Escolar Documentos
Profissional Documentos
Cultura Documentos
GOVERNANÇA EM PRIVACIDADE
E PROTEÇÃO DE DADOS:
UMA VISÃO INTEGRADA AOS
NEGÓCIOS EMPRESARIAIS
Valdemir Paiva Paula Zettel
EDITOR-CHEFE DESIGN DE CAPA
Katlyn Lopes
DIREÇÃO EXECUTIVA
Vários colaboradores
ISBN 978-65-5399-157-6
Praça Generoso Marques, 27, 14° andar - Centro | CEP 80020-230 | Curitiba-PR
Telefone: (55) (41) 3264-9696 | E-mail: contato@editorialcasa.com.br
www.editorialcasa.com.br
PREFÁCIO
9
5. TRANSFERÊNCIA INTERNACIONAL DE
DADOS PESSOAIS. . . . . . . . . . . . . . . . . . . . . . 135
Daniel Cesar
Ednaldo Lucio dos Santos Júnior
Marcia Cristina de Castro
10
8. TRANSPARÊNCIA NA IMPLEMENTAÇÃO DE
INTELIGÊNCIA ARTIFICIAL EM ORGANIZAÇÕES. . . . 259
Aline Macohin
Juliano Souza de Albuquerque Maranhão
11
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
IMPLEMENTAÇÃO DA GOVERNANÇA EM
PRIVACIDADE E PROTEÇÃO DE DADOS
Resumo:
O crescimento do uso de dados pessoais, impulsionados principalmente pelas
tecnologias digitais, mobilizou os governos dos países a criarem em seus sistemas
jurídicos suas próprias leis ou regulamentos de privacidade e proteção de dados. Por
outro lado, as organizações, que são os agentes de tratamento que devem resguardar
e entregar esses direitos aos cidadãos, se veem na necessidade de se adequarem aos
instrumentos como a Lei Geral de Proteção de Dados (LGPD), no caso do Brasil. Com
o propósito de sistematizar as atividades para implementação da governança da
privacidade e proteção de dados, este artigo analisou quatro abordagens, por meio
da técnica de pesquisa bibliográfica. Em seguida, utilizou a análise comparativa para
mapear as atividades comuns dessas abordagens. Por fim, descreveu a proposta
de um sistema de gestão da privacidade e proteção de dados (SGPPD). O resultado
traz importantes contribuições para a aplicação prática do sistema por organizações
que necessitam se adaptar e manter a conformidade com a LGPD. É uma referência
que pode ser aplicada por empresas de diversos portes, características e setores
econômicos. Faz-se necessário destacar que o SGPPD, proposto neste estudo,
apresenta resultados em cada uma de suas fases e como propõe a implementação
de forma interativa, possibilita períodos menores de planejamento e entrega de valor
para organização.
Palavras-chave: Privacidade e proteção de dados. sistema de gestão da privacidade
e proteção de dados. Adequação à LGDP. Lei Geral de Proteção de Dados Pessoais.
Governança da privacidade e proteção de dados.
12
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
activities in those approaches using comparative analysis. In the end, this investigation
has described a proposal for a data privacy and protection management system. Results
show important contributes to practical applications of this system, considering
organizations that need to adapt and maintain LGPD compliance. This proposal can be
applied for different organizations in size, characteristics and economic sectors. It is
necessary to highlight that the SGPPD, proposed in this study, presents results in each
of its phases and considering it proposes iterative implementation, it allows shorter
periods of planning and value delivery to the organization.
Keywords: Data privacy and protection. Data privacy and protection management
system. LGPD adapting. Brazilian personal data protection general law. data privacy
and protection governance.
1. INTRODUÇÃO
A utilização indiscriminada de dados pessoais por organiza-
ções públicas e privadas é um grande problema na sociedade atual.
Conforme NBR ISO/IEC 27701 (ABNT, 2019), a quantidade e os tipos
de dados pessoais tratados estão aumentando, assim como o número
de situações em que uma organização precisa cooperar com outras
organizações em relação ao tratamento de dados pessoais. Diante
deste cenário, a proteção de dados pessoais se tornou tema impres-
cindível no contexto jurídico internacional, tendo o Regulamento Geral
de Proteção de Dados da União Europeia (General Data Protection
Resolution - GDPR) assumido o protagonismo sobre a legislação que
se refere a privacidade e proteção de dados, influenciando diversas
legislações acerca do tema. Seguindo este contexto, o Brasil em 2018,
passou a fazer parte do grupo de países que contam com uma legisla-
ção específica sobre privacidade e proteção de dados pessoais.
Inspirada na GDPR, a Lei Geral de Proteção de Dados (LGPD)
estabelece diretrizes e sanções para o uso e tratamento de dados
pessoais. Essa lei foi concebida com determinações voltadas para a
proteção do cidadão contra o tratamento indevido de seus dados e
trouxe grandes inovações ao cenário regulatório que afetam diversas
áreas de atuação, tanto público como privado. Assim, a LGPD trouxe
13
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
1.1 PROBLEMATIZAÇÃO
14
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
1.2 OBJETIVOS
15
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
1.3 JUSTIFICATIVA
16
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
17
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
2. REFERENCIAL TEÓRICO
2.1 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS – DAS
BOAS PRÁTICAS E DA GOVERNANÇA ART. 50, I.
18
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
19
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
20
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
21
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
22
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
23
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
24
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
25
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
26
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
27
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
28
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
em cada fase. É uma proposta que aborda tanto a gestão como o nível
de governança.
Algumas ações, aparentemente, são repetitivas ao longo das
fases, como a designação do encarregado de dados. Esta percepção
decorre da forma como as organizações podem implementar as orien-
tações do referido sistema, de acordo com suas características de porte,
setor econômico e cultura. As leis locais também podem determinar
diferentes níveis de responsabilidades e práticas, que precisam ser ob-
servadas ao implementar o SGPPD de Kyriazolgou (2019).
Ao longo de sua obra Kyriazolgou aponta outras publicações
que possuem orientações, procedimentos ou artefatos específicos
para serem utilizados na implementação do sistema. Porém, deixa uma
lacuna relacionada às etapas e ações que precisam ser executadas para
manter esse sistema de gestão em contínua operação. Alguns passos,
como a designação do encarregado de dados não serão mais necessá-
rios. Além disso, não indica o replanejamento da estratégia de privaci-
dade e proteção de dados da organização e nem o estabelecimento de
ciclos de reavaliação de riscos e outras práticas.
29
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
30
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
31
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
32
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
33
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
34
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
3. REFERENCIAL METODOLÓGICO
3.1 CLASSIFICAÇÃO DA PESQUISA
35
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
36
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
4. DESENVOLVIMENTO
4.1 ANÁLISE E CONSOLIDAÇÃO DOS SGPPD
37
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
38
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
Neste contexto, cada item mapeado deu origem a uma ou mais fases
no instrumento proposto neste estudo. O Quadro 2, apresenta a
distribuição das fases desta proposta, relacionando com o núcleo da
SGPPD. A descrição de cada fase será abordada no tópico 4.2.
39
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
40
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
41
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
42
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
43
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
5. CONCLUSÃO
Na busca pela adequação às leis de privacidade e proteção de
dados, como a LGPD no Brasil, as organizações necessitam organizar
44
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
45
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
46
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27701.
Técnicas de segurança - Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR
ISO/IEC 27002 para gestão da privacidade da informação - Requisitos e dire-
trizes. Rio de Janeiro: ABNT, 2019.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. LEI Nº 13.709, de 14 de agosto
de 2018. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD). Brasília:
Congresso Nacional, 2018. Disponível em: http://www.planalto.gov.br/cci-
vil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Acesso em: março de
2022.
BRASIL. GUIA DE BOAS PRÁTICAS LEI GERAL DE PROTEÇÃO DE DADOS
(LGPD). Brasília: abril, 2020. (Brasil, Disponível em: https://www.gov.br/
governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_lgpd.pdf.
Acesso em: março de 2022.
DMBOK. DAMA – Data Management Body of Knowledge. Technics Publica-
tions, versão 2, 2017.
FERNANDES, A. A., e DE ABREU, V. F. Implantando a Governança de TI: Da
estratégia à Gestão de Processos e Serviços. Brasport, 2014.
GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 6ª ed. Rio de Janei-
ro: Atlas, 2017. E-book.
47
IMPLEMENTAÇÃO DA GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
48
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
Resumo:
O contexto deste artigo gira em torno dos aspectos históricos e evolutivos da
privacidade e da proteção de dados, conceitos que sofreram transformações
consideráveis com o passar das décadas. O propósito é demonstrar algumas das etapas
e desdobramentos da transformação da privacidade até o surgimento da proteção de
dados, como derivada daquela. Para tal, é imprescindível trazer à tela a questão dos
avanços tecnológicos e a importância que os dados, principalmente os dados pessoais,
passaram a representar em nossa sociedade. Toda esta evolução resultou em muitos
desafios, alguns já enfrentados, outros que ainda se apresentam e carecem de solução.
O objetivo principal é perseguir a construção de uma cultura mínima para o uso dos
dados pessoais, que equilibre razoavelmente as necessidades de avanço tecnológico e
inovação e a defesa dos direitos e garantias fundamentais dos indivíduos.
Palavras-chave: Privacidade. Proteção de dados. Revolução Indústrial. Inteligência
Artificial, Big Data. Economia da Vigilância. Direitos fundamentais. Direitos da
personalidade. LGPD. GDPR. Governança. Boas práticas.
Abstract:
The context of this article revolves around the historical and evolutionary aspects
of privacy and data protection, concepts that have undergone considerable
transformations over the decades. The purpose is to demonstrate some of the steps
and developments in the transformation of privacy until the emergence of data
protection, as derived from that. To this end, it is essential to bring to the screen the
issue of technological advances and the importance that data, especially personal data,
have come to represent in our society. All this evolution resulted in many challenges,
some already faced, others that still present themselves and need to be solved. The
main objective is to pursue the construction of a minimum culture for the use of
personal data, which reasonably balances the needs of technological advancement and
innovation and the defense of the fundamental rights and guarantees of individuals.
50
50
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
1. INTRODUÇÃO
Cada vez mais o uso de dados ganha relevância no mundo. Mui-
tas notícias relacionadas a usos indevidos, principalmente envolvendo
informações em meios digitais ou no ciberespaço. São vazamentos de
dados, empresas e órgãos públicos que têm seus dados “sequestrados”
com resultados catastróficos, fraudes que afetam a vida de milhares de
pessoas. São apenas algumas das situações que passaram a fazer parte
de nosso cotidiano e que podem afetar nossos direitos, em especial,
nossa privacidade, e possuem algo em comum: a presença de dados
relacionados direta ou indiretamente às pessoas e o valor que hoje
representam.
Tudo isso guarda estreita relação com a evolução da tecnolo-
gia, que deu saltos exponenciais, possibilitando novas capacidades de
coletar, processar, armazenar e compartilhar informações, trazendo à
tona novas discussões éticas e novos fenômenos que ainda precisam
ser mais bem compreendidos.
Contudo, a sociedade, de forma geral, também reage e evolui,
buscando sempre acompanhar estes avanços e garantir a defesa dos
direitos e garantias individuais, com raízes na própria dignidade da pes-
soa humana. A mesma evolução tecnológica que trouxe novas ameaças
e preocupações, é fonte de oportunidades para construção de novos
meios de proteção dos dados pessoais e da garantia destes direitos.
Obviamente que toda esta transformação não trouxe apenas
aspectos negativos. Pelo contrário, é este avanço que permite melhoria
na nossa qualidade de vida através da oferta de novos serviços, produ-
tos, novas formas de nos relacionarmos, comunicarmos, dentre muitos
51
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
1.1 PROBLEMATIZAÇÃO
1.2 OBJETIVOS
52
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
1.3 JUSTIFICATIVAS
53
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
1 FRAZÃO, Ana, Fundamentos da proteção dos dados pessoais - Noções introdutórias para a
compreensão da importância da Lei Geral de Proteção de Dados, in: Lei Geral de Proteção
de Dados e suas repercussões no Direito Brasileiro, [s.l.]: Thomson Reuters - Revista dos
Tribunais, 2019, p. 23 a 52. TEPEDINO, Gustavo; FRAZÃO, Ana; DONATO OLIVA, Milena, Lei
Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro, 1a Edição.
São Paulo: Thomson Reuters - Revista dos Tribunais, 2019.
54
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
2. REFERENCIAL TEÓRICO
Revolução industrial é o termo utilizado em referência a
processos históricos que levaram a avanços na indústria e tecnologia
e que ocasionaram mudanças significativas que impactaram toda a
sociedade. Substituição nas formas de produzir, utilização de novos
materiais, criação de novas máquinas, trouxeram mudanças substan-
ciais na forma de organização e pensamento da sociedade. Iniciada na
Inglaterra no fim do século XVIII é originalmente conceituada em três
fases em intervalos temporais subsequentes, cada uma das quais com
acontecimentos importantes.
Tal base histórica deu azo ao conceito de Indústria 4.02 ou quarta
revolução industrial. Esta última, em continuidade às demais e situada
no atual século XXI, se fundamenta no uso de sistemas de produção
inteligentes e autônomos com foco cada vez maior na automatização
que resulta em cada vez mais praticidade para a sociedade.
Boa parte da evolução tecnológica e industrial que moveu estes
períodos históricos possuem estreita relação com diferentes formas
de gerar energia. Da madeira ao carvão, e deste até o uso massificado
de combustíveis fósseis, como o petróleo, a Quarta Revolução Indus-
trial tem como principal “combustível” os dados.
55
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
3 De acordo com The Economist THE ECONOMIST, The world ’ s most valuable resource is The
world’s most valuable resource is no longer oil , but data, p. 1–10, 2017. “The world’s most
valuable resource is no longer oil, but data.”
4 SUL, UCS - Universidade de Caxias do, Big Data: o que é, para que serve, como aplicar e
exemplos, disponível em: <https://ead.ucs.br/blog/big-data.
5 EQUIPE TOTVS, Data analytics: o que é, tipos e aplicações nas empresas. Disponível em:
<https://www.totvs.com/blog/negocios/data-analytics/>, acesso em: 13 maio 2022.
6 I2AI, O que é Inteligência Artificial? Glossário de Inteligência Artificial. Disponível em:
<https://www.youtube.com/watch?v=lp0d9y9L5vU&t=18s>, acesso em: 4 maio 2022.
56
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
57
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
9 DANILO, Doneda, Da Privacidade à Proteção de dados pessoais, 2a edição. [s.l.]: Revista dos
Tribunais, 2019.
10 GONÇALVES, Carlos Roberto, Direito Civil Brasileiro - Volume I: Parte Geral, 14a. São Paulo:
[s.n.], 2016.
11 DANILO, Da Privacidade à Proteção de dados pessoais.
58
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
3. REFERÊNCIAL METODOLÓGICO
3.1. CLASSIFICAÇÃO DA PESQUISA
59
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
13 De acordo com The Economist THE ECONOMIST, The world ’ s most valuable resource is
The world’s most valuable resource is no longer oil , but data. “The world’s most valuable
resource is no longer oil, but data.”
60
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
61
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
62
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
16 Os projetos abrangem O STF, TST, STJ, CNJ, além de tribunais de justiça estaduais, tribunais
regionais federais e tribunais regionais do trabalho.
17 De acordo com estimativas da comunidade Wikibon, Big data gerou $42 bilhões de dólares
de receita em 2018, devendo crescer a aproximados $103 bilhões de dólares até 2027. Ainda,
de acordo com um estudo da Accenture, 79% dos executivos concordam que companhias que
não adotarem Big Data, perderão posição competitiva, podendo até serem extintas.LOUIS
COLUMBUS, 10 Charts That Will Change Your Perspective Of Big Data’s Growth, Forbes,
p. 1–12, 2018.
63
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
18 Temos diversos “players” interessados no que se pode extrair de benefícios destes dados.
Desde indústrias, comércio, empresas de mídia e de coleta e análise de dados, entre outras.
64
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
65
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
21 Nas palavras de Bruno Bioni: “Não é, portanto, uma mera coincidência que surja um anúncio
publicitário, cujo bem de consumo esteja bem próximo geograficamente do cidadão ao
utilizar um smartphone. A publicidade baseada na localização do potencial consumidor é
uma (nova) estratégia mercadológica.”
22 Existem outros atores que fazem parte deste modelo de negócio denominado zero-price
advertisement business model, onde a principal moeda de troca são nossos dados pessoais.
As chamadas redes de publicidade (ad networks) são responsáveis por conectar diversas
aplicações e atores (advertisers, databrokers e publishers), possibilitando a troca de bases
de dados pessoais e intermediação na venda de espaços publicitários direcionados.
66
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
67
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
questões políticas no mundo, porque os dados estão se tornando o ativo mais importante
do mundo. Na antiguidade, o ativo mais importante era a terra, e a luta política era pelo
controle da terra. Quando grande parte da terra ficava concentrada nas mãos de uma
pessoa ou poucas pessoas, tinha-se uma ditadura. Nos últimos dois séculos, as máquinas e
fábricas substituíram a terra como os ativos mais importantes. A luta política passou a ser
pelo controle das máquinas e a ditadura acontecia quando a maioria das máquinas e fábricas
ficavam concentradas nas mãos do governo ou de uma pequena parte da aristocracia. Agora,
os dados estão substituindo as máquinas como principal ativo, e a política começa uma luta
pelo controle dos dados. Uma ditadura significa agora a concentração ou controle de uma
parte grande demais do fluxo de dados por um governo ou por umas poucas corporações, e
precisamos evitar isso. Precisamos regulamentar a posse dos dados, mas ainda não sabemos
como fazê-lo.” (Yuval Harari no Roda Viva 11/11/2019)
24 Perfilização ou “‘profiling’”.SENSEVER, Perfilização ou profiling: o que é isso?
25 “Personalidade significa as características ou o conjunto de características que distingue
uma pessoa”(BIONI, 2018,p.63, apud HOUAISS, Antonio; VILLAR, Mauro de Salles. Op. cit., p.
1.480)
68
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
69
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
29 Ibid.
30 DANILO, Da Privacidade à Proteção de dados pessoais.
31 Ibid.
70
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
32 Segundo Ana Frazão, “A literatura atual sobre privacidade tem destacado, quase que de
forma unânime, que a noção tradicional de privacidade, restrita à intimidade e ao direito
de ser deixado só, não é mais compatível com a complexidade dos desafios inerentes à
economia movida a dados e à vigilância” FRAZÃO, Ana;, Objetivos e alcance da Lei Geral de
Proteção de Dados, in: A Lei Geral de Proteção de Dados Pessoais e suas Repercussões no
Direito Brasileiro, 1o. São Paulo: Thomson Reuters - Revista dos Tribunais, 2019, p. 99–129.
33 BIONI, Proteção de dados Pessoais. A função e os limites do consentimento.
34 Assim, a privacidade atualmente tem sua definição além da intimidade e o direito de ser
deixado só, abrangendo as informações que digam respeito ao sujeito, a autodeterminação
informativa, o direito a não discriminação, a liberdade, igualdade, o direito ao acesso e
acompanhamento dos dados pessoais. FRAZÃO, Objetivos e alcance da Lei Geral de Proteção
de Dados.
71
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
72
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
73
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
74
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
75
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
76
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
6. CONCLUSÃO
Muitas áreas do conhecimento evoluem e se adaptam, acom-
panhando o avanço da sociedade ao longo do tempo. O que nos trouxe
até o patamar atual dos sistemas jurídicos de privacidade e proteção
de dados está intimamente vinculado a uma das maiores e mais rápidas
transformações que a humanidade já sofreu, a tecnológica. Há uma
evidente e premente necessidade de conjugar diferentes áreas do saber
para que possamos evoluir e vencer os atuais desafios sobre o tema da
privacidade e proteção de dados. Não há como ficar restrito apenas ao
Direito. Saber traduzir questões jurídicas em boas práticas tecnologica-
mente implementáveis ou conjugar avanços e limites tecnológicos com
as necessidades de evolução do Direito são parte dos atuais desafios
para o ecossistema de privacidade e proteção de dados.
Apesar dos evidentes avanços das leis de privacidade e proteção
de dados de quarta geração, gerados a partir do reconhecimento dos
desdobramentos dos direitos de personalidade como direitos funda-
mentais, é importante perceber que se trata de uma nova cultura a ser
internalizada em instituições e disseminada entre os indivíduos, algo que
leva tempo. Em uma era de grandes desigualdades sociais e necessidades
críticas do ponto de vista social, econômico e político, atingir o equilíbrio
entre a privacidade e proteção dos dados pessoais e a livre iniciativa e
inovação, potencializa o desafio.
77
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
78
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
REFERÊNCIAS
BIONI, Bruno. Proteção de dados Pessoais. A função e os limites do consen-
timento. 1a edição. Rio de Janeiro: Editora Forense LTDA, 2018.
DANILO, Doneda. Da Privacidade à Proteção de dados pessoais. 2a edição. [s.
l.]: Revista dos Tribunais, 2019.
DEPARTMENT FOR DIGITAL, CULTURE, Media & Sport. Data: a new direc-
tion. Disponível em: https://www.gov.uk/government/consultations/data-a-
-new-direction. Acesso em: 6 jun. 2022.
EQUIPE TOTVS. Data analytics: o que é, tipos e aplicações nas empresas.
Disponível em: https://www.totvs.com/blog/negocios/data-analytics/. Aces-
so em: 13 maio 2022.
FRAZÃO, Ana; Objetivos e alcance da Lei Geral de Proteção de Dados. In: A Lei
Geral de Proteção de Dados Pessoais e suas Repercussões no Direito Brasi-
leiro. 1o. São Paulo: Thomson Reuters - Revista dos Tribunais, 2019, p. 99-129.
FRAZÃO, Ana. Fundamentos da proteção dos dados pessoais - Noções
introdutórias para a compreensão da importância da Lei Geral de Proteção
de Dados. In: Lei Geral de Proteção de Dados e suas repercussões no Direito
Brasileiro. [s.l.]: Thomson Reuters - Revista dos Tribunais, 2019, p. 23 a 52.
FREITAS, Hyndara. Judiciário brasileiro tem ao menos 72 projetos de inteli-
gência artificial nos tribunais. p. 1-5, 2020. Disponível em: https://www.jota.
info/coberturas-especiais/inova-e-acao/judiciario-brasileiro-tem-ao-me-
79
PRIVACIDADE E PROTEÇÃO DE DADOS: UMA ABORDAGEM HISTÓRICA E EVOLUCIONISTA
nos-72-projetos-de-inteligencia-artificial-nos-tribunais-09072020. Acesso
em: 6 jun. 2022.
GONÇALVES, Carlos Roberto. Direito Civil Brasileiro - Volume I: Parte Geral.
14a. São Paulo: [s.n.], 2016.
I2AI. O que é Inteligência Artificial? Glossário de Inteligência Artificial.
Disponível em: https://www.youtube.com/watch?v=lp0d9y9L5vU&t=18s.
Acesso em: 4 maio 2022.
KOERNER, Andrei. Capitalism and Digital Surveillance in Democratic Society.
Revista Brasileira de Ciências Sociais, v. 36, n. 105, p. 1–6, 2021.
LOUIS COLUMBUS. 10 Charts That Will Change Your Perspective of Big Data’s
Growth. Forbes, p. 1-12, 2018. Disponível em: https://www.forbes.com/sites/
louiscolumbus/2018/05/23/10-charts-that-will-change-your-perspective-
-of-big-datas-growth/#56eca69b2926. Acesso em: 6 jun. 2022.
MARTINS, Karine. O que é a Indústria 4.0. Disponível em: https://www.politi-
ze.com.br/o-que-e-industria-4-0/. Acesso em: 4 maio 2022.
SARMENTO, Daniel. Dignidade da Pessoa Humana- Conteúdo, Trajetórias e
Metodologia. 2a. Belo Horizonte: [s.n.], 2016.
SENSEVER. Perfilização ou profiling: o que é isso? Disponível em: http://lgpd.
entremates.com.br/2019/12/09/perfilizacao-ou-profiling-o-que-e-isso/.
Acesso em: 6 jun. 2022.
SIMONS-SIMONS. The UK GDPR - A New Regulatory Regime. Disponível
em: https://www.simmons-simmons.com/en/publications/ckto6rw2z-
16s70a12nmf07fny/the-uk-gdpr---a-new-regulatory-regime. Acesso em:
6 jun. 2022.
SUL, UCS - Universidade de Caxias do. Big Data: o que é, para que serve, como
aplicar e exemplos. Disponível em: <https://ead.ucs.br/blog/big-data>.
TEPEDINO, Gustavo; FRAZÃO, Ana; DONATO OLIVA, Milena. Lei Geral de
Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. 1a
Edição. São Paulo: Thomson Reuters - Revista dos Tribunais, 2019.
THE ECONOMIST. The world ’s most valuable resource is the world’s most
valuable resource is no longer oil, but data. p. 1–10, 2017. Disponível em: ht-
tps://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-
-resource-is-no-longer-oil-but-data. Acesso em: 6 jun. 2022.
80
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO
EFETIVA COM O TITULAR DE DADOS
PESSOAIS
Resumo:
A Lei Geral de Proteção de Dados Pessoais definiu responsabilidades, obrigações e
sanções - inclusive pecuniárias, buscando compatibilizar a hipossuficiência do titular de
dados com a atribuição de maior encargo ao controlador, pois é quem detém o poder de
decisão no tratamento dos dados pessoais. Compete a ele a adoção de medidas técnicas
e administrativas voltadas a garantir que os direitos dos titulares de dados pessoais sejam
efetivamente assegurados, tendo papel relevante o Encarregado de dados. Uma conexão
positiva entre controlador e titular de dados, observados os princípios dispostos na lei,
favorece o equilíbrio entre o dever de preservar a autodeterminação informativa e o
sucesso das relações negociais baseadas em tratamento de dados pessoais.
Palavras-chave: Comunicação com titulares de dados. LGPD. Privacidade. Proteção
de dados. Direito dos Titulares. Autodeterminação Informativa. Livre Acesso.
Transparência. Boa-fé. Acesso a dados. Direitos ARCO. Encarregado. Estudo de Caso.
Fluxo informacional.
Abstract:
The General Data Protection Law defined responsibilities, obligations and sanctions
including pecuniary ones, seeking to reconcile the data subject’s hyposufficiency
with the attribution of a greater burden to the controller, as it is the one who has the
decision-making power in the treatment of personal data. It is incumbent upon him
to adopt technical and administrative measures aimed at ensuring that the rights
of the holders of personal data are effectively ensured, with the Data Controller
having a relevant role. A positive connection between controller and data subject, in
compliance with the principles set out in the Law, favors a balance between the duty to
preserve informational self-determination and the success of business relationships
based on the processing of personal data.
82
82
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
1. INTRODUÇÃO
A facilidade de aquisição de dispositivos móveis no dia a dia da
população em geral e o baixo custo dos serviços para conectá-los à in-
ternet fez com que a vigilância se torne um comportamento esperado
pela hodierna sociedade (BAUMAN, 2013, p. 11).
Os dados são extremamente relevantes na construção dos pla-
nejamentos estratégicos das corporações modernas. A conectividade
oferecida por diversos serviços na rede mundial de computadores fez
com que o fluxo de dados aumentasse exponencialmente.
Um poder surge a partir do controle desse fluxo de dados que
extrapola fronteiras geopolíticas e toma proporções mundiais. Coletar,
transformar e monitorar dados objetivando inferir comportamentos
e influenciar o uso dos serviços digitais é um mecanismo comum por
empresas de diversos segmentos que possuam negócios digitais.
Cria-se um cenário promissor para datificação e uso de tecnolo-
gias capazes de manipular esse alto volume de dados como tecnologias
de Big Data. São realidades que possuem forte associação e desenham
um contexto político, econômico e social propício para exploração cada
vez mais ostensiva dos dados disponibilizados na rede mundial de com-
putadores (BOTELHO e CAMARGO, 2021, p. 552).
O evento de datificação é o registro em meio digital de todo e
qualquer evento (AMARAL, 2016, p. 10). Portanto, a datificação pode
ser conceituada como centralização de dados da vida rotineira, impac-
tando nas relações comunicacionais (GROHMANN, 2019, p. 106). A
datificação evidencia um procedimento de mudança de diversas face-
tas da vida em representações digitais, característica que na era digital
83
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
1.1 PROBLEMATIZAÇÃO
84
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
1.2 OBJETIVOS
85
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
1.3 JUSTIFICATIVA
86
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
2. REFERENCIAL TEÓRICO
2.1 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
87
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
88
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
1 Considerados (ou Recitals, em inglês) são explicações constantes do GDPR que fornecem
detalhes e contexto de apoio para complementar o entendimento dos Arts. daquele
regulamento (ABA, 2019).
89
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
90
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
91
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
92
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
3. REFERENCIAL METODOLÓGICO
3.1 CLASSIFICAÇÃO DA PESQUISA
93
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
4. DESENVOLVIMENTO
4.1 CONTEXTO HISTÓRICO DOS DIREITOS DOS TITULARES
DE DADOS PESSOAIS
94
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
95
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
96
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
97
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
98
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
4 Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos
os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei
(BRASIL, 2018).
99
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
100
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
101
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
102
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
103
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
104
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
5 Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais. § 2º
As atividades do encarregado consistem em: I - aceitar reclamações e comunicações dos
titulares, prestar esclarecimentos e adotar providências;
105
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
6 Pela literalidade da LGPD, a função do Encarregado pode ser exercida por pessoa natural ou
jurídica. Art.5.º, inciso VIII - encarregado: pessoa indicada pelo controlador e operador para
atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade
Nacional de Proteção de Dados (BRASIL, 2018).
7 Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais. § 2º
As atividades do encarregado consistem em: I - aceitar reclamações e comunicações dos
titulares, prestar esclarecimentos e adotar providências; (BRASIL, 2018).
106
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
107
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
108
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
109
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
11 Art. 18 - § 5º O requerimento referido no § 3º deste Art. será atendido sem custos para o titular,
nos prazos e nos termos previstos em regulamento (BRASIL, 2018).
12 Art. 187. Também comete ato ilícito o titular de um direito que, ao exercê-lo, excede
manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos
bons costumes (BRASIL, 2002).
110
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
13 Art. 55-J. Compete à ANPD: V - apreciar petições de titular contra controlador após
comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no
prazo estabelecido em regulamentação (BRASIL, 2018).
111
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
14 Art. 18, §3.º in verbis: Art. 18. O titular dos dados pessoais tem direito a obter do controlador,
em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
§3.º Os direitos previstos neste Art. serão exercidos mediante requerimento expresso do
titular ou de representante legalmente constituído, a agente de tratamento (BRASIL, 2018).
112
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
5. CONCLUSÃO
O desenvolvimento deste estudo se deteve aos principais
dispositivos da LGPD relacionados à comunicação com o titular. Em
complemento, buscamos amparo na literatura e legislação europeia
nos pontos onde havia ausência de explicação sobre mecanismos de
promoção da transparência ativa para assegurar o exercício dos direi-
tos individuais dos titulares de dados.
Cabe às organizações o desenvolvimento de Programa de
Governança de Privacidade, com ações que evidenciem sua conduta
lícita e ética voltadas a garantir aos titulares de dados pessoais o exer-
cício de sua autodeterminação informativa, compatibilizados com os
princípios da boa-fé, transparência e do livre acesso. É o que se buscou
demonstrar com a correlação das fases de inventário de atividades de
tratamento de dados pessoais, e o uso de informações dos artefatos
derivados dele para a composição das respostas aos requerimentos
dos titulares de dados.
Os resultados da pesquisa convergiram para um conjunto
de conceitos garantidores dos direitos individuais da privacidade e
proteção de dados e do livre desenvolvimento da personalidade, com
farta literatura em relação à teoria, mas pouco material específico a
aspectos práticos da comunicação com o titular.
113
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
REFERÊNCIAS
ABA. A Very Brief Introduction to the GDPR Recitals. AMERICANBARAS-
SOCIATION, 2019. Disponível em: <https://www.americanbar.org/groups/
litigation/committees/minority-trial-lawyer/practice/2019/a-very-brief-in-
troduction-to-the-gdpr-recitals/>. Acesso em: 3 Junho 2022.
ABNT. ABNT NBR ISO/IEC 27701. Técnicas de Segurança - Extensão da ABNT
NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 7002 para gestão da privacidade
da informação - Requisitos e diretrizes, 2019. Acesso em: 4 Junho 2022.
ABNT. ABNT NBR ISO/IEC 29100. Tecnologia da Informação - Técnicas de
Segurança - Estrutura de Privacidade, 2020. Acesso em: 3 Junho 2022.
ABNT. ABNT NBR ISO/IEC 29184. Tecnologia da Informação - Avisos de
privacidade on-line e consentimento, 2021. Acesso em: 3 Junho 2022.
AMARAL, F. Introdução à ciência de dados. Rio de Janeiro: Alta Books, 2016.
ANPD. Guia Orientativo - Aplicação da LGPD por agentes de tratamento no
contexto eleitoral. Autoridade Nacional de Proteção de Dados, Brasília, 2021.
Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicaco-
es/guia_lgpd_final.pdf>. Acesso em: 6 Junho 2022.
114
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
ANPD. Portaria N.11. Diário Oficial da União, 2021. Disponível em: <ht-
tps://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-
-de-2021-301143313>. Acesso em: 13 Maio 2022.
ANPDa. Guia Orientativo - Tratamento de Dados Pessoais Pelo Poder Público.
Autoridade Nacional de Proteção de Dados, 2022. Disponível em: <https://
www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-
-anpd-versao-final.pdf>. Acesso em: 17 Maio 2022.
ANPDb. Guia Orientativo para Definições dos Agentes de Tratamento de Da-
dos Pessoais e do Encarregado. Autoridade Nacional de Proteção de Dados,
Abril 2022. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-
-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retifi-
cada.pdf>. Acesso em: 18 Maio 2022.
ANPD. RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022. Diário
Oficial da União, 2022. Disponível em: <https://www.in.gov.br/en/web/dou/-/
resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019>. Acesso em:
8 maio 2022.
BAUMAN, Z. Vigilância líquida. Rio de Janeiro: Zahar, 2013.
BENNETT, C. J. Regulating Privacy: Data Protection and Public Policy in Euro-
pe and the United States. Ithaca: Cornell University Press, 2011. 32-34 p.
BIONI, B. R. Proteção de Dados Pessoais - A função e os limites do consenti-
mento. 2ª. ed. Rio de Janeiro: Forense, 2021.
BOTELHO, M. C.; CAMARGO, P. D. A. O Tratamento de Dados Pessoais pelo
Poder Público na LGPD. Revista Direitos Sociais e Políticas Públicas, São
Paulo, v. 9, p. 549-580, setembro-dezembro 2021.
BRASIL. Código de Defesa do Consumidor, 1980. Disponível em: <https://
www.planalto.gov.br/ccivil_03/Leis/L8078compilado.htm>. Acesso em: 3
Junho 2022.
BRASIL. Constituição da República Federativa do Brasil de 1988. Planalto,
1988. Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/
constituicaocompilado.htm>. Acesso em: 18 Abril 2022.
BRASIL. Código Civil Brasileiro, 2002. Disponível em: <https://www.planalto.
gov.br/ccivil_03/LEIS/2002/L10406compilada.htm>. Acesso em: 4 Junho
2022.
115
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
116
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
GIL, A. C. Como elaborar projetos de pesquisa. 6.ª. ed. Rio de Janeiro: Atlas,
2017.
GROHMANN, R. Financeirização, midiatização e dataficação como sínteses
sociais. Mediaciones de la Comunicación, Montevideo, v. 14, p. 97-117, 2019.
KORKMAZ, M. R. R.; SACRAMENTO, M. Direitos do titular de dados:po-
tencialidades e limites na Lei Geral de Proteção de Dados Pessoais. Revista
Eletrônica da Procuradoria Geral do Estado do Rio de Janeiro, Rio de Janeiro,
v. 4, maio-agosto 2021.
MALDONADO, V. N.; BLUM, R. O. LGPD: Lei Geral de Proteção de Dados:
comentada. São Paulo: Revista dos Tribunais, 2019.
MENDES, L. S.; DONEDA, D. Reflexões iniciais sobre a nova lei geral de pro-
teção de dados. Revista de Direito do Consumidor, v. 120, nov./dez. 2018.
NAÇÕES UNIDAS. Declaração Universal dos Direitos Humanos, 1948. Dispo-
nível em: <https://brasil.un.org/pt-br/91601-declaracao-universal-dos-direi-
tos-humanos>. Acesso em: 2022 Maio 23.
O’NEIL, C.; SCHUTT, R. Doing data Science. Sebastopol: [s.n.], 2014.
OCDE. Diretrizes para a Proteção da Privacidade e dos Fluxos Transfonteiriços
de Dados Pessoais. Organização para Cooperação e Desenvolvimento Econô-
mico, 2003. Disponível em: <https://www.oecd.org/sti/ieconomy/15590254.
pdf>. Acesso em: 19 Maio 2022.
OCDE. A Caminho da Era Digital no Brasil, 26 out. 2020. Disponível em: <ht-
tps://doi.org/10.1787/45a84b29-pt>. Acesso em: 21 maio 2022.
OCDE. Trabalho da OCDE sobre privacidade. Organização para Cooperação
e Desenvolvimento Econômico, 2022. Disponível em: <https://www.oecd.
org/sti/ieconomy/privacy.htm>. Acesso em: 21 maio 2022.
OCDE. Trabalho da OCDE sobre privacidade, 2022. Disponível em: <https://
www.oecd.org/sti/ieconomy/privacy.htm>. Acesso em: 21 maio 2022.
RODOTÀ, S. A vida na sociedade da vigilância: a privacidade hoje. Tradução
de Danilo Doneda e Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008.
SARDINHA, A. N. C. Direito à Informação e à Revisão de Decisões Infor-
matizadas: Uma Análise da LGPD, Porto Alegre, 30 Maio 2022. Disponível
117
DIREITOS DO TITULAR:
ESTABELECENDO UMA COMUNICAÇÃO EFETIVA COM O TITULAR DE DADOS PESSOAIS
em: <https://seer.ufrgs.br/index.php/resseveraverumgaudium/article/view/
121573/85048>. Acesso em: 9 Junho 2022.
SIQUEIRA, D. P.; LARA, F. C. P.; ALVES, N. G. Direitos da Personalidade, Prote-
ção de Dados Pessoais e o Poder Público. Húmus, São Luis, v. 11, 2021.
UNIÃO EUROPEIA. Parlamento Europeu. Carta dos Direitos Fundamentais
da União Europeia. Jornal Oficial das Comunidades Europeias, 18 dez. 2000.
Disponível em: <https://www.europarl.europa.eu/charter/pdf/text_pt.pdf>.
Acesso em: 22 maio 2022.
UNIÃO EUROPEIA. Regulamento Geral sobre Proteção de Dados. Jornal Ofi-
cial da União Europeia, 2016. Disponível em: <https://eur-lex.europa.eu/le-
gal-content/PT/TXT/?uri=CELEX%3A32016R0679&qid=1654391820284>.
Acesso em: 18 Maio 2022.
118
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
1. INTRODUÇÃO
Os direitos fundamentais à privacidade e à informação estão con-
sagradas na Constituição Federal de 1988 (Art. 5º, X e XXXIII), possuem
limites comuns que, às vezes, exigem rigorosa reflexão. Este contexto
ganha especial interesse nos dias atuais, nos quais se constata que a
privacidade é cada vez mais relativizada em prol do direito à informação.
O direito à privacidade de dados pessoais há muito tempo vem
sendo discutido pela sociedade moderna. Em 2016 a União Europeia
aprovou a GDPR (General Data Protection Regulation), que passou a
vigorar em 2018. A lei europeia, instituída para conferir aos cidadãos
mais segurança e autodeterminação sobre o uso de seus dados pes-
soais, foi motivada por graves escândalos de vazamentos de dados e
manipulação de informações pessoais por parte de grandes players de
mercado (HAAB, 2020).
O movimento de proteção à privacidade e proteção de dados
pessoais atingiu notoriedade no Brasil com a aprovação da Lei Geral
de Proteção de Dados Pessoais - LGPD, Lei nº 13.709 de 2018, inspi-
rada fortemente na GDPR. Com diversas modificações em seu texto
original, a tramitação da LGPD no Congresso brasileiro se estendeu até
2020 quando, enfim, passou a vigorar.
120
120
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
121
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
2. PRIVACIDADE E INFORMAÇÃO
Para Ferraz Júnior privacidade é um direito subjetivo fundamen-
tal cujo conteúdo é a faculdade da pessoa, titular do direito, de impor
aos outros o respeito e de se opor à violação de situações vitais que,
por dizerem respeito só a ela, deseja manter para si, ao abrigo de sua
única e discricionária decisão. O objeto do direito à privacidade é, resu-
midamente, a integridade moral do sujeito. Nessa medida, definimo-la
como a possibilidade que autoriza à pessoa impedir a intromissão de
terceiros na sua vida íntima e familiar, bem como o acesso e divulgação
de informações pessoais (BASTOS; MARTINS, 1989).
No entanto, se as posições doutrinárias convergem quanto ao
conceito de privacidade, sua aplicação prática não guarda o mesmo
sentido, sobretudo devido à enorme produção e tráfego de dados.
Trata-se da realidade da sociedade moderna, onde se afirmar que
a humanidade vivencia a era da Informação (CASTELLS, 2003).
Constata-se que todo tipo de informação está disponível “full time”,
circunstância que leva as pessoas a estarem conectadas como nunca
se viu em qualquer outra época da história da humanidade, mesmo
durante as atividades mais corriqueiras, pela ação das novas tecno-
logias. A quantidade de informações pessoais trafegando na internet
cresce exponencialmente, além de alcançar um número indefinido de
destinatários, tornando-se, na prática, públicas. Tal prática, além de
potencialmente atentar contra a autonomia e autodeterminação da
pessoa, pode representar uma ameaça à própria Democracia, uma vez
que a invasão desmedida na privacidade do cidadão pode se tornar um
meio de constrangimento da participação deste nos processos delibe-
rativos (ROUVROY, 2015).
O acesso à privacidade da pessoa só pode se dar mediante uma
justificativa plausível da necessidade de tal acesso pelo Poder Público.
A restrição do direito à autodeterminação informativa deve ocorrer
122
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
123
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
124
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
125
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
126
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
127
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
128
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
129
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
130
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
131
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
5. CONCLUSÃO
Como já dissemos acima, a proteção à intimidade alçou outro
patamar com a LGPD. Há, agora, uma lei nacional rigorosa e detalhada,
que explicita a preocupação do legislador pátrio com o zelo por um
direito fundamental. E essa novidade não é meramente decorativa: ela
faz com que o intérprete tenha ainda mais cuidado sempre que estiver
diante de um caso de sopesamento envolvendo potenciais restrições a
tal princípio.
No atual cenário a observância dos rígidos conceitos de sigilo
e publicidade perde espaço para análises contextuais, funcionais e
dinâmicas, que atentam para os riscos e os danos vinculados a um caso
concreto. Logo, o sigilo deve ser interpretado apenas como um dos
meios técnicos e administrativos disponíveis e que podem ser adota-
dos com o mesmo objetivo.
Ao definir dado pessoal como toda informação relacionada a
uma pessoa natural identificada ou identificável, e garantir a privaci-
dade e a proteção da não comunicação dos referidos dados fora das
hipóteses legais, a LGPD exigirá uma nova interpretação do STF sobre
132
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
133
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
seus Art. 2º e 17. Isso significa que, a nosso ver, fosse a mesma ques-
tão reapresentada ao Poder Judiciário agora, já sob a égide da LGPD,
provavelmente teríamos um resultado diferente. Não no sentido de
se afastar a obrigatoriedade de divulgação de vencimentos, mas no
sentido de se impor medida mitigatória da restrição à intimidade, qual
seja, a determinação para que não se mencione o nome do funcionário
público atrelado à informação dos valores recebidos.
Enfim, a LAI e a LGPD são grandes aquisições culturais e sociais,
significativas e perfeitamente alinhadas com os desafios de uma so-
ciedade da informação. Assim, além desse, novos conflitos surgiram,
sobretudo nos primeiros anos de vigência da LGPD, e a solução para
o presente tema virá com a regulamentação do direito de acesso aos
dados pessoais pela ANPD, em especial do servidor público, na quali-
dade de órgão regulador do tema dados pessoais e com a releitura da
matéria pelo STF, agora com o viés da privacidade.
REFERÊNCIAS
ALEXY, Roberto. Teoria dos Direitos Fundamentais. 2 ed. Trad. De Virgílio
Afonso da Silva. São Paulo: Malheiros, 2011.
BASTOS, Celso Ribeiro; MARTINS, Ives Gandra. Comentários à Constituição
do Brasil. v. 2. São Paulo: Saraiva, 1989.
BRASIL. Lei nº 12.965, de 23 de abril de 2014.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018.
BRASIL. Supremo Tribunal Federal. Notícias do STF. Disponível em: http://
www.stf.jus.br/portal/cms/verNoticiaDetalhe5.o=212003. Acesso em: 9 jun.
2015.
CASTELLS, Manuel. Sociedade em rede: a era da informação - Economia,
Sociedade e Cultura. v.1. Rio de Janeiro: Paz e Terra, 2003.
CANHADAS, Fernando A. M. O Direito de Acesso à Informática Pública: O
Princípio da Transparência Administrativa, Appris, Curitiba, 2018.
134
UMA REFLEXÃO ACERCA DA DIVULGAÇÃO DE DADOS
REMUNERATÓRIOS DE SERVIDORES PÚBLICOS À LUZ DA LAI E LGPD
135
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
TRANSFERÊNCIA
INTERNACIONAL DE DADOS PESSOAIS
Daniel Cesar
Ednaldo Lucio dos Santos Júnior
Marcia Cristina de Castro
Resumo:
Em uma Sociedade da Informação os dados são a mola propulsora desta sociedade e
o fluxo de dados não fica restrito a localidades geográficas, ocorrendo transferências
para diferentes jurisdições. A Lei Geral de Proteção de Dados possui artigos que
referem a transferência internacional a fim de manter os direitos e garantias aos
titulares dos dados pessoais. Não temos definições robustas, até o presente momento,
sobre transferência internacional como existem em outras localidades, o que nos faz
buscar formas baseadas em outras jurisdições. O presente trabalho busca trazer o due
diligence como uma forma de se obter uma relação de transferência internacional de
maior segurança, com foco nos direitos e garantias dos titulares envolvidos.
Palavras-chave: Privacidade e proteção de dados. Sociedade da Informação.
Transferência Internacional de dados pessoais. Due Diligence.
Abstract:
In an Information Society, data is the driving force behind this society and the flow of data
is not restricted to geographic locations, with transfers occurring to different jurisdictions.
The Brazilian General Data Protection Law has articles that refer to international transfer
in order to maintain the rights and guarantees of the holders of personal data. Today we
don’t have robust definitions to date about international transfer as exist in other locations,
which makes us look for forms based on other jurisdictions. The present work seeks to
bring due diligence as a way to obtain a more secure international transfer relationship,
focusing on the rights and guarantees of the holders involved.
Keywords: Privacy and data protection. Information society. International Transfer of
personal data. Due Diligence.
1. INTRODUÇÃO
Na busca de produção social de riqueza, a sociedade passou por
várias transformações, existindo dentro de cada uma dessas fases um
elemento central nesse desenvolvimento. Na fase pós-industrial, o ad-
136
136
136 136
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
137
137
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
138
138
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
1.1 PROBLEMATIZAÇÃO
139
139
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
1.2 OBJETIVOS
140
140
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
5 CASTRO, Rodrigo Pironti Aguirre de – Compliance e gestão de riscos nas empresas estatais – 2
ed. - Belo Horizonte: Fórum, 2019, pag. 139.
141
141
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
1.3 JUSTIFICATIVA
142
142
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
6 BIALER, Ana Paula; COUTO, Priscila - artigo: Transferência internacional de dados pessoais:
antecedentes mundiais e sua aplicação na Lei n.º 13.709, de 14 de agosto de 2018 - Livro
Proteção de dados pessoais no Brasil: uma nova visão a partir da Lei nº 13.709/2018 - Ana
Claudia (Coord.). Belo Horizonte: Fórum, 2019, pág.228
7 KASEMIRSKI, André Pedroso - Proteção de Dados e Direitos Humanos: Extraterritorialidade
e a Soberania de uma Carta de Direitos da Internet - Coordenação Tarcisio Teixeira, Ed.
JusPodivm - Salvador, 2021. pág. 333.
143
143
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
144
144
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
2. REFERENCIAL TEÓRICO
Nesta seção iremos abordar a teoria que será desenvolvida no
decorrer deste artigo, focando em pontos da Lei Geral de Proteção de
Dados e no compliance. Com isso pretende-se equalizar entendimen-
tos e dar a base a escrita que virá adiante.
8 Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais,
por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de
proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser
observadas pela União, Estados, Distrito Federal e Municípios
145
145
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
9 JUSTIFICATIVA
O presente Projeto de Lei tem por objetivo dar ordenamento jurídico e institucional ao tratamento
de dados pessoais, bem como a proteção dos direitos individuais das pessoas, de acordo com
a Constituição da República Federativa do Brasil.
O tratamento de dados é hoje uma realidade cada vez mais presente em nosso cotidiano,
especialmente quando experimentamos o avanço da tecnologia da informação, em especial
a internet e suas aplicações nas mais diversas áreas de nossa vida em sociedade. Até pouco
tempo era inimaginável pensar nas aplicações e na interação que a internet teria em nosso dia
a dia, ao mesmo tempo em que podemos imaginar que isso continuará em ritmo acelerado e
de incremento, tendo em vista a velocidade em que novas tecnologias são desenvolvidas para
a comunicação com as pessoas.
Dentro dessa realidade se faz necessário estabelecer normas legais para disciplinar tais relações,
especialmente para dar proteção à individualidade e a privacidade das pessoas, sem impedir a
livre iniciativa comercial e de comunicação.
[…]
Não há dúvida nenhuma que o Estado deve cuidar das questões gerais, mas é também evidente
que a sociedade é refratária ao excesso de tutela por parte do Estado e que deseja exercer na
plenitude seus direitos constitucionais inclusive o de receber se quiser comunicações pelos
meios disponíveis no momento.
Desta forma gostaria de pedir aos meus pares que possam aprovar a presente propositura.
146
146
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
10 COTS, Marcio, OLIVEIRA, Ricardo - Lei Geral de Proteção de Dados pessoais comentada -
São Paulo - Thomson Reuters Brasil, 2018, pág. 57.
11 SILVA, De Plácido e. Vocabulário Jurídico. 18 ed. Rio de Janeiro: Forense, 2001, p 639
147
147
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
12 LIMA, Cíntia Rosa Pereira de; PEROLI, Kelvin. A Aplicação da Lei Geral de Proteção de Dados
do Brasil no Tempo e no Espaço. São Paulo: Almedina, 2020. p. 85
148
148
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
13 MENEZES, Joyceane Bezerra de; COLAÇO, Hian Silva. Quando a Lei Geral de Proteção de
Dados não se aplica. São Paulo: Thomson Reuters Brasil, 2020. p. 189
14 LEONARDI, Marcel. Transferência Internacional de Dados Pessoais. In: Tratado de Proteção
de Dados Pessoais. Bruno Bioni (coordenador executivo). Rio de Janeiro: Forense, 2021. p.
303.
149
149
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
2.2 COMPLIANCE
150
150
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
15 LUZ, Ilana Martins, Compliance e omissão imprópria - 1 remp. - Belo Horizonte: Editora D’
Plácido, 2018, p 23.
16 BENEDETTI, Carla Rahal – Criminal Compliance: Instrumento de Prevenção de Crime
Corporativo e Transferência de Responsabilidade Penal – São Paulo; Quartier latin editora,
2014., pág. 80.
17 DUTRA, Lincon Zub, Compliance no ordenamento jurídico brasileiro - Curitiba: Editora Juruá,
2018, p. 11.
151
151
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
152
152
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
153
153
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
As medidas ‘a’, ‘b’, ‘c’, ‘d’, ‘e’, ‘f’, ‘g’, ‘h’, ‘i’, ‘j’ e ‘l’ presentes anterior-
mente são válidas também para as transferências com o intuito de
prestação de serviço.
Temos assim um contrato entre as partes que definem obriga-
ções tanto do importador quanto para o exportador e outras medidas
também. Esse contrato é assinado entre as partes (importador e ex-
portador de dados).
19 ASSI, Marcos, HANOFF, Roberta Volpato, Compliance: como implementar- São Paulo:
Editora Trevisan, 2018, p 72.
154
154
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
155
155
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
22 ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do
Encarregado. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/
Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf Acesso em: 15 jun.
2022.
156
156
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
157
157
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
26 Nesse sentido são as orientações do European Data Protection Board - EDPB: “os conceitos
de controlador e operador são funcionais: eles visam alocar responsabilidades de acordo com
os papéis reais das partes. Isso implica que o status legal de um ator como ‘controlador’ ou
‘operador’ deve, em princípio, ser determinado por suas ações concretas em uma determinada
situação, ao invés da designação formal como sendo um ‘controlador’ ou ‘operador’ (por
exemplo, em um contrato).” (tradução livre). Guidelines 07/2020 on the concepts of controller
and processor in the GDPR. set. 2020, p. 9. Disponível em
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerpro-
cessor_en.pdf.
158
158
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
159
159
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
160
160
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
161
161
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
162
162
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
163
163
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
164
164
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
165
165
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
pessoais por ele tratado, expondo a ele próprio e ao titular dos dados,
podendo incorrer processo administrativo, civil e ainda ser penalizado
com pesadas multas.
5. CONCLUSÃO
Vivemos hoje em uma sociedade em que os dados são a mola
propulsora do desenvolvimento e para dar maior poder de controle,
instrumentos para acompanhar e se opor, legislações de proteção de
dados têm surgido ao redor do mundo. O tratamento dos dados pes-
soais muitas vezes não ficam restritos a uma jurisdição, surgindo assim
a figura da transferência internacional de dados, havendo um capítulo
destinado a tratar sobre o tema na Lei Geral de Proteção de Dados
(LGPD).
Até o presente momento carecemos de orientações de como
deve-se proceder, a Autoridade Nacional de Proteção de Dados está
trabalhando em propostas para estruturar o tema. Até lá, o olhar sobre
outras jurisdições estruturadas a mais tempo serve de norte para se
entender e praticar os controles devidos. Neste contexto apresenta-
mos neste artigo o due diligence como um instrumento na temática.
Deve-se ter em mente que não é suficiente enviar um questio-
nário de due diligence e arquivar as informações ali registradas como
o “salvo conduto” de exclusão de responsabilidade, ou seja, o agente
pesquisado responde de forma a demonstrar, sem enviar documentos
que evidenciem suas respostas, inferindo-se que se encontra adequado
a Lei Geral de Proteção de Dados, assumindo neste momento todo o
risco pelo tratamento dos dados recebido, junto ao titular e aos órgãos
fiscalizadores.
O acesso às informações coletadas no questionário e aos do-
cumentos pelo agente de tratamento consultado, não tem valor se não
houver um processamento, pois “... Não devemos confundir informa-
ção com conhecimento. Informação é base para o conhecimento [...].
166
166
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
167
167
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
REFERÊNCIAS
ALBERTIN, Alberto Luiz; PINOCHET, Luis Herman Contreras. Política de se-
gurança de informação: uma visão organizacional para sua formulação. São
Paulo: Ed. Elsevier, 2010.
ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de
Dados Pessoais e do Encarregado. Disponível em: https://www.gov.br/anpd/
pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agen-
tes_de_Tratamento_retificada.pdf.
ANTONIO, Adriano Martins. Privacidade e Proteção de Dados Pessoais na
mira da LGPD. São Paulo: @PMG Academy, 2021.
ARGENTINA. Disposición 60 - E/2016. Disponível em: http: http://servicios.
infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm
Acesso em: 13 jun. 2022.
ASSI, Marcos, HANOFF, Roberta Volpato. Compliance: como implementar.
São Paulo: Editora Trevisam, 2018
BECK U. Sociedade de risco: rumo a uma outra modernidade. Tradução:
Sebastião Nascimento. São Paulo: Ed. 34, 2010
BENEDETTI, Carla Rahal. Criminal Compliance: Instrumento de Prevenção
de Crime Corporativo e Transferência de Responsabilidade Penal. São Paulo:
Quartier latin editora, 2014.
BIALER, Ana Paula; COUTO, Priscila. Transferência internacional de dados pes-
soais: antecedentes mundiais e sua aplicação na Lei n.º 13.709, de 14 de agosto de
2018. In: Proteção de dados pessoais no Brasil: uma nova visão a partir da Lei nº
13.709/2018. Ana Claudia (Coord.). Belo Horizonte: Fórum, 2019
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do
consentimento. Rio de Janeiro: Ed. Forense, 2019
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. LEI Nº 13.709, de 14 de agosto
de 2018. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD). Brasília:
Congresso Nacional, 2018. Disponível em: http://www.planalto.gov.br/cci-
vil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Acesso em: março de
2022.
BRASIL. Lei nº 12.846, de 01 de agosto de 2013. Dispõe sobre a responsabi-
lização administrativa e civil de pessoas jurídicas pela prática de atos contra
168
168
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
169
169
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
170
170
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
Resumo:
Os vazamentos de dados estão cada vez mais frequentes, gerando impactos não
somente nas organizações que realizam tratamentos de dados pessoais, mas
principalmente nos titulares desses dados. A publicação da Lei nº 13.709/2018 (Lei
Geral de Proteção de Dados - LGPD) trouxe um grande desafio às organizações para
se adequarem a essa nova legislação. E nessa adequação, a gestão de riscos é parte
primordial para apoiar na tomada de decisão e assim evitar e/ou minimizar perdas, dada
a estratégia organizacional definida, além de apoiar no atingimento do compliance.
Com o propósito de apresentar boas práticas de gestão de riscos à privacidade
e proteção de dados pessoais (PPD), este artigo analisa características comuns
presentes em abordagens relacionadas ao tema, visando direcionar meios, apontar
mecanismos e propor estratégia de forma a apoiar uma organização na identificação
de riscos relacionados à PPD, em especial, riscos aos titulares de dados pessoais. O
conteúdo apresentado neste trabalho serve de base para qualquer organização que
deseje internalizar ou aprimorar a identificação de riscos à PPD. É possível observar
como resultado, uma intercessão entre riscos organizacionais, riscos de soluções
digitais e riscos aos titulares de dados pessoais e que um tratamento de dados pessoais
realizado de forma inadequada ou ilícita pode afetar tanto os seus titulares quanto a
organização que os trata.
Palavras-chave: riscos. gestão de riscos. privacidade. proteção de dados. controles.
avaliação de impacto.
Abstract:
Data leaks are increasingly frequent, generating impacts not only on organizations
that process personal data, but mainly on the holders of these data. The publication
of Law nº 13.709/2018 (Lei Geral de Proteção de Dados - LGPD) brought a great
172
172
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
1. INTRODUÇÃO
Cada vez mais a imprensa noticia incidentes de segurança
de grande magnitude. Os ataques cibernéticos não param! Diversos
vazamentos de dados pessoais são expostos, como se existissem
canos furados por todos os lados por onde passamos. Termos como
ransomware1 passou a fazer parte do cotidiano do cidadão comum.
Só em 2021 foram 2.686 ataques de ransomware que resultaram em
vazamentos de dados, um aumento de 82% em relação ao ano de 2020,
segundo o relatório “2022 Global Threat Report” (CrowdStrike, 2022).
Um exemplo recente, segundo Tilt/UOL (2022), foram os constantes
ataques de ransomware à Costa Rica, que afetou instituições governa-
mentais do país, como os ministérios da Economia, Trabalho e Previ-
dência, Tecnologia e Inovação, Telecomunicações e Desenvolvimento
Social, entre outros, causando prejuízos de milhões.
173
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
2 Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação
a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à
saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural
(Art.5º II, LEI GERAL DE PROTEÇÃO DE DADOS - LGPD, 2020)
3 “Crime cibernético é uma atividade criminosa que tem como alvo ou faz uso de um
computador, uma rede de computadores ou um dispositivo conectado em rede. Não todos,
mas a maioria dos crimes cibernéticos é cometida por cibercriminosos ou hackers que querem
174
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
175
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
1.1 PROBLEMATIZAÇÃO
5 Vem do verbo inglês “to comply”, que quer dizer estar de acordo, em conformidade. Ato de
obedecer a uma ordem, regra ou pedido. https://dictionary.cambridge.org/pt/dicionario/
ingles/compliance
176
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
1.2 OBJETIVOS
1.3 JUSTIFICATIVA
177
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
178
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
2. REFERENCIAL TEÓRICO
2.1 GESTÃO DE RISCOS
179
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
180
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
6 Um ativo é algo que tem valor para a organização e que, portanto, requer proteção. (ABNT
NBR ISO/IEC 27005, 2019).
7 Ameaça: Causa potencial de um incidente indesejado, que pode resultar em danos a um
sistema ou organização. (ISO/IEC 27000(E), 2018).
8 Vulnerabilidade: Fraqueza de um ativo ou controle que pode ser explorado por uma ou mais
ameaças. (ISO/IEC 27000(E), 2018).
181
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
Avaliação de Riscos
Ferramenta/Técnica
Identificação Análise de Avaliação de
de Riscos Riscos Riscos
Lista de Verificações X
FMEA/FMECA X
HAZOP X
Análise de Cenário X
SWIFT X
Análise Bow Tie X
LOPA X
Análise Bayesiana X
Análise de causa-consequência X
Mapeamento Causal X
ALARP/SFAIRP X
Diagrama frequência-número (F-N) X
Gráfico de Pareto X
Manutenção Centrada na Confiabilidade X
Índice de risco X
Fonte: NBR ISO/IEC 27005 (ABNT, 2019).
182
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
183
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
184
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
185
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
186
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
187
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
188
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
189
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
190
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
191
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
II) adequação;
III) necessidade;
IV) livre acesso;
V) qualidade dos dados;
VI) transparência;
VII) segurança;
VIII) prevenção;
IX) não discriminação;
X) responsabilização e prestação de contas.
192
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
10 Center for Internet Security, Inc. (CIS). Uma organização sem fins lucrativos orientada pela
comunidade, responsável pelos Controles CIS e Benchmarks CIS®™, práticas recomendadas
reconhecidas globalmente para proteger sistemas e dados de TI. https://www.cisecurity.
org/insights/white-papers/cis-controls-v8-privacy-companion-guide-portuguese-
translation
11 FIPPS - Os Princípios de Práticas de Informação Justas, são um conjunto de oito princípios
relacionados ao uso, coleta e privacidade de dados. Eles foram publicados em 1980 pela
OCDE. Vários desses princípios estão incluídos em importantes estruturas de privacidade,
como no GDPR e na LGPD.
https://iapp.org/resources/article/fair-information-practices/
193
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
3. REFERENCIAL METODOLÓGICO
3.1 CLASSIFICAÇÃO DA PESQUISA
4. DESENVOLVIMENTO
Tanto a NBR ISO/IEC 31000 (ABNT, 2018) quanto a ISO/IEC
27000 (ISO, 2018) definem riscos como: “efeito da incerteza nos ob-
jetivos”, demonstrando um alinhamento de definições. Como também
alinhadas na definição de gestão de riscos: “Atividades coordenadas
para dirigir e controlar uma organização no que se refere a riscos”.
194
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
12 Segundo TCU (2018): “apetite a risco - quantidade de risco em nível amplo que uma
organização está disposta a aceitar na busca de seus objetivos (INTOSAI, 2007). Quantidade
195
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
e tipo de riscos que uma organização está preparada para buscar, reter ou assumir (ABNT,
2009a).”
196
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
197
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
198
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
Segundo a LGPD:
Art. 44. O tratamento de dados pessoais será irregular
quando deixar de observar a legislação ou quando não
fornecer a segurança que o titular dele pode esperar,
consideradas as circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se
esperam;
III - as técnicas de tratamento de dados pessoais disponí-
veis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da
violação da segurança dos dados o controlador ou o ope-
rador que, ao deixar de adotar as medidas de segurança
previstas no Art. 46 desta Lei, der causa ao dano.
199
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
200
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
13 Solução Digital é a solução de tecnologia da informação que visa o conjunto de bens e/ou ser-
viços que apoiam processos de negócios mediante a união de recursos, processos e técnicas
utilizados para obter, processar, armazenar, disseminar e fazer uso de informações. Soluções
digitais que promovem privacidade de dados serão premiadas pelo Serpro
201
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
202
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
203
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
204
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
205
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
Critérios
Avaliação e pontuação (profiling / scoring)
Monitoramento sistemático
Tomada de decisão automatizada
Processamento em larga escala
Combinação de dados ou conjunto de dados de fontes diferentes (cruzamento de
dados)
Uso de tecnologia inovadora ou não dominada
Base legal legítimo interesse
Tratamento de dados pessoais sensíveis
Tratamento de dados pessoais de criança e/ou adolescente
Compartilhamento de dados pessoais
Fonte: elaborada pelos autores.
206
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
207
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
208
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
209
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
210
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
5. CONCLUSÃO
Com a entrada em vigor da LGPD, a gestão de riscos à privaci-
dade e proteção de dados se tornou um instrumento muito importante
para uma tomada de decisão mais efetiva pela Alta Administração em
questões referentes ao tema, uma vez que direciona os esforços para
os riscos realmente relevantes de terem seu tratamento priorizado e
assim apoia na adequação da organização à LGPD. A organização, além
de estar atenta à nova legislação para garantir seu compliance, deve
211
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
estar atenta ao tratamento que dá aos dados pessoais sob sua respon-
sabilidade, principalmente nos casos em que ela é o controlador desses
dados.
O conteúdo deste trabalho, além de contribuir para a identifi-
cação de riscos à privacidade e proteção de dados numa organização,
contribuiu também para direcionar critérios que devem ser observados
para apontar a necessidade ou não de elaboração de um relatório de
impacto à proteção de dados.
A grande mudança em uma gestão de riscos à privacidade
e proteção de dados é que a organização ao realizar o trabalho de
identificação de riscos não poderá mais fazê-lo apenas sob a ótica de
interesses próprios, tais como alcance de objetivos e metas estratégi-
cos, geralmente com foco em questões financeiras e de negócio, mas
terá que fazê-lo também sob a ótica dos titulares de dados pessoais,
se há autorização formal ou fundamentação legal para o tratamento
realizado e se esse é realizado considerando práticas de privacy by
design e privacy by default.
Uma constatação com este trabalho foi que, seja o risco à privaci-
dade e proteção de dados um risco organizacional, um risco em solução
digital ou um risco ao titular de dado pessoal, eles podem ter intercessão
entre si, visto que um risco ao titular de dados pessoais pode ser também
um risco organizacional, como o exemplo já citado anteriormente de
violação de dados pessoais, que pode trazer prejuízos a um titular, dado
o vazamento de seus dados e à organização por dano à sua imagem. De
forma similar, um risco de uma solução digital pode também ser um risco
ao titular de dados pessoais, como também pode ser um risco organiza-
cional. Como por exemplo, o risco de uso indevido de dados pessoais em
uma solução digital crítica ao negócio de uma organização, o qual pode
trazer desde mero aborrecimentos a danos financeiros e de imagem ao
titular, por ter tido seus dados usados de forma indevida, como também
212
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001:
Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da
segurança da informação – Requisitos. 2 ed. Rio de Janeiro: ABNT, 2013. 30p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:
Tecnologia da informação - Técnicas de segurança - Código de prática para
controles de segurança da informação. 2 ed. Rio de Janeiro: ABNT, 2013. 99p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27005:
Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segu-
rança da informação. 3 ed. Rio de Janeiro. ABNT, 2019. 66p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27701:
Técnicas de segurança – Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR
213
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
214
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
215
GESTÃO DE RISCOS, PRÁTICA INDISPENSÁVEL PARA A
IMPLEMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
ca-online-mas-falta-conhecimento-sobre-protecao-de-dados-pessoais >.
Acessado em: 15 de junho de 2022.
KYRIAZOGLOU, John. Sistema de gestão da privacidade e proteção de dados:
Guia de privacidade e proteção de dados - Vol. I. 1ª ed. Londres: BookBoon.
com, 2019.
ONETRUST - Privacy, Security e Governance. The Ultimate PIA and DPIA
Handbook for Privacy Professionals. November 2021.
SGD – Secretaria de Governo Digital (a). Guia de Avaliação de Riscos de Segu-
rança e Privacidade da SGD. Lei Geral de Proteção de Dados (LGPD). Versão
1.0. Brasília. Novembro de 2020. Disponível em: https://www.gov.br/governo-
digital/pt-br/seguranca-e-protecao-de-dados/guias/guia_avaliacao_riscos.
pdf/view. Acessado em: maio de 2022.
SGD – Secretaria de Governo Digital (b). Guia de Elaboração de Inventário de
Dados Pessoais - LGPD. Lei Geral de Proteção de Dados (LGPD). Versão 1.1.
Brasília. Abril de 2021. Disponível em: https://www.gov.br/governodigital/pt-
-br/seguranca-e-protecao-de-dados/guias/guia_inventario_dados_pessoais.
pdf/view. Acessado em: junho de 2022.
TCU - Tribunal de Contas da União. Gestão de Riscos - Avaliação da Maturi-
dade. Brasília. Janeiro de 2018. 164p. Disponível em:https://portal.tcu.gov.br/
data/files/0F/A3/1D/0E/64A1F6107AD96FE6F18818A8/Gestao_riscos_ava-
liacao_maturidade.pdf. Acessado em: 14 de maio/2022.
TENABLE. Novo estudo: 75% das organizações brasileiras atribuem ataques
cibernéticos prejudiciais a vulnerabilidades na tecnologia implementada
durante a pandemia. Outubro 2021. Disponível em: https://www.tenable.
com/press-releases/novo-estudo-75-das-organiza-es-brasileiras-atribuem-
-ataques-cibern-ticos-prejudiciais. Acessado em: 14 de maio de 2022.
TILT/UOL. Estado de emergência: invasão hacker provoca caos milionário
na Costa Rica. Disponível em: <https://www.uol.com.br/tilt/noticias/reda-
cao/2022/05/18/veja-4-fatos-para-entender-o-caos-que-hackers-estao-
-causando-na-costa-rica.htm>. Acessado em: 14 de junho de 2022.
216
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
SEGURANÇA DA INFORMAÇÃO,
GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA
IMPLEMENTAÇÃO DE SUCESSO
DA PRIVACIDADE
Resumo:
Entende-se que as modernidades tecnológicas/digitais não podem ser percebidas,
tão somente como artefatos capazes de emponderar e facilitar as mediações
dos processos sociorrelacionais, mas também como meios que podem impactar
positiva e negativamente os processos e atividades que promovem a adequação,
execução, manutenção e a garantia da privacidade e proteção de dados pessoais nas
instituições. Desta feita, os estudos neste capítulo (artigo) abrangem contribuições
de ordem teórica e prática para o debate sobre o quão é indispensável fomentar nas
organizações, com base no ordenamento jurídico vigente, a adequada simbiose entre
os processos de segurança da informação, governança e proteção de dados para
garantir sucesso na implementação das atividades de privacidade, salvaguardar os
direitos dos titulares, bem como, mitigar riscos ou danos, com vazamento e acesso
indevido aos dados pessoais. Tendo por base pesquisa documental empírica, descritiva
e qualitativa, realizadas em livros, artigos, manuais, leis, referências jurídicas e técnicas,
se procurou pelo viés social e técnico, apresentar a visão conceitual de segurança,
segurança da informação, proteção de dados, privacidade e direito à privacidade,
além de frameworks consagrados que auxiliam a gestão e a governança de dados
organizacional, suportados pelas mais atuais tecnologias da informação.
Palavras-chave: Privacidade. Governança de dados. Proteção de dados pessoais.
Segurança da informação. Lei geral de proteção de dados. Simbiose.
Abstract:
It is understood that technological/digital modernities cannot be perceived, only as
artifacts capable of empowering and facilitating the mediations of socio-relational
processes, but also as means that can positively and negatively impact the processes
218
218
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
1. INTRODUÇÃO
1 É o nome para um círculo de indivíduos que estão, de uma maneira determinada, ligados uns
aos outros por efeito das relações mútuas, e que por isso podem ser caracterizados como uma
unidade — da mesma maneira que se considera uma unidade um sistema de massas corporais
que, em seu comportamento, se determinam plenamente por meio de suas influências
recíprocas. (SIMMEL, 2006, p. 18).
2 Homo sapiens criatura que se destaca do restante dos outros animais por ser indefinido e
indeterminado, portanto, capaz de transcender, ir além de seu status quo. (BAUMAN, 2013, p.
27).
219
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
3 Termo inicialmente utilizado por Michel Puech, filósofo francês, nos livros Homo Sapiens
Technologicus: Philosophie de la technologie contemporaine, philosophie de la sagesse
contemporaine e Homo Sapiens Technologicus. (PUECH, 2008 e 2018).
4 TICs são compostas pela convergência e imbricação da computação, telecomunicações,
mídia eletrônica, e todos os tipos de processos e transferências de sinais digitais de áudio e
vídeo, além de todas as funções de controle e gerenciamento baseadas em tecnologias de
rede. (CELEBIC; RENDULIC, 2017, p. 17).
5 Na Sociedade do Conhecimento, a pessoa com seu conhecimento (capital intelectual) e
a educação ocupam um lugar central, e as novas tecnologias apoiam a sua disseminação e
para que o conhecimento esteja ao alcance de todos que o desejarem. (AMARAL, 2006, p.
9; DRUCKER, 1997, p. 6). Este tipo de Sociedade é baseado em pessoas, na sua criatividade,
iniciativa e habilidade de aprender e apreender, se originou a partir das redes sociais, das
interações e colaborações, entre os indivíduos membros. (MUSACCHIO, 2014).
A UNESCO, através de seu subdiretor-geral para Comunicação e Informação, adotou o
termo “sociedade do conhecimento” ou sua variante “sociedades do saber” dentro de suas
políticas institucionais. Deste modo, o conceito de “sociedade da informação”, a meu ver,
está relacionado à ideia da “inovação tecnológica”, enquanto o conceito de “sociedades
do conhecimento” cuja pedra angular é a sociedade da informação inclui uma dimensão
de transformação social, cultural, econômica, política e institucional, assim como uma
perspectiva mais pluralista e de desenvolvimento. (KHAN, 2003).
220
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
6 Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem
à coleta, produção, recepção, classificação, utilização, acesso, cruzamento, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou
extração. (SERPRO. GLOSSÁRIO-LGPD. Jan2021).
221
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
ção com mais de 10 anos têm acesso à internet. Pela primeira vez, o
levantamento identificou uma proporção maior de domicílios com
acesso à rede mundial (83%) do que indivíduos usuários desta (81%),
(CGI.br, 2022).
Num estudo de janeiro de 2021, da empresa O Statista.com,
companhia internacional de dados digitais, retrata que eram 4,66
bilhões de usuários ativos da Internet em todo o mundo - 59,5% da
população global. Desse total, 92,6% (4,32 bilhões) acessaram a inter-
net por meio de dispositivos móveis. (O STATISTA, 2022). Inclusive, é
possível verificar através do Infográfico (Figura 1 - já defasada) com
o título “Dados nunca dormem - How much data is generated every
minute?” o consumo de dados digitais a cada minuto na rede mundial
de computadores, (O Domo, 2022).
Empresas como as constantes da Figura 1, originalmente, cria-
das com objetivo de relações sociais, recolhem de suas plataformas, via
“cookie”, dados e informações e rastreia a navegação do usuário para
personalizar anúncios e conteúdos, além de que, abusivamente, ela-
boram perfis a partir de algoritmos, que podem aprender padrões de
comportamento, influenciar nas expectativas, necessidades, escolhas
e produtos para cada pessoa, alterando significativamente a velocida-
de e a forma dos negócios.
222
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
223
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
224
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
1.1 PROBLEMATIZAÇÃO
Fato é que o titular dos dados precisa ter seu direito protegido
ao conforto e às benesses que a vida digital lhe oferece. Independente-
mente da evolução das TICs, as organizações públicas ou privadas não
podem furtar de garantir esta proteção, com ações de adequação das
infraestruturas física, técnica e comunicacional, seja nos sistemas de
informações, bancos de dados ou mesmo na conformidade dos pro-
cessos que tratam os dados pessoais.
Sabedores de que os dados são subprodutos dos processos
técnicos operacionais torna-se basilar entender que os normativos
de privacidade e proteção de dados pessoais (P&PDP) não devem ser
vistos como um óbice ou uma restrição ao tratamento de dados e sim
como parâmetros razoáveis de tratamento que garantam sua dupla
função protetiva: tanto devem proteger a privacidade e os dados pes-
soais, quanto devem garantir para a pessoa os resultados positivos que
a economia digital proporciona, assim, os gestores devem se preocupar
com os desafios, complexidades e valor do gerenciamento eficaz que
os dados podem acarretar.
Até pouco tempo, no Brasil, com a escassez de marco legal, os
modelos de gestão da privacidade do titular vinham sendo desenvolvi-
dos a partir da perspectiva empresarial e econômica. Com advento dos
mais recentes ordenamentos jurídicos – LGPD e PEC 115, por exemplo
– este foco tem passado por aperfeiçoamento e cada vez mais se busca
evidenciar o titular como o “dono” dos dados, como elemento central
da privacidade.
Neste contexto, especialmente no modelo brasileiro, passa a
ter importância primordial para o desempenho da organização e para
a garantia da preservação da privacidade do titular, afastar a ideia de
que a LGPD constitui um único marco isolado, além de compreender
que todo aparato tecnológico disponibilizado não opera isoladamen-
225
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
226
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
1.2 OBJETIVOS
1.3 JUSTIFICATIVA
227
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
228
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
229
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
2. FUNDAMENTAÇÃO TEÓRICA
A fundamentação teórica que embasa o presente capítulo é
apresentada em forma de subcapítulos onde, em geral, inicia por con-
ceituações e definições e em seguida aprofunda, valoriza e reforça os
laços entre tecnologia da informação e comunicação, SI, GD, proteção
de dados, privacidade e direito à privacidade, assuntos aqui considera-
dos como relevantes para contextualização do leitor.
230
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
8 Dromologia é a ciência (ou a lógica) que estuda os efeitos da velocidade como fator
extremamente importante na sociedade. Também qualificada como o estudo dos impactos
culturais, sociais, acadêmicos e profissionais produzidos pelas novas tecnologias. Esse termo foi
criado pelo filósofo e ensaísta francês Paul Virilio, dromos: ação de correr; corrida e velocidade
vinculadas ao espaço e ao tempo; logia: estudo. A velocidade pode ser considerada a palavra-
chave dos seus pensamentos acerca da Cibercultura, pois, a realidade é definida por um mundo
virtual, onde se pode estar em todos os lugares e ao mesmo tempo em nenhum, ou seja, não
se tem mais a noção de tempo e espaço. Assim, a velocidade de uma ação é percebida como
pressuposto de eficiência e eficácia para sua realização, “se o tempo é dinheiro, a velocidade é
poder”, afirma ele. Todavia, o autor acreditava que a pressa ditada pelo ritmo das mídias faz com
que se negue à reflexão e intensifica a superficialidade e até mesmo seu mau uso. (VIRILIO, 2011).
231
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
232
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
233
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
234
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
235
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
236
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
9 Como todos os sistemas de gestão concebidos no mundo ISO, por exemplo, SGSI e SGPI,
não são “sistemas” no sentido literal, como se costuma conceber no mundo da tecnologia,
devem ser compreendidos como uma sistemática, uma metodologia, uma forma
documentada e inequívoca. Todas as normas do “mundo” são projetadas para poderem ser
implementadas separadamente ou como um Sistema de Gestão combinado. (ABNT ISO
27701, 2019, p. 9).
237
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
238
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
239
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
11 Encarregado, pessoa indicada pelo controlador e operador para atuar como canal de
comunicação entre o controlador, os titulares dos dados e a ANPD. (LGPD, Art. 5º, inciso VIII,
2018).
240
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
241
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
242
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
243
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
244
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
245
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
246
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
247
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
3. REFERENCIAL METODOLÓGICO
Com o propósito de organizar a pesquisa deste trabalho, de
forma objetiva e consistente, foi realizada a sua classificação.
248
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
4. DESENVOLVIMENTO
A criação pelos agentes de tratamento de condições que favo-
reçam a garantia da privacidade, bem como, salvaguardar os direitos e
mitigar os riscos ou danos aos titulares dos dados estão diretamente
relacionadas à exitosa concepção da simbiose entre os processos de SI,
governança e proteção de dados, bem como, a adequada implantação
das atividades de tratamento de dados pessoais.
Propomos, dentro deste contexto, uma estrutura mínima,
baseada no arcabouço jurídico, ferramentas e processos de SI (ciber-
segurança) e governança de dados.
Partindo do princípio que os conceitos fundamentais de SI
(confidencialidade, integridade, disponibilidade, autenticidade, não
repúdio) já estejam solidamente estabelecidos na organização se faz
necessário identificar as áreas e processos comuns entre a privacidade
e proteção de dados pessoais e a segurança da informação, tornando-os
harmônicos e complementares entre si. Por exemplo, um incidente de
informação não pode mais deixar de considerar análises do tipo de dado
que sofreu a violação, no que tange a possibilidade de ser ou não um
dado pessoal e ainda sua subclasse (dado sensível, por exemplo), tendo a
obrigação de agora comunicar também o Controlador e o Encarregado
de Dados designado, pois estes novos atores farão parte do processo
de incidente. Além disso, envolvem também o ciclo de vida dos dados
pessoais na organização, pois além de necessitarem de proteção, devem
ser descartados no período definido e da forma correta (irrecuperável).
249
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
250
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
5. CONCLUSÃO
251
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
REFERÊNCIAS
ABNT NBR ISO/IEC 27001:2013. Tecnologia da informação - Técnicas de
Segurança -Sistemas de Gestão da Segurança da Informação - Requisitos. 2
Ed. Rio de Janeiro. Nov2013. 36 p
ABNT NBR ISO/IEC 27002:2013. Tecnologia da informação – Técnicas de
segurança – Código de prática para controles de segurança da informação. 2
Ed. Rio de Janeiro. Nov2013. 111 p.
ABNT NBR ISO/IEC 27701:2019. Técnicas de segurança - Extensão da ABNT
NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para Gestão da Privaci-
dade da Informação - Requisitos e Diretrizes. Rio de Janeiro. Nov2019. 82 p.
252
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
253
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
254
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
255
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
DGI. The Data Governance Institute. Defining Data Governance. Disponível em:
https://datagovernance.com/defining-data-governance/. Acesso em 06Mai22.
DI FELICE, Massimo; LEMOS, Ronaldo. A Vida em Rede. Campinas: Papirus 7
Mares, 2014.
DOMO.COM/Company. Disponível em: https://www.domo.com/learn/info-
graphic/data-never-sleeps-9. Acesso em 04Mar2022.
DONEDA, Danilo. Considerações iniciais sobre os bancos de dados informa-
tizados e o direito à privacidade. 2000. Disponível em: https://vlex.es/vid/
iniciais-dados-informatizados-privacidade-107553>. Acesso em: 28Fev2022.
DRUCKER, Peter. Sociedade pós-capitalista. 6. ed São Paulo: Pioneira, 1997.
186p.
GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 6 ed. Rio de Janeiro:
Atlas, 2017. E-book.
KHAN, Abdul Waheed. Towards Knowledge Societies. Unesco’s Natural
Sciences Sector. In. Interview with Abdul Waheed Khan. World of Science,
v. 1, n. 4, July-September 2003, Disponível em: <http://www.unesco.org/new/
en/communication-and-information/resources/news-and-in-focus-articles/
all-news/news/towards_knowledge_societies_an_interview_with_abdul_wa-
heed/>. Acesso em: 02Mar2022.
LEÃO, Paulo Roberto Corrêa. Tecnologias da Informação e Comunicação:
aporte aos processos sociais e educacionais orientados aos jovens. 2020.
347 p. Tese (Doutorado em Educação) – Universidade Católica de Brasília,
Brasília-DF, 2020.
LÉVY, Pierre. As tecnologias da inteligência: o futuro do pensamento na era
da informática. 2. ed. São Paulo: Editora 34, 2010. 208 p.
MANDARINO JUNIOR, Raphael. Segurança e defesa do espaço cibernético
do brasileiro. Recife: Cubzac, 2010. 182 p.
MISKOLCI, Richard; BALIEIRO, Fernando de Figueiredo. Sociologia Digital:
balanço provisório e desafios. In: Revista Brasileira de Sociologia, São Paulo,
v. 06, n. 12, jan-abr/2018. Disponível em: <http://www.sbsociologia.com.br/
revista/index.php/RBS/article/view/237>. Acesso em: 02Mai2022.
MUSACCHIO, Cláudio de. Sociedade da Informação x Sociedade do Co-
nhecimento. 2014. Disponível em: <https://www.baguete.com.br/colunas/
256
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
claudio-de-musacchio/26/07/2014/sociedade-da-informacao-x-sociedade-
-do-conhecimento>. Acesso em: 02Mar22.
ORGANIZAÇÃO DAS NAÇÕES UNIDAS. Declaração Universal dos Direitos
Humanos (DUDH). Disponível em: <https://www.un.org/en/about-us/univer-
sal-declaration-of-human-rights>. Acesso em: 06março22.
PONTE, J. Tecnologias de informação e comunicação na formação de profes-
sores: Que desafios? In: Revista Ibero-Americana de Educación, v. 24, 2000.
63-90 pp. Disponível em: <http://www.rieoei.org/rie24a03.htm>. Acesso em
02Mai22.
PUECH, Michel. Homo Sapiens Technologicus: Philosophie de la technologie
contemporaine, philosophie de la sagesse contemporaine. Paris-França: Edi-
tions Le Pommie. 2008.
PUECH, Michel. Homo Sapiens Technologicus. Roma-Itália: Nuova Cultura.
2018. 210 p.
REIS, Abel. Sociedade.com: Como as tecnologias digitais afetam quem so-
mos e como vivemos. 1ª Edição, Porto Alegre: Arquipélago Editorial, 2018. 216
p. E-book.
SANTOS, Milton. A Natureza do Espaço: Técnica e Tempo, Razão e Emoção.
4. ed. 2. reimpr. - São Paulo: Editora da Universidade de São Paulo, 2006. 260
p. (Coleção Milton Santos; 1).
SERPRO. Política Corporativa de Governança de Dados. 2021. 8 p.
SERPRO. Glossário-LGPD. Jan2021. Disponível em:<https://www.serpro.gov.
br/lgpd/menu/a-lgpd/glossario-lgpd/.> Acesso em 07Mar2022.
SILVEIRA, S. A.; AVELINO, R.; SOUZA, J. A privacidade e o mercado de dados
pessoais. In: Liinc em Revista, v. 12, n. 2, 30 nov. 2016.
SIMMEL, Georg. Questões fundamentais da sociologia: indivíduo e socieda-
de. Rio de Janeiro: Jorge Zahar Editora, 2006. 120 p.
O STATISTA.COM. Disponível em: <https://www.statista.com/statisti-
cs/617136/digital-population-worldwide/>. Acesso em 04Mar2022.
STREY, Marlene Neves (Org.). Psicologia Social Contemporânea. 7. ed. Rio de
Janeiro: Vozes, 2013. 302 p.
TEIXEIRA, Marcelo Mendonça. Cyberculture: from plato to the virtual univer-
se. The architecture of collective intelligence. Munique: Grin Verlag, 2012.
257
SEGURANÇA DA INFORMAÇÃO, GOVERNANÇA E PROTEÇÃO DE DADOS:
SIMBIOSE INDISPENSÁVEL PARA UMA IMPLEMENTAÇÃO DE SUCESSO DA PRIVACIDADE
258
Transparência na implementação de Inteligência Artificial em Organizações
TRANSPARÊNCIA NA IMPLEMENTAÇÃO
DE INTELIGÊNCIA ARTIFICIAL
EM ORGANIZAÇÕES
Aline Macohin
Juliano Souza de Albuquerque Maranhão
Resumo:
O uso de inteligência artificial explicável pode mitigar alguns riscos inerentes ao uso da
IA em soluções digitais, além de permitir o uso responsável e auditável desta tecnologia.
Embora a legislação de proteção de dados aborde o tema da explicabilidade, sua
abordagem é insuficiente para garantir uma maior transparência dos modelos de IA.
Os riscos de conformidade, jurídicos e de segurança, pertinentes a cada contexto em
que as tecnologias são aplicadas, podem ser maiores de acordo com os algoritmos
utilizados e nível de transparência do sistema. A experiência Europeia pode trazer
importantes subsídios para essa proteção e para a discussão da regulação da IA no
Brasil.
Palavras-chave: Inteligência artificial. Transparência. Explicabilidade. Regulação;
Abstract: Explainable Artificial Intelligence can be used for risk mitigation in digital
solutions, while enabling responsible and auditable use of AI technology. Although
current legislation addresses the use of explainability, this is insufficient to ensure
transparency in AI models. Security, conformity and legal risks can be higher depending
on the algorithms used and the desired level of transparency for the system. Previous
studies and experiences carried out in Europe can contribute to the discussion of AI
regulation in Brazil.
Keywords: Artificial Intelligence. Transparency. EXplainable AI regulation.
1. INTRODUÇÃO
A explicabilidade dos resultados de softwares que incorporem
metodologias de inteligência artificial é tema bastante explorado por
pesquisas relativas à ética na inteligência artificial (IA). Trata-se de
preocupação relativa à transparência dos sistemas de IA tendo em vista
260
Transparência na implementação de Inteligência Artificial em Organizações
1 QUEIROZ, M.S., DE CARVALHO, J.X., BORTOTO, S.F. et al. Diabetic retinopathy screening in
urban primary care setting with a handheld smartphone-based retinal camera. Acta Diabetol
57, 1493–1499, 2020. https://doi.org/10.1007/s00592-020-01585-7
261
261
Transparência na implementação de Inteligência Artificial em Organizações
1.1 PROBLEMATIZAÇÃO
1.2 OBJETIVOS
262
262
Transparência na implementação de Inteligência Artificial em Organizações
1.3 JUSTIFICATIVA
2. REFERENCIAL TEÓRICO
A seguir serão abordados os impactos da inteligência artificial
e como estes podem ser reduzidos com a ação de uma IA confiável
através de transparência e explicabilidade do sistema.
263
263
Transparência na implementação de Inteligência Artificial em Organizações
264
264
Transparência na implementação de Inteligência Artificial em Organizações
3 The Guardian. Google alters search autocomplete to remove ‘are Jews evil’ suggestion.
Disponível em https://www.theguardian.com/technology/2016/dec/05/google-alters-
search-autocomplete-remove-are-jews-evil-suggestion . Acesso em: junho de 2022.
4 The Guardian. Do Google’s ‘unprofessional hair’ results show it is racist?. Disponível em
https://www.theguardian.com/technology/2016/apr/08/does-google-unprofessional-hair-
results-prove-algorithms-racist- . Acesso em: junho de 2022.
5 UN Women. UN Women ad series reveals widespread sexism. Disponível em https://www.
unwomen.org/en/news/stories/2013/10/women-should-ads. Acesso em: junho de 2022.
265
265
Transparência na implementação de Inteligência Artificial em Organizações
266
266
Transparência na implementação de Inteligência Artificial em Organizações
8 REUTERS. Amazon scraps secret AI recruiting tool that showed bias against Women
Disponível em https://www.reuters.com/article/us-amazon-com-jobs-automation-insight-
idUSKCN1MK08G. Acesso em: junho de 2022.
267
267
Transparência na implementação de Inteligência Artificial em Organizações
relatório realizado pela União Europeia (AI, HLEG, p.3), estão a 1) ação
e supervisão humanas; 2) solidez técnica e segurança; 3) privacidade e
governação dos dados; 4) transparência; 5) diversidade, não discrimi-
nação e equidade; 6) bem-estar ambiental e societal e 7) responsabi-
lização.
3. DESENVOLVIMENTO: TRANSPARÊNCIA
E EXPLICABILIDADE
Dentre esses, a transparência é fundamental, não só como
valor em si, mas também por ser instrumental em relação aos demais
valores. Apenas em sistemas cujo desenvolvimento seja transparente
é possível identificar se os dados pessoais são excessivos para a fina-
lidade almejada, se há ou não sobre ou sub-representação nos dados
capaz de gerar vieses, ou se os registros da operação do sistema trazem
resultados discriminatórios.
A transparência como elemento de governança de sistemas
de inteligência artificial IA, também chamada de transparência al-
gorítmica, consiste na prestação de informações a terceiros sobre
o agente artificial inteligente. Desse modo, a transparência é sempre
relacional, i.e., seu conteúdo varia com relação ao tipo de destinatário
(transparência em relação a quem).9 Um dos alvos principais de pre-
ocupação é a transparência em relação ao indivíduo impactado pela
decisão algorítmica ou pelo fator de decisão (humana) indicado pelo
algoritmo. Outro agente relevante é aquele que opera a ferramenta de
inteligência artificial ou participa da tomada de decisão que envolve
algoritmos (operador), deve conhecer sua operação para que evite
riscos e avalie criticamente seus resultados (exemplo, um médico que
empregue sistema de IA para diagnóstico).
9 DIAKOPOULOS, N. Transparency, in: Dubber, M., Pasquale, F. and Das, S. The Oxford
Handbook of Ethics of AI.OUP, 2020, pp. 197 a 214.
268
268
Transparência na implementação de Inteligência Artificial em Organizações
10 “Here, then, is a core and, for the moment, unavoidable trade-off in designing algorithmic
accountability regimes: Interpretability often comes only at the cost of efficacy” (p. 7).
ENGSTROM, David Freeman; HO, Daniel E., Artificially Intelligent Government: A Review and
Agenda. In: VOGL, Roland (org). Big Data Law, forthcoming 2020, March 9, 2020.
11 WISCHMEYER, T. Artificial Intelligence and Transparency: opening the black box, in:
WISCHMEYER, T and RADEMACHER, T. Regulating Artificial Intelligence, Springer, 2020 p.
76 a 97.
12 IEEE. IEEE Draft Standard for Transparency of Autonomous Systems, in IEEE P7001/D1, June
2020. (Piscataway, NJ: IEEE), 1–76. Tech. rep, 2020.
269
269
Transparência na implementação de Inteligência Artificial em Organizações
13 WISCHMEYER, T. Artificial Intelligence and Transparency: opening the black box, in:
WISCHMEYER, T and RADEMACHER, T. Regulating Artificial Intelligence, Springer, 2020 p.
76 a 97
270
270
Transparência na implementação de Inteligência Artificial em Organizações
271
271
Transparência na implementação de Inteligência Artificial em Organizações
272
272
Transparência na implementação de Inteligência Artificial em Organizações
273
273
Transparência na implementação de Inteligência Artificial em Organizações
274
274
Transparência na implementação de Inteligência Artificial em Organizações
15 ZHONG, Jinfeng; NEGRE, Elsa. AI: To interpret or to explain? In: Congrès Inforsid
((INFormatique des ORganisations et Systèmes d’Information et de Décision), 2021.
16 MARANHÃO, JULIANO S. A.; COZMAN, F. G.; ALMADA, M. Concepções de explicação e do
direito à explicação de decisões automatizadas. In: Rony Vainzof, Andriei Gutierrez. (Org.).
Inteligência Artificial: Sociedade, Economia e Estado. 1 ed. São Paulo: Thomson Reuters Brasil,
2021, v. 1, p. 137-154.
17 MARANHÃO, JULIANO S. A.; COZMAN, F. G.; ALMADA, M. Concepções de explicação e do
direito à explicação de decisões automatizadas. In: Rony Vainzof, Andrei Gutierrez. (Org.).
275
275
Transparência na implementação de Inteligência Artificial em Organizações
Inteligência Artificial: Sociedade Economia e Estado. 1 ed. São Paulo: Thomson Reuters Brasil,
2021, v. 1, p. 137-154.
Como o funcionamento de um sistema inteligente envolve a execução de grande número
de operações computacionais, a reprodução dos passos relevantes pode levar tempo
considerável. Dessa forma, a necessidade de reproduzir todos os passos relevantes pode
contribuir, por exemplo, para prolongar a existência de um estado antijurídico que tenha sua
origem na decisão tomada por um sistema inteligente. Por outro lado, a simulatabilidade é
congênere a aplicações que visariam a substituir atuações executadas por humanos, o que
nem sempre é o objetivo do sistema de IA. Por exemplo, uma decisão automatizada com
emprego de IA para acionar o Air Bag de um veículo dificilmente seria simulável por um
processo de tomada de decisão humana
18 MITTELSTADT, Brent; RUSSELL, Chris; WACHTER, Sandra, Explaining Explanations in AI, in:
Proceedings of FAT* ’19, Atlanta, Ga: ACM, 2018.
19 ALMADA, Marco, Human intervention in automated decision-making: Toward the
construction of contestable systems, in: Proceedings of the 17th International Conference on
Artificial Intelligence and Law (ICAIL 2019), Montréal, QC, Canada: ACM, 2019, p. 1–10.
276
276
Transparência na implementação de Inteligência Artificial em Organizações
277
277
Transparência na implementação de Inteligência Artificial em Organizações
278
278
Transparência na implementação de Inteligência Artificial em Organizações
279
279
Transparência na implementação de Inteligência Artificial em Organizações
23 Agência Senado. Lei da inteligência artificial não deve abordar responsabilidade civil, sugerem
especialistas. Disponível em <https://www12.senado.leg.br/noticias/materias/2022/05/13/
lei-da-inteligencia-artificial-nao-deve-abordar-responsabilidade-civil-sugerem-
especialistas>
24 LGPD, Art. 20. (...) decisões tomadas unicamente com base em tratamento automatizado de
dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu
perfil pessoal (...).
280
280
Transparência na implementação de Inteligência Artificial em Organizações
25 BYGRAVE, Lee A. Minding the Machine v2.0: The EU General Data Protection Regulation
and Automated Decision Making, in: YEUNG, Karen; LODGE, Martin (Orgs.), Algorithmic
Regulation, Oxford: Oxford University Press, 2019.
26 TOSONI, Luca. The right to object to automated individual decisions: resolving the ambiguity
of Article 22(1) of the General Data Protection Regulation, International Data Privacy Law, v.
11, n. 2, p. 125–144, 2021.
281
281
Transparência na implementação de Inteligência Artificial em Organizações
27 BRKAN, Maja. Do algorithms rule the world? Algorithmic decision-making and data
protection in the framework of the GDPR and beyond, International Journal of Law and
Information Technology, v. 27, n. 2, p. 91–121, 2019.
28 ROIG, Antoni. Safeguards for the right not to be subject to a decision based solely on
automated processing (Article 22 GDPR), European Journal of Law and Technology, v. 8, n. 3,
2018.
29 AEPD. RGPD compliance of processing’s that embed Artificial Intelligence, Madrid: Agencia
Española de Protección de Datos, 2020.
30 ARTICLE 29 WP. Guidelines on Automated individual decision-making and Profiling for the
purposes of Regulation 2016/679, Brussels: Article 29 Data Protection Working Party, 2018.
31 De acordo com esta interpretação, decisões automatizadas são lícitas apenas quando
baseadas em uma das três hipóteses explicitamente mencionadas no § 2° do Art. 22:
necessidade do tratamento para a celebração ou desempenho de um contrato entre o titular
de dados e o controlador, a existência de lei da União Europeia ou de seus Estados-Membros
autorizando o tratamento de dados para decisões automatizadas, ou o consentimento
explícito do titular.
32 LGPD, Art. 20, caput.
33 LÓPEZ, Nuria, Um direito, um dever: guia para o Art. 20 da LGPD, in: OPICE BLUM, Renato
(Org.), Proteção de Dados - Desafios e Soluções na Adequação à Lei, 1a Edição. Rio de Janeiro:
Editora Forense, 2020.
34 MARANHÃO, Juliano; ALMADA, Marco, Inteligência Artificial no Setor de Saúde: Ética e
Proteção de Dados, in: DALLARI, Analluza Bolivar; MONACO, Gustavo Ferraz de Campos
282
282
Transparência na implementação de Inteligência Artificial em Organizações
(Orgs.), LGPD na Saúde, 1a edição. São Paulo: Thomson Reuters, Revista dos Tribunais, 2021,
p. 357–372.
35 ARTICLE 29 WP. Guidelines on Automated individual decision-making and Profiling for the
purposes of Regulation 2016/679, Brussels: Article 29 Data Protection Working Party, 2018.
36 PRESIDÊNCIA DA REPÚBLICA, Mensagem n° 288, de 8 de julho de 2019, Brasília: Presidência
da República, 2019.
283
283
Transparência na implementação de Inteligência Artificial em Organizações
4. CONCLUSÃO
Com o crescente uso desta tecnologia para os mais diversos
fins, sejam eles médicos, governamentais, segurança pública, financei-
ros, entre outros, representa também um novo desafio para o desen-
volvimento de uma legislação que consiga abarcar todas as possíveis
lacunas jurídicas.
284
284
Transparência na implementação de Inteligência Artificial em Organizações
285
285
Transparência na implementação de Inteligência Artificial em Organizações
REFERÊNCIAS
AEPD. RGPD compliance of processings that embed Artificial Intelligence,
Madrid: Agencia Española de Protección de Datos, 2020.
Agência Senado. Lei da inteligência artificial não deve abordar responsa-
bilidade civil, sugerem especialistas. Disponível em https://www12.senado.
leg.br/noticias/materias/2022/05/13/lei-da-inteligencia-artificial-nao-deve-
-abordar-responsabilidade-civil-sugerem-especialistas. Acesso em: junho de
2022.
AI, HLEG. High-level expert group on artificial intelligence. Ethics guidelines
for trustworthy AI, 2019.
ALMADA, Marco. Human intervention in automated decision-making:
Toward the construction of contestable systems, in: Proceedings of the 17th
International Conference on Artificial Intelligence and Law (ICAIL 2019),
Montréal, QC, Canada: ACM, 2019, p. 1-10.
ALMADA, Marco. Responsabilidade Civil Extracontratual e a Inteligência
Artificial. Revista Acadêmica Arcadas, v. 2, n. 1, pp. 88-99, 2019.
286
286
Transparência na implementação de Inteligência Artificial em Organizações
287
287
Transparência na implementação de Inteligência Artificial em Organizações
288
288
Transparência na implementação de Inteligência Artificial em Organizações
289
289
Transparência na implementação de Inteligência Artificial em Organizações
290
290
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
Resumo:
O mapeamento de dados não é somente uma das etapas da adequação à LGPD, mas
sim uma das primeiras e provavelmente a mais trabalhosa e custosa. Ao contrário
do senso comum, o processo de adequação não tem como ponto central os dados
pessoais, mas sim os tratamentos realizados sobre eles, especialmente em cenários
mais complexos. Afinal é o que define a LGPD em seu primeiro artigo quando diz que
a lei versa sobre o que é feito com os dados. Ou seja, os tratamentos feitos de acordo
ou não com as regras definidas na lei. Especialmente complexo pode ser a questão da
granularidade ou ponto de quebra destes tratamentos, pois não há regra específica
nem boa prática estabelecida. Este artigo pretende abordar estes dois temas: a
importância do mapeamento de atividades de tratamento de dados pessoais e a forma
de avaliar e decidir quais são estes tratamentos.
Palavras-chave: Data mapping. Mapeamento de atividades de tratamento. RAT. RoPA.
Registro de atividades de tratamento. LGPD.
Abstract: Data mapping is not only one of the stages of compliance with the
LGPD, but one of the first and probably the most laborious and costly. Contrary
to common sense, the adaptation process does not focus on personal data, but on
the treatments carried out on them, especially in more complex scenarios. After all,
that is what the LGPD defines in its first article when it says that the law is about
what is done with data. That is, treatments carried out in accordance or not with
the rules defined by law. The issue of granularity or breakpoint of these treatments
can be especially complex, as there is no specific rule or good practice established.
This article intends to address these two themes: the importance of mapping
personal data processing activities and the way to evaluate and decide how many
these processes are.
Keywords: Data mapping; processing activities mapping. RAT. RoPA. Records of
processing activities. LGPD.
292
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
1. INTRODUÇÃO
O senso comum sobre a LGPD, GDPR e demais legislações rela-
cionadas à privacidade é de que o dado pessoal é o centro do problema.
Tudo gira em torno dele e a partir dele devem iniciar os esforços de uma
organização para sua adequação à lei. Contudo, quanto mais tempo
um profissional se dedica ao tema mais ele percebe que a realidade não
é bem assim, principalmente se este profissional atua em cenários com
grandes volumes ou onde estes tratamentos de dados são estruturan-
tes do seu negócio.
Ao ler com calma o primeiro Art. da LGPD veremos uma dica
desta realidade onde o mais importante não é o dado pessoal manipu-
lado, mas sim o que é feito com ele. Ou seja, o tratamento. Em seu Art.
primeiro, a LGPD dá o tom sobre o protagonismo das ações realizadas
sobre os dados pessoais: “Esta lei dispõe sobre o tratamento de dados
pessoais, inclusive nos meios digitais...” (BRASIL, 2020). Este artigo su-
gere que o que vem pela frente (o resto da lei) é um regramento sobre
como proceder frente a necessidade de utilizar dados pessoais. Mais
que isso, é um limite claro ao que atualmente é uma das maiores e mais
lucrativas indústrias do mundo. Contudo, nem todos os tratamentos
de dados pessoais são um processo de negócio desta indústria. Pe-
quenas e médias empresas e organizações de todos os tipos realizam
tratamentos de dados pessoais, mas todos são regidos pela mesma
lei cujo foco é o titular dos dados. Dessa forma, o mapeamento de
tratamentos dentro destas organizações é, da mesma forma que nos
alvos primordiais da LGPD (e.g. Big Techs), uma necessidade básica a
ser atendida.
Nesse sentido, é de suma importância compreender o papel
fundamental da identificação, classificação e mapeamento dos tra-
tamentos de dados pessoais em uma organização, levando em conta,
naturalmente, o próprio universo de dados pessoais sem os quais os
293
293
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
1.1 PROBLEMATIZAÇÃO
294
294
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
1.2 OBJETIVOS
295
295
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
1.3 JUSTIFICATIVA
296
296
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
297
297
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
2. REFERENCIAL TEÓRICO
2.1 TRATAMENTO DE DADOS PESSOAIS
298
298
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
¿De quién se protege? De cualquiera que realice el tratamiento de datos de carácter personal,
cuando ese tratamiento exceda o pueda razonablemente exceder el uso estrictamente
privado y personal de quien lo realiza.
¿Cómo se protege? El derecho a la protección de datos puede ser tutelado de diversas formas,
de las cuales las más comunes son las que se detallan a continuación
2 COTS, Marcio, OLIVEIRA, Ricardo – Lei Geral de Proteção de Dados pessoais comentada - São
Paulo - Thomson Reuters Brasil, 2018, pág. 94.
299
299
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
a) Princípio da Finalidade
300
300
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
b) Princípio da Adequação
Educação, 2018.
5 VAINZOF, Rony – Dados Pessoais, Tratamento e Princípios - Comentários ao GDPR:
Regulamento Geral de Proteção de Dados da União Europeia/Viviane Nóbrega Maldonado,
Renato Opce Blum, coordenadores - São Paulo: Thomson Reuters Brasil, 2018, pp.57.
6 VAINZOF - op. cit.,
301
301
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
c) Princípio da Necessidade
302
302
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
d) Outros Princípios
Para que se tenha uma coleta lícita, dentro dos padrões já cita-
dos acima, exige-se que as informações relacionadas ao tratamento de
dados pessoais sejam concisas, de fácil acesso e compreensão, com uma
linguagem clara e simples8, esclarecendo ao titular dos dados os seus
direitos, antes, durante e após o tratamento de seus dados pessoais,
inclusive da possibilidade de acesso a tais informações para mantê-las
claras, relevantes e atualizadas, a fim de respeitar o princípio da quali-
dade dos dados para o cumprimento da finalidade do seu tratamento,
utilizando para isso o princípio de livre acesso, previsto no inciso VI, do
Art. 6º da LGPD, cuja os motivos ensejadores, encontram-se previstos
no Art. 9º da mesma lei, tudo para que seja atendido um outro princípio
previsto no inciso VI do mesmo Art. 6º, o princípio da transparência.
Já o princípio da não discriminação, tendo em vista o cunho da
referida lei nº 13.709, de 14 de agostos de 2018 – LGPD e o entendimento
jurisprudencial do STF, o de proteger os direitos fundamentais de prote-
ção de dados pessoais, liberdade, de privacidade e o livre desenvolvimen-
to da personalidade da pessoa natural, de forma clara veda o tratamento
de dados pessoais para fins discriminatórios ilícitos ou abusivos.
A proteção de dados pessoais se completa com o “princípio de
segurança”, que não se refere à licitude do tratamento, como os de-
mais, mas sim, aos riscos do tratamento. Esse princípio se materializa
303
303
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
304
304
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
305
305
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
15 POHLMANN, Sérgio A. - LGPD Ninja - Nova Friburgo, RJ: Editora Fross, 2019. pag. 74.
16 RODRIGUES, Tatiana Kolly Wasilewski - Empresas e implementação da Lei \Geral de
Proteção de Dados: Lei Geral de Proteção de Dados (LGPD) e Data Mapping (Mapeamento
de dados) - Desafios, perspectivas e como se adequar à nova Lei na prática, Coordenação
Tarcisio Teixeira, Ed. JusPodivm - Salvador, 2021. pág. 53.
306
306
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
17 RÊGO, Bergson Lopes - Gestão e governança de dados: promovendo os dados como ativo de
valor nas empresas - Ed. Brasport - Rio de Janeiro - 2013, pág. 14.
18 RODRIGUES - op. cit. pág. 68.
19 VARELLA, Luísa. Tratamento de dados: como fazer em compliance com a LGPD? 17 de fev. de
2020. Disponível em: https://www.compugraf.com.br/tratamento-de-dados-como-fazer-
307
307
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
3. REFERENCIAL METODOLÓGICO
3.1 CLASSIFICAÇÃO DA PESQUISA
308
308
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
309
309
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
310
310
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
311
311
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
312
312
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
313
313
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
314
314
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
315
315
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
“acontece” é criada uma ocorrência deste tratamento que por sua vez
foi, idealmente, descrita e prevista em um RAT.
316
316
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
317
317
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
318
318
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
319
319
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
320
320
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
isso, mas quando um tratamento tem duas bases legais não comple-
mentares é muito provável que estejamos falando de dois tratamentos
separados. Bases legais complementares ocorrem, por exemplo,
quando para cumprir uma mesma finalidade que trata dados pessoais
sensíveis e não sensíveis um único tratamento precisa recorrer ao Art. 7
da LGPD (dados pessoais triviais) e o Art. 11 (dados pessoais sensíveis).
Neste exemplo, uma única finalidade precisa de duas bases legais que,
na verdade, se complementam, mas o tratamento ainda é claramente
um só.
Bases legais não complementares têm uma dinâmica um pouco
diferente. Vejamos o exemplo de um site de comércio eletrônico que
vende e entrega produtos diversos e ainda faz recomendações com
base nas compras de outros. A venda e entrega dos produtos pode se
apoiar no Art. 7 inciso V, pois é uma execução de contrato entre o site
e o comprador – a pedido deste. Já as recomendações de produtos que,
inclusive, usam dados pessoais de outra pessoa, podem ter que se apoiar
no legítimo interesse (Art. 7, IX, LGPD). Ambas as bases legais amparam
o mesmo processo de negócio em alto nível (site de compras), mas po-
demos dividir este processo em pelo menos dois tratamentos:
Tratamento 1: Venda e entrega de produtos (base legal: execu-
ção de contrato)
Tratamento 2: Recomendações avançadas (base legal: legítimo
interesse)
Não é impossível fazer apenas um RAT para o processo de
negócio e dizer que ele tem somente um tratamento como sugerido na
primeira heurística. Contudo, repare que no exemplo acima o segundo
tratamento tem implicações como a necessidade de realizar um RIPD
que o primeiro tratamento não tem. Este é o centro da análise de que-
bra por base legal. Um dos tratamentos pode ter implicações legais,
de risco ou outras questões em função da base legal diferente. Dessa
321
321
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
322
322
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
323
323
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
5. CONCLUSÃO
Adequar-se à LGPD não é opcional e quanto maior e mais
complexa é uma organização mais trabalhoso é este processo. Frente
a essa realidade é necessário seguir caminhos mais eficientes do ponto
de vista das ações empreendidas. Como visto neste trabalho, o ponto
de partida, após uma análise geral do problema, deve ser o mapeamen-
to de atividades de tratamento a partir dos processos de negócio com
suas soluções digitais e não digitais (papel). A abordagem que parte
dos processos de negócio para depois (ou durante) catalogar e classifi-
car os dados pessoais permite que o trabalho seja possível em grandes
organizações e em situações de alta complexidade no tratamento dos
dados pessoais.
Tal abordagem usa os processos de negócio e os tratamentos
neles identificados como guia mestre para elencar e analisar os demais
elementos ligados às práticas de privacidade e proteção de dados.
Finalidades, bases legais, conjuntos de dados pessoais, informações
sobre compartilhamentos, contratos, medidas técnicas e a avaliação
de pertinência sobre um RIPD são algumas das informações levantadas
neste processo, gerando o que se conhece como registro de atividades
de tratamento (RAT). Dessa forma, individualiza-se um tratamento de
dados pessoais, atribuindo-lhe uma identificação e uma descrição que
preferencialmente usa vocabulário similar ao da cadeia de valor da or-
ganização ou ao menos pode ser relacionada ao mundo real do negócio.
Assim, cada RAT é um grão do mapeamento geral da organização com
324
324
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
REFERÊNCIAS
ABNT NBR ISO/IEC 27701. Técnicas de segurança. Extensão da ABNT NBR
ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da
informação. Requisitos e diretrizes. Rio de Janeiro. 2019.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. LEI Nº 13.709, de 14 de agosto
de 2018. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD). Brasília:
Congresso Nacional, 2018. Disponível em: http://www.planalto.gov.br/cci-
325
325
MAPEAMENTO DOS TRATAMENTOS DE DADOS PESSOAIS
326
326
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
RESUMO
Apresenta-se como problema de pesquisa, expor a indispensabilidade de se elaborar e
de se inserir cláusulas de proteção de dados nos contratos, com a finalidade de adequá-
los às imposições da Lei Geral de Proteção de Dados - LGPD, bem como, os principais
desafios enfrentados nesta jornada, apresentando, também, algumas soluções. Sem
a pretensão de exaurir a temática, objetiva-se, inicialmente, apresentar ao leitor uma
breve discussão acerca da privacidade e do tratamento de dados. Posteriormente, serão
abordadas questões acerca da função dos contratos, assim como, sobre a importância
de se colocar cláusulas regulando o tratamento dos dados. Em seguida, discorrer-se-á
sobre fatores relevantes que devem ser analisados quando da elaboração das referidas
cláusulas. Ao final, concluir-se-á que para a adequação dos contratos, não é suficiente
redigir cláusulas padronizadas que reproduzam a legislação, sendo necessário analisar
o objeto do contrato e suas implicações, assim como a obrigação de agir, os prazos,
e como comunicar incidentes de segurança, por exemplo. Deste modo, a redação e a
inserção das referidas cláusulas nos contratos acaba sendo um processo complexo
e multidisciplinar, já que diversas áreas são envolvidas e devem ter conhecimento e
treinamento adequados.
Palavras-chave: Lei Geral de Proteção de Dados - LGPD. Proteção de dados.
Tratamento de dados. Adequação de contratos.
ABSTRACT
It is presented as a research problem, to expose the indispensability of drafting
and inserting data protection clauses in contracts, in order to adapt them to the
impositions of General Law of Data Protection - LGPD, as well as the main challenges
faced in this journey, also presenting some solutions. Without claiming to exhaust
the theme, the aim is initially to present the reader a brief discussion about privacy
and data treatment. Subsequently, questions about the function of contracts will be
addressed, as well as the importance of inserting clauses regulating the treatment
of data. Next, we will discuss the relevant factors that must be analyzed when
drafting these clauses. At the end, it will be concluded that for the adequacy of the
328
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
contracts, it is not enough to draft standard clauses that reproduce the legislation,
being necessary to analyze the object of the contract and its implications, such as
the obligation to act, the deadlines, and how to communicate security incidents, for
example. Thus, the drafting and insertion of such clauses in contracts ends up being
a complex and multidisciplinary process, as several areas are involved and must have
adequate knowledge and training.
Keywords: General Law of Data Protection – LGPD. Data Protection. Data Processing.
Adequacy of contracts.
1. INTRODUÇÃO
A era em que vivemos, por muitos chamada de “sociedade da
informação”, está diretamente relacionada à evolução da economia
moderna (que se desenvolveu na esteira do desenvolvimento da tec-
nologia) e é baseada na coleta, produção, processamento, transmissão
e armazenamento de informações (VIEIRA, 2007).
A informação contém em si o principal ativo da sociedade da
informação, ou seja, a sua principal riqueza, sendo indispensável ao
desempenho de qualquer atividade - o que explica a nomenclatura
atribuída pela doutrina a essa nova forma de organização social, po-
lítica e econômica (VIEIRA, 2007). Nesse sentido, praticamente todas
as áreas da vida humana dependem de informação e, ao que parece, a
sociedade caminha para uma dependência cada vez maior.
Na qualidade de principal matéria prima desse novo modelo
capitalista, a informação se impõe como condição determinante para
o desenvolvimento econômico e cultural da sociedade, daí o intensivo
uso da tecnologia da informação - enquanto mecanismo facilitador
da coleta, produção, processamento, transmissão e armazenamento -
acarreta avassaladoras mudanças no mundo (VIEIRA, 2007).
Com a substancial intenção de regulamentar o uso dessa
informação, surgem as legislações destinadas à tutela e proteção dos
dados pessoais na sociedade em rede (CASTELLS, 2017). No Brasil, foi
promulgada a Lei 13.709, de 14 de agosto de 2018, que passou a viger
329
329
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
330
330
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
1.1 PROBLEMATIZAÇÃO
331
331
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
1.2 OBJETIVOS
332
332
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
1.3 JUSTIFICATIVA
333
333
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
2. REFERENCIAL TEÓRICO
Brad Smith, presidente da Microsoft afirma que cada aspecto
da vida humana é “movido” por dados e conclui que “[...] quando se trata
da civilização moderna, dados estão mais para o ar que respiramos do
que para o óleo que queimamos” (SMITH; BROWNE, 2019).
Assim, as leis que regulamentam o tratamento de dados pes-
soais adquiriram enorme relevância no mundo todo e também no
Brasil, com a promulgação da LGPD, cuja relação é intrínseca com os
contratos ora abordados.
Isso porque todas as pessoas físicas ou jurídicas, que possuam
contratos nos quais ocorra tratamento de dados pessoais, precisarão,
em dado momento, alterá-los conforme a Lei, como por exemplo, nos
334
334
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
335
335
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
336
336
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
3. REFERENCIAL METODOLÓGICO
Neste trabalho utilizou-se a técnica de pesquisa bibliográfica,
fazendo-se uso da doutrina e da jurisprudência nacionais e interna-
cionais; a técnica da pesquisa documental, valendo-se de materiais
como artigos em meio eletrônico, reportagens e também a técnica de
pesquisa de campo, estudando-se - com base na observação prática -
questões importantes acerca de cláusulas contratuais no contexto da
Lei Geral de Proteção de Dados.
A pesquisa bibliográfica teve como base artigos técnicos cien-
tíficos, leis, instrumentos legais, livros e publicações digitais das áreas de
privacidade e proteção de dados, segurança da informação, metodologia
científica e governança. Utilizou-se como meio a base internacional de
publicação científica Scopus, sítio da Presidência da República que dispo-
nibiliza acesso às leis e instrumentos legais brasileiros e Google Scholar.
337
337
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
338
338
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
339
339
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
340
340
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
341
341
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
342
342
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
343
343
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
344
344
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
345
345
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
5. CONCLUSÃO
Procurando responder aos problemas formulados, é nosso
entendimento que a adequação de todos os contratos em que ocorra o
tratamento de dados é algo que se impõe, em razão de toda a explanação
346
346
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
REFERÊNCIAS
ABNT. Associação Brasileira de Normas Técnicas. ABNT NBR ISO 31000:
2018 - Gestão de Riscos - Diretrizes. São Paulo, 2018.
ANPD. Autoridade Nacional de Proteção de Dados. Comunicação de
incidentes de segurança. 2021b. Disponível em: https://www.gov.br/anpd/pt-
br/assuntos/incidente-de-seguranca. Acesso em: 20 maio 2022.
ANPD. Autoridade Nacional de Proteção de Dados. Guia orientativo para
347
347
GESTÃO DE CONTRATOS: FORTALECER OS ELOS DO TRATAMENTO DE DADOS
348
348
SOBRE OS ORGANIZADORES E AUTORES
350
350
SOBRE OS ORGANIZADORES E AUTORES
IMPLEMENTAÇÃO DA GOVERNANÇA EM
PRIVACIDADE E PROTEÇÃO DE DADOS
351
351
SOBRE OS ORGANIZADORES E AUTORES
IMPLEMENTAÇÃO DA GOVERNANÇA EM
PRIVACIDADE E PROTEÇÃO DE DADOS
Vladimir Fagundes
352
352
SOBRE OS ORGANIZADORES E AUTORES
Marco Antônio
Bazzanella Fontoura
Analista do Serpro, tem pós-graduação em Gestão Pública pela UnB e em
Redes e Telecomunicações pela UNIDERP. Certificações Data Privacy Brasil
em PPD, ABNT Lead Implementer 27701, EXIN Data Protection Officer.
Rosemberg Augusto
Pereira Rodrigues
Analista do Serpro, tem formação em Direito pelo Centro Universitário Pro-
cessus, Especialista em Desenvolvimento para Dispositivos Móveis pelo IESB
e em Ciência da Computação pela Universidade Federal do Tocantins. Iniciou
a carreira como programador de sistemas, ingressando no Serpro em 2007 na
área de negócio, atuando com processos de negócio, gestão de produtos, ges-
tor de projetos e análise de dados. Hodiernamente, trabalha com privacidade
e proteção de dados pessoais envolvendo adequações de contratos e análise
de tecnologias voltadas para computação em nuvem.
353
353
SOBRE OS ORGANIZADORES E AUTORES
Daniel Cesar
354
354
SOBRE OS ORGANIZADORES E AUTORES
355
355
SOBRE OS ORGANIZADORES E AUTORES
356
356
SOBRE OS ORGANIZADORES E AUTORES
Aline Macohin
357
357
SOBRE OS ORGANIZADORES E AUTORES
Juliano Souza de
Albuquerque Maranhão
Juliano Maranhão é Professor da Faculdade de Direito da USP. Membro do
Comitê Diretor da Associação Internacional de Inteligência Artificial e Direito.
Pesquisador Senior da Fundação Alexander von Humboldt. Pesquisador Asso-
ciado do Center for Artificial Intelligence da USP-IBM e do Centro de Pesquisa
Aplicada em Inteligência Artificial Recriando Ambientes (CPA IARA). Diretor
do Instituto Lawgorithm de Pesquisa em Inteligência Artificial. Sócio de Opice
Blum Advogados.
358
358
SOBRE OS ORGANIZADORES E AUTORES
359
359