Escolar Documentos
Profissional Documentos
Cultura Documentos
https://www.exin.com/exam-trainer/6426
Instrutores
https://exeed.pro/holder/badge/27052
https://app.exeed.pro/holder/badge/94238
Marcelo Pereira
Founder - Diretor
Profissional certificado DPO pela Exin Privacy and Data Protection, trilhas
Privacy & Data Protection Foundation (“PDPF”), Privacy & Data Protection
Practitioner (“PDPP”) e Information Security Management Foundation based on
ISO/IEC 27001 (“ISFS”).
marcelo@svalin.com.br
https://www.linkedin.com/in/marcelo-pereira-
gerente-juridico-dpo/
Rodrigo Alves
Founder - Diretor
Gerente de Projetos/DPO/CISO, atuando há 16 anos na área de Tecnologia da
Informação, com certificação:
svalin@svalin.com.br
https://www.linkedin.com/in/rodrigo-santana-
alvespmp-prince2-psm-pspo-pmiacp-
977a0b41/
www.mainsafe.com.br www.dponote.com.br
Apresentação da Turma
• Nome
• Experiência
• Expectativa
• Cidade e Estado
Grupo WhatsApp da Turma
EXIN – Certificações
➢ A digitalização dos negócios significa que a grande maioria das empresas está
processando volumes cada vez maiores de dados. Para proteger os clientes e
a si mesmos, essas organizações precisam adotar medidas cada vez mais
adequadas na proteção responsável dos dados pessoais.
➢ Ao nomear um DPO, eles garantem que haja governança e cuidado com esses
dados.
➢ Qualquer pessoa certificada pelo EXIN como Data Protection Officer foi
amplamente testada não apenas no Regulamento da UE, mas sobretudo nas
competências necessárias para assumir tal função. Isso inclui atividades de
implementação e manutenção em uma organização.
➢ A EXIN Privacy & Data Protection Foundation cobre os principais
assuntos relacionados à proteção de dados pessoais.
2. Clicar em “Cursos”
3. OFICINAS
1. www.svalin.com.br
2. Clicar em “Cursos”
• Guia de preparação
• Slides do Curso
Número de questões: 20
https://www.exin.com/exin-anywhere
Dúvidas ?
EXIN – Certificações
Resumo
Peso Foundation
Conteúdo (LGPD)
https://www.dlapiperdataprotection.com/index.html#handbook/world-map-section
*
• Em 1980, a Organização para Cooperação e Desenvolvimento Econômico (OCDE), desenvolveu um conjunto de práticas para garantir o
tratamento e manipulação de informações pessoais coletadas por organizações.
• Esses princípios são comumente referidos como o Código de Práticas Justas de Informação ou, simplesmente, FIPs (Fair Information
Practices), e são a base de praticamente toda a legislação de privacidade em todo o mundo.
❑ Sempre que possível, ele deve ser coletado diretamente do individuo a quem pertence (o titular dos dados).
❑ O titular dos dados deve ser informado do por que suas informações são necessárias.
❑ As informações não devem ser usadas para outros fins (secundários) sem o consentimento do titular dos dados.
❑ Os titulares dos dados devem ter a oportunidade de acesso aos seus dados pessoais e informações, corrigindo-as se estiverem
incorretas. Fonte: Cavoukian, Ann and Don Tapscott. (1995). Who Knows: Safeguarding your
privacy in a networked world..Toronto, ON: Random House of Canada, (pp. 23-34)
*
DPO
Data Protection Officer
Dados
Pessoais +
LGPD
*
Desafios da LGPD
Portabilidade de
dados
Atendimento de
Legitimação de
pedidos de
dados
titulares
Compartilhamento Incidentes de
com terceiros privacidade
Novo modelo
de operações
Prazos de
Eliminação de
retenção de
dados
dados
Gestão do ciclo
Gestão dos de vida dos
consentimentos dados e
Arquitetura e anonimização
governança de
dados pessoais
http://www.amchamrio.com/srcreleases/alexandre_cavina_protecao_de_dados_amchamrio.pdf
Privacy & Data Protection Essentials
“PDPE”
Fundamentos e Regulamentação de Privacidade e Proteção de Dados
Peso Exame
50%
Fundamentos e Regulamentação de Privacidade e Proteção de Dados
Definições
(...)
(...)
Definições
Fontes:
Direitos Humanos. – 4a ed. – Brasília : Senado Federal, Coordenação de Edições Técnicas, 2013.
EXIN Privacy & Data Protection Foundation Privacidade, Dados Pessoais e GDPR (White Paper Leo Besemer)
Fundamentos e Regulamentação de Privacidade e Proteção de Dados
➢ A definição de privacidade está explicitamente ligada à Carta dos Direitos Fundamentais da União Europeia.
➢ A proteção das pessoas físicas em relação ao tratamento de dados pessoais é um direito fundamental.
➢ O Artigo 8 (1) da Carta dos Direitos Fundamentais da União Europeia e o Artigo 16 (1) do Tratado sobre o
Funcionamento da União Europeia (TFUE) estabelecem que todas as pessoas têm direito à proteção dos direitos
fundamentais relativos aos dados pessoais.
Fontes: EXIN Privacy & Data Protection Foundation Privacidade, Dados Pessoais e GDPR (White Paper Leo Besemer)
Fonte:Workbook Privacidade, Dados Pessoais e LGPD
Fundamentos e Regulamentação de Privacidade e Proteção de Dados
“O presente regulamento respeita todos os direitos fundamentais e observa as liberdades e os princípios reconhecidos na Carta
consagrados nos Tratados, em particular o respeito pela vida privada e familiar, pelo lar e pelas comunicações, a proteção de dados
pessoais, a liberdade de pensamento, consciência e religião, liberdade de expressão e informação, liberdade para conduzir um negócio,
direito a um remédio eficaz e a um julgamento justo e diversidade cultural, religiosa e linguística.”
Fontes:
EXIN Privacy & Data Protection Foundation Privacidade, Dados Pessoais e GDPR (White Paper Leo Besemer)
Imagem / Gráfico: https://community.connection.com/align-your-security-infrastructure-with-gdpr/
Fundamentos e Regulamentação de Privacidade e Proteção de Dados
• No Brasil, o tema de privacidade e proteção de dados, que já era discutido, ganhou força com a chegada do GDPR,
uma vez que o Regulamento europeu poderia se tornar uma barreira comercial entre os Estados-Membros da
Área Econômica Europeia (AEE) e as empresas situadas em países sem legislação adequada sobre a matéria.
• As bases para a legislação nacional específica de proteção de dados foram construídas, principalmente por meio da
consolidação do direito à privacidade como um direito fundamental na Constituição Federal de 1988, como um direito
da personalidade no Código Civil de 2002, como um direito assegurado até mesmo pela Lei de Acesso à Informação
(2011), como princípio e direito estabelecidos pelo Marco Civil da Internet (2014), com o estabelecimento de padrões
de segurança definidos pelo Decreto nº 8.771 (2016) para o tratamento de dados pela internet.
Fontes:
EXIN Privacy & Data Protection Foundation Privacidade, Dados Pessoais e GDPR (White Paper Leo Besemer)
Imagem / Gráfico: https://community.connection.com/align-your-security-infrastructure-with-gdpr/
Fonte:Workbook Privacidade, Dados Pessoais e LGPD
Fundamentos e Regulamentação de Privacidade e Proteção de Dados
Ano Nome
1995 Diretiva n. 95/46/CE relativa à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados
2002 Carta dos Direitos Fundamentais da União Europeia
Código Civil
2011 Lei de Acesso à Informação
• Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por
pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de
privacidade e o livre desenvolvimento da personalidade da pessoa natural.
• Privacidade e proteção de dados pessoais devem ser uma prioridade para qualquer organização.
• Organizações que processam dados pessoais de pessoas localizadas no território brasileiro devem cumprir a Lei Geral de
Proteção de Dados Pessoais (LGPD).
• As organizações localizadas fora do Brasil também deverão observar a LGPD ao oferecer produtos e/ou serviços a
pessoas físicas no Brasil ou realizar qualquer tipo de tratamento no país.
Fonte: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Fonte: Workbook Privacidade, Dados Pessoais e LGPD
Fundamentos e Regulamentação de Privacidade e Proteção de Dados
Lei 13.709/2018 - Lei Geral de Proteção de Dados (LGPD)
Emenda Constitucional 115/2022
➢ A LGPD se aplica:
✓ aos dados pessoais apresentados de forma estruturada ou não, desde sistemas de banco de dados totalmente
automatizados até arquivos baseados em papel, como os prontuários médicos clássicos ainda usados em algumas clínicas
médicas.
“Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito
público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde
que:
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados
de indivíduos localizados no território nacional; ou
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
(...)”
Exemplo:
Controlador tem sede no Brasil, mas os dados estão em um servidor de cloud computing no Arizona, EUA.
A LGPD se aplica a uma empresa canadense que trata dados pessoais de um cidadão argentino para uma compra online?
SIM, caso esse cidadão argentino esteja em visita no Brasil, por exemplo em João Pessoa, no momento da compra e a
empresa canadense ofereça bens ou serviços para o Brasil.
➢ tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa
nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.
Dados Pessoais
❖ Texto ❖ Áudio
❖ Figuras ❖ E-mail
Fonte: EXIN Privacy & Data Protection Foundation Privacidade, Dados Pessoais e GDPR (White Paper Leo Besemer)
Fundamentos e Regulamentação de Privacidade e Proteção de Dados
➢ Legalmente, uma pessoa natural é um ser humano, sendo um indivíduo capaz de assumir
obrigações e ter direitos.
Nesse caso, falamos do direito à honra e institutos presentes no Código Civil brasileiro.
✓ Dados pessoais diretos são dados que podem ser atribuídos diretamente a um
indivíduo específico sem o uso de informações adicionais.
✓ Por exemplo, a foto do indivíduo, seu DNA, impressão digital, CPF, RG.
✓ Os nomes podem ser dados pessoais diretos se forem muito raros, mas a maioria dos
nomes não é considerada exclusiva e, portanto, não são dados pessoais diretos.
✓ Um título único, como "o atual ministro da economia do Brasil", também é uma
referência direta a um indivíduo, ou seja, dados pessoais diretos.
✓ Os dados pessoais indiretos são dados que podem estar, ou poderão estar no futuro, vinculados a um indivíduo específico
usando informações adicionais.
❖ Por exemplo, a placa numérica de um carro é um dado pessoal indireto, porque é possível rastrear o carro até seu
proprietário usando informações adicionais (neste caso, as informações em um banco de dados eram as placas de
matrícula relacionadas aos proprietários dos carros).
✓ O mesmo é válido para números exclusivos atribuídos a pessoas pelo governo (número de previdência social) ou por um
provedor de serviços internet (endereço IP), que pode ser vinculado a um único indivíduo.
✓ O fato de nem todos os controladores poderem rastrear uma placa de carro, número de segurança social ou endereço IP
para o indivíduo associado é irrelevante. O fato de que isso seja possível, faz com que sejam dados pessoais indiretos.
❖ Os nomes são dados pessoais indiretos, em que o nome é comum o suficiente para não apontar para uma
pessoa específica.
❖ Para distinguir "João da Silva" de outros indivíduos com esse nome, são necessárias informações adicionais,
como residência e data de nascimento, por exemplo.
✓ O objetivo de tal processo é poder coletar dados adicionais relativos ao mesmo indivíduo sem ter que conhecer sua
identidade.
❖ uma câmera registrando quantos carros passam por uma ponte em uma estrada.
✓ O controlador então substituiria cada número de placa de licença por uma chave exclusiva (pseudônimo),
mantendo uma tabela separada ligando cada chave à placa correspondente.
✓ O controlador pode então enviar esses dados sob pseudônimo para um processador, mantendo as chaves em um
local seguro.
✓ Os dados sob pseudônimo são uma espécie de dados pessoais indiretos em que os dados adicionais
necessários para identificar os indivíduos ("a chave") somente estarão disponíveis ao controlador.
✓ O processo é reversível (desde que a chave exista), consequentemente, os dados sob pseudônimo de uma
pessoa são considerados dados pessoais (a identificação ainda é tecnicamente possível).
Base de dados
Nome Altura Chave Nome Nome Altura
Pedro 1,73 Batman Pedro Batman 1,73 Reversibilidade
✓ A anonimização significa que nenhuma informação a partir da qual a pessoa a quem os dados se referem pode ser
identificada de qualquer forma.
❖ Um exemplo: para uma pesquisa de mercado sobre saúde e hábitos alimentares, um grupo selecionado de
entrevistados é chamado para colaborar. Nomes, números de telefone e outros dados dos entrevistados são
conhecidos e mantidos em um banco de dados para o qual os titulares dos dados deram sua permissão.
✓ Nesta pesquisa específica sobre saúde e hábitos alimentares, os dados identificáveis são apagados após a coleta das
informações necessárias para a pesquisa. Isto significa que os resultados não podem ser vinculados aos indivíduos.
✓ Em outras palavras, os dados deixados após a pesquisa são anonimizados, porque não podem ser vinculados de nenhuma
maneira aos próprios indivíduos.
Fontes EXIN Privacy & Data Protection Foundation Privacidade, Dados Pessoais e GDPR (White Paper Leo Besemer)
Nome
Base de dados Nome Altura
Batman 1,73 Irreversibilidade
Superman 1,89
Mulher 1,67
Base de dados
Maravilha
Fontes: Svalin
Fundamentos e Regulamentação de Privacidade e Proteção de Dados
✓ Dados genéticos.
✓ Dados biométricos
Tratamento
✓ Toda operação realizada com dados pessoais, como as que se referem tais como:
❖ Coleta, ❖ Processamento,
❖ Produção, ❖ Arquivamento,
❖ Recepção, ❖ Armazenamento,
❖ Classificação, ❖ Eliminação,
❖ Utilização, ❖ Avaliação,
❖ Acesso, ❖ Controle,
❖ Reprodução, ❖ Modificação,
❖ Transmissão, ❖ Comunicação,
❖ Distribuição, ❖ Transferência,
❖ Extração ❖ Difusão,
✓ Toda operação realizada com dados pessoais, como as que se referem tais como:
❖ Coleta - recolhimento de dados com finalidade específica; ❖ Processamento - ato ou efeito de processar dados visando organizá-los para obtenção de um
resultado determinado;
❖ Produção - criação de bens e de serviços a partir do tratamento de dados;
❖ Arquivamento - ato ou efeito de manter registrado um dado embora já tenha perdido a
❖ Recepção - ato de receber os dados ao final da transmissão; validade ou esgotado a sua vigência;
❖ Classificação - maneira de ordenar os dados conforme algum critério ❖ Armazenamento - ação ou resultado de manter ou conservar em repositório um dado;
estabelecido;
❖ Eliminação - ato ou efeito de excluir ou destruir dado do repositório;
❖ Utilização - ato ou efeito do aproveitamento dos dados;
❖ Avaliação - analisar o dado com o objetivo de produzir informação;
❖ Acesso - ato de ingressar, transitar, conhecer ou consultar a informação,
bem como possibilidade de usar os ativos de informação de um órgão ou ❖ Controle - ação ou poder de regular, determinar ou monitorar as ações sobre o dado;
entidade, observada eventual restrição que se aplique;
❖ Modificação - ato ou efeito de alteração do dado;
❖ Reprodução - cópia de dado preexistente obtido por meio de qualquer
processo; ❖ Comunicação - transmitir informações pertinentes a políticas de ação sobre os dados;
❖ Transmissão - movimentação de dados entre dois pontos por meio de ❖ Transferência - mudança de dados de uma área de armazenamento para outra, ou para
dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, terceiro;
pneumáticos, etc.;
❖ Difusão - ato ou efeito de divulgação, propagação, multiplicação dos dados;
❖ Distribuição - ato ou efeito de dispor de dados de acordo com algum
critério estabelecido; ❖ Extração - ato de copiar ou retirar dados do repositório em que se encontrava;
✓ Controlador.
✓ Operador.
✓ Suboperador.
✓ ANPD.
✓ Titular de Dados.
Papéis Conceito
Controlador Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de
dados pessoais;
Operador Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do
controlador;
Suboperador É aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. A
relação direta do suboperador é com o operador e não com controlador.
Encarregado/Data Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos
Protection (DPO) dados e a Autoridade Nacional de Proteção de Dados (ANPD);
ANPD Com a MP n. 1.124 publicada em 13 de junho de 2022 no DOU, a ANPD deixou de ser um órgão da administração pública
federal para se tornar uma autarquia de natureza especial com foco na proteção de dados pessoais e fiscalização quanto
ao cumprimento da LGPD.
Titular de Dados É toda pessoa natural a quem se referem os dados que são objeto de tratamento.
ANPD
Suboperador
Operador
Empresa A
Exercício: CONTROLADOR
+ SUBOPERADOR
Sistema Banco de Dados Empresa B
Backup
OPERADOR
EMPRESA
TITULAR DADOS
Funcionários
• Controlador
• Operador
• Suboperador • Admissão
• Titular Dados • Demissão
• Cálculo de Férias
DEPARTAMENTO TITULAR DADOS • Cálculo de Folha de pagamento
PESSOAL(RH) Funcionários
(RH) Sistema de
RH
➢ Finalidade:
✓ Os dados pessoais devem ser tratados para cumprir propósitos legítimos, autorizados por lei, específicos,
explícitos e informados ao titular.
➢ Limitação de finalidade:
❖ A regra geral é que não devem ser objeto de tratamento incompatível com as finalidades originais.
O § 7º do art. 7º da LGPD permite que os dados de acesso público ou tornados manifestamente públicos pelo
próprio titular sejam tratados para novas finalidades, desde que:
(ii) sejam garantidos meios efetivos para que os titulares possam exercer plenamente seus direitos.
➢ Adequação:
❖ Considerando-se o contexto do tratamento, os dados pessoais devem ser tratados de forma compatível com as finalidades
informadas ao titular.
❖ Esse princípio tem por objetivo garantir a ciência do titular sobre o que é feito com seus dados, bem como possibilitar certo
controle e o efetivo exercício de seus direitos, quando aplicável.
❖ Para o cumprimento desse princípio, é importante garantir que a ciência seja dada ao titular em tempo hábil; ou seja, caso um
tratamento já tenha sido finalizado e a ciência tenha sido dada posteriormente, como seria possível o titular exercer seu
direito de oposição (art. 18, § 2º, LGPD), quando cabível? O exercício desse direito certamente estaria prejudicado.
➢ Necessidade:
❖ Os dados pessoais devem ser pertinentes, proporcionais e não excessivos, isto é, limitados ao mínimo necessário em relação aos
fins para os quais são tratados.
❖ Deve-se levar em consideração não apenas os tipos (categorias) de dados pessoais necessários para cumprir as finalidades do
tratamento, mas também o volume de dados, se não é possível atender ao mesmo objetivo do tratamento de forma subsidiária,
menos invasiva à privacidade, e o período necessário para o cumprimento das finalidades legítimas.
❖ Caso determinados dados pessoais sejam coletados única e exclusivamente para fins de cumprimento de obrigação legal, por
exemplo, eles devem ser eliminados, de forma segura (sem possibilidade de recuperação), após atingido esse propósito.
➢ Livre Acesso:
❖ Os agentes de tratamento devem garantir aos titulares de dados pessoais meios eficazes para que possam realizar consulta
facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
❖ Essas informações podem ser colocadas nas políticas de privacidade dos sites e aplicações, por exemplo, podendo haver também
uma área logada (quando aplicável) e/ou um canal de comunicação para que maiores detalhes sobre essas informações possam ser
obtidos.
❖ Os dados pessoais devem ser precisos (exatos), claros, relevantes e atualizados, e todas as medidas razoáveis devem ser tomadas
para garantir que eventuais dados incorretos, inexatos, obscuros ou desatualizados sejam retificados.
❖ O atendimento a esse princípio depende da participação tanto do titular de dados como do próprio agente de tratamento. O titular
é responsável por verificar seus dados pessoais e corrigi-los ou atualizá-los, sempre que aplicável, e o agente de tratamento
também deve, do seu lado, buscar garantir que o titular de dados tenha meios para acessar e atualizar ou retificar seus dados
➢ Transparência:
❖ Os titulares devem ter fácil acesso a informações clara e precisas sobre o tratamento de seus dados pessoais e saber quais são os
agentes envolvidos.
❖ O nível de detalhamento das informações deve respeitar os segredos comerciais e industriais. Isso significa, por exemplo, mencionar
em uma política de privacidade quais categorias de dados (como faixa etária, renda, imóveis em nome próprio) serão levadas em
consideração para o estudo da concessão ou não de crédito, mas a forma de valorar e equacionar cada dado é segredo comercial e
não deverá ser revelada.
➢ Segurança:
➢ Os agentes de tratamento devem aplicar medidas técnicas e administrativas para garantir a segurança adequada dos dados
pessoais contra quaisquer tipos de tratamentos não autorizados, sejam eles acidentais ou ilícitos.
➢ Medidas como treinamento em segurança da informação para os funcionários envolvidos no tratamento, de modo a minimizar
falhas humanas, controle de acesso, plano de resposta a incidente testado e implementado com sucesso, criptografia nos dados em
trânsito e em repouso, backup, política de segurança da informação completa, atualizada, amplamente divulgada entre os
colaboradores e com forte adesão ao seu conteúdo são alguns exemplos que cumprem o princípio da segurança.
➢ Vale ressaltar que as medidas devem levar em consideração os dados pessoais tanto em meio eletrônico como físico (em papel, por
exemplo).
➢ Prevenção:
➢ Esse princípio está contido dentro do princípio da segurança, mas a LGPD acabou por dar destaque à prevenção de forma
proposital, demonstrando a importância em procurar evitar ao máximo que incidentes com dados pessoais ocorram.
➢ Além das medidas de detecção e resposta a incidentes, também é necessário adotar medidas técnicas e administrativas para
prevenir que eventuais incidentes ocorram.
➢ Não Discriminação:
➢ É expressamente proibido qualquer tipo de tratamento de dados pessoais que implique discriminação “ilícita” ou “abusiva”.
➢ A LGPD utiliza esses dois termos específicos porque a discriminação no sentido amplo de “distinção” ou “classificação” lícita e não
abusiva é permitida.
➢ Exemplo: a segmentação de audiência para fins de envio de publicidade direcionada. É permitido classificar públicos-alvo para
enviar comunicações relacionadas a temas, interesses, faixas etárias ou perfis de consumo de modo a facilitar que o titular de dados
acesse mais ofertas que possivelmente lhe interessem e deixe de receber comunicações sobre assuntos, produtos e/ou serviços
pelos quais não tem interesse algum.
➢ Os agentes de tratamento devem ser capazes de demonstrar, com provas objetivas e eficazes, o cumprimento da legislação de
proteção de dados pessoais e o quão eficazes são as medidas técnicas e administrativas que adotou.
➢ Por isso, a documentação e o registro de logs de ações que demonstram o cumprimento de direitos do titular, por exemplo, são
fundamentais
✓ pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e
regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
✓ para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
✓ quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido
do titular dos dados;
✓ para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro
de 1996 (Lei de Arbitragem);
✓ para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
✓ quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais; ou
✓ para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. Fonte: Workbook Privacidade, Dados Pessoais e LGPD
Fundamentos e Regulamentação de Privacidade e Proteção de Dados
❖ Art. 11 – Consentimento
➢ Desde o histórico de privacidade e proteção de dados, vimos que os direitos fundamentais do titular dos dados são considerados de
extrema importância.
▪ Uma ideia básica da LGPD é que o titular de dados deve ser informado sempre que seus dados pessoais forem tratados.
▪ Se o tratamento for baseado no consentimento, o titular dos dados deve saber e entender com o que está consentindo
('consentimento informado’).
▪ O controlador deve, ainda, informar aos titulares dos dados sobre os direitos que eles têm e ajudá-los a exercer esses direitos.
▪ As informações sobre o tratamento pretendido mencionadas anteriormente e a assistência ao titular de dados devem ser
fornecidas gratuitamente.
O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma
clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do
livre acesso:
➢ O controlador deve sempre equilibrar os direitos fundamentais do titular dos dados com os propósitos do
processamento.
Fonte: https://www.gov.br/anpd/pt-br
Fundamentos e Regulamentação de Privacidade e Proteção de Dados
Fonte: https://www.gov.br/anpd/pt-br
*
✓ O incidente com dados pessoais é uma situação em que os dados pessoais são tratados de forma não autorizada e, portanto,
ilegalmente. Nem todo incidente de segurança envolve dados pessoais.
Ameaças
Dados de negócio
Incidentes de Segurança
Dados
Pessoais +
Violação de dados
GDPR/LGPD
*
❖ No seu Parecer 03/2014, relativo à notificação de violação, o GT29 explicou que as violações podem ser
categorizadas de acordo com os três princípios bem conhecidos de segurança da informação, o CID.
▪ Violação da confidencialidade: quando existe uma divulgação ou acesso acidental ou não autorizado a
dados pessoais.
▪ Violação da integridade: quando existe uma alteração acidental ou não autorizada dos dados pessoais.
▪ Violação da disponibilidade: quando existe uma perda de acesso ou a destruição acidental ou não
autorizada de dados pessoais.
▪ Importa igualmente notar que, dependendo das circunstâncias, uma violação pode dizer respeito à
confidencialidade, à integridade e à disponibilidade de dados pessoais simultaneamente, assim como a
qualquer combinação destas.
❖ Uma violação pode potencialmente ter um leque de efeitos adversos significativos sobre as pessoas, que
podem resultar em danos físicos, materiais ou imateriais.
❖ Podem incluir igualmente qualquer outra desvantagem econômica ou social significativa para essas pessoas.
✓ De acordo com o artigo 48 da LGPD, quem comunica o incidente à Autoridade Nacional de Proteção de Dados é o controlador. Isso
significa que, caso o incidente com dados pessoais ocorra no âmbito da operação do operador, este (o operador) tem obrigação de
comunicar o controlador, para que o controlador, então, adote as devidas providências e comunique à ANPD e aos titulares, quando
cabível.
✓ Vale destacar que, segundo a redação do artigo 48, não é necessário comunicar à ANPD e aos titulares de dados todo e qualquer
tipo de incidente com dados pessoais, mas somente aqueles que possam acarretar risco ou dano relevante aos titulares, que
possam resultar em danos materiais ou imateriais aos titulares, tais como perdas financeiras, danos à reputação, limitação de
direitos, discriminação, roubo de identidade ou fraude.
➢ Outros tipos de incidente com dados pessoais que não se enquadrem nessa definição (porque, por exemplo, os dados estavam
criptografados/ilegíveis e/ou foram tomadas medidas eficazes para minimizar qualquer risco para os titulares) não precisam ser
comunicados nem à ANPD nem aos titulares de dados.
➢ Sobre a comunicação à ANPD e aos titulares de dados, a LGPD estabelece que deverá ser feita em “prazo razoável”.
➢ Enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD
seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data
do conhecimento do incidente.
Fonte: Lei Geral de Proteção de Dados (LGPD), Lei n.13.709/2018 (art. 48, §1º)
https://www.gov.br/anpd/pt-br/assuntos/atual-formulario-de-comunicacao-de-incidentes-de-seguranca-com-dados-pessoais_01-03-2021-4.docx
Privacy & Data Protection Essentials
“PDPE”
Organização e Proteção de Dados
Peso Exame
25%
*
➢ Quase todas as organizações tratam dados pessoais. Para uma organização que trata dados pessoais, a proteção de dados não é
apenas "um requisito da lei" ou "importante para evitar multas", mas algo diretamente vinculado à sua reputação e à confiança do
cliente/consumidor.
➢ O tratamento de dados pessoais realizado de maneira adequada significa garantia de qualidade, gerenciamento de segurança e
governança.
✓ Os princípios de proteção de dados estabelecidos no artigo 6º da LGPD não apenas devem cumpridos como
deve haver formas efetivas (documentadas) de comprovar esse cumprimento.
✓ O objetivo deve ser claro, detalhado e especificado, e pelo menos uma das possíveis “hipóteses legais para o
tratamento” deve ser aplicada. Os direitos do titular de dados devem ser garantidos e medidas adequadas de
proteção de dados devem ser aplicadas.
Tratamento
• Estrutura Legal
➢ Responsabilidades do Controlador:
➢ O controlador, como agente que determina as finalidades e a forma de tratamento, é obrigado a implementar medidas técnicas e
organizacionais apropriadas para assegurar que o tratamento seja realizado de acordo com a LGPD, não apenas no âmbito de sua
operação, mas também de quaisquer operadores que eventualmente contrate.
➢ O controlador deve garantir que o nível de proteção de dados se mantenha o mesmo em toda a cadeia de tratamento, é
fundamental que o controlador também garanta, por meio do contrato com o operador, previsões de que o operador somente
poderá terceirizar parte do tratamento (para um sub-operador) em casos já previstos e autorizados no contrato ou, caso contrário,
a terceirização deverá ser autorizada pelo controlador antes de ocorrer.
Tratamento
Fonte: Workbook Privacidade, Dados Pessoais e LGPD
Organizando a Proteção de Dados
Importância da proteção de dados para a organização
• Estrutura Legal
➢ Responsabilidades do Controlador:
Pela lei, realizar um RIPD não é obrigatório para todos os tipos de tratamento, mas somente para aqueles que podem gerar riscos às
liberdades civis e aos direitos fundamentais dos titulares.
➢ Quando o controlador quiser terceirizar parte da operação de tratamento para outra parte, um operador, um contrato formal
válido deve ser previamente assinado entre as partes.
Tratamento
Fonte: Workbook Privacidade, Dados Pessoais e LGPD
Organizando a Proteção de Dados
Importância da proteção de dados para a organização
• Estrutura Legal
➢ Responsabilidades do Operador:
Operador
O operador somente deverá tratar os dados pessoais baseado nas instruções documentadas do controlador. É obrigatória a
existência de um contrato juridicamente vinculante entre o operador e o controlador e que defina:
• o objeto do tratamento
• a duração do tratamento
• a natureza e o objetivo do tratamento, como definido pelo controlador
• os tipos de dados pessoais envolvidos
• as categorias de titulares de dados afetados
• as obrigações, responsabilidades e direitos dos agentes de tratamento
Durante a relação entre controlador e operador, é importante que ambos consigam demonstrar conformidade com os requisitos da
LGPD, e isso pode ser feito por meio da documentação de provas de conformidade.
Tratamento
Fonte: Workbook Privacidade, Dados Pessoais e LGPD
*
Organizando a Proteção de Dados
Importância da proteção de dados para a organização
• Estrutura Legal
De acordo com o princípio da responsabilização e prestação de contas, o agente de tratamento deve manter registros capazes de
demonstrar e comprovar a adoção de medidas eficazes para a proteção de dados pessoais.
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem,
especialmente quando baseado no legítimo interesse.
Operador
Tratamento
• Estrutura Legal
➢ Registro de atividades de tratamento:
Operador
O registro deve conter:
(a) nome e detalhes de contato do(s) agentes de tratamento envolvidos, seus representantes e DPOs (Encarregados);
(d) as categorias de destinatários a quem tenham sido ou venham a ser divulgados os dados pessoais, incluindo destinatários em países
terceiros ou organizações internacionais;
(e) quando aplicável, as transferências de dados pessoais para um país terceiro ou uma organização internacional, incluindo a identificação
desse país ou organização internacional;
(f) sempre que possível, os prazos previstos para a eliminação segura das diferentes categorias de dados, e
(g) sempre que possível, uma descrição geral das medidas técnicas e organizacionais de segurança da informação existentes.
Fonte: Workbook Privacidade, Dados Pessoais e LGPD
*
Operador
ID Departamento Nome Data início Data fim % Princípios RIPD Agindo como Status do
Tratamento atendidos (Sim/Não) Controlador/ tratamento
Operador Ativo /Inativo
1 Compras Tratamento 1 01/01/2022 50% Não Controlador ATIVO
➢ A principal responsabilidade de ANPD é zelar pela proteção dos dados pessoais, nos termos da legislação (art. 55-J, inciso I, LGPD),
ou seja, fiscalizar e fazer cumprir a aplicação da LGPD com o objetivo de proteger os direitos e liberdades fundamentais das
pessoas naturais em relação ao tratamento.
➢ Outra importante responsabilidade é promover a conscientização pública e a compreensão dos riscos, regras, salvaguardas e
direitos em relação ao tratamento de dados pessoais.
➢ A lista de competências detalhadas no Artigo 55-J da LGPD é longa e aberta. Abaixo as várias competências foram resumidas em
alguns pontos de destaque.
✓ Pode ter um aspecto preventivo, fiscalizando desenvolvimentos relevantes ou conduzindo investigações, sempre que possam
gerar impacto na proteção de dados pessoais.
✓ Pode também ter um aspecto remediador, investigando operações de tratamento que infringiram a lei, incluindo investigações
baseadas em reclamações de titulares de dados, organizações ou associações e em informações recebidas de outra autoridade
pública.
➢ A lista de competências detalhadas no Artigo 55-J da LGPD é longa e aberta. Abaixo as várias competências foram resumidas em
alguns pontos de destaque.
✓ Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de
segurança, e promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e
privacidade.
✓ Cabe à ANPD receber as comunicações dos controladores sobre incidentes com dados pessoais, bem como fiscalizar e aplicar
sanções em caso de tratamento de dados realizado em descumprimento à legislação.
➢ A lista de competências detalhadas no Artigo 55-J da LGPD é longa e aberta. Abaixo as várias competências foram resumidas em
alguns pontos de destaque.
Estabelecer Padrões
✓ A ANPD tem a responsabilidade de estabelecer normas e diretrizes para os temas sem definições no texto da LGPD.
✓ Criação de Cláusulas-padrão contratuais, normas corporativas globais, selos, certificados e códigos de conduta.
De acordo com o artigo 35 da LGPD, compete à ANPD a definição do conteúdo de cláusulas-padrão contratuais, bem como a
verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos,
certificados e códigos de conduta.
➢ A lista de competências detalhadas no Artigo 55-J da LGPD é longa e aberta. Abaixo as várias competências foram resumidas em
alguns pontos de destaque.
✓ Quando a ANPD recebe uma notificação de um incidente de segurança com dados pessoais, deve avaliar a gravidade do ocorrido e
como a proteção de dados foi implementada pelo controlador e pelo operador ou operadores envolvidos.
✓ Deve realizar a avaliação dos riscos para os titulares dos dados e as medidas mitigadoras que já foram ou ainda devem ser tomadas
são claramente urgentes.
✓ ANPD pode receber amplos poderes para monitorar essa investigação e ordenar que os controladores e operadores envolvidos
tomem outras medidas ou medidas extras para alinhar as operações de tratamento com a LGPD e até para restringir ou bloquear o
tratamento.
➢ A lista de competências detalhadas no Artigo 55-J da LGPD é longa e aberta. Abaixo as várias competências foram resumidas em
alguns pontos de destaque.
✓ Uma das principais responsabilidades da ANPD é fazer cumprir a aplicação da LGPD. Além dos poderes consultivos, a ANPD possui
amplos poderes de investigação e correção para impor a implementação da LGPD. Isso inclui, quando necessário, a aplicação de
multas e outras sanções administrativas.
➢ A lista de competências detalhadas no Artigo 55-J da LGPD é longa e aberta. Abaixo as várias competências foram resumidas em
alguns pontos de destaque.
O Artigo 55-J, inciso IV, da LGPD concede à ANPD poder de fiscalizar e aplicar sanções. Dentre as previsões do artigo citado, bem como
de outros dispositivos da LGPD, ela tem o poder:
✓ fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo
administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
✓ solicitar ao controlador relatório de impacto à proteção de dados pessoais, inclusive quando o tratamento tiver como fundamento
seu interesse legítimo;
✓ realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
➢ A lista de competências detalhadas no Artigo 55-J da LGPD é longa e aberta. Abaixo as várias competências foram resumidas em
alguns pontos de destaque.
As multas administrativas devem ser proporcionais e dissuasivas, levando em consideração as peculiaridades do caso concreto.
Proporcional
Quando a ANPD decidir impor uma multa administrativa, além de outras medidas, ela deve dar a devida atenção às circunstâncias.
As multas administrativas devem ser proporcionais e dissuasivas, levando em consideração as peculiaridades do caso concreto.
Dissuasivo
✓ Uma multa também deve ser dissuasiva. Qualquer que seja o custo da implementação de medidas para cumprir a LGPD em uma
organização, nenhuma empresa deve arriscar ignorar as regras, porque as multas vão muito além do que custará a conformidade.
✓ Ainda assim, a intenção é incentivar as empresas a cumprir a LGPD, e não as destruir financeiramente.
A transferência de dados é, segundo o inciso X do artigo 5º da LGPD, um tipo de tratamento, pois constitui uma operação realizada
com dados pessoais.
“Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do
qual o país seja membro”
Fonte: Lei Geral de Proteção de Dados (LGPD), Lei n.13.709/2018 (art. 5º, XV)
➢ I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
➢ II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na
forma de:
➢ b) cláusulas-padrão contratuais;
➢ III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os
instrumentos de direito internacional;
➢ IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
➢ VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do
caput do art. 23 desta Lei;
➢ VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação,
distinguindo claramente esta de outras finalidades; ou
Fonte: Workbook Privacidade, Dados Pessoais e LGPD
*
Organizando a Proteção de Dados
Transferência Internacional de Dados
✓ Na ausência de uma aprovação do país ou organismo internacional pela ANPD, o controlador ou o operador deve
adotar medidas para compensar a falta de proteção de dados em um país terceiro por meio de aplicação de
salvaguardas (garantias) apropriadas para o titular dos dados.
✓ As salvaguardas adequadas podem consistir na utilização de cláusulas contratuais específicas para determinada
transferência, normas corporativas globais, cláusulas-padrão contratuais, bem como selos, certificados e códigos de
conduta regularmente emitidos.
✓ A definição do conteúdo de cláusulas-padrão contratuais e a verificação de cláusulas contratuais específicas para uma
determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta serão realizadas
pela ANPD.
Essas salvaguardas devem garantir a conformidade com os requisitos de proteção de dados e os direitos dos titulares de
dados adequados ao tratamento em conformidade com a LGPD.
Peso Exame
25%
*
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de
tratamento inadequado ou ilícito. Essas medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até a
sua execução.
Fonte: Lei Geral de Proteção de Dados (LGPD), Lei n.13.709/2018 (art. 46, caput e § 2º)
➢ Visibilidade e transparência.
✓ A abordagem de Proteção de Dados “by design” é caracterizada por medidas proativas em vez de reativas.
✓ Ele antecipa e evita eventos invasivos de privacidade antes que eles aconteçam.
✓ A Proteção de Dados “by design” não espera que os riscos de privacidade se concretizem, nem oferece remédios
para resolver infrações de privacidade depois de terem ocorrido - ele visa impedir que ocorram.
✓ Em resumo, a Proteção de Dados “by design” vem antes do fato, não depois.
✓ A Proteção de Dados “by design” procura fornecer o máximo grau de privacidade garantindo que os dados
pessoais sejam protegidos automaticamente em qualquer sistema de TI ou prática de negócios.
✓ Nenhuma ação é necessária por parte do indivíduo para proteger sua privacidade.
✓ A Proteção de Dados “by design” está incorporado ao design e à arquitetura de sistemas de TI e práticas de
negócios.
✓ O resultado é que a privacidade se torna um componente essencial da funcionalidade principal que está sendo
entregue.
✓ A Proteção de Dados “by design” busca acomodar todos os interesses e objetivos legítimos de uma maneira
positiva para todos, não por meio de uma abordagem de soma zero, em que compensações desnecessárias são
feitas.
✓ A Proteção de Dados “by design” evita separações de atividades e responsabilidades, como privacidade versus
segurança, demonstrando que é possível ter ambas.
✓ A Proteção de Dados “by design”, tendo sido incorporada ao sistema antes do primeiro elemento da informação
que está sendo coletada, se estende com segurança durante todo o ciclo de vida dos dados envolvidos.
✓ Isso garante que todos os dados sejam retidos com segurança e, em seguida, destruídos com segurança no final do
processo, em tempo hábil.
✓ Assim, a Proteção de Dados “by design” garante o gerenciamento do ciclo de vida de informações de ponta a
ponta, seguro e de ponta a ponta.
➢ Visibilidade e transparência
✓ A Proteção de Dados “by design” procura assegurar a todos os stakeholders que, seja qual for a prática ou
tecnologia de negócio envolvida, ela está, de fato, operando de acordo com as promessas e objetivos declarados,
sujeito a verificação independente.
✓ Seus componentes e operações permanecem visíveis e transparentes para usuários e provedores. Lembre-se,
confie, mas verifique!
✓ Acima de tudo, a Proteção de Dados “by design” exige que os arquitetos e operadores mantenham os interesses
do indivíduo (usuário) em primeiro lugar, oferecendo medidas como padrões de privacidade fortes, notificação
apropriada e capacitando opções fáceis de usar.
➢ Projetar projetos, processos, produtos ou sistemas com a privacidade em mente desde o início pode levar a benefícios
que incluem:
✓ problemas potenciais são identificados em um estágio inicial, quando abordá-los será sempre mais simples e
menos oneroso.
✓ as organizações são mais propensas a cumprir suas obrigações legais e menos propensas a violar a Lei de Proteção
de Dados.
✓ é menos provável que as ações sejam intrusivas para a privacidade e tenham um impacto negativo sobre os
indivíduos .
A TOTVS criou rotinas e recursos para que as empresas façam o controle de dados protegidos do sistema. Esse é um dos itens previstos em legislações de
controle de dados pessoais, a LGPD (dados pessoais e sensíveis).
Os dados (campos e tabelas) que constam inicialmente como protegidos são somente uma sugestão de devem obrigatoriamente ser revistos pelos
responsáveis pela LGPD de sua empresa.
https://userfunction.com.br/infr
aestrutura/desmistificando-
lgpd-no-protheus/
Fontes: EXIN Privacy & Data Protection Foundation Privacidade, Dados Pessoais e GDPR (White Paper Leo Besemer)
*
Práticas de Proteção de Dados
Foi criada um nova rotina chamada grupo de dados protegidos que Já a nova rotina de campos protegidos definem quais campos
determinam conjunto de campos e os classificam como pessoais ou devem ser ofuscadas nos programas e exibidas somente para os
sensíveis. usuários que tiverem acesso.
➢ Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de
tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas,
salvaguardas e mecanismos de mitigação de risco.
Fonte: Lei Geral de Proteção de Dados (LGPD), Lei n.13.709/2018 (art. 5º, inciso XVII)
LGPD não exige que um RIPD seja executado para cada operação de tratamento.
Em resumo, afirma:
(i) que a ANPD poderá solicitar ao controlador que apresente RIPD quando o tratamento tiver como fundamento seu interesse
legítimo, observados os segredos comercial e industrial (artigo 10, § 3º, LGPD), e
(ii) que a ANPD poderá determinar ao controlador que elabore RIPD para o tratamento de dados pessoais, inclusive de dados
sensíveis, observados os segredos comercial e industrial (artigo 38, caput, LGPD).
No artigo 38, parágrafo único, acrescenta que relatório deverá conter, no mínimo:
(b) a metodologia utilizada para a coleta e para a garantia da segurança das informações, e a análise do controlador com relação a
medidas, salvaguardas e mecanismos de mitigação de risco adotados.
✓ reforçar a confiança dos titulares de dados na forma como os dados pessoais são tratados e a privacidade é respeitada.
LGPD não estabelece as características mínimas de um RIPD. Recorre-se, novamente, ao GDPR (Artigo 35(7) e itens 84 e 90) para
orientação, no silêncio da legislação nacional:
• uma avaliação dos riscos para os direitos e liberdades dos titulares de dados, e
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-
de-dados/guias-operacionais-para-adequacao-a-lei-geral-de-
protecao-de-dados-pessoais-lgpd
Fonte: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/relatorio-de-impacto-a-protecao-de-dados-pessoais-ripd/relatorio-de-impacto-a-protecao-de-dados-pessoais#p1
*
➢ O Gerenciamento do Ciclo de Vida do Dado (GCVD) é um processo que ajuda as organizações a gerenciar o fluxo de
dados em todo o seu ciclo de vida:
✓ Rastrear dados com precisão em todo o ciclo de vida da informação é a base de uma estratégia de proteção de
dados confidencial e ajuda a determinar onde aplicar os controles de segurança.
➢ O artigo 55-J, inciso XVI, da LGPD menciona que a ANPD poderá realizar auditoria sobre o tratamento de dados pessoais efetuado
pelos agentes de tratamento, para monitorar a conformidade com a LGPD.
➢ Além das auditorias da ANPD, é comum que os próprios agentes de tratamento prevejam em contrato a possibilidade de
realização de auditorias, especialmente de um controlador em relação ao operador, para verificação do nível de aderência às
previsões contratuais e ao compliance em matéria de proteção de dados pessoais.
Tratamento Operador
➢ Avaliar regularmente a eficácia de medidas técnicas e organizacionais para garantir a conformidade com o GDPR,
incluindo a segurança do processamento.
➢ Normalmente, uma auditoria revelará lacunas nas políticas de privacidade que precisam ser abordadas para aprimorar
a governança de privacidade de dados.
➢ No mínimo, uma auditoria tornará a proteção de dados pessoais o "tópico da semana", aumentando a conscientização
em toda a organização
✓ Auditoria de adequação.
✓ Auditoria de conformidade.
➢ Auditoria de conformidade, deve ser utilizada para determinar se a organização está de fato cumprindo as políticas e
procedimentos identificados durante e, talvez, aprimorada como resultado da auditoria de adequação.
➢ Uma auditoria de conformidade requer uma investigação de como os dados pessoais são tratados na prática dentro
das várias unidades de negócios, entre departamentos e ao lidar com terceiros.
➢ A profundidade da auditoria de conformidade dependerá dos riscos percebidos em relação a infrações legais e
envolvendo o tratamento de dados pessoais.
✓ Para que essa "nova economia" funcione, as empresas precisam de informações sobre potenciais compradores, ou
seja, sobre o maior número possível de pessoas.
❖ Ou talvez o tipo de melhor relação preço / desempenho, ou melhor, o tipo de comprador com preço mais
baixo garantido.
❖ Perfis como esse pedem muitos dados sobre pessoas e seu comportamento.
➢ Cookies:
✓ Um cookie é apenas um arquivo de texto (geralmente pequeno), armazenado no computador do usuário. Os mais
comuns são:
❖ Cookies de sessão:
• Os cookies de sessão permitem que os usuários sejam reconhecidos dentro de um site, de modo que
qualquer alteração de página ou seleção de item ou de dados que o usuário faça, seja lembrada de uma
página para outra.
• Sempre que os itens são selecionados, a seleção é armazenada no cookie da sessão, por isso é lembrada
até que o usuário esteja pronto para fazer checkout.
• Ao sair do site (ou seja, fechar o navegador), o cookie da sessão é apagado da memória do computador
do usuário e, como resultado, ele é desconectado.
❖ Cookies Persistentes:
• Os cookies persistentes permanecem no disco rígido do usuário até serem apagados pelo usuário ou até
expirarem.
• Os cookies persistentes podem oferecer serviços simples ao usuário como visitante recorrente.
• Quando mais tarde esse usuário visitar esse site, ele oferecerá, com base nas informações do cookie, o
conteúdo no idioma escolhido durante a visita anterior.
• Esse tipo de cookie pode tornar a experiência do visitante do site mais pessoal.
❖ Cookies de rastreamento:
• Assim como acontece com os cookies padrão, os cookies de terceiros colocados no computador do
usuário possibilitam salvar algumas informações sobre o usuário para uso posterior.
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes
Conclusões finais:
01 SEGURANÇA DA
INFORMAÇÃO
(Processos/Governança)
02 JURÍDICO
03
INFRAESTRUTURA
Cybersegurança
(Tecnologia da Informação)