Escolar Documentos
Profissional Documentos
Cultura Documentos
Relatório anual
de Sustentbailidade
2020
@michelooliveira
LGPD
Ano-Base 2019
Versão 1.0 Belo Horizonte - MG - Dezembro de 2020
Expediente
Diagramação
Sabrina Lopes - Designer
João Machado - Designer
Revisão
Mônica Rosa - Coordenadora de Comunicação
Um dos bens mais importantes de qualquer empresa é a informação. Por isso,
é cada vez mais necessário manter-se constantemente atento às situações
que envolvem o manuseio de dados.
Vale ressaltar que a única forma de não estar exposto à Lei Geral de Proteção
de Dados - LGPD é não utilizar dados pessoais. E, como não é possível que
a empresa deixe de usá-los – como por exemplo, para a execução de um
contrato de trabalho, torna-se de extrema importância que implementemos
controles e boas práticas da governança de dados pessoais, dando ciência,
transparência e conhecimento a todos os titulares de seus direitos e deveres.
4
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Introdução Dados Tratamento Hipótese Titular Segurança Framework Gamificação Dúvida e Sugestões
LGPD
Quando estivermos falando de tratamento de...
Pessoa Jurídica de Direito
Público ou Privado que realize
tratamento de dados pessoais em 1 Dados de pessoas jurídicas.
Espécie de
A Autoridade Nacional
de Proteção de Dados
- ANPD é o órgão da
administração pública
Qualquer informação que Origem racial ou étnica, saúde, Dados relativos ao titular que Dado pessoal que não
responsável por zelar,
identifique uma pessoa vida sexual, genética, biometria, não pode ser identificado, pode ser associado direta implementar e fiscalizar o
religião, opinião política, considerando a utilização de ou indiretamente a um
natural ou que possa levar
entre outros. São informações
cumprimento da LGPD em
à sua identificação com meios técnicos razoáveis e indivíduo, senão pelo uso
Dados Pessoais do tipo: Sexo, relacionadas a convicções disponíveis na ocasião do seu de informação adicional todo o território nacional
hábitos de consumo, RG, CPF, e valores do indivíduo, tratamento. mantida separadamente
idade, entre outros. podendo gerar preconceito e pelo controlador em
discriminação. ambiente controlado e
seguro, a exemplo de dados
criptografados.
6
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Introdução Dados Tratamento Hipótese Titular Segurança Framework Gamificação Dúvida e Sugestões
Editar
Elaborar Implementar
Apreciar petições regulamentos e
diretrizes para a Estimular o mecanismos
Tutelar a de titular contra procedimentos
conhecimento Cooperar simplificados
proteção de Política Nacional com outras controlador após sobre proteção de
sobre proteção de para o registro de
dados pessoais de Proteção de comprovações dados pessoais,
dados pessoais na autoridades de reclamações sobre
Dados Pessoais proteção de de não soluções privacidade e
população tratamento em
e da Privacidade dados no prazo relatórios de
desconformidade
regulamentado impactos
com a lei
Deliberar sobre Realizar Fiscalizar e aplicar Editar normas, Estimular a adoção Articular com Editar orientações
a interpretação sanções mediante orientações e de padrões para as autoridades e procedimentos
auditorias ou
procedimentos serviços e produtos reguladoras simplificados e
da LGPD e suas determinar sua processos
simplificados para que facilitem públicas sobre suas diferenciados para
competências em realização para administrativos
micro e pequenas o controle dos competências em que as empresas
casos de omissões as atividades
empresas de titulares sobre seus setores e atividades possam
fiscalizatórias caráter disruptivo. dados econômicas adequar-se à lei
reguladas
7
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Introdução Dados Tratamento Hipótese Titular Segurança Framework Gamificação Dúvida e Sugestões
Oportunidades
A LGPD veio para ficar, e não se trata apenas
de estar em complicance com a norma ou
não, mas sim a uma questão estratégica e de
sobrevivência da empresa. Com ela, várias Conceitos de tratamento
de dados pessoais
oportunidades surgiram:
Transparência
Aumento da transparência e maior O tratamento de dados pessoais ocorre quando se utiliza de
confiança por parte dos clientes,
colaboradores, parceiros e terceiros em
informações pessoais para desempenhar uma atividade. E estas
relação à governança dos dados. se referem a toda operação realizada com dados pessoais,
como a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação
Segurança ou controle da informação, modificação, comunicação,
Aumento da proteção à segurança da
informação.
transferência, difusão ou extração.
Conhecimento
Dos dados pessoais que transitam
na empresa.
9
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Introdução Dados Tratamento Hipótese Titular Segurança Framework Gamificação Dúvida e Sugestões
Utilização
Acesso
Coleta ato ou efeito do
Transmissão
LGPD
movimentação de
Trasferência dados entre dois
pontos por meio de
mudança de dados dispositivos
de uma área de
armazenamento para
outra, ou para terceiro
Distribuição
Comunicação dispor de dados de
acordo com algum
transmitir informações
pertinentes a políticas Avaliação Eliminação critério estabelecido
de ação sobre os analisar o dado com excluir ou destruir Armazenamento
dados Modificação o objetivo de produzir dado do repositório ação ou resultado
ato ou efeito de informação de manter ou Arquivamento Processamento
alteração do dado conservar em manter registrado um processamento
repositório um dado embora já tenha de dados visando
dado perdido a validade organizá-los para
ou esgotado a sua obtenção de algum
vigência resultado
10
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Introdução Dados Tratamento Hipótese Titular Segurança Framework Gamificação Dúvida e Sugestões
Partes
Interessadas
Titular do dado Controlador Operador Encarregado - DPO Autoridade ANPD
Autoridade nacional
Pessoa natural ou Pessoa de fácil acesso,
Pessoa natural ou jurídica, de proteção de dados,
Pessoa natural a quem indicada pelo controlador
jurídica, de direito público de direito público ou conhecida também por
e operador para
se referem os dados ou privado, responsável privado, que realiza o ANPD, é o órgão da
atuar como canal de
pessoais objetos de pelas decisões no tratamento de dados administração responsável
comunicação entre o
tratamento. tratamento de dados pessoais em nome do por implementar e fiscalizar
controlador, os titulares
pessoais. controlador. o cumprimento da LGPD.
dos dados e a ANPD.
CPF 098.765.432-10
Comunicação
11
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Introdução Dados Tratamento Hipótese Titular Segurança Framework Gamificação Dúvida e Sugestões
Finalidade
Realização do tratamento
Necessidade Qualidade Segurança Adequação
para propósitos legítimos,
específicos, explícitos e Limitação do mínimo Exatidão, clareza, relevância Medidas técnicas e Compatibilidade do
informados ao titular, sem necessário para finalidade. e atualização dos dados. administrativas aptas a tratamento com as
possibilidade de tratamento Dados pertinentes, proteger os dados pessoais finalidades informadas ao
posterior de forma proporcionais e não de acessos não autorizados titular, de acordo com o
incompatível com essas excessivos. e de situações acidentais ou contexto do tratamento.
finalidades. ilícitas de destruição.
Responsabilidade e
Livre acesso Transparência Prevenção Não discriminação prestação de contas
Consulta facilitada e gratuita Informações claras, precisas Adoção de medidas para Demonstração, pelo agente,
sobre a forma e a duração prevenir a ocorrência Impossibilidade de realização da adoção de medidas que
e facilmente acessíveis sobre
do tratamento, bem como de danos em virtude do do tratamento para fins comprovem a observância e
a realização do tratamento
sobre a integralidade de seus tratamento de dados discriminatórios, ilícitos ou o cumprimento das normas
e os respectivos segredos
dados pessoais. pessoais. abusivos. de proteção de dados
comercial e industrial.
pessoais.
12
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Introdução Dados Tratamento Hipótese Titular Segurança Framework Gamificação Dúvida e Sugestões
Hipótese de
Tratamento
O tratamento de dados pessoais somente será realizado mediante a aprovação do titular para uma finalidade específica e determinada. Entretanto, se os dados
tiverem sua finalidade alterada, quem os forneceu deve estar de acordo e ciente. Assim, conforme a legislação, há dez hipóteses de tratamento de dados, são elas:
1 3 5 7 9
administrativos
Por meio de
2 4 6 8 10
Pela Para execução Proteção à vida Para atender
consentimento
administratção de contratos ou integridade a interesses
expresso do
pública, no ou de física do titular ou legítimos do
titular, não sendo
tratamento e uso procedimentos a de terceiro controlador ou de
aceito o vício de
de dados para ele relacionados terceiro
consentimento
execução de
ou autorizações
políticas públicas
genéricas
13
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Introdução Dados Tratamento Hipótese Titular Segurança Framework Gamificação Dúvida e Sugestões
Como regra, estes dados também devem ter o consentimento do titular (art.11, inciso I). Contudo, há hipóteses
Finalidade foi alcançada
indispensáveis em que podem ser utilizados sem o consentimento do titular, como por exemplo:
Para o Realização
Proteção Prevenção Fim do período de tratamento
cumprimento à vida ou à fraude e à
de estudos
de obrigação integridade segurança do
por órgãos de
2 4 6
legal ou física do titular titular
pesquisa
regulatória ou de terceiro
Comunicação do titular
1
Pela
administratção
pública, no
3 Exercício
regular de
direitos em
5
Para a tutela
da saúde
7
tratamento e contratos,
uso de dados processos
para execução judiciais e Determinação da autoridade
de políticas administrativos
públicas
nacional, quando houver
violação da Lei.
14
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Introdução Dados Tratamento Hipótese Titular Segurança Framework Gamificação Dúvida e Sugestões
Confirmação da
existência de
Dos direitos do tratamento
Titular Revogação do
consentimento
Acesso aos
dados
9
fundamentais de liberdade, de
intimidade e de privacidade.
Informação da Correção de dados
Portanto, cabe a cada pessoa a consequência incompletos, inexatos
permissão do tratamento de seus do não ou desatualizados
próprios dados pessoais.
consentimento Diretos dos
Titulares de
dados
Anonimização,
Sintetizando, o titular dos Informação sobre bloqueio ou
dados pessoais tem direito compartilhamento eliminação de
a obter do controlador de dados dados
a qualquer momento e desnecessários
mediante requisição: Eliminação
dos dados Portabilidade
pessoais dos dados
tratados com o
consentimento do
titular.
15
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Introdução Dados Tratamento Hipótese Titular Segurança Framework Gamificação Dúvida e Sugestões
Documento que contém a descrição dos processos E esse compartilhamento ocorre com o consentimento do titular dos dados e pela administração
de tratamento de dados pessoais por parte do pública para o tratamento e uso compartilhado de dados necessários à execução de políticas
controlador que podem gerar riscos às liberdades públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou
civis e aos direitos fundamentais. instrumentos congêneres.
Ademais, a legislação prevê o uso compartilhado de dados pessoais pelo Poder Público,
respeitados os princípios de proteção de dados pessoais. Assim, não é permitida a transferência
dos dados pessoais constantes nas bases de dados, exceto:
Como é composto?
O relatório deve no mínimo conter a descrição dos
tipos de dados coletados, a metodologia utilizada Em casos de execução descentralizada de atividade pública que exija a
e as garantias da segurança das informações, transferência exclusivamente para esse fim específico e determinado.
como também os mecanismos de mitigação de
riscos adotados.
Segurança
Portanto, os agentes de
tratamento ou qualquer outra
pessoa que intervenha em uma
Governança em Proteção de Dados
de Dados das fases do tratamento obriga- A LGPD incentiva controladores e operadores a adotarem
se a garantir a segurança da regras internas de conformidade
O princípio “Segurança” tem informação em relação aos dados
relevância, pois é requisito básico para pessoais, mesmo após o seu
qualquer organização que deseja término. Demonstrar o
Ser adaptado à
proteger e preservar a integridade compromentimento
Ser aplicável a todo estrutura à escala e
dos dados e, consequentemente, a em adotar processos
Além disso, deve-se atentar e políticas internas
conjundo de dados ao volume de suas
privacidade de seus titulares. aos sistemas utilizados para o que assegurem o
pessoais que estejam operações, bem como à
sob seu controle sensibilidade dos dados
tratamento de dados pessoais, cumprimento de normas
tratados
Dessa forma, as empresas e pois estes devem ser estruturados e boas práticas
instituições, agentes de tratamento, de forma a atender aos requisitos
devem adotar medidas de segurança, de segurança, aos padrões de
técnicas e administrativas, aptas boas práticas e de governança Estabelecer políticas Estabelecer uma
a proteger os dados pessoais de e aos princípios gerais previstos e salvaguardas, relação de confiança Estar integrado a sua
acessos não autorizados e de adequados com base com o titular por estrutura, geral de
na Lei e nas demais normas em processos de meio de atuação governança e estabelecer
situações acidentais ou ilícitas regulamentadoras. transparente e que e aplicar mecanimos de
avaliação sistemáticos
de destruição, perda, alteração, de impactos e risco à assegure mecanismo de supervisão interno e exerno
comunicação ou qualquer forma de Governança em Proteção privacidade sua participação
tratamento inadequado ou ilícito. de Dados:
Além da proteção de dados pes-
Assim, a segurança dos dados
soais, a gestão da Governança Ser atualizado
pessoais deve ser proporcional
digital corporativa compreende Contar com planos de
constamente com
ao grau de sensibilidade, durante base em informações Demonstrar a
outros três pilares essenciais respostas a incidentes e
todo o tratamento. E os padrões de obtidas a partir de efetividade de seu
para fechar um ciclo virtuoso: Se- remediação
monitoramento contínuo programa
segurança aplicados devem garantir
gurança cibernética, Reputação e avaliações periódicas
a confidencialidade, integridade e
digital e Compliance
disponibilidade dos dados pessoais.
18
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Introdução Dados Tratamento Hipótese Titular Segurança Framework Gamificação Dúvida e Sugestões
Coletar
Indentificar e Gerenciar riscos e Gerenciar
Classificar dados e dados pessoais Segurança de
pessoais dados pessoais
Manter
controles
internos
Gerenciar
Gerenciar Criar e Manter a
dados pessoais
Incidentes e Consciência
na cadeia de
Reclamações
Suprimentos
19
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Introdução Dados Tratamento Hipótese Titular Segurança Framework Gamificação Dúvida e Sugestões
Você revisou os
contratos, processos Você conduziu
Formulários de clientes Utilizaram currículos
e políticas para treinamentos sobre a LGPD
foram jogados no lixo de candidatos para
atender a LGPD sem fragmentar para toda a empresa
embrulhar entregas
Perdeu a vez Avance 6 casas Perdeu a vez
A empresa
Fim
O formulário de cadastro
Você implementou
do site solicita dados
medida de segurança desnecessários
e de controle de
Volte 5 casas
acesso de dados
A empresa tratou dados Você considerou
Avance 2 casas Você respondeu um
pessoais sensíveis privacidade na concepção
direito de acesso do
uilizando legítimo de um novo serviço titular de forma completa
interesse como base legal Avance 6 casas em até 15 dias
Perdeu sua vez Avance 3 casas
20
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Introdução Dados Tratamento Hipótese Titular Segurança Framework Gamificação Dúvida e Sugestões
Dúvidas ou sugestões?
lgpd@verdeghaia.com.br
Bibliografia
BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Lei Geral de Proteção de Dados Pessoais
(LGPD). Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/
L13709.htm. Acesso em: 22 de set.2020.
BRASIL. Guia de Boas Práticas: Lei Geral de Proteção de Dados. Abril, 2020. Disponível em:
htps://www.gov.br/governodigital/pt-br/governança-de-dados/guia-lgpd.pdf.Serpro.
Acesso em 19 nov.2020.
Todo o Manual (incluídos textos e imagens) estão protegidos por direitos autorais da AMBIPAR, sendo proibida toda e qualquer forma de plágio, cópia,
reprodução ou outra forma de uso indevido e sem a autorização necessária, estando o transgressor sujeito as penalidades cíveis e criminais cabíveis.
21
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Introdução Dados Tratamento Hipótese Titular Segurança Framework Gamificação Dúvida e Sugestões