Manual

LGPD
DESMISTIFICANDO A
Licenciado para - Sarah Carolina de Sales Gobo - 08741613635 - Protegido por Eduzz.com
ÍNDICE
1- APRESENTAÇÃO
2- INTRODUÇÃO
3- EXIGENCIA LEGAL
4- DOS OBJETIVOS DA LGPD
5- QUEM DEVE SE ADEQUAR À LGPD
6- DA APLICABILIDADE DA LEI
7- DA VIGÊNCIA DA LEI
8- CONCEITOS PRIMORDIAIS PARA COMPREENÇÃO DAS EXIGÊNCIAS
LEGAIS
1. DADO PESSOAL E DADOS NONIMIZADO
2. DADO SENSÍVEL
3. TRATAMENTO DE DADOS
4. BANCO DE DADOS
9- ATORES DA LEI
1. TITULAR DE DADOS
2. ENCARREGADO DE DADOS
3. AGENTES DE TRATAMENTO
4. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
10- O QUE DEVEMOS NOS PREOCUPAR PARA TRATAR DADOS PESSOAIS
1. PRINCÍPIOS
2. BASES LEGAIS
11- DIREITO DOS TITULARES
1. CONFIRMAÇÃO
2. ACESSO
3. CORREÇÃO DOS DADOS
4. ANONIMIZAÇÃO
5. PORTABILIDADE
6. ELIMINAÇÃO DOS DADOS TRATADOS POR CONSENTIMENTO
7. INFORMAÇÃO SOBRE O CONSENTIMENTO
8. REVOGAÇÃO DO CONSENTIMENTO
9. PETICIONAMENTO PERANTE A ANPD
10. OPOSIÇÃO
12- DA NECESSIDADE DE BUSCAR A SEGURANÇA E O CUMPRIMENTO DAS
BOAS PRÁTICAS
1. SEGURANÇA DA INFORMAÇÃO
13- RISCOS PELO DESCUMPRIMENTO DA LGPD
1. RISCOS PARA AS EMPRESAS
2. RISCOS PARA OS TITULARES DE DADOS
14- DO PROCESSO DE ADEQUAÇÃO À LGPD
1. DIAGNÓSTICO
2. CONCIÊNTIZAÇÃO
3. MAPEAMENTO DE DADOS
4. ANÁLISE DE RISCOS
5. PLANEJAMENTO
6. IMPLEMENTAÇÃO
7. MONITORAMENTO
15- DOS BENEFÍCIOS TRAZIDOS PELA ADEQUAÇÃO
APRESENTAÇÃO
Parabéns! Você acaba de adquirir um Guia completo para te conduzir na

adequação da sua empresa à LGPD, onde você vai entender tudo que precisa
para trazer o aculturamento da privacidade de dados para os procedimentos
adotados na sua empresa, assim como saberá o que fazer para implementar as
ações que comprovarão a adequação à LGPD em agentes de pequeno porte.
Aqui você vai encontrar os principais itens que precisam estar presentes
em um programa de conformidade, para que você possa desenvolver as etapas
do seu projeto, colocando sua empresa no caminho da conformidade.
INTRODUÇÃO
Estamos vivendo na “Era da informação”, e cada vez mais começamos a

ter consciência da importância dos dados para atividade econômica.
Seja em nossa atividade ou nos produtos e serviços que utilizamos é

possível ver o quanto é preciso ter informação sobre clientes, colaboradores e
todas as relações a serem desenvolvidas, para que assim seja possível ter mais
êxito e resultado no objetivo daquela ação.
Saber utilizar os dados da forma correta são habilidades-chaves para as

pessoas tomarem suas decisões orientadas por dados, com ética, gerando
impacto social positivo e maior resultado para sua atividade.
O surgimento do Big Data, trouxe a capacidade de executar essa tomada

de decisão baseada em dados com mais efetividade,uma vez que foi possível
uma enorme coleta de dados, aos quais foram transformados em informações e
que com a capacidade de análise utilizando o volume, variedade e velocidade,
aumentou o nível de conhecimento, tornando mais eficiente a atividade
empresarial, que deu mais precisão para tomada de decisões mais acertivas,
fazendo com que os dados sejam considerados o “Novo Petróleo”.
Essa grande capacidade de transformar dados em conhecimento, fez

surgir um novo modelo de negócio “Zero Price Advertisement Business Model”,
onde as pessoas não pagam pelo produto ou serviço de forma pecuniária, porém
pagam através do fornecimento de dados e informações.
QUANDO VOCÊ NÃO PAGA PELO PRODUTO,

O PRUDUTO É VOCÊ!
Desta forma, disseminou uma exacerbada ação de tratamento de dados de
forma indiscriminada, gerando uma utilização indevida de dados, assim como
demonstra a notícia de 16/03/2023, que relata que os Vazamento de dados entra
no ranking de reclamações dos Procons.
O IBRASP- Instituto Brasileiro de Segurança, Proteção e Privcidade de

Dados, registrou os principais incidentes registrados na mídia no ano de
2022.
Percebe-se que os dados que geram conhecimento mostraram-se um

ativo valioso para as empresas. Possuir conhecimento sobre as pessoas faz com
que muitas empresas se destaquem no mercado pela efetividade com que
conseguem chegar aos seus clientes, através da publicidade direcionada, que
inclusive passa a ter influência sobre as ações do consumidor, já que tem muito
conhecimento sobre seu público alvo, sendo que esse conhecimento passa a ser
cada vez mais individualizado, em face da grande quantidade de informações
captadas.
Assim, passou a se utilizar cada vez mais os dados pessoais causando

grande danos aos titulares de dados como por exemplo:
• Falta de transparência: Não informar ao titular de dados todos os atos que

estavam sendo realizado com suas informações;
• Uso indevido de dados: Passou a usar os dados de forma inadequada,
para fins diferentes daqueles para os quais foram coletados.
• Falta de consentimento: O titular não teve a oportunidade de escolher o
que seriam realizados com seus dados.
• Vazamento de dados: exposição de forma massiva de informações sem
as devidas precauções e segurança no que era realizado
Para resguardar os titulares de dados e estabelecer regrar para o uso dos

dados pessoais as Empresas precisam estar atentas às regras da Lei Geral de
Proteção de Dados Pessoais (Lei Federal 13.709/2018), conhecida como
“LGPD”, durante todo o ciclo de vida dos dados pessoais que serão
manuseados.
Sendo que a falta de tratamento adequado desses dados, vem trazendo

grandes danos as empresas que deixam de cumprir com seu dever legal,
podendo arcar com multas e penalizações administrativas, condenações judicias
e grandes prejuízos sociais.
Já se tem relato em reportagem de 09/03/2023 que: A ções judiciais sobre

LGPD aumentam em mais de 500% em dois anos.
Razão pela qual todos devemos entender sobre a LGPD, a fim de

compreender a forma como devemos passar a lidar com nossos dados e com os
dados dos titulares que devemos resguardar em razão da atividade que
exercemos, evitando os riscos inerentes a uso de dados.
A LGPD possibilita que o titular (tais como: clientes, colaboradores,

pessoas físicas prestadoras de serviço, dentro outras pessoas físicas) tenham
maior controle sobre o tratamento realizado com seus dados pessoais, exigindo
que as empresas forneçam sempre informações claras e completas.
Pensando nessa necessidade, esse Guia tem o objetivo de te

conscientizar a respeito das necessidades trazidas pela Lei Geral de Proteção
de Dados (LGPD), além de possibilitar que identifique as ações que devem
realizar na sua empresa para ficar em conformidade com a LGPD,
desmistificando à adequação a Lei Geral de Proteção de Dados.
EXIGÊNCIA LEGAL
A Lei Geral de Proteção de Dados (lei 13.709/18 ou “LGPD”) regulamenta
a forma pela qual as pessoas jurídicas e pessoas físicas que utilizam dados para
atividade econômica, passarão a utilizar, dados pessoais enquanto informação
relacionada à pessoa natural identificada ou identificável.
A LGPD obriga uma profunda transformação no sistema de proteção de

dados brasileiro. É uma lei que estabelece regras detalhadas para o tratamento
de dados pessoais e afetará todos os setores da economia, inclusive as relações
entre clientes e fornecedores de produtos e serviços, empregado e empregador,
relações comerciais transnacionais e nacionais, além de outras relações nas
quais dados pessoais sejam coletados, tanto no ambiente digital quanto fora
dele.
Muitos equívocos se têm pensado quando se fala em necessidade de

adequação à LGPD.
Não é raro encontrar pessoas que acham que adequação à LGPD trata-
se apenas de adequar o sistema ou software utilizado, outras que acreditam ser
apenas a adequação de contratos, tem também os que vendem apenas
segurança da informação e doutro lados os que afirmam se tratar apenas de
comprovações jurídicas.
A adequação à LGPD na verdade passa por três pilares necessários para

efetividade das ações a serem realizadas, sendo esses pilares composto por
pessoas, processos e tecnologia.
Isso mostra que os equívocos realizados sobre o que de fato é uma

adequação, fazem parte do processo, mas não é todo o processo, indo além da
individualidade de cada ação necessária, se fazendo um caminhar que engloba
todas essas necessidades.
Os pilares que norteiam a adequação à LGPD, mostram a necessidade

da multidisciplinaridade, pois existe a necessidade da colaboração de vários

setores da empresa, principalmente, nos casos de empresas de base
tecnológica.
O pilar referente a PESSOAS, estão envolvidos a necessidade de

um Encarregado de Proteção de Dados (DPO – Data Protection Officer) que
pode ser uma empresa terceirizada ou um funcionário interno da empresa, desde
que este possua conhecimento jurídico e técnico em Proteção de Dados e que
seja devidamente remunerado pelas atividades decorrentes da nova função,
trazendo ainda a necessidade de treinamento de todos os envolvidos com a
organização, e trata ainda da parte mais importante da lei que são os titulares de
dados, demonstrando ser um pilar fundamental para cumprimento do que
determina a legislação.
Com relação ao pilar de PROCESSOS, são as ações que de irão

transformar a empresa e coloca-la em conformidade legal, fazendo parte dele
algumas necessidades como diagnóstico de maturidade, mapeamento de dados,
análise de risco e criação das documentações e procedimentos necessários para
nortear e gerir o que for implementado.
Falando agora no pilar de TECNOLOGIA, são as ações voltadas para a

segurança da informação, que buscam trazer a proteção buscada pela legislação
aos dados pessoais, através de estabelecer processos e tecnologias que visam
garantir o cumprimento das ações mitigadoras em razão dos riscos identificados.
Desta forma, é possível concluir que não existe um pilar mais importante
que o outro, e que uma adequação não se faz sem que haja a plena harmonia
nas ações que fazem parte da cada um deles.
DOS OBJETIVOS DA LGPD
É preciso estar conciênte que à LGPD não veio inviabilizar os modelos de

negócios, muito pelo contrario, ela tem a função de fomentar o desenvolvimento

ecônomico e tecnológico das empresas, uma vez que o desenvovimento
empresarial se da através do conhecimento sobre dados, possibilitando que
todas as empresas tenha iguais direitos sobre a capacidade de processamento
desses dados, que transformados em conhecimento possam dar melhor
resultados as empresas.
E para que essa ação seja realizada sem prejudicar os titulares de dados,
à LGPD veio proteger direitos e liberdades fundamentais como o respeito a
privacidade através da autodeterminação informativa, fazendo com que fosse
devolvido ao titular o direito de dizer o que será realizado com seus dados,
obrigando com que as empresas tragam mais transparência para seus
processos e procedimentos, trazendo um jogo “ganha, ganha” para o tratamento
dos dados pessoais.
Conforme mencionada na introdução, diante do uso inadequado das

informações e dos abusos cometidos com o uso dos dados, foi preciso que à
LGPD viesse para proteger nosso direitos fundamentais, garantido ao titular de
dados o direito de dizer o que será realizado com suas informações, através da
autodeterminação informativa, tendo como seu objetivo proteger os direitos
elencado no art. 2 º da LGPD:
Art. 2º A disciplina da proteção de dados pessoais tem como

fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e

de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do

consumidor; e
VII - os direitos humanos, o livre desenvolvimento da

personalidade, a dignidade e o exercício da cidadania pelas pessoas
naturais.
A importância dos direitos à privacidade e proteção de dados pessoais

demonstrou ser fundamental a dignidade da pessoa humana, razão pela qual foi
promulgada a Emenda Constitucional 115, que inclui a proteção de dados
pessoais no art. 5º da Constituição Federal, ao trata dos direitos e garantias
fundamentais previstos na Constituição Federal.
Essa medida buscou fortalecer ainda mais o princípio da liberdade e demonstrar

o comprometimento da nação brasileira com os direitos humanos em um mundo
cada vez mais digital.
QUEM DEVE SE ADEQUAR À LGPD

ART. 3º DA LGPD
Todas as pessoas Jurídicas de direito privado ou público devem se

adequar à LGPD quando coletarem dados de pessoas naturais, ou seja, tem
CNPJ, precisa se adequar, tendo ou não fins lucrativos.
Toda pessoa física que utiliza os dados pessoais para atividade

econômica, também precisa adequar-se e ficar em conformidade com o que
determina à LGPD, demonstrando que profissionais liberais e autônomos
possuem a obrigação de cumprir o dever legal.
DA APLICABILIDADE DA LEI
É muito importante entender a amplitude da aplicação da LGPD, e

para isso vamos analisar o art. 3º da LGPD:
Art. 3º, LGPD. Esta Lei aplica-se a qualquer operação de

tratamento realizada por pessoa natural ou por pessoa jurídica
de direito público ou privado, independentemente do meio, do
país de sua sede ou do país onde estejam localizados os dados,
desde que:
I – a operação de tratamento seja realizada no território
nacional;
II – a atividade de tratamento tenha por objetivo a oferta ou o
fornecimento de bens ou serviços ou o tratamento de dados de
indivíduos localizados no território nacional; ou
III – os dados pessoais objeto do tratamento tenha sido
coletados no território nacional.
• 1º Consideram-se coletados no território nacional os dados
pessoais cujo titular nele se encontre no momento da coleta.
• 2º Excetua-se do disposto no inciso I deste artigo o tratamento
de dados previsto no inciso IV do caput do art. 4º desta Lei.
O presente artigo deixa claro que a LGPD possui eficácia extraterritorial ,

ou seja, sua aplicação independe do meio, do país de sua sede ou do país onde
estejam localizados os dados pessoais, desde que os dados tenham sido
coletados no Brasil, ou o titular estava no brasil no momento da coleta.
Nesse sentido, ainda que os dados estejam localizados fora do Brasil, a

LGPD será aplicável, desde que sejam observados os requisitos alternativos

previstos no art. 3º da Lei, que são a conexão com o território brasileiro.
DA VIGÊNCIA DA LEI
Se você ainda não adequou sua empresa, saiba que ela já está
capacitada para receber multas e condenações, tendo em vista que a LGPD está
em vigor desde 18 de setembro de 2020 (art. 65, II) e suas sanções
administrativas entrarão em vigor em 1º de agosto de 2021 (art. 65, I–A).
A que ainda que se relatar, que muitos pontos relevantes da legislação já

foi regulamentado pela ANPD – Autoridade Nacional de Proteção de Dados,
sendo que por último foi publicado a dosimetria da pena, o que possibilitou o
início das atividades de fiscalização pela ANPD, tendo a mesma inclusive
publicado lista de empresas e órgãos públicos que estão passando por
processos sancionatório, fato que demonstra ainda mais a urgência na busca da
adequação à LGPD, tendo em vista que essa publicização negativa, pode ser
mais degradante para empresa do que a imposição de uma multa.
CONCEITOS PRIMORDIAIS PARA COMPREENÇÃO

DAS EXIGÊNCIAS LEGAIS
1- DADO PESSOAL E DADO ANONIMIZADO
O primeiro conceito básico trazido pela LGPD, é o de Dado Pessoal,

sendo que de acordo com a Lei, é qualquer informação relacionada a uma
pessoa natural identificada ou identificável, independentemente do meio em
que esteja contida (meio físico ou eletrônico).
Sendo assim, dados identificados, são os dados básicos, já conhecidos

por todos nós como nome, RG, CPF, telefone, endereço, data de nascimento,
dentre outros que facilmente levaria a nos identificar e que na maioria das vezes
é coletado em fase inicial da relação contratual ou cadastral.
Entretanto a lei traz uma visão ampla de dado pessoal, passando a afirmar
que dados identificáveis também são considerados dados pessoais, o que
amplia o leque de possibilidades de que as informações tratadas sejam
consideradas dados pessoais, quando agrupadas com outros dados venham a
diferenciar os indivíduos.
Exemplos: O uso do CPF para a concessão de descontos se tornou

generalizado. Você já deve ter sido indagado na farmácia, por exemplo, sobre o
número do seu. O atendente informa que se trata de um programa de benefícios,
mas essa coleta aliada a coleta dos tipos de medicamentos consumidos, pode
se tornar um grande ativo de informações sobre você, gerando um grande banco
de dados que pode ser compartilhada com planos de saúde. “Por isso, é
importante questionar para qual finalidade o número do CPF está sendo
requerido”.
E essas finalidade de análise dos dados devem ser transparente a você,

titular de dados, razão pela qual uma rede farmácia foi multada por tratamento
irregular dos dados.
Fiscalização constatou que a rede de farmácias obtinha a autorização dos

clientes para o tratamento e uso de seus dados de forma irregular. Multa é
de R$ 572.680,71.
Quando falamos em dados anonimizados, estamos falando em

informações que não permiti, em hipótese alguma, a identificação de seu titular,
e estão fora do escopo de aplicação da LGPD, uma vez que perdem a
possibilidade de associação, direta ou indireta, a um indivíduo.
É preciso entender, que um dado só é considerado de fato anonimizado

se não permitir que seja reconstruído o caminho para "descobrir" quem era a
pessoa titular do dado, pois se de alguma forma a identificação ocorrer, então
ele não é, de fato, um dado anonimizado e sim, apenas, um dado
pseudoanimizado e estará, então, sujeito à LGPD.
O Professor Danilo Doneda, definiu o dado pseudoanonimizado como

sendo um mecanismo de disfarce da identidade, substituindo-se um atributo por
outro. Nele dados pessoais são tratados de forma a não poderem mais ser
atribuídos ao respectivo titular sem recorrer à outras informações a ele
correlatas. Sendo assim, tais informações suplementares são mantidas
separadamente e sujeitas à medidas técnicas e organizativas para assegurar a
desvinculação do dado pessoal ao seu titular. (MACHADO; DONEDA, 2018.)
Os dados anonimizados são importantes para o crescimento e

aprimoramento da inteligência artificial, da internet das coisas, do aprendizado

das máquinas, das cidades Inteligentes, da análise de comportamentos.
Como forma de aperfeiçoar a qualidade e segurança das informações das

organizações, são usados dados anonimizados, que qualificam a tomada de
decisão e aperfeiçoa a segurança da informação, gera mais confiança nos
serviços oferecidos e passa a entender melhor seus públicos.
2- DADO SENSÍVEL
Há alguns tipos de Dados Pessoais que são classificados como sensíveis

pela LGPD e necessitam de uma proteção especial, tendo em vista seu potencial
caráter discriminatório.
Dados Pessoais Sensíveis são aqueles que se referem a: origem racial

ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a
organização de caráter religioso, filosófico ou político; dado referente à saúde ou
à vida sexual; e dado genético ou biométrico, quando vinculado a uma pessoa
natural.
Como resultado, esses dados pessoais demandam maior atenção durante

seu tratamento. As pessoas a quem se referem os dados pessoais, como
colaboradores, clientes e outros, são chamadas pela Lei de titulares de dados.
Se sua empresa trata dados sensíveis é preciso entender se de fato esse

tratamento é necessários, e quais ações imediatas é preciso realizar para
proteger esses dados pessoais, assim como entender se é necessário o
consentimento para tratamento desses dados, levando a agir imediatamente
para resguardar a segurança desse tratamento de dados, para que não venha a
responder pelos riscos advindos do tratamento indevido de dados.
Como exemplo, uma empresa que trata dados sensível deve ter
consentimentos bem elaborados e finalidades bem determinadas, além de

possuir cuidados específicos com segurança da informação, como segmentação
de acesso, elaboração de inventário de dados e relatório de impacto a proteção
de dados.
Mas a frente será explicado a respeito das bases legais, e você verá
que o tratamento de dados realizado com bases sensíveis devem se
fundamentar em bases legais diferentes dos demais dados, uma vez que a
legislação busca dar mais autonomia para o titular permitir ou não o uso
dessas informações, a fim de que seja utilizado apenas se estritamente
necessário ou sendo através do consentimento do titular.
3- TRATAMENTO DE DADOS
A lei também define o Tratamento de dados pessoais como “toda

operação realizada com dados pessoais”, e em seguida exemplifica: “como
as que se referem a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração”.
Dessa forma, qualquer atividade/operações com dados realizadas nas

empresas, que utilize dados pessoais, deverá observar as regras da LGPD, já
que toda ação realizada com os dados é considerada tratamento de dados.
Sendo que a LGPD veio exatamente para regulamentar a forma como se

deve realizar esse tratamento de dados com o objetivo de trazer transparência e
proteção dos direitos e garantias fundamentais para essas ações.
4- BANCO DE DADOS
Conceitualmente falando banco de dados são um conjunto de

informações estruturadas que servem para sustentação das operações de
determinada empresa, sendo utilizados para representar os dados
analiticamente e apoiar em decisões estratégicas.
Para efetividade de uma empresa é formalizado bancos de dados em

diversas áreas, como forma de organizar e tornar efetivo a governança das
informações.
Cada vez mais contamos com a Inteligência artificial para gerenciar e

gerar relatórios para análises dos dados, para que as áreas estratégicas
consigam visualizar todo o necessário, embasando sua tomada de decisão.
Dessa forma, esse conjunto de informação fica armazenado em um local,

como um sistema de nuvem ou em um servidor físico, para eventual consulta
nos processos que os envolvam, necessitando de cuidados voltados a proteção
da privacidade de dados.
Assim, é preciso que a empresa tenha mapeado todos os seus bancos de

dados existentes em cada setor da empresa para passar a ter consciência de
todas as informações que detém e as necessidades de segurança de informação
para cada local de armazenamento.
ATORES DA LEI
TITULAR DE DADOS
É de fato quem a lei busca resguardar, sendo então as pessoas físicas,

vivas, a quem se refere os dados pessoais.
É preciso atenção nesse conceito, uma vez que alguns equívocos são
gerados em relação a quem a lei busca proteger, a LGPD não incide sobre dados
de pessoas jurídicas, sendo assim informações referentes às empresas como
CNPJ, telefone, endereço, razão social, nome fantasia e outros análises
referente a pessoas jurídicas, devem buscar proteções em legislações próprias,
vez que a LGPD busca resguardar informações de pessoas naturais.
O principal objetivo da LGPD é devolver aos titulares de dados o direito

da autodeterminação informativa e do livre desenvolvimento da personalidade,
fato que tornou o direito de proteção à privacidade de dados pessoais, direito
fundamental, inserida na Constituição Federal pela Emenda Constitucional
115/2022.
O direito fundamental à proteção de dados assume particular relevância

que concede ao legislador infraconstitucional poder para efeito de estabelecer
intervenções restritivas no âmbito de proteção do direito, implicando, por outro
lado, a observância das exigências do cumprimento da Lei, sob pena da
inconstitucionalidade, vindo a suprir as lacunas regulatórias deixadas pela
LGPD, deixando de existir uma "zona livre" de proteção dos dados pessoais na
ordem jurídica brasileira.
Concluindo percebe-se que a Lei buscou todas as formas de fazer

com que você, eu e todas as pessoas físicas tivéssemos de volta o direito
de dizer o que será realizado com nossas informações, nos possibilitando
exigir explicações e informações das empresas sobre os tratamentos de
dados realizados.
ENCARREGADO DE DADOS
A LGPD determina a necessidade de um responsável para garantir a

efetividade da proteção à privacidade de dados nas empresas, sendo
nomeado pela lei como Encarregado de Proteção de Dados (Art. 41).
A função está reconhecida na Classificação Brasileira de Ocupações

(CBO), sendo obrigatório sua contratação para grande maioria das empresas,
tendo apenas algumas poucas exceções que foram isentas dessa necessidade,
tendo ele a responsabilidade pela continuidade dos procedimentos adotados na
adequação à LGPD, pelas atualizações e manutenção da cultura de proteção
dados e ainda responsável para responder as solicitações do titulares de dados
com relação aos direitos trazidos pela LGPD, além de ser quem será cadastrado
na ANPD para responder em casos de incidentes de segurança.
O Encarregado pode ser pessoa física ou jurídica, podendo ser um

funcionário da organização ou um agente externo, que nesse caso costuma ser
popularmente chamado de “DPO as a service”.
Como uma boa prática o encarregado deve ser indicado por um ato
formal, como um contrato de prestação de serviços ou um ato administrativo.
É importante garantir que o encarregado tenha liberdade na realização de

suas atribuições e recursos adequados para realizar suas atividades, o que pode
incluir recursos humanos, tempo (prazos apropriados), finanças e infraestrutura.
Inicialmente é preciso entender que como regra geral, que toda

organização deverá indicar uma pessoa para assumir essa função. Porém,
em cumprimento ao estabelecido no § 3º do art. 41, a ANPD publicou a
Resolução CD/ANPD nº 2, de 27 janeiro de 2022, que aprova o Regulamento de
Aplicação da LGPD para Agentes de Tratamento de Pequeno Porte, que traz
hipótese de dispensa da necessidade de indicação do encarregado, sendo
exceção e não regra.
Contudo o próprio regulamento também traz as exceções, onde no seu

artigo 4º, inciso II, alínea d, informa que aqueles que tratam dados sensíveis, que
tratam dados de crianças e adolescentes ou que tratam grande quantidade de
dados, ainda que sejam de pequeno porte estão obrigados a ter um encarregado
de dados.
Assim, verifica-se que muitos foram excluídos dos benéficos trazidos por
esse regulamento, devendo cumprir integralmente as necessidades exigidas

pela LGPD.
AGENTES DE TRATAMENTO
A LGPD traz as figuras do Controlador e Operador de dados, definindo-
os como agentes de tratamentos de dados.
Serão Controladores de dados, pessoas físicas ou jurídicas quando

atuarem de acordo com os próprios interesses, com poder de decisão sobre as
finalidades e os elementos essenciais de tratamento, a grosso modo, serão as
determinam o que será realizado com os dados dentro daquela empresa ou
atividade.
Serão Operadores de dados, pessoas físicas ou jurídicas quando

atuarem de acordo com os interesses do controlador, sendo-lhes facultada
apenas a definição de elementos não essenciais à finalidade do tratamento, ou
seja, aqueles que recebem tratam dados compartilhados pelos controladores
para finalidade determinada por eles.
Devemos ter alguns cuidados ao interpretar esses conceitos, pois

facilmente ocorrem classificações equivocadas em razão da errônea
interpretação.
Como por exemplo, concluir que operadores de dados seriam os

colaboradores da empresa, o que é um verdadeiro engano, uma vez que o
operador deve ser uma pessoa física ou jurídica distinta do controlador , isto é,
que não atua como profissional subordinado a este ou como membro de seus
órgãos, assim não se considera como operador os controladores conjuntos, ou
indivíduos subordinados, tais como os funcionários, os servidores públicos ou as
equipes de trabalho de uma organização, tendo em vista que atuam sob o poder
diretivo do agente de tratamento.
Outro erro que pode ocorrer é acreditar que uma entidade pode figurar
apenas como um agente de tratamento, se definindo apenas controlador ou
apenas operador.
Na verdade, o agente de tratamento é definido para cada operação de

tratamento de dados pessoais, portanto, a mesma organização poderá ser
controladora e operadora, de acordo com sua atuação em diferentes operações
de tratamento.
Um bom exemplo disso é o contador, que pode ser pessoa física ou

jurídica, que atua hora como controlador, quando determina a finalidade das
ações a serem realizadas com os dados coletados e também pode figurar como
operador, quando recebe dados de outra entidade com finalidade especifica e
determinada por esse controlador.
Os agentes de tratamento, controlador e operador, possuem várias

obrigações conforme determina a LGPD:
1. Obter consentimento do titular, quando necessário (Art. 7, parágrafo 5);

2. Provar que o consentimento foi obtido de acordo com a lei (Art. 8,
Parágrafo 2);
3. Tratar os dados de acordo com a finalidade (Art. 10, caput, parágrafo 1 e
2);
4. Informar ao titular sobre as mudanças de finalidade (Art.9, parágrafo 2);
5. Manter pública informações sobre tratamento de dados de crianças e
adolescentes (Art. 14, parágrafo 2);
6. Definir normas, boas práticas, procedimentos, padrões, obrigações
mecanismos de mitigação supervisão quanto ao tratamento de dados
pessoais (Art. 50);
7. Armazenar dados não eliminados após o término do tratamento para
atendimento a obrigação legal ou regulatória e anonimizar, quando
possível (Art.16 IV);
8. Confirmar a existência e prover acesso quando solicitado pelo titular de
dados (Art.20, parágrafo 1)
9. Comunicar a ANPD e aos titulares de dados a ocorrência de incidentes
de segurança que possam acarretar em risco ou dano relevante aos
titulares (Art.48)
10. Adotar medidas de segurança técnica, administrativas para proteger os
dados pessoais de acesso não autorizados ou acidentais que possam
causar perda, destruição, alteração, comunicação (Art.42);
11. Reparar danos causados direta ou indiretamente por falhas no
processamento de dados pessoais (Art. 42)
12. Manter os registros sobre tratamentos de dados pessoais e sensíveis
(Art.37 e 38)
13. Indicar DPO- Data Protection Officer (também chamado encarregado de
dados ou oficial de proteção de dados), informar publicamente o nome e
contato quando necessário (Art. 23 e 41)
14. Quando o controlador, orientar o operador sobre o tratamento de dados
pessoais que com ele compartilhar (Art39);
15. Comunicar ao titular de dados sobre o uso de decisões automatizadas,
sempre que solicitado (Art.20).
Esses dois agentes de tratamento, controlador e operador, compartilham a

responsabilidade solidária trazida no artigo 42 da LGPD:
Art. 42. O controlador ou o operador que, em razão do exercício

de atividade de tratamento de dados pessoais, causar a outrem dano
patrimonial, moral, individual ou coletivo, em violação à legislação de
proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos

dados:
I - o operador responde solidariamente pelos danos causados

pelo tratamento quando descumprir as obrigações da legislação de
proteção de dados ou quando não tiver seguido as instruções lícitas

do controlador, hipótese em que o operador equipara-se ao
controlador, salvo nos casos de exclusão previstos no art. 43 desta
Lei;
II - os controladores que estiverem diretamente envolvidos no

tratamento do qual decorreram danos ao titular dos dados respondem
solidariamente, salvo nos casos de exclusão previstos no art. 43 desta
Lei.
Em razão dessa responsabilidade solidária o titular de dados pode exigir

de um ou de todos os agentes de tratamento ao mesmo tempo a completude da
obrigação devida, referente ao dano causado.
Tal fato traz a necessidade de exigir das pessoas jurídicas ou físicas com
quem a empresa se relaciona, que se adequem à LGPD, estabelecendo ações
que protejam a privacidade dos dados pessoais e estabelecendo contratos
claros e específicos sobre as ações realizadas com os dados e suas
responsabilidades.
Desta forma, empresas adequadas, buscaram cada vez mais a se

relacionar com empresas que tenham os mesmos cuidados com os dados
pessoais, vez que não terão interesse em se colocar em risco para estabelecer
relações com empresas que possam gerar riscos a sua atividade.
O fato é que, em face a não adequação, muitas empresas sofrerão com

não contratação, ou não renovação dos contratos e até mesmo cancelamento
de contratos por falta de adequação, visto que um empresa em conformidade
não se relacionará com uma empresas em desconformidade com a LGPD.
AUTORIDADE NACIONAL DE PROTEÇÃO DADOS
Outra figura trazida pela lei é a AUTORIDADE NACIONAL DE

PROTEÇÃO DE DADOS (ANPD), órgão da administração pública responsável
por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o Brasil.
A ANPD está em regulamentação e muitas das ações inerentes a ela

estavam sendo exercidas por outros órgão fiscalizadores, como por exemplo o
PROCON, entretanto, hoje a ANPD se encontra totalmente pronta, tendo
publicado seu último documento de regulamentação em 27/02/2023, sendo ele
referente a dosimetria da pena a ser imposta pelo órgão fiscalizador, já tendo
iniciado sua atuação em processos de julgamento de seu primeiro estoque de
empresas que cometeram violações.
No site da ANPD, tem toda instrução necessária para que os titulares de

dados denunciem as empresas que vem descumprindo a LGPD, vindo a citar
algumas infrações que devem ser denunciadas.
Como é possivel verificar na imagem do site, as empresas que

realizam tratamento discriminatório, coletarem dados escessivamente, não
possuirem um encarregado de dados, não possuirem um canal de direito
dos titulares, não possuirem uma segurança da informação adequada, não
possuirem politica de privacidade, dentre outras infrações a norma deve
ser denunciada para que a ANPD tome as devidas providências.
A ANPD ainda busca orientar os agentes de tratamento com relação

a proteção dos dados pessoais, formulando guias orientativos e
disponibilizando todas suas publicações como forma de direcionar na
adequação à LGPD.
O QUE DEVEMOS NOS PREOCUPAR PARA

TRATAR DADOS PESSOAIS
Após conhecer todos esses conceitos, podemos entender agora como
devemos utiliza-los para cumprir o que a LGPD determina, desta forma para
cada tratamento de dados pessoais, ou seja, para cada ação que formos realizar
com os dados, é preciso identificar se está sendo respeitado os princípios,
devendo fundamentar essa ação, em uma das bases legais taxativamente
imposta pela LGPD, justificando assim a razão do tratamento que irá realizar.
1- PRINCÍPIOS
A LGPD em todas suas exigências traz a necessidade de cumprimento e

atenção aos princípios, sendo então a base para construção de um programa de
adequação.
Todo tratamento de dados pessoais precisa ser feito de acordo com as

disposições da Lei, assim as empresas precisam conhecer as principais regras
legais, representada pelos princípios, aos quais devem ser cumpridos em sua
totalidade para cada tratamento de dados realizado.
São eles:
1- Boa-fé: Primeiro princípio trazido pela Lei e que ao qual norteia o

cumprimento das obrigações exigidas pela LGPD.
2- Finalidade: o tratamento de dados pessoais deverá ser realizado
unicamente para o cumprimento de objetivos específicos e legítimos,
pré-determinados e informados ao titular, sendo que após informado
é proibido o uso para outros fins que não seja aquele ao qual foi
dados conhecimento ao titular de dados. Exemplo: Coleta-se nome,
CPF, telefone e endereço para formalização de um contrato de
compra e venda, não seve posteriormente enviar mensagens de
marketing para telefone.
3- Adequação: o tratamento de dados pessoais deverá ser realizado de
forma proporcional às finalidades informadas ao titular dos dados e
de acordo com o contexto do tratamento.
4- Necessidade (Minimização dos Dados): o tratamento deverá ser
restrito ao mínimo de dados pessoais necessários ao alcance da
finalidade pré-definida.
5- Livre acesso: deverá ser garantido aos titulares de dados a consulta
gratuita sobre a forma e a duração do tratamento, bem como sobre
a integralidade de seus dados pessoais.
6- Precisão e Qualidade dos dados: deverá ser garantido aos titulares
de dados a exatidão, clareza, relevância e atualização dos dados, de
acordo com a necessidade e para o cumprimento da finalidade de
seu tratamento.
7- Transparência: deve ser garantida ao titular informações claras,
precisas e facilmente acessíveis sobre a realização do tratamento
com seus dados pessoais.
8- Segurança e prevenção: deverão ser adotados os melhores esforços
para prevenir a ocorrência de danos aos titulares, decorrentes do
tratamento de seus dados pessoais. Além disso, os dados pessoais
deverão estar sempre protegidos contra acessos não autorizados e
situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão, durante todo o seu ciclo de vida
9- Não discriminação: o tratamento de dados pessoais não poderá ser
realizado para fins discriminatórios ilícitos ou abusivos.
10- Responsabilização e Prestação de contas: todas as evidências
capazes de demonstrar a adoção de medidas eficazes e de
comprovar a observância e o cumprimento das normas de proteção
de dados pessoais devem ser registradas e mantidas pelas
Empresas
Assim, respeitar os princípios traídos pela LGPD é o ponto de partida para

seguir no caminho da conformidade legal.
2- BASES LEGAIS
A LGPD não veio impedir ou dificultar as atividades das empresas com

dados pessoais, na verdade ela veio estabelecer as regras do jogo, para que
todos pudessem ter benefícios com os tratamentos realizados com os dados
pessoais, assim ela trouxe segurança para os titulares de dados e benefícios
para as empresas ao exigir maior governança corporativa com relação a
privacidade e proteção de dados.
Desta forma, para que seja permitido que o tratamento de dados pessoais,
deve ser fundamentado em uma das hipóteses tratamento ou também chamada
de bases legais, trazidas pela LGPD, sendo que não existe hierarquia entre
essas bases legais.
1. Consentimento do titular: A lei veio devolver ao titular de dados a

propriedade dos dados, sendo assim para utilização dessa base legal é
preciso que ele autorize a outra parte a utilizar as informações que
forneceu, sendo necessário a formalização desse processo de
consentimento seguindo os requisitos legais, sendo livre, informado,
inequívoco e para finalidade determinada.
2. Cumprimento de obrigações legais ou regulatórias pelo
controlador: o controlador precisa manusear dados por causa de regras
trazidas pelas leis ou por determinações do poder legislativo, sendo que
na atividade desempenhada não é uma opção realizar esse tratamento
de dados, mas sim uma obrigação legal a ser cumprida.
3. Pela Administração Pública: o Estado fará o tratamento e compartilhará
dados que são essenciais na realização de políticas públicas ou no
cumprimento de contratos públicos, vez que o interesse coletivo, precisa
vir acima do interesse individual, contudo deve ser visto com
ponderações, devendo cumprir todas as outras exigências trazidas pela
LGPD.
4. Para a realização de estudos por órgão de pesquisa: Essas pesquisas
devem ser realizadas por órgão ou entidade da administração pública
direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos
legalmente constituída sob as leis brasileiras, com sede e foro no País,
que inclua em sua missão institucional ou em seu objetivo social ou
estatutário a pesquisa básica ou aplicada de caráter histórico, científico,
tecnológico ou estatístico, como o IBGE, poderão solicitar os dados das
pessoas para utilização em mapeamento de índices, como por exemplo
censo demográfico ou para estruturar um panorama das organizações do
terceiro setor.
5. Para execução de contrato ou de procedimentos preliminares
relacionados a contrato do qual seja parte o titular, a pedido do titular
dos dados: o titular poderá requisitar a utilização de seus dados quando
for parte de contratos ou outros acordos iniciais.
6. Para exercício regular de direitos em processo judicial,
administrativo ou arbitral: poderá ser requerido ao titular o
compartilhamento de seus dados, em razão de processos em trâmite no

Poder Judiciário ou com a Administração Pública ou, ainda, em situações
que opta por utilizar a arbitragem.
7. Para proteção da vida ou da incolumidade física do titular ou de
terceiros: no caso de alguma ameaça à integridade física do titular ou de
pessoa relacionada, é possível que seja requerido o fornecimento de
certos dados.
8. Para tutela da saúde, exclusivamente, em procedimento realizado
por profissionais de saúde, serviços de saúde ou autoridade
sanitária: por motivos de segurança é possível que venha a ser
requisitado ao titular o compartilhamento de seus dados em situações
envolvendo profissionais da saúde ou autoridades sanitárias.
9. Para atender interesses do controlador ou terceiro: o interesse deverá
ser justificado, possível de ser identificado pelo titular e que seja legítimo.
10. Para proteção do crédito: tem o objetivo de evitar que o devedor utilize
a proteção trazida pela LGPD para se esquivar do pagamento de dívidas.
2.1. Bases Legais Para Dados Pessoais Sensíveis (art. 11)
É necessário, portanto, que uma operação de tratamento seja

fundamentada em alguma dessas bases legais, sendo que quando se fala em
dados sensíveis a legislação trouxe bases legais específicas para tratamento
desses dados, não sendo possível que se fundamente o tratamento dado por
outro motivo, se não aqueles elencados pela LEI, e quando se fala em dados
sensíveis ainda é preciso entender a hierarquia dessas hipóteses de tratamento,
sendo que deve-se entender o consentimento como fundamento principal para
o tratamento, vindo a usar as outras bases nos casos em que forem
indispensável para o tratamento daquele dado.
Sendo assim, passaram a ser oito as bases legais que podem ser usadas
para tratamento de dados sensíveis, sendo excluídas as bases legais de legitimo
interesse, execução de contrato, proteção ao crédito.
Contuso ainda ocorreram algumas particularidades, como a inclusão da

base legal de prevenção à fraude e a segurança do titular, ao qual passou a ser
aplicada em processos de identificação e autenticação de cadastros, como
objetivo de evitar fraudes.
Houve ainda a mudança da redação de uma das bases legais dispostas

no artigo 7, vez que a base legal de exercício regular de direitos em processo
judicial, administrativo ou arbitral, passa a incluir em sua redação – inclusive
em contrato, dando o entendimento que passou a englobar a base legal de
execução de contrato.
• Consentimento;
• Cumprimento de obrigação legal ou regulatória;
• Tratamento compartilhado de dados necessários à execução, pela
administração pública, de políticas públicas previstas em leis ou
regulamentos;
• Realização de estudos por órgão de pesquisa, garantida, sempre que
possível, a anonimização dos dados pessoais sensíveis;

• Exercício regular de direitos, inclusive em contrato;
• Proteção da vida ou da incolumidade física do titular ou de terceiros;
• Tutela da saúde, exclusivamente, em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária;
• Garantia da prevenção à fraude e à segurança do titular.
2.2. Para Dados de crianças e adolescentes (art. 14)
A LGPD tem um capítulo específico (Capítulo II da Seção III) que dispõe

sobre o tratamento de dados pessoais de crianças e adolescentes. O art. 14 em
especial aponta que o tratamento dos dados pessoais de crianças e
adolescentes deverá ser realizado em seu melhor interesse nos termos da
legislação pertinente.
o artigo 14 indica um controle rigoroso do tratamento dos dados pessoais de
crianças e adolescentes por todas as instituições que de algum modo capturam
informações de menores de idade.
Algumas obrigações com dados de crianças (12 anos incompletos):
• necessário o consentimento de um dos pais ou responsável legal (art. 14,

§ 1º).
• Consentimento: deverá ser livre, informado, inequívoco, específico e em
destaque;
• Transparência: deve ser exercida de forma simples, clara e acessível (art.
14, § 6º).
Assim, se sua empresa já faz tratamento com dado de crianças, sem obter
os consentimentos necessários, ou sem cumprir os requisitos de um
consentimento valido, ela já está trabalhando na ilegalidade, vez que não se trata
de uma faculdade, mas sim uma obrigação legal.
Não importa qual o tipo e tratamento está sendo feito com os dados
pessoais dos menores, porém ainda mais grave são aqueles que expõe dados
sensíveis de menores e ou imagem sem os devidos consentimentos.
Grande maioria das escolas estão prontas a serem denunciadas por

descumprem claramente a LGPD, assim como clinicas infantis, consultórios e
por aí a lista segue interminável.
Falando em escola, ainda há que relatar, que essas não apenas devem se
adequar como também devem ensinar as crianças, desde o ensino fundamental,
sobre a importância dos cuidados com os dados, já que a Lei 14.533 de 11 de
janeiro de 2023 altera a Lei de Diretrizes e Bases da Educação, instituindo a
Política Nacional de Educação digital, fazendo constar em seu artigo 3º, o eixo
de educação digital escolar, que tem como tem como objetivo garantir a inserção
da educação digital nos ambientes escolares, em todos os níveis e modalidades,
a partir do estímulo ao letramento digital e informacional e à aprendizagem de
computação, de programação, de robótica e de outras competências digitais,
englobando, dentre outros, os direitos digitais, que envolve a conscientização
a respeito dos direitos sobre o uso e o tratamento de dados pessoais, nos
termos da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de

Dados Pessoais).
É certo que é impossível ensinar aquilo que não se sabe, sendo assim,
isso acende um alerta de emergência para as escolas passarem a olhar o que é
preciso realizar para se adequarem à LGPD, demonstrando o rigor e cuidado
com que a LGPD vem tratando os dados de menores.
DIREITO DOS TITULARES

Com o objetivo de devolver ao titular de dados o direito de determinar o
que será realizado com seus dados pessoais, a chamada, autodeterminação
informativa, a LGPD necessitou trazer direitos para esses titulares, afim de atingir
esse objetivo.
Desta forma, a LGPD trouxe em seu artigo 18, o direito dos titulares, onde,
o titular de dados mediante requisição, poderá a qualquer momento, solicitar
seus direitos aos agentes de tratamento (controlador e operador), obrigando que
os agentes de tratamento utilizem formas de possibilitar que esses titulares
exerçam esses direitos de forma gratuita e acessível, vindo a atender
imediatamente, quando puder ser cumprido de forma simplificada ou no prazo
de 15 dias a contar da solicitação realizada, nos casos que necessitem que
sejam realizados por declarações mais complexas.
1. Confirmação: O titular de dados pode, mediante solicitação, saber se seus

dados estão sendo tratados por um controlador. Ou seja, se o titular não
se recorda se fez um cadastro em uma empresa, pode solicitar a ela que
confirme ou não a existência de algum tipo de tratamento dos seus dados;
2. Acesso: quando o titular souber previamente da existência de tratamento

de seus dados ou após a confirmação do tratamento de seus dados, a lei
o assegura o direito a ter acesso a esses dados, ao tratamento que é dado
a ele e informações como a finalidade, categoria, compartilhamentos,
prazo de utilização, origem dos dados, dentre outras;
3. Correção dos dados: Direito de solicitar que dados observados como

incompletos, desatualizados ou mesmo incorretos sejam corrigidos, como
por exemplo, todas as vezes que os dados pessoais sofrerem alterações
decorrentes de alteração de nome, endereço, estado civil e etc, o titular
poderá solicitar essas correções sempre que entender necessário;
4. Anonimização, bloqueio ou eliminação: Pode solicitar que os seus dados

sejam anonimizados, ou seja, que através deles não seja possível
identificar o titular, assim como poderá ainda poderá requerer a
suspenção temporária do tratamento através do bloqueio, e ainda poderá
solicitar a eliminação dos dados pessoais desnecessários, excessivos ou
tratados em desconformidade com à LGPD. No entanto tais direitos

podem deixar de ser atendidos quando o controlador fundamente seu
tratamento em base legal que por exemplo o obrigue a manter o
tratamento.
5. Portabilidade: Pode requerer a transferência de dados pessoais para

outro controlador, a sim de dados ao titular de dados mais liberdade para
escolher seus prestadores de serviço, não ficando vinculados
obrigatoriamente, ou que venham ter perdas financeiras, sendo que para
isso deverá formalizar um requerimento expresso, tendo o controlador
direito de resguardar seus segredos comerciais e industriais;
6. Eliminação dos dados tratados por consentimento: Tem o direito de pedir

para que seus dados pessoais tratados em face ao consentimento
anterior fornecido, sejam eliminados, contudo é preciso se atentar as
exceções legais que permitem a manutenção do banco de dados em face
de outras bases legais que fundamentem seu tratamento;
7. Informação de Compartilhamento: Saber informações sobre todas as

entidades, de natureza pública ou privada, com as quais suas
informações pessoais são compartilhadas. Como forma de possibilitar
que o titular de dados garanta um pleno controle de seus dados pessoais
e possa exerce seu direito de informação acerca do tratamento de dados
realizados em todas as entidades.
8. Informação sobre o Consentimento: Direito de obter informações sobre as

possibilidade e consequências de fornecer e não fornecer o
consentimento sobre determinadas ações de tratamento de dados
pessoais;
9. Revogação de Consentimento: Pode revogar, também a qualquer

momento, o consentimento de uso de seus dados pessoais tratados, que
foram permitidos através da base legal de consentimento, ao qual deve
ser realizado por requerimento expresso através de um procedimento
gratuito e facilitado;
10. Peticionamento perante a ANPD: O titular poderá buscar na ANPD em

qualquer momento a fim de resguardar os dados pessoais do titular de
dados, sendo realizado através dos canais digitais constantes na página
eletrônica da ANPD;
11. Oposição: Negar o tratamento dos dados pessoais quando o processo é

realizado de maneira ilegal;
Outro direito constante na LGPD, disposto no artigo 20 da referida Lei é o

de solicitação de revisão decisões automatizadas, bem como obriga que o
agente de tratamento forneça informações claras e adequadas a respeito do
critério e procedimentos utilizados nas decisões automatizados, a fim de garantir

que a tecnologia não cause dados irreversíveis ao titular de dados.
Desta forma as empresas são obrigadas por lei a possibilitar que os

titulares obtenham delas, informações necessárias a respeito dos tratamentos
de dados que são realizados dentro da empresa
Assim, o titular pode saber da empresa sobre as operações que são

realizados com seus dados, ou seja, quais dados possuem, para qual finalidade,
onde guardam, com quem compartilham, se realizam transferência internacional,
por quanto tempo permanecem com os dados e etc.
Então as empresas deverão por meio da Política de Direito dos Titulares

explicar ao titular dos dados sobre os direito garantidos pela LGPD, bem como
informar a forma como podem solicitar esses direitos, informando ainda os
canais de atendimento desses direitos, vez que a empresa precisa cumprir o que
determina a LGPD, inclusive cumprindo o prazo pré-determinado para
atendimento dessas solicitações, onde a lei fala que para respostas simples o
prazo é imediatamente e para respostas mais complexas o prazo é de no
máximo 15 dias.
Algumas especificidades sobre o cumprimento dos direitos dos titulares,

onde os agentes de tratamento poderão deixar de prover o direito do Titular:
1. Se não for agente de tratamento responsável;

2. Quando não for confirmado a identidade do solicitante;
3. Quando tratar de segredo comercial ou industrial, pois possui o
direito de não divulgar esses segredos;
4. Quando se tratar de tratamento que se fundamente em outras
bases legais, como por exemplo o dever de cumprir uma obrigação
legal.
Após o exercício do direito realizado pelo titular de dados, os agentes de

tratamento devem possibilitar que os mesmo acompanhem o andamento,
consultem as respostas, faça uma reclamação e até mesmo discordar da
resposta recebida, entendendo seus argumentos, corrigindo ou fundamento sua
resposta, a fim de que busque resolver toda a situação de forma administrativa,
sem que o titular busque peticionar na ANPD ou acionar judicialmente.
DA NECESSIDADE DE BUSCAR A SEGURANÇA E O

CUMPRIMENTO DAS BOAS PRÁTICAS.
A LGPD como forma de garantir a segurança ao tratamento dos dados

trouxe algumas exigências em seus artigos, estabelecendo ainda que a ANPD
regulamentaria algumas questões necessárias, contudo buscando direcionar as
necessidades para um programa efetivo de proteção da privacidade de dados,
nos apresentou algumas boas práticas, para que possamos cumprir o que
determina o princípio da prestação de contas e demonstrar os atos realizados na

busca de uma proteção efetiva aos dados pessoais.
Sendo assim em um processo de adequação à LGPD é preciso:
• Adotar um Programa de Governança em Privacidade e Proteção de

Dados condizente com o art. 50, § 2º, I, com a implementação de Políticas
e Procedimentos que o evidenciem;
• Demonstrar a efetividade do Programa de Governança em Privacidade e
Proteção de Dados (Art. 50, § 2º, II);
• Comprovar medidas de segurança adotadas;
• Assegurar através dos aditivos contratuais necessários que os
Operadores (ou sub-operadores) com quem se a empresa se relaciona
atuem com segurança, confidencialidade e que esteja em conformidade
com as obrigações contratuais e legais;
• Assegurar o cumprimento dos princípios consagrados, no tratamento de
dados realizados, conforme as hipóteses de tratamento trazidos pela
LGPD e pelo prazo que for necessário ao alcance das finalidades
pretendidas (Art. 16).
SEGURANÇA DA INFORMAÇÃO
A segurança da informação busca preservar a confidencialidade,

integridade e disponibilidade da informação durante todo o ciclo de vida dos
dados, sendo estes considerados os princípios da segurança da informação,
cabendo aos agentes de tratamento prezar por medidas de segurança técnicas
e de governança como forma de prevenir, detectar e combater as ameaças
digitais e físicas.
Garantir a confidencialidade significa adotar medidas técnicas para que

as informações sejam acessadas apenas por pessoas que precisem e tenham
autorização para acessar essas informações, de forma que fique registrado esse
acesso e toda ação que foi realizada por essa pessoa.
Proteger a informação para que não seja realizado alterações indevidas,

ainda que sendo ou não intencionais, garante a integridade das informações que
também é um dos objetivos da segurança da informação.
Garantir com que a informação esteja disponível para cumprir o que

foi contratado ou até mesmo garantir que o titular venha a ter acesso a esses
dados é imprescindível para resguardar outro objetivo da segurança da
informação que é a disponibilidade.
Considera-se incidente de segurança da informação, quando um dos

princípios da segurança da informação for quebrado, ou seja, deixou de garantir
a confidencialidade, integridade ou disponibilidade das informações.
Para isso é preciso ter alguns cuidados como por exemplo:

• No uso de e-mail digite o endereço do webmail diretamente no navegador,

tome cuidado com os links recebidos nas mensagens, configure o leitor
de e-mail para não abrir imagens que não estejam no corpo da
mensagem, dentre outros.
• Passe a ver as redes sociais como um local público e tudo que acontece
ali pode ser lido ou acessado por pessoas conhecidas e desconhecidas,
o que postar deve saber que poderá ser usado para golpes virtuais,
portanto tenha cuidado com fotos e localização geográfica e se o seu perfil
for pessoal busque utilizar de forma privada, para minimizar os riscos da
exposição.
• Com relação a senhas, preze para que sejam longas e com diferentes
caracteres, não reutilizando a mesma senha para vários sites, devendo
sempre entender que senhas são pessoais e intransferíveis, não devendo
ser compartilhadas com terceiros, buscando aumentar o nível de
segurança com autenticação multi-fatores como por exemplo códigos de
segurança enviados por SMS ou e-mail, uso de tokes físicos.
• Ao se afastar de seus dispositivos mantenha-o bloqueado, possua
software original e atualizados, organize e revise seus arquivos mantendo
somente o necessário, realize backups periodicamente e faça testes de
vulnerabilidades.
DOS RISCOS PELOS DESCUMPRIMENTOS DA LGPD
1- RISCOS PARA EMPRESAS
É preciso estar vigilante quanto às operações e atividades que envolvem

o tratamento de dados pessoais, alguns ainda não possuem conhecimento sobre
o que já vem acontecendo em face ao não cumprimento do que determina a
LGPD.
O fato é que conhecendo ou não, os riscos são altos e independente do

conhecimento ou não de todos, afinal não se pode negar desconhecimento a
exigências legais.
Condenações judiciais já estão acontecendo, tanto nas áreas cíveis e

trabalhista, como já estamos vendo estudos para formalização da imposição das
condenações penais em razão do descumprimento da LGPD, tendo em vista que
os mais ativos fiscais da lei são os titulares de dados, que pode escolher os
caminhos que vai seguir para resguardar seus direitos, podendo inclusive buscar
o judicial e o administrativo conjuntamente.
DAS SANÇÕES ADMINISTRATIVAS
Necessário frisar que a ANPD é o principal órgão de fiscalização do

cumprimento da ANPD, contudo não é o único, entretanto aplicação das sanções
administrativas é uma das competências da Autoridade Nacional de Proteção de
Dados, que estão dispostas no artigo 52 da legislação.
Há que se mencionar ainda que multas administrativas já estão sendo

aplicadas pelos PROCONS municipais e estaduais, que muito tem atuado para
que seja respeitado a legislação.
Contudo o artigo 52 da LGPD traz a multas e penalidades próprias a

serem aplicadas pela Autoridade Nacional de Proteção de Dados- ANPD,
sanções como:
• advertência (art. 52, I);

• multa de até 2% do faturamento, limitada a R$ 50.000.000,00 por
infração (art. 52, II);
• multa diária (art. 52, III);
• publicização da infração (art. 52, IV);
• bloqueio dos dados até a regularização (art. 52, V);
• eliminação dos dados (art. 52, VI);
• suspensão parcial do funcionamento do banco de dados por 6 meses
prorrogáveis por igual período até a regularização da atividade (art. 52, X);
• suspensão da atividade de tratamento de dados por 6 meses,
prorrogáveis por igual período (art. 52, XI);
• proibição parcial ou total do exercício de atividades relacionadas a
tratamento de dados (art. 52, XII).
Para aplicação dessas sanções irá considerar os seguintes parâmetros e

critérios na aplicação da multa:
• Gravidade e natureza das infrações;

• Boa-fé e cooperação do infrator;
• Vantagem obtida com a infração;
• Condições econômicas do infrator;
• Reincidência e gravidade do dano causado;
• Adoção de mecanismos e procedimentos internos de proteção de dados;
• Adoção de política de boas práticas e governança;
• Pronta adoção de medidas corretivas;
• Proporção entre a gravidade da infração e a intensidade da sanção.
As sanções previstas na LGPD podem causar prejuízos patrimoniais

muito significativos, entretanto com a facilidade de disseminação de noticiais o
descumprimento da LGPD pode gerar prejuízos reputacionais à imagem da
empresas, que muitas vezes podem até ser irreversíveis.
É necessário que as empresas entendam a magnitude dos riscos ao ficar

em desconformidade com a legislação, mensurando o quanto a falta de
precaução pode levar a empresa a finalizar suas atividades em razão de uma
gestão displicente.
Superamos a faze de regulamentação da ANPD e hoje ela está pronta

para agir fiscalizando e multando o que é necessário, tendo em vista que o

regulamento de dosimetria da pena foi publicado em fevereiro de 2023, gerando
um declaração do Presidente da ANPD, Waldemar Gonçalves, onde alegou que
“Com o lançamento do regulamento da dosimetria da pena, as empresas terão
que entrar em uma corrida na busca da celeridade para adequação”.
Diante dos fatos, é melhor que todos busquemos cumprir o que determina
a LGPD, e começar a entender o que precisamos realizar em nossas atividades,
já que no momento já estamos em risco e propícios a responder pelo
descumprimento legal.
2- RISCOS PARA TITULARES DE DADOS
Muitos questionam a respeito da efetividade da busca pela proteção e

privacidade dos dados pessoais, porém não entendem que em um mundo onde
a informação demonstrou ser primordial para efetividade das ações
empresariais, é necessário resguardar e proteger nosso dados pessoais, a fim
de garantir o livre desenvolvimento da pessoa natural, ou seja, nossas liberdades
de decidir o que queremos que os outros saibam e façam com nossas
informações.
Talvez você ainda não tenha pensado nisso, mas se continuarmos

caminhando sem essa devida proteção, não poderemos mais escolher quem
queremos que tenha acesso as nossas informações ou garantir a liberdade de
pesquisar algo em um site por exemplo, sem que muitos saibam do seu interesse
por aquele assunto, e até mesmo de fazer um compra sem que muitos saibam
que você comprou aquele produto.
Se assim continuar, chegaremos ao ponto de não saber mais distinguir se

de fato queríamos aquele produto ou serviço ou se fomos manipulados a
comprar em razão do conhecimento que tinham sobre nós, nos influenciando
inconscientemente.
O fato é que privacidade é liberdade, poder ter uma livre escolha foi um
direito concedido para nós por Deus, através do livre arbítrio, mas que a cada
dia está sendo tolido em face a capacidade de análise de nossas informações
que possibilitam uma fácil manipulação de vontade.
Para que não caminhemos para o coas da falta de privacidade é preciso

termos como base o exercício das obrigações e garantia dos direitos trazidos
pela Lei Geral de Proteção de Dados, a fim de possibilitar a escolha do titular
face a efetiva possibilidade de exercer a autodeterminação informativa.
Com o desenvolvimento do mundo tecnológico é preciso entender que a

busca pela proteção de nossos dados servirá de escudo para usufruir do que a
tecnologia e a evolução nos oferecem, sem colocar em risco nossa liberdade.
Buscar conhecimento e desenvolvimento sobre como proteger as informações

de forma que resguarde a nossa liberdade de autodeterminação informativa, que
nada mais é do que o direito de dizer o que será feita com nossos dados, é
fundamental para desfrutar do que já existe e está por vir.
Algumas ações para nos proteger dessa invasão da privacidade são:
1. Escolher os cookies que serão coletados quando navegar em uma

página.
2. Limpar o cache do navegador
3. Mudar senhas periodicamente e não usar senhas padrão ou que se
relacione com datas especiais e nomes de filhos por exemplo
4. Evite wi-fi público
5. Revise os aplicativos que possui no celular e as permissões que está
dando a eles
6. Configure autenticação de duas etapas nos principais aplicativos
7. Atenção na hora de efetuar compras on-line
8. Use antivírus e mantenha softwares atualizados
9. retire as permissões de sites que não tem mais interesse
10. denuncie casos de abusos e descumprimento a LGPD
DO PROCESSO DE ADEQUAÇÃO À LGPD
A LGPD não determinou uma metodologia especifica para adequação das

empresas, na verdade ela fez algumas exigências para que fosse atingido o
objetivo de proteção dos dados pessoais como forma de garantir os direitos
fundamentais.
Desta forma existe várias formas de se atingir o fim determinado

cumprindo as obrigações trazidas pela LGPD.
Sendo assim, para atender essas necessidades utilizamos a metodologia

de dividir um processo de adequação em 7 fases, onde possamos estabelecer
ações que passem a nos gerar formas de cumprir as exigências trazidas pela
LGPD de forma que possamos tornar prático e aplicável para empresa a
realização de medidas que auxilie no aculturamento, com a mudança de
pensamento com relação a proteção de dados e gerem formas de comprovar e
cumprir o princípio da prestação de contas.
1- DIAGNÓSTICO
Essa fase busca conhecer melhor a empresa, suas particularidades, como

vem funcionando e assim poder demonstrar sua evolução com relação a sua
maturidade no aculturamento que necessita ser realizado nas empresas ou
atividade.
Para documentar o progresso, realiza-se entrevistas, para melhor

entender os procedimentos adotados, o conhecimento do líderes e
colaboradores a respeito da LGPD, identifica-se a necessidade ou não de montar

um comitê multidisciplinar de proteção de dados, para obter uma visão clara dos
procedimentos e forma de conduta da empresa, ajudando a uma melhor decisão
com relação aos pontos a serem abordados no plano de ação.
Servindo essa fase como um pré-mapeamento, para entendimento das

necessidades iniciais das empresas e mensuração do trabalho a ser realizado.
Cuidados que se deve ter nessa fase:
• Comprovar a maturidade da empresa e registrar o momento em que se

encontra;
• Avaliar os colaboradores e registrar seu conhecimento inicial.
PASSO A PASSO DO DIAGNÓSTICO

Como forma de orientar como deve ser realizado essa fase, trazemos
algumas perguntas para demonstrar como deve ser analisado a maturidade,
contudo não temos a intenção de esgotar todas as pergunta que devem ser
realizados, uma vez que cada empresa tem suas próprias particularidades,
devendo assim cada fase ser realizado levando em consideração as
particularidades de cada uma.
Para registrar essa fase e medir a maturidade da empresa faça um

questionário, para entender como a empresa se comporta atualmente com
relação as exigências trazidas pela LGPD, identificando como ela se encontra
com relação aos atos necessários para implementação de uma adequação à
LGPD, registre o que foi constado emitindo um relatório sobre a situação atual
da empresa.
Algumas perguntas:
 Qual a constituição legal da organização?
 Quais os principais produtos ou serviços oferecidos? Como é o

canal comercial?
 Qual a estrutura organizacional atual da organização?
 A organização possui filiais? Quais são e onde ficam? Quem são

os responsáveis (gerentes/supervisores)?
 Qual a quantidade de funcionários?
 Quais as normas ou diretrizes internas definidas pela organização

que direcionam seus funcionários?
 A organização adota alguma prática formal de gestão ou

governança corporativa, tais como ISO, modelos de gestão ou
técnicas de gestão de projetos? Que áreas são afetas por essas
práticas? Quem mantém essas práticas ‘vivas’ na organização?
 Qual o processo de comunicação interno mais utilizado?
 Qual o processo interno de comunicação mais utilizada entre os

gestores?
 Quais instrumentos de contratos são utilizados internamente pela

empresa (contratos, termos, etc)?
 Possuem serviços terceirizados?
 Os procedimentos de descrição de cargos e funções estão

detalhados?
 Sua empresa realizou um levantamento para mapear os processos

existentes?
 Sua empresa documentou quais os dados pessoais possuem, a

fonte, o compartilhamento e a finalidade?
 Sua empresa identificou as bases legais para cada tratamento dos

dados pessoais?
 O consentimento é solicitado e documentado?
 Sua empresa solicita consentimento específico e em destaque, por

pelo menos um dos pais ou responsável legal, para o tratamento
de dados de crianças e/ou adolescentes?
 Sua empresa oferecer serviços online diretamente para crianças e

tem sistemas para gerenciá-los?
 As finalidades e propósitos para a coleta e tratamento de dados

pessoais estão identificados com clareza e formalmente
documentados para cada atividade de tratamento.
 As bases legais para a coleta e tratamento de DP estão

identificadas e selecionadas adequadamente em cada atividade de
tratamento.
 Existe uma política interna ou procedimento definido que

estabeleça regras claras sobre quando e como o consentimento
pode ser utilizado.
 Há mecanismos que permitem gerenciar a coleta e o registro do

consentimento fornecido pelo titular.
 Um procedimento para avaliação de impacto ao tratamento de

dados pessoais está formalizado na empresa.
 Há um Inventário formal de dados pessoais que registra as

atividades de tratamento executadas.
 Sua empresa possui uma Política de Privacidade e de Cookies

publicada de forma clara e objetiva na página web?
 Sua empresa nomeou um Data Protection Officer (DPO), ou

Encarregado de Dados, para ser a interface entre a sua empresa,
o titular dos dados e a Autoridade Nacional de Proteção de Dados?
 O consentimento é solicitado e documentado?
 Sua empresa solicita consentimento específico e em destaque, por

pelo menos um dos pais ou responsável legal, para o tratamento
de dados de crianças e/ou adolescentes?
 Sua empresa oferece serviços online diretamente para crianças e

tem sistemas para gerenciá-los?
 Sua empresa processa dados sensíveis e documenta sua

justificativa de forma destacada e a informa as pessoas?
 A identidade e as informações de contato do DPO estão

disponíveis aos Titulares?
 A empresa comunica a finalidade, forma e duração do tratamento

e como exercer os direitos aos titulares?
 Sua empresa possui mecanismos para garantir que os dados

pessoais mantidos permaneçam precisos e atualizados?
 A empresa sabe quando ela deve conduzir uma AIDP (Avaliação

de Impacto aos Dados Pessoais) e tem processos em vigor para
agir sobre isso?
 Sua empresa documenta quais categorias especiais de dados

estão processando?
 Sua empresa possui contratos formalizados com

operador/terceiros/fornecedores com cláusulas especificas de
proteção de dados pessoais?
 A empresa tem um processo de revisar suas políticas e analisa

regularmente a eficácia dos controles implementados?
 Sua empresa possui uma política de segurança da informação

suportada por medidas de segurança apropriadas?
 Existe um controle de acesso das aplicações e banco de dados?
 Existe um registro de LOG's do sistema? Ou seja, todas as

intervenções efetuadas no dado pessoal ficam registradas
possibilitando uma auditoria de acesso?
 Os avisos de privacidade de dados para titulares (externos e

internos - funcionários, temporários e parceiros) estão claros e
informam as bases legais, tempo de retenção e direitos dos
titulares?
 A empresa oferece treinamento regular de conscientização sobre

segurança da informação para todos os funcionários, incluindo
funcionários temporários ou contratados, para garantir que todos
estejam cientes e cumpram suas responsabilidades?
 A empresa oferece treinamento regular de conscientização sobre

segurança da informação para todos os funcionários, incluindo
funcionários temporários ou contratados, para garantir que todos
estejam cientes e cumpram suas responsabilidades?
 A empresa garante um nível adequado de proteção para quaisquer

dados pessoais processados por terceiros em seu nome que sejam
transferidos para fora do Brasil?
 A empresa tem um processo para descarte de registros e

equipamentos com segurança quando não forem mais
necessários?
 A empresa configura hardware e software, novo e existente, para

reduzir vulnerabilidades e fornecer apenas a funcionalidade e os
serviços necessários (hardening)?
 A empresa estabelece defesas antimalware eficazes para proteger

os computadores da infecção por malware (vírus e outras pragas
virtuais)?
 A empresa faz backup regular e testes da qualidade desses

rotineiramente?
 A empresa mantém o software atualizado e aplica os patches de

segurança mais recentes para evitar a exploração de
vulnerabilidades técnicas?
 A empresa possui sistema de proteção contra acessos externos

(firewall) atualizado regularmente para proteger a rede de ataques
externos e exploração indevida?
 A empresa possui um procedimento para relatar uma violação à

ANPD e aos indivíduos afetados, quando necessário?
 A empresa definiu e atribuiu responsabilidade pelo cumprimento da

legislação de proteção de dados e orientações para realizar
atividades ou funções de marketing direto?
 A empresa buscou garantias sobre as origens e a precisão de

quaisquer listas de marketing compradas para garantir que foram
compiladas de forma justa e legal?
 A empresa possui mecanismos para garantir que os indivíduos

possam facilmente optar por sair do marketing?
 A empresa definiu políticas, procedimentos e orientações a todos

os funcionários que estabelecem claramente quando é apropriado
compartilhar ou divulgar dados?
 A empresa tem acordos formais de compartilhamento de dados

com parceiros?
 A empresa informa as pessoas sobre o compartilhamento de seus

dados pessoais?
 A empresa tem um processo documentado para lidar com

solicitações de dados pessoais e todos os seus funcionários estão
cientes?
 A empresa tem uma política e / ou procedimento que cobre o uso

de CFTV?
 A empresa definiu um prazo de retenção das imagens CCTV

gravadas?
 A empresa informa claramente e antecipadamente as pessoas

sobre o uso de CFTV?
Orienta-se ainda medir o nível de conhecimento dos funcionários com

relação as necessidade de proteger os seus próprios dados pessoais, vez que a
um processo de adequação exige uma mudança de cultura e aqueles que não
fazem por si mesmo, não farão pelos outros, assim despertar a necessidade de
proteção de si mesmo é fundamental para passar a dar valor na proteção dos
dados de outros titulares que tem acesso.
2- CONSCIENTIZAÇÃO
É uma das fases mais importantes do processo de adequação, tendo em

vista que sem compreender a importância, as responsabilidades e os motivos

para realização da adequação, se torna impossível que seja cumprido as
mudanças implementadas.
Não é possível que tudo se resuma em documentos, apesar de serem

fundamentais e obrigatórios também. O treinamento é essencial para que esses
documentos se tornem efetivos e de fato representem a realidade vivida pela
empresa.
Sendo assim, essa é uma fase onde visa dar conhecimento a todos os
líderes e colaboradores da sua importância, dar consciência sobre o as
consequências do descumprimento das normas trazidas pela LGPD,
conhecimento sobre o que já está acontecendo, dos seus impactos, como
afetará o dia a dia de cada departamento, e as obrigações que se tem como
agente de tratamento de dados, entre outros aspectos.
Não se pode correr dessa obrigação, pois a Lei assim determina a

obrigação, conforme consta no artigo 50 da LGPD.
Art. 50. Os controladores e operadores, no âmbito de suas

competências, pelo tratamento de dados pessoais,
individualmente ou por meio de associações, poderão formular
regras de boas práticas e de governança que estabeleçam as
condições de organização, o regime de funcionamento, os
procedimentos, incluindo reclamações e petições de titulares, as
normas de segurança, os padrões técnicos, as obrigações
específicas para os diversos envolvidos no tratamento, as ações
educativas, os mecanismos internos de supervisão e de
mitigação de riscos e outros aspectos relacionados ao
tratamento de dados pessoais.
Assim essa fase de conscientização e treinamentos das mudanças

implementadas, códigos, regulamentos e políticas é fundamental para um efetivo
aculturamento a proteção da privacidade dos dados.
PASSO A PASSO PARA UMA BOA CONSCIENTIZAÇÃO:

Como forma de auxiliar na direção do que precisa conscientizar sobre a
LGPD, trazemos algumas sugestões, contudo orienta-se que seja revisto e
acrescentado mais informação sempre que possível, para personalizar o
conhecimento para a atividade especifica.
Procure trazer todo conhecimento necessário para promover um

aculturamento de proteção à privacidade dos dados, buscando sempre trazer
conhecimento sobre os assuntos:
1. Importância da adequação das empresas à LGPD;

2. Explicar sobre a importância da LGPD para o titular e toda sociedade;
3. Os fatos que estão ocorrendo que tomaram como fundamento a LGPD;
4. Falar sobre as questões conceituais da Lei;

5. Explicar sobre as necessidades de cumprir os princípios trazidos pela
legislação;
6. Explicar a responsabilidade de cada um com relação ao tratamento de
dados realizado pela empresa;
7. Dever de enquadrar o tratamento de dados realizado dentro das bases
legais trazidas pela LGPD;
8. Falar sobre os direitos dos titulares;
9. Falar sobre os agentes da Lei;
10. Detalhar a metodologia que será utilizada para as fases do projeto;
11. Realizar treinamentos periódicos de forma comprovada, para garantir o
cumprimento do princípio da prestação de contas trazido pela LGPD;
12. Falar sobre as responsabilidades trazidas pela LGPD.
Registre os treinamentos realizados através da ata, onde conste os

participantes, quais conhecimento foram passados e realize um teste de
assimilação para comprovar que o conhecimento foi assimilado e que o
treinamento teve efetividade.
Procure estabelecer ações de gamificação, cartilhas e outras forma de

sempre estar alimentando esse conhecimento para que não cai no
esquecimento, estabelecer os treinamentos periodicamente também é muito
importante.
3- MAPEAMENTO
O Mapeamento é uma fase extremamente importante para entender como

o dado transita no exercício da atividade, costuma-se dizer que é mapeado a
vida do dado na empresa, desde o primeiro momento de coleta, passando pela
guarda, compartilhamento, outros tratamentos, finalizando com a exclusão.
Assim essa fase tem objetivo de identificar quais as principais exposições

e contingências da empresa, para que futuramente sejam apontadas soluções.
Identifica-se a verdade sobre o tratamento realizado, sendo que é

importante não mascarar as ações realizadas, para que de fato tenha efetividade
no que será proposto para entrar em conformidade.
Para isso podemos formalizar esse processo com a planilha de

mapeamento, relatório de operação de dados, bem como outros documento
necessários.
Cuidados que se deve ter nessa fase:
• Mapear os dados utilizados e cada processo;

• Mapear os dados que são imprescindíveis para o desenvolvimento da
atividade;
• Mapear os dados que precisam de consentimento para o tratamento;

• Entender e fundamentar por quanto tempo será necessário manter
esses dados armazenados.;
• Saber exatamente quem são as pessoas que trabalham com dados
pessoais dentro da sua empresa e porque elas precisam ter acesso a
esses dados;
• Classificar os dados utilizados em cada tratamento realizado;
PASSO A PASSO PARA UM MAPEAMENTO EFETIVO:
Crie uma planilha para organizar o mapeamento realizado, onde possa:
1. Identificar os tratamentos de dados realizados nos processos das

empresas (as operações devem ser identificadas uma a uma)?
2. Para cada tratamento de dados quais os dados pessoais utilizados no
processo identificado?
3. Esses dados cumprem os princípios da LGPD para esse tipo de
tratamento?
4. Categoria dos titulares (quem entrega os dados?)
5. Que tipos de dados estão sendo tratados? (comum, sensível, de
crianças e adolescentes)
6. Como os dados são coletados?
7. Como é o fluxo desses dados? (caminho que os dados percorrem dentro
da empresa)
8. Existe processo de anonimização? Como ele se dá? Como é feito o
armazenamento dos dados?
9. Qual é o prazo de retenção dos dados na empresa?
10. A empresa faz transferência internacional dos dados?
11. Quais são as medidas de proteção dos dados adotadas pela empresa?
12. Qual é a duração do tratamento dos dados?
13. Como ocorre a eliminação dos dados?
14. Qual a base legal aplicada nesta operação?
15. Qual a finalidade do tratamento?
16. O tratamento está adequado à finalidade indicada?
17. Os dados são o mínimo necessário para alcançar a finalidade?
(minimização)
18. Os dados são atualizados, para garantir a sua qualidade? Qual a
periodicidade?
19. Os dados são compartilhados com terceiros? Quem?
20. Existe alguma medida de garantia dos direitos dos titulares?
21. Há decisões automatizadas nesta operação? Como ela se dá?
22. Tem necessidade de consentimento para esse tratamento de dados?
23. Onde é feito a guarda desses dados nesse procedimento?
24. Esta operação exige um relatório de impacto? Justificar.
Mais uma vez, não se busca esgotar todas as ações de mapeamento a

serem realizadas, contudo é nosso objetivo demonstrar os objetivos que
devemos atingir com o mapeamento para que assim você seja capaz de
entender as ações que deve realizar de acordo com o modelo de negócio da sua
empresa.
A melhor forma de iniciar um mapeamento é entender os departamentos

de uma empresa, faça essa divisão e inicie o processo pelo procedimento inicial
nesse departamento, entrevistando os responsáveis pela realização das
atividades referente a esse procedimento e assim siga para os processos
seguintes para entender o fluxo dos dados dentro daquele departamento.
Dependendo da quantidade de processos existentes dentro da empresa,

será necessário realizar muitas entrevistas, sua planilha provavelmente terá
muitos processos mapeados e você terá que formalizar um inventário de dados
para cada processo.
Sim, essa é a fase mais demorada e que requer mais atenção dentro do
processo de adequação, contudo essa é fase que te trás clareza e conhecimento
sobre a empresa, possibilitando ter toda informação necessária para prosseguir
e estruturar todas as mudanças a serem realizadas e o conteúdo para a criação
da documentação.
Desta forma, tome cuidado para não fazer de forma equivocada, anote as
datas de revisão e estabeleça prazos periódicos para estar fiscalizando seu
cumprimento e revisando sobre a necessidade de mudança ou correção de
equívocos.
4- ANÁLISE DE RISCO
Nesse momento será feita a identificação dos problemas, a mensuração

dos riscos. Deve-se detectar todas as situações em que a empresa esteja em
desacordo com a LGPD e em desacordo com uma noção ideal de uma Cultura
de Proteção de Dados Pessoais.
Convém mencionar que pode se iniciar pelos descumprimentos

encontrados na fase de diagnóstico, visto que no questionário respondido já
consta muitas ações necessárias que muitas empresas ainda não realizam,
devendo assim providenciar seu cumprimento, elencando-os como riscos a
atividade, mensurando o risco e qualificando, para estabelecer as
prioridades.
Nessa fase será possível identificar as diferenças entre o estado atual de

um projeto já existente e a performance que se pretende alcançar ao final desse
projeto.
Neste sentido, a fase do Gap Analysis é caracterizada por expor os

problemas e buscar soluções para eles. Mas essas soluções precisam estar
dentro do que seja executável, viável para cada empresa, ou seja, sem
inviabilizar o modelo de negócio.
Para obter essa visão de ações que a empresa deve cumprir para ficar
em conformidade é preciso identificar os riscos, mensurar sua probabilidade
de acontecer e o grau de dano que pode ocasionar a empresa, tornando-se

possível estabelecer as prioridades a serem implementadas, além de possibilitar
que a empresa se programe para realizar possíveis investimento caso seja
necessário.
Há também que mencionar que nessa fase dependendo do tipo de

mapeamento e do tipo de atividade, é possível prever as ações que as empresas
terão que realizar para cumprir algumas ISOs, podendo inclusive buscar o
cumprimento dessas exigências a fim de possibilitar certificações nessas ISOs,
comprovando sua efetiva busca por melhoria e segurança em seus processos.
Trazemos aqui alguns objetivos que buscamos com essa análise de riscos:
• Verificar se está sendo cumprido todos os princípios;

• Determinar o fundamento legal para cada tratamento de dados, ou seja,
enquadras os tratamentos de dados na base legal correspondente;
• Identificar os riscos já existentes nos processos realizados;
• Identificar os riscos que possam passar a existir em face do não
cumprimento de alguma ação necessária;
PASSO A PASSO PARA IDENTIFICAÇÃO DE RISCOS:

• Elencar os riscos encontrados;
• Mensurar a probabilidade de cada risco acontecer;
• Mensurar o impacto no caso da ocorrência de algum desses riscos;
• Estabelecer parâmetros para fundamentar essa avaliação, onde pode-se
adotar uma classificação do nível do risco considerando muito alto
quando haver percas humanas que não é possível mensurar, Alto quando
o risco quebra pelo menos um dos pilares da segurança da informação,
ou quando descumpre princípios da LGPD, ou ainda seja referente a
tratamento de dados sensíveis ou de crianças e adolescentes, Médio
quando o risco compromete a segurança da informação ou princípios,
porém não descumpre e considera-se baixo quando o risco tem baixo
impacto caso aconteça ou com pouco probabilidade de acontecer;
• Utilizar fremeworks como ISO, provimentos e regulamentos para embasar
a identificação dos riscos.
• Estabelecer ações mitigadoras que vão minimizar o impacto ou ações que
impeçam a ocorrência dos riscos identificados;
• Criar matriz de risco para demonstrar as prioridades estabelecidas
Após o mapeamento e o diagnóstico é possível identificar já algumas

ações frequentemente identificadas para serem implementadas:
1. Definir e criar o canal de comunicação com o titular.

2. Definir quem será o encarregado ou a pessoa/equipe responsável
pelo atendimento do canal (pode ser feito o termo de nomeação
nesta etapa).
3. Estabelecer e executar a(s) forma(s) de divulgação do canal, para
que os titulares tenham conhecimento de como podem entrar em
contato com a empresa.
4. Estabelecer uma forma de confirmação da titularidade, caso haja
alguma suspeita de que o solicitante pode não ser o titular.
5. Manter registro de todas as respostas enviadas ao titular e das
providências tomadas para atender as suas solicitações.
6. Definir como será o envio da solicitação ao controlador, caso a
empresa seja operadora e receba diretamente uma solicitação do
titular. Quem responde o titular é o controlador.
7. Análise de viabilidade do pedido. Se a solicitação for
manifestamente infundada ou excessiva, pode ser recusada,
informando ao titular as razões da recusa. Os direitos do titular não
são absolutos.
8. criar mecanismos de garantia de que as revogações de
consentimento serão respeitadas.
9. Estabelecer regras de comunicação da revogação do
consentimento a todos com quem os dados foram compartilhados
utilizando essa mesma base legal.
10. Definir modelos padrão de resposta ao titular, com apoio do
jurídico, para garantir que as respostas não sejam usadas em
desfavor da empresa.
11. Definir previamente os prazos de resposta ao titular.
12. Ajustar os contratos de trabalho dos colaboradores com vínculo
CLT ou contratual
13. Conscientização e treinamento dos colaboradores - ciência dos
documentos e medidas implementados
14. Definir as bases legais para o tratamento dos dados pessoais
envolvido em cada operação e coletar os consentimentos, quando
for necessário;
15. Definir os prazos de retenção dos documentos dos colaboradores
após o seu desligamento e forma de exclusão de dados;
16. Definir a forma de eliminação dos dados pessoais estabelecer as
regras para o descarte seguro dos dados pessoais, seja por meio
físico ou digital;
17. Ajustar os processos seletivos, especialmente quanto à coleta,
guarda e eliminação de currículos;
18. Ajustar termos de responsabilidade e contratos de terceiros
prestadores de serviço, que não sejam CLT
19. Criar termo de confidencialidade para prestadores de serviço

eventual, que possa ter contato com dados pessoais tratados pela
empresa;
20. Estabelecer a categoria dos dados pessoais (comuns, sensíveis ou
de crianças e adolescentes)
21. Identificar a finalidade para a qual servirá a coleta dos dados
pessoais dentro de cada tratamento de dados;
22. Verificar as hipóteses previstas em lei para cada categoria (art. 7º,
art. 11 ou art. 14, §1º);
23. Estabelecer a relação entre a finalidade e a base legal. ex: dados
pessoais coletados para registro de funcionário, conforme
determinação legal ----> base legal: cumprimento de obrigação
legal ou regulatória
24. Política de cookies - caso haja coleta de cookies pelo site;
25. Banner de cookies;
26. Revisão e ajuste das telas de coleta de dados (fale conosco,
trabalhe conosco, ouvidoria, podemos ajudar etc.), com
organização do tratamento realizado -atenção para as hipóteses
de consentimento;
27. Direitos do titular - disponibilização do canal de comunicação e
identificação do encarregado;
28. Aviso de privacidade e proteção de dados pessoais - com link
disponível;
29. Identificar os dados que devem ser conservados e os que
podem/devem ser eliminados, e o ciclo de vida dos dados dentro
da empresa;
30. Criar uma tabela de temporalidade;
31. Criar meios de dar transparência ao titular, quanto à conservação
de dados pessoais após o fim do tratamento;
32. Definir no plano de resposta a incidentes, quais são os incidentes
que devem ser comunicados à ANPD;
33. Confirmar a ocorrência do incidente e avaliar sua extensão,
natureza e riscos;
34. Identificar se o incidente acarretou risco ou dano relevante aos
titulares;
35. Fixar os prazos de comunicação, caso seja identificada essa
necessidade, de acordo com as orientações da ANP;
36. Definir a forma de comunicação do incidente aos titulares;
37. Definir as medidas que serão adotadas para reparar os danos
eventualmente causados;
38. Avaliar a necessidade e possibilidade de contratação de seguro
para esses casos;
39. Estabelecer uma política de segurança da informação simplificada,
que estabeleça controles relacionados ao tratamento de dados
pessoais, como cópias de segurança, uso de senhas, acesso à

informação, compartilhamento de dados, atualização de softwares,
uso de correio eletrônico e uso de antivírus.
40. Gerenciar contratos e aquisições com observância ao tratamento
adequado dos dados pessoais.;
41. Proibir o compartilhamento de contas ou de senhas entre
funcionários.
42. Evitar o uso de senhas padrão disponibilizadas pelos fornecedores
de software ou hardware adquiridos;
43. Analisar os requisitos para o acesso do usuário a cada serviço em
nuvem utilizado.
44. Realizar backups offline, periódicos e armazená-los de forma
segura.
45. utilizar apenas senhas complexas para acessar aplicativos e outros
sistemas informáticos;
46. Utilizar técnicas de autenticação multi-fator para acesso aos
serviços em nuvem relacionados a dados pessoais.
Após a análise de riscos, cria-se o inventário de dados com objetivo

de :
1. Entender com detalhes a diversidade de dados coletados, armazenados

e processados;
2. Categorizar os dados;
3. Mensurar claramente os riscos de privacidade de dados;
4. Permitir elaborar plano de ações;
5. Confirmar as bases legais para cada finalidade e categoria dedados;
6. Identificar os responsáveis pelo tratamento dos dados pessoais.
Entretanto para atingir os objetivos do Inventário de dados o

documento deve prezar por conter informações como:
1- Identificação do processo de negócio

2- Agentes de tratamento (controlador, encarregado e operador)
3- Mapa de sistemas e repositório de armazenamento
4- Contexto geral dos dados;
5- Resumo do processo;
6- Dicionário de dados;
7- Responsável pelo processo;
8- Finalidade do tratamento dos dados pessoais do processo
9- Base legal de tratamento
10- Categoria dos dados pessoais e sensíveis
11- Frequência do tratamento
12- Categoria dos titulares dos dados
13- Compartilhamento dos dados pessoais
14- Medidas de segurança da informação aplicadas
15- Transferência internacional de dados pessoais
16- Contratos de serviços de TI que tratam dados pessoais do processo.
Então resumindo, nessa fase deve-se elencar os riscos, criar a matriz de

risco para poder estabelecer o nível e prioridade de cada um, estabelecer as
ações que devem ser realizadas para acabar com o risco de dano ou mitigar a
possibilidade de acontecer e criar o inventário de dados para entender
tratamento realizado pela empresa.
Assim, tem-se a construção do que é necessário para que a empresa fique

em conformidade legal.
17- PLANEJAMENTO
Nessa quinta fase, será feito o Planejamento, vez que após mapear,
apontar e ranquear os problemas, identificar as melhores soluções para cada um
deles, agora é preciso compreender e planejar como essas soluções apontadas
na última fase serão postas em prática para torna-las concretas. se fazendo
necessário criar um plano de ação, que determinará o que, de fato, será
implementado na empresa para solucionar os problemas ou pelo menos
minimizar/mitigar os riscos envolvidos.
Neste momento, a empresa se encontra em uma posição de

desconformidade, mas a partir da execução de determinadas ações, ela entrará
em acordo com as definições da LGPD.
É preciso criar um processo de governança para possibilitar a gestão da

execução de todas as ações que foram identificadas como necessárias onde
possa gerenciar a atribuição de responsabilidades, engajar o cumprimento e a
participação da alta liderança, possibilitar report semanal sobre as ações
propostas e proporcionar a melhoria continua da empresa.
Utilizar um roadmap para guiar a execução do processo ao longo de um

projeto de adequação à LGPD, possibilita ter um cronograma para organizar e
gerenciar o desenvolvimento do que precisa ser feito.
Para que se alcance os objetivos propostos é preciso constar nesse

planejamento
• O ponto de partida e o ponto de chegada;

• Os prazos claros para cada uma das etapas de um projeto, trazendo com
clareza uma sequência lógica para execução;
• A forma de dar Visibilidade à equipe de todas as etapas do projeto, de
modo que todos os profissionais envolvidos consigam acompanhar o seu
desenvolvimento e fazer ajustes ao longo do caminho;
• As prioridades, deixando claro quais tarefas são urgentes, quais são
importantes e quais podem esperar um pouco mais;
• Forma de integrar todas as partes interessadas e sustentar o trabalho em
equipe;
• Forma de fiscalização do cumprimento do que foi determinado;
• Flexibilidade para realocar tarefas e prazos.
18- IMPLEMENTAÇÃO
Nessa fase o plano e ação é colocado em prática, sendo o momento onde

alterações começam de fato a serem feitas, serão elaborados todos modelos de
documentos que forem necessários, que será instituída uma nova Política de
Privacidade, redigidos novos modelos de contratos, serão criados modelos de
aditivos para os contratos já existentes, novas cláusulas que passarão a fazer
parte dos contratos da empresa, clientes serão notificados do programa de
conformidade, haverá divulgação nas redes sociais (ações de marketing, por
exemplo), os acessos dos funcionários são segmentados, mudando na empresa
os processos que foram indicados como errados e em desconformidade com a
LGPD, para que a empresa dê os primeiros passos em direção à Conformidade
da lei, com relação à Privacidade e Proteção de Dados.
Para melhor exemplificar trazermos informações sobre alguns

documentos necessários, deixando claro que não são os únicos documentos
criados durante um processo de adequação à LGPD.
1- Relatório do programa de adequação

2- Relatório de operação de dados -mapeamento
3- Termo de consentimento
4- Gestão de consentimento
5- Plano de resposta a incidente
6- Política de privacidade
7- Política de retenção de dados
8- Política atendimento a direito dos titulares e informação aos
titulares da mudança da política de privacidade
9- Política de segurança da informação constando
• Segurança dos dados armazenados
• Gerenciamento de vunerabilidades
• Dispositivos movéis
• Serviço em nuvem
• mesa limpa
• Impressão
• Segmentação de acesso
19- MONITORAMENTO
O projeto não tem fim, uma vez que o Monitoramento consiste em verificar
e validar se todas as ações que a empresa tomou, que passaram pela fase do
Planejamento e depois foram implementadas, estão sendo de fato efetivas,
estão dando resultado e cumprindo o papel conforme o esperado.
É interessante traçar políticas e regulamentos para rever o programa,

avaliar sua eficácia e aplicar as mudanças que se fizerem necessárias.
Nesse momento a empresa demonstra a ANPD, que valoriza e preza por

todo o trabalho realizado nas outras cinco fases, se programando e planejando
ações que prezem pela melhoria continua das ações de privacidade e proteção
de dados.
Alguns objetivos dessa fase:
1. Avaliar e melhorar todos os aspectos específicos de privacidade e

proteção de dados do seu ambiente empresarial (controles, métrica,
politicas, procedimentos, práticas e entre outros)
2. Monitorar a operação e resolução de todos os assuntos relacionados a
privacidade de dados
3. Identificar melhorias e implementa-las
4. Avaliar se a organização cumpre com as políticas de privacidade e
proteção de dados e processos operacionais
5. Auditorias e revisões, externas e internas com o objetivo de melhorar as
métricas e controles de privacidade e proteção de dados
DOS BENEFICIOS TRAZIDOS PELA ADEQUAÇÃO

Já de deu pra perceber que se trata de um processo trabalhoso, mas não
difícil e que se for cumprido o passo a passo de cada fase trará inúmeros
benefícios a sua empresa como por exemplo:
3- Rever seu modelo de negócio e torná-lo mais eficiente

4- Estreitar relações com o seu cliente
5- Tornar suas relações mais transparentes
6- Deixar os processos de sua empresa mais limpo
7- Reduzir seus riscos quanto a aplicação das sanções trazidas pela
LGPD
8- Diminuir os riscos de ter processos judiciais
9- Mitigar a possibilidade de ter seu nome no reclame aqui
10- Diminuir os riscos de perder clientes e parceiros por violação a
legislação
11- Diminuir os riscos de deixar de ter clientes os parceiros por falta de
adequação
12- Ganhar ou economizar dinheiro diminuindo o espaço em iCloud ou
Data Center
13- Conseguir mais parceiros por estar adequada
14- Poderá receber investimentos internacionais ou poder realizar
financiamentos por bancos por estar adequada, sendo melhor
avaliada
Explicado o passo a passo do que deve fazer agora só resta começar

e não deixar para amanhã o que já deveria ter sido feito.

Manual

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Manual

Enviado por

Direitos autorais:

Formatos disponíveis

LGPD

Parabéns! Você acaba de adquirir um Guia completo para te conduzir na

Estamos vivendo na “Era da informação”, e cada vez mais começamos a

Seja em nossa atividade ou nos produtos e serviços que utilizamos é

Saber utilizar os dados da forma correta são habilidades-chaves para as

O surgimento do Big Data, trouxe a capacidade de executar essa tomada

Essa grande capacidade de transformar dados em conhecimento, fez

QUANDO VOCÊ NÃO PAGA PELO PRODUTO,

O IBRASP- Instituto Brasileiro de Segurança, Proteção e Privcidade de

Percebe-se que os dados que geram conhecimento mostraram-se um

Assim, passou a se utilizar cada vez mais os dados pessoais causando

• Falta de transparência: Não informar ao titular de dados todos os atos que

Para resguardar os titulares de dados e estabelecer regrar para o uso dos

Sendo que a falta de tratamento adequado desses dados, vem trazendo

Já se tem relato em reportagem de 09/03/2023 que: A ções judiciais sobre

Razão pela qual todos devemos entender sobre a LGPD, a fim de

A LGPD possibilita que o titular (tais como: clientes, colaboradores,

Pensando nessa necessidade, esse Guia tem o objetivo de te

A LGPD obriga uma profunda transformação no sistema de proteção de

Muitos equívocos se têm pensado quando se fala em necessidade de

A adequação à LGPD na verdade passa por três pilares necessários para

Isso mostra que os equívocos realizados sobre o que de fato é uma

Os pilares que norteiam a adequação à LGPD, mostram a necessidade

da multidisciplinaridade, pois existe a necessidade da colaboração de vários

O pilar referente a PESSOAS, estão envolvidos a necessidade de

Com relação ao pilar de PROCESSOS, são as ações que de irão

Falando agora no pilar de TECNOLOGIA, são as ações voltadas para a

DOS OBJETIVOS DA LGPD

É preciso estar conciênte que à LGPD não veio inviabilizar os modelos de

negócios, muito pelo contrario, ela tem a função de fomentar o desenvolvimento

Conforme mencionada na introdução, diante do uso inadequado das

Art. 2º A disciplina da proteção de dados pessoais tem como

III - a liberdade de expressão, de informação, de comunicação e

IV - a inviolabilidade da intimidade, da honra e da imagem;

V - o desenvolvimento econômico e tecnológico e a inovação;

VI - a livre iniciativa, a livre concorrência e a defesa do

VII - os direitos humanos, o livre desenvolvimento da

A importância dos direitos à privacidade e proteção de dados pessoais

fundamentais previstos na Constituição Federal.

Essa medida buscou fortalecer ainda mais o princípio da liberdade e demonstrar

QUEM DEVE SE ADEQUAR À LGPD

Todas as pessoas Jurídicas de direito privado ou público devem se

Toda pessoa física que utiliza os dados pessoais para atividade

É muito importante entender a amplitude da aplicação da LGPD, e

Art. 3º, LGPD. Esta Lei aplica-se a qualquer operação de

O presente artigo deixa claro que a LGPD possui eficácia extraterritorial ,

Nesse sentido, ainda que os dados estejam localizados fora do Brasil, a

LGPD será aplicável, desde que sejam observados os requisitos alternativos

A que ainda que se relatar, que muitos pontos relevantes da legislação já

CONCEITOS PRIMORDIAIS PARA COMPREENÇÃO

O primeiro conceito básico trazido pela LGPD, é o de Dado Pessoal,

Sendo assim, dados identificados, são os dados básicos, já conhecidos

Exemplos: O uso do CPF para a concessão de descontos se tornou

E essas finalidade de análise dos dados devem ser transparente a você,

Fiscalização constatou que a rede de farmácias obtinha a autorização dos

Quando falamos em dados anonimizados, estamos falando em

É preciso entender, que um dado só é considerado de fato anonimizado

O Professor Danilo Doneda, definiu o dado pseudoanonimizado como

Os dados anonimizados são importantes para o crescimento e

aprimoramento da inteligência artificial, da internet das coisas, do aprendizado

Como forma de aperfeiçoar a qualidade e segurança das informações das

Há alguns tipos de Dados Pessoais que são classificados como sensíveis

Dados Pessoais Sensíveis são aqueles que se referem a: origem racial

Como resultado, esses dados pessoais demandam maior atenção durante