Como Implementar A LGPD - Bases, Mecanismos e Processos

Como implementar a
LGPD: bases, mecanismos

e processos
Governo e Transformação Digital; Direito e Legislação;

Gestão da Informação e do Conhecimento.
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
Conteudista/s
Bruno Anselmo Guilhen (Conteudista, 2022).
Enap, 2022
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
SAIS - Área 2-A - 70610-900 — Brasília, DF
Sumário
Módulo 1: Bases para Aplicar a LGPD..................................................................... 6
Unidade 1: A Relação entre Proteção de Dados e Segurança da Informação.... 6
1.1 Conceitos de Dado, Informação e Conhecimento................................................... 6
1.2 Princípios Básicos da Segurança da Informação (PBSI) ......................................... 9
1.3 Aplicação e Técnicas de Segurança......................................................................... 12
Referências ...................................................................................................................... 21
Referências ...................................................................................................................... 22
Unidade 2: Como a LGPD Disciplina o Conceito de Proteção de Dados?.......... 23

2.1 Afinal, a LGPD Trata de Dado ou Informação?...................................................... 23
2.2 Os Diversos Tipos de Dados Segundo a LGPD: Pessoal, Sensível e Anonimizado...25
2.3 Outras Definições da LGPD...................................................................................... 30
Referências ...................................................................................................................... 35
Módulo 2: Mecanismos para implementação da LGPD...................................... 37

Unidade 1: Princípios e Definições para Tratamento de Dados........................ 37
1.1 O Tratamento de Dados e seus Personagens....................................................... 37
1.2 Finalidade, Adequação e Necessidade................................................................... 42
1.3 Acesso, Qualidade e Transparência........................................................................ 44
1.4 Segurança, Prevenção, Não Discriminação e Responsabilização........................ 46
Referências ...................................................................................................................... 49
Unidade 2: Elementos para Implementar a Política de Segurança da

Informação (PSI)................................................................................................. 50
2.1 Análise e Avaliação de Riscos................................................................................... 50
2.2 Estrutura e Conteúdo da PSI.................................................................................... 55
2.3 A Transformação Digital e a PSI............................................................................... 58
Referências ...................................................................................................................... 61
Módulo 3: Implementando a LGPD....................................................................... 63

Unidade 1: Os Processos para a Implementação da LGPD................................ 63
1.1 Processos para Implementação da LGPD.............................................................. 63
1.2 A trilha de Conformidade para Tratamento Adequado de Dados...................... 68
1.3 O Término do Tratamento de Dados...................................................................... 71
Referências ...................................................................................................................... 74
Unidade 2: Base Legal para o Tratamento de Dados.......................................... 75
2.1 Quais as Bases Legais para o Tratamento de Dados?.......................................... 75
2.2 Exemplo de Termo de Consentimento................................................................... 84
Referências ...................................................................................................................... 88
Unidade 3: Tratamento de Dados pelo Poder Público........................................ 89

3.1 Quem Realiza o Tratamento de Dados no Serviço Público?................................ 89
3.2 Regras e Responsabilidades no Tratamento de Dados pelo Poder Público...... 91
Referências ...................................................................................................................... 92
Unidade 4: Locais e Mecanismos para Tratamento de Dados........................... 93

4.1 Inventário de Dados.................................................................................................. 93
4.2 Local de Armazenamento de Dados ...................................................................... 95
4.3 Análise e Avaliação de Riscos sobre Armazenamento de Dados........................ 96
Referências ...................................................................................................................... 98
Referências ...................................................................................................................... 99
Módulo 4: Infrações e penalidades..................................................................... 100

Unidade 1: Infrações e Penalidades da LGPD.................................................... 100
1.1 Quais são as Infrações e Penalidades da LGPD................................................... 100
1.2 Documentos que Devem Existir na Empresa para Atestar as Boas Práticas da
LGPD................................................................................................................................ 103
1.3 Resposta a Incidentes............................................................................................. 104
Referências .................................................................................................................... 107
Enap Fundação Escola Nacional de Administração Pública

4
Apresentação e Boas-vindas
Caro(a) Cursista, seja muito bem-vindo(a) ao curso Como Implementar a LGPD:

Bases, Mecanismos e Processos.
Olá! É um prazer contar com sua companhia por aqui. Este curso visa guiar você ao
entendimento da Lei Geral de Proteção de Dados (LGPD), que tem como fundamento
a responsabilidade com os dados coletados das pessoas, principalmente dos usuários
de serviços públicos.
Alinhados ao processo de transformação digital do serviço público, os conteúdos que

serão abordados a partir de agora estabelecerão os pilares para que essa mudança
caminhe juntamente da correta implementação da LGPD.
Para tornar o processo de aprendizagem mais harmonioso e organizado, os conteúdos

do curso foram divididos em quatro módulos.
• Módulo 1: Bases para aplicação da LGPD, inicia-se com a apresentação

das bases para a implementação da LGPD.
• Módulo 2: Mecanismos para implementação da LGPD, apresentará

os pilares para essa implementação, tendo como base os conceitos e
definições fundamentais da lei e a criação de uma Política de Segurança da
Informação (PSI).
• Módulo 3: Implementando a LGPD, versa sobre o processo de

implementação dos quesitos requeridos pela lei.
• Módulo 4: Infrações e penalidades, finaliza demostrando as consequências

da lei.
Esclarecidos esses pontos iniciais de estudo para que você siga bem orientado (a),
assista agora ao vídeo de apresentação inicial do curso. É hora de começar.
Videoaula: Apresentação e Boas-Vindas
Bons estudos para você!

5
Módulo
1 Bases para Aplicar a LGPD
Esta etapa inicial de estudos é composta de duas unidades, sendo muito importante
por buscar que você chegue ao entendimento das bases de aplicação da LGPD. A
primeira unidade estabelece uma relação entre a proteção de dados, que é parte da
nomenclatura da própria LGPD, e os princípios básicos da segurança da informação.
Na segunda unidade, você será apresentado a definições importantes, trazidas por

meio da lei, sobre dado pessoal, dado sensível e dado anonimizado, conceitos
que representam a base para o entendimento de quais são os elementos a serem
protegidos na sua implementação. Por isso, não perca de vista o que você aprenderá
a partir de agora, certo? Siga firme e persevere! Vamos começar?
Unidade 1: A Relação entre Proteção de Dados e Segurança

da Informação
Objetivo de aprendizagem
Ao final desta unidade você deverá ser capaz de reconhecer o significado de proteção de dados.
1.1 Conceitos de Dado, Informação e Conhecimento
Para início de conversa, analise atentamente a imagem abaixo. O que ela representa
para você? Qual(is) a(s) diferença(s) que você consegue perceber entre elas?

6
Evolução dos sistemas.
Fonte: Freepik (2022) Elaboração: CEPED/UFSC (2022).
Muita coisa mudou desde a Revolução Industrial até os dias atuais, não é mesmo?
Segundo Stallings e Brown (2013), os sistemas

sofrem constantes mutações com o tempo, desde a
Revolução Industrial até a atual era do conhecimento.
Por este motivo, é necessária uma classificação e
posterior análise de riscos para que a segurança
seja corretamente mensurada em todo sistema,
independentemente de ser físico ou digital.
O primeiro passo para você que pretende implementar a LGPD é entender a divisão dos
sistemas digitais e físicos. Os sistemas digitais são formados por bits e bytes. Já o sistema
físico representa tudo aquilo que não é digital, que pode ser facilmente manuseado, por
exemplo, livros, notas fiscais, folhas de cheque etc. (LAUDON; LAUDON, 2014).
Segundo Kenneth Laudon e Jane Laudon (2014), os sistemas digitais são representados
pelos seguintes elementos: dado, informação e conhecimento. Com base nestes
autores, observe no infográfico a seguir a definição que melhor se enquadra nos
sistemas de informação gerenciais.

7
Representação de um sistema digital.
Fonte: Laudon e Laudon (2014). Elaboração: CEPED/UFSC (2022).
Segundo O’brien (2011), dado significa tudo aquilo que é facilmente estruturado,
quantificado, transferível e facilmente obtido por máquinas. Por outro lado, o
conhecimento é de difícil estruturação, difícil captura por máquinas, frequentemente
tácito e de difícil transferência.
A informação requer análise, consenso em relação ao significado e a mediação

humana. Portanto, saber diferenciar cada um desses elementos será um passo
importante para você estabelecer as relações de proteção dos sistemas digitais
modernos e a estrutura da LGPD.
Aprendido isto, agora é hora de você refletir sobre ativos! Você sabe o que é “ativo”
neste contexto?
A ISO 27002 define como ativo tudo aquilo que possui valor para
uma organização (ABNT, 2013).
Porém, do ponto de vista da segurança, é preciso ter em mente que não é

possível proteger igualmente todos os ativos. Sendo necessário, neste caso, uma
análise detalhada para estabelecer quais ativos deverão receber mais ou menos
investimentos em proteção e segurança.

8
A partir de um olhar sobre os ativos e as formas como protegê-los é que se entende
a importância da relação entre segurança da informação e a Lei Geral de Proteção
de Dados (LGPD). Segurança é a base da implementação da LGPD.
Segurança na LGPD.
Fonte: Freepik (2022). Elaboração: CEPED/UFSC (2022).
1.2 Princípios Básicos da Segurança da Informação (PBSI)
Uma vez definidos os ativos (aqueles que mais devem receber investimentos em
segurança) e entendidos quais são os sistemas (físicos ou digitais), para a adoção
de um modelo seguro será necessário que você entenda quais são os princípios
básicos da segurança da informação e as técnicas para sua proteção.
Stallings e Brown (2013) abordam os princípios utilizando a tríade demonstrada na

pirâmide abaixo. Analise-a com atenção!

9
Princípios básicos da segurança da informação.
Fonte: Stallings e Brown (2013). Elaboração: CEPED/UFSC (2022).
Na ISO 27002 (2013) esses três princípios são complementados por mais dois: a
autenticidade e o não-repúdio. Porém, a Teoria Parkeriana (KABAY; BOSWORTH,
2002) define em seis os princípios da segurança da informação, no que é conhecido
como hexagrama Parkeriano.
Autenticidade
Hexagrama Parkeriano.
Fonte: Kabay e Bosworth (2002). Elaboração: CEPED/UFSC (2022).

10
Levando em consideração tantas teorias acerca desses princípios, os cinco que
serão definidos e estudados aqui são os ilustrados na ISO 27002 , uma vez que eles
também são listados na LGPD, combinado?
Os princípios são:
• confidencialidade;
• integridade;
• disponibilidade;
• autenticidade;
• não-repúdio ou irretratabilidade.
Conheça cada um deles a seguir.
Confidencialidade
O princípio da confidencialidade está associado à garantia do sigilo, segredo ou

privacidade. Indica que somente os autorizados poderão ter acesso às informações
armazenadas ou transmitidas no momento e na forma adequada. Quando um terceiro
passa a ter acesso a uma informação, costuma-se dizer que a confidencialidade foi
perdida (STALLINGS; BROWN, 2013).
Integridade
A integridade diz respeito à percepção da modificação, ou seja, é a garantia de que

a informação não foi alterada/modificada intencional ou involuntariamente, e que
caso alterada por algum motivo, isso seja detectado (STALLINGS; BROWN, 2013).
Disponibilidade
A disponibilidade é o princípio que garante acesso ao sistema ou aos dados sempre

que solicitado.
Autenticidade
Já a autenticidade é a prova da identidade ou a garantia da identidade de um

usuário, sistema ou site.

11
Não-repúdio ou irretratabilidade
Por fim, o não-repúdio ou irretratabilidade é a impossibilidade de negar a participação

em uma ação eletrônica, fazendo com que uma vez que o usuário executou certas ações
seja impossível de negar que esse fato aconteceu (STALLINGS; BROWN, 2013).
Tome nota desta informação importantíssima! Todos esses

princípios possuem técnicas computacionais para garantir a sua
execução. Os cinco princípios listados aqui são elementos básicos
para a correta aplicação de segurança e para toda a estrutura
de privacidade usada para construir políticas em torno de leis e
tratados que versem sobre o assunto.
1.3 Aplicação e Técnicas de Segurança
Talvez você esteja curioso(a) para entender como ocorre o funcionamento destes
princípios na prática, certo? Bem, os princípios básicos da segurança da informação
são trabalhados na prática através de técnicas que garantam a sua aplicação.
Neste caso, cada princípio possui pelo menos uma técnica que deve ser estudada,
entendida e implementada.
A tabela abaixo mostra os princípios estudados e uma técnica que pode ser utilizada
para sua garantia.
Princípio Técnica
Confidencialidade Criptografia
Integridade Hash
Disponibilidade Cópia de segurança (backup)
Autenticidade Autenticação em fatores múltiplos
Não-repúdio Captcha
Princípio e técnica da segurança da informação.

Elaboração: CEPED/UFSC (2022).

12
A técnica é a garantidora do princípio, assim, quando se fala em confidencialidade
a pergunta que se faz é:
Como garantir que uma informação poderá ser transmitida ou

armazenada em sigilo?
E a resposta está na técnica, já que a criptografia garante o sigilo/privacidade das

informações. Da mesma forma, o backup garante a disponibilidade dos dados em caso
de perda do sistema original e o hash permite conferir a integridade de um arquivo.
Uma breve definição de cada uma das técnicas apresentadas serve para entender como
relacionar os elementos de proteção invocados pela lei e as ações que devem ser trabalhadas.
Criptografia
Técnica matemática para embaralhar informações de maneira que somente os

detentores das chaves poderão desfazer o processo. A criptografia pode ser simétrica
(de chave única) ou assimétrica (de chave pública e privada).
Criptografia.
Fonte: Freepik (2022).

13
Hash
O hash nada mais é do que um algoritmo que recebe uma entrada (pode ser um
texto, um arquivo ou uma unidade de disco) e gera um código hexadecimal (de 0
a 9 e A a F) de tamanho fixo na saída. Sempre que essa entrada mencionada for
inserida, o mesmo resultado (o mesmo código hash) deverá aparecer na saída, para
demonstrar a integridade.
Por outro lado, se um arquivo possui um código hash e tempos depois o código não
é mais o mesmo, significa que esse arquivo foi alterado, a integridade foi perdida.
Hash.
Cópia de segurança
Cópia de segurança ou backup é a técnica que realiza a cópia fiel de um conjunto

de dados para posterior utilização em caso de perda do sistema original. A
disponibilidade está devidamente garantida se for possível resgatar todos os dados
perdidos utilizando o backup.
Cópia de segurança.

14
Autenticação em fatores múltiplos
A autenticação pode acontecer utilizando três técnicas: algo que o usuário tem, algo
que o usuário sabe e algo que o usuário possui.
• Ter: um cartão, um documento, um token, um crachá etc.
• Saber: uma senha, um PIN, uma sequência de letras de acesso etc.
• Ser: uma característica biométrica como a íris, a retina, a impressão

digital, a voz etc.
A autenticação em fatores múltiplos representa a utilização de mais de uma técnica

de pelo menos uma categoria, por exemplo, um cartão, uma senha e a digital.
Autenticação em fatores múltiplos.

Captcha
Técnica que realiza um teste de caráter cognitivo. É um desafio para garantir que o
utilizador de determinado sistema é um ser humano, por isso o captcha, ou Teste de
Turing, é conhecido como desafio-resposta. A garantia do não-repúdio está exatamente
na proposta de que o desafio só pode ser “vencido” por um ser humano e não por uma
máquina. Sendo assim, o ser humano não poderá negar que passou por aquela etapa.
Representação do captcha.
Fonte: Higa (2014).

15
A partir deste ponto espera-se que você já consiga entender os princípios básicos
de segurança e as técnicas como os pilares para a implementação da Lei Geral de
Proteção de Dados.
Em diversos pontos da lei os princípios serão

invocados e o entendimento das técnicas também
será necessário para validar qual atitude tomar. Cita-
se, como exemplo, o art 2º – I, que diz (BRASIL, 2018):
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I - o respeito à privacidade;
Ao ler a palavra “privacidade” dentro do texto da lei é necessário que você entenda
o contexto e, principalmente, a utilização do termo. Inevitavelmente devem vir à
tona perguntas como: “qual a definição de privacidade?”, “quais as técnicas para
garantir o respeito à privacidade?”. Por essa razão é que você foi levado a conhecer
o significado de proteção de dados.
Uma importante aplicação desses conceitos foi elencada no Decreto 10.332 de 2020
(BRASIL, 2020). Este decreto institui a Estratégia de Governo Digital para o período de
2020 a 2022 e um de seus principais objetivos é oferecer serviços digitais ao cidadão.
Serviços digitais ao cidadão.

Fonte: Brasil (2022).

16
A transformação digital proposta pelo governo, conjuntamente com o processo
de oferta de serviços, expõe um problema de segurança e gera uma enorme
responsabilidade pelo tratamento dos dados que serão ofertados. Por essa razão é
necessário que você conheça os conceitos de segurança que vem sendo utilizados
até este momento. Vamos lá?
O que seria transformação digital e como a LGPD deve ser enquadrada nesse
contexto?
Segundo o Decreto 10.332 (BRASIL, 2020) e o conteúdo do site Gov.br sobre

Governo Digital, a transformação digital representa a oferta de serviços públicos
de qualidade, de forma que o cidadão gaste menos tempo e dinheiro para poder
usufruir dos mesmos. Em outras palavras, seria oferecer ao cidadão os serviços
públicos que antes eram oferecidos presencialmente, ou parte no modelo digital e
parte no modelo físico, de forma totalmente digital e com soluções mais rápidas.
Adeus, burocracia!
Mas quais são as consequências dessa sistematização toda? Se você pensou sobre
aumento da segurança, é isso mesmo, pois as consequências remetem à necessidade
de pensar ainda mais nos mecanismos de proteção de dados.
A necessidade de inserir o cidadão no contexto de serviços digitais faz com

que a proteção através da confidencialidade, integridade, disponibilidade,
autenticidade e não repúdio seja cada vez mais cobrada dos detentores dos serviços
e dos dados, que neste caso tem de um lado o governo e do outro os cidadãos.
O alinhamento de tudo isso foi consolidado pela LGPD que trouxe a ideia de um
tratamento de dados com cautela, responsabilidade e com finalidade específica.
A implementação desses conceitos fornece um grau maior de confiabilidade aos
serviços vistos pelo cidadão.

17
Do ponto de vista da gestão pública será necessário implementar políticas de
segurança juntamente com mecanismos de tratamento de dados, pois o objetivo
do decreto e da Administração Pública é oferecer serviços para engajar ainda
mais o cidadão. Entretanto, as bases para que isso ocorra passam por planos de
transformação digital que unificam serviços e canais digitais, que propõem a
interoperabilidade de sistemas e que carecem de mecanismos de segurança e de
privacidade. Veja na imagem os benefícios gerados pela interoperabilidade e pelo
compartilhamento de dados:
Interoperabilidade e compartilhamento de dados.

Fonte: gov.br/conecta.
A atuação do governo federal é pautada pela interoperabilidade

de dados para:
1) simplificar a oferta de serviços públicos, ou seja, melhoria

de políticas públicas;
2) otimizar a manutenção de benefícios sociais e fiscais;
3) qualificar os dados que estão com a Administração Pública

Federal;
4) melhorar as operações internas da Administração Pública

Federal.

18
Pense neste exemplo prático para esclarecer melhor a compreensão.
Imagine que a secretaria acadêmica de um instituto federal ou

de uma universidade resolve oferecer o serviço de matrícula e
rematrícula completamente digital aos alunos e que o sistema
que trata os dados já existe (sistema acadêmico) e já oferece
serviços na Internet.
Então bastaria a instituição disponibilizar o site para que os

alunos fizessem o cadastro e escolhessem as disciplinas a serem
cursadas? Do ponto de vista da solução digital ao cidadão sim,
mas do ponto de vista da Administração Pública, não.
Muitas variáveis precisam ser levadas em conta, mas aqui será separado o que
interessa na implementação da LGPD e que será melhor desenvolvido ao longo de
sua aprendizagem em todas as etapas.
As primeiras perguntas remontam ao plano de segurança dos dados, visto que agora
eles circularão além do ambiente do órgão, e mais, vão “passear” pelo ambiente hostil
da Internet. Qual é o plano de segurança? Quais políticas e princípios precisam ser
mais explorados? Do ponto de vista do tratamento de dados (LGPD), como será esse
planejamento? Quem serão os responsáveis pelos dados e pelo seu tratamento?
Conseguiu perceber que não é tão elementar assim, quanto seria inserir
transformação digital sem pensar muito na segurança do sistema? Agora será
necessário incluir os postulados da LGPD.
Partindo para um plano mais profundo, imagine que esses dados possuem uma relevância
ainda maior, por exemplo, dados de previdência privada, dados relativos à saúde, etc.
Neste contexto, quanto mais sensíveis (dados sensíveis serão especificamente

definidos mais adiante) ou “preciosos” os dados, maior será a responsabilidade no
cuidado, mais elaborada deverá ser a política de segurança, mais atenção com a
confidencialidade, integridade e outras técnicas. O aumento da responsabilidade
com os dados também aumenta a demanda de colaboradores responsáveis pelos
processos e com isso os custos para oferecer o serviço.

19
Dados sensíveis.
Fonte: Freepik. Elaboração: CEPED/UFSC (2022).
É por isso que o planejamento é fundamental. Para realizar um bom planejamento o

melhor caminho é conhecer as teorias e as ferramentas que devem ser empregadas.
Uma observação que deve ser levada em conta é que a LGPD não solicita uma
mudança radical em todos os processos, no banco de dados e na estrutura sistêmica.
Quem decide isso é a política de segurança que deverá ter como base a LGPD.
Portanto, seja para implementar um serviço simples ao cidadão ou um serviço que

utiliza dados mais sensíveis, tenha em mente a necessidade de criar a política de
segurança desse serviço e toda a estrutura que acompanha o processo, para que o
passo lógico seguinte seja apenas ajustar o modelo à LGPD.
Até aqui você já deu um passo importante no conhecimento dos princípios básicos
de segurança e algumas técnicas para sua implementação. Na sequência do curso
será possível conhecer os passos seguintes do processo!
Antes de encerrar esta etapa de estudos, assista a videoaula a seguir que apresenta
mais esclarecimentos sobre a LGPD.
Videoaula: A LGPD e sua Relação com a Transformação

Digital e as Técnicas de Segurança
Você chegou ao fim desta unidade. Caso ainda tenha dúvidas, reveja o conteúdo e
se aprofunde nos temas propostos.

20
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27002:2013:

tecnologia da informação — técnicas de segurança — código de prática para con-
troles de segurança da informação. Rio de Janeiro: ABNT, 2013. Disponível em:
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tec-
nicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-ab-
nt-nbr-iso-iec-270022013-2nbsped-9788507046134.html. Acesso em: 14 jun. 2022.

tecnologia da informação — técnicas de segurança — gestão de riscos de segurança
da informação. Rio de Janeiro: ABNT, 2011. Disponível em: https://intranet.cade.gov.
br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489cc-
d57165e9d2ce51b64c1aaea.pdf. Acesso em: 14 jun. 2022.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de

1988. Brasília, DF: Presidência da República, 1988. Disponível em: http://www.pla-
nalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 13 jun. 2022.
BRASIL. Decreto nº 10332, de 28 de abril de 2020. Institui a Estratégia de Governo

Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades da
administração pública federal direta, autárquica e fundacional e dá outras providên-
cias. Brasília, DF: Presidência da República, 2020. Disponível em: https://www.in.gov.
br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358. Acesso em:
7 abr. 2022.
BRASIL. Governo Federal. Portal gov.br. 2022. Disponível em: https://www.gov.br/

pt-br. Acesso em: 10 jun. 2022.
BRASIL. Lei nº 12527, de 18 de novembro de 2011. Regula o acesso a informações

previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216
da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a
Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de
1991; e dá outras providências. Brasília, DF: Presidência da República, 2011. Dispo-
nível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm.
Acesso em: 13 jun. 2022.
BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados

Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13
jun. 2022.

21
Referências
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.
HIGA, Paulo. Existe um serviço que paga US$ 0,0009 para humanos resolverem
captchas. 2014. Tecnoblog. Disponível em: https://tecnoblog.net/especiais/capt-
cha-trabalho-humano/. Acesso em: 7 dez. 2021.
KABAY, M. E.; BOSWORTH, S. Computer Security Handbook. [Hoboken]: John Wiley

& Sons, 2002.
LAUDON, K. C.; LAUDON, J. P. Sistemas de Informação Gerenciais. São Paulo: Pe-

arson, 2014.
O’BRIEN, J. Sistemas de informação e as decisões gerenciais na era da Internet.

São Paulo: Saraiva, 2011.
https://tecnoblog.net/175702/captcha-trabalho-humano/ STALLINGS, W.; BROWN,

L. Segurança de Computadores: princípios e práticas. São Paulo: GEN LTC, 2013.

22
Unidade 2: Como a LGPD Disciplina o Conceito de Proteção
de Dados?
Ao final desta unidade espera-se que você reconheça como a LGPD define dados.
2.1 Afinal, a LGPD Trata de Dado ou Informação?
Ao analisar o conceito de dado, informação e conhecimento proposto por Laudon

e Laudon (2014) e comparar com o texto da LGPD, perceba que a lei, embora tenha
em seu título a expressão “proteção de dados”, faz mais referência à informação que
a dados. Em alguns pontos nos quais o legislador busca tratar o conteúdo de forma
anônima e sem contexto é que ele mais se aproxima ao conceito de dados.
Veja o que está escrito no Artigo 5º, inciso I, da lei:
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou

identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião
de seu tratamento;
[...]. (BRASIL, 2018).

23
A título de comparação, a Lei de Acesso à Informação (LAI) trouxe definições similares,
porém com a palavra “informação” no lugar de dados, veja o que reza o Artigo 4 e
suas definições (BRASIL, 2011):
Art. 4º Para os efeitos desta Lei, considera-se:
I – informação: dados, processados ou não, que podem ser utilizados para

produção e transmissão de conhecimento, contidos em qualquer meio, suporte
ou formato;
II – documento: unidade de registro de informações, qualquer que seja o suporte

ou formato;
III – informação sigilosa: aquela submetida temporariamente à restrição de acesso

público em razão de sua imprescindibilidade para a segurança da sociedade e
do Estado;
IV – informação pessoal: aquela relacionada à pessoa natural identificada ou

identificável;
V – tratamento da informação: conjunto de ações referentes à produção,

recepção, classificação, utilização, acesso, reprodução, transporte, transmissão,
distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação
ou controle da informação;
[...]. (BRASIL, 20211).
Fazendo uma comparação entre o Artigo 5 da LGPD e o Artigo 4 da LAI, percebe-

se definições parecidas com as palavras dado e informação. Veja que na LGPD a
definição para “dado” pessoal começa com a palavra “informação”. O legislador
faz uma mistura de conceitos na LGPD. Convém notar que, para tratar e proteger
“dados”, pouco importa se a definição está mais próxima de informação do que dado.
O importante é implementar corretamente as técnicas de segurança relacionadas
aos parâmetros descritos na lei.

24
2.2 Os Diversos Tipos de Dados Segundo a LGPD: Pessoal, Sensível e
Anonimizado
Uma vez que a lei traz no seu título a expressão “proteção de dados”, cabe a reflexão
para saber quais são os tipos de dados definidos por ela.
Neste ponto, é interessante que você saiba que o Artigo 5 da legislação é conhecido por
“artigo das definições básicas da LGPD”. Entenda, a seguir, quais são essas definições:
I - dado pessoal: informação relacionada a pessoa natural identificada ou

identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião
de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em

um ou em vários locais, em suporte eletrônico ou físico;
[...]. (BRASIL, 2018).
Com base no referido artigo, constata-se que existem três tipos de dados: o pessoal,
o pessoal sensível e o anonimizado.
Pessoal
Um dado pessoal pode ser o nome, sobrenome, número de telefone, endereço,

remuneração, data de nascimento.

25
Pessoal sensível
Já o dado sensível está muito bem exemplificado no inciso II (BRASIL, 2018). Dado pessoal
sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou
organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Anonimizado
Já a anonimização representa a possibilidade de o dado não ser associado a

nenhuma pessoa. Nesse caso, o dado perde a identidade, mas não perde o valor.
Por exemplo, se o gestor de marketing de um determinado órgão precisa melhorar a
eficácia da campanha do Outubro Rosa, ele vai solicitar ao órgão que possui acesso
ao sistema de saúde quantas mulheres acima de 40 anos realizam mamografia
naquele mês. Perceba que é possível saber “quantas” mulheres realizaram o exame
sem saber “quem” realizou. Portanto, o envio anonimizado dos dados para o gestor
de marketing não identifica os envolvidos.
Portanto, independente de se a letra da lei confunde em alguns momentos os

conceitos de dado e informação, os operadores não poderão deixar de realizar a
devida proteção abordada na lei. Sendo assim, conhecer os tipos de dados e as
técnicas empregadas na proteção passou a ser um dever de todos, principalmente
na gestão pública.
Agora, observe alguns exemplos de dados apresentados nos círculos a seguir.

Analise-os com base nos conceitos de dados pessoais e sensíveis que você aprendeu.
Tipos de Dados.
Fonte: Freepik. Elaboração: CEPED/UFSC (2022).

26
Convém notar que em relação ao universo prático na hora de decidir pela aquisição
de dados, “menos pode ser mais”. Em tempos de LGPD procure coletar a menor
quantidade de dados possível, faça um estudo mais demorado para criar formulários
que realmente estejam ajustados ao propósito da aquisição.
Por exemplo, imagine que um usuário do serviço público vai ser

levado a preencher dados em um formulário em uma repartição
pública. As seguintes perguntas devem ser feitas durante a
elaboração do formulário.
• Qual a finalidade do formulário? Ou seja, qual o propósito

para aquela aquisição de dados? Imagine que o formulário
a ser preenchido para entrar na repartição (formulário de
identificação) não vai precisar dos mesmos dados que um
formulário para cadastrar o usuário em um sistema para utilizar
serviços governamentais.
• Quais dados serão estritamente necessários? Depois de definir a

finalidade será possível listar os dados que serão coletados. Essa
questão representa o núcleo do que estamos tratando aqui (o
“menos é mais”), pois quanto mais dados forem coletados, maior
será a responsabilidade sobre eles. Por isso a pergunta trata
sobre o que é necessário coletar, já que não podem faltar dados
essenciais, mas “sobrar” dados já não é tão interessante, com a
LGPD criando responsabilidades sobre todos os dados coletados.
Neste ponto do curso é inevitável invocar mais uma vez o Decreto 10.332/2020
(BRASIL, 2020) sobre o processo de transformação digital na administração pública.
Esse processo de transformação acompanha uma aquisição intensa de dados e neste
caso reitera-se a importância do planejamento nessa aquisição.

27
No planejamento da aquisição de dados será necessário classificar
os dados pessoais e os dados sensíveis. Porém, se na coleta de
dados o formulário contiver dados sensíveis, aí o padrão de
segurança será maior para todo o processo, uma vez que o dado
sensível vai se misturar aos outros.
Se realmente for necessário coletar os dados sensíveis,

recomenda-se criar dois formulários, ou dois mecanismos de
coleta, um para coletar dados pessoais e outro para coletar dados
pessoais sensíveis.
A LGPD não possui nenhuma recomendação expressa sobre quais técnicas devem
ser utilizadas para o tratamento e a proteção dos dados, a lei apenas ressalta a
importância de garantir a confidencialidade, a integridade e também estabelece as
sanções em caso de vazamento ou desvio de finalidade, por isso as recomendações
de classificar e separar os dados na coleta, bem como realizar a coleta do que for
estritamente necessário.
A anonimização foi um recurso inserido na LGPD para amenizar o risco e permitir o

tratamento dos dados. Embora alguns estudos contestem as técnicas de anonimização,
indicando que diversas delas não são suficientemente boas para impedir o processo
de reversão até o titular, a lei simplesmente define que devem ser utilizados “meios
técnicos e razoáveis” para o tratamento.
Conforme já analisado por você no exemplo do Outubro Rosa, anonimizar permite

trabalhar com os dados, realizar análises estatísticas, transmitir para outras bases,
dentre outros mecanismos necessários para o processo de transformação digital, sem
precisar expor o titular. Uma outra vantagem da anonimização é criar um impacto
menor quando esses dados são acessados indevidamente ou vazados.
Uma recomendação sobre a anonimização é que embora a LGPD tenha colocado

meios técnicos razoáveis sem citar as técnicas, cabe aos gestores a análise da melhor
técnica para os tipos de dados.

28
Lembre-se, dependendo do tratamento e dos dados os níveis
de segurança sempre aumentam, procure técnicas válidas e
consolidadas, e por fim documente tudo, uma vez que no processo
fiscalizatório o que vale é a documentação apresentada.
As principais técnicas de anonimização são:
• supressão de atributos;
• supressão de registros;
• encobrimento de caracteres;
• generalização;
• pseudoanonimização;
• substituição.
A implementação dessas técnicas não é um processo trivial, porém empresas como

Google e Amazon (AWS) já oferecem o serviço de anonimização, caso seja necessário.
Às vezes esse processo precisa ser feito no ambiente interno da administração, neste
caso, convém realizar uma reunião com a equipe de TI para decidir pela melhor
técnica. Mais uma vez vale frisar a informação de que “será necessário documentar
tudo que for decidido e qual técnica foi utilizada”, pois a técnica é importante e a
documentação é a chave para responder ao processo de auditoria e fiscalização.
Na videoaula a seguir, você entenderá um pouco mais sobre os tipos de Dados

existentes. Fique firme e preste atenção!
Videoaula: Tipos de Dados: Pessoal, Sensível e Anonimizado

29
2.3 Outras Definições da LGPD
O Artigo 5 da Lei, além das definições propostas no tópico anterior, também trouxe
outras que serão úteis para a implementação da LGPD (BRASIL, 2018). Veja a seguir:
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em

um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto
de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem

competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que

realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como
canal de comunicação entre o controlador, os titulares dos dados e a Autoridade
Nacional de Proteção de Dados (ANPD);
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se

referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no

momento do tratamento, por meio dos quais um dado perde a possibilidade de
associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o

titular concorda com o tratamento de seus dados pessoais para uma finalidade
determinada;

30
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento,
mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em

banco de dados, independentemente do procedimento empregado;
XV - transferência internacional de dados: transferência de dados pessoais para

país estrangeiro ou organismo internacional do qual o país seja membro;
XVI - uso compartilhado de dados: comunicação, difusão, transferência

internacional, interconexão de dados pessoais ou tratamento compartilhado de
bancos de dados pessoais por órgãos e entidades públicos no cumprimento de
suas competências legais, ou entre esses e entes privados, reciprocamente, com
autorização específica, para uma ou mais modalidades de tratamento permitidas
por esses entes públicos, ou entre entes privados;
XVII - relatório de impacto à proteção de dados pessoais: documentação do

controlador que contém a descrição dos processos de tratamento de dados
pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais,
bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta

ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente
constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua
missão institucional ou em seu objetivo social ou estatutário a pesquisa básica
ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
XIX - autoridade nacional: órgão da administração pública responsável por zelar,

implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
O inciso IV trouxe a definição de banco de dados, que representa um conjunto de dados

armazenados de forma organizada e que possui relações semânticas (ou estruturado).
Lembre-se que o banco de dados que vai armazenar os dados coletados pode
estar em qualquer lugar. Isso porque, com o processo de transformação digital, as
empresas e a Administração Pública passaram a utilizar bancos de dados no ambiente
de nuvem, ou seja, alugam espaços de empresas que trabalham especificamente
em prol de oferecer serviços e cobrar por eles.

31
A nuvem é uma realidade no governo federal, e para evitar incidentes de segurança
e alterações acidentais ou indevidas, surge a necessidade ainda mais evidente de
ter uma política de acesso aos dados, uma identificação e controle de alterações.
Convém que todo contrato com serviços de nuvem seja muito bem documentado
para posterior auditoria da ANPD.
Que tal um exemplo? Se uma empresa ou um órgão público

utiliza armazenamento de dados de diversos titulares em bancos
de dados alugados da Amazon AWS, será necessário estabelecer
quem são os responsáveis por todos os eventos no banco e
como controlar os diversos acessos que os operadores dos
dados possuem. Sem controle, será impossível fiscalizar, realizar
auditoria e até mesmo estabelecer punições.
Tratamento, anonimização e consentimento
Tratamento é qualquer operação realizada nos dados, desde o momento da sua

coleta até o descarte. Toda movimentação que se realiza com os dados pode ser
considerada tratamento, portanto muita atenção ao manipular os dados!
Mesmo que seja apenas para realizar a transmissão de um banco de dados local para
um banco de dados em nuvem esta ação ainda será considerada tratamento. Por isso,
estabeleça um plano, documente e controle o processo para evitar vazamentos e desvios.
Bloqueio e eliminação
O bloqueio é a solicitação para uma pausa temporária no tratamento com todos

os requisitos de proteção e segurança dos dados tratados; por isso que a lei fala
em suspensão temporária do tratamento. A grande recomendação neste ponto
é a comunicação que o encarregado (DPO) precisa manter com o titular. Procure
estabelecer uma política clara e bem documentada para que o titular não tenha
dúvidas e não tenha que ficar enviando diversas solicitações para realizar checagem.
Um outro fator no bloqueio é o banco de dados que deverá receber os dados

bloqueados, visto que, ao bloquear, os dados não poderão ficar na mesma base de
dados que recebe tratamento. Este é um ponto de atenção quanto ao vazamento,
perda, desvio e divulgação, por isso, tenha uma boa política de segurança e um bom
processo para tratar o bloqueio.

32
Já a eliminação representa a exclusão dos dados. Reitera-se aqui a importância de
documentar e deixar claro para o titular e a todos que interessarem que realmente o
procedimento foi executado e os dados não poderão ser recuperados depois de eliminados.
Transferência internacional de dados e uso compartilhado de dados
No processo de transferência internacional de dados, a lei não deixa evidente se

a transferência representa qualquer ação ou apenas a ação para tratamento, por
exemplo, se um órgão público ou uma empresa privada armazena dados em ambiente
de nuvem, isso conta como transferência ou conta apenas se a transferência for
especificamente para fins de tratamento. Pela leitura do item, o entendimento é que
qualquer transferência, seja ela para tratamento ou não, está dentro da definição
proposta pela lei, portanto, se realizar transferência para ambientes de nuvem ou
para empresas fora do Brasil, certifique-se de estabelecer critérios e regras para
cientificar o titular caso seja necessário.
O uso compartilhado significa que os dados até podem continuar na sua base de
dados local, sem realizar a transferência para outro local ou fora do país, mas os dados
serão compartilhados e os interessados poderão utilizá-los (consultar, copiar) para
o tratamento que estiver na finalidade descrita. O item faz uma ressalva importante
que é a necessidade de autorização específica. Portanto, se for compartilhar,
certifique-se que, ao descrever a finalidade, todas as informações estejam dispostas
de forma específica. Ao criar o termo de consentimento ou outra base legal para o
tratamento, deixe muito evidente e avisado ao titular que vai existir um tratamento
de dados compartilhado.
Relatório de impacto à proteção dos dados pessoais
O relatório de impacto é o documento que traz a forma do tratamento dos dados,

quais as regras do tratamento, as principais medidas de segurança, as técnicas que
serão utilizadas e como os mais diversos riscos serão mitigados para garantir devida
proteção. Algumas regras não precisam ser transcritas no relatório de impacto,
principalmente se o controlador for a Administração Pública. Por exemplo, não será
necessário transcrever detalhes do armazenamento ou detalhes de todos os processos,
pois isso pode violar questões de segurança e oferecer mais riscos que benefícios. A
sugestão é ouvir os especialistas na criação da política de gestão de dados.
Órgão de pesquisa e autoridade nacional
A lei tratou de estabelecer o responsável por ser o curador e interpretador da LGPD,

e criou a Agência Nacional de Proteção de Dados Pessoais (ANPD) que também
possui a responsabilidade de zelar, implementar e fiscalizar o cumprimento da lei. A

33
ANPD possui também a função de legislar (dentro dos limites que lhe cabem) sobre
novas interpretações que vierem a surgir.
O melhor exemplo foi a criação de diversos manuais para o tratamento de dados,

principalmente ligados ao setor público. Por fim, o inciso oitavo trouxe o conceito
de órgão de pesquisa, sem deixar claro se seria o IBGE ou outro que inclusive possa
ser criado, mas deixa aberto que existe um órgão com objetivo de recolher, tratar e
tirar informações dos dados.
Que bom que você chegou até aqui. Chegou a hora de testar seus conhecimentos.
Então, acesse o exercício avaliativo que está disponível no ambiente virtual.

34
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO

27002:2013: tecnologia da informação — técnicas de segurança — código de prá-
tica para controles de segurança da informação. Rio de Janeiro: ABNT, 2013.
Disponível em: https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-
-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-se-
gurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.
htmlhttps://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-
-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informa-
ao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html. Acesso em: 14 jun.
2022.

br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489c-
cd57165e9d2ce51b64c1aaea.pdfhttps://intranet.cade.gov.br/folder/files/arqui-
vo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b-
64c1aaea.pdf. Acesso em: 14 jun. 2022.

1988. Brasília, DF: Presidência da República, 1988. Disponível em: http://www.planal-
to.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 13 jun. 2022.

Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades da
administração pública federal direta, autárquica e fundacional e dá outras providên-
cias. Brasília, DF: Presidência da República, 2020. Disponível em: https://www.in.gov.
br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358. Acesso em: 7
abr. 2022.


35
Referências

jun. 2022.
captchas. 2014. Tecnoblog. Disponível em: https://tecnoblog.net/especiais/captcha-
-trabalho-humano/. Acesso em: 7 dez. 2021.

& Sons, 2002.
LAUDON, K. C.; LAUDON, J. P. Sistemas de Informação Gerenciais. São Paulo: Pear-

son, 2014.
O’BRIEN, J. Sistemas de informação e as decisões gerenciais na era da Internet. São

Paulo: Saraiva, 2011.
STALLINGS, W.; BROWN, L. Segurança de Computadores: princípios e práticas.

São Paulo: GEN LTC, 2013.

36
Módulo
2 Mecanismos para implementação

da LGPD
Esta etapa de estudo foi dividida em duas unidades e apresenta as definições que você
precisa conhecer para a implementação da LGPD. A primeira unidade versa sobre
os principais mecanismos e definições para colocar em prática a implementação da
LGPD. Essas definições estão organizadas nos artigos 5º e 6º da lei (BRASIL, 2018) e
trazem conceitos extremamente discutidos pelos estudiosos e necessários para o
trabalho.
Trazem também definições sobre os personagens envolvidos no tratamento de

dados, tais como o titular, o controlador, o operador e o encarregado (DPO) dos
dados. Fala ainda sobre princípios da finalidade, necessidade, adequação, segurança
e outros previstos no artigo 6º (BRASIL, 2018).
Na unidade 2 você vai entender todo o processo de criação de uma Política de

Segurança da Informação (PSI) que é a base para uma boa estrutura de segurança
e, consequentemente, para a LGPD. Vamos continuar?
Unidade 1: Princípios e Definições para Tratamento de Dados

Ao final desta unidade você será capaz de reconhecer os pilares para a implementação da LGPD.
1.1 O Tratamento de Dados e seus Personagens
Com o objetivo de atender corretamente à LGPD, é essencial que você entenda o

conceito de tratamento de dados, visto que o cerne da lei trata desse processo.
Normalmente o ciclo se inicia com o recebimento dos dados, passando pelo seu
tratamento, seguido do armazenamento e do descarte.

37
Ciclo de dados.
Agora é o momento de você entender melhor o funcionamento do ciclo apresentado!

O tratamento de dados começa com quatro personagens fundamentais no
processo, todos descritos no artigo 5 da lei, que são: titular; controlador; operador;
e encarregado, conforme você pôde observar na imagem.
O controlador recebe os dados do titular e toma as decisões de tratamento que são

executadas pelo operador. O controlador e o operador são chamados de agentes de
tratamento, ambos podem nomear o encarregado, que ficará responsável pelo canal
de comunicação entre o titular e a Autoridade Nacional de Proteção de Dados (ANPD).
O encarregado recebe o título de Data Protection Officer – DPO emalgumas

organizações devido à importância que possui no processo.
A figura a seguir ilustra os personagens envolvidos no processo de tratamento e

suas ações conforme definidas pelo artigo 5º da LGPD (BRASIL, 2018).

38
Personagens do tratamento de dados pessoais.
O capítulo VI da LGPD detalha as funções do controlador, operador e encarregado

(arts. 37 ao 41). Depreende-se dos artigos algumas obrigações importantes.
• O controlador e o operador devem manter registro das operações de

tratamento de dados que realizarem.
• A ANPD pode determinar ao controlador a elaboração de relatórios

de impacto à proteção de dados, referentes às suas operações de
tratamento. Aqui é importante notar que se o controlador possui
uma Política de Segurança da Informação (PSI), parte desses dados
já estarão disponíveis lá. Mas a ANPD pode solicitar informações
específicas sobre formas de acesso, salvaguarda, garantia de
integridade e outras técnicas utilizadas.
• O operador realiza o tratamento seguindo única e exclusivamente

as instruções fornecidas pelo controlador. Portanto lembre-se de
elaborar o conjunto de regras ajustado à finalidade do tratamento.
• A ANPD poderá dispor de regras e padrões sobre portabilidade,

sobre livre acesso aos dados e sua segurança, bem como sobre
o tempo de guarda dos registros. Lembre-se que alguns prazos de
guarda também devem obedecer à Lei de Acesso à Informação, Lei
12.527/2011 (BRASIL, 2011), por isso o legislador não fixou prazo para
o tratamento e salvaguarda de dados na LGPD.

39
Sobre o papel do DPO ou encarregado, a lei reservou todo o art. 41 para indicar
suas atribuições:
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados

pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser

divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio
eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e

adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas

a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou

estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre

a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da
necessidade de sua indicação, conforme a natureza e o porte da entidade ou o
volume de operações de tratamento de dados. (BRASIL, 2018).
O encarregado é o elo de comunicação do titular com o controlador, por isso seu papel
e responsabilidades são importantes. A autoridade nacional poderá estabelecer
outras normas a serem seguidas além das apresentadas nos incisos de I a IV.
Ponto importante discutido no § 3º do art. 41 (BRASIL, 2018) é o fato de que a figura

do encarregado poderá ser dispensada conforme a natureza, porte ou volume
de operações de tratamento de dados. Portanto, nem todo tratamento requer
um encarregado, mas todo tratamento precisa de um responsável pelo processo.
Talvez esse alguém não tenha todas as funções do encarregado (DPO) vai precisar
responder e intervir na garantia e proteção dos dados.

40
A operação final é o tratamento de dados, que é definido pelo art. 5-X, como:
X – Tratamento: toda operação realizada com dados pessoais, como as que se

referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração. (BRASIL, 2018).
A figura abaixo ilustra um resumo sobre o que é o processo de tratamento de dados.
Elementos do tratamento de dados.

Uma vez que são conhecidos os personagens do processo de tratamento de dados, o

próximo passo é você entender quais dados serão recebidos e responder à seguinte
pergunta: os dados recebidos são realmente necessários?
A resposta a essa pergunta relaciona-se muito ao fato de que a maioria dos dados
que os controladores recebem não são necessários e, muitas vezes, são sensíveis.

41
Portanto são dados que precisam de uma atenção especial, pois precisam de
segurança, de cuidados contra vazamento e de um processo de anonimização mais
intenso. Portanto, se o dado não é necessário, não faça a coleta. Essa é uma dica
valiosa em tempos de LGPD!
1.2 Finalidade, Adequação e Necessidade
Seguindo com o entendimento do que está previsto na lei, o seu art. 6º informa
que as atividades de tratamento de dados deverão observar a boa-fé e diversos
princípios. Dentre eles destacam-se, neste capítulo, os três seguintes:
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé

e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos,

explícitos e informados ao titular, sem possibilidade de tratamento posterior de
forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas

ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização

de suas finalidades, com abrangência dos dados pertinentes, proporcionais e
não excessivos em relação às finalidades do tratamento de dados; (BRASIL, 2018).
Nesse caso o questionamento gira em torno da finalidade. Qual a finalidade

do tratamento de dados? Reitero a indagação feita anteriormente: os dados são
realmente necessários?
Partindo da premissa de que são necessários, agora é o momento de deixar claro ao

titular quais são os propósitos do tratamento, sob pena de receber sanções previstas
na própria lei.
Relembre o exemplo do gestor de marketing que precisa dos dados de saúde

de diversos pacientes para criar uma campanha efetiva sobre o Outubro Rosa. A

42
finalidade agora já está definida: a campanha. Então volte a se perguntar: quais
dados são realmente necessários?
Muita atenção neste ponto: dados demais também envolvem um trabalho extra
que pode ser desnecessário. Por exemplo, os dados como nome, CPF e RG são
necessários? Será preciso uma foto de cada paciente? Por outro lado, elementos como
idade, sexo e/ou bairro podem ser vitais para entender a adesão e alcance da campanha.
É por essa razão que os incisos II e III fazem uma reflexão sobre “adequação” e
“necessidade”. Ao entender a finalidade, o passo seguinte é adequar o tratamento
de dados ao contexto e limitá-lo ao mínimo para atender a finalidade. Perceba que
trabalhar apenas com idade, sexo e bairro será menos trabalhoso do que tratar e
anonimizar dados “extras”.
Comece fazendo uma listagem de todos os dados que serão adequados para a
finalidade, em seguida faça uma revisão, e se possível reúna a equipe para discutir
se a sua lista realmente faz sentido. Após realizar as filtragens e separar o que será
utilizado, faça o tratamento para adequar o que foi coletado à necessidade proposta.
Verifique se ainda é possível descartar algo.
Análise dos elementos do tratamento de dados.

Portanto, ao repetir o mecanismo, lembre-se de revisar a finalidade para não correr

o risco de consumir recursos adequando o processo de tratamento de dados àquilo
que não é necessário. Ao gestor público convém lembrar que acima da LGPD existe
um princípio constitucional chamado de eficiência, ressalto que ser eficiente é um
dever, não uma opção.

43
O art. 37 da CF/1988 estabelece que “A administração pública
direta e indireta de qualquer dos Poderes da União, dos Estados,
do Distrito Federal e dos Municípios obedecerá aos princípios de
legalidade, impessoalidade, moralidade, publicidade e eficiência
[...]” (BRASIL, 1988).
O princípio da eficiência implementou o modelo de administração

pública gerencial, voltada para um controle de resultados na
atuação estatal, isso significa que os atos da administração
devem ser realizados com a maior qualidade, competência e
eficácia possível em prol da sociedade (OLIVEIRA, 2017).
Para conhecer mais sobre o princípio da eficiência na íntegra,

leia o art. 37 da Constituição Federal de 1988 (disponível aqui).
1.3 Acesso, Qualidade e Transparência
Uma vez superado o entendimento sobre o que são os dados e a finalidade do

tratamento, a lei volta-se para os direitos que os titulares têm de acessar os dados que
estão sendo tratados, acesso que deve ser feito com exatidão, clareza e atualização
para que ele saiba se a finalidade proposta está sendo cumprida.
Por exemplo, se os dados serão para a campanha do Outubro Rosa não podem
ser transferidos para o sindicato da categoria realizar uma promoção de plano de
saúde, já que a norma fala em transparência.

44
Observe o que está escrito no art. 6º, incisos IV, V e VI:
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma
e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância

e atualização dos dados, de acordo com a necessidade e para o cumprimento da
finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e

facilmente acessíveis sobre a realização do tratamento e os respectivos agentes
de tratamento, observados os segredos comercial e industrial;
[...]. (BRASIL, 2018).
Dê bastante atenção para este trecho, pois livre acesso não se confunde com acesso
total ao sistema, da mesma forma que qualidade e transparência não representam
falta de controle no acesso aos dados.
Os agentes de tratamento devem facilitar a consulta, ou seja, o titular poderá

acessar o plano de tratamento que foi desenvolvido pela gestão e entender sua
finalidade. Este é o propósito da qualidade dos dados referida pela Lei, ao consultar
a finalidade do tratamento dos dados, o titular precisa de exatidão e clareza sobre
os procedimentos que serão realizados com o que foi fornecido.
A transparência também possui uma relação estreita com a

qualidade, visto que o titular do dado precisa saber exatamente
o que será feito dos dados fornecidos e quem são os responsáveis
por eles (os personagens), por isso que a Lei elegeu a figura do
Encarregado, que representa a ponte de comunicação entre
o titular e o controlador. Além de fornecer acesso por escrito
sobre a finalidade, o encarregado pode ajudar a dirimir as
dúvidas que surgirem.

45
Portanto, o segredo aqui é realizar um bom planejamento,
com finalidades claras, pois o titular deve entender quem são
os agentes de tratamento, qual a finalidade, quanto tempo os
dados serão utilizados e onde estarão disponíveis, além disso a
integridade dos dados deve ser rigorosamente mantida, essas
ações garantem livre acesso, qualidade e transparência.
Uma dúvida bastante comum neste ponto é “onde” inserir os termos para que o
titular dos dados possa ler e concordar com eles. Se você for seguir os objetivos
da transformação digital propostos pelo Decreto 10.332/2020 (BRASIL, 2020)
então o local ideal será exatamente na página/formulário em que o titular estiver
preenchendo os dados que serão tratados no site.
Talvez você já tenha passado por algum episódio assim recentemente, em que ao
entrar no seu serviço do Google, Facebook, Netflix etc., você foi levado até uma
janela do navegador que solicitava sua anuência às novas políticas de segurança e
tratamento de dados.
Um problema que ocorre nos casos dessas grandes empresas é que a finalidade
apresentada lá na página por elas não é nada fácil de entender. Já na administração
pública esses procedimentos sempre ganham contornos mais expressivos, portanto
cuide de elaborar uma finalidade clara e deixe-a acessível para os usuários do serviço.
1.4 Segurança, Prevenção, Não Discriminação e Responsabilização
Os últimos incisos do artigo 6º tratam sobre a gestão de acesso aos dados.
Uma vez que a relação entre o titular e os agentes de tratamento foram consolidadas
nos incisos anteriores, o próximo passo é garantir a proteção dos dados.
Entende-se como proteção todas as medidas para salvaguardar os princípios

básicos de segurança, tais como confidencialidade, integridade, disponibilidade,
autenticidade e não repúdio.

46
Nestes termos, observe as definições dadas pelo art. 6º, VII, VIII, IX, X.
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os

dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude

do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins

discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção

de medidas eficazes e capazes de comprovar a observância e o cumprimento das
normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
(BRASIL, 2018).
Relembrando o caput do art. 6º que diz: “As atividades de tratamento de dados

pessoais deverão observar a boa-fé e os princípios [...]” (BRASIL, 2018), igualmente
convém lembrar que todas as definições até aqui estão relacionadas às atividades de
tratamento de dados. Assim sendo, a garantia da segurança será através de técnicas
como criptografia, hash, autenticação e outras, devendo ser implementadas para
controlar e proteger o acesso aos dados.
O inciso VII diz ser necessário garantir a segurança, portanto todas as medidas
necessárias para proteger os dados que estão sob sua responsabilidade precisam
ser tomadas. Por exemplo, se for transmitir através de uma rede, o principal aspecto
de segurança relacionado é a confidencialidade, e neste caso a técnica que pode
atendê-lo é a criptografia. Se os dados estão armazenados e a necessidade de
proteção é contra alterações indesejadas (princípio da integridade), então a técnica
que pode ser utilizada é o hash. Se o que precisa ser garantido é a disponibilidade
para acessar sempre que for necessário, então a possível técnica é o backup.
O inciso sétimo termina falando sobre destruição, perda, alteração, comunicação ou

difusão, que são elementos que podem ensejar graves problemas para o controlador.
A destruição, a perda e a alteração estão relacionadas aos elementos de proteção já
tratados, tais como o backup, para a proteção contra perda e destruição, e o hash, para

47
a proteção contra alteração. No processo de comunicação e difusão, a recomendação,
além da criptografia para resguardar o sigilo dos dados, será identificar corretamente
os agentes controladores e responsáveis por acessar e manusear os dados, para uma
possível responsabilização em caso de difusão indevida.
Além de solicitar segurança, o próximo inciso (VIII) insere o termo “prevenção”, que
poderia ser entendido de forma generalizada dentro do inciso anterior ao falar de
segurança. Porém a prevenção nesse caso se refere especificamente ao processo de
tratamento de dados, estabelecendo uma diferenciação. Entende-se que existe uma
garantia no processo de coleta, armazenamento e descarte, e uma outra garantia
específica no processo de tratamento. Por isso a prevenção foi destacada aqui:
adote todas as medidas necessárias para garantir segurança dos dados, além disso,
para fins de fiscalização e formalização, documente tudo que for decidido e feito.
A contribuição do inciso nono mais uma vez refere-se à forma como o tratamento
de dados será feito, ou seja, deve ser feito conforme foi proposto na finalidade,
sem desvios ou abusos. Uma prática abusiva comum é a venda de bases de dados
para empresas, como enviar para um banco os dados dos servidores que já fizeram
empréstimo para que serviços similares sejam oferecidos ao titular. Ao olhar para
o inciso X fica mais clara a necessidade de ter documentadas todas as ações que
serão realizadas no tratamento, pois não basta que o controlador as faça, o titular
precisa poder consultar o que será feito para atender a prestação de contas exigida no
inciso X. O inciso dez termina propondo que o controlador seja capaz de demonstrar
eficácia nas medidas de segurança, por certo, que a ANPD não vai realizar testes para
verificar se realmente os dados estão protegidos e as medidas são eficazes, mas uma
boa Política de Segurança, um controle de processos ajustado juntamente com uma
política de gestão dos dados representa o cumprimento de normas de proteção.
Portanto, faça uma lista das medidas que serão implementadas e pense em um
documento que deve ser apresentado sempre que for solicitado. Além disso, lembre-
se que a ANPD, nas suas fiscalizações de rotina, vai solicitar todos esses documentos.
se aprofunde nos temas propostos. Siga firme nos estudos!

48
Referências


Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades da admi-
nistração pública federal direta, autárquica e fundacional e dá outras providências. Bra-
sília, DF: Presidência da República, 2020. Disponível em: https://www.in.gov.br/en/web/
dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358. Acesso em: 7 abr. 2022.

BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pes-
soais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.
planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 jun. 2022.
OLIVEIRA, Jose Pedro Fernandes Guerra de. O princípio da eficiência na administração pú-
blica. 2017. [Jusbrasil]. Disponível em: https://drpedroo.jusbrasil.com.br/artigos/487523360/o-
-principio-da-eficiencia-na-administracao-publica. Acesso em: 14 jun. 2022.

49
Unidade 2: Elementos para Implementar a Política de
Segurança da Informação (PSI)
Ao final desta unidade você deverá ser capaz de reconhecer a Política de Segurança da
Informação (PSI).
2.1 Análise e Avaliação de Riscos
Qual a base de sustentação para a implementação da LGPD?
1 O primeiro elemento é o conjunto de Princípios Básicos de Segurança da Informação (PBSI).
2 O segundo elemento é a criação de uma Política de Segurança da Informação

(PSI), ou seja, um plano de gestão para os dados.
Embora a segurança e as boas práticas só apareçam no capítulo VII, começando

no art. 46 da LGPD, no cotidiano do cumprimento dessa legislação a política de
segurança é item fundamental.
Tenha atenção ao fato de que a ANPD e todos os órgãos fiscalizadores vão solicitar
documentos para entender como a gestão dos dados é realizada no seu ambiente. O
principal documento que deve existir é uma boa Política de Segurança da Informação,
não esquecendo do plano de tratamento de dados e outros que serão analisados no
decorrer da lei.
Portanto a LGPD precisa estar alicerçada em uma política de segurança, conforme

ilustra a figura.
PSI e LGPD.

50
Como o foco da LGPD é o dado e o tratamento que se faz dele, observe a quantidade
de problemas que pode existir se alguma coisa diferente do tratamento ocorrer:
vazamento, alterações indevidas, desvio de finalidade etc. Por isso a lei trouxe o
“Capítulo VII – Da Segurança e das Boas Práticas” (BRASIL, 2018).
O primeiro passo é entender quais são os riscos envolvidos no tratamento de dados.

Para identificar, analisar e avaliar os riscos é retomada aqui a norma ISO 27005
(ABNT, 2011) que trata exatamente da gestão de riscos.
Para essa norma o “risco está associado com o potencial de que ameaças possam
explorar vulnerabilidades de um ativo de informação ou grupo de ativos de
informação e, consequentemente, causar dano a uma organização” (ABNT, 2011).
Um exemplo é o vazamento de dados: quais os riscos desse evento “indesejado”

acontecer? Por isso a norma mostra a importância de uma abordagem sistemática
na gestão de riscos de segurança da informação.
A figura a seguir demonstra o processo de gestão de riscos trazido pela ISO 27005.
O primeiro elemento é a definição do contexto, o que, no caso do estudo da LGPD,
são os dados e os mecanismos de segurança que o envolvem.
Na sequência será necessário identificar os riscos. Neste caso será necessário definir
bem os cenários, entender quem são os responsáveis pelo tratamento, para que
tudo fique bem planejado. Algumas questões que podem ajudar na reflexão:
• Como será o processo de aquisição e garantia de integridade dos

dados do titular?
• Os dados serão transmitidos do controlador para o operador utilizando

quais técnicas?
• Quem são os personagens responsáveis por cada etapa, da aquisição

ao descarte dos dados?

51
Gestão de riscos da segurança da informação.
Fonte: Associação Brasileira de Normas Técnicas (2011). Elaboração: CEPED/UFSC (2022).
Essas questões são apenas exemplos, faça você mesmo uma lista identificadora
de riscos, visto que o propósito da identificação de riscos é determinar eventos,
a partir das especificidades de cada caso, que possam causar perda e deixar claro
como, onde e por que isso pode acontecer (ASSOCIAÇÃO BRASILEIRA DE NORMAS
TÉCNICAS, 2011).
Após a identificação, a próxima etapa é a análise. Importante lembrar que a LGPD

fala em dados pessoais e dados pessoais sensíveis, então esse é o ativo que deverá
ser observado no contexto presente, porém não é o único ativo do qual pode tratar
uma política de segurança. Como o estudo aqui diz respeito à LGPD, convém deixar
os exemplos associados a ela.
A análise de riscos é feita, primeiramente, de forma qualitativa para identificar os

grandes riscos, em seguida a análise tem uma etapa quantitativa que especifica
esses mesmos riscos.

52
A análise quantitativa poderá identificar vulnerabilidades e possíveis incidentes
de forma mais detalhada (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2011).
Lance um olhar sobre os dados e acompanhe todo o seu trajeto, assim será possível
identificar e analisar os riscos.
Análise feita, é chegada a hora de avaliar os riscos para realizar os possíveis

tratamentos. O Anexo E da ISO 27005 traz uma fonte segura e detalhada sobre
abordagens para o processo de avaliação de riscos de segurança da informação.
Normalmente utiliza-se uma lista com os riscos identificados e um conjunto de
valores (geralmente numéricos) para classificá-los.
Veja novamente a figura anterior! Você notou que existem dois pontos de decisão?
No ponto de decisão 1 existe um questionamento: “avaliação satisfatória”. Faça
uma reflexão muito importante aqui, um debate com a equipe para ter certeza de
que os riscos identificados, analisados e avaliados estão realmente corretos. Se
tiver dúvidas, o diagrama sugere que as ações sejam repetidas desde a definição
do contexto. Porém, se a avaliação é satisfatória, será o momento de seguir para o
tratamento dos riscos.
Esta outra imagem cria uma visão ampliada desse processo entre os pontos de
decisão 1 e 2, chamada de atividade de tratamento de riscos. Observe com atenção!
Atividade de tratamento de risco.

Fonte: Associação Brasileira de Normas Técnicas (2011). Elaboração: CEPED/UFSC (2022).

53
A ISO 27005 lista quatro opções para tratamento de riscos:
• modificar o risco;
• reter o risco;
• evitar o risco;
• compartilhar o risco.
Tome como exemplo o risco de perda de dados: a gestão analisou

e entendeu que a técnica utilizada para tal evento será realizar
o backup em nuvem. Neste caso, a gestão está compartilhando o
risco com outra empresa.
Imagine que a gestão analisou um risco e encontrou fontes

suficientes para entender que a tarefa é arriscada demais ou seu
custo é muito maior que o próprio valor dos dados, ou seja, o
custo-benefício é muito baixo. Neste caso, a gestão pode optar
por excluir a tarefa ou evitar o risco, já que se o processo deixa
de existir, seu risco também deixa.
Quando se trabalha inserindo ou excluindo controles e técnicas para gerenciar o

risco, a gestão está modificando este risco. E quando a gestão entende que o risco
está dentro de um limiar aceitável, ela está retendo o risco, uma vez que o risco
atende aos critérios de aceitação. A descrição detalhada do tratamento encontra-se
fundamentada na ISO 27005 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2011).
Conforme mostrado na figura anterior, depois do tratamento ainda sobram riscos

residuais, porém se esses riscos estiverem abaixo de um limiar que foi definido
pela gestão como aceitável, significa que o tratamento foi satisfatório e os riscos
restantes aceitos.
A norma estabelece que a decisão de aceitação deve ser formalmente registrada,

juntamente com a informação da responsabilidade pela decisão. Por fim, será
necessário monitorar e analisar criticamente todo o processo.

54
2.2 Estrutura e Conteúdo da PSI
Depois de analisar e avaliar os riscos é chegada a hora de criar a política de segurança

da informação (PSI). Para executar esse objetivo será necessário traçar uma lista
com regras e objetivos bem claros, e contar com o apoio da alta gestão.
PSI. Fonte: Freepik (2022).

Além disso, toda PSI precisa de ampla divulgação, do comprometimento de todos e da

publicação de um documento contendo as regras e a aprovação da alta gestão (ABNT, 2013).
Veja abaixo mais detalhes sobre a PSI.
1- O documento da PSI
Segundo a ISO 27002 (ABNT, 2013), o documento que contém a PSI deve ser criado
por um conjunto de especialistas em segurança. A norma dita que se a empresa não
possuir especialistas no seu quadro esse trabalho pode ser terceirizado. Isso, porém,
deve ser aprovado pela direção e conter regras sobre a política definida na análise
e na avaliação de fatores que causam os eventos que podem afetar a segurança. O
documento deve ser publicado e comunicado para todos os colaboradores e partes
externas relevantes.
O documento da PSI.

55
2- Conteúdo da PSI
Na elaboração do documento da PSI alguns pontos fundamentais precisam ser
inseridos e trabalhados. A norma trata os tópicos de forma genérica, porém uma
análise mais detalhada e específica pode ser feita para viabilizar o emprego desses
tópicos dentro de cada local.
O conteúdo da PSI.
Os principais tópicos que convém ser tratados em uma PSI são (ABNT, 2013):
• definição sobre metas globais, escopo e importância da segurança da

informação (SI);
• declaração de apoio e comprometimento da direção;
• quais são os controles e seus objetivos;
• quais são as políticas, os princípios, as normas e os requisitos de

conformidade com a SI específicos para a organização (incluindo
treinamento, conscientização, consequências de violações, contratos
e legislações);
• definição de responsabilidades gerais e específicas na gestão da SI.
3- Duração da PSI
Não existe um tempo de duração padrão para uma política de segurança, visto que
um incidente de segurança é um acontecimento capaz de mudar diversos pontos
da sua estrutura.

56
Duração da PSI.
Se um incidente ocorrer poucos dias depois de aprovada a política, ela deverá ser
revista e alterada, afinal uma PSI é criada exatamente para evitar incidentes, então
se eles ocorrem mesmo assim entende-se que alguma coisa não foi projetada
corretamente na análise/avaliação de riscos.
A norma trouxe alguns pontos que precisam de atenção no aspecto da duração

de uma PSI, tais como (ABNT, 2013): realizar uma análise detalhada e periódica do
documento proposto;
• nomear um gestor que ficará legalmente responsável pela PSI e

poderá compor uma equipe para realizar as análises e avaliações da
política;
• informar ao gestor que vai realizar uma avaliação da PSI, todo evento
de segurança;
• mudanças no cenário organizacional, nas circunstâncias do negócio e

nas condições legais também são itens para reavaliação.
4- Conclusões sobre a PSI

A PSI é um documento contendo todas as regras que serão aplicadas na gestão de
segurança da organização, dado que a continuidade dos negócios e a imagem de
uma organização passam por uma política de segurança bem estruturada.

57
Conclusões sobre a PSI.
Quando devidamente documentada, implementada, apoiada por todos os

colaboradores e, principalmente, pela direção, uma política de segurança
é o mecanismo fundamental para reduzir os incidentes de segurança e,
consequentemente, a implementação da LGPD será balizada por ela.
Toda segurança proposta no tratamento de dados, e por consequência o sucesso na

implementação da LGPD, deve ter ligação com a PSI. As técnicas, os responsáveis, os
procedimentos, a legalidade, tudo passa pelo documento que foi elaborado. É por
essa razão que a PSI é a base da LGPD. Não se esqueça disso!
Normalmente a PSI é um documento solicitado pela ANPD

quando realiza uma fiscalização, pelo judiciário em algum
contencioso ou por um órgão de controle na resposta de um
processo administrativo. Portanto, reitera-se a importância de
ter uma PSI para implementar a LGPD.
2.3 A Transformação Digital e a PSI
A Política de Segurança da Informação (PSI) tratada até agora também é base para
a transformação digital, pois não existe transformação digital sem que exista uma
excelente política de segurança. Em outras palavras, todo o desenho para oferecer
serviços digitais mais rápidos e acessíveis ao cidadão está alicerçado na segurança,
por isso esses assuntos todos possuem uma estreita relação.

58
Nota-se que a LGPD e a transformação digital convergem para a necessidade de uma
PSI. Por essa razão, convém que ao pensar em modificar os serviços para atender
as novas demandas governamentais, transformando um atendimento físico em um
serviço digital, a equipe avance no sentido de criar uma política de segurança que
também atenda a todos os pontos da LGPD.
Nos próximos anos a demanda pela transformação digital dos serviços mais simples
oferecidos pela administração pública será ainda maior, visto que de 2019 a 2021 o
alvo foram os serviços mais complexos, que envolviam um estudo mais profundo.
Transformação digital dos serviços.

Fonte: Brasil (2022).
Neste momento a transformação digital começa a chegar na ponta, naquele

serviço mais trivial, e com ela a necessidade de realizar esse desenho da PSI com os
parâmetros da LGPD.
Mesmo que em uma escala menos complexa, a transformação digital vai chegar e nem
sempre será possível contar com uma equipe de TI para alinhar os processos mais
“simples”. Comece entendendo a finalidade da captação de dados, por onde os dados
vão chegar, quais caminhos vão percorrer, como serão tratados, como será o descarte.
Em seguida crie uma PSI para esse processo. Os bancos possuem uma política de
segurança global, mas existem outras várias políticas diferentes para pequenos
procedimentos, como por exemplo oprotocolo TED/DOC, o envio de malote etc., o
que leva a crer que mesmo um procedimento entendido como “simples” dentro de
uma repartição pública, se possui entrada de dados, também precisa de PSI e LGPD.
Antes de encerrar os estudos desta unidade, assista a videoaula a seguir. Ela

apresenta mais detalhes acerca dos principais personagens do tratamento de dados
da LGPD. Avante!

59
Videoaula: Os Personagens da LGPD e sua Relação entre
a Lei, a Transformação Digital e a Política de Segurança
Bons Estudos!

60
Referências




BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais
(LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.planalto.
gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 jun. 2022.
BRASIL. Governo Federal. Portal gov.br. 2022. Disponível em: https://www.gov.br/

pt-br. Acesso em: 10 jun. 2022.
captchas. 2014. Tecnoblog. Disponível em: https://tecnoblog.net/especiais/capt-
cha-trabalho-humano/. Acesso em: 7 dez. 2021.

61
Referências

& Sons, 2002.
LAUDON, K. C.; LAUDON, J. P. Sistemas de Informação Gerenciais. São Paulo: Pe-

arson, 2014.
O’BRIEN, J. Sistemas de informação e as decisões gerenciais na era da Internet.

São Paulo: Saraiva, 2011.
STALLINGS, W.; BROWN, L. Segurança de Computadores: princípios e práticas. São

Paulo: GEN LTC, 2013.

62
Módulo
3 Implementando a LGPD
Esta etapa de estudos trará ao seu conhecimento um guia de implementação da LGPD.

Para tal, foi dividida em quatro unidades que trabalham primeiro a metodologia de
implementação da análise de processos, que é a comparação entre como estão os
seus processos atualmente e onde eles precisam chegar para se adequarem à lei.
Você também será apresentado(a) a uma trilha de conformidade que permite uma
reflexão sobre como gerir os processos na implementação. Mais adiante verá como
é possível criar um modelo de termo de consentimento, com dicas de como adequar
a sua realidade ao que pede a lei, entendendo os papeis e as responsabilidades
presentes no tratamento de dados e fechando a etapa com uma análise dos locais
de armazenamento de dados.
Unidade 1: Os Processos para a Implementação da LGPD

Ao final desta etapa você deve estar esclarecido sobre os processos para aplicação da
LGPD, identificando o tratamento de dados e a trilha de conformidade.
1.1 Processos para Implementação da LGPD
Uma vez que sua organização já possui os procedimentos de segurança muito

bem fundamentados; os riscos analisados e avaliados; e a política de segurança da
informação bem implementada, significa que os seus pilares da LGPD já estão prontos.

63
Processos para implementação da LGPD.
Elaboração: CEPED/UFSC (2022)
Então agora é o momento de conhecer bem os processos por onde os dados circulam
para realizar a implementação da LGPD.
A lei não possui nenhum impeditivo contra que seja implementada em apenas um
setor, departamento ou organização toda. Essas restrições são limitadas às normas
certificadoras. Assim, dois questionamentos devem ser realizados na implementação,
principalmente ao analisar os processos internos.
• Em que nível de implementação de processos estou em termos de

LGPD?
• Onde preciso chegar?
Se a sua resposta à primeira questão é o ponto zero, ou seja, nada foi implementado
ainda, então se recomenda que você faça uma boa leitura dos artigos de 1 a 6 da lei.
Depois será a hora de analisar processos.
A imagem a seguir ilustra uma organização ou apenas uma parte dela, por exemplo
um departamento, que ainda não possui processos desenhados e adequados à LGPD.
O que pode acontecer neste caso é que cada responsável, ou cada departamento,
aja de forma independente, de acordo com os conhecimentos que possuem, e o
resultado pode ser desastroso.

64
Ponto de implementação da LGPD/resultado desastroso.
Porém, quando a organização estabelece os métodos corretos cria-se uniformidade

na implementação (todo mundo procura falar a mesma língua). Tanto em política
de segurança quanto em relação à LGPD a empresa passa a ficar estruturada, bem
organizada, conforme mostrado na imagem à direita, e o nível de sucesso com
todas as regras passa a ser bem maior. Costuma-se chamar esse grau de sucesso de
confiabilidade ou grau de conformidade.
Ponto de implementação da LGPD/grau de conformidade.

Segundo Laudon e Laudon (2014) os processos dentro de uma organização seguem

um padrão que se divide em entrada, processamento e saída. Ao analisar o elemento
central da LGPD será preciso entender essa cadeia para não ocorrer falhas ou
vazamentos na implementação da lei.
Processo para implementação da LGPD.


65
O exercício inicial neste ponto é para que você entenda como será a entrada de dados
na instituição. Lembre-se de que existe uma pequena diferença entre o controlador e
o operador. Esse também é um ponto importante e precisa de análise: o controlador
e o operador estão em locais distintos? Nesse caso o trânsito de tudo que será
transmitido entre eles também precisa de atenção.
Por onde andam os dados? Quem são os responsáveis legais por eles? São
questionamentos que devem estar respondidos na Política de Segurança da
Informação. Porém nos casos em que a LGPD vai ser implementada em pequenos
departamentos, ou em locais em que há pouco conhecimento sobre política de
segurança, é muito comum que tentem a implementação sem a estrutura base que
é a PSI. Se realmente houver a necessidade saiba que os questionamentos propostos
anteriormente não podem ficar sem respostas.
Neste ponto você pode estar se questionando: “Ah, então é

possível implementar a LGPD sem implementar a PSI?”
Embora essa seja uma questão perigosa, a resposta é sim. Perigosa

pois a PSI é a orientadora dos processos, é o porto seguro que cria
um guia de segurança e estabelece diretrizes para a convergência
digital. Porém, como a administração pública também precisa ser
eficiente (princípio constitucional explícito no art. 37) (BRASIL,
1988), em alguns casos ou para alguns processos pode ser que criar
uma PSI venha a ser um exagero ou um desperdício de tempo,
mão de obra e dinheiro público. Imagine o caso da entrega de
um currículo ou o cadastro de uma pessoa para acesso em uma
repartição. Se os dados que forem adquiridos não são sensíveis e
compreendem apenas um ou dois campos (nome e idade, nome
e RG etc.) pensar em criar uma PSI apenas para incrementar esse
processo pode gerar mais despesas do que se fosse realizada
uma adequação direta à LGPD sem a política, ou mesmo caso se
esperasse acumular alguns processos e depois incluí-los todos na
PSI de uma vez.
Pense numa situação hipotética para ilustrar um processo de entrada e saída de

dados. Imagine um departamento recebendo um currículo. A entrada é a entrega
desse documento. Faça uma reflexão sobre as seguintes questões.

66
• Se a entrega ocorre para um setor ou pessoa específica, para quem é?
• Se o currículo contém dados pessoais, e possivelmente dados

pessoais sensíveis, quem será o responsável pela salvaguarda desse
documento e por quanto tempo?
• O titular desses dados foi informado sobre a política de tratamento

dos dados?
• Vão colocar o currículo no banco de talentos? Por quanto tempo?
• Depois de quanto tempo o documento será descartado?
A lei oferece ao titular o direito de consultar, requerer e solicitar a exclusão dos dados.
Assim sendo, será necessário deixar claro qual a política de tratamento, afinal, se o
titular voltar um ano depois, ele poderá reaver seu currículo? Se nada foi informado
sobre o tratamento, então quem recebeu os dados está irregular perante à LGPD.
A melhor solução será informar a todos que entregarem currículos (titulares dos
dados) que, segundo a política de tratamento de dados da instituição, todo currículo
entregue será descartado (deixe bem específico: serão triturados, queimados etc.)
no prazo de sessenta dias se não for solicitado anteriormente pelo titular.
Informação sobre a política de tratamento de dados.

Refaça essa mesma análise de processos para os seguintes exemplos:
• cadastro de um novo colaborador;
• exclusão de um colaborador;

67
• banco de talentos;
• imagens do Circuito Fechado de TV (CFTV).
Comece treinando com exemplos simples para depois expandir para um sistema
mais complexo, como nos casos de um banco de dados complexos ou sistemas de
gestão. Independente da complexidade, é necessário ter bem claro o caminho que
os dados percorrem e quem são os responsáveis por eles.
1.2 A trilha de Conformidade para Tratamento Adequado de Dados.
A implementação da LGPD acompanha o fluxo de processos da empresa. O

entendimento de como é a entrada, o processamento e a saída dos dados, permite
criar o que se define por trilha de conformidade, que pode ser descrita como uma
cadeia de eventos para adequar os processos à lei. A trilha está representada pelo
infográfico a seguir. Clique sobre cada um dos pontos e conheça melhor os processos.
Trilha de conformidade para implementação da LGPD.

1- Entrada de dados
Se as perguntas movem o mundo, então esse é um ponto importante para que você
faça um brainstorm e coloque questões que devem ser respondidas dentro do ciclo
mostrado na trilha de conformidade.

68
Para cada etapa há um conjunto de perguntas que levam à reflexão sobre como
trabalhar os dados, sendo que esse rol de questões será exemplificativo, podendo
cada gestor acrescentar ou suprimir perguntas de acordo com a complexidade do
processo. Seguem alguns exemplos.
• Quem é o responsável pela coleta dos dados?
• Existe algum mecanismo de garantia de integridade?
• Como o titular será informado do processo?
• Os dados estão protegidos contra vazamento?
• Os dados chegam criptografados?
Algumas observações importantes sobre a entrada de dados recaem sobre os

artigos entre o 7º e o 10 da LGPD, os quais fazem referência sobre o consentimento
expresso do titular e para a finalidade que foi definida inicialmente. Isso significa
que a captura dos dados é precedida por um registro sobre tal fato, e para isso o
controlador vai precisar tomar do titular o consentimento expresso por escrito ou
por meio eletrônico. Porém, no mesmo documento a norma exige que seja colocada
a finalidade dos dados, visto que a mudança de finalidade implica em necessidade
de nova autorização.
Atenção
O documento de autorização contendo a finalidade é motivo de muito
retrabalho. Normalmente ocorre retrabalho pois é comum que o documento
seja criado com pressa e falta de atenção, com sua finalidade ficando fora do
padrão de conformidade. Realize um bom planejamento para deixar clara a
finalidade. A lei alerta que não será admitida finalidade genérica, com descrição
ampla, então se isso acontecer todo o trabalho pode estar comprometido.
2- Controle
Ao receber os dados, a organização precisa nomear um responsável pelo controle,
que deve guiar os dados, aplicar medidas de segurança e realizar a supervisão de
forma ampla. As organizações criaram o papel do Data Protection Officer (DPO),
que a lei descreve como encarregado. O encarregado, ou DPO, é o responsável
pelo controle, além das outras funções que a lei destina a ele. O foco no processo
de controle é entender a entrada, verificar a integridade e conduzir os dados ao
destino correto. Por exemplo, em algumas organizações o controlador e o operador
são entes distintos, neste caso o processo de controle precisa atuar para garantir
proteção no trânsito desses dados.

69
3- Responsabilidade
Responsabilidade seria uma variante do controle. Porém em casos em que a
organização é muito grande e trata diversos tipos de dados, será necessário seguir
o que prega a ISO 27002: estabelecer uma lista de colaboradores que devem
responder pelos diversos processos que foram criados para o tratamento de dados.
A responsabilidade está associada ao processo de forma ampla e global, ou seja, à
garantia que a organização oferece aos titulares de que os dados estarão seguros.
A responsabilidade também é associada a pessoas. Quem são elas? Faça uma lista
com os nomes, cargos, qual a responsabilidade de cada um, quais são os papeis
desempenhados e qual será a punição em caso de descumprimento. Esses são alguns
itens que devem acompanhar o processo de elaboração das responsabilidades.
4- Armazenamento
O processo de garantia de disponibilidade dos dados representa a garantia de
que sempre que necessário estes estarão acessíveis. Para isso será necessário um
plano de armazenamento. As novas orientações dadas pelo tribunal de contas da
união (TCU) sugerem que os dados sejam armazenados em nuvem computacional,
visto que esses ambientes já possuem várias outras garantias associadas. Convém
lembrar que se trata de armazenar os dados que estão em posse do controlador/
operador e não podem ser transferidos para tratamento, pois se a finalidade for
alterada o titular precisa ser informado.
Um ponto importante sobre o armazenamento de dados é a possibilidade de

vazamento. Na política de segurança, ou no plano de tratamento, precisam constar
os responsáveis que deverão controlar o acesso aos dados no servidor.
5- Documentação
A documentação é a descrição sobre os processos de tratamento dos dados, sobre
os responsáveis, sobre os locais de armazenamento, sobre backups e afins. A Política
de Segurança da Informação (PSI) ou o plano de tratamento de dados representam
a documentação sobre os dados que é necessária atualmente.
6- Descarte
Quando o ciclo de operação dos dados se encerra será necessário descartá-
los, porém esse processo precisa de uma atenção especial. O titular precisa ser
informado, de preferência lá no início (processo de captação do dado), qual o prazo
até quando os dados estarão em posse do controlador. Tomando o exemplo do
currículo ou banco de talentos, ao receber o currículo convém informar ao titular
que todos esses documentos ficam disponíveis nos bancos de dados por até 90
dias (prazo fictício criado para este exemplo). Assim o titular saberá que não poderá
solicitar esses dados outra vez depois desse prazo.

70
Uma observação importante diz respeito a outras leis que regem o processo de
eliminação e descarte de dados, como por exemplo a Lei de acesso à informação
(LAI) que pode possuir prazos determinados dependendo de como a informação for
classificada. Portanto é importante estabelecer uma política centrada nos dados que
contenha os princípios da LGPD e também das outras leis e decretos, principalmente
quando se trata de dados do serviço público.
Portanto, para implementar a LGPD recomenda-se que os processos tenham uma

trilha da conformidade de acordo com o que é mostrado na figura anterior e discutido
neste tópico. Criar o termo de consentimento, eleger os responsáveis por cada ação
e preparar os processos são itens fundamentais para o sucesso da implementação.
1.3 O Término do Tratamento de Dados
Utilizando a trilha de conformidade mostrada no infográfico anterior você notou que

a última etapa do processo de tratamento de dados é o encerramento? Ela pode levar
ao descarte, porém convém aprofundar um pouco mais o conhecimento sobre o que
a LGPD fala sobre o término do tratamento de dados.
O artigo 15 é o primeiro que trata sobre o assunto e trouxe o seguinte texto:
Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes

hipóteses:
I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de

ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II - fim do período de tratamento;
III - comunicação do titular, inclusive no exercício de seu direito de revogação

do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o
interesse público; ou
IV - determinação da autoridade nacional, quando houver violação ao disposto

nesta Lei. (BRASIL, 2018).

71
O inciso I
Trata sobre a finalidade: uma vez que a finalidade foi alcançada, ou os dados
deixaram de ser necessários, o tratamento está encerrado.
Suponha que a finalidade de determinados dados é uma campanha para o
Outubro Rosa, logo não faz sentindo continuar tratando os dados depois da
data especificada, exceto se no documento de descrição da finalidade constava a
extensão desse processo. Perceba que mesmo neste caso os dados também não
são mais “necessários”, mas se por algum motivo devem continuar a ser tratados
para compor o resultado de algum estudo, deixe essa informação muito clara no
seu termo.
O inciso II
Aborda o fim do período de tratamento. A LGPD não estabelece um período ou

prazo para a finalização do tratamento, mas convém estabelecer esses prazos no
termo de consentimento que o titular autoriza, uma vez que, enquanto estiver
dentro do prazo, o titular pode requerer os dados. Se o prazo é muito longo, implica
em muitas responsabilidades no armazenamento, salvaguarda entre outros. Neste
caso há custos para manter elementos que podem não ser necessários. Portanto
crie finalidades que sejam factíveis, principalmente com relação aos prazos que os
dados deverão ser mantidos sob guarda da organização.
Os incisos III e IV
Referem-se à vontade externa, ou seja, o titular comunica que não quer que haja
mais nenhum tratamento dos seus dados ou a ANPD comunica que o tratamento
não pode mais ser realizado. Neste caso o ponto importante a ser estruturado é a
documentação sobre as ações que serão interrompidas. Documente as ações, além
de descartar os dados ou devolvê-los ao titular, e deixe tudo muito bem registrado,
pois este é um ponto de falha e de descuido comum nos processos da LGPD. Se
existe um termo de consentimento que o titular assina para fornecer os dados, deve
existir também um termo que ele assina quando exige a interrupção do tratamento.
O art. 16 fala sobre a eliminação (descarte) dos dados após o término do tratamento.
O texto do artigo e seus incisos dizem:

72
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento,
no âmbito e nos limites técnicos das atividades, autorizada a conservação para
as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização

dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento

de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que
anonimizados os dados. (BRASIL, 2018).
Como já descrito, a LGPD não fixou um prazo mínimo ou máximo para o tratamento,
porém o art. 16 chama a atenção para a manutenção dos dados após o término do
tratamento, desde que seja para cumprimento de obrigação legal ou regulatória,
estudo por órgão de pesquisa, transferência a terceiros ou uso exclusivo do
controlador.
Volte sua atenção para os incisos demonstrados agora! Os incisos III e IV carecem de
mais esclarecimentos, visto que ora falam que a transferência a terceiros é possível
e em seguida trazem uma vedação ao acesso por terceiro. Depreende-se do inciso III
que a transferência a terceiros será possível se corretamente descrita na finalidade
e autorizada pelo titular. Porém, no inciso IV, se o controlador alega que os dados
continuarão em seu domínio para uso exclusivo, então não faz sentido esse possível
compartilhamento.
Outro ponto importante é a anonimização. No inciso II o processo de anonimização

foi relativizado (sempre que possível), porém no inciso IV ele é obrigatório. Existem
muitas técnicas de anonimização e muito se discute sobre a validade (eficiência das
técnicas) delas, visto que muitas publicações mostraram que é possível reverter
dados anonimizados. A recomendação é procurar as técnicas que pareçam
adequadas, deixar registrado nos documentos quais são as técnicas escolhidas,
quais seus princípios e acompanhar até quando elas funcionam.

73
Referências




BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pes-
soais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.
planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 jun. 2022.
LAUDON, K. C.; LAUDON, J. P. Sistemas de Informação Gerenciais. São Paulo: Pearson, 2014.

74
Unidade 2: Base Legal para o Tratamento de Dados
Ao final desta unidade o aluno deverá ser capaz de reconhecer os principais elementos
do termo de consentimento e outras bases legais para o tratamento de dados.
2.1 Quais as Bases Legais para o Tratamento de Dados?
O termo de consentimento é o aceite que o titular dos dados fornece ao controlador

para que seus dados pessoais (e possivelmente também os pessoais sensíveis) possam
ser tratados.
De acordo com o que regulamenta o Art. 7º da LGPD, o consentimento não é a única

forma de tratar dados. Os incisos de II até X levantam outras hipóteses de tratamento
sem consentimento, por exemplo, para o cumprimento de obrigação legal (Art. 7º – II),
para a execução de políticas públicas pela administração pública (Art. 7º – III) etc.
A discussão sobre forma de uso do termo de consentimento vem sendo modificada

nos anos seguintes à publicação da lei, uma vez que o termo de consentimento da
forma como foi proposta no Art. 7 pode funcionar para empresas privadas, mas na
Administração Pública a estrutura ainda contém uma certa burocracia e o termo
de consentimento pode ser um grande entrave na forma como está descrito na lei.
Nesse sentido, a ANPD publicou o guia orientativo intitulado “Tratamento de Dados
Pessoais pelo Poder Público” (ANPD, 2022) que versa sobre alternativas ao termo de
consentimento na Administração Pública.
Este é um momento importante do seu curso, pois se você é da Administração Pública

(federal, estadual ou municipal), convém que você conheça as alternativas propostas
pela ANPD para o termo de consentimento, lembrando que aqui não é uma fuga
aos preceitos da LGPD, mas uma alternativa legal para tornar viável o tratamento de
dados.
Segundo o princípio constitucional da legalidade (Art. 37 da Constituição Federal),

ao servidor público só será permitido executar o que determina a lei; e no direito
administrativo brasileiro existe a figura regulamentadora dos decretos e portarias. O
que se busca saber é se no seu órgão (estadual ou municipal) existe alguma alternativa
(seja um parecer da procuradoria jurídica, um decreto, instrução normativa) que
descreva alternativas ao termo de consentimento. Se não houver, recomenda-se
que o guia orientativo da ANPD seja invocado, já que ele está sendo empregado na
Administração Pública federal.

75
Segundo o guia orientativo da ANPD (ANPD, 2022) e o Art. 7 da LGPD, as bases legais
que a administração pública poderá invocar para suprir o termo de consentimento,
alinhado à uma explicação clara e não genérica da finalidade serão:
• Consentimento de obrigação legal ou regulatória;
• Legítimo interesse;
• Execução de políticas públicas previstas em leis e regulamentos ou

respaldadas em contratos, convênios ou instrumentos congêneres.
Uma importante observação é o fato de a LGPD ter elegido a ANPD como titular
da interpretação da lei, ou seja, a ANPD possui competência originária sobre casos
omissos ou interpretações que derivem da lei sobre proteção de dados. Assim, todo
parecer acerca de elementos da lei deve ter respaldo em outra lei ou em pareceres
da própria ANPD. Por isso, o guia orientativo e outros manuais são citados para que,
em caso de dúvida, eles sejam corretamente invocados no caso concreto. Veja as
publicações da ANPD disponíveis no gov.br (veja aqui).
Mas o que diz o guia orientativo sobre as alternativas ao termo de

consentimento?
Primeiramente, o guia faz uma ressalva dizendo que, no contexto da Administração

Pública, o consentimento pode não ser a principal base legal para o tratamento
de dados, fundamentalmente quando o tratamento precisa ser realizado para a
execução das obrigações legais (ou função típica do órgão). Nota-se, nesse caso,
que o termo de consentimento criaria muitas barreiras na condução do processo de
entrada e tratamento de dados.
Que tal alguns exemplos para você compreender melhor esse contexto?
Consentimento de obrigação legal ou regulatória
Imagine que uma universidade inicie o processo de matrícula de ingressantes de

forma digital, por meio de preenchimento de um formulário via Internet. Para isso,
a universidade cria um sistema de cadastros para coletar os dados dos interessados
na matrícula para, posteriormente, validar presencialmente a documentação que
será apresentada. No preenchimento do formulário, a universidade poderá solicitar
os dados necessários para a matrícula, como dados não sensíveis. Neste caso, a
universidade possui a prerrogativa legal de captação desses dados e poderá invocar
o interesse legítimo e o cumprimento de obrigação legal sem a necessidade de criar
um termo de consentimento para cada aluno. Mesmo assim, nesse tipo de caso,
o que se usa de praxe é uma forma rápida de confirmação (através de um check

76
box dentro da página, por exemplo) onde o titular dos dados é informado sobre a
finalidade do tratamento dos dados (sendo clara e específica) e aceita o tratamento
sem causar maiores barreiras. Do ponto de vista do direito civil, essa confirmação
“compulsória” na qual o aluno é obrigado a aceitar para entregar os dados sob pena
de não ter sua matrícula efetivada é chamada de “contrato de adesão”.
Reitera-se que a confirmação por parte do usuário dentro do site, no caso do

exemplo supracitado, é apenas uma praxe, pois se os dados são necessários para o
cumprimento da obrigação legal (no caso a matrícula), essa confirmação poderá ser
suprimida, não dependendo da confirmação do estudante para o recebimento dos
dados e seu respectivo tratamento.
Contrato de adesão.
Muito cuidado com os exageros; por exemplo, se no termo de matrícula existisse um

campo para o estudante inserir o e-mail e/ou telefone e no formulário de cadastro
estivesse escrito que “a universidade poderá enviar informações promocionais,
eventos da universidade, propagandas, transferir os e-mails e telefones para o
grêmio/centro acadêmico etc.” nesse caso, o termo de consentimento deverá ser
utilizado, visto que existe um outro interesse além da obrigação legal da universidade.
Isso representa uma finalidade genérica, não específica, portanto, nula do ponto de
vista da LGPD. Mesmo que a universidade invoque outra base legal (obrigação legal
ou o interesse legítimo), ela não poderá fazer. Nesse caso, o termo de consentimento
deverá ser utilizado e um ajuste na finalidade deverá ser feito, pois a função típica
do órgão foi ampliada.
Conforme pode ser observado no Guia (ANPD, 2022), a Administração Pública pode
substituir o termo de consentimento por outras bases legais para o tratamento de
dados pessoais. Neste caso, a recomendação é que o gestor faça a indicação de

77
qual base legal será utilizada para a coleta e tratamento dos dados em questão. Ao
realizar a troca do termo de consentimento, o recomendável é indicar que os dados
estão sendo coletados obedecendo todos os preceitos da LGPD e que a base legal
para a coleta e tratamento é o cumprimento de uma obrigação legal (se este for o
seu caso) ou outro exemplo.
Interesse Legítimo
Segundo preconiza o Guia da ANPD e o Art. 7, IX da LGPD, para invocar interesse

legítimo, a Administração Pública não poderá fazer para o tratamento de dados
sensíveis, exceto se prevalecerem direitos e liberdades fundamentais do titular que
exijam proteção dos dados. Nos outros casos, cabe uma cautela e uma análise antes
de utilizar como fundamento a base legal do interesse legítimo. O interesse legítimo
só pode ser invocado pela Administração Pública, visto que no direito administrativo
brasileiro o interesse público se sobressai sobre o privado, diferente do que acontece
no direito privado que as vontades devem ser equivalentes.
Nesse contexto, um administrador público poderá substituir o termo de

consentimento pelo simples fato de que a administração precisa tratar os dados
em prol do interesse legítimo, mas na relação entre o titular e uma empresa privada
isso não pode acontecer.
Trazer à baila o legítimo interesse em substituição ao termo de consentimento ainda

não é algo completamente pacificado, nem mesmo pela ANPD. Veja a seguir um
exemplo para compreender melhor uma forma de realizar o tratamento baseado
no interesse legítimo.
Imagine o instituto de previdência de uma prefeitura (IPREM) que

precisa tratar os dados (não sensíveis) de todos os seus servidores
e seus dependentes a fim de garantir a segurança da informação
do órgão. Se esse tratamento dependesse da anuência de cada
titular dos dados através do termo de consentimento, esse
processo seria demasiadamente moroso e muito arriscado do
ponto de vista da segurança dos dados. Neste caso, utilizando
uma finalidade clara e específica, o gestor poderia realizar o
tratamento dos dados para garantir a segurança (finalidade do
tratamento) sem precisar do termo de consentimento.

78
Atenção, no exemplo anterior, se você pertencer a uma empresa privada, será
necessário prever esse tratamento no momento da coleta dos dados e usar o termo de
consentimento como reza a LGPD. Assim, quando a equipe de TI projetar a Política de
Segurança da Informação (PSI) da empresa, eles deverão inserir a finalidade específica
de tratamento de dados para a gestão de segurança, criar o termo de consentimento
com essa finalidade juntamente com as outras especificações de tratamento.
Por exemplo, uma empresa privada possui o cadastro dos colaboradores e seus
dependentes. Então, na coleta dos dados a empresa deverá solicitar a autorização
de tratamento (termo de consentimento) para a gestão de segurança de dados
juntamente com as outras autorizações (pode se fazer constar em um único termo as
finalidades), não podendo invocar o interesse legítimo para realizar esse tratamento
a qualquer tempo. No caso em questão, dados sensíveis também serão tratados,
pois utiliza-se o termo de consentimento e não o interesse legítimo.
Execução de políticas públicas
No uso de suas atribuições legais, a Administração Pública (em todas as esferas

e poderes) pode realizar o tratamento e uso compartilhado de dados (inclusive
sensíveis) necessários à execução de políticas públicas (LGPD, Art. 7, III) (ANPD,
2022). Para usar essa base legal em substituição ao termo de consentimento, a
política pública deverá ser baseada em leis, regulamentos, convênios, contratos
ou instrumentos congêneres que configure a existência de uma política pública. A
LGPD e a ANPD não definem claramente a estrutura de uma política pública, porém
definem que, para utilizar essa base legal, a “política pública” precisa derivar dos
termos já citados: lei, regulamento, convênio, contratos ou instrumentos congêneres.
Relembrando o exemplo da campanha governamental do Outubro Rosa, se a

campanha foi estabelecida através de uma norma infralegal, que consta dos termos
da política pública (objetivos, prazo, competências, responsáveis etc.), todos os dados
recolhidos pelo Ministério da Saúde (supondo ser ele o responsável pela coleta)
poderão ser tratados e ainda compartilhados com outros órgãos sem o respectivo
termo de consentimento, utilizando a base legal da execução de políticas públicas.
A observação importante é que nenhuma base legal poderá ser

invocada, inclusive a de políticas públicas, sem que a finalidade
seja exatamente aquela que foi projetada. Qualquer desvio ou
tratamento fora do objetivo traçado pela política necessita do
termo de consentimento.

79
Por exemplo, se o Ministério resolver enviar os dados das pacientes para uma
empresa, de modo que a empresa envie brindes ou notificações de outros tipos de
exames a todas as participantes da campanha, o Ministério não poderá fazer sem o
termo de consentimento e sem explicar a finalidade específica.
A figura a seguir mostra um resumo das bases legais que poderão ser utilizadas para o
tratamento de dados pessoais, lembrando que a Administração Pública poderá utilizar-
se de todos eles e as empresas privadas só poderão utilizar o termo de consentimento.
Base Legal para recebimento de dados do titular.

Fonte: ANPD (2022). Elaboração: CEPED/UFSC (2022).
Nestes termos, prezado servidor público, busque entender qual o mecanismo

será o mais adequado para a situação que você tenha que implementar a LGDP.
Se o termo de consentimento não gerar entraves no seu processo, ele poderá
ser utilizado tranquilamente, mas se isso for uma grande barreira, mude a base
legal, informe qual base legal será utilizada para o tratamento de dados e realize a
discricionariedade do ato.
Termo de Consentimento
O termo de consentimento habita o coração da LGPD, visto que para todo tratamento
de dados do mundo privado ele deverá ser utilizado. Já na Administração Pública ele
poderá ser utilizado ou substituído, conforme já estudado. Como no caso concreto
às vezes o termo de consentimento é muito simples de ser criado e utilizado,
convém conhecer sua estrutura e elementos associados para regular sua utilização
em qualquer esfera, seja pública ou privada.

80
Antes de descrever o termo, convém observar os preceitos do Art. 7-X, § 4, que descreve
que se o titular tornar os dados públicos (por exemplo, tenha postado em redes sociais
ou outros meios), o consentimento não será necessário, porém os direitos do titular
não podem ser modificados. Assim, se o titular quiser pedir para retirar os dados,
mesmo sendo públicos, ele poderá fazê-lo. Da mesma forma, o tratamento dos dados
públicos só poderá ocorrer para finalidades legítimas e em boa fé.
Termo de consentimento de dados para redes sociais.

Por exemplo, se uma prefeitura precisa realizar uma campanha para entender
a quantidade e o padrão de pessoas (homem, mulher, faixa etária) que acessa
determinado ponto turístico da cidade e, para isso, realiza uma coleta de dados em
uma determinada rede social (check-ins, posts, comentários) referente ao ponto
turístico da cidade, ela poderá fazer sem o consentimento dos titulares, uma vez
que os dados são públicos, porém não poderá tratar ou transferir esses dados para
finalidade adversa que não seja a proposta inicial (Art. 7-X, §§ 3, 4, 6).
Atenção especial a isso está presente nos parágrafos 5, 6 e 7, que reiteram sobre a
mudança de finalidade, portanto se o controlador precisa compartilhar os dados com
terceiros ou destiná-lo a nova finalidade, será necessária uma nova comunicação para
obter um consentimento específico. Portanto estude bem a finalidade (não pode ser
genérica nem muito abrangente) para não ter muitos retrabalhos depois.
O art. 8º também faz importantes observações sobre o conteúdo e forma do termo de

consentimento, conforme segue:

81
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido
por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de

cláusula destacada das demais cláusulas contratuais.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em

conformidade com o disposto nesta Lei.
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.

§ 4º O consentimento deverá referir-se a finalidades determinadas, e as
autorizações genéricas para o tratamento de dados pessoais serão nulas.
§ 5º O consentimento pode ser revogado a qualquer momento mediante

manifestação expressa do titular, por procedimento gratuito e facilitado,
ratificados os tratamentos realizados sob amparo do consentimento
anteriormente manifestado enquanto não houver requerimento de eliminação,
nos termos do inciso VI do caput do art. 18 desta Lei.
§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art.

9º desta Lei, o controlador deverá informar ao titular, com destaque de forma
específica do teor das alterações, podendo o titular, nos casos em que o seu
consentimento é exigido, revogá-lo caso discorde da alteração. (BRASIL, 2018).
Da leitura do art. 8º depreende-se que o termo de consentimento poderá ser oferecido

por escrito ou através de um sistema, opção muito comum quando o titular está
preenchendo um formulário em um sistema web com dados pessoais. A ressalva é que o
ônus da prova sobre a correta observação do termo de consentimento é do controlador.
Outro ponto bastante discutido são os termos de consentimento genéricos com

linguagens rebuscadas e abrangentes, o que a lei chamou de vício de consentimento.
Isso implica dizer que essa ação precisa ser a mais clara possível para o titular.
Mesmo assim o titular terá o direito de revogá-la a qualquer tempo.
O termo de consentimento não precisa ser um livro, um tratado jurídico ou um

manual, porém precisa ter clareza de objetivos (finalidade). O titular (qualquer que
seja) precisa ler e conseguir entender o que será feito com os dados que estão sendo
depositados para o tratamento.

82
Termo de consentimento claro e objetivo?
O art. 9º traz mais detalhes sobre o termo, tais como forma e duração do tratamento,
identificação do controlador, qual o contato com o controlador (ou encarregado)
caso o titular queira efetuar a revogação e quais são os caminhos para esta ação.
É necessário ainda informar se os dados serão compartilhados e as respectivas
responsabilidades de quem realiza o tratamento.
Os arts. 17 e 18 tratam dos direitos do titular, de acesso aos dados, anonimização,

bloqueio ou eliminação de dados desnecessários (ocorre muito com números de
telefone, os titulares sempre pedem para remover esse dado) e dados excessivos ou
tratados em desconformidade.
O art. 18, especialmente os §§ 1º ao 4º tratam da implicação de o controlador não

conseguir fornecer as informações sobre o tratamento de dados, o que pode se dar
em dois contextos diferentes. O primeiro é quando não é o agente de tratamento de
dados (operador), caso em que deve, por obrigação da lei, indicar quem é o agente
de tratamento. No segundo, quando for o agente de tratamento de dados, deverá
explicar quais razões o impedem de tomar alguma providência imediata solicitada
pelo titular, relacionada ao tratamento.
Imagine que o titular solicite a imediata retirada de todos os

seus dados da base dados, é possível que esse procedimento não
possa ser realizado apenas com uma simples busca nas tabelas
dos bancos de dados seguida de um comando de exclusão. A
recomendação é que além de excluir, todo um mecanismo de
registro e controle sobre esse ato de exclusão seja registrado,
uma vez que o ônus da prova fica a cargo do controlador.

83
Da leitura e entendimento do termo de consentimento, foi possível perceber que ele
pode gerar muitos problemas para o correto tratamento de dados, uma vez que o
titular dos dados poderá fazer requisições (por exemplo, vários usuários solicitando
a exclusão dos dados a todo tempo), o que travaria ou demandaria um quantitativo
muito grande de servidores para atender essas demandas. Por essa razão que a
ANPD permitiu que a Administração Pública utilizasse outras bases legais e assim
exercer de forma contrabalanceada o interesse da administração sobre a população,
sempre de forma legítima.
Agora, assista a videoaula a seguir, na qual você irá compreender um pouco mais
sobre o tratamento de dados na Administração Pública e a relação com as outras
bases legais da LGPD, além do termo de consentimento!
Videoaula: Bases Legais de Implementação da LGPD
2.2 Exemplo de Termo de Consentimento.
Como o termo de consentimento é um elemento obrigatório, algumas questões

precisam ser levantadas para que ele possa ser construído. Os pilares básicos do
termo de consentimento são:
• o titular;
• o controlador;
• o operador; e
• a finalidade.
Comece identificando claramente o titular. De preferência ele deverá inserir alguns

dados básicos, tais como nome, endereço, data de nascimento, RG e outros que
forem necessários. Em seguida, transcreva os dados do controlador e se os dados
forem compartilhados também transcreva os dados do operador, ou explicite que os
dados serão enviados a um operador. Na sequência, coloque a finalidade de forma
clara, objetiva e específica. Outras informações, tais como tempo de tratamento e
armazenamento dos dados, medidas de segurança e os contatos dos responsáveis
também devem constar.

84
Um exemplo do termo pode ser observado a seguir. Todos os exemplos são
meramente ilustrativos, ok?
1- Termo de consentimento para tratamento de dados pessoais
[Dados da Unidade/Órgão]
[Endereço da Unidade/Órgão]
[Contatos: Telefone e E-mail]
Este documento visa registrar a livre manifestação pela qual o Titular dos dados aqui
inseridos concorda com o tratamento, pelo controlador e o respectivo operador,
para a finalidade específica de acordo com os termos da Lei 13.709 – Lei Geral de
Proteção de Dados Pessoais (LGPD).
Através do presente instrumento, eu [nome completo do titular], inscrito no

[Documento a ser coletado CPF/RG/MATRÍCULA], autorizo a Instituição [Nome da
Instituição Controladora], inscrita no CNPJ [número], a tratar meus dados pessoais e
dados pessoais sensíveis que foram coletados por meio deste canal de acordo com
o artigo 5º da LGPD.
Dados Pessoais
• Nome completo
• Nome social
• Número e imagem do RG
• CPF
• Matrícula
• Sexo
• Data de nascimento
• Estado civil
• Endereço completo
• Nível de Escolaridade
• Número de telefone e Whatsapp

85
• Endereço de e-mail
• Raça
• Cor
• Imagem
• Imagem, áudio e vídeo através de CFTV
2- Finalidade do tratamento de dados
• Permitir que o controlador entre em contato com o titular para

contatos comerciais.
• Permitir que o controlador entre em contato com o titular para

contatos funcionais.
• Permitir que o controlador armazene a imagem e vídeo do titular por

meio do CFTV.
• Permitir que o controlador emita relatórios para fins de pesquisa de

mercado.
• Permitir que o controlador utilize os dados para elaboração de políticas

públicas.
3- Compartilhamento de dados
O controlador fica autorizado a compartilhar os dados pessoais do titular com o

operador [transcrever o nome do operador se possuir] para o tratamento de dados
obedecendo as mesmas finalidades descritas neste termo.
4- Gestão da Segurança dos Dados
O controlador se compromete a aplicar gestão e segurança de dados de acordo

com o Capítulo VII, arts. 46 a 51 da LGPD, neste processo compreendem as técnicas
de proteção contra integridade, disponibilidade, autenticidade, confidencialidade.
Além de aplicar, quando necessário, técnicas de anonimização.
O controlador também se compromete a avisar imediatamente o Titular e a

Autoridade Nacional de Proteção de Dados (ANPD) em caso de vazamento de dados
ou qualquer outro incidente de segurança que possa causar dano ou expor o Titular.

86
5- Direitos do Titular
O titular possui o direito de obter do Controlador todas as informações sobre seus dados
e os tratamentos aplicados mediante requisição por e-mail [ou outro canal escolhido],
bem como dados sobre os dados que podem ser transferidos para o operador.
O titular possui o direito de revogar esse termo, em qualquer momento, sem ônus,
mediante solicitação expressa via e-mail ou outro canal escolhido. OBS: Evite as
revogações por via oral, pela simples falta de registro.
O titular poderá entrar em contato para sanar dúvidas sobre a finalidade do tratamento
e outras dúvidas referentes aos seus dados no canal [e-mail/telefone] e o tempo de
resposta será de 15 dias [não é preciso estipular o número de dias, porém, seguindo
a lei de processo administrativo e normas do TCU convém inserir o prazo].
6- Término do Tratamento de Dados
O controlador poderá manter os dados por [30 dias] [ou o prazo estipulado
dependendo do tipo de dado, desde que não desobedeça à Lei de Acesso à
Informação (12527/2011)] após o término do tratamento, ou, sendo pertinente, o
controlador poderá manter os dados por prazo superior ao estipulado resguardando
todos os direitos previstos da LGPD.
Caso o titular queira a eliminação dos dados não anonimizados [essa ressalva
é importante, visto que, em tese, uma vez anonimizados não há mais como
estabelecer a relação do titular com o dado] antes do prazo estipulado ele poderá
requerer expressamente por e-mail.
[fim do documento, local e data]
O texto apresentado é um exemplo que pode ser seguido de termo de consentimento,

porém é possível simplificar ou melhorar o seu conteúdo segundo sua conveniência.
Lembrando que o ponto mais importante a ser observado é que a finalidade atenda
os propósitos que foram descritos. Faça uma discussão com a sua gestão, verifique
qual a finalidade e transcreva para o usuário dar o aceite, com isso evita-se problemas
no processo fiscalizatório.
se aprofunde nos temas propostos. Bons estudos!

87
Referências
AGENCIA NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS (ANPD). Guia Orientativo:

Tratamento de Dados Pessoais pelo Poder Público. Versão 01, 2022. Disponível
em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-
-anpd-versao-final.pdf. Acesso em: 4 out. 2022.





jun. 2022.

88
Unidade 3: Tratamento de Dados pelo Poder Público
Ao final desta unidade você deverá ser capaz de identificar os personagens envolvidos no
tratamento de dados pelo poder público.
3.1 Quem Realiza o Tratamento de Dados no Serviço Público?
O tratamento de dados pelo poder público representa um capítulo especial da Lei

Geral de Proteção de Dados (BRASIL, 2018, capítulo IV; arts. 23-32), que alcança
toda a administração pública (União, Estados e Municípios), incluindo administração
direta, indireta, cortes de contas, Ministério Público e serviços notariais e de registro
(BRASIL, 2018, art. 23).
As empresas públicas e as sociedades de economia mista que atuam em regime de

concorrência terão o mesmo tratamento dispensado às pessoas jurídicas de direito
privado (BRASIL, 2018, art. 24), exceto quando estiverem operacionalizando políticas
públicas e no âmbito da execução delas, caso em que o tratamento é o mesmo dado
aos órgãos de direito público.
O tratamento tem como objetivo a finalidade pública, a busca

do interesse público e a necessidade de executar as atribuições
legais do serviço público, com as exigências de que realizem o
tratamento fornecendo informações claras e atualizadas em seus
respectivos sítios eletrônicos sobre a previsão legal, a finalidade, os
procedimentos e as práticas utilizadas para a execução da atividade.
Ao analisar o art. 23, você perceberá que as regras aplicadas ao tratamento de

dados anteriormente estudadas na LGPD também se aplicam ao setor público. Por
exemplo, a indicação do controlador, do operador, do encarregado, da finalidade e do
termo de consentimento, com a ressalva para os prazos e procedimentos que foram
direcionados pela LGPD à legislação específica: Lei 9.507/97 (Lei do Habeas Data), Lei
9.784/99 (Lei do Processo Administrativo) e Lei 12.527/11 (Lei de Acesso à Informação).

89
Mesmo direcionando para as Leis supramencionadas, a LGPD não define claramente
como é a aplicação, visto que não foi especificada a ordem de aplicação ou quais
elementos específicos (prazos e procedimentos) de cada lei deverão ser aplicados.
No caso de prazos ou procedimentos diferentes, qual aplicar? Neste caso, importa
saber quais leis serão subsidiariamente utilizadas, pois o legislador apenas
apresentou as opções.
Por exemplo, se o titular solicita a exclusão de dados de um sistema, qual o prazo

para o agente público responder ao pedido? Na esfera federal costuma-se utilizar
a Lei do Processo Administrativo para respostas de recursos, neste caso os prazos
podem ser copiados.
Se o caso é a correção de dados sabidamente incorretos, então a Lei do Habeas Data

contém os prazos e procedimentos mais bem definidos. Esses são apenas alguns
exemplos de aplicação dos dispostos no art. 23.
Uma ressalva é o que se observa no art. 4º- III, que indica que a lei não se aplica quando o
tratamento de dados pessoais é realizado para fins exclusivos de segurança pública,
defesa nacional, segurança nacional ou atividades de investigação e repressão de
infrações penais. Como essas ações são executadas por órgãos públicos, convém
notar que não será necessário trazer à baila as regras da LGPD nestes casos.
Não se pode confundir a função típica dos órgãos que executam as regras acima
com a função administrativa, por exemplo, da Polícia Federal ou da Marinha quando
estiverem tratando dados referentes à segurança pública ou defesa nacional. Neste
caso as instituições não precisam aplicar a LGPD, porém se o tratamento for para
atender demandas do sindicato da categoria, ou do fundo de previdência, essa
regulação deve ser obedecida normalmente.
Portanto as regras e os personagens que operam dados no ambiente público ou

coorporativo são os mesmos, mas a LGPD foi adiante e fez uma ligação de prazos e
procedimentos para que o agente público pudesse seguir corretamente o princípio
constitucional da legalidade (BRASIL, 2020).
Espera-se que você conheça um pouco mais sobre a LGPD e o que

tratam os artigos estabelecidos nesta lei. Para visualizar o art. 23
citado agora, acesse aqui.

90
3.2 Regras e Responsabilidades no Tratamento de Dados pelo Poder Público
Os dados devem ser mantidos em formato interoperável e estruturado para uso

compartilhado (BRASIL, 2018, art. 25), porém essa não é uma indicação exclusiva da LGPD.
Essa indicação está contida nas principais recomendações da Secretaria de Governo

Digital (SGD), conforme Decreto nº 9.745/19 (BRASIL, 2019) e o Decreto 10.332/20
(BRASIL, 2020) que tem como função a digitalização, a transformação e a integração
do serviço público, além do alinhamento do Tribunal de Contas da União (TCU) que
fez constar a ideia de dados interoperáveis e estruturados para uso compartilhado
no Plano Diretor de Tecnologia da Informação (PDTI) de 2021 a 2023 (TCU, 2021).
Como a lei ainda não possui regulamentos para melhor detalhar os formatos, essas
duas referências devem subsidiar o art. 25.
O art. 26 alerta que o poder público não pode tratar dados para algo que não seja
a finalidade específica e sua atribuição legal, respeitando os princípios de proteção
e segurança. Sob essa ótica, além de ter que obedecer aos princípios elencados
na própria lei em parágrafos anteriores, também precisam ser resguardados os
princípios constitucionais explícitos e implícitos, além de ser vedada a transferência
para entidades privadas, exceto em casos de execução descentralizada de atividade
pública que exija essa ação, desde que obedeça ao fim específico e obedeça aos
preceitos da Lei de Acesso à Informação.
O art. 27 aborda a necessidade de informar à autoridade nacional, e a dependência

de consentimento do titular, para a comunicação ou o uso compartilhado de dados
pessoais entre a pessoa jurídica de direito público para a de direito privado.
Já o art. 29 faz importante ressalva sobre o tratamento de dados, uma vez que
permite que a autoridade nacional solicite a qualquer momento, aos órgãos e
entidades públicas, a realização de operações de tratamento de dados e informações
específicas sobre sua natureza.
Neste ponto é importante dizer que além do acesso ao banco de dados “interoperável
e estruturado” listado no art. 25, a autoridade pode requerer documentos, tais
como a Política de Segurança da Informação (PSI), o plano de tratamento de dados,
entre outros já citados, além de poder estabelecer normas complementares para as
atividades de tratamento ( BRASIL, 2018, art. 30).
Se houver infração a pontos da lei no tratamento de dados feito por órgãos públicos, cabe
à autoridade nacional tomar as medidas cabíveis para fazer cessar a violação, bem como
solicitar a publicação de relatórios de impacto e a adoção de padrões de boas práticas.

91
Referências

BRASIL. Decreto nº 9745, de 8 de abril de 2019. Aprova a Estrutura Regimental e o

Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança do Mi-
nistério da Economia, remaneja cargos em comissão e funções de confiança, trans-
forma cargos em comissão e funções de confiança e substitui cargos em comissão
do Grupo-Direção e Assessoramento Superiores - DAS por Funções Comissionadas
do Poder Executivo - FCPE. Brasília, DF: Presidência da República, 2019. Disponível
em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. Aces-
so em: 22 jun. 2022


jun. 2022.
TRIBUNAL DE CONTAS DA UNIÃO (TCU). Plano Diretor de Tecnologia da Informa-

ção (PDTI). [versão 2021/2023]. Brasília: TCU, 2021.

92
Unidade 4: Locais e Mecanismos para Tratamento de Dados
Ao final desta unidade você deverá ser capaz de estabelecer os mecanismos para
consentimento e uso de dados.
4.1 Inventário de Dados
Seguindo o modelo de políticas públicas que estabelece a Secretaria de Governo

Digital (SGD), alinhado com o Decreto nº 10.046 de 2019 (BRASIL, 2019a), a gestão e
governança de dados está intimamente ligada à gestão de ativos, de modo a promover
a interoperabilidade das informações, melhorando a relação com a sociedade e
tornando mais claros os mecanismos de intercâmbio de informações. Tudo isso
deve estar alinhado à Lei de Acesso à Informação (LAI) e à LGPD, principalmente em
relação à garantia de disponibilidade dos dados.
Mas, o que é garantir a disponibilidade? Significa ter uma rota sólida de acesso aos
dados e sistemas que permitam a recuperação total em caso de falhas, perdas,
vazamento de dados, ataques de cibercriminosos, ransomware etc.
1- Os dados são corretamente organizados.

Se um titular precisar de algum dado ele
poderá ser rapidamente recuperado, além
de ter a garantia de disponibilidade.
2- Os principais cuidados são sempre com

relação ao vazamento, portanto, seguindo
preceitos da ISO 27002, certifique-se de
nomear os responsáveis pelo processo.
3- Além disso, estabeleça quais são as sanções

em caso de não atendimento às regras.
Disponibilidade de dados.

93
Para que a disponibilidade não fique apenas no projeto, recomenda-se a criação de
um inventário de dados, documentando as principais informações sobre o processo
de backup, transferência e processamento dos dados.
Para criar uma ideia real, mas não muito ampliada, do que deve ser realizado,
buscando focar apenas na implementação da LGPD. O inventário pode ser feito
sobre os dados que o controlador recebe do titular e possui a obrigação de tratar
(aqui no sentido amplo, tratar, proteger, armazenar, descartar). Vale reforçar que a
recomendação da SGD é a governança de todos os dados (entenda-se no sentido de
qualquer ativo que contenha dados, podendo ser um arquivo de banco de dados ou
um currículo em papel).
Para fins de implementação da LGPD, o inventário de dados possui importante papel

para a organização do processo de consentimento e uso dos dados, uma vez que a
lei preceitua que o titular poderá solicitar a revogação de uso, exclusão ou devolução
dos dados que estão sendo tratados. Então, nada melhor do que a governança de
dados para deixar os processos mais rápidos e organizados.
Outra importante informação é que o inventário alimenta os pedidos da ANPD

quando, durante a fiscalização, busca conhecer o processo de gestão e governança
de dados. Normalmente será solicitado ao controlador que informe quais são os
elementos utilizados para garantir as propostas do Capítulo VII – Da Segurança e das
Boas Práticas (BRASIL, 2018), artigos 46 ao 51 da LGPD.
Por isso o inventário é um elemento que contribui muito para a documentação e

boa implementação da LGPD.
Inventário de dados.

94
De maneira global, o correto é que tudo isso esteja na política de segurança, porém
caso não exista essa política no seu local de trabalho ou seja muito complicado mudar
a PSI antes de implementar a LGPD, estabeleça esse processo de forma micro, para
atender as demandas de implementação.
4.2 Local de Armazenamento de Dados
Talvez as perguntas que você esteja fazendo neste momento são:
1 Por onde começar o inventário de dados? Comece seguindo a trilha dos

dados, por onde os dados entram, ou como eles chegam até o controlador.
2 Os dados são transferidos para um operador? Seja no operador ou no

controlador procure saber onde eles são armazenados para o tratamento, se é
em um ambiente local, se é em um ambiente de cloud.
Outra questão importante a ser observada é o prazo de salvaguarda ou de posse

dos dados do titular. A lei não estabelece um prazo mínimo ou máximo, porém
convém que o controlador deixe claro para o titular qual será o prazo de tratamento
até o descarte. Esse ponto é importante, visto que se não existir um prazo para o
descarte o controlador pode gastar muitos recursos armazenando dados que não
são mais necessários, exceto para obedecer aos prazos do direito civil, da Lei de
Acesso à Informação e outras. Para evitar isso, tenha uma política muito ajustada
para o descarte dos dados e uma ainda melhor para informar isso ao titular.
Um erro que é muito comum na estrutura de segurança de dados é a sincronização

dos sistemas que recebem dados em tempo real com o serviço de armazenamento
de dados em nuvem. Neste caso um ataque ao sistema real também atinge o sistema
de armazenamento e, às vezes, o backup dos dados.
Convém, segundo a ISO 27001, realizar a salvaguarda dos dados em discos que
sejam específicos para este fim, ou serviços de nuvem que não estejam conectados
com o sistema em uso, como por exemplo uma conta do Google Drive, do Microsoft
OneDrive, entre outros.
Portanto defina um local seguro para o armazenamento dos dados que serão
tratados e outro local para o backup de todos os dados tratados que precisam ser
copiados e armazenados seguramente.

95
4.3 Análise e Avaliação de Riscos sobre Armazenamento de Dados
A ISO 27005 oferece uma estrutura esquematizada para o entendimento macro

sobre análise e avaliação de riscos, oferecendo conceitos sobre planos de tratamento,
classificação dos riscos e os limiares aceitáveis sobre os riscos residuais.
Neste ponto espera-se que todos esses aspectos macro já tenham sido
implementados, mudando agora para uma visãoda estrutura micro. Para isso os
dados específicos de tratamento referidos pela LGPD devem ser analisados e os
principais riscos colocados em pauta para análise. Acompanhe os exemplos:
• Quanto tempo é o processo de recuperação de um ativo em caso de

extravio ou perda.
• Quem será o porta voz, o encarregado (DPO em uma hipótese ideal)

para responder sobre incidentes, tratamentos, backup e respostas ao
titular?
• De quanto em quanto tempo será feito um novo processo de análise

e avaliação de riscos, especificamente sobre todo o processo do
armazenamento até o descarte dos dados?
Levante o maior número de perguntas possíveis para discutir com a equipe. Analise
cuidadosamente os processos de armazenamento, acesso, tratamento e descarte
dos dados.
A experiência ensinou que todo cuidado pode ainda não ser suficiente para garantir
a segurança razoável ao processo. O maior problema relatado até então, além da
perda de dados, é o vazamento, tanto um quanto outro podem ser evitados com os
processos estruturados pela ISO 27005.
O vazamento possui um efeito devastador que recai sobre a imagem da instituição.

Além do prejuízo financeiro, a instituição demonstrará para a sociedade o despreparo
frente a tudo que o governo vem tentando implementar sobre gestão e governança
de dados com a Secretaria de Governo Digital.

96
Vazamento de dados é devastador.
Portanto, auditar, revisar e alinhar os processos para armazenamento de dados são

passos importantes para evitar problemas como vazamento, perda, extravio, entre
outros, comuns quando esses processos são ignorados.
Agora, assista na videoaula a seguir uma breve explicação do professor Bruno

Guilhen sobre o processo de implementação da LGPD.
Videoaula: Processo de Implementação da LGPD
Bons Estudos!

97
Referências



BRASIL. Decreto nº 9745, de 8 de abril de 2019. Aprova a Estrutura Regimental e o Qua-

dro Demonstrativo dos Cargos em Comissão e das Funções de Confiança do Ministério
da Economia, remaneja cargos em comissão e funções de confiança, transforma cargos
em comissão e funções de confiança e substitui cargos em comissão do Grupo-Direção
e Assessoramento Superiores - DAS por Funções Comissionadas do Poder Executivo -
FCPE. Brasília, DF: Presidência da República, 2019b. Disponível em: http://www.planalto.
gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. Acesso em: 22 jun.
BRASIL. Decreto nº 10046, de 9 de outubro de 2019. Dispõe sobre a governança no

compartilhamento de dados no âmbito da administração pública federal e institui
o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados. Brasília,
DF: Presidência da República, 2019a. Disponível em: http://www.planalto.gov.br/cci-
vil_03/_ato2011-2014/2011/lei/l12527.htm. Acesso em: 22 jun. 2022.


98
Referências

jun. 2022.


99
Módulo
4 Infrações e penalidades
Esta etapa do estudo apresentará as infrações e penalidades presentes na LGPD;

quais são as penalidades e que tipo de sanções decorrem delas. Além disso abordará
importante informação sobre quais são os documentos que devem estar presentes
para fins de auditoria e fiscalização. Vamos seguir?
Unidade 1: Infrações e Penalidades da LGPD

Ao final desta unidade você deverá ser capaz de reconhecer quais são as infrações e
penalidades da LGPD, bem como os documentos necessários para defesa prévia de uma
notificação da ANPD (Autoridade Nacional de Proteção de Dados) ou infração.
1.1 Quais são as Infrações e Penalidades da LGPD
O capítulo que trata sobre infrações e penalidades da LGPD é o cap. VIII, constituído
pelos artigos 52, 53 e 54 (BRASIL, 2018). O primeiro ponto importante a ser notado
por você no texto da lei é o fato de ser responsabilidade da ANPD a fiscalização
e consequente aplicação da sanção administrativa aos agentes de tratamento de
dados. Neste ponto do curso espera-se que você não tenha mais dúvidas sobre
quem é o agente de tratamento de dados. Embora o artigo 5 não traga uma definição
formal, tem-se que nos artigos 1, 2 e 3 a lei é clara ao atribuir esse papel a “toda
pessoa natural ou jurídica de direito público ou privado”.

100
Assim, nota-se que o papel da ANPD é fiscalizar toda a estrutura
da LGPD e sua correta aplicação, principalmente ações como:
finalidade do tratamento de dados, armazenamento, tipo de
tratamento, a segurança e as políticas aplicadas aos dados.
O objetivo é garantir que exista um cuidado com os dados de
maneira geral.
Caso esse cuidado não esteja sendo aplicado corretamente, a lei estabelece algumas
sanções que estão elencadas no artigo 52 nos seguintes incisos:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às

normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas
aplicáveis pela autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica

de direito privado, grupo ou conglomerado no Brasil no seu último exercício,
excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões
de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua

ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
X - suspensão parcial do funcionamento do banco de dados a que se refere a

infração pelo período máximo de 6 (seis) meses, prorrogável por igual período,
até a regularização da atividade de tratamento pelo controlador; (Incluído pela
Lei nº 13.853, de 2019);

101
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que
se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual
período; (Incluído pela Lei nº 13.853, de 2019);
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento

de dados. (Incluído pela Lei nº 13.853, de 2019). (BRASIL, 2018).
As sanções começam com advertência e um prazo para que os problemas

encontrados pela fiscalização da ANPD sejam corrigidos.
Uma situação bastante comum atualmente são os documentos que possuem

finalidades de tratamento de dados genéricas e muito abrangentes, dando
margem para o titular realizar ações que vão além da proposta inicial. Um termo
de consentimento que permite a um órgão público “enviar os dados para quaisquer
outras entidades” certamente será alvo de questionamento. O primeiro ponto é que
não se pode definir quais entidades são essas, por exemplo o sindicato, a operadora
de plano de saúde e os bancos (ninguém merece receber milhares de ligações
oferecendo serviços que você não deseja).
Ligações indesejadas.

102
Outro ponto é que a lei é clara em não aceitar finalidade genérica e tratamento que
fuja da proposta da entidade. Neste caso a ANPD notifica a entidade, o que pode ser
feito através do DPO (encarregado) ou do responsável legal, e emite um prazo para
correção dos problemas.
A multa sem dúvidas é a sanção mais temida, podendo chegar à cifra de R$ 50 milhões
por infração. A multa também pode ser diária, um exemplo comum ocorrendo
em demandas judiciais quando o magistrado arbitra uma multa diária em caso
de descumprimento de determinada ação ou o uso indevido de algum elemento.
Por exemplo, a ANPD pode exigir que dados de um titular sejam removidos de um
banco de dados e estabelecer um prazo para que isso ocorra. Caso o prazo não seja
cumprido uma multa diária será estabelecida por dia de ultrapassagem do prazo.
As sanções mostradas nos incisos do artigo 52 podem ser impostas de forma

combinada, portanto é possível que seja aplicada advertência e multa ou advertência
e suspensão, por exemplo. O parágrafo 1º do art. 52 mostra que as sanções só
poderão ser aplicadas após procedimento administrativo que possibilite ampla
defesa e também serão consideradas a gravidade e a natureza da infração, a boa-fé
do infrator, a vantagem auferida ou proferida, a condição econômica, a reincidência
e o grau do dano.
Por outro lado, as sanções poderão ser atenuadas a depender da política de segurança
e de boas práticas; da adoção de medidas corretivas e protetivas; e outras medidas
que a entidade conseguir provar que adota para proteger os dados. Por essa razão
foi mostrada aqui a importância de estruturar medidas de segurança através da PSI,
uma boa política de segurança e todas as técnicas de proteção envolvidas.Além de
amenizar problemas de segurança, isso também ajuda a diminuir a gravidade das
sanções que podem ser aplicadas pela ANPD na fiscalização da LGPD.
1.2 Documentos que Devem Existir na Empresa para Atestar as Boas
Práticas da LGPD.
Os documentos listados pela LGPD são os termos de consentimento e o documento

que ateste a finalidade do tratamento de dados. Porém esses não são os únicos
documentos que realmente fazem a diferença.
Ao observar o artigo 52 note que é possível concluir que a adoção de boas práticas
de segurança e gestão dos dados são elementos que atenuam sanções. É por isso
que se uma empresa implementa tudo isso, mas não tem documentação para
comprovar, de pouco adianta.

103
Portanto, implemente todas as técnicas possíveis de gestão
e segurança de dados e lembre-se de deixar tudo muito bem
documentado. Não perca de vista a importância do documento
da PSI e a necessidade de documentar corretamente todos os
processos da LGPD. Uma fiscalização da ANPD ou uma resposta
ao Ministério Público sempre exigirá a entrega de documentos
que comprovem as ações de gestão e governança.
Uma lista exemplificativa de documentos que o controlador e operador precisam

portar será composta por:
Lista de documentos.
1.3 Resposta a Incidentes
Um incidente de segurança representa um evento adverso que realmente ocorreu,

ou que suspeita-se ter acontecido, relacionado à segurança da informação. No
estudo da LGPD um incidente de segurança pode representar acesso indevido a
um sistema (perda de confidencialidade) até chegar ao vazamento e exposição de
dados, o que pode significar um verdadeiro caos.

104
Não custa lembrar que segurança possui uma relação estreita com confiança.
Uma vez que essa relação sofre problemas demora muito para que a confiança se
reestabeleça. Portanto a imagem da controladora pode ser bastante comprometida
com um incidente.
A LGPD, no artigo 48, § 1º (BRASIL, 2018), diz que o controlador deve comunicar à
ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou
dano relevante aos titulares. Neste caso não são todos os incidentes que precisam ser
comunicados, somente os que possam acarretar esses riscos ou danos relevantes.
O maior problema é entender qual o limiar entre danos relevantes ou não relevantes,
uma vez que os riscos podem ser estabelecidos utilizando a análise e avaliação da
ISO 27005. Neste caso os riscos e seus limiares já devem estar bem estabelecidos e
documentados (de agora em diante nada de criar uma regra sem documentar, ok?!).
O próximo passo será estabelecer o documento contendo a descrição de quais

seriam os danos e, dentre eles, quais são os relevantes. Quer ver um exemplo?
Um vazamento de dados com apenas nomes e e-mails de diversos servidores
públicos é um incidente de segurança. Embora se trate de diversos dados pessoais,
talvez não seja considerado um dano relevante, visto que possivelmente, segundo a
Lei de Acesso à Informação, esses dados são públicos.
De toda forma, recomenda-se que um vazamento de dados, mesmo que na sua

classificação não seja considerado um dano relevante, seja informado para a ANPD.
A comunicação deve ser feita segundo os preceitos do art. 48, § 1º, incisos de I até
VI (BRASIL, 2018). Essa comunicação deve conter, principalmente, a descrição da
natureza dos dados pessoais afetados (neste momento é que a ANPD fará o juízo
de valor para entender a relevância ou não dos dados vazados), quais os titulares
afetados e quais as medidas de segurança que serão tomadas. Por exemplo.
• Vazamento de banco de dados contendo nome e e-mails dos

servidores do departamento administrativo da ENAP (natureza e
titulares afetados).
• As medidas de segurança adotadas diante desse fato serão: a

notificação e orientação dos servidores envolvidos para medidas de
atenção, prevenção e troca de senhas. Análise da rede e dos servidores
afetados pelo incidente para avaliar a integridade. Análise da PSI para
a devida avaliação do incidente e das medidas de segurança. Forma
de recuperação dos dados, se necessário.

105
Se o incidente envolver danos relevantes, como por exemplo o vazamento de dados
sensíveis ou um CPF relacionado com um nome, nesse caso mais medidas precisam
ser tomadas conforme §§ 2º e 3º do art. 48. Um exemplo seria a ampla divulgação
do evento.
Assim, a maior recomendação que se pode fazer é que você tenha uma boa equipe
para responder aos incidentes caso eles aconteçam, primeiramente pelo tamanho
do problema que isso pode causar aos titulares, e também por conta do processo
de fiscalização da ANPD que poderá aplicar sanções mais duras dependendo de
como for o tratamento dado pelos titulares ao processo.
Então, acesse o exercício avaliativo que está disponível no ambiente virtual. Sucesso!

106
Referências



BRASIL. Decreto nº 9745, de 8 de abril de 2019. Aprova a Estrutura Regimental e o Qua-

dro Demonstrativo dos Cargos em Comissão e das Funções de Confiança do Ministério
da Economia, remaneja cargos em comissão e funções de confiança, transforma cargos
em comissão e funções de confiança e substitui cargos em comissão do Grupo-Direção
e Assessoramento Superiores - DAS por Funções Comissionadas do Poder Executivo -
FCPE. Brasília, DF: Presidência da República, 2019b. Disponível em: http://www.planalto.
gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527. Acesso em: 22 jun. 2022.

BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais
(LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.planalto.
gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 jun. 2022.


107

Como Implementar A LGPD - Bases, Mecanismos e Processos

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Como Implementar A LGPD - Bases, Mecanismos e Processos

Enviado por

Direitos autorais:

Formatos disponíveis

Como implementar a

LGPD: bases, mecanismos

Governo e Transformação Digital; Direito e Legislação;

Diretoria de Desenvolvimento Profissional

Unidade 2: Como a LGPD Disciplina o Conceito de Proteção de Dados?.......... 23

Módulo 2: Mecanismos para implementação da LGPD...................................... 37

Unidade 2: Elementos para Implementar a Política de Segurança da

Módulo 3: Implementando a LGPD....................................................................... 63

Unidade 3: Tratamento de Dados pelo Poder Público........................................ 89

Unidade 4: Locais e Mecanismos para Tratamento de Dados........................... 93

Módulo 4: Infrações e penalidades..................................................................... 100

Enap Fundação Escola Nacional de Administração Pública

Caro(a) Cursista, seja muito bem-vindo(a) ao curso Como Implementar a LGPD:

Alinhados ao processo de transformação digital do serviço público, os conteúdos que

Para tornar o processo de aprendizagem mais harmonioso e organizado, os conteúdos

• Módulo 1: Bases para aplicação da LGPD, inicia-se com a apresentação

• Módulo 2: Mecanismos para implementação da LGPD, apresentará

• Módulo 3: Implementando a LGPD, versa sobre o processo de

• Módulo 4: Infrações e penalidades, finaliza demostrando as consequências

Videoaula: Apresentação e Boas-Vindas

Bons estudos para você!

Enap Fundação Escola Nacional de Administração Pública

1 Bases para Aplicar a LGPD

Na segunda unidade, você será apresentado a definições importantes, trazidas por

Unidade 1: A Relação entre Proteção de Dados e Segurança

1.1 Conceitos de Dado, Informação e Conhecimento

Enap Fundação Escola Nacional de Administração Pública

Segundo Stallings e Brown (2013), os sistemas

Enap Fundação Escola Nacional de Administração Pública

A informação requer análise, consenso em relação ao significado e a mediação

Porém, do ponto de vista da segurança, é preciso ter em mente que não é

Enap Fundação Escola Nacional de Administração Pública

1.2 Princípios Básicos da Segurança da Informação (PBSI)

Stallings e Brown (2013) abordam os princípios utilizando a tríade demonstrada na

Enap Fundação Escola Nacional de Administração Pública

Enap Fundação Escola Nacional de Administração Pública

Conheça cada um deles a seguir.

O princípio da confidencialidade está associado à garantia do sigilo, segredo ou

A integridade diz respeito à percepção da modificação, ou seja, é a garantia de que

A disponibilidade é o princípio que garante acesso ao sistema ou aos dados sempre

Já a autenticidade é a prova da identidade ou a garantia da identidade de um

Enap Fundação Escola Nacional de Administração Pública

Por fim, o não-repúdio ou irretratabilidade é a impossibilidade de negar a participação

Tome nota desta informação importantíssima! Todos esses

1.3 Aplicação e Técnicas de Segurança

Princípio e técnica da segurança da informação.

Enap Fundação Escola Nacional de Administração Pública

Como garantir que uma informação poderá ser transmitida ou

E a resposta está na técnica, já que a criptografia garante o sigilo/privacidade das

Técnica matemática para embaralhar informações de maneira que somente os

Enap Fundação Escola Nacional de Administração Pública

Cópia de segurança ou backup é a técnica que realiza a cópia fiel de um conjunto

Enap Fundação Escola Nacional de Administração Pública

• Ter: um cartão, um documento, um token, um crachá etc.

• Saber: uma senha, um PIN, uma sequência de letras de acesso etc.

• Ser: uma característica biométrica como a íris, a retina, a impressão

A autenticação em fatores múltiplos representa a utilização de mais de uma técnica

Autenticação em fatores múltiplos.

Enap Fundação Escola Nacional de Administração Pública

Em diversos pontos da lei os princípios serão

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

Serviços digitais ao cidadão.

Enap Fundação Escola Nacional de Administração Pública