Apostila

LGPD – Lei Geral de Proteção

de Dados Pessoais
Sumário
Sobre a apostila ................................................................................................................................. 6

Licenças desta obra ......................................................................................................................... 6

1. Abertura ................................................................................................................................................ 7

1.3 Objetivos ....................................................................................................................................... 7

3. Conceitos Básicos ............................................................................................................................. 8

3.1 Conceitos básicos ...................................................................................................................... 8

3.2 Classificação de dados ............................................................................................................. 9

3.3 Dados Pessoais ........................................................................................................................ 10

3.4 Dados Pessoais Sensíveis .................................................................................................... 10

3.5 Titular de dados ....................................................................................................................... 12

3.6 Agentes de tratamento ......................................................................................................... 13

Agora que você sabe quem é o titular do dado, é preciso ter clareza sobre quem
são os agentes de tratamento e qual é a relação entre estas duas entidades:
titular x agente de tratamento. ................................................................................................. 13

Além do conceito de titular, a LGPD também trouxe o conceito do agente de

tratamento. O agente de tratamento é toda pessoa física ou jurídica que faz o
tratamento dos dados pessoais, ou seja, que cuida das operações realizadas com
os dados pessoais. O agente de tratamento pode realizar dois papéis no
tratamento dos dados, sendo eles: controlador ou operador. ..................................... 13

3.7 Controlador ............................................................................................................................... 14

3.10 Encarregado ........................................................................................................................... 16

3.11 Controlador X Operador ................................................................................................... 17

3.12 Diferença entre controlador e operador .................................................................... 18

3.13 Curiosidades LGPD ............................................................................................................. 19

4.1 LGPD ............................................................................................................................................ 20

4.2 Benefícios ................................................................................................................................... 21

4.3 Benefícios da LGPD................................................................................................................ 22

4.4 Objetivo da LGPD ................................................................................................................... 23

4.5 Princípios da Lei ....................................................................................................................... 24

4.11 Controlador X Operador ................................................................................................... 26

4.12 ANPD - Autoridade Nacional de Proteção de Dados............................................ 27

4.13 Atribuições da ANPD ......................................................................................................... 28

5.1 Bases Legais .............................................................................................................................. 29

5.2 Tratamento de dados pessoais .......................................................................................... 30

5.4 Consentimento do uso dos dados .................................................................................... 33

5.5 Revogação do consentimento ........................................................................................... 34

5.6 Cumprimento de obrigação legal ..................................................................................... 35

5.7 Execução de contrato ............................................................................................................ 36

5.8 Interesse Legítimo .................................................................................................................. 37

5.9 Exemplo prático ....................................................................................................................... 38

5.10 Medidas técnicas de segurança ...................................................................................... 39

5.11 Papel do responsável pelo tratamento nas medidas de segurança ................. 40

5.12 Papel das organizações ...................................................................................................... 41

5.13 Impactos Negativos ............................................................................................................. 42

5.14 Conclusão ................................................................................................................................ 44

5.15 Ataques cibernéticos .......................................................................................................... 45

5.16 Papel do Controlador ......................................................................................................... 46

5.17 Providências Adicionais .................................................................................................... 48

5.19 Incidente de Segurança ..................................................................................................... 50

5.20 Como evitar? .......................................................................................................................... 51

5.21 Plano tático ............................................................................................................................. 52

5.22 Medidas administrativas ................................................................................................... 53

5.23 No seu posto de trabalho .................................................................................................. 54

5.24 Em outros locais .................................................................................................................... 55

5.25 Quer fazer ainda mais a diferença? ............................................................................... 56

6.1 Direito dos Titulares de Dados.......................................................................................... 57

6.2 Obrigações da Organização ............................................................................................... 59

6.3 Obrigações da Organização ............................................................................................... 60

6.6 Relatório de Impacto ............................................................................................................. 61

6.7 Programa de Governança .................................................................................................... 62

6.8 Penalidades da LGPD ............................................................................................................ 63

6.9 Importante ................................................................................................................................. 64

6.13 Finalização............................................................................................................................... 65
Sobre a apostila
Esta apostila faz parte do material didático oferecido como complemento do
treinamento digital.

Não é permitida a distribuição desta apostila para fins não comerciais, no qual cabe
o direito a comercialização das empresas devidamente credenciadas.

Licenças desta obra

O conteúdo desta apostila está protegido nos termos da licença
CreativeCommonsAtribuição –Uso Não Comercial –Não a Obras Derivadas (by-
nc-nd).
Para qualquer reutilização ou distribuição, você deve deixar claro a terceiros os
termos da licença a que se encontra submetida esta obra.
Para uso comercial, você deverá comprar os direitos de uso limitados a um número
específico de alunos. Neste caso, fale com a nossa área comercial
 7

1. Abertura

1.3 Objetivos

Nesta unidade, você aprenderá:

• O conceito geral da LGPD e a importância de existir uma lei para proteção

de dados, para as pessoas e organizações.
• O conceito de dados pessoais;
• A definir agentes e papéis na LGPD;
• A exercer boas práticas no tratamento de dados pessoais;
• A cumprir as exigências legais da LGPD.

Notas:
 8

3. Conceitos Básicos

3.1 Conceitos básicos

Antes de entender o que é a LGPD no Brasil, entenda alguns conceitos

básicos e conheça os agentes de tratamento.

Notas:
 9

3.2 Classificação de dados

Esses dados são classificados de duas maneiras:

Dados pessoais
Dados pessoais sensíveis

Notas:
 10

3.3 Dados Pessoais

Dado pessoal é toda informação que identifica seu proprietário, ou seja, que esteja
relacionada a uma pessoa, por exemplo: seu nome, RG, CPF, endereço, e-mail,
números de telefone, endereços de IP. Todos esses tipos de registros são
considerados dados pessoais.

3.4 Dados Pessoais Sensíveis

Notas:
 11

Já o dado pessoal sensível é a informação que pode gerar discriminação ao titular

dos dados, por exemplo: origem racial ou étnica, sua opinião política, filiação
partidária, sindical ou religiosa. Dados referentes à saúde ou à vida sexual também
são sensíveis, assim como à genética, biométrica também são.
Em razão de sua natureza, devem ser tratados com um grau ainda maior de
cuidado, e a própria LGPD possui requisitos mais restritivos para tratamento
desses dados.
Importante!
Informações financeiras podem ser consideradas informações sensíveis em alguns
casos. Esses dados, embora também precisem de mais cuidado, não devem ser
confundidos com dados pessoais sensíveis (a menos que estejam relacionados a
qualquer dado pessoal considerado sensível pela LGPD).

Notas:
 12

3.5 Titular de dados

Penso que agora ficou mais fácil para você identificar quem é o titular dos dados
pessoais, não é mesmo?

O titular é o dono dos dados pessoais que são tratados por

um determinado agente de tratamento; exemplo: uma empresa, banco ou
repartição pública.
É o indivíduo identificado pelo dado pessoal, a pessoa a quem os dados se referem.
Podemos dizer que se uma empresa qualquer trata seus dados, por exemplo, você
passará a ser tratado como o titular.

Notas:
 13

3.6 Agentes de tratamento

Agentes de tratamento

Agora que você sabe quem é o titular do dado, é preciso ter clareza sobre quem são
os agentes de tratamento e qual é a relação entre estas duas entidades: titular x
agente de tratamento.

Além do conceito de titular, a LGPD também trouxe o conceito do agente de

tratamento. O agente de tratamento é toda pessoa física ou jurídica que faz o
tratamento dos dados pessoais, ou seja, que cuida das operações realizadas com os
dados pessoais. O agente de tratamento pode realizar dois papéis no tratamento
dos dados, sendo eles: controlador ou operador.

Notas:
 14

3.7 Controlador

É o papel de quem toma as decisões sobre como os dados pessoais serão tratados. É
ele quem define para que tratar os dados pessoais, e de forma geral, tem maior
responsabilidade sobre o processo de tratamento desses dados.
O controlador dos dados pessoais tem como responsabilidades coletar, registrar,
armazenar e tomar decisões sobre dados pessoais dos seus clientes, colaboradores,
fornecedores, visitantes, entre outros; pois é ele quem toma as decisões relevantes
em relação à coleta, utilização, armazenamento e processamento desses dados,
dentre outras atividades.

Notas:
 15

3.9 Operador
.

O operador é aquele que manipula os dados em suas atividades profissionais. Ele

pode ser um colaborador da empresa que detém os dados ou ser um terceiro que
manipula os dados sob as orientações do controlador, por exemplo: no processo de
contratação ou processos relacionados como na área de vendas.
Quando uma outra empresa terceira começa a fazer parte do processo, ela assume
o papel do operador de dados.
O operador, portanto, é quem realiza o tratamento de dados pessoais no lugar do
controlador.

Notas:
 16

3.10 Encarregado

A lei ainda apresenta o conceito do encarregado, sendo ele também conhecido

como Data Protection Officer - DPO.
O DPO é a pessoa indicada pelo controlador ou pelo operador para ser o canal de
comunicação entre os titulares, a Autoridade Nacional de Proteção de Dados
(ANPD) e o controlador.
O encarregado pode ser uma espécie de representante de todos os assuntos
relacionados à proteção de dados pessoais, como: aceitar reclamações, prestar
esclarecimentos aos titulares e às autoridades, orientar as empresas e executar as
diretrizes de proteção de dados da empresa.

Notas:
 17

3.11 Controlador X Operador

Mas, qual a diferença entre o Controlador e o Operador?

Notas:
 18

3.12 Diferença entre controlador e operador

Muito simples!

A principal diferença entre o controlador e operador está no poder de decisão. O

operador pode realizar o tratamento de dados, mas somente se receber ordens e
instruções de um controlador, que, por sua vez, é o responsável por essas
informações.

Notas:
 19

3.13 Curiosidades LGPD

Curiosidades LGPD

A responsabilidade do controlador fica ainda mais clara quando fazemos uma breve
análise da LGPD e observamos que a palavra “controlador” aparece 71 vezes ao
longo do texto da Lei. Enquanto isso, operador é citado apenas 13 vezes.

Notas:
 20

4.1 LGPD

Agora que vimos os conceitos básicos da proteção de dados, vamos conhecer

melhor a lei de proteção brasileira.
Como você já viu, muitos países da Europa e América Latina já têm políticas e leis
de proteção dos dados. No Brasil, a Lei Geral de Proteção de Dados (LGPD) foi
criada em 2018. Essa lei tem o objetivo de dar privacidade e segurança aos seus
dados, fisicamente e por meios digitais, protegendo também os seus direitos como
dono desses dados.
Importante!

A LGPD só pode ser utilizada:

• Quando o titular dos dados pessoais estiver no Brasil no momento da coleta.

• Quando os dados são tratados ou coletados no Brasil.
• Quando existe oferta de bens e serviços para pessoas no Brasil.

Notas:
 21

4.2 Benefícios

Você sabe quais são os benefícios de se ter uma Lei para proteção dos dados
pessoais?

Notas:
 22

4.3 Benefícios da LGPD

São benefícios da LGPD:

• Dar poder ao titular sobre seus dados, garantindo direitos que devem ser
respeitados durante o tempo que estes dados ficarem sob a tutela da
instituição detentora da informação.
• Determina que as empresas mantenham o mínimo de dados pessoais
necessários para sua atividade.
• Orientar as empresas como proceder nos casos de vazamento ou uso
indevido de dados, fiscalizar e aplicar sanções no caso de não cumprimento
ou omissão na proteção dos dados.

Notas:
 23

4.4 Objetivo da LGPD

Objetivo

Vale lembrar que a LGPD não tem por objetivo proibir o tratamento de dados
pessoais, mas sim regulamentar a forma como eles são utilizados, gerando maior
segurança nas relações comerciais, trabalhistas ou quaisquer outras que envolvam
o tratamento de dados.
Caso não exista motivos para o uso dos dados pessoais, eles não devem ser
coletados. Nem para simples armazenamento, pois isto já é uma forma de
tratamento.

Notas:
 24

4.5 Princípios da Lei

Existem alguns princípios que devem ser observados no tratamento dos dados
pessoais. Esses princípios estão divididos em 5 pilares. Veja só.
Finalidade: Tenha em mente que todo tratamento de dados pessoais deve ser
realizado para uma finalidade, sendo que a finalidade deve ser informada ao titular
dos dados. A LGPD protege os dados para que eles não sejam usados de forma
indevida;
Adequação: Adequação significa que os dados pessoais devem ser alinhados com à
finalidade informada ao titular;
Necessidade: As empresas podem solicitar apenas a quantidade mínima necessária
de dados para a realizar suas atividades.
Transparência: O controlador deve garantir ao titular, informações claras e de fácil
acesso sobre o uso de seus dados. O mesmo deve ocorrer com os demais agentes
de tratamento com quem seus dados pessoais possam ser compartilhados. A lei

Notas:
 25

garante ao controlador o direito de não divulgar seus segredos comerciais e

industriais.
Livre Acesso: Também é de responsabilidade do controlador garantir ao titular dos
dados, consulta facilitada e gratuita sobre seus dados pessoais e informar por
quanto tempo eles serão utilizados.
Qualidade dos Dados: O controlador deve garantir ao titular a exatidão, clareza,
relevância e atualização dos dados, de acordo com a necessidade e para o
cumprimento da finalidade de seu tratamento.
Segurança: O controlador deverá tomar medidas técnicas e administrativas
suficientes para proteger os dados pessoais de acessos não permitidos e de
situações de destruição, perda, alteração, comunicação ou divulgação
Prevenção: O controlador deverá tomar as medidas necessárias para prevenir
danos no tratamento dos dados pessoais.
Não discriminação: O tratamento de dados pessoais não pode, de forma alguma,
ser realizado para fins discriminatórios, ilícitos ou abusivos.
Responsabilidade e Prestação de Contas ( Accountability ): É obrigação das
empresas, ou seja, dos agentes de tratamento, demonstrar que adotaram todas as
medidas de proteção estabelecidas nas normas. E que a proteção de dados pessoais
é segura e eficaz.

Notas:
 26

4.11 Controlador X Operador

Vamos conhecer o papel da Autoridade Nacional de Proteção de Dados na LGPD?

Notas:
 27

4.12 ANPD - Autoridade Nacional de Proteção de Dados

A Autoridade Nacional de Proteção de Dados - ANPD é o órgão responsável por

regular a proteção de dados no Brasil, seu papel é orientar e fiscalizar as regras da
LGPD. A ANPD funciona de forma parecida com a da Agência de Vigilância
Sanitária ou da Agência Nacional de Telecomunicações dentro das áreas de saúde e
telecomunicações.

Notas:
 28

4.13 Atribuições da ANPD

Algumas das responsabilidades da ANPD são:

• Cuidar da proteção e do cumprimento das leis de proteção de dados;

• Criar instruções para uma Política Nacional de Proteção de Dados Pessoais
e Privacidade;
• Fiscalizar e aplicar punições;
• Divulgar para a população o conhecimento das normas e das políticas
públicas sobre proteção de dados pessoais e as medidas de segurança;
• Divulgar ações de cooperação com as autoridades de proteção de dados
pessoais de outros países.

Notas:
 29

5.1 Bases Legais

Agora, vamos conhecer as bases legais para colocarmos em prática a LGPD na

nossa organização.
Clique na seta ao lado para verificar as bases legais adotadas para o tratamento de
dados pessoais, tanto de colaboradores, parceiros, fornecedores e clientes.

Notas:
 30

5.2 Tratamento de dados pessoais

O tratamento dos dados pessoais é toda operação feita com dados pessoais
coletados.
Entre os possíveis tratamentos que podem sofrer os dados pessoais, temos:
produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação
ou controle da informação, modificação, comunicação e transferência.
O tratamento dos dados pessoais, de acordo com o artigo 7º da LGPD, só poderá
ser feito legalmente nos seguintes casos:
Consentimento - Com a autorização do titular.
Obrigação legal - Para o cumprimento de obrigação legal ou de regulamentação
pelo controlador.

Notas:
 31

Execução de contrato - Quando necessário para cumprir um contrato ou para os

procedimentos iniciais de um contrato em que o titular faça parte e quando o
titular dos dados pedir.
Exercício regular de direitos - Para o cumprir os direitos em um processo judicial,
administrativo ou arbitral.
Proteção de vida - Para proteger a vida ou a segurança física do titular ou de outras
pessoas.
Tutela da saúde - Para o cuidado da saúde, em procedimento realizado por
profissionais da área da saúde ou por empresas sanitárias.
Interesses legítimos - Quando for necessário atender interesses legítimos do
controlador ou de pessoas terceiras, restringindo a utilização do dado pessoal
apenas para finalidade específica pela qual o dado foi coletado.
Proteção do crédito - Para a proteção do crédito, inclusive quanto ao disposto na
legislação pertinente.

Notas:
 32

5.3 Atenção

Atenção

Essas bases legais sofrem pequenas alterações no caso de dados sensíveis, como
pode ser consultado no art. 11 da LGPD.

Notas:
 33

5.4 Consentimento do uso dos dados

Em algumas situações, o tratamento dos dados pessoais só poderá ser feito quando
o titular concordar com o tratamento. Nesses casos, o controlador deve conseguir
a autorização do titular para poder coletar e tratar estes dados pessoais.
Vale reforçar que o CONSENTIMENTO do titular não é a única HIPÓTESE DE
TRATAMENTO que uma empresa pode usar para tratar os dados pessoais. Existem
outras situações que não pedem essa autorização prévia, como veremos mais
adiante.
Porém, quando o tratamento é feito de forma autorizada, o titular dos dados tem o
direito de cancelar essa autorização.

Notas:
 34

5.5 Revogação do consentimento

Você pode desistir da autorização para o uso dos seus dados a qualquer momento,
garantindo que você tenha total poder sobre suas informações, como diz o 5º
parágrafo do artigo 8º da LGPD: “O consentimento pode ser revogado a qualquer
momento mediante manifestação expressa do titular, por procedimento gratuito e
facilitado.”

Notas:
 35

5.6 Cumprimento de obrigação legal

Em alguns casos, o tratamento é necessário para atender a obrigação legal ou de

regulamentação. Assim como ocorre quando uma empresa precisa observar várias
leis e regulamentos para suas atividades. Nestes casos, o tratamento não depende
de autorização do titular.
Exemplos:
Coleta de dados pessoais e dados pessoais sensíveis para emissão de Certificado
Digital;
Coleta de dados para emitir uma nota fiscal;
Tratamento de dados pessoais do empregado para concessão de férias, 13º Salário,
envio à Caixa Econômica Federal para pagamento do FGTS.

Notas:
 36

5.7 Execução de contrato

Quando o tratamento é necessário para cumprir um contrato ou proposta em que o

titular dos dados faz parte, as empresas também estão autorizadas a tratar seus
dados pessoais.
Por exemplo: ao firmarmos um contrato licitatório, os clientes atendidos neste
projeto terão seus dados pessoais tratados para execução do contrato.

Notas:
 37

5.8 Interesse Legítimo

O tratamento dos dados pessoais também pode ser realizado para atender a seus
interesses legítimos ou de pessoas terceiras. Considere interesse legítimo do
controlador ou de pessoas terceiras todo tratamento relacionado a atividades do
dia a dia do controlador, como por exemplo: apoio e promoção ou proteção de seus
direitos ou prestação de serviços.
Seus dados pessoais podem ser tratados com base no legítimo interesse para a
realização de comunicados internos, informações corporativas, e-mails
informativos, entre outras.

Notas:
 38

5.9 Exemplo prático

Vamos ver um exemplo prático:

Ao criar atividades de marketing para promover atividades internas, uma empresa
faz o tratamento de dados pessoais de seus colaboradores sob a base legal do
interesse legítimo de divulgar sua marca e conquistas.
Essa empresa também realiza o tratamento de seus dados pessoais em
Comunicados Internos (ex.: Aniversariante do Dia; Nascimento de filho de
colaborador) sob a base legal do legítimo interesse em divulgar informações sociais
e promover a integração entre seus colaboradores.

Notas:
 39

5.10 Medidas técnicas de segurança

A LGPD diz que os agentes de tratamento devem tomar medidas de segurança,

técnicas e administrativas suficientes para proteger os dados pessoais de acessos
não autorizados e de situações de destruição, perda, modificação, comunicação ou
qualquer forma de tratamento incorreto. Além disso, essas medidas deverão ser
observadas desde a fase de criação do produto ou do serviço até a sua execução.

Notas:
 40

5.11 Papel do responsável pelo tratamento nas medidas de segurança

O responsável pelo tratamento aplica medidas para que só sejam tratados os dados
pessoais necessários para uma determinada finalidade. Essa obrigação vale para os
dados pessoais recolhidos, para a duração do seu tratamento, para o prazo de
conservação e para sua acessibilidade. Em especial, essas medidas garantem que os
dados pessoais não sejam divulgados.

Notas:
 41

5.12 Papel das organizações

É papel das organizações garantir que os dados pessoais sejam tratados da forma
mais privada possível, usando as boas práticas de segurança de proteção de dados
pessoais e segurança da informação.
Por exemplo: como padrão, uma empresa pode tratar apenas os dados pessoais
mínimos necessários para cumprir o objetivo do tratamento, limitando o período de
armazenamento ao mínimo necessário e dando acesso a quem realmente precisa
dos dados para suas funções.
Devem ser aplicados os maiores níveis de segurança, sendo que é escolha do
usuário aderir a outras soluções, cabendo à organização manter a privacidade de
todos os dados.

Notas:
 42

5.13 Impactos Negativos

Imagine só o impacto negativo que um escândalo de vazamento de dados pode

gerar para uma empresa. Ter sua marca associada a um escândalo onde os dados de
clientes, colaboradores ou parceiros viessem a público. Essa é a preocupação de
diversas organizações e é por esse motivo que medidas são tomadas para que os
dados tratados pela empresa estejam seguros.
Veja exemplos a seguir de casos de vazamento de dados:
Caso da Cambridge Analytica
O exemplo mais famoso de escândalo envolvendo grandes empresas é do
Facebook e a Cambridge Analytica.
Nesse episódio, o Facebook, permitiu que os dados de curtidas de seus usuários
fossem utilizados de forma diversa dos objetivos iniciais pela empresa preferências
Cambridge Analytica. A Cambridge Analytica utilizou sem o conhecimento dos
proprietários dos dados para indicar a tendencia de votos para eleições
presidenciais ao redor do mundo. A justiça americana provou que o vazamento

Notas:
 43

influenciou o resultados das eleições americanas em favor de Donald Trump, como

também influenciou na saída do Reino Unido da União Europeia.
Em razão disso, as empresas foram punidas pela Autoridade de Proteção de Dados
em 5 bilhões de dólares.
Hospital Israelita Albert Einstein
Outro exemplo é o do Hospital Israelita Albert Einstein que confirmou o
vazamento de dados de 16 milhões de pessoas que tiveram suspeita ou diagnóstico
confirmado para covid-19, conforme notícia divulgada pelo jornal O Estado de São
Paulo. De acordo com o jornal, entre as pessoas que tiveram a privacidade violada,
com exposição de informações como CPF, endereço, telefone e doenças
preexistentes, estão o presidente Jair Bolsonaro e familiares, os ministros de
Estado e governadores.
Caso Cyrela

A Construtora Cyrela em São Paulo sofreu uma condenação de 10 mil reais, por
compartilhar as informações de um cliente com outros parceiros comerciais. O
cliente disse que “foi assediada por diversas empresas pelo fato de ter firmado
instrumento contratual com a ré para a aquisição de unidade autônoma em
empreendimento imobiliário”.
Na ação, o cliente informa que após adquirir um imóvel no bairro de Moema,
recebeu contatos não autorizados de instituições financeiras, consórcios, empresas
de arquitetura e de construção e fornecimento de mobiliário planejado.

Notas:
 44

5.14 Conclusão

Não faltam exemplos de incidentes de segurança que podem gerar prejuízos por
diversos anos a uma empresa e às pessoas que tiveram seus dados vazados.
Para evitar casos como esses, as organizações adotam medidas técnicas e
administrativas para proteger os dados pessoais, como sistemas de segurança e
políticas, procedimentos e controles de segurança da informação. Ainda assim,
erros humanos são a principal forma de violações de dados pessoais, e por isso
mesmo somos todos responsáveis por prevenir esse tipo de incidente.

Notas:
 45

5.15 Ataques cibernéticos

Atualmente, sabemos que nenhuma organização está livre de sofrer ataques

cibernéticos, não é mesmo?
Um ataque cibernético é qualquer tentativa de expor, alterar, desativar, destruir,
roubar, ter acesso não autorizado ou fazer uso não autorizado de um computador
ou dispositivo eletrônico.
Por essa razão, a LGPD determina que o encarregado deverá avisar tanto o titular
como a ANPD sobre possíveis incidentes de segurança que resultem em um risco
ao titular.

Notas:
 46

5.16 Papel do Controlador

O encarregado deve utilizar procedimentos para cuidar de incidentes, notificar

brechas de segurança e casos de vazamentos de dados. Essa comunicação deve ser
feita nos casos em que dados pessoais tenham sido vazados, seja de forma
acidental ou proibida para pessoas não autorizadas. A comunicação também deve
ser feita nos casos em que os dados fiquem temporária ou permanentemente
indisponíveis, ou ainda que sejam alterados.
Importante!

A notificação ao titular dos dados deve ocorrer sem demora e em prazo razoável à
Autoridade Nacional de Proteção de Dados.
Essa notificação deverá mencionar, no mínimo: a descrição dos dados pessoais
afetados; as informações sobre os titulares envolvidos; a indicação das medidas
técnicas e de segurança utilizadas para a proteção dos dados, observados os
segredos comercial e industrial; os riscos relacionados ao incidente; os motivos da

Notas:
 47

demora, no caso de a comunicação não ter sido imediata; e as medidas que foram
ou que serão adotadas para reverter ou suavizar os efeitos do prejuízo (art.
48).Essa notificação deverá mencionar, no mínimo: a descrição dos dados pessoais
afetados; as informações sobre os titulares envolvidos; a indicação das medidas
técnicas e de segurança utilizadas para a proteção dos dados, observados os
segredos comercial e industrial; os riscos relacionados ao incidente; os motivos da
demora, no caso de a comunicação não ter sido imediata; e as medidas que foram
ou que serão adotadas para reverter ou suavizar os efeitos do prejuízo (art. 48).

Notas:
 48

5.17 Providências Adicionais

A ANPD poderá mandar, por intermédio do encarregado de dados, que o

controlador adote providências com base na gravidade do incidente, tais como: a
ampla divulgação do fato em meios de comunicação e medidas para reverter ou
cancelar os efeitos do incidente.

Notas:
 49

5.18 O que exatamente seria um incidente de segurança?

O que exatamente seria um incidente de segurança?

Notas:
 50

5.19 Incidente de Segurança

Os incidentes de segurança são mais comuns do que podemos imaginar, podendo

chegar a centenas por dia, dependendo da gravidade:
A perda de um simples pen drive, o furto de um notebook, a interrupção de um
sistema, podem ser considerados, sob o ponto de vista técnico, incidentes de
segurança, pois os dados pessoais podem estar expostos a uma ameaça.

Notas:
 51

5.20 Como evitar?

Para evitar os incidentes de segurança, é importante se conhecer os riscos e

trabalhar para anular os mesmos. Essas medidas devem ser testadas e colocadas
em prática continuamente, pois, assim como a tecnologia evolui, as ameaças
evoluem e muitas vezes em proporções ainda maiores.

Notas:
 52

5.21 Plano tático

Se a empresa possui um plano tático, políticas, planejamento e treinamento

contínuo com seus colaboradores, terá capacidade de dar conta da resposta,
cuidando dos incidentes de segurança. Sem a existência de políticas estruturadas
com ciclo de treinamento contínuo e planejado, esta pode ser uma tarefa
extremamente difícil de ser cumprida e com impacto negativo para o negócio.

Notas:
 53

5.22 Medidas administrativas

Além de todas as medidas de segurança vistas até aqui, cabe a você, como
colaborador, cuidar para garantir a privacidade em nome da segurança.

Veja a seguir como ajudar para cuidar de seus dados e de dados da empresa.

Notas:
 54

5.23 No seu posto de trabalho

Para cuidar dos seus dados e dos dados na empresa em seu posto de trabalho, siga
as dicas:
• Bloqueie o computador ao sair do posto de trabalho, para que ninguém
tenha acesso aos seus dados e aos dados da empresa que você está
utilizando.
• Nunca diga seus logins e senhas mesmo para colegas de trabalho.
• Deixe seu posto de trabalho limpo. Evite deixar dados pessoais e
informações confidenciais da empresa à vista ou em local de fácil acesso a
pessoas de fora da organização.
• Informe à equipe de TI qualquer problema ou desconfiança sobre ações
suspeitas na internet e/ou no trabalho.
• Verifique atentamente e-mails e remetentes suspeitos antes de tomar
qualquer ação.
• Nunca fotografe o ambiente de trabalho, principalmente telas de
computador e documentos.
• Crie senhas complexas e diferentes para cada plataforma ou sistema que
utiliza.

Notas:
 55

5.24 Em outros locais

Para evitar descuidos com os dados da empresa, é importante que você:

• Tenha atenção ao falar sobre a empresa em locais públicos, com clientes, em

transportes, elevadores e pessoas fora da organização.
• Utilize suas redes sociais com segurança. Não compartilhe informações
sigilosas ou meios de contato com desconhecidos.
Seguindo essas orientações, além de preservar os dados da empresa, você contribui
para garantir a segurança e privacidade de todos os colaboradores.

Notas:
 56

5.25 Quer fazer ainda mais a diferença?

Caso veja um colega que não esteja seguindo essas dicas, alerte-o.
Vamos criar um ambiente seguro na nossa organização, protegendo a privacidade
de todos em nome da segurança.

Notas:
 57

6.1 Direito dos Titulares de Dados

Procedimentos para Gestão dos Direitos dos Titulares

• Com a LGPD, os titulares de dados devem ter seus direitos garantidos a
qualquer momento, na condição de que sejam observadas as normativas e
regulamentos existentes como veremos a seguir.
• Direito à Confirmação de Existência: O Titular pode receber a confirmação
da existência de tratamento de seus dados pessoais (Acesso, uso,
armazenamento, compartilhamento, e outros tratamentos).
• Direito ao Acesso: O Titular pode solicitar acesso aos dados pessoais
tratados pela empresa.
• Direito à Correção: O Titular pode solicitar a correção, complemento ou
atualização de seus dados pessoais que estejam incorretos, inexatos ou
desatualizados.
• Direito ao Bloqueio: O titular pode solicitar a suspensão do tratamento de
seus dados pessoais que sejam excessivos, desnecessários ou tratados de
forma incorreta.
Notas:
 58

• Direito a Anonimização: O Titular pode solicitar que os dados pessoais que

sejam excessivos, desnecessários ou tratados de forma ilícita sejam
anonimizados. Dados anonimizados são aqueles que não são capazes de
identificar um titular.
• Direito a Eliminação: O Titular pode solicitar a exclusão permanente dos
dados pessoais que sejam excessivos, desnecessários ou tratados de forma
ilícita, ou que sejam tratados com base em consentimento que tenha sido
desautorizado pelo titular.
• Direito a Revogação do consentimento: O Titular pode revogar o
consentimento para o uso de seus dados a qualquer momento, garantindo
total poder sobre as suas informações e tendo transparência no tratamento
de dados.
• Direito à Portabilidade: O Titular pode solicitar a transferência de seus
dados a outro fornecedor/prestador de serviços, conforme regulamentado e
na medida do que for aplicável.
• Direito à Informação sobre Compartilhamento: O Titular pode solicitar
informações sobre terceiros (entes públicos ou privados) com os quais o
controlador compartilha seus dados pessoais.
• Direito à Oposição: O titular pode se opor ao tratamento de dados, na
condição de que a base legal considerada para o referido tratamento seja o
consentimento.

Notas:
 59

6.2 Obrigações da Organização

Veja a seguir as regras e diretrizes que as organizações costumam adotar para o

cumprimento dos direitos dos titulares de dados:

Notas:
 60

6.3 Obrigações da Organização

• Tratamento lícito e legítimo de Dados Pessoais.

• Definição de atribuições e responsabilidades do Encarregado.
• Adoção de medidas de transparência em relação aos titulares de dados
pessoais.
• Adoção de medidas técnicas e administrativas adequadas para proteção dos
dados pessoais.
• Elaboração de relatórios de impacto.
• Tratamento de dados sensíveis e dados de menores e adolescentes.
• Tratamento de dados pessoais que resultem em tomada de decisão
automatizada, perfilamento ou em risco para os titulares.
• Retenção e eliminação de dados pessoais após o término do tratamento.

Notas:
 61

6.6 Relatório de Impacto

Vamos conhecer agora o que é o relatório de impacto?

O relatório de impacto à proteção de dados pessoais é a documentação do

controlador que contém a descrição dos processos de tratamento de dados
pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais,
além de medidas de prevenção para evitar riscos.

Notas:
 62

6.7 Programa de Governança

Conheça agora um pouco sobre o Programa de Governança.

O Programa de Governança em Privacidade guia a organização para a seguir as leis

e regulamentos de privacidade e proteção de dados pessoais, apoiando os objetivos
e metas da empresa.
Muitas organizações têm seu próprio Programa de Governança, composto por um
conjunto de políticas, práticas, procedimentos, controles e outras medidas para
garantir a segurança no tratamento dos dados pessoais dos titulares.
O objetivo desses programas é garantir a proteção dos dados dos colaboradores,
parceiros, fornecedores e clientes.

Notas:
 63

6.8 Penalidades da LGPD

Caso o Programa de Governança em Privacidade não seja seguido e as medidas

previstas na LGPD não sejam cumpridas, existem consequências severas que
podem ser aplicadas às empresas.
A LGPD prevê multas administrativas diárias de até 2% do faturamento da pessoa
jurídica de direito privado (associações, sociedades e fundações), grupos ou
conglomerado no Brasil no seu último exercício, chegando ao máximo de R$ 50
milhões por infração.
Também há punições de restrição parcial ou total do acesso ao banco de dados. Ou
seja, a empresa pode ficar proibida de utilizar dados pessoais e sem acesso as
informações dos seus clientes, colaboradores ou fornecedores, sem poder dar
continuidade aos seus negócios.

Notas:
 64

6.9 Importante

Importante!

As sanções ou punições administrativas que você viu anteriormente começaram a

ser aplicadas pela Autoridade Nacional de Proteção de Dados em agosto de 2021.
Mas antes disso o Poder Judiciário já vinha aplicando sanções, como a condenação
de empresas por danos morais pelo compartilhamento de dados de clientes. Um
exemplo foi o caso da Construtora Cyrela, em São Paulo, que sofreu uma
condenação de 10 mil reais por compartilhar as informações de um cliente com
outros parceiros comerciais.

Notas:
 65

6.13 Finalização

E chegamos ao final deste módulo. Até aqui pudemos conhecer:

• O que é a proteção de dados no Brasil e no mundo.

• A LGPD e a Agência Nacional de Proteção de dados.
• O que são os dados pessoais e o papel das organizações dentro da LGPD.
• Os princípios da lei e a aplicabilidade no nosso dia a dia no trabalho.
• As bases legais para aplicação da lei e as medidas adotadas pelas empresas
para o seu cumprimento.
• Os direitos e deveres dos titulares.
• Possíveis penalidades sofridas pela organização no caso de não
cumprimento da LGPD.

Agora vamos fazer uma revisão do conteúdo.

Notas:
 66

Notas: