PASSO A PASSO

NA IMPLEMENTAÇÃO DO
PROJETO DE ADEQUAÇÃO
À LGPD

Equipe da Comissão de Comunicação Institucional

Coordenação
Martha Leal

Membros
Debora Sirotheau
Guilherme Gonçalves
Paula Ferraz
Rosangela Benetti

INPD – Instituto Nacional de Proteção de Dados

 INTRODUÇÃO
AO LEITOR
A construção e o amadurecimento do ambiente
da proteção de dados pessoais no Brasil
representam um movimento de grande
importância para a sociedade civil e econômica.
E, para o seu sucesso, requer o engajamento de
todos os agentes de tratamento e a
conscientização dos titulares de dados.

Decorridos mais de dois anos de vigência da Lei

Geral de Proteção de Dados (LGPD), muito já se
evoluiu no ambiente nacional de proteção de
dados. A Autoridade Nacional de Proteção de
Dados (ANPD), já devidamente estruturada e
contando com a natureza de autarquia especial,
vem, a passos largos, cumprindo com a agenda
regulatória proposta.

A ANPD, desempenhando as competências

previstas no art. 55-J da LGPD, tem, entre outras
iniciativas, editado regulamentos e procedimen-
tos sobre proteção de dados pessoais e privaci-
dade.

Nessa toada, já foram editados o Regulamento

nº 1, o qual aprovou o Processo de Fiscalização
Administrativo e Sancionador, e o Regulamento
nº 2, que disciplina a aplicação da lei para agen-
tes de tratamento de pequeno porte. Em breve,
contaremos com a Resolução nº 3, que regulará
a dosimetria das sanções administrativas.

Entretanto, o Instituto Nacional de Proteção de Dados – INPD, ciente do desafio que o processo de
“compliance” à lei representa para as organizações envolvidas e, cumprindo com o seu propósito de
ajudar na construção de um ambiente fortalecido de proteção de dados, elaborou o presente material
denominado “Passo a Passo no Projeto de Implementação”.

Esperamos ajudá-lo na compreensão das fases que compõem um processo de adequação, da importância da
cronologia das etapas, conduzindo-o nessa jornada viva e dinâmica que se traduz na implementação de boas
práticas em prol da privacidade e proteção de dados.

Instituto Nacional de Proteção de Dados

2 INPD – Instituto Nacional de Proteção de Dados

 INDICE
1. Questionamentos que precisam ser enfrentados ............................................. 4
pela organização
1.1 Questionamento da Fase 1 .................................................................................... 4
1.2 Questionamento da Fase 2 .................................................................................... 4
1.3 O que devemos esperar da Fase 1? ........................................................................ 4
1.4 O que devemos esperar da Fase 2? ........................................................................ 4

2. Da correta definição dos agentes de ................................................................. 7

tratamento-controlador e operador
2.1 Fluxograma para melhor identificação do Controlador –
Operador e Controladoria Conjunta/Singular ................................................................. 7
2.2 Obrigações do Controlador .................................................................................... 9
2.3 Sobre os deveres dos Controladores e Operadores ..................................................10
2.3.1 Os Controladores devem ...............................................................................10
2.3.2 Os Operadores devem ....................................................................................10

3. Da importância do mapeamento de processos ................................................ 11

3.1 Principais informações que o mapeamento deve conter.............................................. 11

4. Os requisitos mínimos para garantia da segurança ........................................ 11

da informação
4.1 Política de Segurança da Informação (PSI)............................................................... 12
4.2 Conscientização e Treinamento ........................................................................... 12
4.3 Gerenciamento de Contratos ............................................................................... 12
4.4 Controle de Acessos .......................................................................................... 12
4.5 Segurança dos Dados Pessoais Armazenados ....................................................... 13
4.6 Segurança das Comunicações ............................................................................. 13
4.7 Manutenção de Programa de Gerenciamento de ..................................................... 13
Vulnerabilidades
4.8 Medidas relacionadas ao uso de Dispositivos Móveis ............................................... 13
4.9 Medidas relacionadas ao Serviço de Nuvem ........................................................... 13

5. Dos direitos dos titulares e a obrigação do ...................................................... 14

controlador
5.1 Correlação das bases legais com os direitos dos titulares ........................................... 15

6. Treinamento e conscientização .......................................................................... 16

Conclusão ................................................................................................................ 17
Materiais publicados de apoio disponíveis ........................................................... 18

3 INPD – Instituto Nacional de Proteção de Dados

1. Sugestão de enfrentamento do tema
Questionamentos a serem enfrentados:

1.1 Fase 1 - A organização se estruturou

para a condução das iniciativas de
adequação?
O questionamento da Fase 1 compreende as
seguintes etapas:
• Preparação
• Liderança
• Contexto Organizacional
• Capacitação

1.2 Fase 2 - A organização implementou

medidas e controles de proteção de
dados pessoais para adequação à LGPD?
O questionamento da Fase 2 compreende as seguintes etapas:
• Conformidade do tratamento
• Direitos do Titular
• Violação de Dados
• Medidas de Proteção

1.3 O que devemos esperar da Fase 1? Estruturação

A organização deverá adotar medidas para criar um ambiente propício à implementação do projeto
de adequação, que consistem em:
• Implementar um Programa de Governança em Privacidade proporcional à estrutura e ao volume
de dados pessoais tratados. Por exemplo, a criação de um grupo de trabalho que conte com
profissionais de diferentes áreas (SI, TI, Jurídico, RH, Auditoria, etc).
• Elaborar um plano de ação documentado para direcionar a iniciativa do projeto. Esse plano deve
conter o que será feito, quais os recursos necessários, quem serão os responsáveis, prazo para
a conclusão das tarefas e como os resultados serão avaliados.

Por que esse plano é importante?

Para guiar os responsáveis na implementação dos controles para adequação à LGPD.

1.4 O que devemos esperar da Fase 2? Execução

Nessa fase, a organização começa a executar o projeto. Para o seu êxito e objetivando evitar o
retrabalho, recomenda-se as seguintes etapas:

4 INPD – Instituto Nacional de Proteção de Dados

 • Identificar os normativos relacionados ao tratamento de dados que a organização está
envolvida. O arcabouço jurídico aplicável não se restringe à LGPD, à Constituição Federal
de 1988 (CF/88), Lei de Acesso à Informação (LAI - Lei 12.527/11), Lei do Cadastro
Positivo (Lei 12.414/11), CLT. Outros atos normativos setoriais devem ser considerados.
• Identificar a categoria dos dados tratados pelas quais a entidade está envolvida, pública ou
privada. Por exemplo, cidadão, cliente, servidor público, representante de fornecedor e
terceirizado.

Por que é importante a identificação dessas categorias?

Para auxiliar no planejamento dos controles que serão implementados. Alguns dados
requerem controles adicionais.

• Identificar os operadores, seus papéis e responsabilidades.

Por que é importante essa identificação?

É relevante, pois realizam tratamento em nome do Controlador, respondendo os operadores

solidariamente quando, em caso de dano, não tiverem seguido as instruções do Controlador;

• Adequar os contratos firmados com os operadores. Os contratos devem ser adequados para
estabelecer as responsabilidades e papéis em relação à Proteção de Dados dos Titulares;
• Identificar os processos que realizam tratamento de dados pessoais. Necessário haver registro
dos processos de tratamento por parte do Controlador. E, na hipótese de enquadramento na
categoria de Agente de Tratamento de Pequeno Porte (consulte aqui o Guia), o mesmo poderá se dar de
forma simplificada. E, lembrando que mesmo no caso de não ser obrigatório, sempre será uma boa prática ao processo
de aderência a LGPD;
• Mapear estes processos. Essa etapa é fundamental, pois a partir daqui é possível avaliar os
riscos inerentes a cada processo, a finalidade, a base legal e compartilhamento dos dados;
• Identificar os responsáveis pelos processos de negócio que realizam tratamento;
• Identificar onde os dados tratados se encontram (servidor, banco de dados, arquivos físicos e etc);

Por que é importante essa identificação?

Para avaliar os riscos inerentes aos processos de tratamento, para direcionar as prioridades
dos processos para adequação à LGPD e para ajudar no atendimento dos direitos dos
titulares. Por exemplo, para conceder o direito de acesso a um titular é indispensável saber
onde estão localizadas as informações dentro da organização.

• Nomear encarregado. Verificar se a empresa, caso seja privada e atuando como Controladora,
não está desobrigada pelo enquadramento como Agente de Pequeno Porte. Lembrando que
mesmo nos casos de dispensa legal, a nomeação do encarregado configura-se como uma boa
prática e deve ser incentivada;

5 INPD – Instituto Nacional de Proteção de Dados

 • Formular políticas que busquem assegurar a Proteção
de Dados, tais como a Política da Segurança da Infor-
mação e implementação dos controles de segurança
da informação, nomeação do responsável para Segu-
rança da Informação, definição de processos de
gestão de riscos de SI, estabelecimento da política de
Segurança da Informação, processo de elaboração de
inventário de ativos e implantação de controles de
Segurança da Informação;
• Formular Política de Proteção de Dados alinhada à
Política de Segurança da Informação.

Política de Proteção de Dados e Política de Privacidade são a mesma coisa?

Não. A Política de Proteção de Dados está voltada ao público interno, enquanto a Política de
Privacidade ao público externo ao ambiente da organização.

• Capacitar a equipe e treinar colaboradores;

• Realizar Relatório de Impacto à Proteção de Dados - RIPD para controle nos tratamentos que
representem riscos;
• Elaborar Política de Privacidade;
• Estabelecer mecanismo para atendimento dos direitos dos titulares;
• Documentar detalhes relacionados ao compartilhamento dos dados pessoais com terceiros.
Observar hipóteses autorizadoras no art. 26, §1º c/c §2º ou consentimento;
• Transferência internacional, observar art. 33 da LGPD.
• Implementar plano de resposta a incidentes de segurança: Violação de dados requer
gerenciamento de incidentes de segurança, registros dos incidentes e plano de notificação à
ANPD e Titulares, quando cabível. A organização deve ter um esboço do plano de resposta,
quando o incidente ocorrer;
• Adotar medidas de proteção de Segurança da Informação, técnicas e administrativas para
proteger os dados. Por exemplo, controle de acesso aos sistemas, registros de eventos (LOGS),
criptografia, pseudominização, etc.

Na Fase 2, a qual possui maior complexidade e exige

maior dispêndio de energia e investimentos por parte das
organizações, selecionamos os principais pontos de
atenção para facilitação dessa jornada.

6 INPD – Instituto Nacional de Proteção de Dados

2. Da Correta definição dos Agentes de Tratamento – Quem é quem
na relação?
O artigo 5º, IX, da Lei Geral de Proteção de Dados Pessoais (LGPD) define que os agentes de tratamento são
o controlador e o operador. Considerando que a lei traz diferentes obrigações e responsabilidades para os
agentes de tratamento, a depender da função de controlador ou operador que assumem em cada operação
de tratamento de dados, entender os conceitos e características de cada um para realizar o enquadramento
correto é primordial.

2.1 Vejamos os conceitos legais extraídos do artigo 5º, VI e VII da lei:

Controlador:

Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem compete as

decisões.

Operador:

Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento
de dados em nome do controlador.

Uma mesma organização pode atuar como controladora em determinada operação de tratamento de
dados e operadora em outra, a depender da função desempenhada por ela nessas operações.
O controlador é o responsável pela tomada das principais decisões referentes ao tratamento de dados
pessoais. É ele quem define o propósito, a duração e a escolha dos principais meios sobre como
o tratamento de dados ocorrerá, decidindo, inclusive, sobre a contratação e as instruções a serem
repassadas ao (s) operador (es). Por isso, a lei lhe atribuiu os maiores ônus e responsabilidades,
estando ele obrigado a reparar quaisquer danos causados aos titulares de dados em razão da atividade
de tratamento de dados pessoais, quando esta for realizada em violação à legislação.
O operador, por sua vez, atua de acordo com a
finalidade e os interesses determinados pelo
controlador, devendo realizar o tratamento de dados
em conformidade com as instruções recebidas dele,
cabendo-lhe apenas algumas definições não essenciais
à finalidade do tratamento. O operador possui
obrigações legais a serem cumpridas, porém em menor
número que o controlador. Quanto à sua
responsabilidade pelos danos causados em decorrência
do tratamento de dados, esta será solidária apenas se
ele descumprir as orientações recebidas do controlador
ou descumprir as obrigações que lhe são impostas pela
legislação.

7 INPD – Instituto Nacional de Proteção de Dados

É muito importante destacar que a figura do operador pode não existir em determinada atividade de
tratamento. Isso ocorrerá quando o controlador executar todas as operações de tratamento de dados, sem
demandar a execução de nenhuma operação a um terceiro.

Por outro lado, é possível que mais de uma pessoa tome as principais decisões referentes ao tratamento dos
dados pessoais. Nesse caso, teremos dois ou mais controladores, atuando de forma singular ou conjunta.

Por se tratar de um tema novo, a

compreensão e aplicação desses conceitos
têm suscitado algumas dúvidas. Um
equívoco muito comum reside na
compreensão de que o operador poderia ter
uma subordinação hierárquica ao
controlador, como, por exemplo, ser o
empregado de uma organização. Nesse
sentido, a Autoridade Nacional de Proteção
de Dados – ANPD, órgão da Administração
Pública responsável por zelar, implementar e
fiscalizar o cumprimento da lei em todo o território nacional, publicou o Guia Orientativo para Definições dos
Agentes de Tratamento de Dados Pessoais e do Encarregado em que, dentre outros pontos, esclarece que:

• O operador é uma pessoa distinta do

controlador;
• As pessoas subordinadas não são agentes
de tratamento;
• Quando há tratamento de dados por
pessoas jurídicas, o agente de tratamento
será a própria pessoa jurídica;
• Uma pessoa natural será considerada
agente de tratamento quando, ao tomar
decisões sobre o tratamento de dados, agir
de forma independente e em nome próprio,
e não de forma subordinada a uma pessoa jurídica ou como membro de um órgão desta.
• A controladoria conjunta requer a participação conjunta dos agentes de tratamento na definição
das finalidades e meios para o tratamento de dados, através de decisões comuns ou
convergentes;
• Caso as finalidades não sejam comuns, a controladoria não será conjunta, será singular.

8 INPD – Instituto Nacional de Proteção de Dados

 2.2 O fluxograma abaixo, produzido pela ANPD e extraído do guia
mencionado, é muito útil para auxiliar na compreensão e identificação
da função de cada agente de tratamento nas operações de tratamento
de dados.

9 INPD – Instituto Nacional de Proteção de Dados

 Para a conformidade com a LGPD, uma vez identificada a função de cada agente de tratamento,
controladores e operadores devem cumprir deveres, sendo estes oriundos do texto legal ou
decorrentes de regras de boas práticas adotadas pela organização em um programa de governança
em privacidade. A seguir elencamos as principais obrigações legais a serem observadas pelos
agentes de tratamento.

2.3 Sobre os deveres dos Controladores e Operadores:

2.3.1 Os Controladores devem:

• Cumprir com os Princípios de Proteção de Dados – Artigo 6º;

• Definir as Bases Legais para o Tratamento dos Dados – Artigos 7º e 11;
• Fornecer Informações claras e ostensivas aos titulares sobre as atividades de
tratamento - Artigo 9º;
• Indicar o Encarregado pelo Tratamento de Dados – Artigo 41;
• Responder às Requisições do Titular de Dados – Artigo 18;
• Manter Registro das Atividades de Tratamento de Dados – Artigo 37;
• Adotar medidas técnicas e administrativas para a proteção dos dados – Artigo 46;
• Fornecer Relatório de Impacto à Proteção de Dados (RIPD), quando solicitado
pela ANPD – Artigo 38;
• Comunicar à ANPD a ocorrência de Incidentes que acarretam risco elevado ao
titular de dados – Artigo 48;
• Fornecer reparação ao dano material /moral causado em decorrência da atividade
de tratamento de dados – Artigo 42;
• Estar sujeito às sanções administrativas aplicáveis pela ANPD - Artigo 52.

2.3.2 Os Operadores devem:

• Eliminar os dados pessoais após o término da atividade de tratamento – Artigo 16;

• Manter Registro das Operações de Tratamento de dados– Artigo 37;
• Tratar dados pessoais segundo as instruções dos controladores– Artigo 38;
• Fornecer reparação ao dano material /moral causado em decorrência da atividade
de tratamento de dados – Artigo 42;
• Adotar medidas técnicas e administrativas para a proteção dos dados – Artigo 46;
• Cooperar com o controlador para responder em tempo hábil as requisições feitas
pelos titulares de dados pessoais;
• Cooperar com o controlador para fornecer informações sobre incidentes de
segurança;
• Estar sujeito às sanções administrativas aplicáveis pela ANPD - Artigo 52.

10 INPD – Instituto Nacional de Proteção de Dados

3. Da Importância do Mapeamento de Processos – Por que fazer?
Muito embora não conste dentre as obrigações legais acima elencadas, o mapeamento de dados (data
mapping) é essencial para a conformidade da organização com a LGPD, tendo em vista que sem o
levantamento de todos os dados tratados pela organização dificilmente o agente de tratamento conseguirá
identificar pontos de desconformidade com a lei para adequá-los.

Por isso, uma das primeiras etapas de um programa de governança em privacidade reside justamente no
mapeamento de dados, que pode ser feito de várias formas, inclusive com o apoio de softwares específicos
disponíveis no mercado. Uma das maneiras mais usuais e eficientes de realizá-lo é por meio de entrevistas
com os responsáveis pelos departamentos dentro da organização, momento em que, no mínimo, as seguintes
informações devem ser levantadas:

3.1 Informações indispensáveis e que devem constar no mapeamento:

• Quais dados pessoais são tratados em cada processo da organização, como são
tratados, e quem é o responsável?
• Quais as categorias de titulares de dados envolvidas?
• Qual a finalidade do tratamento de dados?
• Há compartilhamento de dados com terceiros? Quem são?
• Onde os dados estão armazenados e quem tem acesso?
• Há prazo previsto para o armazenamento dos dados e como eles são eliminados?
• Há transferências internacionais de dados?
• Há medidas de segurança previstas para aquele tratamento? Elas são suficientes?
• Qual a base legal que autoriza o tratamento de dados?

Portanto, a partir do conhecimento do fluxo dessas informações, os agentes de tratamento estarão

aptos a tomarem as melhores medidas em prol da adequação à lei.

4. Os requisitos mínimos para garantir a Segurança da Informação,

exigidos por lei por parte dos Agentes de Tratamento
A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18) dispõe
em seus dispositivos legais, especificamente nos arts. 42 e 46, que
os agentes de tratamento devem adotar as medidas de segurança,
técnicas e administrativas para proteção dos dados pessoais; e que
o tratamento será considerado irregular quando este não fornecer a
segurança esperada pelo titular.

Com o intuito de colaborar nessa jornada, fornecendo subsídios

aos agentes de tratamento, a ANPD já estabeleceu publicação
sobre o tema, intitulado de Guia Orientativo sobre Segurança da

11 INPD – Instituto Nacional de Proteção de Dados

Informação para Agentes de Tratamento de Pequeno Porte que, inclusive, conta com um checklist, no qual
são descritos 48 (quarenta e oito) pontos de verificação para facilitação do entendimento. O Guia representa
a visão da ANPD sobre o mínimo a ser implementado em termos de Segurança da Informação e, como tal,
deve ser encarado como um ponto de partida para as organizações na adoção de práticas e cultura de
proteção de dados.

As medidas de Segurança da Informação abordadas no Guia são:

4.1 Política de Segurança da Informação (PSI)

Documento que descreve o conjunto de práticas acerca, dentre
outros, de cópias de segurança; uso de senhas; acesso à
informação; compartilhamento de dados; atualização de
softwares; uso de correio eletrônico; uso de antivírus. A PSI é a
bússola utilizada no tratamento de dados e deve ser observada
por todos os integrantes da organização, representando sua
visão sobre o tema.

4.2 Conscientização e treinamento

Pessoas são vetores de vulnerabilidades e alvo de pessoas mal-intencionadas. Por essa razão, a
conscientização deve ser integrada às rotinas da organização com o estabelecimento de calendários
de capacitação, inclusive com abordagem sobre phishing, tela e mesa limpa, detecção de incidentes
de segurança.

4.3 Gerenciamento de contratos

As relações organizacionais são formalizadas em contratos. Assim, cláusulas específicas de
confidencialidade, contratação de fornecedores e parceiros, regras sobre compartilhamentos, relação
entre controlador e operador, são necessárias nos instrumentos contratuais. Os contratos, em certa
medida, refletem as regras da PSI.

4.4 Controle de acesso

O controle de acesso pode ser lógico e físico, abrangendo a
entrada em salas (de arquivos, de processamento de dados,
etc.) e sistemas (logins). A organização deve investir esforço
para determinar o que cada integrante pode acessar, sempre
pautando a prática no princípio do “menor privilégio”. O controle
do acesso permite auditorias sobre o que o usuário fez, permite
que sejam criadas, aprovadas, revisadas e excluídas as contas
de usuários. Também é importante que se gerencie o uso de
senhas, estabelecendo-se uma certa complexidade em sua
criação (letras maiúsculas e minúsculas, número mínimo de
caracteres, tempo de expiração, etc.), bem como se instrua os
usuários a não compartilharem contas e senhas. Por fim, o uso de
multi-fatores de autenticação (MFA) para acessar sistemas
aumenta o nível de segurança.

12 INPD – Instituto Nacional de Proteção de Dados

 4.5 Segurança dos dados pessoais armazenados
A organização deve determinar quais são os dados que realmente necessita em suas atividades,
podendo também investir em técnicas de pseudonimização. Por tal razão, ter um mapeamento de
processos internos é essencial em termos organizacionais. Através desse mapeamento é possível
entender e determinar configurações de sistemas, sendo as pessoas instruídas a não as modificar.
Também se deve evitar ou mesmo impedir o uso de dispositivos móveis, de modo que as informações
não sejam carregadas em pendrives e HDs externos. Os backups devem ser realizados regularmente
e armazenados em locais seguros e diferentes da base de dados original. O Guia ainda recomenda
que o backup não seja sincronizado de forma online, de modo a evitar a perda de dados em casos de
ataques maliciosos. Por fim, o cuidado com o descarte das informações também deve ser considerado,
estabelecendo-se métodos de formatação, subscrição ou criptografia dos dados, antes do descarte.

4.6 Segurança das comunicações

O Guia recomenda a utilização de conexões cifradas (com uso de
TLS/HTTPS) ou aplicativos com criptografia fim a fim, inclusive em
relação aos e-mails ou, ao menos, que os arquivos do e-mail sejam
cifrados. Também é importante o uso de firewalls, antivírus, anti-
spams, filtros de e-mails, para gerenciamento do tráfego de rede.

4.7 Manutenção de programa de

gerenciamento de vulnerabilidades
Monitorar e manter os sistemas em suas versões mais atualizadas ajuda a segurança, pois os
fornecedores estão constantemente melhorando a defesa de seus sistemas. Também se
recomenda uma varredura periódica para a checagem dos sistemas e até o descarte de sistemas
inúteis para a organização.

4.8 Medidas relacionadas ao uso de dispositivos móveis

O mundo é mobile e os dispositivos móveis carregam muitas
informações. As medidas de segurança devem se estender a
esses equipamentos, estabelecendo-se controles para acesso,
MFAs, guarda em locais seguros e para uso exclusivamente
institucional. Também é importante estabelecer meios de
apagamento remoto dos dados, para o caso de perda ou roubo dos
dispositivos.

4.9 Medidas relacionadas ao serviço em

nuvem
Assim como o mundo é mobile, o uso de nuvens se massificou e,
nesses casos, um bom contrato deve ser estabelecido. Além disso,
regras de controle de acesso, MFAs, também são incentivadas.

13 INPD – Instituto Nacional de Proteção de Dados

 Portanto, os itens acima elencados devem obrigatoriamente ser
enfrentados pela Organização, posto que a própria Autoridade
Nacional de Proteção de Dados destacou como de extrema
relevância em seu Guia Orientativo.
Além disso, esses fatores auxiliam as organizações a elevarem os
seus níveis de segurança e não significam um ponto estanque.
Pelo contrário, devem ser revisados periodicamente. A revisão pe-
riódica permite uma análise crítica e incentiva estabelecer um ciclo de checagem, planejamento e
correção, sempre com vistas à adoção das melhores práticas em segurança da informação. Ademais, o
próprio Guia registra que as medidas devem ser completadas de acordo com a realidade de cada
organização.

5. Dos Direitos dos Titulares e a obrigação do Controlador

Para fins de auxiliar o Controlador a cumprir com as obrigações legais decorrentes dos direitos requeridos
pelos titulares, é importante estabelecermos mecanismos para que sejam executáveis.
Primeiramente, é necessário identificar quais os direitos do titular de dados estão associados à base legal que
ampara o respectivo tratamento, pois nem todos os direitos são absolutos e a depender da hipótese
autorizadora, alguns direitos não poderão ser atendidos.

Para fins de auxiliar o Controlador a cumprir com as obrigações legais decorrentes dos direitos requeridos
pelos titulares, é importante estabelecermos mecanismos para que sejam executáveis.

Exemplo:

O Controlador é um empregador que processa dados coletando e arquivando informações dos

empregados referentes a pagamentos realizados junto ao Instituto Nacional do Seguro Social (INSS).
Para fins de coleta e manuseio das informações, o Controlador está amparado no cumprimento de
obrigação legal (art. 7, II), e para o armazenamento dos informes de pagamento encontra amparo no
exercício de direitos em processo judicial (art. 7, VI). Portanto, caso o titular venha a requerer a
eliminação desses dados pessoais, previstos no art. 17, inciso VI, não será passível de atendimento,
visto que o tratamento em questão não está amparado na base legal do consentimento.

Por essa razão, recomenda-se extrema atenção na eleição da base legal de forma que represente a mais
adequada ao tratamento e observe-se a correlação com os respectivos direitos dos titulares.

14 INPD – Instituto Nacional de Proteção de Dados

 5.1 Em relação aos direitos dos titulares elencados no art. 18, I a IX, da
LGPD, e que podem ser exercidos a qualquer momento mediante
requisição ao Controlador, fazemos as devidas correlações com as
bases legais objetivando facilitar o processo obrigatório de
atendimento aos direitos dos titulares.
I. Confirmação de existência de tratamento – Aplica-se a todas as bases legais e deve se dar
I. Confirmação
mediante de existência
requisição do titular. de tratamento – Aplica-se a todas as bases legais e deve se dar
medianteaos
II. Acesso requisição
dados -do Emtitular.
sendo positiva a resposta acerca da existência de tratamento, aplica-se a
II. todas
Acessoas aos dados
bases legais- Em sendo
e deve se positiva a resposta
dar mediante acercaexpressa
requisição da existência de tratamento, aplica-se a
do titular.
todas as bases legais e deve se dar mediante requisição expressa do titular.
III. Correção de dados incompletos, inexatos ou desatualizados – Da mesma forma, em se
III. confirmando
Correção deo tratamento
dados incompletos, inexatosa ou
de dados, aplica-se desatualizados
todas as bases legais.– Da mesma forma, em se
confirmando o tratamento
IV. Anonimização, bloqueio de
oudados, aplica-se
eliminação a todas
– Este asestá
direito bases legais. vinculado à finalidade e
diretamente
IV. necessidade.
Anonimização, Embloqueio
sendo osou eliminação
dados tratados–emEste direito ou
excesso está
emdiretamente vinculado
desconformidade comàafinalidade
finalidade,e
onecessidade. Em sendo
direito requerido os dados
pelo titular deve tratados em excesso
ser atendido e aplicadoou aem desconformidade
todas as bases legais.com a finalidade,
o direito requerido
V. Portabilidade dospelo titular
dados deve ser
a outro atendido e– aplicado
fornecedor a todasao
O atendimento as direito
bases em legais.
questão encontra
V. limitação
Portabilidade dos dados
nos segredos a outro efornecedor
comercial industrial, –razão
O atendimento ao direito
pela qual não em questãoImportante
são absolutos. encontra
limitaçãoque
registrar nosaguardam
segredosregulamentação
comercial e industrial,
por parterazão pela qualNacional
da Autoridade não sãodeabsolutos. Importante
Proteção de Dados –
registrar que aguardam regulamentação por parte da Autoridade Nacional de Proteção de Dados –
ANPD.
ANPD.
VI. Eliminação dos dados pessoais – Aplica-se a todos os tratamentos realizados sob o amparo da
VI. base
Eliminação
legal dodosconsentimento.
dados pessoais – Aplica-se
Entretanto, a todos os tratamentos
encontram-se realizados soboso dados
fora desta abrangência amparoque da
base legalsendo
estiverem do consentimento.
tratados por- i) Entretanto,
cumprimentoencontram-se
de obrigaçãofora
legaldesta abrangência
ou regulatória pelo os dados que
Controlador ii)
para estudo por órgãos de pesquisa, garantindo-se sempre que possível a anonimização iii) ii)a
estiverem sendo tratados por- i) cumprimento de obrigação legal ou regulatória pelo Controlador
para estudo por
transferência órgãosdesde
a terceiro, de pesquisa, garantindo-se
que respeitados semprelegais
os requisitos que iv)
possível a anonimização
e, por fim, quando o usoiii)dos
a
transferência
dados a terceiro,
for exclusivo desde queerespeitados
do controlador desde que os requisitos legais iv) e, por fim, quando o uso dos
anonimizados.
VII. Informação das entidades públicas e privadas com as quais o Controlador compartilhou os
dados - Este direito aplica-se a todas as bases legais. Impõe-se ressaltar aqui, a relevância de um
Registro de Operações de Tratamento – ROPA- bem-feito, pois essas informações devem estar
devidamente sinalizadas, facilitando assim, a resposta ao titular.
VIII. Informação sobre a possibilidade de não fornecer consentimento e as consequências da sua
negativa - Este direito aplica-se tão somente às hipóteses em que o processamento de dados
depender do consentimento do titular. Nesse caso, o titular deve ser avisado de que, por exemplo,
caso não consinta com o tratamento ofertado, o mesmo talvez não possa ser fornecido.
IX. Revogação do consentimento - Este direito como o próprio nome já sinaliza, aplica-se apenas
aos tratamentos amparados pela base legal do consentimento. E, neste caso, pode ser exercido a
qualquer momento mediante manifestação expressa do titular, de forma gratuita e simplificada (art.
8, § 5).
X. Revisão e explicação de decisões automatizadas - Por fim, de acordo com o art. 20, o titular tem
o direito de solicitar a revisão de decisões exclusivamente automatizadas que afetem seus
interesses, tais com a definição de perfis pessoal, profissional, de consumo, de crédito ou aspectos
da personalidade.

Portanto, é de suma importância que o Controlador que utilizar processos automatizados para tomada
de decisões baseada em dados seja capaz de fornecer as explicações obrigatórias por comando legal,
bem como de prover a sua revisão.

15 INPD – Instituto Nacional de Proteção de Dados

 Deve-se atentar na escolha dos fornecedores dessas ferramentas tecnológicas, tendo em vista que o
Controlador está diretamente obrigado perante o titular.

6. Treinamento e Conscientização
O recurso humano representa um dos maiores ativos de uma organização e nada mais coerente do que
investir no treinamento da equipe. Afinal de contas, o erro humano ainda representa a maior causa
responsável pelos incidentes de segurança.

Portanto, conscientizar é capacitar o time!

A implementação da Lei Geral de Proteção de Dados é

complexa, mas representa um importante passo no
mundo corporativo em atenção ao direito de todos os
titulares.

A Capacitação precisa alcançar a todos, sejam os

envolvidos internamente nas organizações, mas tam-
bém os externos, tanto no público quanto no privado, devendo ser o foco primeiro os que estão direta e
indiretamente envolvidos nos processos de governança, compliance e aplicação da LGPD.

Deve-se primar pelo conhecimento e pela interpretação da norma da proteção de dados pessoais, combinada
com as demais leis e princípios do Direito e pelas diretrizes da ANPD.

A capacitação pode e deve se dar em diferentes níveis de profundidade, a depender do envolvimento do

profissional com o tratamento de dados dentro da empresa.

O processo de qualificação da equipe no tema, poderá ocorrer por meio de palestras, workshops, eventos,
cursos, podcast, informativos por e-mail, e-books, cartilhas, comunicação em geral, utilizando-se de
ferramentas para disseminar a informação.

O uso de ferramentas que ofereçam condições teórico-didáticas, metodológicas e práticas, personalizadas

para cada realidade a fim de realizar um trabalho sistêmico são recomendáveis.

Algumas sugestões de treinamentos complementares, seguem abaixo:

- Aprendizagem com utilização de games (dinâmica de gamificação);

- Aplicar a técnica de LNT (Levantamento de Necessidade de Treinamento) para avaliar e nivelar o

conhecimento do grupo;

- Vídeo para integração de novos empregados;

- Leitura da legislação e análise de casos reais;

Não esqueçamos que a medição dos resultados é de grande valia, pois permitirá que a organização
compreenda se os recursos e esforços investidos estão sendo direcionados para a área certa e quais são as
carências que ainda precisam ser resolvidas.

Por fim, é bastante interessante aplicar uma pesquisa de satisfação em relação ao treinamento, permitindo
que as equipes evidenciem os pontos mais fortes e fracos do programa.
16 INPD – Instituto Nacional de Proteção de Dados
 Nesse sentido, as posturas relacionadas representam boas práticas e compõem uma governança corporativa.

A LGPD é clara quanto a isso:

“Art. 50. Os controladores e operadores (....) poderão formular regras de boas práticas e de gover-
nança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos
(...)”

A viabilização destas boas práticas e governança ocorre quando os envolvidos começam a realizar ações
educativas, abrangendo mecanismos internos de supervisão e de mitigação de riscos e outros aspectos
relacionados ao tratamento de dados pessoais.

A formação de uma rede de pessoas cautelosas, conscientes das obrigações e direitos legais é pré-requisito
para uma efetiva governança de dados pessoais.

Por certo que ao seguir as orientações elencadas, a organização acumulará benefícios para o negócio, assim
como investir em capacitação haverá:

• A melhora do relacionamento com o cliente;

• O ganho de confiança entre o público e a empresa;
• O aumento da segurança jurídica;
• A proteção à reputação da marca;
• A garantia da ética profissional;
• A criação de um verdadeiro diferencial competitivo.

Conclusão
Por fim, importante registrar que os agentes de tratamento, sejam controladores ou operadores, estão
obrigados por força de lei a cumprir com os dispositivos legais da Lei Geral de proteção de Dados.

Tal aderência, além de impositivo legal, tem potencial de representar diferencial competitivo de mercado. Pois,
com o passar do tempo, não haverá mais espaço para organizações que não incluírem em sua pauta a
privacidade e proteção de dados.

Respeitando as peculiaridades de cada empresa e seu modelo de negócios, volume e categoria de dados
tratados sugerimos que cada ator neste cenário empreenda esforços para implementar as medidas
necessárias para atingir um status de adequação à LGPD.

E para essa jornada, é indispensável conhecer o caminho a ser trilhado.

Esperamos que este Passo a Passo à implementação à LGPD seja um norte nesse processo.
Obrigado por nos acompanhar até aqui!

INPD
www.instagram.com/inpdados
www.inpd.com.br

17 INPD – Instituto Nacional de Proteção de Dados

Materiais publicados de apoio disponíveis
• GUIA DE BOAS PRÁTICAS DA LGPD – MODELO DE RIPD

• GUIA DE SEGURANÇA DA INFORMAÇÃO PARA AGENTE DE TRATAMENTO DE PEQUENO PORTE

• CARTILHA CERT.BR E ANPD QUE APRESENTA INFORMAÇÕES SOBRE ADOÇÃO DE POSTURA

PREVENTIVA

• PERGUNTAS E RESPOSTAS SITE OFICIAL DA ANPD

• GUIA SENACON “COMO PROTEGER SEUS DADOS PESSOAIS”

• GUIA ORIENTATIVO AGENTES DE TRATAMENTO DE PEQUENO PORTE

• GUIA ORIENTATIVO TRATAMENTO DE DADOS NO PODER PÚBLICO

• TCU AUDITORIA DO GRAU DE IMPLEMENTAÇÃO NO SETOR PÚBLICO

18 INPD – Instituto Nacional de Proteção de Dados