Escolar Documentos
Profissional Documentos
Cultura Documentos
Conteudista/s
Bruno Anselmo Guilhen (Conteudista, 2022).
Enap, 2022
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
SAIS - Área 2-A - 70610-900 — Brasília, DF
Sumário
Módulo 1: Bases para Aplicação da LGPD.............................................................. 6
Unidade 1: A Relação entre Proteção de Dados e Segurança da Informação.... 6
1.1 Conceitos de Dado, Informação e Conhecimento................................................... 6
1.2 Princípios Básicos da Segurança da Informação (PBSI).......................................... 9
1.3 Aplicação e Técnicas de Segurança......................................................................... 12
Referências....................................................................................................................... 21
Olá! É um prazer contar com sua companhia por aqui. Este curso visa guiar você ao
entendimento da Lei Geral de Proteção de Dados (LGPD), que tem como fundamento
a responsabilidade com os dados coletados das pessoas, principalmente dos usuários
de serviços públicos.
Esclarecidos esses pontos iniciais de estudo para que você siga bem orientado (a),
assista agora ao vídeo de apresentação inicial do curso. É hora de começar.
Esta etapa inicial de estudos é composta de duas unidades, sendo muito importante
por buscar que você chegue ao entendimento das bases de aplicação da LGPD. A
primeira unidade estabelece uma relação entre a proteção de dados, que é parte da
nomenclatura da própria LGPD, e os princípios básicos da segurança da informação.
Objetivo de aprendizagem
Ao final desta unidade você deverá ser capaz de reconhecer o significado de proteção de dados.
Para início de conversa, analise atentamente a imagem abaixo. O que ela representa
para você? Qual(is) a(s) diferença(s) que você consegue perceber entre elas?
Muita coisa mudou desde a Revolução Industrial até os dias atuais, não é mesmo?
O primeiro passo para você que pretende implementar a LGPD é entender a divisão dos
sistemas digitais e físicos. Os sistemas digitais são formados por bits e bytes. Já o sistema
físico representa tudo aquilo que não é digital, que pode ser facilmente manuseado, por
exemplo, livros, notas fiscais, folhas de cheque etc. (LAUDON; LAUDON, 2014).
Segundo Kenneth Laudon e Jane Laudon (2014), os sistemas digitais são representados
pelos seguintes elementos: dado, informação e conhecimento. Com base nestes
autores, observe no infográfico a seguir a definição que melhor se enquadra nos
sistemas de informação gerenciais.
Segundo O’brien (2011), dado significa tudo aquilo que é facilmente estruturado,
quantificado, transferível e facilmente obtido por máquinas. Por outro lado, o
conhecimento é de difícil estruturação, difícil captura por máquinas, frequentemente
tácito e de difícil transferência.
Aprendido isto, agora é hora de você refletir sobre ativos! Você sabe o que é “ativo”
neste contexto?
A ISO 27002 define como ativo tudo aquilo que possui valor para
uma organização (ABNT, 2013).
Segurança na LGPD.
Fonte: Freepik (2022). Elaboração: CEPED/UFSC (2022).
Uma vez definidos os ativos (aqueles que mais devem receber investimentos em
segurança) e entendidos quais são os sistemas (físicos ou digitais), para a adoção
de um modelo seguro será necessário que você entenda quais são os princípios
básicos da segurança da informação e as técnicas para sua proteção.
Na ISO 27002 (2013) esses três princípios são complementados por mais dois: a
autenticidade e o não-repúdio. Porém, a Teoria Parkeriana (KABAY; BOSWORTH,
2002) define em seis os princípios da segurança da informação, no que é conhecido
como hexagrama Parkeriano.
Autenticidade
Hexagrama Parkeriano.
Fonte: Kabay e Bosworth (2002). Elaboração: CEPED/UFSC (2022).
Os princípios são:
1. confidencialidade;
2. integridade;
3. disponibilidade;
4. autenticidade;
5. não-repúdio ou irretratabilidade.
Confidencialidade
Integridade
Disponibilidade
Autenticidade
Talvez você esteja curioso(a) para entender como ocorre o funcionamento destes
princípios na prática, certo? Bem, os princípios básicos da segurança da informação
são trabalhados na prática através de técnicas que melhoram a sua aplicação.
Neste caso, cada princípio possui pelo menos uma técnica que deve ser estudada,
entendida e implementada.
A tabela a seguir mostra os princípios estudados e uma técnica que pode ser
utilizada para sua garantia. Mas, atenção: a técnica apresentada a seguir não é a
única opção garantidora do princípio, porém serve como ideia sobre qual caminho
seguir. Existem técnicas mais avançadas, a opção aqui foi sugerir uma técnica para
que você possa entender o princípio e saber qual caminho seguir.
Princípio Técnica
Confidencialidade Criptografia
Integridade Hash
Disponibilidade Cópia de segurança (backup)
Autenticidade Autenticação em fatores múltiplos
Não-repúdio Captcha
Uma breve definição de cada uma das técnicas apresentadas serve para entender como
relacionar os elementos de proteção invocados pela lei e as ações que devem ser trabalhadas.
Criptografia
Criptografia.
Fonte: Freepik (2022).
O hash nada mais é do que um algoritmo que recebe uma entrada (pode ser um
texto, um arquivo ou uma unidade de disco) e gera um código hexadecimal (de 0
a 9 e A a F) de tamanho fixo na saída. Sempre que essa entrada mencionada for
inserida, o mesmo resultado (o mesmo código hash) deverá aparecer na saída, para
demonstrar a integridade.
Por outro lado, se um arquivo possui um código hash e tempos depois o código não
é mais o mesmo, significa que esse arquivo foi alterado, a integridade foi perdida.
Hash.
Fonte: Freepik (2022).
Cópia de segurança
Convém notar que existem técnicas mais avançadas de backup, por exemplo, a
replicação dos servidores em cloud, o backup em sites de terceiros ou nuvem etc.
Lembre-se que a ideia aqui é mostrar o caminho para garantir a disponibilidade. Um
ponto de atenção para a utilização de serviços de terceiros é analisar o contrato de
prestação de serviços (SLA – Acordo de Nível de Serviço), principalmente quando
se trata de administração pública, algumas regras de armazenamento precisam
ser seguidas.
A autenticação pode acontecer utilizando três técnicas: algo que o usuário tem, algo
que o usuário sabe e algo que o usuário possui.
Captcha
Técnica que realiza um teste de caráter cognitivo. É um desafio para garantir que o
utilizador de determinado sistema é um ser humano, por isso o captcha, ou Teste de
Turing, é conhecido como desafio-resposta. A garantia do não-repúdio está exatamente
na proposta de que o desafio só pode ser “vencido” por um ser humano e não por uma
máquina. Sendo assim, o ser humano não poderá negar que passou por aquela etapa.
Ao ler a palavra “privacidade” dentro do texto da lei é necessário que você entenda
o contexto e, principalmente, a utilização do termo. Inevitavelmente devem vir à
tona perguntas como: “qual a definição de privacidade?”, “quais as técnicas para
garantir o respeito à privacidade?”. Por essa razão é que você foi levado a conhecer
o significado de proteção de dados.
Uma importante aplicação desses conceitos foi elencada no Decreto 10.332 de 2020
(BRASIL, 2020). Este decreto institui a Estratégia de Governo Digital para o período de
2020 a 2022 e um de seus principais objetivos é oferecer serviços digitais ao cidadão.
O que seria transformação digital e como a LGPD deve ser enquadrada nesse
contexto?
Adeus, burocracia!
Elaboração: CEPED/UFSC (2022).
Mas quais são as consequências dessa sistematização toda? Se você pensou sobre
aumento da segurança, é isso mesmo, pois as consequências remetem à necessidade
de pensar ainda mais nos mecanismos de proteção de dados.
O alinhamento de tudo isso foi consolidado pela LGPD que trouxe a ideia de um
tratamento de dados com cautela, responsabilidade e com finalidade específica.
A implementação desses conceitos fornece um grau maior de confiabilidade aos
serviços vistos pelo cidadão.
Muitas variáveis precisam ser levadas em conta, mas aqui será separado o que
interessa na implementação da LGPD e que será melhor desenvolvido ao longo de
sua aprendizagem em todas as etapas.
As primeiras perguntas remontam ao plano de segurança dos dados, visto que agora
eles circularão além do ambiente do órgão, e mais, vão “passear” pelo ambiente hostil
da Internet. Qual é o plano de segurança? Quais políticas e princípios precisam ser
mais explorados? Do ponto de vista do tratamento de dados (LGPD), como será esse
planejamento? Quem serão os responsáveis pelos dados e pelo seu tratamento?
Conseguiu perceber que não é tão elementar assim, quanto seria inserir
transformação digital sem pensar muito na segurança do sistema? Agora será
necessário incluir os postulados da LGPD.
Partindo para um plano mais profundo, imagine que esses dados possuem uma relevância
ainda maior, por exemplo, dados de previdência privada, dados relativos à saúde, etc.
Até aqui você já deu um passo importante no conhecimento dos princípios básicos
de segurança e algumas técnicas para sua implementação. Na sequência do curso
será possível conhecer os passos seguintes do processo!
Antes de encerrar esta etapa de estudos, assista a videoaula a seguir que apresenta
mais esclarecimentos sobre a LGPD.
Você chegou ao fim desta unidade. Caso ainda tenha dúvidas, reveja o conteúdo e
se aprofunde nos temas propostos.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.
HIGA, Paulo. Existe um serviço que paga US$ 0,0009 para humanos resolverem
captchas. 2014. Tecnoblog. Disponível em: https://tecnoblog.net/especiais/capt-
cha-trabalho-humano/. Acesso em: 7 dez. 2021.
Ao final desta unidade espera-se que você reconheça como a LGPD define dados.
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião
de seu tratamento;
Anonimizado
Uma vez que a lei traz no seu título a expressão “proteção de dados”, cabe a reflexão
para saber quais são os tipos de dados definidos por ela.
Neste ponto, é interessante que você saiba que o Artigo 5 da legislação é conhecido por
“artigo das definições básicas da LGPD”. Entenda, a seguir, quais são essas definições:
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião
de seu tratamento;
Com base no referido artigo, constata-se que existem três tipos de dados: o pessoal,
o pessoal sensível e o anonimizado.
Pessoal
Já o dado sensível está muito bem exemplificado no inciso II (BRASIL, 2018). Dado pessoal
sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou
organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Anonimizado
Tipos de Dados.
Elaboração: CEPED/UFSC (2022).
Neste ponto do curso é inevitável invocar mais uma vez o Decreto 10.332/2020
(BRASIL, 2020) sobre o processo de transformação digital na administração pública.
Esse processo de transformação acompanha uma aquisição intensa de dados e neste
caso reitera-se a importância do planejamento nessa aquisição.
A LGPD não possui nenhuma recomendação expressa sobre quais técnicas devem
ser utilizadas para o tratamento e a proteção dos dados, a lei apenas ressalta a
importância de garantir a confidencialidade, a integridade e também estabelece as
sanções em caso de vazamento ou desvio de finalidade, por isso as recomendações
de classificar e separar os dados na coleta, bem como realizar a coleta do que for
estritamente necessário.
• supressão de atributos;
• supressão de registros;
• encobrimento de caracteres;
• generalização;
• pseudoanonimização;
• substituição.
Às vezes esse processo precisa ser feito no ambiente interno da administração, neste
caso, convém realizar uma reunião com a equipe de TI para decidir pela melhor
técnica. Mais uma vez vale frisar a informação de que “será necessário documentar
tudo que for decidido e qual técnica foi utilizada”, pois a técnica é importante e a
documentação é a chave para responder ao processo de auditoria e fiscalização.
O Artigo 5 da Lei, além das definições propostas no tópico anterior, também trouxe
outras que serão úteis para a implementação da LGPD (BRASIL, 2018). Veja a seguir:
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto
de tratamento;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como
canal de comunicação entre o controlador, os titulares dos dados e a Autoridade
Nacional de Proteção de Dados (ANPD);
Lembre-se que o banco de dados que vai armazenar os dados coletados pode
estar em qualquer lugar. Isso porque, com o processo de transformação digital, as
empresas e a Administração Pública passaram a utilizar bancos de dados no ambiente
de nuvem, ou seja, alugam espaços de empresas que trabalham especificamente
em prol de oferecer serviços e cobrar por eles.
Mesmo que seja apenas para realizar a transmissão de um banco de dados local para
um banco de dados em nuvem esta ação ainda será considerada tratamento. Por isso,
estabeleça um plano, documente e controle o processo para evitar vazamentos e desvios.
Bloqueio e eliminação
O uso compartilhado significa que os dados até podem continuar na sua base de
dados local, sem realizar a transferência para outro local ou fora do país, mas os dados
serão compartilhados e os interessados poderão utilizá-los (consultar, copiar) para
o tratamento que estiver na finalidade descrita. O item faz uma ressalva importante
que é a necessidade de autorização específica. Portanto, se for compartilhar,
certifique-se que, ao descrever a finalidade, todas as informações estejam dispostas
de forma específica. Ao criar o termo de consentimento ou outra base legal para o
tratamento, deixe muito evidente e avisado ao titular que vai existir um tratamento
de dados compartilhado.
Convém notar que o Artigo 32 da LGPD também faz menção ao relatório de impacto,
conforme segue: “Art. 32. A autoridade nacional poderá solicitar a agentes do Poder
Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir
a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo
Poder Público.” (BRASIL, 2018).
Que bom que você chegou até aqui! Agora é a hora de você testar seus conhecimentos.
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!
HIGA, Paulo. Existe um serviço que paga US$ 0,0009 para humanos resolverem
captchas. 2014. Tecnoblog. Disponível em: https://tecnoblog.net/especiais/captcha-
-trabalho-humano/. Acesso em: 7 dez. 2021.
Ao final desta unidade você será capaz de reconhecer os pilares para a implementação da LGPD.
Sobre o papel do DPO ou encarregado, a lei reservou todo o art. 41 para indicar
suas atribuições:
A operação final é o tratamento de dados, que é definido pelo art. 5-X, como:
A resposta a essa pergunta relaciona-se muito ao fato de que a maioria dos dados
que os controladores recebem não são necessários e, muitas vezes, são sensíveis.
Portanto são dados que precisam de uma atenção especial, pois precisam de
segurança, de cuidados contra vazamento e de um processo de anonimização mais
intenso. Portanto, se o dado não é necessário, não faça a coleta. Essa é uma dica
valiosa em tempos de LGPD!
Seguindo com o entendimento do que está previsto na lei, o seu art. 6º informa
que as atividades de tratamento de dados deverão observar a boa-fé e diversos
princípios. Dentre eles destacam-se, neste capítulo, os três seguintes:
Muita atenção neste ponto: dados demais também envolvem um trabalho extra
que pode ser desnecessário. Por exemplo, os dados como nome, CPF e RG são
necessários? Será preciso uma foto de cada paciente? Por outro lado, elementos como
idade, sexo e/ou bairro podem ser vitais para entender a adesão e alcance da campanha.
Comece fazendo uma listagem de todos os dados que serão adequados para a
finalidade, em seguida faça uma revisão, e se possível reúna a equipe para discutir
se a sua lista realmente faz sentido. Após realizar as filtragens e separar o que será
utilizado, faça o tratamento para adequar o que foi coletado à necessidade proposta.
Verifique se ainda é possível descartar algo.
Por exemplo, se os dados serão para a campanha do Outubro Rosa não podem
ser transferidos para o sindicato da categoria realizar uma promoção de plano de
saúde, já que a norma fala em transparência.
Dê bastante atenção para este trecho, pois livre acesso não se confunde com acesso
total ao sistema, da mesma forma que qualidade e transparência não representam
falta de controle no acesso aos dados.
Uma dúvida bastante comum neste ponto é “onde” inserir os termos para que o
titular dos dados possa ler e concordar com eles. Se você for seguir os objetivos
da transformação digital propostos pelo Decreto 10.332/2020 (BRASIL, 2020)
então o local ideal será exatamente na página/formulário em que o titular estiver
preenchendo os dados que serão tratados no site.
Talvez você já tenha passado por algum episódio assim recentemente, em que ao
entrar no seu serviço do Google, Facebook, Netflix etc., você foi levado até uma
janela do navegador que solicitava sua anuência às novas políticas de segurança e
tratamento de dados.
Um problema que ocorre nos casos dessas grandes empresas é que a finalidade
apresentada lá na página por elas não é nada fácil de entender. Já na administração
pública esses procedimentos sempre ganham contornos mais expressivos, portanto
cuide de elaborar uma finalidade clara e deixe-a acessível para os usuários do serviço.
Uma vez que a relação entre o titular e os agentes de tratamento foram consolidadas
nos incisos anteriores, o próximo passo é garantir a proteção dos dados.
O inciso VII diz ser necessário garantir a segurança, portanto todas as medidas
necessárias para proteger os dados que estão sob sua responsabilidade precisam
ser tomadas. Por exemplo, se for transmitir através de uma rede, o principal aspecto
de segurança relacionado é a confidencialidade, e neste caso a técnica que pode
atendê-lo é a criptografia. Se os dados estão armazenados e a necessidade de
proteção é contra alterações indesejadas (princípio da integridade), então a técnica
que pode ser utilizada é o hash. Se o que precisa ser garantido é a disponibilidade
para acessar sempre que for necessário, então a possível técnica é o backup.
Além de solicitar segurança, o próximo inciso (VIII) insere o termo “prevenção”, que
poderia ser entendido de forma generalizada dentro do inciso anterior ao falar de
segurança. Porém a prevenção nesse caso se refere especificamente ao processo de
tratamento de dados, estabelecendo uma diferenciação. Entende-se que existe uma
garantia no processo de coleta, armazenamento e descarte, e uma outra garantia
específica no processo de tratamento. Por isso a prevenção foi destacada aqui:
adote todas as medidas necessárias para garantir segurança dos dados, além disso,
para fins de fiscalização e formalização, documente tudo que for decidido e feito.
A contribuição do inciso nono mais uma vez refere-se à forma como o tratamento
de dados será feito, ou seja, deve ser feito conforme foi proposto na finalidade,
sem desvios ou abusos. Uma prática abusiva comum é a venda de bases de dados
para empresas, como enviar para um banco os dados dos servidores que já fizeram
empréstimo para que serviços similares sejam oferecidos ao titular. Ao olhar para
o inciso X fica mais clara a necessidade de ter documentadas todas as ações que
serão realizadas no tratamento, pois não basta que o controlador as faça, o titular
precisa poder consultar o que será feito para atender a prestação de contas exigida no
inciso X. O inciso dez termina propondo que o controlador seja capaz de demonstrar
eficácia nas medidas de segurança, por certo, que a ANPD não vai realizar testes para
verificar se realmente os dados estão protegidos e as medidas são eficazes, mas uma
boa Política de Segurança, um controle de processos ajustado juntamente com uma
política de gestão dos dados representa o cumprimento de normas de proteção.
Portanto, faça uma lista das medidas que serão implementadas e pense em um
documento que deve ser apresentado sempre que for solicitado. Além disso, lembre-
se que a ANPD, nas suas fiscalizações de rotina, vai solicitar todos esses documentos.
Você chegou ao fim desta unidade. Caso ainda tenha dúvidas, reveja o conteúdo e
se aprofunde nos temas propostos. Siga firme nos estudos!
BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pes-
soais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.
planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 jun. 2022.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.
OLIVEIRA, Jose Pedro Fernandes Guerra de. O princípio da eficiência na administração pú-
blica. 2017. [Jusbrasil]. Disponível em: https://drpedroo.jusbrasil.com.br/artigos/487523360/o-
-principio-da-eficiencia-na-administracao-publica. Acesso em: 14 jun. 2022.
Ao final desta unidade você deverá ser capaz de reconhecer a Política de Segurança da
Informação (PSI).
Tenha atenção ao fato de que a ANPD e todos os órgãos fiscalizadores vão solicitar
documentos para entender como a gestão dos dados é realizada no seu ambiente. O
principal documento que deve existir é uma boa Política de Segurança da Informação,
não esquecendo do plano de tratamento de dados e outros que serão analisados no
decorrer da lei.
PSI e LGPD.
Elaboração: CEPED/UFSC (2022).
Para essa norma o “risco está associado com o potencial de que ameaças possam
explorar vulnerabilidades de um ativo de informação ou grupo de ativos de
informação e, consequentemente, causar dano a uma organização” (ABNT, 2011).
A figura a seguir demonstra o processo de gestão de riscos trazido pela ISO 27005.
O primeiro elemento é a definição do contexto, o que, no caso do estudo da LGPD,
são os dados e os mecanismos de segurança que o envolvem.
Na sequência será necessário identificar os riscos. Neste caso será necessário definir
bem os cenários, entender quem são os responsáveis pelo tratamento, para que
tudo fique bem planejado. Algumas questões que podem ajudar na reflexão:
Essas questões são apenas exemplos, faça você mesmo uma lista identificadora de
riscos, visto que o propósito da identificação de riscos é determinar eventos, a partir
das especificidades de cada caso, que possam causar perda e deixar claro como,
onde e por que isso pode acontecer (ABNT, 2011).
Veja novamente a figura anterior! Você notou que existem dois pontos de decisão?
No ponto de decisão 1 existe um questionamento: “avaliação satisfatória”. Faça
uma reflexão muito importante aqui, um debate com a equipe para ter certeza de
que os riscos identificados, analisados e avaliados estão realmente corretos. Se
tiver dúvidas, o diagrama sugere que as ações sejam repetidas desde a definição
do contexto. Porém, se a avaliação é satisfatória, será o momento de seguir para o
tratamento dos riscos.
Esta outra imagem cria uma visão ampliada desse processo entre os pontos de
decisão 1 e 2, chamada de atividade de tratamento de riscos. Observe com atenção!
1. modificar o risco;
2. reter o risco;
3. evitar o risco;
4. compartilhar o risco.
1- O documento da PSI
Segundo a ISO 27002 (ABNT, 2013), o documento que contém a PSI deve ser criado
por um conjunto de especialistas em segurança. A norma dita que se a empresa não
possuir especialistas no seu quadro esse trabalho pode ser terceirizado. Isso, porém,
deve ser aprovado pela direção e conter regras sobre a política definida na análise
e na avaliação de fatores que causam os eventos que podem afetar a segurança. O
documento deve ser publicado e comunicado para todos os colaboradores e partes
externas relevantes.
O documento da PSI.
Fonte: Freepik (2022). Elaboração: CEPED/UFSC (2022).
O conteúdo da PSI.
Fonte: Freepik (2022). Elaboração: CEPED/UFSC (2022).
Os principais tópicos que convém ser tratados em uma PSI são (ABNT, 2013):
3- Duração da PSI
Não existe um tempo de duração padrão para uma política de segurança, visto que
um incidente de segurança é um acontecimento capaz de mudar diversos pontos
da sua estrutura.
Se um incidente ocorrer poucos dias depois de aprovada a política, ela deverá ser
revista e alterada, afinal uma PSI é criada exatamente para evitar incidentes, então
se eles ocorrem mesmo assim entende-se que alguma coisa não foi projetada
corretamente na análise/avaliação de riscos.
• informar ao gestor que vai realizar uma avaliação da PSI, todo evento
de segurança;
A Política de Segurança da Informação (PSI) tratada até agora também é base para
a transformação digital, pois não existe transformação digital sem que exista uma
excelente política de segurança. Em outras palavras, todo o desenho para oferecer
serviços digitais mais rápidos e acessíveis ao cidadão está alicerçado na segurança,
por isso esses assuntos todos possuem uma estreita relação.
Nos próximos anos a demanda pela transformação digital dos serviços mais simples
oferecidos pela administração pública será ainda maior, visto que de 2019 a 2021 o
alvo foram os serviços mais complexos, que envolviam um estudo mais profundo.
Mesmo que em uma escala menos complexa, a transformação digital vai chegar e nem
sempre será possível contar com uma equipe de TI para alinhar os processos mais
“simples”. Comece entendendo a finalidade da captação de dados, por onde os dados
vão chegar, quais caminhos vão percorrer, como serão tratados, como será o descarte.
Em seguida crie uma PSI para esse processo. Os bancos possuem uma política de
segurança global, mas existem outras várias políticas diferentes para pequenos
procedimentos, como por exemplo o protocolo TED/DOC, o envio de malote etc., o
que leva a crer que mesmo um procedimento entendido como “simples” dentro de
uma repartição pública, se possui entrada de dados, também precisa de PSI e LGPD.
Que bom que você chegou até aqui! Agora é a hora de você testar seus conhecimentos.
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!
BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais
(LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.planalto.
gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 jun. 2022.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.
HIGA, Paulo. Existe um serviço que paga US$ 0,0009 para humanos resolverem
captchas. 2014. Tecnoblog. Disponível em: https://tecnoblog.net/especiais/capt-
cha-trabalho-humano/. Acesso em: 7 dez. 2021.
3 Implementando a LGPD
Você também será apresentado(a) a uma trilha de conformidade que permite uma
reflexão sobre como gerir os processos na implementação. Mais adiante verá como
é possível criar um modelo de termo de consentimento, com dicas de como adequar
a sua realidade ao que pede a lei, entendendo os papeis e as responsabilidades
presentes no tratamento de dados e fechando a etapa com uma análise dos locais
de armazenamento de dados.
Ao final desta etapa você deve estar esclarecido sobre os processos para aplicação da
LGPD, identificando o tratamento de dados e a trilha de conformidade.
Então agora é o momento de conhecer bem os processos por onde os dados circulam
para realizar a implementação da LGPD.
A lei não possui nenhum impeditivo contra que seja implementada em apenas um
setor, departamento ou organização toda. Essas restrições são limitadas às normas
certificadoras. Assim, dois questionamentos devem ser realizados na implementação,
principalmente ao analisar os processos internos.
Se a sua resposta à primeira questão é o ponto zero, ou seja, nada foi implementado
ainda, então se recomenda que você faça uma boa leitura dos artigos de 1 a 6 da lei.
Depois será a hora de analisar processos.
A imagem a seguir ilustra uma organização ou apenas uma parte dela, por exemplo
um departamento, que ainda não possui processos desenhados e adequados à LGPD.
O que pode acontecer neste caso é que cada responsável, ou cada departamento,
aja de forma independente, de acordo com os conhecimentos que possuem, e o
resultado pode ser desastroso.
Por onde andam os dados? Quem são os responsáveis legais por eles? São
questionamentos que devem estar respondidos na Política de Segurança da
Informação. Porém nos casos em que a LGPD vai ser implementada em pequenos
departamentos, ou em locais em que há pouco conhecimento sobre política de
segurança, é muito comum que tentem a implementação sem a estrutura base que
é a PSI. Se realmente houver a necessidade saiba que os questionamentos propostos
anteriormente não podem ficar sem respostas.
A lei oferece ao titular o direito de consultar, requerer e solicitar a exclusão dos dados.
Assim sendo, será necessário deixar claro qual a política de tratamento, afinal, se o
titular voltar um ano depois, ele poderá reaver seu currículo? Se nada foi informado
sobre o tratamento, então quem recebeu os dados está irregular perante à LGPD.
A melhor solução será informar a todos que entregarem currículos (titulares dos
dados) que, segundo a política de tratamento de dados da instituição, todo currículo
entregue será descartado (deixe bem específico: serão triturados, queimados etc.)
no prazo de sessenta dias se não for solicitado anteriormente pelo titular.
• exclusão de um colaborador;
Comece treinando com exemplos simples para depois expandir para um sistema
mais complexo, como nos casos de um banco de dados complexos ou sistemas de
gestão. Independente da complexidade, é necessário ter bem claro o caminho que
os dados percorrem e quem são os responsáveis por eles.
1- Entrada de dados
Se as perguntas movem o mundo, então esse é um ponto importante para que você
faça um brainstorm e coloque questões que devem ser respondidas dentro do ciclo
mostrado na trilha de conformidade.
Atenção
O documento de autorização contendo a finalidade é motivo de muito
retrabalho. Normalmente ocorre retrabalho pois é comum que o documento
seja criado com pressa e falta de atenção, com sua finalidade ficando fora do
padrão de conformidade. Realize um bom planejamento para deixar clara a
finalidade. A lei alerta que não será admitida finalidade genérica, com descrição
ampla, então se isso acontecer todo o trabalho pode estar comprometido.
2- Controle
Ao receber os dados, a organização precisa nomear um responsável pelo controle,
que deve guiar os dados, aplicar medidas de segurança e realizar a supervisão de
forma ampla. As organizações criaram o papel do Data Protection Officer (DPO),
que a lei descreve como encarregado. O encarregado, ou DPO, é o responsável
pelo controle, além das outras funções que a lei destina a ele. O foco no processo
de controle é entender a entrada, verificar a integridade e conduzir os dados ao
destino correto. Por exemplo, em algumas organizações o controlador e o operador
são entes distintos, neste caso o processo de controle precisa atuar para garantir
proteção no trânsito desses dados.
4- Armazenamento
O processo de garantia de disponibilidade dos dados representa a garantia de
que sempre que necessário estes estarão acessíveis. Para isso será necessário um
plano de armazenamento. As novas orientações dadas pelo tribunal de contas da
união (TCU) sugerem que os dados sejam armazenados em nuvem computacional,
visto que esses ambientes já possuem várias outras garantias associadas. Convém
lembrar que se trata de armazenar os dados que estão em posse do controlador/
operador e não podem ser transferidos para tratamento, pois se a finalidade for
alterada o titular precisa ser informado.
5- Documentação
A documentação é a descrição sobre os processos de tratamento dos dados, sobre
os responsáveis, sobre os locais de armazenamento, sobre backups e afins. A Política
de Segurança da Informação (PSI) ou o plano de tratamento de dados representam
a documentação sobre os dados que é necessária atualmente.
6- Descarte
Quando o ciclo de operação dos dados se encerra será necessário descartá-
los, porém esse processo precisa de uma atenção especial. O titular precisa ser
informado, de preferência lá no início (processo de captação do dado), qual o prazo
até quando os dados estarão em posse do controlador. Tomando o exemplo do
currículo ou banco de talentos, ao receber o currículo convém informar ao titular
que todos esses documentos ficam disponíveis nos bancos de dados por até 90
dias (prazo fictício criado para este exemplo). Assim o titular saberá que não poderá
solicitar esses dados outra vez depois desse prazo.
Trata sobre a finalidade: uma vez que a finalidade foi alcançada, ou os dados
deixaram de ser necessários, o tratamento está encerrado.
Suponha que a finalidade de determinados dados é uma campanha para o
Outubro Rosa, logo não faz sentindo continuar tratando os dados depois da
data especificada, exceto se no documento de descrição da finalidade constava a
extensão desse processo. Perceba que mesmo neste caso os dados também não
são mais “necessários”, mas se por algum motivo devem continuar a ser tratados
para compor o resultado de algum estudo, deixe essa informação muito clara no
seu termo.
O inciso II
Os incisos III e IV
Referem-se à vontade externa, ou seja, o titular comunica que não quer que haja
mais nenhum tratamento dos seus dados ou a ANPD comunica que o tratamento
não pode mais ser realizado. Neste caso o ponto importante a ser estruturado é a
documentação sobre as ações que serão interrompidas. Documente as ações, além
de descartar os dados ou devolvê-los ao titular, e deixe tudo muito bem registrado,
pois este é um ponto de falha e de descuido comum nos processos da LGPD. Se
existe um termo de consentimento que o titular assina para fornecer os dados, deve
existir também um termo que ele assina quando exige a interrupção do tratamento.
O art. 16 fala sobre a eliminação (descarte) dos dados após o término do tratamento.
O texto do artigo e seus incisos dizem:
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que
anonimizados os dados. (BRASIL, 2018).
Como já descrito, a LGPD não fixou um prazo mínimo ou máximo para o tratamento,
porém o art. 16 chama a atenção para a manutenção dos dados após o término do
tratamento, desde que seja para cumprimento de obrigação legal ou regulatória,
estudo por órgão de pesquisa, transferência a terceiros ou uso exclusivo do
controlador.
Volte sua atenção para os incisos demonstrados agora! Os incisos III e IV carecem de
mais esclarecimentos, visto que ora falam que a transferência a terceiros é possível
e em seguida trazem uma vedação ao acesso por terceiro. Depreende-se do inciso III
que a transferência a terceiros será possível se corretamente descrita na finalidade
e autorizada pelo titular. Porém, no inciso IV, se o controlador alega que os dados
continuarão em seu domínio para uso exclusivo, então não faz sentido esse possível
compartilhamento.
Você chegou ao fim desta unidade. Caso ainda tenha dúvidas, reveja o conteúdo e
se aprofunde nos temas propostos. Siga firme nos estudos!
BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pes-
soais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.
planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 jun. 2022.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.
LAUDON, K. C.; LAUDON, J. P. Sistemas de Informação Gerenciais. São Paulo: Pearson, 2014.
Ao final desta unidade o aluno deverá ser capaz de reconhecer os principais elementos
do termo de consentimento e outras bases legais para o tratamento de dados.
• Legítimo interesse;
Uma importante observação é o fato de a LGPD ter elegido a ANPD como titular
da interpretação da lei, ou seja, a ANPD possui competência originária sobre casos
omissos ou interpretações que derivem da lei sobre proteção de dados. Assim, todo
parecer acerca de elementos da lei deve ter respaldo em outra lei ou em pareceres
da própria ANPD. Por isso, o guia orientativo e outros manuais são citados para que,
em caso de dúvida, eles sejam corretamente invocados no caso concreto. Veja as
publicações da ANPD disponíveis no gov.br (veja aqui).
Que tal alguns exemplos para você compreender melhor esse contexto?
Contrato de adesão.
Fonte: Freepik (2022).
Conforme pode ser observado no Guia (ANPD, 2022), a Administração Pública pode
substituir o termo de consentimento por outras bases legais para o tratamento de
dados pessoais. Neste caso, a recomendação é que o gestor faça a indicação de
Interesse Legítimo
Por exemplo, uma empresa privada possui o cadastro dos colaboradores e seus
dependentes. Então, na coleta dos dados a empresa deverá solicitar a autorização
de tratamento (termo de consentimento) para a gestão de segurança de dados
juntamente com as outras autorizações (pode se fazer constar em um único termo as
finalidades), não podendo invocar o interesse legítimo para realizar esse tratamento
a qualquer tempo. No caso em questão, dados sensíveis também serão tratados,
pois utiliza-se o termo de consentimento e não o interesse legítimo.
A figura a seguir mostra um resumo das bases legais que poderão ser utilizadas para o
tratamento de dados pessoais, lembrando que a Administração Pública poderá utilizar-
se de todos eles e as empresas privadas só poderão utilizar o termo de consentimento.
Termo de Consentimento
O termo de consentimento habita o coração da LGPD, visto que para todo tratamento
de dados do mundo privado ele deverá ser utilizado. Já na Administração Pública ele
poderá ser utilizado ou substituído, conforme já estudado. Como no caso concreto
às vezes o termo de consentimento é muito simples de ser criado e utilizado,
convém conhecer sua estrutura e elementos associados para regular sua utilização
em qualquer esfera, seja pública ou privada.
Por exemplo, se uma prefeitura precisa realizar uma campanha para entender
a quantidade e o padrão de pessoas (homem, mulher, faixa etária) que acessa
determinado ponto turístico da cidade e, para isso, realiza uma coleta de dados em
uma determinada rede social (check-ins, posts, comentários) referente ao ponto
turístico da cidade, ela poderá fazer sem o consentimento dos titulares, uma vez
que os dados são públicos, porém não poderá tratar ou transferir esses dados para
finalidade adversa que não seja a proposta inicial (Art. 7-X, §§ 3, 4, 6).
Atenção especial a isso está presente nos parágrafos 5, 6 e 7, que reiteram sobre a
mudança de finalidade, portanto se o controlador precisa compartilhar os dados com
terceiros ou destiná-lo a nova finalidade, será necessária uma nova comunicação para
obter um consentimento específico. Portanto estude bem a finalidade (não pode ser
genérica nem muito abrangente) para não ter muitos retrabalhos depois.
O art. 9º traz mais detalhes sobre o termo, tais como forma e duração do tratamento,
identificação do controlador, qual o contato com o controlador (ou encarregado)
caso o titular queira efetuar a revogação e quais são os caminhos para esta ação.
É necessário ainda informar se os dados serão compartilhados e as respectivas
responsabilidades de quem realiza o tratamento.
Agora, assista a videoaula a seguir, na qual você irá compreender um pouco mais
sobre o tratamento de dados na Administração Pública e a relação com as outras
bases legais da LGPD, além do termo de consentimento!
• o titular;
• o controlador;
• o operador; e
• a finalidade.
[Dados da Unidade/Órgão]
[Endereço da Unidade/Órgão]
[Contatos: Telefone e E-mail]
Este documento visa registrar a livre manifestação pela qual o Titular dos dados aqui
inseridos concorda com o tratamento, pelo controlador e o respectivo operador,
para a finalidade específica de acordo com os termos da Lei 13.709 – Lei Geral de
Proteção de Dados Pessoais (LGPD).
Dados Pessoais
• Nome completo
• Nome social
• Número e imagem do RG
• CPF
• Matrícula
• Sexo
• Data de nascimento
• Estado civil
• Endereço completo
• Nível de Escolaridade
• Raça
• Cor
• Imagem
3- Compartilhamento de dados
O titular possui o direito de obter do Controlador todas as informações sobre seus dados
e os tratamentos aplicados mediante requisição por e-mail [ou outro canal escolhido],
bem como dados sobre os dados que podem ser transferidos para o operador.
O titular possui o direito de revogar esse termo, em qualquer momento, sem ônus,
mediante solicitação expressa via e-mail ou outro canal escolhido. OBS: Evite as
revogações por via oral, pela simples falta de registro.
O titular poderá entrar em contato para sanar dúvidas sobre a finalidade do tratamento
e outras dúvidas referentes aos seus dados no canal [e-mail/telefone] e o tempo de
resposta será de 15 dias [não é preciso estipular o número de dias, porém, seguindo
a lei de processo administrativo e normas do TCU convém inserir o prazo].
O controlador poderá manter os dados por [30 dias] [ou o prazo estipulado
dependendo do tipo de dado, desde que não desobedeça à Lei de Acesso à
Informação (12527/2011)] após o término do tratamento, ou, sendo pertinente, o
controlador poderá manter os dados por prazo superior ao estipulado resguardando
todos os direitos previstos da LGPD.
Caso o titular queira a eliminação dos dados não anonimizados [essa ressalva
é importante, visto que, em tese, uma vez anonimizados não há mais como
estabelecer a relação do titular com o dado] antes do prazo estipulado ele poderá
requerer expressamente por e-mail.
Você chegou ao fim desta unidade. Caso ainda tenha dúvidas, reveja o conteúdo e
se aprofunde nos temas propostos. Bons estudos!
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.
Ao final desta unidade você deverá ser capaz de identificar os personagens envolvidos no
tratamento de dados pelo poder público.
Uma ressalva é o que se observa no art. 4º- III, que indica que a lei não se aplica quando o
tratamento de dados pessoais é realizado para fins exclusivos de segurança pública,
defesa nacional, segurança nacional ou atividades de investigação e repressão de
infrações penais. Como essas ações são executadas por órgãos públicos, convém
notar que não será necessário trazer à baila as regras da LGPD nestes casos.
Não se pode confundir a função típica dos órgãos que executam as regras acima
com a função administrativa, por exemplo, da Polícia Federal ou da Marinha quando
estiverem tratando dados referentes à segurança pública ou defesa nacional. Neste
caso as instituições não precisam aplicar a LGPD, porém se o tratamento for para
atender demandas do sindicato da categoria, ou do fundo de previdência, essa
regulação deve ser obedecida normalmente.
O art. 26 alerta que o poder público não pode tratar dados para algo que não seja
a finalidade específica e sua atribuição legal, respeitando os princípios de proteção
e segurança. Sob essa ótica, além de ter que obedecer aos princípios elencados
na própria lei em parágrafos anteriores, também precisam ser resguardados os
princípios constitucionais explícitos e implícitos, além de ser vedada a transferência
para entidades privadas, exceto em casos de execução descentralizada de atividade
pública que exija essa ação, desde que obedeça ao fim específico e obedeça aos
preceitos da Lei de Acesso à Informação.
Já o art. 29 faz importante ressalva sobre o tratamento de dados, uma vez que
permite que a autoridade nacional solicite a qualquer momento, aos órgãos e
entidades públicas, a realização de operações de tratamento de dados e informações
específicas sobre sua natureza.
Você chegou ao fim desta unidade. Caso ainda tenha dúvidas, reveja o conteúdo e
se aprofunde nos temas propostos. Siga firme nos estudos!
Ao final desta unidade você deverá ser capaz de estabelecer os mecanismos para
consentimento e uso de dados.
Mas, o que é garantir a disponibilidade? Significa ter uma rota sólida de acesso aos
dados e sistemas que permitam a recuperação total em caso de falhas, perdas,
vazamento de dados, ataques de cibercriminosos, ransomware etc.
Disponibilidade de dados.
Fonte: Freepik (2022).
Para criar uma ideia real, mas não muito ampliada, do que deve ser realizado,
buscando focar apenas na implementação da LGPD. O inventário pode ser feito
sobre os dados que o controlador recebe do titular e possui a obrigação de tratar
(aqui no sentido amplo, tratar, proteger, armazenar, descartar). Vale reforçar que a
recomendação da SGD é a governança de todos os dados (entenda-se no sentido de
qualquer ativo que contenha dados, podendo ser um arquivo de banco de dados ou
um currículo em papel).
Inventário de dados.
Fonte: Freepik (2022). Elaboração: CEPED/UFSC (2022).
De maneira global, o correto é que tudo isso esteja na política de segurança, porém
caso não exista essa política no seu local de trabalho ou seja muito complicado
mudar a PSI antes de implementar a LGPD, estabeleça esse processo de forma
micro, para atender as demandas de implementação.
Convém, segundo a ISO 27001, realizar a salvaguarda dos dados em discos que
sejam específicos para este fim, ou serviços de nuvem que não estejam conectados
com o sistema em uso, como por exemplo uma conta do Google Drive, do Microsoft
OneDrive, entre outros.
Portanto defina um local seguro para o armazenamento dos dados que serão
tratados e outro local para o backup de todos os dados tratados que precisam ser
copiados e armazenados seguramente.
Neste ponto espera-se que todos esses aspectos macro já tenham sido
implementados, mudando agora para uma visão da estrutura micro. Para isso os
dados específicos de tratamento referidos pela LGPD devem ser analisados e os
principais riscos colocados em pauta para análise. Acompanhe os exemplos:
Levante o maior número de perguntas possíveis para discutir com a equipe. Analise
cuidadosamente os processos de armazenamento, acesso, tratamento e descarte
dos dados.
Que bom que você chegou até aqui! Agora é a hora de você testar seus conhecimentos.
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.
4 Infrações e Penalidades
Ao final desta unidade você deverá ser capaz de reconhecer quais são as infrações e
penalidades da LGPD, bem como os documentos necessários para defesa prévia de uma
notificação da ANPD (Autoridade Nacional de Proteção de Dados) ou infração.
O capítulo que trata sobre infrações e penalidades da LGPD é o cap. VIII, constituído
pelos artigos 52, 53 e 54 (BRASIL, 2018). O primeiro ponto importante a ser notado
por você no texto da lei é o fato de ser responsabilidade da ANPD a fiscalização
e consequente aplicação da sanção administrativa aos agentes de tratamento de
dados. Neste ponto do curso espera-se que você não tenha mais dúvidas sobre
quem é o agente de tratamento de dados. Embora o artigo 5 não traga uma definição
formal, tem-se que nos artigos 1, 2 e 3 a lei é clara ao atribuir esse papel a “toda
pessoa natural ou jurídica de direito público ou privado”.
Caso esse cuidado não esteja sendo aplicado corretamente, a lei estabelece algumas
sanções que estão elencadas no artigo 52 nos seguintes incisos:
III - multa diária, observado o limite total a que se refere o inciso II;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
Ligações indesejadas.
Fonte: Freepik (2022).
A multa sem dúvidas é a sanção mais temida, podendo chegar à cifra de R$ 50 milhões
por infração. A multa também pode ser diária, um exemplo comum ocorrendo
em demandas judiciais quando o magistrado arbitra uma multa diária em caso
de descumprimento de determinada ação ou o uso indevido de algum elemento.
Por exemplo, a ANPD pode exigir que dados de um titular sejam removidos de um
banco de dados e estabelecer um prazo para que isso ocorra. Caso o prazo não seja
cumprido uma multa diária será estabelecida por dia de ultrapassagem do prazo.
Por outro lado, as sanções poderão ser atenuadas a depender da política de segurança
e de boas práticas; da adoção de medidas corretivas e protetivas; e outras medidas
que a entidade conseguir provar que adota para proteger os dados. Por essa razão
foi mostrada aqui a importância de estruturar medidas de segurança através da PSI,
uma boa política de segurança e todas as técnicas de proteção envolvidas. Além de
amenizar problemas de segurança, isso também ajuda a diminuir a gravidade das
sanções que podem ser aplicadas pela ANPD na fiscalização da LGPD.
Ao observar o artigo 52 note que é possível concluir que a adoção de boas práticas
de segurança e gestão dos dados são elementos que atenuam sanções. É por isso
que se uma empresa implementa tudo isso, mas não tem documentação para
comprovar, de pouco adianta.
Lista de documentos.
Elaboração: CEPED/UFSC (2022).
A LGPD, no artigo 48, § 1º (BRASIL, 2018), diz que o controlador deve comunicar à
ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou
dano relevante aos titulares. Neste caso não são todos os incidentes que precisam ser
comunicados, somente os que possam acarretar esses riscos ou danos relevantes.
O maior problema é entender qual o limiar entre danos relevantes ou não relevantes,
uma vez que os riscos podem ser estabelecidos utilizando a análise e avaliação da
ISO 27005. Neste caso os riscos e seus limiares já devem estar bem estabelecidos e
documentados (de agora em diante nada de criar uma regra sem documentar, ok?!).
Assim, a maior recomendação que se pode fazer é que você tenha uma boa equipe
para responder aos incidentes caso eles aconteçam, primeiramente pelo tamanho
do problema que isso pode causar aos titulares, e também por conta do processo
de fiscalização da ANPD que poderá aplicar sanções mais duras dependendo de
como for o tratamento dado pelos titulares ao processo.
Que bom que você chegou até aqui! Agora é a hora de você testar seus conhecimentos.
Para isso, acesse o exercício avaliativo disponível no ambiente virtual.
BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais
(LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.planalto.
gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 jun. 2022.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.