GOVERNANÇA DE DADOS

SUMÁRIO

DEFINIÇÕES 2

AGENTES DE TRATAMENTO DE DADOS PESSOAIS 3

PRINCÍPIOS PARA TRATAMENTO DE DADOS PESSOAIS 4

BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS 5

DIREITO DOS TITULARES DE DADOS 7

ORIENTAÇÕES BÁSICAS SOBRE A LEI GERAL DE PROTEÇÃO DE DADOS LEI Nº 13.709/2018 8

ALGUMAS PROVIDÊNCIAS IMPORTANTES: 9

RECOMENDAÇÕES PARA DISPOSITIVOS MÓVEIS 10

ORIENTAÇÕES AO ENCARREGADO DE DADOS 11

RECOMENDAÇÃO QUANTO AO TRATAMENTO DE DADOS DE DADOS CONTRATOS 12

Direitos autorais de Jéssica Romeiro Mota

DEFINIÇÕES

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS: A Lei nº 13.709/2018, a LGPD

orienta quanto ao tratamento de dados pessoais, em meio físico ou digital, por pessoa
natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos
fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da
pessoa natural.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD): Autoridade Nacional de

Proteção de Dados é um órgão da administração pública direta federal do Brasil que faz
parte da Presidência da República e possui atribuições relacionadas a proteção de dados
pessoais e da privacidade e, sobretudo, deve realizar a fiscalização do cumprimento da
Lei.

DADOS PESSOAIS: Dado pessoal é toda e qualquer informação que identifique ou torne o
indivíduo identificável (nome, foto, documento, endereço, cor de cabelo etc).

DADOS PESSOAIS SENSÍVEIS: é o dado sobre origem racial ou étnica, convicção

religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Direitos autorais de Jéssica Romeiro Mota

AGENTES DE TRATAMENTO DE DADOS PESSOAIS

CONTROLADOR DE DADOS PESSOAIS: pessoa natural ou jurídica, de direito público ou

privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

OPERADOR DE DADOS PESSOAIS: pessoa natural ou jurídica, de direito público ou

privado, que realiza o tratamento de dados pessoais em nome do controlador.

ENCARREGADO DE DADOS (DATA PROTECTION OFFICER “DPO”): pessoa indicada

pelo controlador e operador para atuar como canal de comunicação entre o controlador, os
titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

TITULAR DE DADOS PESSOAIS: pessoa natural a quem se referem os dados pessoais

que são objeto de tratamento.

Direitos autorais de Jéssica Romeiro Mota

PRINCÍPIOS PARA TRATAMENTO DE DADOS PESSOAIS

A empresa seguirá os seguintes princípios ao coletar e tratar dados pessoais:

FINALIDADE: realização do tratamento para propósitos legítimos, específicos, explícitos e

informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com
essas finalidades.

ADEQUAÇÃO: compatibilidade do tratamento com as finalidades informadas ao titular, de

acordo com o contexto do tratamento.

NECESSIDADE: limitação do tratamento ao mínimo necessário para a realização de suas

finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em
relação às finalidades do tratamento de dados.

LIVRE ACESSO: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a
duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

QUALIDADE DOS DADOS: garantia, aos titulares, de exatidão, clareza, relevância e

atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade
de seu tratamento.

TRANSPARÊNCIA: garantia, aos titulares, de informações claras, precisas e facilmente

acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento,
observados os segredos comercial e industrial.

SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados

pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou difusão.

PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em virtude do

tratamento de dados pessoais.

NÃO DISCRIMINAÇÃO: impossibilidade de realização do tratamento para fins

discriminatórios ilícitos ou abusivos.

RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: demonstração, pelo agente, da

adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das
normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Direitos autorais de Jéssica Romeiro Mota

BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS

Todas as operações que envolvem a coleta e o tratamento de dados pessoais da empresa

deverão seguir um dos fundamentos estabelecidos pela Lei Geral de Proteção de Dados
Pessoais, em conformidade com a finalidade estipulada pelo responsável do tratamento.

O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I. CONSENTIMENTO: vontade expressa e livre do titular, por meio da clareza das

informações na hora da coleta, o conhecimento de quem são os operadores desses
dados e as atividades que serão desenvolvidas.
II. OBRIGAÇÃO LEGAL OU REGULATÓRIA: que trata a respeito das possibilidades
de a relação jurídica exigir o tratamento dos dados, seguindo disposições legais e
regulatórias, não sendo necessário o consentimento para coleta e tratamento
desses dados.
III. POLÍTICAS PÚBLICAS: será permitido o tratamento e uso compartilhado de dados
necessários à execução dessas políticas, nesse caso, prevalecendo o interesse
público.
IV. ÓRGÃO DE PESQUISA: órgãos de pesquisas autorizados e reconhecidos
legalmente, poderão se valer dos dados pessoais coletados, para a realização de
estudos, garantindo, quando possível, a anonimização dos dados pessoais.
V. EXECUÇÃO DE CONTRATO: para que ocorra a eficácia dos contratos é
necessário o uso e tratamento dos dados, pois, por mais simples que o contrato
seja, sempre terá de constar um dado pessoal do titular, parte ou interessado.
VI. EXERCÍCIO REGULAR DE DIREITOS: exercício regular de direito em processos
judiciais, administrativo ou arbitral, na maioria dos casos a lei indica preceitos
legais, que exigem o tratamento de dados pessoais, como, por exemplo, a
qualificação das partes, documentação, dados sensíveis, entre outros.
VII. PROTEÇÃO DA VIDA: Para a proteção da vida ou da incolumidade física do titular
ou de terceiros, visando à proteção e o socorro em estado de perigo ou risco de
morte.
VIII. TUTELA DA SAÚDE: de uso único e exclusivo de profissionais da área, serviços
de saúde ou autoridade sanitária, pois é necessário para um atendimento eficaz e
adequado, que o médico ou profissional da saúde possua informações, históricos e
dados pessoais necessários à prestação de serviço.

Direitos autorais de Jéssica Romeiro Mota

IX. INTERESSES LEGÍTIMOS DO CONTROLADOR OU DE TERCEIRO: observando
os direitos e liberdades fundamentais do titular.
X. PROTEÇÃO DO CRÉDITO: garante às entidades manusear e dispor do tratamento
de dados pessoais, mas entidades que possuam banco de dados e que trabalham
com a proteção do crédito e diminuição dos riscos de inadimplência.

Os registros das operações de tratamento de dados pessoais poderão ser consultados

pelo titular dos dados pessoais, bem como por autoridades públicas competentes para o
acesso e retenção dos dados em seu nome, resguardados os direitos do titular de dados
pessoais.

Direitos autorais de Jéssica Romeiro Mota

DIREITO DOS TITULARES DE DADOS

A empresa deve manifestar o compromisso e respeito aos direitos e garantias dos titulares
de dados pessoais, sendo eles:

Confirmação da existência de tratamento;

Acesso aos dados;

Correção de dados incompletos, inexatos ou desatualizados;

Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou

tratados em desconformidade com o disposto na Lei nº 13.709;

Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante

requisição expressa e observados os segredos comercial e industrial, de acordo com
a regulamentação do órgão controlador;

Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas
hipóteses previstas no art. 16 da Lei nº 13.709;

Informação das entidades públicas e privadas com as quais o controlador realizou

uso compartilhado de dados;

Informação sobre a possibilidade de não fornecer consentimento e sobre as

consequências da negativa;

Revogação do consentimento, nos termos do § 5º do art. 8º da Lei nº 13.709.

Direito de Revogação do Consentimento.

Direitos autorais de Jéssica Romeiro Mota

ORIENTAÇÕES BÁSICAS SOBRE A LEI GERAL DE PROTEÇÃO DE
DADOS LEI Nº 13.709/2018

QUEM PRECISA CUMPRIR A LEI?

Todas as pessoas jurídicas de direito público ou privado (sim, isso te inclui!). Pessoas
físicas que utilizem dados pessoais com finalidades econômicas (profissionais liberais, p.
ex.).

COMO REALIZAR A ADEQUAÇÃO?

Não existe uma receita pronta mas, seguindo o norte legal, há necessidade de realizar: 1)
nomear um Encarregado de dados, 2) capacitar os colaboradores, 2) mapear os dados
pessoais nos diversos setores e processos, 3) fazer uma análise do que a lei estabelece
(princípios e bases legais) e da prática da empresa, 4) fazer a adequação ou elaboração
de documentos (políticas, contratos, termos), 5) estar atento aos compartilhamentos,
mudanças em processos e na legislação, segurança da informação. Aos poucos, a
empresa vai desenvolvendo a sua cultura de proteção de dados.

DE QUEM É A RESPONSABILIDADE?

A responsabilidade pelo cumprimento da lei é de todos mas, temos a figura do

Controlador de dados, que é o responsável pela decisão afeta aos dados pessoais (gestor
da empresa, p.ex) e o compartilhamento com terceiros (Operadores de dados). A LGPD
estabelece ainda a obrigatoriedade de indicação de um Encarregado de Dados,
funcionário ou terceiro contratado e que vai fazer esse monitoramento do cumprimento da
lei e a relação entre titular de dados e autoridades fiscalizadoras. O objetivo último sempre
é a proteção do Titular de Dados (pessoa).

E SE EU NÃO FIZER?

Você pode sofrer penalidades administrativas, judiciais ou administrativas (com previsão de

advertência, multas, suspensão ou proibição do uso da base de dados). A violação de
dados pessoais pode também acarretar um problema reputacional para sua empresa
também.

Direitos autorais de Jéssica Romeiro Mota

ALGUMAS PROVIDÊNCIAS IMPORTANTES:

1) Definir login e senha individual para acessar seu computador e sistemas;

2) Criar senhas fortes compostas de: letras maiúsculas e minúsculas | números |
caracteres especiais (*$#@&);
3) Não usar a mesma senha para todos os acessos (banco, e-mail, redes sociais...);
4) Não anotar as senhas em agendas ou documentos acessíveis ou compartilhar com
terceiros;
5) Não usar o WhatsApp e o e-mail como repositório de arquivos (salve os
documentos no seu computador, preferencialmente com backup);
6) Não clicar em links de e-mails desconhecidos ou suspeitos;
7) Não divulgar ou compartilhar informações pessoais de colegas, clientes,
funcionários de clientes ou qualquer pessoa, sem que tenha autorização legal ou
anuência do gestor;
8) Não deixar documentos com dados pessoais expostos ou ao alcance de outras
pessoas;
9) Descartar corretamente documentos com dados pessoais, preferencialmente
picotando documentos e deletando arquivos digitais;
10) Evitar a impressão de documentos que contenham dados pessoais e que podem
ser armazenados digitalmente (duplicação do dado);
11) Registrar toda a atividade que envolva dados pessoais (não passar informações por
telefone, por exemplo);
12) Somente proceder o acesso remoto com liberação e acompanhamento do cliente;
13) Respeitar os fluxos e registros necessários das atividades, em especial, em caso
de acesso remoto;
14) Adaptar os contratos com clientes, definindo os papéis e limites em proteção de
dados (definir quem é o controlador, operador etc);
15) Adequar os contratos dos funcionários (Inserir cláusulas de Confidencialidade ou
Termo aditivo com cláusula);
16) Gerenciar o acesso aos sistemas da empresa, reduzindo apenas a funcionários
designados para a função;
17) Elaborar a Política de Privacidade para o site (se houver) e Política interna para
funcionários;
18) Identificar e nomear um Encarregado de Dados (DPO), com conhecimentos
jurídicos e regulatórios sobre proteção de dados;
19) Capacitar os funcionários, criando uma cultura de conscientização referente à
Proteção de Dados e a Lei Geral de Proteção de Dados Pessoais;
20) Conhecer e validar seus dados, realizando uma análise de risco (fluxo e inventário).
21) Listar todas as empresas às quais fornece dados pessoais de clientes, contratados
ou funcionários, exigindo informações sobre a adequação desses fornecedores.

Em caso de dúvidas, procure um profissional de sua confiança.

Além da leitura atenta da legislação, recomendamos o acesso ao site da Autoridade Nacional de

Proteção de Dados – ANPD que possui materiais explicativos:
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes

Direitos autorais de Jéssica Romeiro Mota

RECOMENDAÇÕES PARA DISPOSITIVOS MÓVEIS

1. Aparelhos celulares são integrantes da rotina diária dos brasileiros. Isso torna estes
dispositivos alvos interessantes para cibercriminosos. As ameaças podem variar
desde aborrecimentos, como mensagens indesejadas, até vazamentos de
informações pessoais, credenciais ou perda de dinheiro.

2. Nesse contexto, recomendamos as medidas protetivas abaixo, passíveis de serem

implementadas por todos os usuários de dispositivos móveis:

● Habilite atualizações automáticas do sistema operacional para aumentar a

segurança e corrigir falhas;
● Faça uso de autenticação do dispositivo, defina senhas, PINs de login fortes e use
autenticação biométrica;
● Ative a autenticação de dois fatores para aplicativos ou sites que a suportam.
● Desative as lojas de aplicativos de terceiros, que podem ser vetores para a
propagação de malwares;
● Exclua periodicamente os aplicativos que não são usados ou não são mais
necessários;
● Limite as informações de identificação pessoal armazenadas em aplicativos;
● Defina privilégios mínimos nos aplicativos instalados;
● Permita que um aplicativo acesse sua localização apenas durante seu uso;
● Apenas ative Bluetooth, NFC, Wi-Fi, ou GPS quando for necessário;
● Evite utilizar pontos de acesso à Internet sem fio não confiáveis (praças, cafés,
aeroportos);
● Instale um aplicativo de segurança cibernética;
● Use apenas carregadores e cabos confiáveis, evitando a utilização de carregadores
do tipo USB públicos;
● Habilite a função de localização de dispositivo perdido; e
● Verifique a legitimidade de um e-mail antes de abrir um anexo ou clicar em links.

Para mais informações sobre o tema, recomendamos o acesso aos links a seguir:
https://www.cisa.gov/sites/default/files/publications/CEG_Mobile%20Device%20Cybersecurty%20Ch
ecklist%20for%20Consumers.pdf
https://media.defense.gov/2021/Sep/16/2002855921/-1/-1/0/MOBILE_DEVICE_BEST_PRACTICES
_FINAL_V3%20-%20COPY.PDF

Direitos autorais de Jéssica Romeiro Mota

ORIENTAÇÕES AO ENCARREGADO DE DADOS

A legislação define como sendo o Encarregado de Dados o indivíduo responsável por

garantir a conformidade de uma organização, pública ou privada, à Lei Geral de Proteção
de Dados Pessoais - LGPD (Lei nº 13.709/2018).
A LGPD não distingue se o encarregado deve ser pessoa física ou jurídica, e se deve
ser um funcionário da organização ou um agente externo. Considerando as boas
práticas internacionais, o encarregado poderá ser tanto um funcionário da instituição
quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o
encarregado seja indicado por um ato formal, como um contrato de prestação de serviços
ou um ato administrativo. As informações do Encarregado devem ser publicadas.
Empresas de pequeno porte não são obrigadas à indicação do Encarregado.

O art. 41 da LGPD estabelece quanto ao papel do Encarregado de Dados (na União

Européia, o Data Protection Officer – DPO) e algumas de suas atribuições: Conduzir o
Programa de Conformidade da LGPD na empresa, redigindo e atualizando programas e
políticas, e zelando pela sua fiscalização; assegurar que as regras e orientações relativas à
proteção de dados sejam informadas e incorporadas nas rotinas e práticas da empresa;
inclusive com a organização de treinamentos sobre proteção de dados pessoais; elaborar
os relatórios de impacto à privacidade e proteção de dados, pareceres técnicos e revisão
de documentos no que se refere à proteção de dados; assegurar a existência de medidas
de segurança para o tratamento de dados junto à empresa.

A responsabilidade pelas atividades de tratamento de dados pessoais continua

sendo do controlador ou do operador de dados, conforme estabelece o art. 42 da
LGPD.

A lei impõe sanções para o caso em que os agentes de tratamento não estejam em
conformidade com as obrigações trazidas pela LGPD. No inciso II do art. 43 da LGPD, o
legislador isenta de responsabilidade os agentes que provarem que, “embora tenham
realizado o tratamento de dados pessoais que lhe é atribuído, não houve violação à
legislação de proteção de dados”. Para um maior aprofundamento quanto ao papel os
AGENTES DE TRATAMENTO e Encarregado de Dados, consultar:

GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE

TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO, publicado pela Autoridade
Nacional de Proteção de Dados – ANPD, em abril de 2022, no site:
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Age
ntes_de_Tratamento_retificada.pdf

Direitos autorais de Jéssica Romeiro Mota

RECOMENDAÇÃO QUANTO AO TRATAMENTO DE DADOS DE
DADOS CONTRATOS

Na confecção ou assinatura de contratos com clientes, fornecedores, parceiros, deve a

empresa atentar à estrutura mínima do documento em relação à proteção de dados (se
houver):

1. Qualificação
2. Objeto
3. Prazo e preço
4. Obrigações (definir quem é o controlador, cocontrolador, operador e respectivos
limites de atuação)
5. Transferência de dados (nacional ou internacional)
6. Segurança, confidencialidade (e não concorrência, se for o caso)
7. Incidente de dados (Responsabilidade e quem responde o titular)
8. Resposta ao titular
9. Possibilidade de auditoria (dados pessoais)
10. Identificação do Encarregado de dados (se for o caso)
11. Vigência e revogação
12. Foro

Respeito e atenção aos princípios e preceitos da Lei Geral de Proteção de Dados - LGPD
e da legislação afeta ao objeto contratual. Atentar também à Orientação Due Diligence
para Fornecedores.

Cada contrato é um contrato, por isso, é difícil estabelecer cláusulas comuns a todos, mas,
esse é um norteador importante. Na dúvida, consulte seu advogado de confiança.

Direitos autorais de Jéssica Romeiro Mota