FORMAÇÃO

GESTOR DE
PRIVACIDADE
ADEQUAÇÃO

UM PROGRAMA
ESTRUTURADO PARA
ADEQUAÇÃO À LGPD E GDPR

Realização
Conteúdo atualizado em
11/09/2020
 Apresentação do Instrutor

• Prof. Matheus Passos Silva

• IAPP® CIPP/E, CIPM
• EXIN® Certified DPO
• EXIN® Certified Blockchain Foundation | Inteligência Artificial
§ Data Protection Officer na L’Oréal Portugal
§ Professor Convidado na Faculdade de Direito da Universidade NOVA de Lisboa

https://profmatheus.com § Doutorando em Direito e Tecnologia pela Universidade Nova de Lisboa

@profmatheuspassos § Doutorando em Direito Constitucional pela Universidade de Lisboa

§ Pós-Graduação Avançada em Direito da Proteção de Dados
§ Graduado e Mestre em Ciência Política
§ Graduado em Ciência da Computação
§ Estudando Ciência de Dados no momento J

Slide 2
 Conteúdo da Aula de Nivelamento

• Nivelamento de conhecimentos básicos para iniciar a sua atuação como

Gestor de Privacidade ou DPO
• Contextualização da proteção de dados no mundo e principais leis
• Entendendo o que é privacidade e sua diferença para segurança da informação
• Apresentação comparada GDPR x LGPD
• Visão geral da estrutura
• Princípios, bases legais, atores e direitos dos titulares
• Escopo de aplicação territorial
• Pontos específicos: dado pessoal, dados sensíveis, pseudonimização, anonimização
• Papel do DPO x Gestor de Privacidade
• Principais pontos para adequação

Slide 3
Contextualização da proteção de dados no mundo e
principais leis

Fonte: https://www.dlapiperdataprotection.com, acesso em 10 set. 2020. Slide 4

 Contextualização da proteção de dados no mundo e
principais leis

• Atuação em âmbito internacional na área de proteção de dados: alguns

elementos semelhantes na legislação.

• Os objetivos de um Gestor de Privacidade são:

• Identificar obrigações de privacidade para a organização
• Identificar riscos de privacidade de negócios, funcionários e clientes
• Identificar a documentação, políticas e procedimentos existentes
• Criar, revisar e implementar políticas e procedimentos que afetam práticas positivas
e que juntos formam um programa de privacidade

Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 5
 Contextualização da proteção de dados no mundo e
principais leis

• Estados Unidos:
• Health Insurance Portability and Accountability Act (HIPAA) de 1996.
• Children’s Online Privacy Protection Act (COPPA) de 1998.
• California Consumer Privacy Act (CCPA) de 2018.
• Japão: Act on the Protection of Personal Information (“APPI”)
• Canadá: Personal Information Protection and Electronic Documents Act
(“PIPEDA”)
• China: PRC Cybersecurity Law
• África do Sul: Protection of Personal Information Act

Slide 6
 Contextualização da proteção de dados no mundo e
principais leis

• Os Estados Unidos são relativamente únicos na maneira como elaboram

sua legislação sobre privacidade.
• (Ainda) não há legislação abrangente – ao estilo da GDPR e da LGPD – que
regule a coleta de dados pessoais e seu uso: a legislação é setorial e/ou
estadual.
• As organizações que operam nos Estados Unidos enfrentam desafios de
privacidade que incluem determinar se sua organização constitui uma
entidade sujeita a uma lei ou padrão do setor que regula dados ou a coleta
de dados de determinados titulares.

Slide 7
 Contextualização da proteção de dados no mundo e
principais leis
• Argentina: Ley de Protección de los Datos Personales Nº 25.326 (PDPL)
• Chile: Ley Nº 19.628 – Protección de datos de carácter personal
• Colômbia: Ley 1.266 de 2008 (Habeas Data) e Ley 1.581 de 2012
• Costa Rica: Ley Nº 8.968, Protección de la persona frente al tratamiento de
sus datos personales
• México: Ley federal de protección de datos personales en posesión de los
particulares
• Peru: Ley N° 29.733 – Ley de Protección de Datos Personales
• Uruguai: Ley N° 18.331 – Ley de Protección de Datos Personales y Acción de
Habeas Data
Slide 8
 Contextualização da proteção de dados no mundo e
principais leis

• Itens em comum a todas as legislações:

• Privacy by Design;
• Deveres de informação e transparência (“minimizar a surpresa”);
• Contratos entre controlador e operador;
• Sistema de resposta aos titulares;
• Medidas de segurança;
• Notificações de violações de dados pessoais etc.

• A existência de itens em comum não dispensa o conhecimento da

jurisdição em qual se vai atuar.

Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 9
 Entendendo o que é privacidade e sua diferença para
segurança da informação

• É importante entender as semelhanças e diferenças que a segurança da

informação possui com a privacidade e proteção de dados.
• A segurança da informação visa garantir a confidencialidade, a integridade
e a disponibilidade das informações ao longo do ciclo de vida dos dados.
• Além disso, a segurança da informação inclui os conceitos de
responsabilidade e garantia.
• Responsabilidade: os dados são rastreáveis – a organização sabe onde estão;
• Garantia: todos os outros quatro objetivos são atingidos (CID + responsabilidade).

Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 10
 Entendendo o que é privacidade e sua diferença para
segurança da informação
• A segurança da informação envolve um conjunto contínuo e permanente
de práticas aplicadas ao longo do ciclo de vida dos dados – desde a
criação/coleta até sua destruição.
• Atenção especial se a organização decidir pela anonimização.
• A segurança da informação define risco como a combinação da
probabilidade de um evento e suas consequências.
• A segurança da informação se baseia em práticas de gerenciamento de
risco para fornecer:
• Identificação do risco;
• Seleção e implementação de controles e medidas para mitigar riscos;
• Rastreamento e avaliação de risco para validar as duas primeiras partes.

Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 11
 Entendendo o que é privacidade e sua diferença para
segurança da informação

• A garantia da segurança da informação não leva, automaticamente, à

garantia da privacidade e da proteção de dados.
• A privacidade trata dos direitos dos cidadãos de controlar como e em que
medida as informações sobre eles – seus dados pessoais – são coletadas e
tratadas pela organização.
• A segurança da informação visa garantir a CID – confidencialidade,
integridade e disponibilidade dos ativos de informação.
• Embora a privacidade e a segurança da informação tenham pontos
convergentes, também apresentam características divergentes.

Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 12
 Entendendo o que é privacidade e sua diferença para
segurança da informação

• Pontos convergentes:
• O foco da segurança da informação na integridade dos dados se relaciona
ao requisito de precisão da privacidade, pois ambos visam garantir que os
dados não sejam alterados sem autorização.
• O requisito de disponibilidade da segurança da informação suporta o
requisito de acesso à privacidade: se os dados não estiverem disponíveis,
não poderão ser acessados.
• As ideias de segurança da informação e de privacidade exigem que as
organizações sejam responsáveis por proteger os dados de acordo com o
respectivo regime de proteção, que é uma forma de prestação de contas.

Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 13
 Entendendo o que é privacidade e sua diferença para
segurança da informação

• Pontos convergentes:
• Quando as informações são não públicas e pessoais, a confidencialidade
oferece suporte à privacidade, pois dados não públicos precisam ser
mantidos não públicos.
• Ambos estão interessados em impulsionar a minimização de dados, ter
bons mapas e inventários de dados e garantir que os controles e medidas
corretos estejam em vigor e sejam corretamente utilizados.
• Frequentemente, os processos de análise e avaliação de privacidade foram
incorporados a processos seguros do ciclo de vida do desenvolvimento do
programa de privacidade.

Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 14
 Entendendo o que é privacidade e sua diferença para
segurança da informação

• Pontos divergentes:
• A privacidade tem um conjunto mais amplo de obrigações e
responsabilidades do que a segurança da informação.
• Significa dizer que existem questões que a ideia de privacidade aborda e
que a segurança da informação não aborda, tais como:
• Limitação de coleta;
• Transparência;
• Relevância;
• Limitação no uso.

Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 15
 Entendendo o que é privacidade e sua diferença para
segurança da informação
• Pontos divergentes:
• A privacidade classifica os dados pessoais em duas categorias: dados
pessoais “normais” e dados pessoais sensíveis.
• A segurança da informação protege os dados de maneira diferente,
geralmente de acordo com o grau de confidencialidade: público,
confidencial, altamente confidencial e restrito ou extremamente secreto.
• Talvez o mais importante: embora as técnicas de segurança da informação
possam ser tecnologias que permitem a privacidade (privacy-enabling
technologies ou PETs) e são frequentemente necessárias, essas PETs
também podem se tornar “problemáticas” se aplicadas incorretamente (ou
seja, de maneira invasiva aos dados pessoais).
Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 16
 Apresentação comparada GDPR x LGPD: visão geral

• Visão geral da estrutura: RGPD

• Regulamento Geral sobre a Proteção de Dados (RGPD – em inglês, GDPR):
principal legislação europeia sobre o tema.
• Composta por 173 Considerandos e 99 artigos.
• Em vigor desde 25 de maio de 2018 – disponível em 24 línguas.
• Há outras legislações extremamente relevantes e que têm relevância na
proteção de dados:
• Diretiva ePrivacy (cookies, marketing direto);
• Legislações nacionais dos Estados-Membros.
• Última versão atualizada: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX:02016R0679-20160504

Slide 17
 Aplicação territorial da GDPR

• O Regulamento é
aplicável nos 27
Estados-Membros da
União Europeia (azul) e
ainda em Liechtenstein,
na Noruega e na Islândia
(verde).

Slide 18
 Atenção: aplicação extraterritorial da GDPR

• Empresas brasileiras (ou quaisquer outras

externas à AEE) são obrigadas a cumprir o RGPD
RGPD se:
• As atividades do seu estabelecimento são
realizadas no território da União
independentemente de o tratamento ocorrer
dentro ou fora da União;
• Houver tratamento de dados de titulares que
se encontrem no território da UE por um
controlador ou operador externo à UE se este:
• Oferecer bens ou serviços a tais titulares, mesmo Empresas
que de maneira gratuita; Art. 3º
• Houver controle do comportamento de tais titulares brasileiras
enquanto estes estiverem no território da UE.

Slide 19
 Atenção: aplicação extraterritorial da GDPR

Com escritório na Europa

Aplica-se o RGPD
Tratamento de dados no Brasil

Empresa com sede no Brasil

Sem escritório na Europa
Tratamento de dados no Brasil Aplica-se o RGPD
Prospecção clientes na Europa

Trata dados de cidadãos brasileiros

• “E o que minha empresa Tratamento é realizado por empresa Aplica-se o RGPD

portuguesa

tem a ver com isso?” Oferece app de geolocalização (mapas)

Aplica-se o RGPD
Se houver mapas de cidades europeias

Agência de viagens BR
Oferece pacotes em português, inglês,
Aplica-se o RGPD
francês e espanhol
Aceita pagamentos em euros

Agência de viagens BR
Oferece pacotes em português, inglês, Não se aplica o RGPD
francês e espanhol

Slide 20
 Apresentação comparada GDPR x LGPD: visão geral

• Visão geral da estrutura: LGPD – Lei Geral de Proteção de Dados Pessoais

• Composta por 65 artigos.
• Entrará em vigor... Em breve!
• Há outras legislações extremamente relevantes para o Brasil:
• Marco Civil da Internet;
• LAI – Lei de Acesso à Informação;
• Código de Defesa do Consumidor;
• Código Civil (parte de responsabilidade civil);
• Estatuto da Criança e do Adolescente.
• Última versão atualizada: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709compilado.htm

Slide 21
 Aplicação (extra)territorial da LGPD

• A LGPD aplica-se a qualquer operação de tratamento

realizada por pessoa natural ou por pessoa jurídica de
direito público ou privado, independentemente do
meio, do país de sua sede ou do país onde estejam
localizados os dados, desde que:
• I – a operação de tratamento seja realizada no território
nacional;
• II – a atividade de tratamento tenha por objetivo a oferta ou
o fornecimento de bens ou serviços ou o tratamento de
dados de indivíduos localizados no território nacional; ou
• III – os dados pessoais objeto do tratamento tenham sido
coletados no território nacional.
• § 1º Consideram-se coletados no território nacional os dados
pessoais cujo titular nele se encontre no momento da coleta.

Slide 22
O que é dado pessoal?

Slide 23
Apresentação comparada GDPR x LGPD: dado pessoal

• Artigo 4.º, n.º 1 do RGPD: “informação relativa a uma pessoa singular

identificada ou identificável («titular de dados pessoais»)”.

• Versão em inglês: “any information relating to an identified or identifiable natural

person”.

• Art. 5º, inciso I da LGPD: “informação relacionada a pessoa natural

identificada ou identificável”.

Slide 24
 Apresentação comparada GDPR x LGPD: os dados
sensíveis

• Artigo 9.º, n.º 1 do RGPD: “dados pessoais que revelem a origem racial ou
étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a
filiação sindical, bem como o tratamento de dados genéticos, dados
biométricos para identificar uma pessoa de forma inequívoca, dados
relativos à saúde ou dados relativos à vida sexual ou orientação sexual de
uma pessoa”.
• Art. 5º, inciso II da LGPD: “dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado a uma pessoa
natural”.

Slide 25
 Apresentação comparada GDPR x LGPD: os dados
sensíveis

• No Regulamento europeu o tratamento de dados sensíveis é proibido, a

não ser que o tratamento se enquadre em uma das exceções previstas – a
principal é o consentimento explícito.

• Na LGPD não há proibição, mas algumas bases legais não podem ser
utilizadas para o tratamento deste tipo de dado (especialmente, legítimo
interesse).

Slide 26
 Apresentação comparada GDPR x LGPD:
dados pseudonimizados x dados anonimizados
• Artigo 4.º, n.º 5 do RGPD: “«Pseudonimização», o tratamento de dados
pessoais de forma que deixem de poder ser atribuídos a um titular de
dados específico sem recorrer a informações suplementares, desde que
essas informações suplementares sejam mantidas separadamente e
sujeitas a medidas técnicas e organizativas para assegurar que os dados
pessoais não possam ser atribuídos a uma pessoa singular identificada ou
identificável.”
• Art. 13, § 4º da LGPD: “Para os efeitos deste artigo, a pseudonimização é o
tratamento por meio do qual um dado perde a possibilidade de associação,
direta ou indireta, a um indivíduo, senão pelo uso de informação adicional
mantida separadamente pelo controlador em ambiente controlado e
seguro.”
Slide 27
 Apresentação comparada GDPR x LGPD:
dados pseudonimizados x dados anonimizados

• Considerando 26 do RGPD: “Os princípios da proteção de dados não

deverão, pois, aplicar-se às informações anônimas, ou seja, às informações
que não digam respeito a uma pessoa singular identificada ou identificável
nem a dados pessoais tornados de tal modo anônimos que o seu titular
não seja ou já não possa ser identificado. O presente regulamento não diz,
por isso, respeito ao tratamento dessas informações anônimas, inclusive
para fins estatísticos ou de investigação.”
• Art. 5º, inciso III da LGPD: “dado anonimizado: dado relativo a titular que
não possa ser identificado, considerando a utilização de meios técnicos
razoáveis e disponíveis na ocasião de seu tratamento.”

Slide 28
Apresentação comparada GDPR x LGPD:
dados pseudonimizados

Slide 29
 Apresentação comparada GDPR x LGPD:
dados anonimizados
Os dados pessoais que foram anonimizados não estão sujeitos
às leis de proteção de dados.

A anonimização pode, portanto, ser um método para limitar

seu risco e também um benefício para os titulares dos dados.

Anonimizar dados sempre que possível é incentivado.

A anonimização é uma atividade de tratamento de dados

pessoais – precisa de base legal.

Slide 30
 Apresentação comparada GDPR x LGPD: titular

• Artigo 4.º, n.º 1 do RGPD: “é considerada identificável uma pessoa singular

que POSSA ser identificada, direta ou indiretamente, em especial por
referência a um identificador, como por exemplo um nome, um número de
identificação, dados de localização, identificadores por via eletrônica ou a
um ou mais elementos específicos da identidade física, fisiológica,
genética, mental, econômica, cultural ou social dessa pessoa singular”.

• Art. 5º, inciso V da LGPD: “titular: pessoa natural a quem se referem os

dados pessoais que são objeto de tratamento”.

Slide 31
O que é atividade de tratamento?

Slide 32
 Apresentação comparada GDPR x LGPD: atividade de
tratamento
• Artigo 4.º, n.º 2 do RGPD: “uma operação ou um conjunto de operações
efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por
meios automatizados ou não automatizados, tais como a recolha, o registo, a
organização, a estruturação, a conservação, a adaptação ou alteração, a
recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou
qualquer outra forma de disponibilização, a comparação ou interconexão, a
limitação, o apagamento ou a destruição”.
• Art. 5º, inciso X da LGPD: “toda operação realizada com dados pessoais,
como as que se referem a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração”.
Slide 33
Apresentação comparada GDPR x LGPD: controlador

• Artigo 4.º, n.º 7 do RGPD: “a pessoa singular ou coletiva, a autoridade

pública, a agência ou outro organismo que, individualmente ou em
conjunto com outras, determina as finalidades e os meios de tratamento
de dados pessoais”.

• Art. 5º, inciso VI da LGPD: “pessoa natural ou jurídica, de direito público

ou privado, a quem competem as decisões referentes ao tratamento de
dados pessoais”.

Slide 34
 Apresentação comparada GDPR x LGPD: operador

• Artigo 4.º, n.º 8 do RGPD: “uma pessoa singular ou coletiva, a autoridade

pública, agência ou outro organismo que trate os dados pessoais por conta
do controlador destes”.

• Art. 5º, inciso VII da LGPD: “pessoa natural ou jurídica, de direito público
ou privado, que realiza o tratamento de dados pessoais em nome do
controlador”.

Slide 35
Apresentação comparada GDPR x LGPD: identificando o
controlador e o operador

O operador exerce suas atividades

de acordo com as diretrizes gerais
O controlador determina as
que são fornecidas principalmente
finalidades e os meios de
em relação às finalidades e não
tratamento de dados pessoais – o
lida com os detalhes a respeito dos
“porquê” e o “como”.
dados pessoais como recursos a si
disponíveis.

Slide 36
 Apresentação comparada GDPR x LGPD: direitos do titular
RGPD LGPD
Direito à informação e comunicação transparentes Informação das entidades públicas e privadas com as quais o controlador realizou
uso compartilhado de dados; Informação sobre a possibilidade de não fornecer
consentimento e sobre as consequências da negativa; Direito à informação e
comunicação transparentes
Direito de acesso Confirmação da existência de tratamento; Acesso aos dados
Direito de retificação Correção de dados incompletos, inexatos ou desatualizados
Direito ao apagamento (o controlador deve informar a terceiros) Eliminação dos dados pessoais tratados com o consentimento do titular, exceto
nas hipóteses previstas no art. 16 da Lei
Direito à limitação do tratamento Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou
tratados em desconformidade com o disposto na Lei
Direito de portabilidade Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante
requisição expressa do titular
Direito de oposição (especialmente ao legítimo interesse do controlador) Opor-se a tratamento realizado com fundamento em uma das hipóteses de
dispensa de consentimento, em caso de descumprimento ao disposto na LGPD
Direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com Solicitar a revisão de decisões tomadas unicamente com base em tratamento
base no tratamento automatizado, incluindo a definição de perfis, que produza automatizado de dados pessoais que afetem seus interesses, incluídas as
efeitos na sua esfera jurídica ou que o afete significativamente de forma similar decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de
crédito ou os aspectos de sua personalidade
Revogação do consentimento
Peticionar em relação aos seus dados contra o controlador perante a ANPD

Slide 37
Apresentação comparada GDPR x LGPD: princípios
RGPD LGPD

Licitude, lealdade e transparência Adequação, Transparência

Limitação das finalidades Finalidade

Minimização dos dados Necessidade

Exatidão Qualidade dos dados

Limitação da conservação Necessidade

Integridade e confidencialidade Segurança, Prevenção*

Responsabilidade Responsabilização e prestação de contas

Livre acesso

Não discriminação
Slide 38
 Apresentação comparada GDPR x LGPD: bases legais
RGPD LGPD
Consentimento Consentimento

Cumprimento de uma obrigação jurídica a que o controlador esteja sujeito Cumprimento de obrigação legal ou regulatória pelo controlador

Pela administração pública para a execução de políticas públicas

Para a realização de estudos por órgão de pesquisa

Execução de um contrato no qual o titular dos dados é parte, ou para Execução de contrato ou de procedimentos preliminares a pedido do titular
diligências pré-contratuais a pedido do titular dos dados dos dados
Exercício regular de direitos em processo judicial, administrativo ou arbitral

Defesa de interesses vitais do titular dos dados ou de outra pessoa singular Proteção da vida ou da incolumidade física do titular ou de terceiro

Tutela da saúde, exclusivamente, em procedimento realizado por

profissionais de saúde, serviços de saúde ou autoridade sanitária
Interesses legítimos prosseguidos pelo controlador ou por terceiros Interesses legítimos do controlador ou de terceiro

Proteção do crédito

Exercício de funções de interesse público ou ao exercício da autoridade

pública de que está investido o controlador

Slide 39
 Apresentação comparada GDPR x LGPD: o DPO

• Não há definição no RGPD!

• Art. 5º, inciso VIII da LGPD: “pessoa indicada pelo controlador e operador
para atuar como canal de comunicação entre o controlador, os titulares
dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

Slide 40
Apresentação comparada GDPR x LGPD: nomeação do DPO

RGPD
• Autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
• As atividades principais do controlador ou do operador exigem controle regular e sistemático dos titulares em grande escala;
• As atividades principais do controlador ou do operador consistam em operações de tratamento em grande escala de
categorias especiais de dados ou de dados pessoais relacionados com condenações penais e infrações (artigo 10.º do RGPD).

Na LGPD (até o momento – 12 de setembro de 2020): “Art. 41. O controlador deverá indicar
encarregado pelo tratamento de dados pessoais” → todas as empresas.

Slide 41
 Apresentação comparada GDPR x LGPD: o DPO
Informa e aconselha o controlador ou o operador, bem como os trabalhadores que tratem os dados, a respeito
das suas obrigações nos termos do RGPD e de outras disposições de proteção de dados da União ou dos
Estados-Membros;

Controla a conformidade com o RGPD, com outras disposições de proteção de dados da União ou dos Estados-
Membros e com as políticas do controlador ou do operador relativas à proteção de dados pessoais, incluindo a
repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento
de dados, e as auditorias correspondentes;

• Funções do DPO Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção
no RGPD: de dados e controla a sua realização nos termos do artigo 35.º do RGPD;

Coopera com a autoridade de controle;

Ponto de contato para a autoridade de controle sobre questões relacionadas com o tratamento, incluindo a
consulta prévia a que se refere o artigo 36.º do RGPD, e consulta, sendo caso disso, esta autoridade sobre
qualquer outro assunto.

Slide 42
 Apresentação comparada GDPR x LGPD: o DPO

Aceitar reclamações e
Receber
comunicações dos
comunicações da
titulares, prestar
autoridade nacional e
esclarecimentos e
adotar providências;
adotar providências;

• Funções do DPO na LGPD:

Orientar os
Executar as demais
funcionários e os
atribuições
contratados da
determinadas pelo
entidade a respeito
controlador ou
das práticas a serem
estabelecidas em
tomadas em relação à
normas
proteção de dados
complementares.
pessoais; e

Slide 43
 O DPO e o Gestor de Privacidade

• Qual a diferença entre o DPO e o Gestor de Privacidade?

• O DPO atua de maneira independente:

• Não recebe instruções relativamente ao exercício das suas funções;
• Não pode ser destituído nem penalizado pelo agente de tratamento pelo fato de
exercer as suas funções;
• Informa diretamente a direção ao mais alto nível do agente de tratamento.
• O Gestor de Privacidade atua em nome do controlador.

• Os conhecimentos são os mesmos!

Slide 44
Os principais pontos de um programa de adequação

Mapeamento da situação atual da empresa

Análise da situação atual da empresa

Proposição de melhorias com vistas ao cumprimento das exigências legais

Criação de um sistema de manutenção contínua do programa de

privacidade

Avaliação contínua do programa de privacidade

Slide 45
 FORMAÇÃO
GESTOR DE
PRIVACIDADE
ADEQUAÇÃO

UM PROGRAMA
ESTRUTURADO PARA
ADEQUAÇÃO À LGPD E GDPR

Realização
Conteúdo atualizado em
11/09/2020
 Conteúdo do Gestor de Privacidade
NIVELAMENTO Contextualização, conceitos básicos, visão geral LGPD e GDPR.

ESTRUTURA
0 PROGRAMA Visão da organização, estabelecimento de programa de privacidade, criando uma
PRIVACIDADE equipe de privacidade, nomeação do DPO.
1
Criação e revisão de políticas e avisos de privacidade.
POLÍTICAS
Visão geral de outras políticas de apoio.
2
Diagnóstico inicial, mapeamento de processos, mapeamento de dados, registro
Formação ETAPA AVALIAR de atividades tratamento, bases legais, modelo LIA, relatório de impacto (DPIA).
3
Gestor de Práticas de segurança da informação, Privacy by design, adequação de cookies,
Privacidade ETAPA PROTEGER revisão de termos em serviços/produtos, revisão de contratos, criação de código
4 de conduta, adequação de transferência de dados e plano de treinamento.

Processo para responder ao exercício dos direitos dos titulares, plano de resposta
6 ETAPA RESPONDER a incidentes de privacidade, processo de notificação de titulares e de autoridade.

7 ETAPA MANTER Monitoramento e auditoria.

8
Criação de um plano de projeto de adequação à LGPD baseado em um
PROJETO FINAL cenário típico. Slide 47
 Benefícios da formação Gestor de Privacidade

• Formação completa focada na implementação prática.

• Único curso, único investimento.
• Prepara para atuar como Consultor, DPO ou Gestor de Programa de
Privacidade.
• Voltado para advogados, pessoal de TI, analistas de processos e
Compliance.
• Ministrado pelo Prof. Matheus Passos:
Atua na prática há mais de 2 anos com GPDR na L’Oreal Portugal e tem fornecido mentoria para
centenas de profissionais no Brasil para adequação à LGPD e GDPR.
• Alinhado com as boas as práticas da IAPP.
• Pode ser utilizado na preparação para o exame CIPM da IAPP®.
Slide 48
 Última turma do ano

Serão 6 encontros:
Aula 1 3 Out das 14h00 às 17h00
Aula 2 10 Out das 09h30 às 16h30
33 horas Aula 3 17 Out das 09h30 às 16h30
ao vivo Aula 4 24 Out das 09h30 às 16h30
Aula 5 31 Out das 09h30 às 16h30
Aula 6 7 Nov das 09h30 às 16h30

Slide 49
 Certificação Gestor de Privacidade TIEXAMES

• Requer:

• Avalição do projeto prático.

• Aprovação em um exame com 40 questões teóricas e práticas exigindo
mínimo de 80% para ser aprovado.

Slide 50
 Opcional: Certificação internacional CIPM da IAPP

• Provas em inglês feitas em centro de treinamento ou diretamente a partir

da sua casa
• Provas também em francês ou alemão para quem preferir J
• Duração, questões e acertos: 2h30min, 90 questões, entre 65% e 80% de
acerto (dependendo do módulo da questão) – mínimo de 300 pontos
(máximo 500 pontos)
• Valores:
• US$ 550 para a 1ª certificação.
• Para refazer a prova em caso de não aprovação: US$ 375 – apenas após 30 dias da
tentativa anterior.

Slide 51
 Investimento
R$ 1.990,00
50% de desconto até dia 15/09
Fica por apenas R$ 995,00
BÔNUS
• Ingresso para assistir ao vivo as
oficinas de privacidade oferecidas
pelo Prof. Matheus.
• Aula extra sobre ISO/IEC 27701 que
será oferecida no dia 26/09/2020.
• Acesso a grupo exclusivo para
networking e para tirar dúvidas.
Slide 52
 Obrigado!

Obrigado pela parceria e pela paciência J

Redes: @profmatheuspassos

https://www.linkedin.com/company/tiexames

Slide 53