoais da plataforma DPOnet
Nesta etapa, deverão ser preenchidos, em primeiro momento, os cinco primeiros

campos ilustrados na imagem acima: com quem o dado é compartilhado, por que o
dado é compartilhado, como o dado é compartilhado, qual é o tipo de
compartilhamento e se, para realizar este compartilhamento, é utilizada alguma
plataforma, software ou aplicativo.
Os compartilhamentos podem ser classificados como interno, externo ou ambos. O

compartilhamento interno ocorre quando os dados pessoais são compartilhados
dentro da própria empresa, entre os setores (por exemplo, os dados são enviados do
setor de atendimento para o setor financeiro). Já o compartilhamento externo
ocorre quando os dados são compartilhados com outra empresa ou com outra
pessoa, fora da empresa (por exemplo, o setor de Recursos Humanos compartilha
um documento contendo dados pessoais com um escritório de contabilidade).
63
Você sabia que quando compartilhamos informações via e-mail ou
WhatsApp, por exemplo, além do compartilhamento feito com o
destinatário da mensagem, também existe um compartilhamento com a
própria ferramenta utilizada? Ou seja, se você envia um documento
contendo dados pessoais para um colaborador de outro setor por
WhatsApp, existem dois compartilhamentos – um compartilhamento
interno com o colaborador e um compartilhamento externo com o
provedor de WhatsApp. O mesmo ocorrerá caso os dados sejam
compartilhados por meio de um sistema, e-mail, Skype, Facebook, site.
No caso da folha de pagamento, vamos ilustrar que o departamento de Recursos

Humanos compartilhe este documento com o próprio colaborador. Sendo assim:
1 Com quem o dado é compartilhado? Colaborador.
2 Por que o dado é compartilhado? Para comprovação do

pagamento.
64
3 Como o dado é compartilhado? E-mail.
4 Tipo de compartilhamento? Interno e externo.
5 Para realizar este compartilhamento, você utiliza

alguma plataforma, software ou aplicativo? Sim.
65
Tela da quarta etapa do mapeamento de dados pessoais da plataforma DPOnet
Nesse momento, ocorrendo a utilização de alguma plataforma, software ou

aplicativo, aparecerão outras duas perguntas para serem respondidas:
6 Qual o nome da plataforma, software ou aplicativo

utilizado? Gmail, Outlook.
7 O servidor dessa plataforma, software ou aplicativo é

de sua empresa ou é contratado de terceiro? É
contratado de terceiro.
66
Todos os compartilhamentos realizados com o registro deverão ser listados nesta
etapa. Assim, é muito mais fácil visualizar as finalidades e necessidades de cada um
deles. Por exemplo: se é uma determinação legal, se corresponde à rotina interna da
empresa.
Viu como é simples trabalhar em uma plataforma desenvolvida com enorme atenção
às exigências da lei? Nosso objetivo é facilitar, cada vez mais, o entendimento sobre a
importância dessa nova cultura de proteção de dados. E saiba que estamos apenas
começando, pois ainda temos muitos assuntos interessantes para conversar. Até a
próxima aula!
67
05
apeamento dos Dados -

Parte 4
68
Olá, estudante!
Você já se perguntou qual seria a necessidade da coleta de seus dados pessoais em

algum estabelecimento? Agora que a Lei Geral de Proteção de Dados passou a valer,
um de seus direitos como titular de dados é solicitar a eliminação de dados
desnecessários para a finalidade do tratamento.
Neste módulo, continuaremos o preenchimento das etapas de mapeamento de

dados do DPOnet. Mas, antes disso, falaremos sobre mais um dos princípios listados
na Lei Geral de Proteção de Dados.
Princípio da
Necessidade/Minimização
Previsto no art. 6º, inciso III, o princípio da necessidade (ou minimização) garante a
limitação do tratamento ao mínimo necessário para a realização de suas finalidades,
com abrangência dos dados pertinentes, proporcionais e não excessivos em relação
às finalidades do tratamento de dados. Em outras palavras, significa dizer que os
dados pessoais serão minimizados, ou seja, só serão utilizados os dados
extremamente necessários para que o objetivo da finalidade seja alcançado,
evitando, assim, que o titular seja exposto de maneira inconveniente.
Consumidor tem direito limitado à exclusão de dados por empresas.

Saiba mais no link:
69
Vamos analisar um exemplo prático: você ficou sabendo que uma empresa abriu
uma vaga de emprego que se encaixa no seu perfil e, então, se dirigiu até o local para
entregar seu currículo. Ao ser atendido pela secretária responsável pelo recolhimento
desse documento, você foi questionado acerca de seu estado de saúde, se possuía
alguma doença cardiorrespiratória, etc. Se a finalidade do tratamento de dados, até
então, é apenas a coleta dos currículos dos candidatos para futura seleção a
entrevistas, qual seria a finalidade de coleta de seus dados sensíveis referentes à
saúde? Você se sentiria confortável em fornecer essa informação sem saber se isso
implicaria na eliminação do seu currículo ao preenchimento da vaga?
Análise de Necessidade e Proporcionalidade no

DPOnet
Foi pensando exatamente no cumprimento desse princípio que o DPOnet elaborou a
etapa de necessidade e proporcionalidade no mapeamento dos dados. Nesta
etapa, o colaborador irá informar, baseado em toda a sua experiência de trabalho, se
os dados pessoais, compartilhamentos e armazenamentos pelos quais possui acesso
são necessários e proporcionais para a realização da atividade.
Utilizaremos como exemplo a folha de pagamento. Geralmente, nesse tipo de

documentação, são coletados dados como nome, CPF, RG, data de nascimento, data
do pagamento, número da CTPS, dados bancários e PIS. Mas para realizar a atividade
70
de entrega da folha de pagamento, o colaborador responsável utiliza apenas alguns
desses dados. Dessa forma, a coleta dos demais dados torna-se desnecessária.
Tela da quinta etapa do mapeamento de dados pessoais da plataforma DPOnet
A mesma análise deverá ser feita com os compartilhamentos e tipos de proteção

mencionados no registro. Vejamos:
71
Tela da quinta etapa do mapeamento de dados pessoais da plataforma DPOnet
É importante frisar que não há problema caso o

colaborador marque “sim” em todos os campos. Com
toda a sua experiência de trabalho e lidando
diariamente com a rotina da organização, não existe
pessoa melhor para esclarecer a necessidade dos
dados coletados. No entanto, ao escolher a opção
“não”, automaticamente será gerado um Registro de
Melhoria Contínua (RMC).
Registro de Melhoria Contínua (RMC)
72
O RMC de necessidade e proporcionalidade tem por objetivo a conclusão da
avaliação dos dados tratados, compartilhamentos e formas de proteção que
integram o processo. Assim como menciona o princípio da necessidade, quanto
menos dados tratados, compartilhamentos e formas de proteção utilizadas, menor
será o risco aos titulares de dados.
Nesse sentido, o Registro de Melhoria Contínua de necessidade e proporcionalidade

foi criado para facilitar a eliminação desses tratamentos desnecessários, de forma
muito prática, para que o usuário possa finalizar a avaliação em uma única tela.
Assim, o usuário terá a opção de tratar esse registro e alterar a inconformidade
indicada, ou seja, retirar o que não for necessário e modificar efetivamente a
metodologia desse processo na rotina da organização.
73
06
Parte 5
74
Bases Legais – Parte 1 -
Bases Legais de Tratamento de
Dados
O início dos estudos referente às bases legais de tratamento recomenda uma
abordagem sobre o conceito de base legal e em que situações podem ser aplicadas, a
depender da natureza do dado tratado, seja simples ou sensível.
É importante destacar que a LGPD busca elencar as hipóteses em que se admite o

tratamento de dados pessoais diferenciando o enquadramento pela situação fática,
se de dados pessoais simples, a uma das hipóteses do art. 7º, ou se de dados
pessoais sensíveis, a uma das hipóteses do art. 11.
Relembrando, os dados pessoais sensíveis são assim

chamados em virtude de constituírem circunstâncias
que podem trazer algum tipo de discriminação quando
do seu tratamento (origem racial, convicção religiosa,
opinião política, dado referente à saúde, para citar
alguns exemplos) bem como, diante da sua criticidade,
dados genéticos e biométricos. Ou seja, são dados
pessoais que poderão implicar riscos e vulnerabilidades
potencialmente mais gravosas aos direitos e liberdades
fundamentais dos titulares.
A depender dessa distinção da natureza dos dados, pode-se aplicar determinada

base legal conforme previstas nos artigos 7º e 11º da Lei Geral de Proteção de Dados
(LGPD). Inicialmente é importante destacar que as bases legais previstas nos
referidos artigos podem ser de aplicação comum aos dados simples e sensíveis ou
exclusivas a um ou outro. Dessa forma, estudaremos cada base legal indicando se a
aplicação é exclusiva de dados simples ou sensíveis ou ainda, se é de aplicação
comum a qualquer tipo de dado.
Assim, temos as seguintes bases legais e a aplicação para dados simples ou sensíveis:
75
Fonte: Produzida Pelos Autores
Fonte: Produzida Pelos Autores
Dessa forma, a Lei Geral de Proteção de Dados traz referidas hipóteses de

tratamento, sendo dez em seu art. 7º que autorizam o tratamento de dados simples e
prevê em seu art. 11 mais oito bases legais, para o tratamento de dados sensíveis.
76
Para a adequação à base legal, é necessário o entendimento no sentido de que se faz
necessária o enquadramento em ao menos uma das hipóteses, o que não exclui a
possibilidade de que para uma mesma atividade possa haver mais de uma base legal
que o autorize.
Consentimento
Seguindo a ordem trazida pela lei, estudaremos aqui o consentimento, que está
assim regulamentado:
Utilizada para dados sensíveis e para dados simples
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas

seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
Art. 11. O tratamento de dados pessoais sensíveis somente poderá

ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica

e destacada, para finalidades específicas.
Apesar de a lei trazer como o primeiro indicado nos incisos o consentimento, este
não deve ser o primeiro a ser utilizado para enquadrar a atividade ou tratamento
mapeados à hipótese legal. Há debate intenso a respeito e entendimento no sentido
de que é frágil a utilização dessa base, justamente pela possibilidade de revogação a
qualquer tempo.
Segundo o próprio art. 5º, XII da LGPR, consentimento nada mais é do que
manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada, ou seja, os
titulares devem ter a possibilidade de escolher livremente quais dados serão tratados
em cada operação sem a mínima “pressão” para tal consentimento, sob pena de
nulidade do mesmo.
77
Ainda sobre a definição legal, o consentimento deve ser informado na medida em
que o titular do dado deve ser amplamente comunicado sobre o ciclo de vida do
tratamento de seus dados pessoais, cumprindo assim o Princípio da Transparência já
estudado. Para se alcançar o objetivo previsto na norma, a informação deve abranger
a indicação sobre, por exemplo, a finalidade, forma e duração do tratamento,
identificação do controlador, responsabilidades e direitos, dentre outros.
Um aspecto também importante a ser abordado é com

relação à forma que o consentimento deve ser tomado.
Deve ser fornecido por escrito, com cláusula em
destaque, ou de outra forma que comprove a
manifestação do titular, cabendo ao controlador o ônus
dessa comprovação.
Têm-se, ainda, como importantes características do consentimento o fato de que o

mesmo deverá referir-se a finalidades determinadas, e as autorizações genéricas
para o tratamento de dados pessoais serão nulas, além do que pode ser revogado a
qualquer momento mediante manifestação expressa do titular, por procedimento
gratuito e facilitado.
A LGPD traz ainda regras sobre o consentimento no sentido de que caso seja
necessário o controlador comunicar ou compartilhar dados pessoais com outros
controladores, ele deve obter um consentimento específico do titular para esse fim.
No que se refere ao consentimento quando envolvido dados de menores, deverá ser

realizado com o consentimento específico e em destaque dado por pelo menos um
dos pais ou pelo responsável legal.
78
Qualquer alteração de informação referente à finalidade específica do
tratamento; forma e duração do tratamento; identificação do controlador;
informações acerca do uso compartilhado de dados pelo controlador e a
finalidade deverão ser informadas ao titular pelo controlador, podendo o
titular revogar o consentimento caso discorde da alteração. Exemplo: será
considerado nulo caso as informações fornecidas ao titular tenham
conteúdo enganoso ou abusivo ou não tenham sido apresentadas
previamente com transparência, de forma clara e inequívoca.
Exemplo de enquadramento no DPOnet:
Registro: Lista de Aniversariantes
Tela de mapeamento de dados pessoais da plataforma DPOnet
79
Obrigação Legal
A base legal a ser abordada refere-se à obrigação legal ou normativa que também é
de aplicação comum para o tratamento de dados simples e sensíveis.
Art. 7°- II - para o cumprimento de obrigação legal ou regulatória pelo

controlador;
Art. 11- II - sem fornecimento de consentimento do titular, nas hipóteses

em que for indispensável para: “a” - cumprimento de obrigação legal ou
regulatória pelo controlador;
Em caso de norma regulatória ou determinação legal como, por exemplo, leis de

qualquer ente da federação, decretos, resoluções, entre outros, o tratamento poderá
ser realizado pela pessoa a quem compete as decisões referentes ao tratamento de
dados pessoais, ou seja, o controlador poderá justificar o tratamento sendo coberto
pela legislação que lhe impõe o tratamento.
É importante observar que o tratamento de dados pessoais não acontece por mera
liberalidade ou vontade do agente de tratamento, mas em decorrência de uma
obrigação prevista em lei. A base legal de cumprimento de obrigação legal ou
regulatória possibilita que a LGPD não entre em conflito com outras legislações
vigentes no Brasil, ou seja, essa hipótese de tratamento de dados se concretiza por
força de lei anterior ou para garantir a ordem e a segurança social.
Dessa forma, no caso de uma obrigação decorrente de norma acarretar um

tratamento de dados pessoais por parte de um controlador, este estará autorizado a
tratá-los para cumprir a referida exigência, desde que a norma, de fato, exija esse
tratamento, isto é, não poderá haver um tratamento de dados superior ao exigido
pela lei.
Com relação ao tratamento de dados pessoais sensíveis, a Lei prevê em seu art. 11,
inciso II, alínea “a”, que o mesmo poderá ocorrer sem o fornecimento de
consentimento do titular, na hipótese em que for indispensável para o cumprimento
de obrigação legal ou regulatória.
80
Assim, é necessário que haja alguma obrigação legal, seja por força de lei
complementar, lei ordinária, lei delegada, lei, medida provisória, decreto,
regulamento, regimento, resolução ou qualquer ato normativo que obrigue o agente
de tratamento realizar aquele tratamento.
Toda oportunidade em que o controlador enfrentar a necessidade de

tratamento de dados pessoais em decorrência de uma norma impositiva,
deverá adotar a base legal prevista na alínea “a” do inciso II do 11º art. da
LGPD para enquadrar sua atividade, e, dessa forma estar em
conformidade, desde que dispense o tratamento necessário em
extrapolar limites trazidos pela norma autorizadora.
Exemplo: Leis trabalhistas que exigem que os dados de funcionários

sejam armazenados por um período que varia de 5 a 20 anos, de acordo
com o documento – (Portaria SPREV no 211/2019).
81
Registro: Ressarcimento ao SUS
Telas de mapeamento de dados pessoais da plataforma DPOnet
Registro: Emissão de Notas Fiscais
Políticas Públicas
A próxima hipótese de tratamento a ser abordada neste curso é também aplicável ao
tratamento de dados pessoais simples e sensíveis é a prevista no III do art. 7º e 11, II,
“b”, qual seja para aplicação de políticas públicas.
82
Art. 7°- III – pela administração pública, para o tratamento e uso

compartilhado de dados necessários à execução de políticas públicas
previstas em leis e regulamentos ou respaldadas em contratos, convênios
ou instrumentos congêneres, observadas as disposições do Capítulo IV
desta Lei;
Art. 11- II – sem fornecimento de consentimento do titular, nas hipóteses

em que for indispensável para: “b” – tratamento compartilhado de dados
necessários à execução, pela administração pública, de políticas públicas
previstas em leis ou regulamentos.
Antes de fazer considerações mais aprofundadas sobre o tema, é necessário

esclarecer que a base legal aqui estudada só poderá ser utilizada pela Administração
Pública visando à execução de políticas públicas, e entendendo política pública como
toda atividade realizada por qualquer ente da administração pública com o objetivo
de solucionar problemas sociais (saúde, educação, entre outros).
São essas políticas, portanto, o conjunto de programas, ações e decisões tomadas

pelos governos (federal, estaduais ou municipais) com a participação, direta ou
indireta, de entes públicos ou privados que visam assegurar direitos constitucionais
para grupos da sociedade ou para determinado segmento social, cultural, étnico ou
econômico.
A referida base legal aplica-se apenas à Administração Pública porque, via de regra, é
ela que as desenvolve e as aplica.
Chama-se a atenção aqui para o fato de que somente

poderá tratar dados necessários e suficientes para a
aplicação da política pública a que está determinada,
por exemplo, compartilhando dados referente à
vacinação de determinado cidadão entre diversas
secretarias para a elaboração e aplicação de um plano
de contingência sanitária.
83
O uso ou tratamento compartilhado mencionados no texto de lei é conceituado
como a comunicação, difusão, transferência internacional, interconexão de dados
pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e
entidades públicos no cumprimento de suas competências legais, ou entre esses e
entes privados, reciprocamente, com autorização específica, para uma ou mais
modalidades de tratamento permitidas por esses entes públicos, ou entre entes
privados.
Ademais, para o tratamento de dados pelo poder público considerando a base legal
estudada, destaca-se que deverá ter como norte regras como manter a finalidade
pública e persecução do interesse público com o objetivo de cumprir as atribuições
impostas pela lei na execução das políticas abordadas.
A diferença na aplicação para dados sensíveis e simples está no fato

de que os dados sensíveis utilizados em políticas públicas só são
legitimados por força de leis ou regulamentos; ao contrário do
compartilhamento de dados pessoais simples, para fins de política
pública, que pode acontecer para justificar contratos, convênios ou
instrumentos congêneres.
Um aspecto importante a ser destacado é que, segundo o LGPD, as

empresas públicas e as sociedades de economia mista que atuam
em regime de concorrência, sujeitas ao disposto no art. 173 da
Constituição Federal , terão o mesmo tratamento dispensado às
pessoas jurídicas de direito privado particulares, salvo quando
estiverem operacionalizando políticas públicas e no âmbito da
execução delas, oportunidade em que terão o mesmo tratamento
dispensado aos órgãos e às entidades do Poder Público.
Ainda no que se refere à aplicação de políticas públicas e compartilhamento de

dados, destaca-se que os dados deverão ser mantidos em formato interoperável e
estruturado para o uso compartilhado, com vistas à prestação de serviços públicos, à
descentralização da atividade pública e à disseminação e ao acesso das informações
pelo público em geral.
84
O tratamento de dados pessoais pelo poder público tem como
pressupostos o atendimento de uma finalidade pública, a busca do
interesse público e a execução das competências legais e cumprimento
das atribuições do ente referido, conforme preceitua o art. 23 da LGPD.
Exemplo: unidade básica de saúde na coleta de dados pessoais para o

controle de vacinação. Tratamento de dados de alunos da escola
estadual para combater a evasão escolar.
Registro: Campanha de Vacinação H1H2
Ó 85
Estudo por Órgãos de Pesquisa
Vamos estudar agora a base legal que permite o tratamento de dados para a
realização de estudos por órgãos de pesquisa que, desta forma, aplica-se tanto para
enquadramento referente a dados simples, quanto para dados sensíveis.
Art. 7°- IV – para a realização de estudos por órgão de pesquisa, garantida,

sempre que possível, a anonimização dos dados pessoais;
Art. 11- II – sem fornecimento de consentimento do titular, nas hipóteses

em que for indispensável para: “c” – realização de estudos por órgão de
pesquisa, garantida, sempre que possível, a anonimização dos dados
pessoais sensíveis.
Para atingir o objetivo proposto de estudo da base legal destacada, precisamos

abordar neste momento o conceito de órgão de pesquisa que se traduz como órgão
ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito
privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e
foro no País, que inclua em sua missão institucional ou em seu objetivo social ou
estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico
ou estatístico.
O conceito é trazido na própria LGPD e traz diversos requisitos que precisam ser
preenchidos para que seja reconhecido como tal. Dessa forma e apenas assim, a
entidade poderá, através da utilização de dados pessoais, promover ações de caráter
histórico, tecnológico ou estatístico.
Cumprido os requisitos, a entidade, para a realização da atividade e enquadramento

na referida base legal de tratamento, enfrenta então uma recomendação (não
obrigação) de anonimizar os dados pessoais, quando possível.
Nesse sentido, conceitua-se a anonimização de práticas técnicas que resultem no fato

de um dado perder a possibilidade de associação, direta ou indireta, a um indivíduo.
Assim, uma vez anonimizado, referidos dados não serão considerados dados
pessoais e, dessa forma, não estarão sujeitos às previsões trazidas pela LGPD.
86
Sobre o tema, existe previsão no artigo 12 e seguintes da LGPD quanto à abordagem
e detalhamento sobre a segurança e modos de anonimização. Nesse sentido, os
dados anonimizados não serão considerados dados pessoais para os fins desta Lei,
salvo quando o processo de anonimização ao qual foram submetidos for revertido,
utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder
ser revertido.
Para tanto, é necessário aplicar técnicas tais como randomização, generalização ou

qualquer outra, desde que haja confirmação de que a mesma seja robusta e, de fato,
não permitirá impossibilitar a identificação de determinado indivíduo.
87
Quando da realização de estudos em saúde pública, os dados pessoais
são tratados exclusivamente dentro do órgão e estritamente para a
finalidade de realização de estudos e pesquisas, e mantidos em ambiente
controlado e seguro, e incluem, sempre que possível, a anonimização ou
pseudonimização dos dados.
O órgão de pesquisa será o responsável pela segurança da informação,

não permitindo, em nenhuma circunstância, a transferência dos dados a
terceiro.
Exemplos: o IBGE – Instituto Brasileiro de Geografia e Estatística em

pesquisas nacionais e regionais coletando dados pessoais; IPEA – Instituto
de Pesquisa Econômica Aplicada coleta dados pessoais do perfil do
brasileiro que compra pela Internet.
Execução de Contrato
Com intuito de preservar as disposições expressas nas relações contratuais e, dessa
forma, garantir a segurança jurídica dos mesmos, a LGPD traz como base legal as
obrigações contratuais. Neste caso, porém, chamamos a atenção para o fato de que a
referida hipótese de tratamento se aplica apenas a atividades que envolvam dados
pessoais simples e não pode, por exclusão, sustentar atividades que envolvam dados
pessoais sensíveis.
Art. 7°- V – quando necessário para a execução de contrato ou de

procedimentos preliminares relacionados a contrato do qual seja parte o
titular, a pedido do titular dos dados.
88
Trata-se aqui de situações em que determinados dados pessoais precisam,
necessariamente, ser tratados para que se atinja o resultado perseguido pelas partes
envolvidas em relação contratada, na medida em que o titular solicite e seja parte
integrante da relação.
Dessa forma, ao adquirir determinado produto, um titular específico terá

necessariamente seus dados tratados para atingir o fim esperado, sendo impossível a
execução do contrato sem referido tratamento. Destaque-se que o tratamento se
reporta à específica finalidade apenas.
Mas não apenas a relação contratual em si é permissiva para o tratamento. A

Legislação prevê que os atos preparatórios também se enquadram nos atos que
autorizam o tratamento de dados com base na hipótese de tratamento estudada. Em
havendo solicitação nesse sentido, os procedimentos preliminares à formalização do
contrato em que o titular seja parte, também poderão ensejar tratamento de dados
pessoais, como por exemplo levantamento de dados financeiros para concretização
de contrato de financiamento.
Dessa forma, é evidente que, para utilizar a base legal

da Execução de Contrato, é imprescindível que haja um
contrato a ser cumprido pelas partes envolvidas. E é
importante destacar que a base legal estudada não
exige um contrato formal, mas a simples manifestação
de uma vontade que enseje na contratação de um
serviço/compra de um produto.
Dúvidas podem surgir com relação ao consentimento. Neste caso, seria implícito,
desde que os dados utilizados sejam necessários e úteis para cumprir o objeto
contratual.
Um dos pontos principais da execução de contrato, é que o titular dos dados não
poderá revogar o seu consentimento a qualquer momento, uma vez que a outra
parte estará resguardada pela obrigatoriedade contratual, bem como pela permissão
da LGPD para manter os dados fornecidos pelo titular, no mínimo, enquanto durar a
execução do contrato.
89
As hipóteses legais podem existir por si só ou podem coexistir, a
depender do caso concreto. Assim, casos em que uma organização (como
uma operadora de plano de saúde) possui contrato com seus
beneficiários e, consequentemente, obrigações legais advindas desse
contrato, você deverá enquadrar tanto em Execução de Contrato quanto
em Cumprimento de Obrigação legal.
Exemplo: um memorando de entendimento de sócios no início de

concepção de uma startup.
Registro: Férias
Registro: ASO - Atestado de Saúde Ocupacional
90
07
Parte 6
91
Bases Legais – Parte 2 - Exercício
Regular do Direito
Art. 7º, VI - Para o exercício regular de direitos em processo judicial,

administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23
de setembro de 1996 (Lei de Arbitragem);
Art. 11-II, “d” - Exercício regular de direitos, inclusive em contrato e em

processo judicial, administrativo e arbitral, este último nos termos da
Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
Com intuito de preservar as disposições expressas na Constituição Federal, para

ser mais assertivas, os princípios da inafastabilidade do poder judiciário e da
ampla defesa e contraditório, a LGPD garantiu o tratamento dos dados pessoais
considerando o exercício regular do direito em processos no geral (judiciais,
administrativos e arbitrários).
Sendo assim, é pacífico que, ao tratar de situações que possam servir como
elementos para o exercício regular do direito em demandas em geral, o tratamento
de dados poderá ocorrer desde que utilizados para essa exclusiva finalidade e
enquanto houver necessidade.
Como parâmetro para retenção e tratamento de dados pessoais podemos utilizar

como base os próprios prazos prescricionais previstos na legislação civil e penal e
até mesmo em alguns casos o tempo que perdurar o processo.
92
Essa base legal esclarece que a proteção aos dados pessoais não
compromete o direito que as partes têm de produzir provas umas
contra as outras, ainda que estas se refiram a dados pessoais do
adversário. Em resumo, significa que não cabe oposição ao tratamento
de dados pessoais no contexto dos processos judiciais, administrativos
e arbitrais. Assim, a previsão do tratamento de dados para exercício
regular de direito, possui o objetivo de proporcionar o contraditório, a
ampla defesa e o devido processo legal.
Exemplo: um policial, para registrar uma infração ou crime, solicita os

dados pessoais do infrator e os anota em um boletim de ocorrência.
93
Registro: Demandas Judiciais - Setor: Regulação
Descrição: tela de mapeamento de dados pessoais da plataforma

DPOnet. Disponível aqui
Descrição: tela de mapeamento de dados pessoais da plataforma

DPOnet. Disponível aqui
94
Proteção da Vida
Para entender a base legal proteção da vida, vejamos a prescrição legal abaixo:
Art. 7° VII - para a proteção da vida ou da incolumidade física do titular

ou de terceiro;
Art. 11-II, “e” proteção da vida ou da incolumidade física do titular ou de

terceiro;
Essa hipótese legal, a base de proteção da vida está relacionada às questões graves
e que ponham em risco a vida ou a integridade física do titular de dados, logo,
diante dessa condição (risco de vida e integridade física), essa base legal somente
será usada em situações em que tal fato for constatado.
95
Essa base legal deve ser utilizada quando for impossível coletar o
consentimento ou utilizar qualquer outra hipótese legal para justificar o
tratamento de dados, que, na maioria das vezes, precisará ser realizado
com agilidade e até mesmo urgência, pois a intenção é a proteger a
vida ou à segurança física do titular, fazendo com que assim os agentes
de tratamento possam tratar os dados e prestar socorro ao titular dos
dados, sem impedimentos causados pela LGPD, visto que o direito à
vida deve ser preponderante à privacidade.
Exemplo 01: Um indivíduo, após sofrer um grave acidente e ficar

inconsciente, é levado a um hospital nunca antes frequentado por ele.
Nesse caso, o hospital precisará de todo o histórico médico do paciente
armazenado em outro hospital que ele costuma frequentar. Portanto, o
médico que irá atendê-lo fica autorizado a requisitar a documentação
ao outro hospital, que também poderá compartilhá-la.
Exemplo 01: Acionar geolocalização de celular de possíveis vítimas que

estão soterradas em escombros depois de um acidente, bem como
pessoas desaparecidas ou sequestradas; coleta de tipo sanguíneo do
trabalhador e exposição em crachá.
96
Registro: Confecção de crachás de colaboradores
Registro: Formulário de Solicitação de Crachá
Nos casos vistos acima, nos elementos Para Gabaritar e Abordagem Prática, em
ambos os casos, a empresa coleta o tipo sanguíneo do colaborador e também
deixa exposto no crachá. Indagados sobre o porquê de tal coleta e exibição, do
dado sensível, eles nos informaram que era uma prevenção em caso de algum
acidente grave com o colaborador. Diante dessa informação, o DPOnet optou por
enquadrar tal atividade na base legal de proteção à vida.
97
Tutela da Saúde
Agora, vamos estudar e compreender uma das bases legais mais utilizadas no
segmento de saúde, seja para dados simples quanto para dados sensíveis: a
tutela da saúde.
Art. 7º - VIII - tutela da saúde, exclusivamente, em procedimento

realizado por profissionais de saúde, serviços de saúde ou autoridade
sanitária;
Art. 11 - II “f” - tutela da saúde, exclusivamente, em procedimento

realizado por profissionais de saúde, serviços de saúde ou autoridade
sanitária;
Assim, devemos sempre observar se a finalidade da atividade é a prestação de

serviços de saúde e, concomitantemente, se são realizados por profissionais de
saúde, serviços de saúde ou autoridade sanitária. Caso negativo, estaremos diante
de outra base legal. Observa-se que cada tipo de dado, seja pessoal simples ou
sensível, terá de ser enquadrado na sua respectiva base legal.
A base legal de tutela da saúde autoriza o tratamento de dados pessoais para a

finalidade de prestação de serviço de saúde, isto é, tutelar/cuidar da saúde de
algum indivíduo, desde que prestados exclusivamente por profissionais de saúde,
serviços de saúde ou autoridade sanitária.
São considerados profissionais de saúde: médicos, enfermeiros, farmacêuticos,

educadores físicos, psicólogos, nutricionistas, biólogos, biomédicos, dentre outros.
Sendo sempre necessário uma pesquisa apurada para se cientificar que certo
profissional é do setor de saúde, caso restem dúvidas. São considerados serviços
de saúde: “estabelecimentos destinados a promover a saúde do indivíduo,
protegê-lo de doenças e agravos, prevenir e limitar os danos a ele causados e
reabilitá-lo quando sua capacidade física, psíquica ou social for afetada”. Observa-
se, por exemplo, que as operadoras de planos de saúde prestam serviços dessa
98
natureza. São considerados autoridades sanitárias as entidades membros do
SNVS (Sistema Nacional de Vigilância Sanitária), que são: ANVISA, LACENS, FIOCRUZ
e INCQS, dentre outros.
Sendo assim, apenas profissionais dessas áreas poderão se valer dessa base legal
para o tratamento de dados pessoais, lembrando que com o objetivo específico de
tutela da saúde, sendo vedado qualquer outro uso que fuja dessas condições.
Todo procedimento, realizado por profissionais de saúde, serviços de saúde ou

autoridade sanitária, que visa cuidar da saúde de alguém, deve ser enquadrado
como tutela da saúde. Mas cuidado: apenas as atividades realizadas por tais
profissionais podem ser enquadradas nessa base legal. Atente-se para exceções,
como, por exemplo, ressarcimento ao SUS
Conclui-se, logo, que apenas os procedimentos de saúde em si poderão ser

enquadrados como tutela de saúde. Procedimentos burocráticos podem ser
enquadrados como execução de contrato ou cumprimento de obrigação legal, a
depender do caso.
Exemplo: Um indivíduo está com febre e vai até o hospital. Chegando lá, passa pela
recepção e fornece dados pessoais (nome, endereço, RG, CPF, telefone, número da
carteirinha do plano de saúde e sintomas). Em seguida, recebe uma pulseira de
classificação de risco na cor verde (menos urgente). Ao passar pelo primeiro
atendimento, novamente confirma os dados coletados na recepção, bem como
explica, com mais detalhes, todos os sintomas. Em seguida, ao passar por
atendimento médico, faz um exame de sangue. Após a saída do resultado do
exame, recebe uma receita com os medicamentos que precisará tomar e um
atestado, para levar ao trabalho. Ao sair do hospital, passa na farmácia para
comprar a medicação. Finalizado o período de repouso do atestado, o apresenta no
departamento de Recursos Humanos de seu trabalho.
Cada exemplo abaixo corresponde a casos práticos observado na rotina de

atividade de nossos clientes:
99
A recepcionista do hospital coletou dados pessoais e sensíveis do
paciente que iria passar por atendimento médico, com base na
execução de contratos (pessoais) e tutela da saúde (pessoais e
sensíveis);
A pulseira de classificação identifica o grau de risco e determina
um tempo máximo para atendimento ao paciente. Dessa forma,
também corresponde a um dado referente à saúde (sensível);
O enfermeiro responsável pelo primeiro atendimento confirmou
os dados anteriormente coletados pela recepcionista, além de
coletar, de forma mais específica, os dados referentes à saúde do
paciente, com base na execução de contratos (pessoais) e tutela
da saúde (pessoais e sensíveis);
O médico responsável pelo segundo atendimento examina o
paciente e solicita o exame de sangue, com base na tutela da
saúde (pessoais e sensíveis);
O resultado do exame analisado pelo médico também se refere
aos dados referentes à saúde do paciente;
O farmacêutico, ao ter acesso à receita médica,
consequentemente tem acesso aos dados referentes à saúde do
paciente, podendo até, caso tenha sido receitado um antibiótico,
efetuar a retenção de uma cópia da mesma no estabelecimento
(tutela da saúde e cumprimento de obrigação legal).
100
Exemplo de enquadramento no DPOnet
Registro: Solicitação de Exames
Registro: Análise de Mapa Cirúrgico
101
08
Parte 7
102
Bases Legais – Parte 3
Estamos chegando na reta final dos nossos estudos das bases legais, e como já
mencionado no início do curso, o art. 7º traz um total de dez bases legais, enquanto o
art. 11 prevê um total de oito bases legais, sendo que existe identidade em sete
delas. Até agora abordamos, dentre as três hipóteses que não se identificam,
somente a hipótese de execução de contrato, agora vamos entender as demais.
Legítimo Interesse
Ao tratarmos de legítimo interesse, precisamos estar cientes de que a LGPD foi
constituída tendo como base a necessidade de equilíbrio entre a proteção de dados
pessoais e o desenvolvimento econômico e inovação. Dessa forma, o legítimo
interesse surge como uma das hipóteses legais que visa equacionar os interesses do
controlador e os direitos do titular de dados. Assim, o controlador poderá, por
exemplo, utilizar os dados pessoais contidos nas suas Leads sem o necessário
consentimento dos titulares.
Utilizada para dados simples
Art. 7º - IX - quando necessário para atender aos interesses legítimos do

controlador ou de terceiro, exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a proteção dos dados
pessoais;
O legítimo interesse é uma base legal de aplicação mais genérica, o que permite que
seja utilizada em situações não previstas especificamente na LGPD e o diferencia das
demais bases legais que tratam de hipóteses mais específicas, tais como execução de
contrato e cumprimento de obrigação legal (art. 7º, II e V).
Conforme bem pontuado por Bioni (2021), essa base legal pode ser utilizada como
uma carta-coringa regulatória que pode ser utilizada para legitimar uma ampla
variedade de tratamentos de dados. Todavia, ela não deixa de ser considerada um
cheque em branco que pode levar os agentes de tratamento a utilizá-la de forma
indiscriminada. Portanto, o legítimo interesse deve ser utilizado com cautela.
103
Ressaltamos que essa hipótese legal somente poderá
ser utilizada com base no legítimo interesse do
controlador ou de terceiros, e somente poderá ser
utilizada quando tal interesse não se sobrepuser aos
direitos e as liberdades fundamentais dos titulares de
dados.
Para o enquadramento em Legítimo Interesse. será necessário o estudo sistemático

do art. 10, LGPD que coloca os seguintes requisitos cumulativamente:
1 Finalidades legítimas, consideradas a partir de situações

concretas;
2 Apoio e promoção de atividades do controlador; e
3
Proteção, em relação ao titular, do exercício regular de
seus direitos ou prestação de serviços que o beneficiem,
respeitadas as legítimas expectativas dele e os direitos e
liberdades fundamentais, nos termos desta Lei.
104
Nesse cenário, é imprescindível que haja uma avaliação se o legítimo interesse
cumpre os requisitos para que ele não seja usado indiscriminadamente, sem
qualquer critério ou explicação dos padrões utilizados.
Dessa forma, devemos utilizar o Legítimo Interesse de forma subsidiária, isto é,

quando as outras bases legais não se mostrarem adequadas. Isto porque, a aplicação
dessa base mostra-se demasiadamente complexa.
Contudo, para fundamentar a utilização do legítimo interesse é necessário que o

controlador realize um teste de proporcionalidade para ponderar seu interesse.
Na Europa, esse teste de proporcionalidade foi uma orientação prévia da GDPR que
propôs um teste de ponderação conhecido como Legitimate Interest Assessment (LIA),
que é recomendado a todos os controladores que utilizam a base legal "legítimo
interesse” em suas operações de tratamento. Conforme afirma Bioni, “o fio condutor
de toda essa avaliação é balancear os direitos em jogo”, ou seja, de um lado o titular
de dados, e do outro quem faz o uso dessas informações.
Antes de adentrarmos nas etapas de realização do teste de avaliação, precisamos

entender o Considerando nº 47 contido no preâmbulo da GDPR, que aparenta traçar
uma diretriz para realização desse teste:
Os interesses legítimos dos responsáveis pelo tratamento, incluindo os

dos responsáveis a quem os dados pessoais possam ser comunicados,
ou de terceiros, podem constituir um fundamento jurídico para o
tratamento, desde que não prevaleçam os interesses ou os direitos e
liberdades fundamentais do titular, tomando em conta as expectativas
razoáveis dos titulares dos dados baseadas na relação com o
responsável. Poderá haver um interesse legítimo, por exemplo, quando
existir uma relação relevante e apropriada entre o titular dos dados e o
responsável pelo tratamento, em situações como aquela em que o
titular dos dados é cliente ou está ao serviço do responsável pelo
tratamento. De qualquer modo, a existência de um interesse legítimo
requer uma avaliação cuidada, nomeadamente da questão de saber se o
titular dos dados pode razoavelmente prever, no momento e no
contexto em que os dados pessoais são recolhidos, que esses poderão
vir a ser tratados com essa finalidade. Os interesses e os direitos
fundamentais do titular dos dados podem, em particular, sobrepor-se ao
interesse do responsável pelo tratamento, quando que os dados
pessoais sejam tratados em circunstâncias em que os seus titulares já
não esperam um tratamento adicional.
105
Sendo assim, o teste de proporcionalidade é primordial para determinar se o
tratamento de dados com base nos interesses controlador estaria de acordo com as
expectativas razoáveis de privacidade do titular dos dados, isto é, se frustra ou não o
que é esperado por ele.
Para ilustrar como deve ser realizado o teste de proporcionalidade, abaixo seguem
dois modelos utilizados com recorrência e também citados em doutrinas.
I - Visão do Ico
O ICO (Information Commissioner's Office), a Autoridade de Proteção de Dados
britânica, estabeleceu três etapas de verificação para o uso do legítimo interesse, que
deverão ser registradas em um relatório de avaliação (LIA).
1. Purpose test: você precisa avaliar se há um interesse legítimo por trás do

processamento.
a. Por que você deseja processar os dados?

b. Qual benefício você espera obter do processamento?
c. Algum terceiro se beneficia do processamento?
d. Há algum benefício público mais amplo para o processamento?
e. Quão importantes são os benefícios que você identificou?
f. Qual seria o impacto se você não pudesse prosseguir com o processamento?
g. Você está cumprindo alguma regra específica de proteção de dados que se
aplica ao seu processamento (por exemplo, requisitos de criação de perfil ou
legislação de privacidade eletrônica)?
h. Você está cumprindo outras leis relevantes?
i. Você está cumprindo as diretrizes da indústria ou códigos de prática?
j. Existem outras questões éticas com o processamento?
2. Necessity test: você precisa avaliar se o processamento é necessário para o

propósito que você identificou.
a. Esse processamento realmente o ajudará a atingir seu propósito?

b. O processamento é proporcional a esse propósito?
c. Você pode atingir o mesmo objetivo sem o processamento?
d. Você pode atingir o mesmo objetivo processando menos dados ou
processando os dados de outra forma mais óbvia ou menos intrusiva?
106
3. Balancing test: você precisa considerar o impacto sobre os interesses, direitos e
liberdades dos indivíduos e avaliar se isso se sobrepõe aos seus interesses legítimos.
3.1 Natureza dos dados pessoais
a. São dados de categorias especiais ou dados de ofensas criminais?
II - Visão do Data Privacy

A partir do estudo do material produzido pelo Data Privacy, devemos nos atentar a
quatro passos para verificar se a atividade em questão está embasada no legítimo
interesse.
1. Legitimidade:
a. Base legal: art. 10º, caput, da LGPD

b. Requisitos: o Controlador ou terceiro deve partir de uma situação concreta que
tenha uma finalidade lícita, isto é, cabe àquele que tem interesse em utilizar
essa base legal aferir se o tratamento dos dados pessoais que ele deseja
empregar irá auferir alguma vantagem, em que sentido poderá promover suas
atividades, se essas vantagens possuem uma finalidade específica e lícita. Em
poucas palavras: em que essa base legal me será útil?
2. Necessidade:
a. Base legal: art. 10º, §1, da LGPD

b. Requisitos: Entendido que o tratamento de dados será capaz de promover a
atividade empresarial do controlador ou de terceiro, caberá a eles analisar se
os dados pessoais que serão objeto de tratamento são minimamente
adequados ao tratamento proposto. Dessa forma, para utilizar a base do
legítimo interesse, o controlador deve utilizar os mínimos dados necessários
para realizar a finalidade pretendida pelo controlador.
3. Balanceamento:
a. Base Legal: art. 6º, I, 7º, IX, e art. 10º, II, da LGPD
b. Requisitos: Após seguir as duas primeiras etapas, será necessário realizar um
balanceamento entre a legítima expectativa do controlador ou terceiro e os
Direitos e liberdades fundamentais do titular. Assim, não basta que apenas o
agente de tratamento obtenha vantagens com o tratamento de dados por
legítimo interesse; para o titular o tratamento também deve possuir alguma
107
valia, isto é, o titular também tem de estar interessado com essa atividade e
não haverá nenhum prejuízo aos seus direitos e liberdades legalmente
constituídos.
4. Salvaguardas:
a. Base legal: art. 10º, § 2º e § 3º, da LGPD

b. Requisitos: As salvaguardas são as garantias concedidas ao titular. Assim,
algumas medidas de salvaguardas devem ser tomadas para a aplicação do
legítimo interesse como base legal. Dentre elas, destacamos: i. transparência: o
controlador deve comunicar ao titular como será realizado o tratamento, em
que circunstâncias, quais serão os dados utilizados, para quais finalidades, com
quem serão compartilhados, bem como todo o ciclo de vida do dado dentro da
organização; ii. opt-out: deve ser concedido ao titular o direito de oposição, isto
é, de que o tratamento seja cessado imediatamente mediante a sua requisição;
iii. Pseudonimização; iv. Portabilidade;
108
Exemplo de enquadramento no DPOnet
Registro: Monitoramento de Câmeras
Registro: Pesquisa de satisfação
Proteção ao Crédito
A base legal de proteção ao crédito justifica as atividades que tem por finalidade de
obter informações acerca da adimplência e inadimplência sobre determinado titular,
a fim de conceder ou não crédito a esse mesmo titular.
Art. 7º - X - para a proteção do crédito, inclusive quanto ao disposto na

legislação pertinente.
109
Nesse ponto, é importante observar a menção à legislação pertinente, a qual
contempla a Lei Do Cadastro Positivo (Lei 12.414, de 9 de junho de 2021), bem como
ao Código de Proteção de Defesa do Consumidor (Lei 8.078, de 11 de setembro de
1990), cujas disposições também precisam ser observadas quando houver o uso de
tal base legal para fundamentar o tratamento de dados.
Nessa hipótese, o legislador regulamentou que informações sobre adimplência e

inadimplência sobre determinado titular poderão ser utilizadas a fim de se tomar a
decisão acerca da concessão de crédito. Porém, ao optar pelo enquadramento legal
nessa hipótese de tratamento, é primordial entender o que dispõe as demais
legislações.
A Lei do Cadastro Positivo disciplina sobre a formação e consulta a bancos de dados

com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas,
para formação de histórico de crédito. No mais, conceitua que banco de dados é
conjunto de dados relativo à pessoa natural ou jurídica, armazenados com a
finalidade de subsidiar a concessão de crédito, a realização de venda a prazo ou de
outras transações comerciais e empresariais que impliquem risco financeiro,
diferente também de fonte: pessoa natural ou jurídica que conceda crédito,
administre operações de autofinanciamento ou realize venda a prazo ou outras
transações comerciais e empresariais que lhe impliquem risco financeiro, inclusive as
instituições autorizadas a funcionar pelo Banco Central do Brasil e os prestadores de
serviços continuados de água, esgoto, eletricidade, gás, telecomunicações e
assemelhados – o que nos leva, antes mesmo de definir o uso da hipótese legal de
proteção ao crédito, a entender em qual posição os agentes de tratamento sem
encontram, sejam de banco de dados ou de fonte como conceitua a Lei do Cadastro
Positivo, pois somente os bancos de dados poderão conter informações de
adimplemento do cadastrado, para a formação do histórico de crédito
110
111
09
Risco como Probabilidade

X Impacto
112
A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) é baseada na avaliação
de riscos, postura, responsabilização e prestação de contas. Sendo assim, analisar
os riscos é fundamental para o seu melhor desempenho – lembrando que risco é a
probabilidade de acontecer um evento versus o impacto da sua concretização.
Vejamos: no DPOnet, o que direciona a probabilidade de acontecer um incidente é

a forma de proteção e os compartilhamentos. A forma de proteção pode ser
física, eletrônica ou ambas, e o compartilhamento pode ser interno, externo ou
ambos. Assim, se ocorrer um incidente com um processo que não tenha
compartilhamentos e que seu armazenamento é realizado somente de forma física,
a probabilidade de um incidente acontecer se torna pequena.
Isso é considerado bom, mas se dentro desse processo são tratados somente
dados simples, o risco desse incidente é baixo, ou seja, o seu impacto é baixo, ao
contrário se estivéssemos tratando, nesse caso, de dados sensíveis ou dados do
menor.
Portanto, essa análise nos faz entender que o

impacto está relacionado ao tipo de dado: se eu
utilizar somente dados simples, dados sensíveis,
dados de menores, financeiros e comportamentais,
são as categorias dos dados coletados que vão
determinar o impacto dentro da probabilidade de o
incidente acontecer.
Dito isso, conseguimos entender que a matriz de risco consiste em uma tabela
orientada por duas dimensões: probabilidade e o impacto. Por meio dessas duas
dimensões, é possível calcular e visualizar a classificação do risco
(baixo/médio/alto/severo), que consiste na avaliação do impacto versus a
probabilidade.
113
Matriz de risco
Sendo assim, risco é o efeito da incerteza sobre um determinado evento, e a Matriz

de Riscos é indicada para manter atualizada a avaliação de qualquer risco, desde
riscos organizacionais de processos até riscos de um novo projeto, por exemplo.
No cenário atual, a Matriz de Riscos é uma ferramenta eficaz para direcionar o

trabalho, ideal para realizar o levantamento de todos os gaps e vulnerabilidades
dos procedimentos que tratam dados pessoais e, com isso, ajudar os clientes a
entenderem por quais riscos devem começar a tratativa e, se for o caso, começar a
implementar planos de ação com a intenção de mitigar ao máximo essas
fragilidades.
114
10
Segurança da Informação –
Parte 1
115
Introdução à Segurança da
Informação
No contexto atual, a segurança da informação é uma preocupação central em todos
negócios, independentemente do tamanho da empresa ou da área de atuação.
Os acontecimentos demonstraram que ninguém está imune à invasão, desde

grandes empresas até empresas de menor porte são vítimas de vazamento, acesso
não autorizado e indisponibilidade. É de conhecimento que os ataques estão cada
vez mais sofisticados, e técnicas bastante de simples execução são utilizadas
massivamente em ações maliciosas – embora sejam estratégias bastante conhecidas.
Em um cenário em que os dados pessoais adquiriram grande relevância, tornando-se

um dos principais ativos organizacionais, faz-se necessário que estes sejam
adequadamente protegidos pelos principais pilares da segurança da informação a (i)
confidencialidade, (ii) a integridade e (iii) a disponibilidade:
Confidencialidade
A confidencialidade é o primeiro pilar da segurança da informação, pois garante que
os dados estejam acessíveis a determinados usuários e protegidos contra pessoas
não autorizadas. É um componente essencial da privacidade, que se aplica
especialmente a dados pessoais, sensíveis, financeiros, psicográficos e outras
informações sigilosas.
Para garantir esse pilar nas suas políticas de segurança de TI, você deve incluir
medidas de proteção tais como controle de acesso, criptografia e senhas fortes, entre
outras estratégias. Inclusive, a confidencialidade dos dados pessoais de usuários é
um dos requisitos centrais de conformidade com a LGPD (Lei Geral de Proteção de
Dados Pessoais).
116
Integridade
A integridade na segurança da informação diz respeito à preservação, precisão,
consistência e confiabilidade dos dados durante todo o seu ciclo de vida.
Para erguer esse pilar em uma empresa, é preciso implementar mecanismos de

controle para evitar que as informações sejam alteradas ou deletadas por pessoas
não autorizadas. Frequentemente, a integridade dos dados é afetada por erros
humanos, políticas de segurança inadequadas, processos falhos e ciberataques.
Disponibilidade
A disponibilidade está relacionada ao tempo e à acessibilidade que se têm dos dados
e sistemas da empresa, ou seja, se eles podem ser consultados a qualquer momento
pelos colaboradores, clientes e interessados autorizados. Também, na maioria das
vezes, está relacionada a falhas de sistemas, mensuração errada da capacidade de
atendimento da infraestrutura de TI e ciberataques.
Para uma empresa garantir estes pilares, seguem-se as normas da série ISO 27000,
que descrevem a concepção de um Sistema de Gestão da Segurança da Informação
que se apoia nas melhores práticas internacionais.
117
O que é a série ISO 27000
Aqui, é importante estudar a série de normas 27000, criada pela International
Organization for Standardization (ISO) e a International Electrotechnical Commission
(IEC). De maneira abrangente, o conjunto de orientações engloba todas as diretrizes
para a implementação da segurança da informação. Flexível, a norma internacional
pode ser empregada por organizações de todos os portes.
Implementar as melhores práticas de proteção na prática tende a ser um grande

desafio. Nesse sentido, a norma ISO 27001 e ISO 27002 podem entrar em cena para
auxiliar os gestores nos processos de trabalhos diários, auxiliando na definição e
aplicação do referido Sistema de Gestão da Segurança da Informação (SGSI).
Ao estabelecer diretrizes para lidar com os dados, com seu armazenamento e

transmissão (evitando o vazamento ou acesso de informações críticas e sensíveis), a
norma técnica regulamenta as rotinas e descreve os controles e orientações para
consolidar o Sistema de Gestão da Segurança da Informação (SGSI).
Vale notar que a recomendação é que a ISO 27001 seja

aplicada conjuntamente com a ISO 27002 que consolida
as boas práticas de segurança da informação.
118
Os questionários de (i) Governança e Cultura e (ii) Infraestrutura e
Tecnologia do DPOnet contemplam os requisitos previstos na ISO 27001 e
ISO 27002.
Por que a norma técnica é tão importante?

A norma técnica é fundamental para garantir a continuidade e a manutenção dos
processos de segurança, que são alinhados aos objetivos estratégicos da
organização. Nesse sentido, a norma traz um guia prático completo de
implementação e descrição do modo como os controles podem ser aplicados. Para
isso, é importante que a empresa defina as prioridades por meio de avaliação dos
riscos.
Quando se trata da importância da norma, é necessário ter em mente os grandes

prejuízos decorrentes da ausência de proteção adequada. O tempo de inatividade de
sistemas e o vazamento de dados, por exemplo, representam perda de produtividade
119
e recursos financeiros, além de danos à reputação da marca e riscos à própria
sobrevivência das empresas. A seguir, os principais benefícios da aplicação das
normas:
redução de custos decorrentes da prevenção dos incidentes de

segurança;
adequação às regras de compliance e de legislações vigentes, a
exemplo da LGPD;
controle correto dos ativos e dos dados sensíveis/críticos do
negócio;
melhoria da conscientização acerca da segurança da informação no
ambiente empresarial;
fornecimento de uma abordagem para implementar as políticas de
controle;
detecção de riscos e possibilidade de corrigir pontos fracos;
diferencial competitivo no mercado e, em consequência, maior
atração de clientes;
melhor estruturação de processos e mecanismos, além do seu
correto gerenciamento.
120
As normas da família ISO 27000 são atualizadas para acompanhar os
novos cenários dos negócios e atos regulatórios. Com o advento das leis
de privacidade de proteção de dados no mundo, esse processo foi
acelerado não apenas quanto à atualização, mas também quanto à
criação de novas normas – como é o caso da ISO 27701, que define
requisitos para tratar do pilar da privacidade.
Principais Seções da NBRISO/IEC

27002 – Seção 5 a 10
Vamos agora estudar as seções 5 a 10 da NBR ISO/IEC 27002, que envolvem os
seguintes controles de segurança da informação:
1 Política de Segurança da Informação;
121
2 Organização da Segurança da Informação;
3 Segurança em Recursos Humanos;
4 Gestão de ativos;
5 Controle de Acesso; e
122
6 Criptografia.
Seção 5: Política de Segurança da Informação

(PSI)
Essa seção da norma refere-se à elaboração de um documento para estruturar a
segurança da informação e aborda os principais conceitos relativos à área, seus
objetivos e métodos para controle na empresa. É necessário, vale ressaltar, que as
lideranças e os colaboradores estejam completamente comprometidos com a
política. Alguns pontos importantes sobre a Política de Segurança da Informação
(PSI):
Deve ser aprovada pela Diretoria/Presidência

Deve estar ao alcance do colaborador
Linguagem clara e fácil entendimento
Deve ser analisada periodicamente
Deve ser elaborada para os principais riscos do negócio
Está atualizada conforme requisitos da LGPD
123
1. Você pode personalizar a PSI com uma mensagem do
Presidente/Diretor Geral da Empresa.
2. A PSI pode ser apresentada em um formato mais

leve, com imagens ilustrativas, etc.
3. É importante que a PSI fique disponível e acessível

para os colaboradores internos.
Seção 6: Organização da Segurança da

Informação
Aborda a estrutura necessária para gerenciar a segurança da informação de forma
adequada. A ação inclui a coordenação de atividades por lideranças nas empresas, a
definição/atribuição de responsabilidades e a proteção de dados confidenciais. A
seguir, os principais requisitos desta seção:
Responsabilidades e papéis pela segurança da informação

Segregação de funções
Contato com autoridades
Contato com grupos especiais
Segurança da informação no gerenciamento de projetos
Política para o uso de dispositivo móvel
Trabalho remoto
124
1. É comum em uma empresa as pessoas e setores
estarem associados a responsabilidades operacionais, e
você pode aproveitar essa relação para atribuir os
papéis relacionados à segurança da informação.
2. Poucas empresas mantêm contato com autoridades

e grupos especiais.
3. É muito comum o uso de smartphones e laptops.

Assim, criar normas referentes a esse uso é importante.
4. Trabalho remoto/acesso remoto passou a ser uma

opção cada vez mais utilizada, por isso, é importante
regulamentar.
Seção 7: Segurança em Recursos Humanos

Nesta seção, enfatiza-se a importância de fazer a análise prévia de novos
colaboradores, especialmente se eles adquirirem o acesso a informações sigilosas
e/ou sensíveis. Com isso, espera-se evitar roubos, fraudes e usos maliciosos de
recursos e dados.
Os controles de segurança da informação devem atuar desde o processo de seleção

até o desligamento do colaborador. Veja:
Seleção
Termos e condições de contratação
Responsabilidades da direção
Conscientização, educação e treinamento em segurança da
informação
Processo disciplinar
Responsabilidades pelo encerramento ou mudança da contratação
125
1. Com relação à LGPD, o processo de conscientização e
treinamento é um item muito importante.
2. O RH deve sempre estar em comunicação com a TI

nos processos de admissão e demissão dos
colaboradores.
Seção 8: Gestão de ativos

É interessante resgatar a definição de ativo fornecida pela ISO 27002: trata-se de
qualquer item que tenha valor para a empresa e que precisa de proteção.
Nesse cenário, essa seção da norma indica a necessidade de identificação e

classificação dos ativos, de forma a elaborar um inventário bem estruturado. É
preciso, ainda, estabelecer e seguir regras documentadas acerca dos tipos de uso
desses ativos. Seguem os principais requisitos para a gestão de ativos:
Inventário dos ativos

Proprietário dos ativos
Uso aceitável dos ativos
Devolução de ativos
Classificação da informação
Rótulos e tratamento da informação
Tratamento dos ativos
Gerenciamento de mídias removíveis
Descarte de mídias
Transferência física de mídias
126
1. Criar modelo de classificação e rotulação da
informação. Atribuir regras para seu uso e
compartilhamento é um controle importante e que
deve ser realizado.
2. O controle de pen drives, HDs externos e outras

mídias removíveis é muito importante, pois estas
podem transportar uma grande quantidade de dados
pessoais.
Seção 9: Controle de acesso

Esta seção visa estabelecer regras para o acesso à informação, garantindo a
permissão para usuários autorizados e evitando a mesma para os não autorizados.
Dessa forma, é possível prevenir danos a recursos e documentos corporativos. Os
principais requisitos de controle de acesso são:
Política de controle de acesso

Acesso às redes e aos serviços de rede
Registro e cancelamento de usuário
Provisionamento para acesso de usuário
Gerenciamento de direitos de acesso privilegiados
Gerenciamento da informação de autenticação secreta de usuários
Análise crítica dos direitos de acesso de usuário
Retirada ou ajuste de direitos de acesso
Uso da informação de autenticação secreta
Restrição de acesso à informação
Procedimentos seguros de entrada no sistema (log on)
Sistema de gerenciamento de senha
Uso de programas utilitários privilegiados
Controle de acesso ao código-fonte de programas
127
1. Muitas empresas têm mecanismos de controle de
acesso, mas se encontram não revisados ou não
aplicados.
2. O compartilhamento de senhas entre colaboradores

é algo que acaba acontecendo no dia a dia laboral. Por
isso, é importante você mostrar que isso pode gerar
problemas no contexto da LGPD e da segurança da
informação.
Seção 10: Criptografia

Esta seção visa assegurar o uso efetivo e adequado da criptografia para proteger a
confidencialidade, autenticidade e/ou a integridade da informação, sendo importante
destacar que o gerenciamento de chaves criptográficas é fundamental:
1
É importante o gerenciamento de chaves criptográficas
ao longo de todo o seu ciclo de vida, incluindo a geração,
armazenagem, arquivo, recuperação, distribuição,
retirada e destruição das chaves.
2 Algoritmos criptográficos, tamanho de chaves e práticas

usuais sejam selecionados de acordo com as melhores
práticas.
128
3
Todas as chaves criptográficas sejam protegidas contra
modificação e perda. Adicionalmente, chaves secretas e
privadas necessitam de proteção contra o uso ou a
divulgação não autorizada.
4 É recomendável que os equipamentos utilizados para

gerar, armazenar e guardar as chaves sejam fisicamente
protegidos.
129
11
Segurança da Informação
130
Principais Seções da NBR ISO/IEC
27002 (Seção 11 a 18)
Nesta aula, serão tratadas as seguintes seções da ISO 27002:
a. Segurança Física e do Ambiente;

b. Segurança nas operações;
c. Segurança nas Comunicações;
d. Aquisição, desenvolvimento e manutenção de sistemas;
e. Relacionamento na cadeia de suprimento;
f. Gestão de incidentes de segurança da informação;
g. Aspectos da segurança da informação na gestão da continuidade do negócio; e
Seção 11: Segurança Física e do Ambiente

A seção 11 destaca a importância de manter equipamentos e instalações de
informações sensíveis em locais seguros, incluindo regras para controle de acesso e
níveis hierárquicos de proteção. Seguem os principais controle relacionados a essa
seção:
131
1. Perímetro de segurança física
2. Controles de entrada física
3. Segurança em escritórios, salas e instalações
4. Proteção contra ameaças externas e do meio-ambiente
5. Trabalhando em áreas seguras
6. Áreas de entrega e de carregamento
7. Escolha do local e proteção do equipamento
8. Utilidades
9. Segurança do cabeamento
10. Manutenção dos equipamentos
11. Remoção de ativos
12. Segurança de equipamentos e ativos fora das dependências da

organização
13. Reutilização e alienação segura de equipamentos
14. Equipamento de usuário sem monitoração
15. Política de mesa limpa e tela limpa
1. Empresas maiores possuem controles mínimos de

segurança física. Contudo, empresas menores podem
ainda não estar organizadas.
2. Muitas vezes, o investimento em segurança física e

do ambiente pode gerar altos custos.
3. Sempre priorizar a atenção para a área de dados

sensíveis.
4. Com a adoção de servidores em nuvem, os custos

podem reduzir bastante sobre esse aspecto.
132
Seção 12: Segurança nas operações
Nesta seção, destaca-se a importância de garantir a operação (uso) segura e correta
dos recursos de processamento da informação, principalmente os seguintes
requisitos:
1. Documentação dos procedimentos de operação
2. Gestão de mudanças
3. Gestão de capacidade
4. Separação dos ambientes de desenvolvimento, teste e de produção
5. Controles contra códigos maliciosos
6. Cópias de segurança das informações
7. Registros de eventos
8. Proteção das informações dos registros de eventos (logs)
9. Registros de eventos (log) de administrador e operador
10. Sincronização dos relógios
11. Instalação de software nos sistemas operacionais
12. Gestão de vulnerabilidades técnicas
13. Restrições quanto à instalação de software
14. Controles de auditoria de sistemas de informação
133
A segurança nas operações previne muitos incidentes de segurança da informação,
além de interrupção, mau funcionamento e inconsistências. Também auxilia no
mapeamento e restauração de incidentes de segurança da informação
Seção 13: Segurança nas Comunicações

Esta seção trata de controles para garantir a proteção das informações em redes e
dos recursos de processamento da informação, para mitigar o acesso não
autorizado. São requisitos da segurança nas comunicações:
1 Controles de redes
2 Segurança dos serviços de rede
3 Segregação de redes
134
4 Políticas e procedimentos
informações
para transferência de
5 Acordos para transferência de informações
6 Mensagens eletrônicas
7 Acordos de confidencialidade e não divulgação.
135
Acordos para transferência de informações e acordos de
confidencialidade e não divulgação devem ser incluídos em contratos e
termos. É importante fazer a revisão jurídica destes itens.
Seção 14: Aquisição, desenvolvimento e

manutenção de sistemas
Esta seção visa garantir que a segurança da informação seja parte integrante de todo
o ciclo de vida dos sistemas de informação. Isto também inclui os requisitos para
sistemas de informação que fornecem serviços sobre as redes públicas. As seguir
controles de segurança da informação que estão presentes nesta seção:
1. Análise e especificação dos requisitos de segurança da informação
2. Serviços de aplicação seguros em redes públicas
3. Proteger as transações nos aplicativos de serviços
4. Política de desenvolvimento seguro
5. Procedimentos para controle de mudanças de sistemas
6. Análise crítica técnica das aplicações após mudanças nas plataformas

operacionais
7. Restrições sobre mudanças em pacotes de software
8. Princípios para projetar sistemas seguros
9. Ambiente seguro para desenvolvimento
10. Desenvolvimento terceirizado
11. Teste de segurança do sistema
12. Teste de aceitação de sistemas
13. Proteção dos dados para teste
136
Atenção aos conceitos de Privacy by Design e Privacy by Default
relacionados à aquisição, desenvolvimento e manutenção de sistemas de
informação. Tanto para novos projetos quanto para os existentes, deve-se
aplicar a privacidade como padrão.
137
Seção 15: Relacionamento na cadeia de
suprimento
A seção 15 garante a proteção dos ativos da organização que são acessíveis pelos
fornecedores.
As informações podem ser colocadas em risco por fornecedores caso façam a gestão
da segurança da informação de forma inadequada. Convém que controles sejam
identificados e aplicados para administrar os acessos dos fornecedores aos recursos
de processamento da informação. Por exemplo: se existir uma necessidade especial
de confidencialidade da informação, acordos de não divulgação podem ser utilizados.
Outro exemplo são os riscos de proteção dos dados quando os acordos com
fornecedores envolvem a transferência ou o acesso à informação. A organização
precisa estar ciente de que as responsabilidades contratuais e legais para proteger a
informação permanecem com a organização. Seguem alguns controles de segurança
da informação para esta seção:
1 Política de segurança da informação no relacionamento

com os fornecedores
2 Identificando segurança da informação nos acordos com

fornecedores
138
3 Cadeia de suprimento na tecnologia da comunicação e
informação
4 Monitoramento e análise crítica de serviços com

fornecedores
5 Gerenciamento
fornecedores
de mudanças para serviços com
Não é comum comunicar e/ou cobrar adequação dos

seus fornecedores/parceiros sobre os aspectos da
segurança da informação. Inicialmente, você pode
solicitar uma declaração de quais controles de
segurança da informação o seu fornecedor/parceiro
pratica.
139
Seção 16: Gestão de incidentes de segurança da
informação
Dispõe sobre a definição de procedimentos formais para a notificação de incidentes
de segurança da informação, assegurando que esses eventos sejam rapidamente
comunicados e corrigidos em tempo hábil. A seguir, os controles de segurança da
informação tratados nesta seção:
1. Responsabilidades e procedimentos
2. Notificação de eventos de segurança da informação

3. Notificando fragilidades de segurança da informação
4. Avaliação e decisão dos eventos de segurança da informação
5. Resposta aos incidentes de segurança da informação
6. Aprendendo com os incidentes de segurança da informação
7. Coleta de evidências
É importante que haja o envolvimento do Comitê Gestão da Privacidade e

Segurança da Informação para discutir o processo e os procedimentos no
caso de incidentes de segurança da informação considerando as
exigências da LGPD.
140
Seção 17 – Aspectos da segurança da informação
na gestão da continuidade do negócio
Dentro do contexto da continuidade do negócio ou da recuperação de desastre, pode
ser necessário que procedimentos e processos específicos sejam definidos. Convém
que informações que sejam tratadas nestes processos e procedimentos ou em
sistemas de informação dedicados para apoiá-los sejam protegidas. A seguir, os
requisitos que compõem esta seção:
1. Planejamento da continuidade da segurança da informação
2. Implementação da continuidade da segurança da informação
3. Verificação, análise crítica e avaliação da continuidade da segurança da

informação
4. Disponibilidade dos recursos de processamento da informação
Muitas vezes, as mudanças e/ou adoção de tecnologias

envolvem aprovação orçamentária. É importante
aproveitar o momento para sugerir melhorias futuras
sobre o aspecto da segurança da informação.
Seção 18 – Conformidade
Essa seção visa evitar a violação de quaisquer obrigações legais, estatutárias,
regulamentares ou contratuais relacionadas à segurança da informação e a
quaisquer requisitos de segurança. A seguir, os principais controles neste contexto:
141
1. Identificação da legislação aplicável e de requisitos contratuais
2. Direitos de propriedade intelectual
3. Proteção de registros
4. Proteção e privacidade de informações de identificação pessoal
5. Regulamentação de controles de criptografia
6. Análise crítica independente da segurança da informação
7. Conformidade com as políticas e procedimentos de segurança da

informação
8. Análise crítica da conformidade técnica
ISO 27001 no DPONet

As recomendações da ISO 27001 e ISO 27002 podem ser encontradas nos
questionários do DPOnet de (i) Governança e Cultura e (ii) Infraestrutura e
Tecnologia, distribuídas conforme a tabela a seguir:
142
Governança Infraestrutura
Controles de segurança da informação
e Cultura e Tecnologia
Políticas de segurança de
5 x
informações
Organização da segurança da
6 x x
informação
7 Segurança de recursos humano x
8 Gestão de ativos x x
9 Controle de acesso x
10 Criptografia x
11 Segurança Física e do Ambiente x x
12 Segurança nas Operações x x
13 Segurança nas Comunicações x x
Aquisição, desenvolvimento e
14 x x
manutenção de sistemas
Relacionamento na cadeia de
15 x
suprimento
Gestão de incidentes de segurança

16 x
da informação
17 Aspectos da segurança da x x
143
informação na gestão da
continuidade do negócio
18 Conformidade x x
A distribuição proposta pelo DPOnet facilita a aplicação dos questionários para

setores e responsáveis de forma apropriada, como pode ser observado na figura a
seguir:
ISO 27701
A norma ISO 27001 – Sistema de Gestão de Segurança da Informação – é uma norma
para implementação de um sistema de gestão com foco em segurança da
informação, enquanto a norma ISO 27701 – Sistema de Gestão de Segurança Privada
– é uma extensão da norma 27001. Tem como objetivo adicionar novos controles no
sistema de gestão para garantir a total privacidade especificamente dos dados
pessoais.
Isso significa que, além dos controles previstos pelo Sistema de Gestão de Segurança
da Informação (SGSI), tais como a garantia da integridade, confidencialidade e
disponibilidade dos dados, para atender a norma ISO 27701, esse sistema de gestão
144
deve ser expandido para um “Privacy Information Management System” (PIMS), que é
um sistema de gestão preocupado também com a gestão da privacidade dos dados
pessoais.
145
12
Os Direitos dos Titulares
146
Chegamos a uma parte muito importante da jornada LGPD: os Direitos dos
Titulares.
A Lei visa empoderar os titulares de dados trazendo inúmeros direitos referentes à

privacidade e proteção de dados, sendo que as empresas e profissionais que
trabalham com adequação à LGPD, precisam conhecer e, mais do que isto, saber
como atender tais direitos de forma a cumprir com os requisitos da lei e de normas
nacionais e internacionais de privacidade e proteção de dados.
Os direitos dos titulares de dados estão dispostos do arts. 17 ao 22 da LGPD. As

regras estabelecidas como direitos dos titulares de dados servem para
instrumentalizar o poder de o titular de dados decidir, no que for possível, os limites
do tratamento de seus dados pessoais, uma vez que a lei reforça que a pessoa
natural é titular de seus dados e reitera garantias de liberdade e privacidade: "[t]oda
pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os
direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta
lei" (BRASIL,2018).
Além disso, os direitos dos titulares de dados estão totalmente atrelados aos
princípios dispostos no Art. 6 da LGPD, ficando evidente a relação com as normas de
proteção de dados pessoais com o fundamento da autodeterminação informativa.
Quando se fala em direito dos titulares, o art. 18 elenca

um rol não taxativo de direitos e qual a melhor forma
de realizá-los. No entanto, é importante ressaltar que
os direitos dos titulares não se limitam aos que
constam nesta aula, mas podem ser encontrados mais
direitos ao longo da lei.
Para quem deseja atuar como DPO, que é o responsável por intermediar a relação
entre o agente de tratamento e os titulares de dados, é imprescindível a
compreensão dos direitos dos titulares de dados. Por este motivo, passamos agora
para a abordagem de cada um deles.
147
Confirmação da Existência de
Tratamento
Trata-se do direito mais simples dentre aqueles contidos na LGPD. Aqui o titular
pode, a qualquer momento e mediante requisição, requerer ao controlador que
confirme a existência do tratamento dos seus dados pessoais, e o prazo para o envio
da resposta desta solicitação do titular é de 15 dias.
Esse direito está intimamente ligado ao princípio da transparência e do livre acesso,

fundamental na LGPD, expresso no artigo 6º, inciso VI, que descreve a transparência
como a “garantia, aos titulares, de informações claras, precisas e facilmente
acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento,
observados os segredos comercial e industrial.”
Por tal direito, o titular pode confirmar a existência do tratamento sem que precise
apresentar qualquer justificativa ao controlador, podendo utilizar-se, ainda, do Art. 9
da LGPD, que o titular de dados deve ser informado sobre o início do tratamento dos
dados ainda que não solicite tal informação, ou seja, o titular de dados deve ter
conhecimento sobre o tratamento tão logo operada a coleta de dados (MALDONADO,
2019, p. 221-222).
No entanto, existem casos em que a empresa de fato não é o agente que realizou o
tratamento de dados e isto pode confundir o titular de dados. Nestas situações, a
empresa por meio de seu DPO deverá comunicar que não é o agente de tratamento
dos dados e indicar, sempre que possível, quem é o agente responsável.
148
Uma empresa de produtos de limpeza realiza uma promoção colocando
um painel na gôndola do supermercado informando que o consumidor
pode se cadastrar acessando um QR code para receber descontos
especiais. Dias depois, um consumidor solicita ao supermercado a
confirmação do tratamento. Este deve informar que não é o agente, mas
indica a empresa de limpeza que coletou tais dados quando o titular se
cadastrou através do QR code.
Acesso aos Dados

Como complemento ao direito à confirmação da existência, o direito de acesso aos
dados, na forma do inciso II do Art. 18 (BRASIL, 2018) também está atrelado aos
princípios do livre acesso e da transparência.
Além disso, precisamos entender que mesmo antes de o titular exercer o direito de
acesso, é pressuposto a existência de tratamentos, razão pela qual referido direito
pode ser exercido e o titular tem o direito de acessar essas informações: "[...]
finalidades, categorias, destinatários, prazo de conservação, origem dos dados,
existência de decisões automatizadas, apenas para elencar algumas" (MALDONADO,
2019, p. 222).
Dessa forma, o direito de acesso configura-se pelo poder conferido ao titular de

entender todos os tratamentos realizados com seus dados dentro da organização
de forma transparente.
149
Com relação tanto ao direito de confirmação da existência de
tratamento quanto do direito de acesso, o art. 19 da LGPD dispõe
sobre a forma por meio do qual tais direitos podem ser exercidos,
garantindo que após a requisição do titular, o controlador deverá
responder de forma simplificada e imediatamente caso se trate
de uma requisição simples ou no prazo de quinze dias a partir do
requerimento em situações de tratamento de maior complexidade
(BRASIL, 2018).
Ainda no art. 19, seu § 1° determina o armazenamento em meio que facilite o

exercício do direito de acesso, enquanto o § 2° segundo dá a faculdades ao titular de
dados de solicitar os dados por meio eletrônico ou impresso (BRASIL,2018). Por fim, o
§ 3° permite a solicitação de cópia integral dos dados pessoais quando o tratamento
for fundamentado em consentimento ou em contrato em formato que admite
utilização posterior, inclusive em outras operações de tratamento (BRASIL, 2018).
Art. 19. Após a requisição do titular, o controlador deverá responder:
150
a) imediatamente, em formato simplificado, ou;
b) em situações de tratamento de maior complexidade, no prazo de até 15 dias

contados da data do requerimento do titular, por meio de declaração clara e
completa que indique:
I) finalidade específica do tratamento;
II) forma e duração do tratamento;
III) identificação e informações de contato do controlador;
IV) informações acerca do uso compartilhado de dados pelo controlador e a

finalidade;
V) responsabilidade dos agentes que realizaram o tratamento, e;
VII) direitos do titular.
Uma empresa se negou a oferecer uma cópia impressa dos dados do

titular, mas ofereceu um serviço pago junto a um parceiro para atender à
solicitação do titular.
Neste exemplo, a empresa não pode se negar e muito menos cobrar por
esta resposta. São duas condutas irregulares com relação aos direitos dos
titulares. Muitas empresas podem querer ganhar dinheiro com isso, mas
é ilegal!
151
Correção de Dados Incompletos
O titular tem o direito de assegurar que seus dados pessoais estejam completos,
exatos e/ou atualizados. Assim, "[...] os dados devem ser atualizados por decorrência
de alteração de nome, endereço, estado civil, gênero, entre outros, desde que, por
óbvio, haja a devida e formal requisição do titular ao controlador"(MALDONADO,
2019, p. 224).
É um direito que está diretamente ligado ao princípio da qualidade dos dados,

conforme artigo 6, inciso V, da LGPD, e ao direito de retificação, no qual autoriza ao
titular de dados a correção de seus dados pessoais junto ao controlador a qualquer
tempo, o que torna importante salientar que "[...] a falta de acurácia dos dados é
elemento que potencialmente pode viabilizar fraudes, notadamente em ambiente on-
line” (MALDONADO, 2019, p. 224).
Dessa forma, é dever do controlador, a requerimento do titular, atualizar os dados

pessoais deste em decorrência de alteração de nome, endereço, estado civil, gênero,
entre outras hipóteses. Dados incompletos devem ser completados, e dados
equivocados devem ser corrigidos. No entanto, é importante frisar que não é
obrigatório ao controlador que tenha ciência de atualizações das informações
pessoais dos titulares.
Em caso de dúvidas quanto à real identidade do titular

que está exercendo seu direito, o controlador pode
solicitar informações adicionais para fins de
comprovação da legitimidade do postulante.
No entanto, é necessário sempre ponderar essa medida em razão do princípio da

necessidade, que prevê que somente aqueles dados estritamente necessários devem
ser coletados do titular para fins de tratamento. Ou seja, solicitar uma quantidade
excessiva de dados pessoais do titular apenas para fins de confirmação de sua
identidade seria uma ação em desacordo com o princípio da necessidade, devendo,
portanto, ser evitada.
152
Dessa forma, o titular dos dados terá direito de obter do controlador, sem demora
injustificada, a retificação de dados pessoais incorretos que lhe digam respeito. Em
vista disso, é interessante que a empresa esteja preparada para responder a este
direito, de forma a não prejudicar ou burocratizar seu processo interno.
Uma empresa periodicamente valida com seus clientes os dados pessoais,

dando a possibilidade de alteração imediata, caso o titular entenda
necessário (boas práticas).
Anonimização, Bloqueio e
Eliminação
Anonimização
Falaremos agora de anonimização, bloqueio e eliminação de dados desnecessários,
excessivos ou tratados em desconformidade com a LGPD.
Antes de tudo, é importante relembrar que um dado anonimizado é aquele dado

relativo ao titular que não possa ser identificado, considerando a utilização de meios
técnicos razoáveis e disponíveis na ocasião de seu tratamento. O que significa que o
dado anonimizado não é considerado um dado pessoal, já que dado pessoal é
aquela informação capaz de identificar um titular de forma direta ou indireta.
É justamente isso que prevê o artigo 12 da LGPD quando diz que “dados anonimizados
não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de
anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios
próprios, ou quando, com esforços razoáveis, puder ser revertido.”
No entanto, embora a anonimização seja um direito do titular, este não se dá de

forma irrestrita, uma vez que a própria LGPD faz uma ressalva utilizando os dizeres
“sempre que possível”. O processo de anonimização não é simples e requer mais do
153
que uma mera exclusão da coluna de algum dado em uma planilha de Excel.
Neste sentido, o legislador tem conhecimento que o processo de anonimização

depende muito dos recursos tecnológicos que o controlador dispõe, justamente por
este motivo a lei fala em “razoabilidade”. Assim, o processo de anonimização será
considerado adequado quando, por meios razoáveis, não for possível revertê-lo, o
que significa que uma exigência irrestrita de anonimização para fins de atendimento
do direito do titular não é razoável.
Aplica-se a dados que são tratados sob consentimento ou não do titular desde que
sejam desnecessários, excessivos ou tratados em desconformidade.
O titular de dados entende que foram coletados dados que fogem da

finalidade de tratamento anunciada e pode solicitar a eliminação dos
dados contestados.
Bloqueio
O bloqueio significa a suspensão temporária de qualquer operação de tratamento,
mediante guarda do dado pessoal ou do banco de dados. É o direito que tem o titular
de obter restrição quanto ao tratamento em situações específicas.
Esse direito não se confunde com o direito de apagar dados, que pressupõe a
completa eliminação dos dados quando há o requerimento do titular e quando não
existe base legal para a subsistência do tratamento.
Geralmente, o bloqueio dos dados pessoais é temporário e enquanto perdurar o

bloqueio, o controlador não poderá fazer qualquer uso desses dados.
154
Eliminação
Quando falamos em eliminação, existem duas possibilidades de solicitação, pelo
titular, da eliminação dos seus dados pessoais:
1. Eliminação de dados desnecessários, excessivos ou

tratados em desconformidade com a LGPD
O titular tem o direito de solicitar a eliminação de quaisquer de seus dados pessoais
que sejam desnecessários ao tratamento, que sejam excessivos ou que sejam
utilizados em desconformidade com a LGPD.
Os dados desnecessários, excessivos ou tratados em desconformidade com a LGPD

não deveriam sequer estar na base de uma empresa, principalmente por descumprir
aos princípios da finalidade, da adequação e da necessidade.
O motivo da coleta do dado pessoal deve ser compatível com o objetivo final do
tratamento, ou seja, não é possível coletar um dado pessoal para uma determinada
finalidade e aproveitá-lo para usar em outra, ainda que ambas tenham amparo legal,
conforme especificado no princípio da finalidade. De igual maneira, deve-se avaliar
quais dados são realmente imprescindíveis verificando-se a adequação ou
necessidade de tal coleta. Se verificado que determinado dado pessoal não é
necessário, mas ainda assim houver uma coleta recorrente pela empresa, isto pode
acarretar prejuízos futuros.
2. Eliminação dos dados pessoais tratados com o

consentimento do titular
Esse direito trata da eliminação de dados pessoais tratados com base no
consentimento do titular.
Conforme disposto na lei, para toda atividade realizada com dados pessoais é preciso
que exista uma base legal. E, nesse sentido, a LGPD traz dez bases legais, que
compõem um rol taxativo, ou seja, nenhuma outra hipótese além daquelas
expressamente descritas no texto da lei.
155
Consentimento é a manifestação livre, informada e inequívoca pela qual o
titular concorda com o tratamento de seus dados pessoais para uma
finalidade determinada.
No entanto, nestes casos em que o tratamento é realizado tendo como base legal o
consentimento, o titular tem o direito de solicitar que o tratamento cesse e que seus
dados pessoais sejam eliminados imediatamente.
Esta é uma demonstração concreta da autodeterminação informativa. O titular de

dados pode decidir quanto ao tratamento, de modo que pode consentir e, a seu
critério, revogar o consentimento. Sobre referido direito, Maldonado (2019, p. 222)
comenta: “por evidente, quem fornece o consentimento pode igualmente retirá-lo
quando assim lhe aprouver".
É relevante ressaltar que todas as atividades realizadas

antes de o titular retirar o seu consentimento são
válidas. Todavia, a partir do momento em que o titular
retira o seu consentimento, não é mais possível realizar
tratamentos com aqueles dados pessoais.
156
Em certas hipóteses, o agente de tratamento deve conservar os dados e
não será possível a eliminação nos seguintes casos excepcionais contidos
na LGPD. São eles:
I) cumprimento de obrigação legal ou regulatória pelo controlador;
II) estudo por órgão de pesquisa, garantida, sempre que possível, a

anonimização dos dados pessoais;
III) transferência a terceiro, desde que respeitados os requisitos de

tratamento de dados dispostos na lei, ou;
IV) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde
que anonimizados os dados.
Reiteramos que, ainda que não seja possível a eliminação dos dados pessoais nas
exceções trazidas pela lei, o controlador deve comunicar e justificar tal
impossibilidade ao titular.
157
Portabilidade dos Dados
O direito de ''portabilidade dos dados a outro fornecedor de serviço ou produto,
mediante requisição expressa, de acordo com a regulamentação da autoridade
nacional, observados os segredos comercial e industrial" se insere no inciso V do art.
18 da LGPD (BRASIL, 2018). Tal direito não é exigível caso já tenha ocorrido o
procedimento de anonimização desses dados, conforme o § 7° do art. 18 (BRASIL,
2018). Logo, "com a obrigatoriedade de atendimento ao direito de portabilidade,
permite-se ao titular dos dados encaminhá-los a outro controlador de maneira fácil e
estruturada'' (MALDONADO, 2019, p. 232).
Portanto, o titular tem o direito de obter junto ao controlador seus dados pessoais de
forma estruturada e de modo que possam ser transmitidos a outro controlador,
incluindo o histórico do uso de um determinado serviço. No entanto, o que a LGPD
garante ao titular é a transferência dos dados ao agente que indicar, sem que se
transfira o produto da atividade de tratamento operada pelo agente anterior.
Observe que o exercício do direito de portabilidade pode gerar para o controlador

um trabalho excessivo caso este não tenha realizado uma adequação efetiva à LGPD.
Além disso, a autoridade nacional poderá dispor sobre padrões de interoperabilidade
para fins de portabilidade.
O titular solicita seus dados pessoais de uma instituição bancária ou de

cartões de crédito para migrar para outra instituição, uma vez que o
histórico de uma determinada pessoa com uma empresa de crédito é
essencial para ela conseguir condições favoráveis.
158
Informações sobre
Compartilhamento de Dados
O titular poderá "solicitar informações das entidades públicas e privadas com as
quais o controlador realizou uso compartilhado de seus dados'' (BRASIL, 2018).
O uso compartilhado de dados é toda comunicação, difusão, transferência

internacional, interconexão de dados pessoais ou tratamento compartilhado de
bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas
competências legais, ou entre esses e entes privados, reciprocamente, com
autorização específica, para uma ou mais modalidades de tratamento permitidas por
esses entes públicos ou entre entes privados. (SANTOS, 2021).
Desta forma, afirma Maldonado (2019, p. 233) que uma vez que a lei permite o uso
compartilhado de dados pessoais (em conformidade com as demais disposições da
LGPD), o legislador preocupou-se em assegurar ao titular a possibilidade de buscar
informações sobre entidades públicas e privadas com as quais o controlador realizou
o uso compartilhado de dados.
A intenção é justamente manter o titular no controle de

seus dados pessoais e conhecedor das entidades que
fazem uso deles por força do compartilhamento.
159
Após fazer o check-in on-line em seu restaurante favorito, o cliente
começou a receber informações sobre atrações turísticas na cidade e
resolveu solicitar ao restaurante informações sobre entidades que ele
compartilhou seus dados.
Possibilidade de Não Fornecer

Consentimento
Outro direito atrelado ao princípio da transparência, na forma do art. 6°, inciso VI, da
LGPD, é o direito do titular saber que pode não fornecer seu consentimento para a
realização de determinado tratamento.
Entretanto, a postura que deve ser adotada pelo controlador, com base nos deveres
de transparência e de informação, é antecipar-se a informar, com clareza, se o titular
de dados poderá deixar de consentir ou não e o que decorrerá desse não
consentimento (MALDONADO, 2019, p. 234).
Isto quer dizer que quando o acesso a um conteúdo ou funcionalidade depender do

consentimento do titular de dados, este deve ser informado, de forma clara, expressa
e inequívoca, sobre a possibilidade de não conceder o consentimento e quais os
impactos negativos ou limitadores dessa ação.
160
Um cliente ao acessar seu site é alertado sobre a coleta de dados via
cookie, e ele pode ou não aceitar, além de ser informado de limitações da
não aceitação.
ou
Para acessar todas as funcionalidades do seu sistema, o funcionário deve

preencher um cadastro e fornecer o consentimento. Deve, também, ser
informado sobre as limitações caso ele não concorde.
Revogação do Consentimento
Conforme já mencionado anteriormente, trata-se aqui, da possibilidade de o titular
de dados revogar o consentimento de modo a impedir, imediatamente, toda e
qualquer atividade de tratamento cuja base legal se restrinja ao consentimento.
161
O consentimento pode ser revogado a qualquer momento mediante manifestação
expressa do titular, por procedimento gratuito e facilitado.
Isto justifica o motivo de a LGPD em diversas passagens assegurar a mais plena

autodeterminação informativa quando se trata da base legal de tratamento do
consentimento.
Além do mais, para revogar o consentimento, o titular de dados não necessita

demonstrar qualquer ilicitude no tratamento de seus dados, bastando que
simplesmente manifeste a revogação que o controlador precisará cumprir com a
cessação de qualquer forma e tratamento dos dados, salvo se houver alguma outra
base legal que autorize prosseguir o tratamento.
É importante ressaltar que "a revogação do consentimento não produz quaisquer

efeitos no que se refere aos atos praticados sob o amparo do consentimento
licitamente fornecido, sendo válido o tratamento anteriormente realizado"
(MALDONADO, 2019, p. 235).
Um cliente deseja revogar o consentimento para o compartilhamento de

dados com terceiros, mas quer manter o consentimento para outras
atividades.
Revisão de Decisões Automatizadas

A LGPD prevê que o titular de dados tem o direito de solicitar a revisão de decisões
tomadas unicamente com base em tratamento automatizado de dados pessoais que
afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal,
profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Esse direito é necessário, na medida em que o uso da inteligência artificial também

está sujeito a erros, por deficiência tecnológica ou até pelo uso de uma base de
dados limitada ou incompleta (Rodrigues, 2021).
162
Neste sentido, sabemos que será cada vez mais frequente o uso de tecnologias
envolvendo inteligência artificial na sociedade, momento em que a previsão legal da
possibilidade de revisão das decisões automatizadas foi uma opção muito acertada.
No entanto, um dos aspectos a serem analisados é se os controladores estarão

preparados para atender a essa espécie de solicitação, tendo em vista a
complexidade existente em torno das decisões. E esse problema começa no
momento em que a nossa legislação não traz o conceito do que seria uma decisão
totalmente automatizada.
Vale mencionar outro aspecto importante, que é como realizar a revisão da decisão.
Ao contrário do que prevê o artigo 22 (2) do Regulamento Europeu (GDPR), a LGPD
não impõe, expressamente, a necessidade de que a revisão seja feita por meio de
intervenção humana. Contudo, a revisão por meio da intervenção humana talvez seja
essencial, neste sentido (NYBO, 2019) afirma:
Necessário criar métodos e processos de revisão por humanos da

tomada de decisões dos algoritmos para evitar erros que podem ser
replicados ao longo do tempo ou, até mesmo, atingir uma escala maior.
O ponto é que os dados utilizados para ensinar algoritmos representam
sempre uma situação do passado. Por isso, é necessário identificar a
qualidade dos dados que vão ensinar um algoritmo a tomar decisões.
E complementa que também é necessário
que existam humanos que possam rever as decisões tomadas pelos

algoritmos, transparência dos modelos de treinamento adotados para
determinado sistema, auditoria dos dados e do código para garantir que
haja responsabilidade e qualidade no uso dessas ferramentas.
Portanto, considerando o princípio da transparência e o da não discriminação, ambos

previstos no artigo 6º da LGPD, a revisão das decisões automatizadas torna-se
necessária diante do risco de discriminação, a fim de evitar violação de direitos
fundamentais dos indivíduos, principalmente de minorias. Entretanto, a forma como
será realizada a decisão, em especial diante da ausência de obrigação legal que seja
feita por um humano, gera novos desafios e preocupações (Rodrigues, 2021).
Por isso a LGPD não vai afetar somente as empresas, pois também vai envolver
decisões e consequências críticas dos próprios titulares dos dados.
163
Quando houver segredo comercial e industrial, a
autoridade nacional poderá realizar auditoria para
verificação de aspectos discriminatórios em tratamento
automatizado de dados pessoais.
Empresa que, na contratação, utiliza um software de inteligência artificial

para analisar o perfil dos candidatos e o resultado é um dos itens do
processo seletivo.
Contratos e Termos de Uso para os

Titulares de Dados
Existem alguns contratos e termos que dão o respaldo necessário ao titular de dados
com relação a seus direitos e devem estar em dia pelo controlador e encarregado de
dados, como por exemplo:
164
Contratos para o titular de dados – Contratos para o titular de dados
colaborador – clientes

Política de privacidade Política de privacidade
Termo de ciência Termo de ciência
Termo de consentimento Termo de consentimento
Termos de uso para site ou

Contrato de trabalho
aplicativo
Contrato de estágio
Canal de Comunicação do Titular de

Dados
Na plataforma do DPOnet, o titular de dados possui um canal exclusivo para verificar
se determinada empresa tem maturidade em privacidade e proteção de dados, além
de poder exercer seus direitos e realizar suas solicitações para o controlador, basta
acessar o site https://www.privacidade.com.br:
165
166
167
13
Agentes de Tratamento
168
Nesta aula, vamos conhecer os responsáveis pelo tratamento de dados: os agentes
de tratamento, e entender como essas figuras se comportam na prática é primordial
para que possamos compreender a dinâmica da LGPD.
Vamos conhecer, então, quem são as pessoas que têm acesso aos nossos dados e
como é a relação delas na prática.
Identificando os Agentes de
Tratamento
A LGPD traz as figuras dos chamados agentes de tratamento, isto é, pessoas
naturais ou jurídicas, de direito público ou privado que realizam o tratamento de
dados pessoais (BRASIL, 2018).
Os agentes de tratamento são basicamente os responsáveis por coletar, armazenar,

transferir e compartilhar, dentre outras ações, informações que envolvem dados
pessoais. Eles podem ser divididos em controladores e operadores.
Controladores e Operadores
Segundo a LGPD, no artigo 5º, incisos VI e VII, o Controlador é a “pessoa natural ou
jurídica, de direito público ou privado, a quem competem as decisões referentes ao
tratamento de dados pessoais”; enquanto o Operador é a “pessoa natural ou jurídica,
de direito público ou privado, que realiza o tratamento de dados pessoais em nome
do controlador” (BRASIL, 2018).
Esse papel não é fixo, isto é, em uma determinada situação, o sujeito pode ser
controlador de dados, mas em outra atua como operador, pois esses papéis são
funcionais, isto é, dependem da função que cada sujeito exerce em determinado
contexto e cenário específico.
169
Link direto para download do guia orientativo da ANPD para Definições
dos Agentes de Tratamento de Dados Pessoais e do Encarregado:
Quem pode ser agente de tratamento

Já no início do Guia Orientativo para as Definições dos Agentes de Tratamento e do
Encarregado, a ANPD esclarece que “(...) Não são considerados controladores
(autônomos ou conjuntos) ou operadores os indivíduos subordinados, tais como os
170
funcionários, os servidores públicos ou as equipes de trabalho de uma organização,
já que atuam sob o poder diretivo do agente de tratamento” (ANPD, 2021, p. 5).
Em outras palavras, no caso de uma empresa, por exemplo, o agente de tratamento

é sempre a própria empresa e jamais os colaboradores que a compõem, pois apenas
executam o tratamento conforme suas ordens, sob sua subordinação. Outro
exemplo é o Poder Público. Em um Tribunal de Justiça, o próprio Tribunal é o agente
de tratamento e nunca seus servidores (ANPD, 2021).
Assim, são considerados agentes de tratamentos aqueles que realizam qualquer

operação envolvendo dados pessoais para fins econômicos, por exemplo. Neste
sentido, se um senhor armazena em sua agenda de contatos no celular o telefone de
seus familiares, ele não é agente de tratamento, pois a LGPD não se aplica para os
casos em que a pessoa natural realiza tratamento para fins apenas particulares e não
econômicos, conforme explicado no artigo 4º, inciso I da lei (BRASIL, 2018).
Logo, as pessoas naturais podem, sim, ser agentes de tratamento, mas desde que a
finalidade dessa atividade tenha propósitos econômicos. Uma vendedora informal de
doces, por exemplo, que armazena o contato de seus clientes em sua agenda
telefônica no celular é um agente de tratamento.
Diferenciando os agentes de tratamento

Para diferenciar os agentes de tratamento, precisamos primeiro entender o papel
exercido por cada um deles. Em artigo sobre o tema, Marcel Leonardi (2021, p.188)
diz que “Toda vez que uma empresa ou entidade efetua o tratamento de dados
pessoais decidindo as finalidades e os meios desse tratamento – o “porquê” e o
“como” dessa operação – ela se enquadra na definição de controlador prevista na
LGPD, pois é a pessoa jurídica a quem competem as decisões mais relevantes
referentes ao tratamento”.
Assim, podemos afirmar que o tratamento não precisa ser feito diretamente pelo
controlador. O tratamento pode ser terceirizado, isto é, feito por um operador, mas
com as diretrizes do controlador. Isso quer dizer que nem todas as decisões serão
tomadas pelo controlador, mas somente as principais e mais relevantes. Assim,
algumas decisões de menor relevância poderão ficar a cargo do operador.
171
Portanto, conseguimos diferenciar quem é um
controlador de operador basicamente pelo poder de
decisão em relação aos dados que o controlador detém
e o operador não. Ao contrário, a ele só cabe respeitar e
seguir as orientações do controlador, sobretudo as
finalidades de tratamento delimitadas.
A ANPD considerou, ainda, em seu Guia Orientativo, que:
(...) além da finalidade, o controlador é o responsável por estabelecer

outros elementos essenciais relativos ao tratamento. É o caso da
definição da natureza dos dados pessoais tratados (por exemplo, dados
de beneficiários de plano de saúde ou de pessoas cadastradas em banco
de dados oficial) e da duração do tratamento, isto é, do período durante
o qual será realizada a operação, incluindo o estabelecimento de prazo
para a eliminação dos dados (ANPD, 2021, p.15).
Nesse sentido, o operador só poderá agir nos limites impostos pelo controlador, isto
é, seguir as finalidades que o controlador impôs, além de se tratar os dados que o
controlador permitiu e durante o período estabelecido, não se esquecendo de outras
diretrizes que porventura forem expostas.
O controlador, portanto, é aquele responsável por definir como o tratamento de

dados pessoais e para quais fins, cabendo ao operador cumprir o que foi definido.
A seguir vamos ver alguns exemplos mais práticos que ajudam a identificar e
diferenciar essas duas figuras e, principalmente, qual a importância dessa
diferenciação:
172
A empresa de tecelagem TECER FIOS que contrata a empresa de
marketing SUCESSO NET para divulgar sua marca. Tentando humanizar a
TECER FIOS, a SUCESSO NA NET sugere que sejam divulgadas fotos dos
colaboradores e clientes da tecelagem em suas redes sociais. A direção da
TECER concorda com a sugestão e compartilha com o marketing o nome e
a foto dos funcionários e clientes. Nesse caso, a tecelagem será a
controladora de dados, sendo a ela que o titular confiou seus dados e, por
isso, ela deverá instruir a contratada/operadora (SUCESSO):
(i). o que ela deverá fazer com esses dados, como somente divulgar nas
redes sociais da TECER visando promover a marca, por exemplo;
(ii). deverá deletar de seu banco de dados após a divulgação;
(iii). só poderá compartilhar nas redes sociais XPTO; e
(iv). dentre outras diretrizes.
Outros exemplos:
Para controlar a rotina e os horários de entrada e saída de seus

funcionários, a loja de vestuário A&B contratou o prestador de serviços
HORA CERTA para disponibilizar um ponto eletrônico. Todos os
colaboradores, todos os dias, devem registrar seu horário de entrada e
saída, ficando essa informação anotada no sistema, juntamente com o
nome, número de matrícula e o setor. No caso em questão, a HORA
CERTA não poderá usar os dados pessoais que ficam registrados em seu
sistema e os quais ela tem acesso para quaisquer finalidades, pois
enquanto operadora caberá a ela seguir as diretrizes impostas pela
controladora A&B.
173
A empresa PINTURAS EXPRESS, prestadora de serviços de pintura em
prédios comerciais, contratou a corretora de seguros BEM SEGURO para
que ela realizasse o seguro de vida de todos os seus funcionários. Para
tanto, a BEM SEGURO precisará de alguns dados dos colaboradores que
serão segurados, bem como de seus familiares que serão os beneficiários
do seguro. De posse de todos os dados, a BEM FUTURO estará limitada a
tratá-los para os fins delimitados pela PINTURA EXPRESS, que é
controladora de dados, pois a relação de confiança dos titulares é com a
sua empregadora e, por isso, ela deve zelar pelas informações de seus
funcionários.
É importante salientarmos que prestador de serviços não é sinônimo de operador.

Leonardi (2021, p. 200-01) trouxe o caso exemplificado pelo European Data Protection
Board, nas Guidelines 07/2020, a respeito dos escritórios de advocacia:
A empresa ABC contrata um escritório de advocacia para representá-la

em uma disputa. Para realizar esta tarefa, o escritório de advocacia
precisa tratar dados pessoais relacionados ao caso. A razão para o
tratamento dos dados pessoais é o mandato do escritório de advocacia
para representar o cliente em Juízo. Este mandato, no entanto, não se
destina especificamente ao tratamento de dados pessoais. O escritório
atua com um grau significativo de independência, por exemplo, ao
decidir quais informações usar e como usá-las, não havendo instruções
da empresa cliente quanto ao tratamento de dados pessoais. O
tratamento que o escritório de advocacia realiza para cumprir a função
de representante legal da empresa em Juízo está, portanto, vinculado ao
papel funcional do escritório de advocacia, pelo que ele deve ser
considerado controlador dessa atividade de tratamento.
Assim, sugerimos que para identificar se um agente de tratamento é controlador ou

operador, caberá ao DPO refletir: qual o grau de independência que esse sujeito
possui? Qual o seu nível de poder de decisão? Fiquem atentos para não acharem que
todo prestador de serviços é necessariamente um operador, pois o caso concreto
deve sempre ser avaliado.
A ANPD define, ainda, a possibilidade de uma controladoria conjunta em uma mesma

operação de tratamento de dados, isto é, quando dois ou mais agentes se tornam
responsáveis por determinar as finalidades de um tratamento e todas suas decisões
174
são em conjunto, visando um objetivo em comum (ANPD, 2021). Pode acontecer, por
exemplo, quando duas empresas se unem para promover uma mesma campanha de
marketing visando a promoção de ambas as marcas.
Os suboperadores também merecem destaque e, segundo a Autoridade, “o

suboperador é aquele contratado pelo operador para auxiliá-lo a realizar o
tratamento de dados pessoais em nome do controlador” (ANPD, 2021, p. 19). Assim,
se a empresa SEGURO BEM do exemplo anterior contrata a empresa ARMAZENE para
armazenar todos os dados de seus segurados na nuvem, estaremos diante de um
suboperador.
Importância Prática da
Diferenciação
A maior importância prática dessa diferenciação é o fato que a LGPD traz obrigações
específicas a cada uma das figuras, mas principalmente ao controlador, que possui
uma série de obrigações.
Segundo a lei, é dever do controlador: comprovar o consentimento do titular para

determinada finalidade (art. 8º, § 2º), avaliar os direitos que o titular pretende exercer
(art. 18), elaborar Relatório de Impacto à Proteção de Dados (artigo 38) e comunicar à
ANPD eventuais incidentes ocorridos (art. 48) (BRASIL, 2021).
Além disso, caberá aos dois agentes manter registro das operações de tratamento de
dados pessoais que realizarem (art. 37) e ao operador, obviamente, respeitar as
diretrizes impostas pelo controlador (BRASIL, 2021).
No que tange à responsabilidade jurídica, a ANPD (2021, p. 17) se manifestou:
(...) Além disso, nos termos do art. 42 da LGPD, ambos possuem a

obrigação de reparação se causarem dano patrimonial, moral, individual
ou coletivo a outrem, no âmbito de suas respectivas esferas de atuação.
No entanto, cabe ressaltar que, via de regra, as obrigações e
responsabilidades do controlador e do operador são distintas, pois são
determinadas de acordo com o papel exercido por cada um no âmbito
do tratamento dos dados pessoais. Assim, a responsabilidade solidária
estabelecida pelo inciso I, § 1º do art. 42 da LGPD, prevista para os casos
de danos causados em razão do tratamento irregular realizado por
operador (por descumprir as obrigações da legislação ou por não
observar as instruções do controlador), pode ser considerada como uma
175
excepcionalidade, já que em regra a responsabilidade é do controlador.
A princípio, essa é a única hipótese em que o operador é equiparado ao
controlador.
Assim, em regra, a responsabilidade será atribuída a quem deu causa ao evento

danoso. Contudo, caso o operador consiga comprovar que as orientações do
controlador não foram suficientes, o controlador também poderá vir a ser
responsabilizado
Relações Contratuais
A melhor forma de estabelecer expressamente o papel de cada um dos agentes de
tratamento, bem como de suas funções é justamente por meio da elaboração de
instrumentos contratuais.
A LGPD não previu a obrigatoriedade de normas contratuais para regular essa

relação. Contudo, a própria ANPD (2021, p. 16) já reconhece que essa medida se
mostra “(...) uma boa prática de tratamento de dados, uma vez que as cláusulas
contratuais impõem limites à atuação do operador, fixam parâmetros objetivos para
a alocação de responsabilidades entre as partes e reduzem os riscos e as incertezas
decorrentes da operação”.
Assim, sugerimos que os instrumentos contratuais com seus parceiros de negócios

sejam revistos, a fim de que passem a constar cláusulas de proteção de dados que
estabeleçam cláusulas de proteção de dados, prevendo:
176
i. finalidades do tratamento: qual o objetivo do tratamento de dados, qual
o limite desse tratamento para o operador, o que o operador de fato
pode fazer com os dados pessoais que está recebendo; qual o objetivo do
tratamento de dados em conjunto, se for o caso;
ii: quais são dados serão tratados: selecione os exatos dados aos quais os
operadores poderão ser acesso para que possam utilizar nos estritos
limites estabelecidos;
iii. duração do tratamento: qual o período razoável de tempo o operador

poderá ter acesso aos dados pessoais; o que ele deverá fazer após atingir
a finalidade proposta; como e quando os dados serão eliminados; em
quais situações poderão ser mantidos;
iv. base legal: estabelecer a hipótese legal de tratamento de dados é

função que cabe ao controlador, mas é importante que ela esteja
expressa em contrato;
v. padrões de segurança, cultura e governança: quais os mínimos padrões

o controlador recomenda que o operador siga para que possa haver o
tratamento de dados pessoais;
vi. compartilhamento: com quem os dados poderão ser compartilhados,

quem poderá ter acesso a essas informações, sendo destacado, ainda, a
possibilidade de possíveis suboperadores, não havendo razões para
terceiros que não irão contribuir para que o operador cumpra a finalidade
do tratamento tenha acesso aos dados;
vi. comunicação: como será a comunicação entre as partes em caso de

incidentes, como irão responder eventuais requisições dos titulares ou de
autoridades;
vii. responsabilidades: quem será responsável em caso de incidentes de

dados; cláusula penal; direito de regresso; possibilidade de chamamento
ao processo e denunciação da lide; e
viii. demais obrigações: a quem caberá colher o consentimento dos

responsáveis legais de menores; a quem caberá informar ao titular como
seus dados serão tratados; registro das operações; sigilo de informações.
177
É de extrema importância que as obrigações dos agentes de tratamento sejam
claramente expostas nos contratos com o intuito de aumentar a segurança para
todas as partes envolvidas.
178
14
Prática da Jornada DPOnet –

Parte 1
179
Alunos,
Seguindo a metodologia pensada para este curso, e em continuidade à teoria

abordada, a partir de agora os estudos seguirão mais vinculado à prática,
especificamente, a treinamentos, nomeações e a conscientização necessária para as
fases de preparação e efetivação do mapeamento e diagnóstico dos processos e
atividades que tratam dados pessoais.
Nesse sentido, destaca-se a importância de uma abordagem a respeito das condições

em que se estabelece a necessidade da implementação, bem como uma atenção
especial por parte do encarregado sobre o tema, uma vez que, inerente às suas
atividades, está a necessidade de contribuir no pensar, planejar, melhorar e executar
um plano de ação eficaz para a implementação das adequações exigidas pela LGPD,
tudo isso em conjunto com o controlador.
A chamada sociedade da informação que trouxe consigo uma extrema

movimentação da economia de dados, também convive com uma dinâmica
movimentação de normas que buscam regulamentar o tema equilibrando a inovação
e a proteção de dados, conforme leciona Viviane Nóbrega Maldonado (LGPD: Lei
Geral de Proteção de Dados Pessoais: manual de implementação – São Paulo:
Thomson Reuters Brasil, 2019) (MALDONADO, 2019).
Não há dúvidas sobre a necessidade de regulamentação sobre os temas, todavia,

isoladamente as normas não trarão resultado efetivo. Neste contexto, ainda mais
necessária é a disruptura alinhada ao planejamento estratégico fins se atingir os
objetivos indicados pela LGPD.
Parte desses objetivos podemos encontrar no art. 50 da LGPD, que utilizaremos,

exemplificativamente, para nortear o estudo desenvolvido.
O referido artigo estabelece que os controladores e operadores “poderão formular

regras de boas práticas e de governança que estabeleçam as condições de
organização, o regime de funcionamento, os procedimentos, incluindo reclamações e
petições de titulares, as normas de segurança, os padrões técnicos, as obrigações
específicas para os diversos envolvidos no tratamento, as ações educativas, os
mecanismos internos de supervisão e de mitigação de riscos e outros aspectos
relacionados ao tratamento de dados pessoais”.
180
É evidente que todas essas atividades, em algum
momento, passarão pelo crivo do encarregado, que é o
responsável pelas políticas de tratamento de dados
pessoais adotadas e deve indicar eventuais melhorias e
correções que ele entenda necessárias.
Neste sentido tem-se que a implementação não pode se desenvolver de maneira

aleatória, sem planejamento. Ao contrário, precisa se desenvolver através de uma
jornada corretamente pensada e desenvolvida logicamente com sequências
facilitadoras para se atingir os objetivos propostos pela LGPD.
O objetivo da preparação foca-se justamente em entender o cenário atual da

organização de uma forma efetiva no que se refere ao tratamento, privacidade e
proteção de dados com a finalidade de elaborar um plano de ação que sirva para
estabelecer boas práticas de governança, responsabilidades e compreensão de riscos
eventualmente identificados. Esse é o mesmo entendimento trazido pelo Professor
Claudinei Vieira (2019) (LGPD: Lei Geral de Proteção de Dados Pessoais: manual de
implementação. São Paulo: Thomson Reuters Brasil, 2019) (VIEIRA, 2019).
Atuando dessa forma a assertividade, praticidade e eficiência terão índices altos, o

que corresponde diretamente em uma alta economia de recursos e tempo, insumos
tão preciosos para organizações que possuem uma infinidade de atividades e
responsabilidades das mais diversas naturezas.
Embora exista uma infinidade de possíveis planejamentos, a prática reiterada trouxe

a expertise que nos indica uma sequência básica, porém rica em praticidade e
eficiência na preparação para a implementação por meio do DPONet.
A referida sequência consiste em inicialmente proceder a elaboração de toda

documentação necessária para as nomeações, seja do representante, do
encarregado, modelos básicos de atas a serem preenchidos conforme o
desenvolvimento das reuniões, enfim, possuir um banco com a documentação
exigida pela LGPD.
181
A importância de manter tais documentos sempre atualizados está no
fato de que, em caso de solicitações por parte da Agência Nacional ou
outro órgão fiscalizador (Ministério Público, Procon, entre outros), o
encarregado de dados da organização esteja respaldado para informar e
comprovar que o processo de adequação acontece e é devidamente
documentado.
O escopo da preparação é justamente iniciar uma adequação cultural dentro da

organização para o cumprimento das exigências contidas na LGPD. Dessa forma,
entendemos que a estruturação deve seguir desde o topo da cadeia administrativa,
com a compreensão por parte da diretoria e os efetivos comprometimento da cultura
de proteção de dados.
Esse comprometimento tem efeito positivo na medida em que todos os demais

segmentos da ordem hierárquica aderem ao perceber a importância dada pelos
superiores. Em sentido contrário, é evidente que os integrantes de uma organização
não se empenharão em um projeto cujos superiores não esteja engajados.
182
O passo seguinte refere-se à indicação e nomeação do representante, que, na
metodologia desenvolvida e aplicada para a implementação, é o ponto de ligação
entre a organização.
Durante a implementação, seu papel é conduzir a diretoria e os demais líderes a

realizarem os treinamentos, conforme a indicação sobre quem deve fazer cada
treinamento.
Fonte: Imagem Produzida Pelos Autores
Depois disso, o representante precisa coordenar os líderes para que façam o

mapeamento dos processos em seus setores e também precisa indicar quais
colaboradores irão responder aos questionários
Finalizado o mapeamento, passa-se então à fase de manutenção, em que o

representante irá distribuir os trabalhos para que sejam analisadas as não
conformidades geradas a partir do mapeamento de processos e das respostas aos
questionários. Também irá conduzir a manutenção de todo o programa
implementado com o apoio de todas as ferramentas do DPOnet.
183
É importante ainda que se elenque dentro da
organização os líderes setoriais, que serão os
responsáveis por receber treinamentos a respeito dos
conceitos existentes na LGPD, segurança da
informação, governança e cultura, bem como gestão de
processos.
Esses líderes terão a missão de difundir entre os colaboradores a cultura necessária

para adoção de políticas e boas práticas no tratamento de dados pessoais, além de
repassar treinamentos práticos sobre a lei e o mapeamento de dados.
Para o alcance dos objetivos traçados, entendemos que é essencial aplicar um

treinamento ao topo da cadeia (Diretoria) com os conceitos básicos sobre a LGPD
bem como sobre a necessária adequação cultural sobre o tema.
Essa reunião com a diretoria tem relevância para que todos tomem ciência do
trabalho a ser realizado e o caminho a ser percorrido, inclusive com apresentação de
cronograma ideal para cumprimento de fases. Dessa forma, todos podem se engajar,
acompanhar e cobrar os responsáveis pela adequação.
184
Após a contextualização da diretoria sobre o tema, passa-se ao treinamento dos
líderes setoriais escolhidos, em que aprenderão sobre os conceitos trazidos pela lei
tais como dado pessoal e suas classificações, titular de dados, compartilhamento de
dados, enfim, todas as diretrizes trazidas pela LGPD.
O treinamento dos líderes deve abranger ainda a prática do

mapeamento das atividades que envolvam dados pessoais,
indicando quem são os titulares de dados envolvidos, quais dados
são tratados, como, onde e por quanto tempo são armazenados,
além das indicações sobre existência e forma de compartilhamento.
Esses líderes precisam ser cuidadosamente escolhidos, pois

devem ter capacidade de difundir o treinamento recebido entre os
demais colaboradores de seu setor, além de capitanear essa
difusão de conceitos e cultura no tratamento de dados.
Além da função pedagógica de repassar teoria e prática sobre tratamento de dados

pessoais e sua proteção, os líderes devem ter habilidades específicas para as funções
a serem desempenhadas durante a implementação, tais como gerência, entrega,
engajamento, fiscalização e execução. Isso porque é o líder quem difunde os
treinamentos aos demais integrantes de seu setor e é responsável por acompanhar e
cobrar as entregas de mapeamento para o cumprimento do cronograma.
Nesse contexto, é importante que o líder tenha capacidade de engajamento para

obter o melhor resultado dos integrantes do time, fiscalizando a implementação e
evitando ruídos entre integrantes da equipe, entre outras funções.
Também é importante a participação de líderes junto ao comitê de proteção de

dados. Esse Comitê de Proteção de Dados ou Comitê de privacidade de dados, é um
órgão que pode ser criado na organização. Diz-se “pode" porque ele não é
obrigatório de acordo com as regras de proteção de dados pessoais no Brasil.
Assim, a criação de um Comitê deve ser considerada uma boa prática de proteção de
dados pessoais porque se trata de uma forma de demonstrar que a empresa se
preocupa com os dados pessoais que circulam diariamente dentro dos
departamentos.
185
O referido comitê tem ainda a função de aumentar o debate na tomada de decisão, o
objetivo de ter um Comitê é não centralizar em apenas uma pessoa as questões
envolvendo dados pessoais, e sim em um grupo de pessoas. Isso quer dizer, então,
que é interessante que participem desse Comitê líderes de departamentos chave,
bem como especialistas em segurança da informação e jurídico. Os departamentos
que entendemos como os mais recomendados para ter líderes no Comitê, são os
seguintes: Recursos Humanos, Jurídico, Compliance e Marketing.
Todavia, caso a organização não possua esses departamentos, não há problema,

uma vez que é possível formar o Comitê mesmo assim. Entre as funções que o
Comitê pode ter dentro da empresa, as mais comuns são: Criação de políticas em
geral, para a empresa, e para departamentos específicos; Auxílio para identificar
atividades de tratamento e para orientar o menor risco possível; Auxílio e realização
de atividades de educação e cultura; Análise de problemas envolvendo produtos e
serviços; Apoio em caso de incidentes de dados pessoais; Auxílio na manutenção de
todo o programa de gestão da proteção de dados pessoais.
Não tem problema se a sua empresa, neste momento, não constituir um

Comitê de proteção de dados. Isso pode ser feito depois, se for o caso.
186
Pilares Essenciais para a
Manutenção do Projeto
Embora a criação de um Comitê de Privacidade e Proteção de Dados Pessoais não

constitua uma obrigação legal, trata-se, sem dúvida, de um importante instrumento
facilitador da promoção de uma cultura de proteção aos dados pessoais dentro da
instituição, ao mesmo tempo em que contribui para a tomada de decisão de forma
centralizada, com a minimização, inclusive, de eventuais conflitos de interesse que
possam existir.
187
15
Prática da Jornada DPOnet –

Parte 2
188
Manutenção do Mapeamento de
Dados Atualizado
Manter o mapeamento de dados atualizado é uma das atividades de rotina em um
programa de gestão da proteção de dados pessoais. É notório que, antes da LGPD,
seria praticamente impossível alguém chegar em uma organização (pública ou
privada) e receber uma resposta positiva para a seguinte pergunta: “você pode me
mostrar o mapeamento dos dados pessoais em cada departamento da organização?”
Com a LGPD, passou-se a falar muito nessa ferramenta, que é realmente comum nos
programas de proteção de dados que vamos internacionalmente. Entretanto, o
desafio inicial é realizar o mapeamento.
É para isso, então, que o DPOnet olha detalhadamente cada segmento de negócio,
para cada tipo de órgão público, e oferece para todas as organizações um
mapeamento já pronto, para que, em vez de os líderes de departamento terem que
mapear todas as informações a partir do zero, possam já contar com um
mapeamento pronto para adaptação dos detalhes à realidade da organização.
No DPOnet, da forma como a solução para democratizar a LGPD foi desenhada, o
mapeamento de dados (ou data mapping) é o coração do programa de gestão (não se
esqueça de que um corpo precisa de um coração, mas não funciona apenas com ele),
e uma das grandes atividades que são realizadas no momento da implementação.
Dessa maneira, na prática é muito comum vermos as organizações freneticamente
empenhadas em validar as sugestões de processos do DPOnet no momento da
implementação. Os líderes de departamento empolgados, principalmente com a
facilidade que o DPOnet traz, validam os fluxos e informações sobre tudo o que
acontece internamente nos seus departamentos. Mas e depois?
É aqui que vem o maior desafio sobre o data mapping:
manter o mapeamento de dados sempre atualizado, de
acordo com a rotina que realmente está sendo
praticada dentro da organização. Para isso, é relevante
que os líderes de departamento da organização sempre
se atentem às mudanças de rotina, aos novos
procedimentos internos que são estabelecidos, e,
assim, caso aconteça qualquer mudança, que ela seja
devidamente registrada no DPOnet.
Entender adequadamente por que o mapeamento de dados é tão relevante é

fundamental para a conscientização sobre a necessidade de ele estar atualizado em
todos os momentos. Na prática, podemos ver seis situações muito claras que deixam
indiscutível a importância de manter o data mapping atualizado.
Primeiro, o mapeamento de dados gera para a empresa controle sobre o que
acontece na rotina dos departamentos. Ainda que o mapeamento não tivesse
nenhuma das outras relevantes finalidades, o fato de a organização saber como
acontece o fluxo de dados, os armazenamentos, quem são os titulares de dados
envolvidos, por si só, já seria suficiente a fim de justificar a sua realização.
Segundo o mapeamento de dados serve para que a organização possa identificar os
riscos de cada atividade de tratamento de dados. Sem mapear cada atividade,
identificando quais dados são tratados, compartilhamentos realizados e
armazenamentos, não é possível gerar qual o risco hipotético de ocorrer um
incidente de dados.
Terceiro, o mapeamento é indispensável para identificar quais são as bases legais
para cada tratamento de dados realizado. Identificar o titular, os dados tratados e a
finalidade de cada processo envolvendo dados pessoais, é condição para que seja
possível apontar se o tratamento de dados está justificado com base no art. 7º, 11 ou
14 da LGPD.
Quarto, as informações do mapeamento são utilizadas para que os contratos,
políticas de privacidade e outros instrumentos que dão transparência para o titular
de dados, sejam devidamente atualizados. Em um contrato de trabalho, por exemplo,
é essencial explicar para o colaborador para quais finalidades os dados dele estão
sendo tratados, por quanto tempo ficam armazenados, com quem são
compartilhados, bem como qual a justificativa (base legal) para que sejam tratados de
certas maneiras. E onde tudo isso está disponível de maneira muito fácil? No
mapeamento de dados.
Quinto, o mapeamento de dados é utilizado para geração dos riscos e,
consequentemente, para que seja possível identificar as atividades de maior risco, ou
seja, risco alto e severo, que precisam estar descritas no relatório de impacto. Sem a
correta atualização, é possível que certas atividades fiquem de fora do relatório, por
estarem desatualizadas, por exemplo, e consequentemente com um risco calculado
menor (baixo ou médio) do que o risco real (alto ou severo).
E, sexto, o mapeamento atualizado, também por gerar os maiores riscos e identificar
as atividades que devem constar no relatório de impacto, também orienta que essas
atividades de risco alto e severo devem ter medidas de segurança vinculadas a elas.
Por isso, o DPOnet sempre se valerá de mecanismos de comunicação e outras
possíveis ferramentas para lembrar aos usuários a importância de sempre atualizar o
data mapping da organização.
Importância de atualizar o data mapping
1 Controle sobre o que acontece com os dados pessoais
2 Identificação dos riscos das atividades de tratamento
Apontamento da base legal de tratamento (arts. 7º, 11 e 14 da

3
LGPD)
4 Utilização das informações em contratos e outros instrumentos
Identificação das atividades que devem constar no relatório de

5
impacto
Aplicação das medidas de segurança a atividades de risco alto e

6
severo
Relatório de Impacto à Proteção de

Dados
O relatório de impacto à proteção de dados (RIPD) é um instrumento muito
comentado quando se fala da implementação de um programa de proteção de dados
pessoais. Na LGPD, o RIPD é definido como:
[..] documentação do controlador que contém a descrição dos processos
de tratamento de dados pessoais que podem gerar riscos às liberdades
civis e aos direitos fundamentais, bem como medidas, salvaguardas e
mecanismos de mitigação de risco (BRASIL, 2018).
No DPOnet, o RIPD pode ser gerado em qualquer momento. A sua autenticidade

pode ser verificada por meio de QRCode. Após ser escaneado, irá remeter a pessoa
usuária para a página de validação do RIPD, disponível no Portal Privacidade & Você,
em www.privacidade.com.br. E ainda que haja pendências em relação a alguns
processos, o RIPD trará essas situações apontando que ainda estão em análise.
Partindo desse conceito, o RIPD do DPOnet traz em seu conteúdo vários elementos
que contemplam o conceito da LGPD, bem como demais elementos
internacionalmente recomendados para que constem em relatórios de impacto.
Primeiro, é importante entender que o RIPD do DPOnet traz em seu conteúdo as
atividades de tratamento de dados de risco alto e severo. Lembre-se de que o
DPOnet avalia os riscos das atividades de tratamento em baixo, médio, alto e severo.
E nesse sentido, traz as atividades de maior risco para o corpo do relatório.
É importante explicar um “problema” que existe na

redação do conceito de RIPD, no momento em que
utiliza a expressão “[...] que podem gerar riscos [...]”. Por
que há aqui um problema? Porque toda e qualquer
atividade de tratamento de dados causa risco ao titular
de dados. Por mais simples que ela seja. Tanto que é
por este motivo que todas as atividades de tratamento
no DPOnet contam com algum risco, que seja ele
“baixo”.
Pense na situação em que uma padaria de bairro vende a prazo para
alguns clientes mais antigos, e mantém registrado em papel o nome, RG,
assinatura e endereço desses clientes em notas promissórias que ficam
guardadas em uma gaveta.
Esses registros podem ser acessados por alguém não autorizado. Pense
na situação em que esse alguém não autorizado tem uma rixa pessoal
grave com um desses clientes, então descobre onde estão as notas e
conseguir visualizar o quanto esse cliente está devendo.
Poderíamos dizer grosseiramente que, em uma situação como esta, o
risco é baixo. São poucos dados, são dados simples, estão armazenados
dentro da empresa, em um ambiente físico. Mas não podemos dizer que
não há risco.
O risco é normalmente calculado considerando a probabilidade de um evento

ocorrer versus o impacto que pode ser causado se esse evento ocorrer (probabilidade
X risco).
Quando pensamos em proteção de dados pessoais, o evento que pode ocorrer é um
incidente com esses dados pessoais. Tomando emprestados os três pilares da
segurança da informação, acontecerá um incidente de dados pessoais se houver
quebra da confidencialidade, integridade ou disponibilidade dos dados pessoais.
Portanto, sempre que pensamos em probabilidade, para cálculo de risco ao titular de
dados pessoais, é inevitável pensar que a probabilidade tomada como premissa se
refere ao incidente de dados pessoais. Se a LGPD protege os dados pessoais, a
probabilidade deve ter como figura central o titular de dados, o risco envolvendo os
dados do titular.
Já quando se pensa no impacto que pode ser causado, novamente, se o norte é a
proteção de dados pessoais, o impacto deve ser verificado para o titular de dados.
Dessa forma, o impacto deve envolver sobretudo as categorias de dados pessoais. De
certo, se há um incidente envolvendo dados não sensíveis, o impacto é menor do que
o incidente que envolve dados sensíveis. Se o objetivo da LGPD é proteger o titular de
dados, não há outro caminho para verificar esse impacto senão o enfoque nas
categorias de dados – e isso tudo para dizer que sempre haverá risco, ponto em que
poderia ter sido mais clara a LGPD.
Assim, para dar a melhor interpretação à LGPD, o que cabe aqui é entender a
descrição “riscos às liberdades civis e aos direitos fundamentais” como “altos riscos às
liberdades civis e aos direitos fundamentais”. Logo, esses altos riscos são as
atividades de tratamento de risco alto e severo no DPOnet.
Assim, as atividades de tratamento de maior risco constam no RIPD com todo o
conteúdo de cada processo de risco alto e severo. São reproduzidas, dessa forma,
trazendo as informações gerais, o que inclui nome da atividade, finalidade, os dados
tratados e seus titulares vinculados, o ciclo de vida dos dados, os compartilhamentos,
a análise de necessidade e proporcionalidade e também a base legal de tratamento.
Mas não apenas das atividades é composto o RIPD. O RIPD também traz as medidas
de segurança que são aplicadas para cada uma destas atividades. Todas as atividades
de tratamento de risco alto e severo automaticamente geram os chamados RMCs,
que são os Registros de Melhoria Contínua.
Nesses RMCs, a organização deve vincular para cada processo quais são as medidas
de segurança aplicadas. A organização pode já contar com várias medidas de
segurança implementadas, como um código de conduta, que é uma medida
administrativa de segurança sugerida pelo DPOnet. Ela poderá indicar, então, que
para aquele processo de risco severo, esse código de conduta se aplica, servindo,
então, como um controle para garantir a proteção de dados.
Dessa forma, o RIPD do DPOnet traz um conteúdo completo neste documento tão
fundamental para demonstrar a maturidade da organização sobre o tema da
proteção de dados pessoais, pois contempla tanto uma metodologia objetiva para
analisar os riscos das atividades, evitando subjetivismos (como “acho que o risco é
alto aqui e ali é baixo”), quanto contempla elementos fundamentais de cada
atividade, tais como a análise de necessidade e proporcionalidade e as bases legais
que autorizam o tratamento de dados, e, ainda, as medidas de segurança que a
organização efetivamente adota e abrangem essas atividades de maior risco.
Gestão de Incidentes de Dados

O DPOnet, como DPO das organizações, tem como funções bem definidas na LGPD a
comunicação com os titulares de dados e com a ANPD. Uma dessas comunicações
será a de incidentes envolvendo dados pessoais, ou seja, quando houver uma quebra
de confidencialidade, integridade e disponibilidade de dados pessoais. No Capítulo de
nome “Da segurança e das boas práticas”, a LGPD diz o seguinte:
Art. 48. O controlador deverá comunicar à autoridade nacional e ao

titular a ocorrência de incidente de segurança que possa acarretar risco
ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela
autoridade nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a
proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido
imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou
mitigar os efeitos do prejuízo.
Mas, afinal, você sabe o que é um incidente de segurança? Vamos analisar esse
conceito com foco nos dados pessoais.
Imagine que uma pessoa mal-intencionada invadiu o computador da sua empresa e
conseguiu visualizar diversos documentos com dados pessoais de clientes. Imagine
que aconteceu uma enchente e todos os documentos que estavam na recepção da
empresa foram perdidos. Imagine que sua empresa usa um sistema para guardar
vários dados pessoais de clientes e esse sistema ficou “fora do ar” por dois dias e isso
prejudicou o cliente que precisava dessas informações justo nesses dois dias.
Nesses três exemplos, olhamos para incidentes que afetam os três pilares da
segurança da informação. Assim, um incidente de dados pessoais é qualquer
problema que acontece, envolvendo dados pessoais, e causa uma quebra de (1)
confidencialidade, (2) integridade, (3) ou disponibilidade (de dados pessoais).
É importante dar ênfase no fato de que estamos

abordando aqui os incidentes de segurança que
envolvem dados pessoais. Isso porque o termo
“incidente de segurança” abrange o incidente
envolvendo quaisquer modalidades de informações.
Entretanto, olhando para o objetivo da LGPD, temos
que restringir essa visão para os dados pessoais.
Vamos analisar um por um, começando pelo pilar mais conhecido da segurança da
informação, a confidencialidade. “Confidencialidade de dados pessoais” quer dizer
que os dados pessoais só podem ser conhecidos por pessoas que estão autorizadas.
Ou seja, se os dados pessoais forem acessados por alguém que não é autorizado,
vamos ter uma quebra da confidencialidade.
Se uma pessoa mal-intencionada invadiu o computador de uma
organização e conseguiu visualizar diversos documentos com dados
pessoais de clientes, aconteceu um incidente de dados pessoais que
atingiu a confidencialidade. Geralmente, o senso comum pode nos levar a
pensar que apenas essa violação de confidencialidade seria um incidente.
É muito comum, em vez de as pessoas falarem sobre incidente de dados,
mencionarem “vazamento”, o que se refere apenas a essa quebra da
confidencialidade. Assim, lembre-se sempre de que também existe a
integridade a disponibilidade dos dados, e que se forem afetadas, haverá
igualmente um incidente de dados.
“Integridade de dados pessoais” quer dizer que os dados pessoais devem estar
corretos e devem ser mostrados sem qualquer alteração. Ou seja, se acontece algo
que atinge esses dados pessoais, se eles são alterados, destruídos, sejam esses
dados eletrônicos ou físicos, em papel, vamos ter uma quebra da integridade.
Por fim, mas igualmente relevante, a “Disponibilidade de dados pessoais” quer dizer
que os dados pessoais podem ser acessados sempre que for necessário, que devem
estar à disposição sempre para quem precisar deles. Ou seja, se acontece algo com
esses dados pessoais e eles não ficam totalmente à disposição para serem utilizados,
vamos ter uma quebra da disponibilidade.
Se ocorreu uma enchente e todos os documentos que estavam na
recepção da empresa foram perdidos, aconteceu um incidente de dados
pessoais que atingiu a integridade.
Se a organização utiliza um sistema para guardar vários dados pessoais
de clientes e esse sistema ficou “fora do ar” por dois dias e isso prejudicou
o cliente que precisava dessas informações justamente nesses dois dias,
aconteceu um incidente de dados pessoais que atingiu a disponibilidade.
Agora que você já entendeu que existe a obrigação de a ANPD ser comunicada em
alguns casos de incidentes e também já aprendeu os três tipos de incidentes que
podem ocorrer, vamos entender na prática quais são as condutas fundamentais que
precisam ser adotadas no momento em que se verifica que efetivamente ocorreu um
incidente de dados.
Existem três possíveis condutas que devem ser realizadas pela organização quando
ocorre um incidente:
1 apenas registrar o incidente no DPOnet;

2 registrar o incidente no DPOnet e comunicar o titular de
dados; e
3 registrar o incidente de dados no DPOnet, comunicar o

titular de dados e também comunicar a ANPD.
O que irá determinar as condutas a serem tomadas? As características do incidente.

O DPOnet, como DPO da organização, receberá a comunicação do incidente, que em
qualquer caso deve sempre ser registrada no DPOnet, que irá analisá-la e então, com
base nessa análise, definirá as condutas.
O DPOnet conta com o módulo de registro de incidentes. Dessa forma, por mais
simples que seja o incidente de dados, ele deve ser registrado para controle da
organização, bem como para que sejam tomadas providências específicas sobre o
incidente, as quais são recomendadas pelo DPOnet para todos os incidentes
registrados.
Para realização do registro inicial do incidente no DPOnet, as seguintes informações
são solicitadas:
Data do incidente: o dia em que ocorreu o incidente;

Hora do incidente: horário (mais aproximado possível) em que
ocorreu o incidente.
Descrição do incidente: detalhes de toda a dinâmica do incidente
que é conhecida;
Medidas de contenção adotadas durante e logo após o incidente;
Processos afetados: quais processos que envolvem o tratamento de
dados que foram violados pelo incidente.
A partir do momento em que é registrado um incidente, automaticamente é gerado

um RMC (Registro de Melhoria Contínua) para que o incidente, por mais simples que
seja, receba o devido tratamento.
O RMC demandará que a organização levante adequadamente e em detalhes a causa
do incidente e também os riscos específicos que decorrem do incidente e faça o
registro dentro do RMC. Além disso, o DPOnet recomendará ações à organização.
Vale ponderar que a adoção de ações poderá ser
discutida pelo Comitê de Proteção de Dados, inclusive.
Essa pode ser uma das suas atribuições. E nada
impede, ainda, que dependendo da necessidade e da
complexidade do incidente, outras pessoas sejam
acionadas para apoiar a adoção de ações, e que seja
formado, então, o chamado “Comitê de crise”.
Paralelamente ao tratamento em si do RMC de incidente, tendo em vista que em
qualquer caso deve ser feito o registro do incidente e, por menos complexo que ele
seja, deve ser identificada sua causa e adotadas ações para eliminar essas causas e
aperfeiçoar a segurança dos dados pessoais, o DPOnet deverá avaliar, analisando as
informações fornecidas pela organização se se trata de caso de notificação aos
titulares e à ANPD.
Em fevereiro de 2021, a ANPD disponibilizou em seu site documentação que
esclarece como eventuais incidentes de segurança, envolvendo dados pessoais,
devem ser abordados. Esse documento é uma recomendação temporária e será
futuramente substituído por adequada regulamentação desse tema pela ANPD.
A ANPD orientou entender o conceito de incidente de segurança com dados pessoais:
[...] qualquer evento adverso, confirmado ou sob suspeita, relacionado à

violação na segurança de dados pessoais, tais como acesso não
autorizado, acidental ou ilícito que resulte na destruição, perda,
alteração, vazamento ou ainda, qualquer forma de tratamento de dados
inadequada ou ilícita, os quais possam ocasionar risco para os direitos e
liberdades do titular dos dados pessoais. (BRASIL, 2021).
A ANPD confirma, ainda, o artigo 47 da LGPD que determina que os agentes de

tratamentos ou, ainda, qualquer pessoa que venha a interferir no tratamento de
dados são os responsáveis por adotar medidas de segurança aptas a proteger os
dados pessoais de qualquer incidente.
Caso o incidente seja constatado, a ANPD também dá um passo a passo de como a
organização deve agir, de acordo com as orientações do DPOnet:
1
Avaliação Interna: qual a natureza, categoria e
quantidade de titulares afetados, categoria e quantidade
de dados envolvidos, consequências possíveis.
2 Comunicar o fato ao DPO.
3 Elaborar documentação com a avaliação interna do

incidente.
4 Comunicar ao titular de dados, em caso de risco ou dano

relevante.
5 Comunicar à ANPD, em caso de risco ou dano relevante

ao titular.
Ainda seguindo as diretrizes legais, a ANPD também delimitou que caberá ao

controlador comunicar tanto à ANPD, quanto aos titulares de dados a eventual
ocorrência de incidente de dados que possam envolver dados pessoais e provoquem
risco ou dano relevante aos seus titulares. Contudo, caso o operador de dados,
excepcionalmente, comunique incidentes, terá sua comunicação devidamente
apreciada.
Apesar de a ANPD ainda não ter definido critérios objetivos sobre o que são risco ou
dano relevante, a Autoridade já se manifestou pela cautela, quer dizer, a preferência
é que a comunicação seja efetuada, mesmo nos casos em que houver dúvida acerca
da relevância dos riscos. Então, tem dúvida sobre se é necessário comunicar?
Comunique!
Além disso, a ANPD já manifestou que:
[...] a probabilidade de risco ou dano relevante para os titulares será

maior sempre que o incidente envolver dados sensíveis ou de indivíduos
em situação de vulnerabilidade, incluindo crianças e adolescentes, ou
tiver o potencial de ocasionar danos materiais ou morais, tais como
discriminação, violação do direito à imagem e à reputação, fraudes
financeiras e roubo de identidade.
Além disso, é indispensável que se considere, também, a quantidade de titulares

envolvidos, a boa-fé e as possíveis intenções dos terceiros que tiveram acesso aos
dados após o incidente (se for este o caso).
Com a intenção de orientar de maneira muito prática a comunicação de incidentes de
segurança com dados pessoais, a ANPD disponibilizou também um formulário que
recomenda quais informações devem estar nessa notificação de incidentes à ANPD:
1. Identificação e dados de contato de:

a. Entidade ou pessoa responsável pelo tratamento.
b. Encarregado de dados ou outra pessoa de contato.
c. Indicação se a notificação é completa ou parcial; preliminar ou complementar.
2. Informações sobre o incidente de segurança com dados

pessoais:
a. Data e hora da detecção.
b. Data e hora do incidente e sua duração.
c. Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por
exemplo, perda, roubo, cópia, vazamento, dentre outros.
d. Descrição dos dados pessoais e informações afetadas, como natureza e
conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares
afetados
e. Resumo do incidente de segurança com dados pessoais, com indicação da
localização física e meio de armazenamento.
f. Possíveis consequências e efeitos negativos sobre os titulares dos dados
afetados.
g. Medidas de segurança, técnicas e administrativas preventivas tomadas pelo
controlador de acordo com a LGPD.
h. Resumo das medidas implementadas até o momento para controlar os
possíveis danos.
i. Possíveis problemas de natureza transfronteiriça.
j. Outras informações úteis às pessoas afetadas para proteger seus dados ou
prevenir possíveis danos.
Caso não seja possível fornecer todas as informações no momento da comunicação
preliminar, informações adicionais poderão ser fornecidas posteriormente, podendo
a ANPD requerer informações adicionais a qualquer momento.
Em relação ao prazo da notificação, a ANPD estabeleceu, como

recomendação, o prazo de dois dias úteis, contados da data do
conhecimento do incidente. O cumprimento desse prazo demonstrará
transparência e boa-fé em eventual fiscalização. Este prazo de dois dias
não é um prazo legal (não é Lei). E nem um prazo regulamentar (não é
uma regulamentação da ANPD). Neste momento, é apenas uma
orientação da ANPD.
Olhando para as orientações provisórias da ANPD, vamos pensar na
situação em que em uma clínica médica o secretário envia para um e-mail
errado, de uma pessoa totalmente desconhecida, os dados nome, CPF,
RG, endereço completo e ainda uma cópia do documento de identificação
de um paciente. Em uma situação como esta, devido à possibilidade de
serem abertos cadastros em empresas com esses dados, podemos
sugerir a notificação para o titular de dados. Entretanto, veja que temos
apenas um titular afetado.
Entretanto, vamos pensar em um mesmo incidente em uma operadora de
saúde, agora envolvendo 50.000 titulares de dados. Temos um volume
relevante de titulares envolvidos, sendo o caso de notificar também à
ANPD.
Assim, para controle dos incidentes e adoção de medidas por meio das
recomendações dos RMCs de incidentes, sempre será o caso de registrar todo e
qualquer incidente dentro da organização. Após isso, será o caso de avaliar a
necessidade de notificação ao titular de dados e à ANPD, o que irá depender do risco
ou dano relevante para o titular de dados.
Registro de Melhoria Contínua no

DPOnet
O módulo de Melhoria Contínua no DPOnet concentra os chamados “RMCs”,
Registros de Melhoria Contínua. O DPOnet disponibiliza três tipos de RMCs: para
processos; para questões do gap analysis; e para incidentes.
Os RMCs de incidentes são tratados em conjunto com os incidentes neste curso. É
importante apenas fixar que eles são um dos tipos de RMCs do módulo de Melhoria
Contínua. Assim, os dois outros tipos de RMCs são os de processos e de gap analysis.
Vamos falar sobre cada um deles, iniciando sobre os RMCs dos questionários de gap
analysis.
Os questionários do gap analysis no DPOnet são perguntas sobre os temas jurídico,
de governança e cultura e de infraestrutura e tecnologia, e recomendam a
implementação de certos requisitos jurídicos e de segurança da informação, de
acordo com o segmento de mercado da organização e também de acordo com o
tamanho da organização.
A organização responde “sim” ou “não” às perguntas. E a partir disso o DPOnet
identifica quais medidas a organização ainda precisa implementar. Assim, se a
organização não atende um requisito recomendado a ela, será gerado um RMC
relacionado àquela pergunta.
No RMC, a organização deve preencher um prazo para finalização do RMC, adicionar
riscos específicos e adicionar planos de ação, indicando qual será a ação a ser
adotada (ação corretiva) e a descrição do que realmente foi realizado (evidência da
implantação) vinculando responsáveis a cada um deles. Poderá, também, anexar
documentos para demonstrar a evidência da implantação.
O primeiro RMC de processo é o de "necessidade" e será gerado quando na etapa de
"necessidade e proporcionalidade", no mapeamento de um processo, o usuário
indicar que há algum dado, compartilhamento ou forma de proteção que não é
necessário para aquela atividade de tratamento de dados. Neste caso, bastará que o
usuário indique se ele realmente entende que o item que foi marcado como
desnecessário realmente o é, e assim opte por eliminar ou não eliminar o dado,
compartilhamento ou forma de proteção.
Você se lembra do princípio da minimização? Aquele que diz que devemos tratar a
quantidade mínima de dados para a finalidade do tratamento? Então. É por esse
princípio que quando uma organização cadastra sozinha um novo processo no
DPOnet, é necessário que ela avalie se para aquele processo existe algum dado,
compartilhamento ou forma de proteção que não são necessários ou proporcionais
para o tratamento de dados.
Veja que o DPOnet vai além de verificar se os dados são necessários e proporcionais,
mas estende essa análise também para os compartilhamentos e para as formas de
proteção dos dados, ou seja, o DPOnet amplia a segurança exigida pela LGPD! E,
assim, sempre que há algo indicado como desnecessário, o RMC será gerado.
Olhando especificamente para o RMC de necessidade, deve ser cadastrado um
usuário responsável por realizar essa análise de eliminação ou não eliminação e
também um prazo. O risco específico será preenchido automaticamente pelo
DPOnet, que, no caso, será sempre o risco de maior exposição do titular de dados.
Após isso, a única ação possível será optar por eliminar ou não eliminar os dados.
Após reavaliar cada item, o usuário terá que confirmar a reavaliação feita. O
resultado da reavaliação será exibido dentro do próprio RMC, no processo que gerou
o RMC e também no relatório de impacto.
O segundo tipo de RMC de processo é o de risco. Lembre-se que o DPOnet avalia o
risco das atividades de tratamento em baixo, médio, alto e severo. Toda vez que um
processo tiver risco alto ou severo, será gerado um RMC para que medidas
específicas sejam adotadas para essas atividades de tratamento de alto risco.
No DPOnet, será necessário cadastrar um responsável por tratar este RMC de risco.
O DPOnet já traz identificado o risco, que é o risco de incidente relacionado aos

dados, forma de proteção e compartilhamento (se for o caso). É possível que, caso a
organização adote uma outra metodologia de análise de riscos, caso queira, cadastre
outras informações relacionadas ao risco em “Adicionar riscos específicos”.
As ações que podem ser adotadas no RMC de risco são duas: primeiro, o usuário
poderá escolher se quer manter ativo esse processo ou se quer inativá-lo devido ao
risco alto ou severo calculado.
A opção de inativar o processo é a primeira maneira de finalizar o RMC de risco. O

usuário somente deverá fazê-lo se realmente puder parar de realizar aquele
tratamento de dados na rotina da sua organização.
Se realmente não houver como deixar de realizar o tratamento de dados, o usuário
deverá optar por “Continuar com o processo”.
Ao continuar com o processo, a organização deverá vincular medidas de segurança
que respondeu que já adota ao responder o gap analysis ou então vincular medidas
de segurança implementadas nos RMCs do gap analysis.
Ainda, se houver alguma outra medida de segurança que a organização adota, mas
que não está no gap analysis e nem os RMCs, poderão ser adicionadas outras
medidas e, inclusive, documentos que demonstrem essas medidas.
Com essa vinculação de medidas, o RMC é finalizado.
É possível que exista um RMC de processo que envolva tanto a situação de
necessidade e proporcionalidade quanto de risco. Neste caso, as ações serão as
mesmas, mas estarão as três ações dentro do mesmo RMC.
16
Prática da Jornada DPOnet -

Parte 3
223
A Autoridade Nacional de Proteção de Dados – ANPD, foi definitivamente criada
após a sanção da MP 869/2018, convertida na Lei 13.853/2019.
É um órgão vinculado à Presidência da República, dotada de autonomia técnica e
decisória, com jurisdição no território nacional e com sede e foro no Distrito
Federal, que tem o objetivo de proteger os direitos fundamentais de liberdade e
privacidade e o livre desenvolvimento da personalidade da pessoa natural,
orientada pelo disposto na Lei nº 13.709, de 14 de agosto de 2018, a LGPD (ANPD,
2021).
Suas principais atribuições estão detalhadas no art. 2º do referido decreto, e
consistem, de maneira sintética, em: zelar pela Proteção de Dados Pessoais;
elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e
da Privacidade; orientar os agentes na aplicação das normas e regulamentos
afetos ao tema; cooperar com órgãos nacionais e internacionais no tema de
Proteção de Dados Pessoais; dar tratamento a eventuais suspeitas de infração
à legislação relativa à Proteção de Dados Pessoais, por meio de sua estrutura de
análise e sanção administrativa; e outras atribuições previstas em Lei. (ANPD,
2021).
Obtenha mais informações sobre a ANPD por meio do seu site e guias
orientativos:
Autoridade Nacional de Proteção de Dados.
Uma Figura Importante

A instituição de uma autoridade de proteção de dados é indispensável para
garantir a autodeterminação informativa, isso porque a simples atuação individual
na defesa da proteção dos dados não se mostra eficaz diante da
desproporcionalidade que existe entre o titular de dados e toda a estrutura de um
agente de tratamento voltada a tratar os dados pessoais e, ainda, preparada para
impor restrição ao titular de dados caso opte por não fornecer suas informações
(DONEDA, 2019, p. 320).
Da mesma forma, não bastaria a previsão de direitos dos titulares, princípios e
fundamentos próprios a serem observadas por controladores e operadores, se a
tutela fosse limitada à reclamação individual, sem o respaldo de um órgão para
equilibrar as relações entre titulares de dados e agentes de tratamento (DONEDA,
2019, p. 322).
Neste sentido, "sua criação é essencial para a efetiva aplicação das normas de
privacidade e proteção de dados. Tendo em vista que a LGPD é considerada uma
norma principiológica, ou seja, uma norma que fixa preceitos gerais, com princípios
a serem seguidos, ter um órgão que estabeleça bases e diretrizes gerais para o seu
cumprimento, contribui para maior eficiência da sua implementação" (LIMA, 2020).
É fato que a atuação da ANPD irá além de fiscalização e aplicação de sanções,
tendo como uma de suas funções, editar regulamentos e procedimentos sobre
proteção de dados pessoais e privacidade, para que os agentes de tratamento e os
titulares de dados pessoais, compreendam o alcance da norma.
Assim, "a Autoridade Nacional atuará tanto com a fiscalização dos agentes de
tratamento, quanto com a instrução dos titulares, tendo com uma das suas
competências, promover na população o conhecimento das normas e das políticas
públicas sobre proteção de dados pessoais e das medidas de segurança. Isso
poderá ser uma forma de disseminar o conhecimento para a sociedade, permitindo
o conhecimento sobre quais os direitos a LGPD trouxe para o cidadão" (LIMA,
2020).
Além disso, é evidente que a criação da ANPD sinaliza

aos países que também estão se adequando ao novo
paradigma da privacidade de dados pessoais, de que
o Brasil está comprometido na adoção de medidas
práticas visando a proteção dos dados pessoais, o
que com certeza será benéfico para a segurança e
crescimento das negociações internacionais em
diversos segmentos.
Composição da ANPD
Figura 1 - Organograma da ANPD
Fonte: ANPD.
Conselho Diretor, órgão máximo de direção, que será composto por 5 diretores.
Terá com uma de suas funções dispor sobre o Regimento Interno da ANPD.
Conselho Nacional de Privacidade de Dados Pessoais e da Privacidade, quer será
composto por 23 representantes, definidas pelo art. 58-A e seus incisos, da LGPD.
Corregedoria;
Ouvidoria;
Órgão de Assessoramento Jurídico Próprio;
Unidades administrativas e unidades especializadas necessárias à aplicação da
LGPD.
Funções
Fiscalizadora-sancionadora:
I - zelar pela proteção dos dados pessoais, nos termos da legislação;
II - zelar pela observância dos segredos comercial e industrial, observada a
proteção de dados pessoais e do sigilo das informações quando protegido por lei
ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em
descumprimento à legislação, mediante processo administrativo que assegure o
contraditório, a ampla defesa e o direito de recurso;
IX - promover ações de cooperação com autoridades de proteção de dados
pessoais de outros países, de natureza internacional ou transnacional;
XI - solicitar, a qualquer momento, às entidades do poder público que realizem
operações de tratamento de dados pessoais informe específico sobre o âmbito, a
natureza dos dados e os demais detalhes do tratamento realizado, com a
possibilidade de emitir parecer técnico complementar para garantir o cumprimento
desta Lei;
XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de
fiscalização de que trata o inciso IV e com a devida observância do disposto no
inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado
pelos agentes de tratamento, incluído o poder público;
XVII - celebrar, a qualquer momento, compromisso com agentes de tratamento
para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito
de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de
4 de setembro de 1942;
XIX - garantir que o tratamento de dados de idosos seja efetuado de maneira
simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei
XXI - comunicar às autoridades competentes as infrações penais das quais tiver
conhecimento;
XXII - comunicar aos órgãos de controle interno o descumprimento do disposto
nesta Lei por órgãos e entidades da administração pública federal;
Educativa, de conscientização e fomentadora do debate
sobre a proteção de dados pessoais:
III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da
Privacidade;
VI - promover na população o conhecimento das normas e das políticas públicas
sobre proteção de dados pessoais e das medidas de segurança;
VII - promover e elaborar estudos sobre as práticas nacionais e internacionais de
proteção de dados pessoais e privacidade;
VIII - estimular a adoção de padrões para serviços e produtos que facilitem o
exercício de controle dos titulares sobre seus dados pessoais, os quais deverão
levar em consideração as especificidades das atividades e o porte dos
responsáveis;
XIV - ouvir os agentes de tratamento e a sociedade em matérias de interesse
relevante e prestar contas sobre suas atividades e planejamento;
Atenção direta ao titular de dados:

V - apreciar petições de titular contra controlador após comprovada pelo titular a
apresentação de reclamação ao controlador não solucionada no prazo estabelecido
em regulamentação;
XXIV - implementar mecanismos simplificados, inclusive por meio eletrônico, para o
registro de reclamações sobre o tratamento de dados pessoais em
desconformidade com esta Lei.
Normativa-interpretativa:
X - dispor sobre as formas de publicidade das operações de tratamento de dados
pessoais, respeitados os segredos comercial e industrial;
XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e
privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais
para os casos em que o tratamento representar alto risco à garantia dos princípios
gerais de proteção de dados pessoais previstos nesta Lei;
XVIII - editar normas, orientações e procedimentos simplificados e diferenciados,
inclusive quanto aos prazos, para que microempresas e empresas de pequeno
porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que
se autodeclararem startups ou empresas de inovação, possam adequar-se a esta
Lei;
XX - deliberar, na esfera administrativa, em caráter terminativo, sobre a
interpretação desta Lei, as suas competências e os casos omissos;
XXIII - articular-se com as autoridades reguladoras públicas para exercer suas
competências em setores específicos de atividades econômicas e governamentais
sujeitas à regulação;
Transparência da autogestão
XII - elaborar relatórios de gestão anuais acerca de suas atividades;
XV - arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se
refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e
despesas;
Responsabilidades
A ANPD possui autonomia técnica e decisória e seus diretores têm mandato fixo,
assegurando-se, assim, a sua independência na tomada de decisões. A ANPD
trabalhará em conjunto com o Conselho Nacional de Proteção de Dados Pessoais e
da Privacidade, entidade de natureza consultiva que viabiliza a participação dos
diferentes segmentos sociais na conformação do ambiente regulatório de proteção
de dados pessoais (ANPD, 2020).
Ela irá articular sua atuação com outros órgãos e entidades com competências
sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o
órgão central de interpretação desta Lei e do estabelecimento de normas e
diretrizes para a sua implementação.
Confira algumas das principais responsabilidades da ANPD:
elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e
da Privacidade;
fiscalizar e aplicar sanções em caso de tratamento de dados realizado em
descumprimento à legislação, mediante processo administrativo que
assegure o contraditório, a ampla defesa e o direito de recurso;
promover na população o conhecimento das normas e das políticas públicas
sobre proteção de dados pessoais e das medidas de segurança;
estimular a adoção de padrões para serviços e produtos que facilitem o
exercício de controle dos titulares sobre seus dados pessoais, os quais
deverão levar em consideração as especificidades das atividades e o porte
dos responsáveis;
promover ações de cooperação com autoridades de proteção de dados
pessoais de outros países, de natureza internacional ou transnacional;
editar regulamentos e procedimentos sobre proteção de dados pessoais e
privacidade, bem como sobre relatórios de impacto à proteção de dados
pessoais para os casos em que o tratamento representar alto risco à garantia
dos princípios gerais de proteção de dados pessoais previstos na LGPD;
ouvir os agentes de tratamento e a sociedade em matérias de interesse
relevante e prestar contas sobre suas atividades e planejamento;
editar normas, orientações e procedimentos simplificados e diferenciados,
inclusive quanto aos prazos, para que microempresas e empresas de
pequeno porte, bem como iniciativas empresariais de caráter incremental ou
disruptivo que se autodeclarem startups ou empresas de inovação, possam
adequar-se à Lei;
deliberar, na esfera administrativa, em caráter terminativo, sobre a
interpretação da LGPD, as suas competências e os casos omissos;
articular-se com as autoridades reguladoras públicas para exercer suas
competências em setores específicos de atividades econômicas e
governamentais sujeitas à regulação; e
implementar mecanismos simplificados, inclusive por meio eletrônico, para o
registro de reclamações sobre o tratamento de dados pessoais em
desconformidade com a LGPD.
Sanções administrativas
Sanções administrativas aplicáveis pela autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de
direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos
os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por
infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua
ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
X - suspensão parcial do funcionamento do banco de dados a que se refere a
infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até
a regularização da atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se
refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual
período;
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento
de dados.
As sanções serão aplicadas após procedimento administrativo que
possibilite a oportunidade da ampla defesa, de forma gradativa, isolada
ou cumulativa, de acordo com as peculiaridades do caso concreto e
considerados os seguintes parâmetros e critérios:
I - a gravidade e a natureza das infrações e dos direitos pessoais
afetados;
II - a boa-fé do infrator;
III - a vantagem auferida ou pretendida pelo infrator;
IV - a condição econômica do infrator;
V - a reincidência;
VI - o grau do dano;
VII - a cooperação do infrator;
VIII - a adoção reiterada e demonstrada de mecanismos e
procedimentos internos capazes de minimizar o dano, voltados ao
tratamento seguro e adequado de dados, em consonância com o
disposto no inciso II do § 2º do art. 48 desta Lei;
IX - a adoção de política de boas práticas e governança;
X - a pronta adoção de medidas corretivas; e
XI - a proporcionalidade entre a gravidade da falta e a intensidade da
sanção.
As Solicitações à Empresa Via

Encarregado de Dados
A plataforma DPOnet possui um canal exclusivo para atendimento das solicitações
que a Autoridade Nacional realiza para a empresa, de forma rápida e on-line. Basta
acessar o site https://www.privacidade.com.br:
Por fim, como podemos perceber, a ANPD deve atuar como uma autoridade
protagonista a fim de conscientizar e educar a sociedade frente às novas normas
de proteção de dados pessoais que a LGPD traz.
Desta forma, fica nítido que a ANPD possui papel fundamental para promover a
observância à LGPD, por meio da fiscalização de seu cumprimento, aplicação de
sanções e mudança cultural nas organizações privadas e públicas como também
dos próprios titulares de dados.
Estimado aluno, ao findar este curso, fica a certeza de que estamos diante de um
novo sistema jurídico de proteção de dados que detém instrumentos específicos no
sentido de garantir ao titular de dados a proteção de seus direitos fundamentais de
liberdade, privacidade e livre desenvolvimento de sua personalidade.
Material Complementar
Livro
Para se aprofundar sobre a origem da privacidade e do direito à
proteção de dados, bem como entender a distinção teórica entre
ambos, e entender os contextos e evoluções relacionados,
recomenda-se a obra de Danilo Doneda, “Da privacidade à
proteção de dados pessoais”: DONEDA, Danilo. Da privacidade à
proteção de dados pessoais. 2. ed. São Paulo: Thomson Reuters
Brasil, 2019.
236
Referências
BIONI, B. R. Compreendendo o conceito de anonimização e dado anonimizado.
In: Cadernos Jurídicos, Escola Paulista da Magistratura, São Paulo, ano 21, nº 53, p.
192-201.
BIONI, B. R. Proteção de dados: contexto, narrativas e
elementos fundantes. São Paulo: B. R. Bioni Sociedade Individual de Advocacia, 2021.
BIONI, B. R. Proteção de Dados Pessoais: A Função e os Limites do Consentimento.

Rio de Janeiro: Forense, 2018.
BLUM, R.O.; VAINZOF, R. MORAES, H.F. Data Protection Officer - Teoria e Prática de
Acordo com a LGPD e o GDPR. Revista dos Tribunais, 2020.
BORELLI, A. O tratamento de dados de crianças e adolescentes no âmbito da Lei

Geral de Proteção de Dados brasileira. In: Cadernos Jurídicos, Escola Paulista da
Magistratura, São Paulo, ano 21, nº 53, p.179-190.
BRASIL. Comunicação de incidentes de segurança. Brasília: Autoridade Nacional de

Proteção de Dados, 2021. Disponível em: https://www.gov.br/anpd/pt-
br/assuntos/incidente-de-seguranca
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em:

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm.
BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Disponível em:

http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm
BRASIL. Guia Orientativo para Definições dos Agentes de Tratamento de Dados

Pessoais e do Encarregado. Brasília: Autoridade Nacional de Proteção de Dados,
2021. Disponível em: https://www.gov.br/anpd/pt-
br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-
guia-agentes-de-tratamento_final.pdf
BRASIL. Guia de Boas Práticas da Lei Geral de Proteção de Dados. Brasília:

Ministério da Economia, 2020. Disponível em:
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-
dados/guias/guia_lgpd.pdf
237
DEFINIÇÕES de Probabilidade e Impacto dos Riscos. On-line, 2013. Disponível em:
https://universoprojeto.wordpress.com/2013/10/21/definicoes-de-
probabilidade-e-impacto-dos-riscos/
DESSOTTI, M. Z. A importância do Comitê de Privacidade e Proteção de Dados

Pessoais na governança dos dados pessoa. Disponível em:
https://www.migalhas.com.br/depeso/317339/a-importancia-do-comite-de-
privacidade-e-protecao-de-dados-pessoais-na-governanca-dos-dados-pessoais.
DONEDA, D. Da privacidade à proteção de dados pessoais. 2. ed. São Paulo:

Thomson Reuters Brasil, 2019.
FGV. Guia de proteção de dados pessoais: transferência internacional. 2020.

Disponível em:
https://portal.fgv.br/sites/portal.fgv.br/files/transferencia_internacional.pdf
LEONARDI, M. Controladores e operadores: papéis, distinções, mitos e

equívocos, constante da obra coletiva. In: A Lei Geral de Proteção de Dados
Pessoais: Aspectos Práticos e Teóricos Relevantes no Setor Público e Privado. São
Paulo: Thomson Reuters Brasil, 2021, p. 187-203.
LGPD: Consumidor tem direito limitado à exclusão de dados por empresas. On-line,
2020. Disponível em: https://br.lexlatin.com/noticias/lgpd-consumidor-tem-
direito-limitado-exclusao-de-dados-por-empresas
LIMA, M. Autoridade nacional de proteção de dados: O que você precisa saber

sobre a ANPD. Tripla, 2020. Disponível em: https://triplait.com/anpd/.
MALDONADO, V. N. A Lei Geral de Proteção de Dados: objeto, âmbito de aplicação,

requisitos, segurança e a necessidade de sua correta implementação. Lei Geral de
Proteção de Dados Pessoais: manual de implementação. São Paulo: Revista dos
Tribunais, 2019, pp. 11-34.
MALDONADO, V.N.; BLUM, R.O., BORELLI, A. LGPD: Lei Geral de Proteção de Dados –
Comentada. Revista dos Tribunais, 2019.
NAPOLEÃO, B.N. Matriz de Riscos - Probabilidade e Impacto. 2019. Disponível em:

https://ferramentasdaqualidade.org/matriz-de-riscos-matriz-de-probabilidade-
e-impacto/
NYBO, E. F. O Poder dos Algoritmos. São Paulo: Enlaw, 2019.
238
RODRIGUES, L. LGPD e decisões automatizadas: onde vamos parar? CONJUR, 03,
maio, 2021. Disponível em: https://www.conjur.com.br/2021-mai-03/opiniao-lgpd-
decisoes-automatizadas-onde-vamos-parar
SANTOS, F. Os direitos dos titulares de dados pessoais na LGPD. Lage e Portilho

Jardim, 20, julho, 2021. Disponível em:
https://lageportilhojardim.com.br/blog/direitos-dos-titulares-lgpd/.
SEBRAE. DataSebrae. Dados atualizados em 11 de maio de 2020. Disponível em:

https://datasebrae.com.br/totaldeempresas-11-05-2020/
UNIÃO EUROPEIA. Directiva 95/46/CE do Parlamento Europeu e do Conselho, de

24 de outubro de 1995. Disponível em: https://eur-lex.europa.eu/legal-
content/PT/ALL/?uri=CELEX%3A31995L0046
UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do

Conselho, de 27 de abril de 2016. Disponível em: https://eur-lex.europa.eu/legal-
content/PT/ALL/?uri=celex%3A32016R0679.
VAINZOF, R. Capítulo I – Disposições Preliminares. In: Lei Geral de Proteção de Dados

Comentada. São Paulo: Revista dos Tribunais, 2019, p. 17-178
239

Formação de DPO - O Método DPOnet - Compressed

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Formação de DPO - O Método DPOnet - Compressed

Enviado por

Direitos autorais:

Formatos disponíveis

FORMAÇÃO DE DPO:

Reitor Pró-reitor Administrativo

F385m sobrenome, nome

PDF (00p.) : il. color.

1. tag 2. tag 3. tag 4. tag – Graduação I. Título.

Imagens, ícones e capa: ©envato, ©pexels, ©pixabay, ©Twenty20 e ©wikimedia

Na UNIMAR, a educação sempre foi sinônimo de transformação, e não

A história da UNIMAR, iniciada há mais de 60 anos, foi construída com base

A história da UNIMAR é bela e de sucesso, e já projeta para o futuro novos

A beleza e o sucesso, porém, não vêm somente do seu campus de mais de

Assim, é com orgulho que apresentamos a Educação a Distância da UNIMAR

Nós nos comprometemos com essa educação transformadora,

Muito obrigado por confiar uma parte importante do seu

Não vamos parar, vamos continuar com investimentos

Dr. Márcio Mesquita Serva

Sempre trabalhei com jovens e sei o quanto estar matriculado

Fique atento aos comunicados institucionais, aproveite as

Acompanhe a UNIMAR pelas redes sociais, visite a sede

Muito obrigada por escolher esta Universidade para a Profa. Fernanda

Bem-vindo(a) à Família UNIMAR.

Educar para transformar: esse é o foco da Universidade de Marília no seu

Esse é o nosso propósito: contribuir para sua transformação

A UNIMAR será sua parceira em todos os momentos de

021 Aula 02: Mapeamento de Dados - Parte 1

035 Aula 03: Mapeamento de Dados – Parte 2

049 Aula 04: Mapeamento dos Dados - Parte 3

068 Aula 05: apeamento dos Dados - Parte 4

074 Aula 06: Mapeamento de Dados – Parte 5

091 Aula 07: Mapeamento de Dados – Parte 6

102 Aula 08: Mapeamento de Dados – Parte 7

112 Aula 09: Risco como Probabilidade X Impacto

115 Aula 10: Segurança da Informação – Parte 1

130 Aula 11: Segurança da Informação

146 Aula 12: Os Direitos dos Titulares

168 Aula 13: Agentes de Tratamento

179 Aula 14: Prática da Jornada DPOnet – Parte 1

188 Aula 15: Prática da Jornada DPOnet – Parte 2

223 Aula 16: Prática da Jornada DPOnet - Parte 3

Hoje, na sociedade da informação, não é necessário trazer todos os conceitos

Ao aceitar este documento, o destinatário concorda em manter a

As informações aqui contidas foram preparadas para auxiliar a

Ao fornecer este documento, a Immunize não assume qualquer

O “democratizar” é no sentido mais recente do termo: ampliar o acesso,

Fonte: acesse o link Disponível aqui

É também o encarregado de dados (muito conhecido

Ou seja, trabalhando em duas frentes – tanto como ferramenta de gestão quanto

Se já quiser embalar em uma rica fonte de conteúdo prático sobre

Esta é a tela inicial do DPOnet, e nela podemos visualizar as diferentes

Este é o exemplo da página de certificação de uma organização que tem

Essa rapidez com que concluímos o processo legislativo depois da aprovação do

Em termos práticos, se o Brasil não demonstrasse investidas quanto ao tema da

E, por fim, mas de igual relevância, será a comunicação com a

O art. 41 da LGPD é exclusivamente dedicado ao encarregado de

Além disso, no primeiro guia orientativo da ANPD, publicado em maio de 2021, já

Logo, fica evidente a importância do DPO no contexto da proteção de dados para o

Atualmente, o DPO é mencionado seis vezes no corpo do texto em vigor

Menção Dispositivo O que estabelece

Os Estados-membros apenas poderão estabelecer a simplificação ou a

O guia orientativo da ANPD, inclusive, estabelece que o entendimento deve ser no

Ao contrário de outras legislações de proteção de dados estrangeiras,

Soma-se a essa informação o fato de que, segundo o DataSebrae, em maio de 2020

Fonte: Imagem produzida pelos autores

O que são dados pessoais?