Escolar Documentos
Profissional Documentos
Cultura Documentos
e Privacidade
freepik
O Programa de Educação e Conscientização em Segurança
da Informação da Eletronuclear
Seja bem-vindo(a) ao treinamento em Proteção de Dados Pessoais e Privacidade, que faz parte do
Programa de Educação e Conscientização em Segurança da Informação da Eletronuclear, que visa a
trabalhar no terceiro pilar da proteção das informações: PESSOAS.
Fale Conosco
E não esqueça!
O seu feedback é importante para o DGP.P aprimorar este curso para as próximas temporadas.
Envie suas sugestões, críticas ou mesmo elogios para seginfo@eletronuclear.gov.br.
Conteúdo
• Proteção de dados e privacidade;
• A Lei Geral de Proteção de Dados (LGPD) - Conceitos;
• Princípios da LGPD;
• As bases legais para o tratamento de dados pessoais;
• Categorias de dados pessoais;
• Agentes de tratamento;
• Dados de crianças e adolescentes;
• Direitos dos titulares;
• Adequação à LGPD;
• Responsabilidades.
Proteção de Dados Pessoais e
Privacidade
freepik
Proteção de Dados Pessoais e Privacidade
freepik
Proteção de Dados Pessoais e Privacidade
“O direito à privacidade, concebido como uma tríade de direitos: direito de não ser
monitorado; direito de não ser registrado e direito de não ser reconhecido (direito de
não ter registros pessoais publicados) – transcende, pois, nas sociedades informacionais,
os limites de mero direito de interesse privado para se tornar um dos fundamentos do
Estado Democrático de Direito.”
(VIANNA, Túlio Lima –Transparência pública, opacidade privada: o direito como instrumento de
limitação do poder na sociedade de controle–pag.76–Rio de Janeiro: Revan, 2007). cert.br
Lei Geral de Proteção de Dados (LGPD)
Mas, o que é a LGPD?
freepik
A Lei Geral de Proteção de Dados
freepik
Lei Geral de Proteção de Dados (LGPD)
“Toda operação realizada com dados pessoais, como as que se referem a coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração.”
Ou seja, podemos entender Tratamento de Dados Pessoais, como sendo qualquer ação
realizada com dados pessoais.
Princípios da LGPD
freepik
Lei Geral de Proteção de Dados (LGPD)
E quais são esses princípios da LGPD e para que servem na prática?
A LGPD em seu artigo 6º estabelece os princípios que devem ser observados nas atividades de tratamento de dados
pessoais. Isso significa que qualquer tratamento de dados pessoais só estará em acordo com a lei se atender a estes
princípios. São eles:
1.Finalidade: propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento
posterior de forma incompatível com essas finalidades;
O atendimento à este princípio obriga que a empresa tenha propósitos bem determinados para tratar dados pessoais. A
empresa precisa deixar clara suas intenções para o titular de dados, justificando e apontando o uso dos dados pessoais.
Lei Geral de Proteção de Dados (LGPD)
2.Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do
tratamento;
Podemos dizer que para atendimento a esse princípio, a empresa precisa justificar e garantir que os dados coletados tem valor
e são condizentes com o processo de negócio desenvolvido.
3.Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com a abrangência dos
dados pertinentes, proporcionais e não excessivos;
O atendimento desse item depende da eliminação dos excessos, ou seja, a empresa precisa garantir apenas os dados
essenciais para realizar seu processo de negócio.
Lei Geral de Proteção de Dados (LGPD)
4.Livre Acesso: Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e duração do tratamento, bem como a
integralidade de seus dados pessoais;
Consiste em criar mecanismos para que o titular de dados tenha o direito de consultar os seus próprios dados e informações
de forma gratuita.
5.Qualidade dos Dados: Exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade para o
cumprimento da finalidade;
A empresa precisa garantir que sua base de dados seja verdadeira e esteja atualizada.
Lei Geral de Proteção de Dados (LGPD)
6.Transparência: Garantia, aos titulares, de informações, claras, precisas e facilmente acessíveis sobre a realização do
tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Esse principio significa que a empresa precisa ser honesta com os titulares de dados, inclusive informando sobre seus agentes
de tratamento, que são as outras empresas envolvidas nos tratamentos de dados da Eletronuclear.
7.Segurança: Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de incidentes de segurança
da informação;
A empresa deve aplicar medidas capazes de proteger os dados pessoais de hackers, perdas, alterações e outras situações
acidentais ou ilícitas que possam ocorrer.
Lei Geral de Proteção de Dados (LGPD)
8.Prevenção: Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
A empresa deve estar preparada para lidar com problemas envolvendo dados pessoais antes destes surgirem.
9.Não Discriminação: Impossibilidade de realizar tratamento para fins discriminatórios ilícitos ou abusivos;
Proibição de tratar dados para discriminar ou promover abusos contra os titulares de dados.
Lei Geral de Proteção de Dados (LGPD)
10.Responsabilização e Prestação de Contas: Demonstração, pelo agente, da adoção de medidas eficazes e capazes de
comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas
medidas.
A empresa deve manter provas e evidências de que medidas e procedimentos foram tomados para proteger os dados
pessoais.
Bases legais para o tratamento de
dados pessoais
freepik
Lei Geral de Proteção de Dados (LGPD)
Além dos princípios para tratamento de dados pessoais, a LGPD também definiu como e quando dados pessoais podem ser
tratados. São chamados de bases legais para o tratamento de dados pessoais, e se encontram no Art. 7º (Dados pessoais) e
no Art. 11 (Dados pessoais sensíveis).
Todo tratamento de dados pessoais realizado deve se enquadrar em uma dessas bases legais para ser considerado legal.
São elas:
Bases legais para Tratamento de Dados Pessoais
O uso do consentimento e do interesse legítimo (ou legítimo interesse) como base legal para tratamento de dados pessoais
tem destaque na lei, e são tratados respectivamente nos Artigos 8º e 10 da LGPD.
Bases legais para Tratamento de Dados Pessoais
Para utilizar como base legal o consentimento previsto no inciso I do Art. 7º, o controlador precisa estar atento aos seguintes
pontos:
• O consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação da vontade do titular.
• Se o consentimento for fornecido por escrito, deve constar de cláusula destacada das demais cláusulas contratuais.
• Cabe ao controlador provar que o consentimento foi obtido em conformidade com a lei.
• É vedado o tratamento de dados pessoais mediante “vício de consentimento”.
• O consentimento deve referir-se a finalidades determinadas, as autorizações genéricas para o tratamento de dados
pessoais serão nulas.
Bases legais para Tratamento de Dados Pessoais
• O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento
gratuito e facilitado.
• Em caso de qualquer alteração relacionada ao consentimento, o controlador deverá comunicar ao titular e solicitar nova
concordância ao titular.
Para fechar o assunto consentimento, precisamos destacar dois pontos. Primeiro o que é “vício de consentimento” e
segundo quais são as informações obrigatórias a informar ao titular de dados quando se coleta dados ou pode
consentimento para um tratamento de dados pessoais.
Bases legais para Tratamento de Dados Pessoais
Art. 8º - Uso do Consentimento como base legal.
Erro – Uma declaração de vontade em desacordo coma realidade, uma vez que o titular tem uma percepção errada do que
configura essa realidade. No erro, o titular engana-se sozinho.
Dolo – O ato de maliciosamente conduzir um titular a tomar uma decisão que lhe é prejudicial. Nesse caso, o titular é
enganado por alguém ou uma empresa.
Coação – Trata-se do ato de, por meio de uma ameaça de qualquer natureza, conduzir o titular a tomar uma decisão que o
prejudique.
Bases legais para Tratamento de Dados Pessoais
Art. 9º - Informações às quais o titular tem direitos.
Ao solicitar dados ou consentimento para um titular, objetivando realizar um tratamento de dados pessoais, o controlador
deve dar livre acesso às seguintes informações:
• Finalidade específica do tratamento;
• Forma e duração do tratamento;
• Identificação do controlador;
• Contato do controlador;
• Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
• Responsabilidades dos agentes de tratamento;
• Direitos do titular (Art. 18 da LGPD).
Bases legais para Tratamento de Dados Pessoais
Art. 10 – Uso do interesse legítimo como base legal.
O uso do interesse legítimo poderá ser fundamentar o tratamento de dados pessoais para finalidades legítimas, consideradas
situações concretas, que incluem, mas não se limitam a:
freepik
Dados Pessoais
Dados pessoais:
• Informação relacionada a pessoa natural identificada ou identificável,
não se limitando, portanto, a nome, sobrenome, idade, podendo incluir
dados de localização, perfis de compras, dados acadêmicos, dados de
navegação na internet, entre outros.
Resumindo, são dados pelos quais uma pessoa pode ser discriminada.
A lei também oferece proteção especial a dados de crianças e adolescentes.
Vale ressaltar que os dados que a LGPD identifica como sensíveis, são dados que
se enquadram no Art. 31 da lei 12.527/2011, a Lei de Acesso a Informação. Esses
dados dizem respeito a intimidade, vida privada, honra e imagem das
pessoas, por isso estão sujeitos a sigilo de 100 anos nos termos da lei.
Agentes de tratamento
freepik
Agentes de Tratamento (LGPD)
A LGPD trouxe novos papeis de atuação para o tratamento de dados pessoais. É importante conhecê-los. São eles:
O Titular de Dados - Pessoa a quem se referem os dados pessoais que são objeto de algum tratamento.
O Controlador - É a quem compete as decisões sobre o tratamento dos dados pessoais. Ou seja, quem decide tratar dados
pessoais para alguma finalidade.
O Operador - É quem processa os dados em nome do Controlador. O responsável por executar o tratamento.
O Encarregado (DPO) - Responsável, indicado pelo Controlador ou Operador para garantir a aplicação da Lei. É o canal de
comunicação entre os titulares e o controlador e entre a ANPD e o controlador.
Importante! Os empregados do Controlador não são operadores. Os operadores são sempre terceiros.
Autoridade Nacional de Proteção de Dados - ANPD
Além dos agentes de tratamento, a Lei 13.709/2018 também criou um organismo responsável por regular e fiscalizar o
tratamento e a proteção de dados pessoais no Brasil, a Autoridade Nacional de Proteção de Dados – ANPD.
A ANPD tem muitas funções, mas só para citar algumas, podemos falar em:
freepik
Tratamento de Dados Pessoais de Crianças e Adolescentes
A LGPD ainda trouxe alguns outros pontos que precisamos destacar. O primeiro do qual falaremos é sobre o tratamento de
dados pessoais de crianças e adolescentes. (LGPD Art. 14)
O tratamento de dados pessoais de crianças deverá ser feito com o consentimento específico e em destaque dado por pelo
menos um dos pais.
Plenarinho
Tratamento de Dados Pessoais de Crianças e Adolescentes
Só poderão ser coletados dados pessoais de crianças sem o consentimento, quando a coleta for necessária para contatar
os pais ou responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso
poderão ser compartilhados com terceiros sem o consentimento dos pais.
Plenarinho
Direitos dos titulares
freepik
Direitos dos Titulares de Dados Pessoais
Não podemos deixar de falar dos direitos dos Titulares de Dados, que foram estabelecidos no Art. 18 da LGPD e que
precisam ser cumpridos pelo controlador. São eles:
6. Eliminação de dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no Art. 16 da
lei;
7. Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
8. Informação sobre a possibilidade de não fornecer consentimento;
9. Revogação do consentimento;
10. Reclamação à Autoridade Nacional – ANPD
11. Revisão das decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais;
12. Oposição ao tratamento, se irregular.
Direitos dos Titulares de Dados Pessoais
O atendimento aos requerimentos aos quais o titular de dados tem direito devem ser realizados sem custos ao
titular e nos prazos e termos previstos em regulamento; (ANPD)
A confirmação de existência de tratamento de dados será providenciada mediante requisição do titular:
I – Em formato simplificado;
II – Por meio de declaração clara e completa sobre os dados.
O atendimento ao titular deve ocorrer em até 15 dias.
As informações e os dados poderão ser fornecidos, a critério do titular:
I – Por meio eletrônico, seguro e idôneo para esse fim; ou
II – Sob forma impressa.
Adequação à LGPD
freepik
Adequação à LGPD
Agora que conhecemos os principais pontos da LGPD, falaremos sobre adequação à Lei, ou seja, quais ações
devemos tomar para que a empresa atenda aos requisitos da lei.
• Primeiro falamos sobre os princípios da LGPD para o tratamento de dados pessoais. Para a empresa estar
adequada, seus processos com tratamento de dados pessoais devem observar a esses 10 princípios.
• Também falamos sobre bases legais para o tratamento de dados pessoais. Todos os tratamentos de dados
pessoais realizados na empresa devem se enquadrar em uma dessas bases legais definidas na Lei.
Adequação à LGPD
• A Eletronuclear também deve se preparar para atender aos direitos dos titulares.
• Em seu Art. 41 a LGPD diz que o controlador deve indicar um Encarregado pelo Tratamento de Dados Pessoais
(DPO);
• A Eletronuclear deve preparar infraestrutura para atendimento a seus titulares de dados internos e externos.
• Com base no Art. 37, deve manter registro das operações de tratamento de dados pessoais que realiza.
• Com base no Art. 33, deve observar as regras para transferência internacional de dados.
• O Art. 46 diz que a empresa deve adotar medidas de segurança, técnicas e administrativas aptas a proteger seus
dados pessoais.
Adequação à LGPD
• Indicação formal do Encarregado pelo tratamento de Dados Pessoais (DPO) e divulgação de sua identidade e
contatos em seu site;
• Criação de uma página de privacidade, onde divulga sua política de privacidade e os canais para atendimento pelo
DPO aos titulares de dados externos;
• Disponibilizou o espaço “Meus Dados” na área de autoatendimento do portal PROERP (SAP), para atender aos
empregados;
• Elaborou normativos internos sobre privacidade de dados para orientar gestores, empregados e contratados;
Adequação à LGPD
• Para atendimento ao Art. 37 da LGPD, instituiu o Registro de Tratamento de Dados – RTD, que foi preenchido
para todos os processos com tratamento de dados pessoais identificados no inventário;
• Preparou os Relatórios de Impacto à Proteção de Dados – RIPD para os processos que se enquadravam nas
condições estabelecidas na política;
• A consultoria contratada realizou parecer sobre transferência internacional de dados pessoais para a
Eletronuclear;
• A Eletronuclear vem tomando medidas técnicas e administrativas para proteger seus dados. Esse treinamento
é uma dessas medidas, e muitas novidades ainda estão por vir;
• A equipe de Segurança da Informação e Privacidade trabalha na elaboração de um Programa de Governança em
Privacidade para atender ao art. 50 da LGPD e para garantir a melhoria contínua dos processos.
Adequação à LGPD
Quais são os normativos da Eletronuclear voltados para atendimento à LGPD?
A comunicação com o Encarregado de Dados é feita pelo e-mail dpo@eletronuclear.gov.br, ou pela página de
privacidade no site da Eletronuclear.
Adequação à LGPD
A Eletronuclear já está totalmente aderente à LGPD?
Sim e não.
Sim, porque a Eletronuclear vem desde 2019 trabalhando e tomando as medidas necessárias para se adequar.
Não, porque é necessário um trabalho contínuo de melhorias nos processos, procedimentos, capacitação de pessoas
e atualizações constantes devido as mudanças contínuas pelas quais passam uma empresa.
Apesar de todos os esforços, ainda existe a necessidade de melhorar o entendimento dos colaboradores e gestores
no que diz respeito a ações e responsabilidades quanto a proteção e privacidade de dados na Eletronuclear.
Então, o que devem fazer os colaboradores e gestores para estarem em conformidade com a Lei?
Responsabilidades
freepik
Responsabilidades para com os princípios da LGPD
Gestores e colaboradores devem atuar para melhorar suas ações perante o tratamento de dados pessoais.
Vejamos as responsabilidades de cada um:
Gestores
• Verificar se os tratamentos de dados pessoais pelos quais são responsáveis estão em conformidade com os
princípios da lei, e devem adequá-los e melhorá-los se for necessário. Devem solicitar apoio ao Encarregado de
Dados (DPO).
• Preencher os Registros de Tratamento de Dados Pessoais – RTD e os Relatórios de Impacto a Proteção de Dados –
RIPD.
• Comunicar ao DPO sobre mudanças nos processos e realizar as alterações no RTD e no RIPD, mantendo-os
sempre atualizados.
Responsabilidades para com os princípios da LGPD
• Informar ao DPO sobre o surgimento de novos tratamentos de dados pessoais e providenciar a elaboração dos
documentos necessários.
• Garantir o princípio de “Privacy by Design” (Privacidade desde a concepção) para os novos processos e
aquisições.
• Estar atentos para a inclusão de cláusulas contratuais complementares em contratos que tenham como objeto o
tratamento de dados pessoais. Nesse caso devem pedir apoio ao DPO.
• Atender as demandas dos titulares de dados em conformidade com a Lei.
• Incentivar seus colaboradores a observar as boas práticas para a proteção de dados pessoais.
Responsabilidades para com os princípios da LGPD
Colaboradores:
Corporativa.
Para realizar a avaliação, click no link abaixo, que o direcionará para o questionário. Se
obtiver nota superior a 6, estará aprovado. O resultado e as orientações seguintes chegarão
por e-mail.
https://forms.office.com/r/6BH0TuH7XS