GPTI – GESTÃO DE PROJETOS

PROFESSORES JOÃO MELLO DA SILVA, EDISON ISHIKAWA

SUMÁRIO
APÊNDICE AO6–DETALHAMENTO PROTEÇÃO DA PRIVACIDADE ....................................................................................... 1
AO6.1–PROTEÇÃO DE DADOS PESSOAIS NO BRASIL: EMENDA CONSTITUCIONAL 115/2022 E LGPD ................................ 1
AO6.2–PROTEÇÃO DADOS PESSOAIS UNIÃO EUROPEIA: GENERAL DATA PROTECTION REGULATION–GDPR ..................... 4
AO6.3–PROTEÇÃO DE DADOS PESSOAIS EUA: FAIR INFORMATION PRACTICE PRINCIPLES–FIPPs ...................................... 6

APÊNDICE AO6–DETALHAMENTO PROTEÇÃO DA PRIVACIDADE

Capítulos do Apêndice AO6: AO6.1-Proteção de Dados Pessoais no Brasil: Emenda Constitucional 115/2022 e LGPD; AO6.2-
Proteção de Dados Pessoais União Europeia: General Data Protection Regulation: GDPR; AO6.3-Proteção de Dados Pessoais
EUA: Fair Information Practice Principles: FIPPs.
AO6.1–PROTEÇÃO DE DADOS PESSOAIS NO BRASIL: EMENDA CONSTITUCIONAL 115/2022 E LGPD
Com a possível publicação de tabelas e gráficos oriundos da exploração de dados, torna-se necessário não só um entendimento
básico de alguns itens associados a dados, como maturidade da governança, integração e qualidade
(https://www.lightsondata.com/data-governance-maturity-models-gartner/), mas também da proteção de dados pessoais no
Brasil e no mundo.
A Proposta de Emenda à Constituição 17/2019 (PEC 17/2019), transformada na Emenda Constitucional 115/2022 em
10/02/2022, “Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias
fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.”
(https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2210757). A EC 115/2022 deixa explícito na
Constituição que proteção de dados pessoais é parte integrante dos direitos e garantias fundamentais, além de facilitar a
consolidação federal da legislação de todas as unidades da federação sobre o assunto.
A Lei 13.709/2018 (LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS – LGPD) (http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/l13709.htm), conforme redação dada pela Lei 18.853/2019 (http://www.planalto.gov.br/ccivil_03/_Ato2019-
2022/2019/Lei/L13853.htm#art2), é aqui tratada como a principal referência legal infraconstitucional em privacidade de dados
pessoais no Brasil. No âmbito do Processo Judicial Brasileiro (PJe) deve ser considerada a relevância dos Diários da Justiça
eletrônicos (DJe) no assunto.
Criada pelo artigo 55A da LGPD como “órgão da administração pública federal, integrante da Presidência da República”,
compete à Autoridade Nacional de Proteção de Dados (ANPD), segundo o Artigo 55-J da LGPD:
I - zelar pela proteção dos dados pessoais, nos termos da legislação;
II - zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das
informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo
administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
V - apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador
não solucionada no prazo estabelecido em regulamentação;
VI - promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das
medidas de segurança;
VII - promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
VIII - estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus
dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
IX - promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional
ou transnacional;
X - dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial
e industrial;

1
XI - solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais
informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade
de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
XII - elaborar relatórios de gestão anuais acerca de suas atividades;
XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de
impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais
de proteção de dados pessoais previstos nesta Lei;
XIV - ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades
e planejamento;
XV - arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o
detalhamento de suas receitas e despesas;
XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a
devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes
de tratamento, incluído o poder público;
XVII - celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica
ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de
setembro de 1942;
XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que
microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se
autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
XIX - garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu
entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
XX - deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os
casos omissos;
XXI - comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
XXII - comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da
administração pública federal;
XXIII - articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de
atividades econômicas e governamentais sujeitas à regulação; e
XXIV - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o
tratamento de dados pessoais em desconformidade com esta Lei.
A empresa DLA Piper mantém o site “Data Protection Laws of the World” (https://www.dlapiperdataprotection.com/), que
atribui a cada país um indicador de “Regulation & Enforcement” em quatro graus em ordem decrescente (Heavy, Robust,
Moderate, Limited), constitui um elemento de consolidação muito útil na comparação de leis de proteção de dados no mundo.
Além de permitir acesso a um resumo da situação legal de cada país e permitir comparações entre países, o site também mostra
a situação de todos os países em conjunto, identificando o respectivo grau de Regulation & Enforcement em 4 cores: Heavy:
vermelho, Robust: rosa, Moderate: amarelo e Limited: verde. O mapa de cores junho/2022 mostrava o Brasil como Moderate,
enquanto outros 10 países selecionados tinham os seguintes graus: Heavy: Canadá, China, Dinamarca, EUA, França, Reino
Unido; Robust: Argentina, Japão; Moderate: Chile; Limited: Índia.
A Medida Provisória Nº 1.124, de 13 de junho de 2022, que “Altera a Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de
Proteção de dados Pessoais, transforma a Autoridade Nacional de Proteção de Dados em autarquia de natureza especial e
transforma cargos em comissão.” estabelece, em seu Art. 7º, que a Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar
com as seguintes alterações:
“Art. 55-A. Fica criada a Autoridade Nacional de Proteção de Dados – ANPD, autarquia de natureza especial, dotada de
autonomia técnica e decisória, com patrimônio próprio e foro no Distrito Federal.”
“Art. 55-C. .....
.......................
V – Procuradoria; e
.......................”
Em seu Art. 8º, a MP Nº 1.124 dispõe que o Art. 2º Lei nº 13.844, de 2019, que lista os órgãos que integram a Presidência da
República, passa a vigorar com as seguintes alterações:

2
 “Art. 8º A Lei nº 13.844, de 18 de junho de 2019, passa a vigorar com as seguintes alterações:
Art. 60. .....
.................
VI – a Autoridade Nacional de Proteção de Dados – ANPD, até 31 de dezembro de 2026.
...”.
Assim, caso a MP Nº 1.124 seja aprovada como originalmente enviada, a partir de 01/01/2027 a ANPD deixará de integrar a
Presidência da República, passando a ser uma autarquia especial.
Os fundamentos da proteção de dados pessoais listados no Art. 2º da LGPD constituem os direcionadores básicos para definir
concentrações iniciais para “Proteção de Dados Pessoais”:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor;
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas
naturais.
De acordo com aspectos (i) Intrapessoais (Intrapersonal, pessoa com a própria pessoa-person to himself/herself); (ii)
InterpessoalSainte (InterpersonalInOut, pessoa para o ambiente-person to environment); (iii) InterpessoalEntrante
(InterpersonalOutIn, ambiente para a pessoa-environment to person); e (iv) Extrapessoais (Extrapersonal, ambiente com o
ambiente-environment to environment), os Fundamentos da LGPD podem ser categorizados de acordo com: (i)
Intrapessoais/Intrapersonal: II; (ii) InterpessoaisSaintes/InterpersonalInOut: III, VII; (iii) Interpessoais/InterpersonalOutIn: I,
IV; e (iv) Extrapessoais/Extrapersonal: V, VI.
Levando em conta essa categorização, a Figura AO6.1 contempla 4 concentrações iniciais para “Proteção de Dados Pessoais”:
(i) Intrapessoais-Intrapersonal: Consentimento-Consent; (ii) InterpessoalEntrante-InterpersonalOutIn: SegurançaEntrante-
SecurityOutIn; (iii) InterpessoalSainte-InterpersonaInOut: SegurançaSainte-SecurityInOut; e (iv) Extrapessoais-
Extrapersonal: Fiscalização-Surveillance.
CONCENTRAÇÕES PARA PROTEÇÃO À PRIVACIDADE COM BASE NOS 7 FUNDAMENTOS DA LGPD
ASPECTO DE
CONCENTRAÇÃO FUNDAMENTOS DA LGPD
RELACIONAMENTO PESSOAL
INTRAPESSOAL
CONSENTIMENTO PESSOAL II-A AUTODETERMINAÇÃO INFORMATIVA
PESSOA↔PRÓPRIA PESSOA
III-A LIBERDADE DE EXPRESSÃO, DE
INFORMAÇÃO, DE COMUNICAÇÃO E DE
OPINIÃO
INTERPESSOAL SAINTE
VII-OS DIREITOS HUMANOS, O LIVRE
PESSOA→AMBIENTE
INTERAÇÃO VIA DADOS DESENVOLVIMENTO DA PERSONALIDADE,
SER HUMANO/MÁQUINA A DIGNIDADE E O EXERCÍCIO DA
CIDADANIA PELAS PESSOAS NATURAIS
I-O RESPEITO À PRIVACIDADE
INTERPESSOAL ENTRANTE
IV-A INVIOLABILIDADE DA INTIMIDADE,
AMBIENTE→PESSOA
DA HONRA E DA IMAGEM
V-O DESENVOLVIMENTO ECONÔMICO E
TECNOLÓGICO E A INOVAÇÃO
EXTRAPESSOAL
FISCALIZAÇÃO VI-A LIVRE INICIATIVA, A LIVRE
AMBIENTE↔AMBIENTE
CONCORRÊNCIA E A DEFESA DO
CONSUMIDOR
FIGURA AO6.1–CONCENTRAÇÕES PARA PROTEÇÃO DE DADOS PESSOAIS
Ainda em relação à LGPD, vale salientar os seguintes conceitos:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a
sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético
ou biométrico, quando vinculado a uma pessoa natural;

3
 III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos
razoáveis e disponíveis na ocasião de seu tratamento;
IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou vários locais, em suporte eletrônico
ou físico;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao
tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em
nome do controlador;
VIII – encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e
os titulares e a autoridade nacional;
IX – agentes de tratamento: o controlador e o operador;
AO6.2–PROTEÇÃO DADOS PESSOAIS UNIÃO EUROPEIA: GENERAL DATA PROTECTION REGULATION–GDPR
A Figura AO6.2 apresenta as concentrações para Proteção à Privacidade segundo os aspectos de processamento de dados, de
acordo com os Principles do Article 5 da General Data Protection Regulation – GDPR, da União Europeia.

4
 CONCENTRATIONS FOR PRIVACY PROTECTION: FOCUS ON GDPR DATA PROCESSING

CONCENTRATION ASPECT OF DATA PROCESSING PRINCIPLES (ART. 5 GDPR)

(5.1b) PERSONAL DATA SHALL BE: COLLECTED FOR
SPECIFIED, EXPLICIT AND LEGITIMATE PURPOSES
AND NOT FURTHER PROCESSED IN A MANNER
THAT IS INCOMPATIBLE WITH THOSE PURPOSES;
FURTHER PROCESSING FOR ARCHIVING PURPOSES
PURPOSE LIMITATION
IN THE PUBLIC INTEREST, SCIENTIFIC OR
HISTORICAL RESEARCH PURPOSES OR STATISTICAL
PURPOSES SHALL, IN ACCORDANCE WITH ARTICLE
89(1), NOT BE CONSIDERED TO BE INCOMPATIBLE
WITH THE INITIAL PURPOSES.
PURPOSE AND
(5.1c) PERSONAL DATA SHALL BE: ADEQUATE,
LICITNESS RELEVANT AND LIMITED TO WHAT IS NECESSARY
DATA MINIMIZATION
IN RELATION TO THE PURPOSES FOR WHICH ARE
PROCESSED.

(5.1a) PERSONAL DATA SHALL BE: PROCESSED

LAWFULNESS, FAIRNERS AND
LAWFULLY, FAIRLY IN A TRANSPARENT MANNER
TRANSPARENCY
IN RELATION TO THE DATA SUBJECT.

(5.2) THE CONTROLLER SHALL BE RESPONSIBLE FOR,

ACCOUNTABILITY AND BE ABLE TO DEMONSTRATE COMPLIANCE
WITH, PARAGRAPH 5.1.

(5.1d) PERSONAL DATA SHALL BE: ACCURATE AND,

ACCURACY
(AVAILABILITY AT REQUIRED
PERFORMANCE LEVEL))
WHERE NECESSARY, KEPT OUT TO DATE; EVERY
REASONABLE STEP MUST BE TAKEN TO ENSURE
THAT PERSONAL DATA THAT ARE INACCURATE,
HAVING REGARD TO THE PURPOSES FOR WHICH
THEY ARE PROCESSED, ARE ERASED OR RECTIFIED
WITHOUT DELAY.

(5.1e) PERSONAL DATA SHALL BE: KEPT IN A FORM

WHICH PERMITS IDENTIFICATION OF DATA
SUBJECTS FOR NO LONGER THAN IS NECESSARY
FOR THE PURPOSES FOR WHICH THE PERSONAL
DATA ARE PROCESSED; PERSONAL DATA MAY BE
STORED FOR LONGER PERIODS INSOFAR AS THE
STORAGE LIMITATION PERSONAL DATA WILL BE PROCESSED SOLELY FOR
ATTRIBUTES OF
(AVAILABILITY DURING A PERIOD OF ARCHIVING PURPOSES IN THE PUBLIC INTEREST,
DATA TIME) SCIENTIFIC OR HISTORICAL PURPOSESIN
ACCORDANCE WITH ARTICLE 89(1) SUBJECT TO
IMPLEMENTATION OF THE APPROPRIATE
TECHNICAL AND OGANISATIONAL MEASURES
REQUIRED BY THIS REGULATION IN ORDER TO
SAFEGUARD THE RIGHTS AND FREEDOMS OF THE
DATA SUBJECT.

(5.1f) PERSONAL DATA SHALL BE: PROCESSED IN A

INTEGRITY AND CONFIDENTIALITY
MANNER THAT ENSURES APPROPRIATE SECURITY
OF THE PERSONAL DATA, INCLUDING PROTECTION
AGAINST UNAUTHORIZED OR UNLAWFUL
PROCESSING AND AGAINST ACCIDENTAL LOSS,
DESTRUCTION OR DAMAGE, USING APPROPRIATE
TECHNICAL OR ORGANIZATIONAL MEASURES.

FIGURA AO6.2–PRIVACY PROTECTION REGARDING DATA PROCESSING: FOCUS ON GDPR

A Regulation (EU) 2016/679 of the European Parliament and the Council, (“General Data Protection Regulation - GDPR”),
aprovada em 27/04/2016 com vigência a partir de 15/05/2018, considera em seu Article 4 as seguintes definições, bem mais
detalhadas que aquelas da LGPD:
(1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an
identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such
as a name, an identification number, location data, an online identifier or one of several special characteristics which express
the physical, physiological, genetic, mental, economic, cultural or social identity to that natural person;
(4) ‘profilling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate
certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural
person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or
movements;

5
 (5) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be
attributed to a specific data subject without the use of additional information, provided that such additional information is
kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed
to an identified or identifiable natural person;
(6) ‘filing system’ means any structured set of personal data which are accessible accoding to specific criteria, whether
centralised, decentralised or dispersed on a functional or geographical basis;
(7) ‘controller’ means the natural or legal person, public authority, agency, or other body which, alone or jointly with others,
determines the purposes and means of the processing of personal data; where the purposes and means of such processing
are determined by Union or Member State Law, the controller or the specific criteria for its nomination may be provided for
by Union or Member State law;
(8) ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on
behalf of the controller;
(9) ‘recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are
disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a
particular inquiry in accodance with Union or Member State law shall not be regarded as recipients; the processing of those
data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes
of the processing;
(10) ‘third party’ means a natural or legal person, public authority, agency or body other than the data subject, controller,
processor and persons who, under the direct authority of the controller or processor, are authorised to process personal
data;
(16) ‘main establishment’ means:
(a) as regards a controller with establishments in more than one Member State, the place of its central administration
in the Union, unless the decisons on the purposes and means of the processing of personal data are taken in another
establishment of the controller in the Union and the later establishment has the power to have such decisions
implemented, in which case the establishment having taken such decisions is to be considered to be the main
establishment;
(b) as regards a controller with establishments in more than one Member State, the place of its central administration
in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the
Union where the main processing activities in the contexto of the activities of an establishment of the processor take
place to the extent that the processor is subject to specific obligations under this Regulation;
(17) ‘representative’ means a natural or legal person established in the Union who, designated by the controller or processor
in writing pursuant to Article 27, represents the controller or processor with regard to tjeir respective obligations under this
Regulation;
(18) ‘enterprise’ means a natural or legal person engaged in an economic activity, irrespective of its legal form, including
partnerships or assciations regularly engaged in an economic activity;
(19) ‘group of undertakings’ means a controlling undertaking and its controlled undertakings;
(20) ‘binding corporate rules’ means personal data protection policies which are adhered to by a controller or processor
established on he territory of a Member State for transfers or a set of transfers of personal data to a controller or processor
in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity;
(21) ‘supervisory authority’ means an independente public authority which is established by a Member State pursuant to
Article 51;
(22) ‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal
data because:
(a) the controller or processor is established on the territory of the Member State of that supervisory aythority;
(b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be
substantially affected by the processing; or
(c) a complaint has been lodged with that supervisory authority;
(26) ‘international organization’ means an organization and its subordinate bodies governed by public international law, or
any other body which is set up by, or an agreement between two or more countries.
AO6.3–PROTEÇÃO DE DADOS PESSOAIS EUA: FAIR INFORMATION PRACTICE PRINCIPLES–FIPPs
Apesar de a maioria dos estados ter legislação em Privacidade de Dados Pessoais, em alguns até bastante avançadas, não existe
uma lei federal específica sobre o assunto. Daí decorre a força de conceitos contidos em regulamentos federais, como os “Fair
6
Information Practice Principles – FIPPs”, descritos nas páginas 112 e 113 do Appendix II da Circular A130 – Managing
Information as a Strategic Resource, do Office of Management and Budget (OMB). Conforme a Figura AO6.3 as concentrações
de Proteção à Privacidade podem ser segmentadas segundo os títulos das FIPPs.
CONCENTRATIONS FOR PRIVACY PROTECTION: FOCUS ON FAIR INFORMATION PRACTICE PRINCIPLES - FIPPs

CONCENTRATION FIPP TITLE FIPP DESCRIPTION (OMB CIRCULAR A-130, APPENDIX II, PP. II2-II3)

AGENCIES SHOULD PROVIDE NOTICE OF THE SPECIFIC PURPOSE FOR WHICH

(g) PURPOSE PERSONAL IDENTIFIABLE INFORMATION (PII) IS COLLECTED AND SHOULD USE,
SPECIFICATION AND PROCESS, STORE, MAINTAIN, DISSEMINATE, OR DISCLOSE PII FOR A PURPOSE THAT IS
USE LIMITATION EXPLAINED IN THE NOTICE AND IS COMPATIBLE WITH THE PURPOSE FOR WHICH THE
PII WAS COLLECTED, OR THAT IS OTHERWISE LEGALLY AUTHORIZED.
PURPOSE
SHOULD ONLY CREATE, COLLECT, USE, PROCESS, STORE, MAINTAIN, DISSEMINATE, OR
DISCLOSE PII THAT IS DIRECTLY RELEVANT AND NECESSARY TO ACCOMPLISH A
(d) MINIMIZATION
LEGALLY AUTHORIZED PURPOSE, AND SHOULD ONLY MAINTAIN PII FOR AS LONG AS
IS NECESSARY TO ACCOMPLISH THE PURPOSE.

AGENCIES SHOULD BE TRANSPARENT ABOUT INFORMATION POLICIES AND PRACTICES

WITH RESPECT TO PII, AND SHOULD PROVIDE CLEAR AND ACCESSIBLE NOTICE
(i) TRANSPARENCY
REGARDING CREATION, COLLECTION, USE, PROCESSING STORAGE, MAINTENANCE,
DISSEMINATION, AND DISCLOSURE OF PII.

AGENCIES SHOULD ONLY CREATE, COLLECT, USE, PROCESS, STORE, MAINTAIN,

(c) AUTHORITY DISSEMINATE, OR DISCLOSE PII IF THEY HAVE AUTHORITY TO DO SO, AND SHOULD
LICITNESS IDENTIFY THIS AUTHORITY IN THE APPROPRIATE NOTICE.

AGENCIES SHOULD BE ACCOUNTABLE FOR COMPLYING WITH THESE PRINCIPLES AND

APPLICABLE PRIVACY REQUIREMENTS, AND SHOULD APPROPRIATELY MONITOR,
AUDIT, AND DOCUMENT COMPLIANCE. AGENCIES SHOULD ALSO CLEARLY DEFINE THE
(b) ACCOUNTABILITY
ROLES AND RESPONSIBILITIES WITH RESPECT TO PII FOR ALL EMPLOYEES AND
CONTRACTORS, AND SHOULD PROVIDE APPROPRIATE TRAINING TO ALL EMPLOYEES
AND CONTRACTORS WHO HAVE ACCESS TO PII.

AGENCIES SHOULD CREATE, COLLECT, USE, PROCESS, STORE, MAINTAIN, DISSEMINATE,

(e) QUALITY AND OR DISCLOSE PII WITH SUCH ACCURACY, RELEVANCE, TIMELINESS, AND
INTEGRITY COMPLETENESS AS IS REASONABLY NECESSARY TO ENSURE FAIRNESS TO THE
INDIVIDUAL.
ATTRIBUTES OF
DATA AGENCIES SHOULD ESTABLISH ADMINISTRATIVE, TECHNICAL, AND PHYSICAL
SAFEGUARDS TO PROTECT PII COMMENSURATE WITH THE RISK AND MAGNITUDE OF
(h) SECURITY THE HARM THAT WOULD RESULT FROM ITS UNAUTHORIZED ACCESS, USE,
MODIFICATION, LOSS, DESTRUCTION, DISSEMINATION, OR DISCLOSURE.

AGENCIES SHOULD INVOLVE THE INDIVIDUAL IN THE PROCESS OF USING PII AND, TO
THE EXTENT PRACTICABLE, SEEK INDIVIDUAL CONSENT FOR THE CREATION,
(f) INDIVIDUAL
COLLECTION, USE, PROCESSING, STORAGE, MAINTENANCE, DISSEMINATION, OR
ROLES OF PARTICIPATION DISCLOSURE OF PII. AGENCIES SHOULD ALSO ESTABLISH PROCEDURES TO RECEIVE
INDIVIDUALS AND ADDRESS INDIVIDUALS' PRIVACY-RELATED COMPLAINTS AND INQUIRIES.
(AUTHENTICATION)
AGENCIES SHOULD PROVIDE INDIVIDUALS WITH APPROPRIATE ACCESS TO
(a) ACCESS AND
PERSONALLY IDENTIFIABLE INFORMATION AND APPROPRIATE OPPORTUNITY TO
AMENDMENT CORRECT OR AMEND PII.

FIGURA AO6.3–PROCESSAMENTO DE DADOS: FOCO NOS “FAIR INFORMATION PRACTICE PRINCIPLES”