Manual de estudos LGPD
·Módulo 01 Ele quem comunica a ANPD caso
- Lei Geral De Proteção de Dados
Pessoais – LGPD
- Autoridade Nacional De Proteção
de Dados – ANPD
Responsável por regulamentar a
LGPD
- Agentes de tratamento
Operador e controlador de dados
pessoais, podendo serem jurídicos
e naturais, de direitos públicos ou
privados
Exemplo:
Empresa = Controlador: Define o
tratamento de dados e suas
informações essenciais, para o
contratante.
Agência contratada = Operador:
Trata os dados de acordo com as
predefinições do controlador
Funcionários dessa empresa:
Não atuam como agente de
tratamento, pois atua sobre as
ordens diretivas da empresa
- Controlador
Responsável por tomar as
principais decisões relacionadas ao
tratamento de dados
pessoais e por definir a finalidade
desse tratamento. Fornece
instruções para operadores
contratados para a realização de
um determinado tratamento de
dados pessoais
haja alguma ocorrência de
incidentes de segurança
- Controlador Jurídico
Entidade com fins lucrativos ou
não
Pessoas de entes federados e
administração pública
(União, prefeituras, ministérios e
outros...)
- Controlador Natural
Agem por conta própria, como por
exemplo médicos, advogados e
empresários
- Controladoria Conjunta e
Controladoria Individual
Não há um conceito específico de
controladoria conjunta, mas é
possível atuar sobre oque está no
sistema jurídico de proteção de
dados.
Dado a inspiração da LGPD no
sistema europeu, podemos assim
concluir que:
Quando dois ou mais controladores
atuam juntos, os mesmos definem
as decisão relacionadas ao
tratamento desses dados e sobre a
suas finalidades.
Há controladoria conjunta se:
- Mais de um controlador possuir o
poder de decisão sobre o
tratamento de dados
- Há interesse mútuo de dois ou
mais controladores com base em
finalidades próprias, sobre um
mesmo tratamento
- Operador
O operador realiza demandas
predefinidas e solicitadas pelo
controlador. Suas tarefas e ações
são delimitadas pelas decisões dos
controladores, atuando assim
somente com as devidas instruções
e sobre a supervisão de um
controlador ou mais.
O operador sempre será uma
pessoa distinta do controlador, isso
é, não atua como profissional
subordinado e nem como membro
do seu órgão
- Responsabilidades de um
operador
Casa haja algum dano patrimonial,
moral, individual ou coletivo, tanto
o operador quanto o controlador
responsável pelo mesmo devem
partilhar a obrigação de reparo,
em âmbitos de suas respectivas
esferas. Essa é a única situação em
que eles são comparados um ao
outro independentemente de suas
ocupações.
Exemplo:
Uma loja de vendas de livros
- O canal de vendas seria o
controlador
- Os meios de pagamento seriam o
operador, podendo agir somente
com a finalidade de realizar
transações, assim, não podem usar
esses dados para outras funções.
Empresa XRAY
- Ela contrata uma empresa para prestar
serviço de call center aos seus cliente,
aonde essa empresa irá trabalhar com os
dados dos clientes de seu contratante,
sendo a XRAY a controladora e a empresa
contratada a operadora
- Caso, haja algum erro ou uso indevido dos
dados por parte da empresa operadora, ela
poderá ser responsabilizada
- Suboperador
Na LGPD não existe uma definição ou
conceito a respeito desses indivíduos, mas
isso não torna essa ocupação ilegal ou a
impossibilita.
O suboperador é contratado e subordinado
somente ao operador, tendo a função de
prestar auxílio ao operador durante o
tratamento. Os dois podem atuar como
operadores para responderem a ANPD.
(RGPD – Regulamento Geral Sobre
a Proteção de Dados)
Suboperadores só podem atuar
com a permissão do controlador,
fazendo com que um
subcontratante possa contratar
outro subcontratante
Suboperadores tem as suas
funções equiparadas ao operador,
sendo assim, ambos podem
desempenhar as mesmas funções
dentro do ambiente de trabalho.
- Encarregado
Responsável por realizar o
tratamento de dados pessoais.
Todo controlador tem a
necessidade de indicar um
funcionário ou agente externo,
sendo ele de natureza física ou
jurídica para ser o seu
encarregado, por mais que isso
não esteja explícito na LPGD.
(EDPB - Comitê Europeu de
Proteção de Dados)
- Atribuições do encarregado:
Aceitar reclamações e
comunicações dos titulares, prestar
esclarecimentos e adotar
providências
Receber comunicações da
autoridade nacional e adotar
providências
orientar os funcionários e os
contratados da entidade a respeito
das práticas a serem tomadas em
relação a proteção de dados
pessoais
Executar as demãos a atribuições
determinadas pelo controlador ou
estabelecidas em normas
complementares
Age diretamente como um ponto
de contato entre os titulares de
dados e a ANPD.
- Principais deveres da empresa
em relação a LGPD:
Due diligence:
Identificação de dados(pessoal,
criança, sensível, anonimizado),
departamentos, meios(físico ou
digital), operadores internos e
externos para mensuração de
exposição da empresa à LGPD
Auditoria sobre o tratamento:
Aderência das 20 atividades de
tratamento. Aos princípios gerais
previstos no Art. 6 da LGPD,
mediante revisão e criação de
documentos(contratos, termos e
políticas) para uso interno e
externo
Gestão do consentimento e
anonimização:
Controle de consentimento e
anonimização para atender
possível solicitação do titular a das
futura agência.
Gesta dos pedidos titular:
Criação de banco de dados para
controle dos titulares dos dados
(acesso, confirmação,
anonimização, consentimento,
portabilidade, etc.)
 · LGPD Caso haja algum incidente de segurança
as empresas devem seguir os passos
abaixo:
A Lei de Proteção de Dados se aplica:
→ A descrição da natureza dos dados
→ Aos dados pessoais de indivíduos dados, observados os segredos comercial e
localizados no Brasil industrial.
→ Quando o tratamento se dá no Brasil → Os risco relacionados ao incidente
→ Quando houver oferta de bens e → Os motivos da demora, no caso de a
serviços para indivíduos no Brasil. comunicação não ter sido imediata
→ As medidas que foram ou que serão
A Lei de Proteção de Dados se aplica: adotadas para reverter ou mitigar os
efeitos do prejuízo
→ Para dados provenientes e destinados a
outros países, que apenas transitem pelo
território nacional
→ Uso pessoal
→ Uso não comercial
→ Fins jornalísticos
→ Acadêmicos
→ Segurança pública

Direitos do titular(Art 18):

→ Confirmar existência de tratamento dos

seus dados pessoais
→ Acessar seus dados pessoais
→ Corrigir os dados pessoais
→ Anonimizar, bloquear ou eliminar dados
pessoais
Tratamento irregular:

É quando a empresa não fornece

segurança necessária ou quando deixa de
observar a legislação.

Governança

As empresas devem documentar

procedimentos entre o controlador e
operador, para assim facilitar a
demonstração dos procedimentos à ANPD.

pessoais afetados
→ As informações sobre titulares
envolvidos
→ A indicação das medidas técnicas e de
segurança utilizadas para a proteção de