Buscar

Imersao_LGPD_Completo

FACULDADES DOCTUM

User badge image

Emanuel Victor

Gostou desse material? Compartilhe! 🧡

Prévia do material em texto

Imersão LGPD
Aprenda em definitivo a 
interpretar todos os artigos 
da Lei
Curso Rápido
Realização
Conteúdo atualizado em
05/03/2021
PROTEÇÃO
DE
DADOS
Apresentação do Instrutor
Slide 2
• Prof. Matheus Passos Silva
• ECPC-B Professional DPO Certification, Maastricht University
• IAPP® CIPP/E, CIPM
• EXIN® Certified DPO | EXIN® Certified Blockchain Foundation
• Lead Implementer da Gestão da Privacidade da Informação (ISO 27701)
▪ Data Protection Officer na L’Oréal Portugal
▪ Sócio-fundador da DataUX
▪ Professor Convidado na Faculdade de Direito da Universidade NOVA de Lisboa
▪ Doutorando pela Universidade NOVA de Lisboa (proteção de dados e inteligência artificial)
▪ Doutorando pela Universidade de Lisboa (direito constitucional e eleitoral)
▪ Pós-Graduação Avançada em Direito da Proteção de Dados
▪ Graduado e Mestre em Ciência Política
▪ Graduado em Ciência da Computação
▪ Estudando Ciência de Dados no momento ☺
https://profmatheus.com
@profmatheuspassos
https://linkedin.com/in/davisalvesphd
https://www.youtube.com/channel/UC2CR5OZ0pDAcychs27FSyiQ
https://instagram.com/davisalvesphd
Conteúdo do Curso
• Origens e contexto histórico da LGPD
• Aplicação em âmbito territorial e material
• Conceitos básicos de proteção de dados
• Princípios para o tratamento de dados pessoais
• Bases legais
• Obrigações de fornecimento de informações
• Direitos dos titulares
• Transferências internacionais de dados
• Segurança dos dados pessoais
• Supervisão da LGPD
Slide 3
Material de estudo:
Haverá alguns 
“desvios” neste 
caminho!
Origens e contexto
histórico da LGPD
Curso rápido Imersão LGPD
Proteção de dados: contexto
Slide 5
Resposta da Europa: RGPD
Slide 6
Regulamento Geral 
sobre a Proteção de 
Dados
•No Brasil geralmente 
fala-se em GDPR – sigla 
em inglês
Substituiu a anterior 
Diretiva 95/46/CE
Lembrar que a ideia 
de proteção de dados 
existe na Europa pelo 
menos desde a década 
de 1970
Há legislação 
complementar –
especialmente a 
Diretiva ePrivacy
Resposta do Brasil: criação da LGPD
Fonte: https://www.serpro.gov.br/lgpd/governo/qual-o-papel-do-agente-publico-lgpd
Slide 7
https://www.serpro.gov.br/lgpd/governo/qual-o-papel-do-agente-publico-lgpd
Características gerais da LGPD
Slide 8
Considera-se que a LGPD seja 80% semelhante ao RGPD – a lógica da
Lei brasileira segue a do Regulamento Europeu
Sancionada em agosto de 2018
Entrou em vigor em setembro de 2020 – à exceção das sanções
administrativas, que (ainda) entram em vigor em 1º de agosto de 2021
Estrutura da LGPD
Slide 9
Capítulo I – Disposições preliminares
• Objetivos
• Aplicação material e territorial
• Exclusões
• Definições
• Princípios
Capítulo II – Do Tratamento de Dados 
Pessoais
• Fundamentos de licitude
• Condições aplicáveis ao 
consentimento
• Informações a facultar ao titular
• Especificidades do legítimo 
interesse
• Tratamento de dados pessoais 
sensíveis
• Dados anonimizados
• Dados utilizados para estudos em 
saúde pública
• Tratamento de dados de crianças e 
adolescentes
• Término do tratamento
Capítulo III – Dos Direitos do Titular
Estrutura da LGPD
Slide 10
Capítulo IV – Do Tratamento de Dados 
Pessoais pelo Poder Público
• Regras
• Responsabilidades
Capítulo V – Da Transferência 
Internacional de Dados Pessoais
• Possibilidades
• Nível de proteção
• Cláusulas-padrão contratuais
Capítulo VI – Dos Agentes de 
Tratamento de Dados Pessoais
• Controlador
• Operador
• Encarregado pelo tratamento de 
dados pessoais
• Responsabilidade e ressarcimento 
de danos (controlador e operador)
Estrutura da LGPD
Slide 11
Capítulo VII – Da Segurança e das Boas 
Práticas
• Medidas de segurança
• Notificações à Autoridade Nacional 
(ANPD)
• Boas práticas
Capítulo VIII – Da Fiscalização
• Sanções administrativas
Capítulo IX – Da Autoridade Nacional 
de Proteção de Dados (ANPD) e do 
Conselho Nacional de Proteção de 
Dados Pessoais e da Privacidade
Capítulo X – Disposições Finais e Transitórias
Texto completo:
https://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709compilado.htm
https://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709compilado.htm
O artigo 1º
Slide 12
Esta Lei dispõe sobre o
tratamento de dados 
pessoais, inclusive nos 
meios digitais,
por pessoa natural ou 
por pessoa jurídica de 
direito público ou 
privado,
com o objetivo de 
proteger os direitos 
fundamentais de 
liberdade e de 
privacidade
e o livre 
desenvolvimento da 
personalidade da 
pessoa natural.
Aplicação em âmbito
territorial e material
Curso rápido Imersão LGPD
Fluxos transnacionais de dados
Slide 14
Fonte: Digital globalization: The new era of global flows. February 24, 2016. Disponível em https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/digital-globalization-the-new-era-of-global-flows. Acesso em 19 out 2020.
Fonte: Digital Globalization: The New Era of Global Flows. March 2016, p. vii. Disponível em 
https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20globali
zation%20The%20new%20era%20of%20global%20flows/MGI-Digital-globalization-Full-report.pdf. Acesso em 19 out 2020.
https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/digital-globalization-the-new-era-of-global-flows
https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20globalization%20The%20new%20era%20of%20global%20flows/MGI-Digital-globalization-Full-report.pdf
Aplicação em âmbito territorial e material
Slide 15
São considerados como dados coletados no território nacional os dados pessoais cujo titular nele se encontre no 
momento da coleta.
A Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou jurídica de direito público ou privado, 
independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
A operação de tratamento seja realizada no 
território nacional;
A atividade de tratamento tenha por objetivo a 
oferta ou o fornecimento de bens ou serviços 
ou o tratamento de dados de indivíduos 
localizados no território nacional; ou
Os dados pessoais objeto do tratamento 
tenham sido coletados no território nacional.
A que não se aplica a LGPD?
Slide 16
Tratamento realizado por pessoa 
natural para fins exclusivamente 
particulares e não econômicos;
Tratamento realizado para fins 
exclusivamente:
• Jornalísticos e artísticos ou 
acadêmicos;
• Segurança pública;
• Defesa nacional;
• Segurança do Estado; ou
• Atividades de investigação e 
repressão de infrações penais.
A que não se aplica a LGPD?
Slide 17
Também não se aplica ao tratamento de dados 
pessoais provenientes de fora do território 
nacional e que não sejam objeto de comunicação, 
uso compartilhado de dados com agentes de 
tratamento brasileiros ou objeto de transferência 
internacional de dados com outro país que não o 
de proveniência, desde que o país de 
proveniência proporcione grau de proteção de 
dados pessoais adequado ao previsto na Lei.
Empresa estrangeira no Brasil
Slide 18
A empresa estrangeira será notificada e
intimada de todos os atos processuais
previstos na Lei, independentemente de
procuração ou de disposição contratual ou
estatutária, na pessoa do agente ou
representante ou pessoa responsável por
sua filial, agência, sucursal, estabelecimento
ou escritório instalado no Brasil.
Conceitos básicos de 
proteção de dados
Curso rápido Imersão LGPD
Conceitos relevantes
Slide 20
Dado pessoal: informação relacionada a 
pessoa natural identificada ou 
identificável (= dado “normal”).
Dado pessoal sensível: dado pessoal 
sobre origem racial ou étnica, convicção 
religiosa, opinião política, filiação a 
sindicato ou a organização de caráter 
religioso, filosófico ou político, dado 
referente à saúde ou à vida sexual, 
dado genético ou biométrico, quando 
vinculado a uma pessoa natural.
Cuidado com a pegadinha!
Slide 21
Artigo11, §
1º:
Aplica-se o 
disposto 
neste 
artigo a
qualquer 
tratamento 
de dados 
pessoais
que revele
dados 
pessoais 
sensíveis
e que possa 
causar 
dano ao 
titular,
ressalvado 
o disposto 
em 
legislação 
específica.
Conceitos relevantes
Slide 22
Dado anonimizado: dado 
relativo a titular que não possa 
ser identificado, considerando a 
utilização de meios técnicos 
razoáveis e disponíveis na 
ocasião de seu tratamento.
Titular: pessoa natural a quem 
se referem os dados pessoais 
que são objeto de tratamento.
Conceitos relevantes
Slide 23
Controlador: pessoa natural 
ou jurídica, de direito 
público ou privado, a quem 
competem as decisões 
referentes ao tratamento de 
dados pessoais.
Operador: pessoa natural 
ou jurídica, de direito 
público ou privado, que 
realiza o tratamento de 
dados pessoais em nome do 
controlador.
Atenção à confusão conceitual e prática
Slide 24
Um colaborador/servidor público não é 
operador!
Conceitos relevantes
Slide 25
Encarregado pelo tratamento de 
dados pessoais (= DPO): pessoa 
indicada pelo controlador e 
operador para atuar como canal de 
comunicação entre o controlador, os 
titulares dos dados e a Autoridade 
Nacional de Proteção de Dados 
(ANPD).
Agentes de tratamento: o 
controlador e o operador.
Conceitos relevantes
Slide 26
Banco de dados: conjunto estruturado de 
dados pessoais, estabelecido em um ou 
em vários locais, em suporte eletrônico ou 
físico.
Tratamento: toda operação realizada com 
dados pessoais, como as que se referem a 
coleta, produção, recepção, classificação, 
utilização, acesso, reprodução, 
transmissão, distribuição, processamento, 
arquivamento, armazenamento, 
eliminação, avaliação ou controle da 
informação, modificação, comunicação, 
transferência, difusão ou extração.
Conceitos relevantes
Slide 27
Anonimização: utilização de 
meios técnicos razoáveis e 
disponíveis no momento do 
tratamento, por meio dos quais 
um dado perde a possibilidade 
de associação, direta ou 
indireta, a um indivíduo.
Consentimento: manifestação 
livre, informada e inequívoca
pela qual o titular concorda 
com o tratamento de seus 
dados pessoais para uma 
finalidade determinada.
Conceitos relevantes
Slide 28
Bloqueio: suspensão 
temporária de qualquer 
operação de tratamento, 
mediante guarda do dado 
pessoal ou do banco de 
dados.
Eliminação: exclusão de 
dado ou de conjunto de 
dados armazenados em 
banco de dados, 
independentemente do 
procedimento empregado.
Conceitos relevantes
Slide 29
Uso compartilhado de dados: comunicação, 
difusão, transferência internacional, 
interconexão de dados pessoais ou tratamento 
compartilhado de bancos de dados pessoais 
por órgãos e entidades públicos no 
cumprimento de suas competências legais, ou 
entre esses e entes privados, reciprocamente, 
com autorização específica, para uma ou mais 
modalidades de tratamento permitidas por 
esses entes públicos, ou entre entes privados.
Conceitos relevantes
Slide 30
Transferência internacional de dados: 
transferência de dados pessoais para 
país estrangeiro ou organismo 
internacional do qual o país seja 
membro.
Relatório de impacto à proteção de 
dados pessoais (= RIPD): documentação 
do controlador que contém a descrição 
dos processos de tratamento de dados 
pessoais que podem gerar riscos às 
liberdades civis e aos direitos 
fundamentais, bem como medidas, 
salvaguardas e mecanismos de 
mitigação de risco.
Conceitos relevantes
Slide 31
Órgão de pesquisa: órgão ou entidade da 
administração pública direta ou indireta ou 
pessoa jurídica de direito privado sem fins 
lucrativos legalmente constituída sob as leis 
brasileiras, com sede e foro no País, que 
inclua em sua missão institucional ou em seu 
objetivo social ou estatutário a pesquisa 
básica ou aplicada de caráter histórico, 
científico, tecnológico ou estatístico.
Autoridade Nacional de Proteção de Dados 
(= ANPD): órgão da administração pública 
responsável por zelar, implementar e 
fiscalizar o cumprimento da Lei em todo o 
território nacional.
Princípios para o 
tratamento de dados 
pessoais
Curso rápido Imersão LGPD
Princípios da LGPD
Slide 33
Boa-fé;
Finalidade: realização do 
tratamento para propósitos 
legítimos, específicos, explícitos 
e informados ao titular, sem 
possibilidade de tratamento 
posterior de forma incompatível 
com essas finalidades;
Adequação: compatibilidade do 
tratamento com as finalidades 
informadas ao titular, de acordo 
com o contexto do tratamento;
Princípios da LGPD
Slide 34
Necessidade: limitação do 
tratamento ao mínimo necessário 
para a realização de suas finalidades, 
com abrangência dos dados 
pertinentes, proporcionais e não 
excessivos em relação às finalidades 
do tratamento de dados;
Livre acesso: garantia, aos titulares, 
de consulta facilitada e gratuita sobre 
a forma e a duração do tratamento, 
bem como sobre a integralidade de 
seus dados pessoais;
Princípios da LGPD
Slide 35
Qualidade dos dados: garantia, aos titulares, de exatidão,
clareza, relevância e atualização dos dados, de acordo com a
necessidade e para o cumprimento da finalidade de seu
tratamento;
Transparência: garantia, aos titulares, de informações claras,
precisas e facilmente acessíveis sobre a realização do
tratamento e os respectivos agentes de tratamento,
observados os segredos comercial e industrial;
Princípios da LGPD
Slide 36
Segurança: utilização de medidas 
técnicas e administrativas aptas a 
proteger os dados pessoais de 
acessos não autorizados e de 
situações acidentais ou ilícitas de 
destruição, perda, alteração, 
comunicação ou difusão;
Prevenção: adoção de medidas 
para prevenir a ocorrência de 
danos em virtude do tratamento 
de dados pessoais;
Princípios da LGPD
Slide 37
Não discriminação: impossibilidade 
de realização do tratamento para fins 
discriminatórios ilícitos ou abusivos;
Responsabilização e prestação de 
contas: demonstração, pelo agente, 
da adoção de medidas eficazes e 
capazes de comprovar a observância 
e o cumprimento das normas de 
proteção de dados pessoais e, 
inclusive, da eficácia dessas medidas.
Bases legais
Curso rápido Imersão LGPD
As hipóteses de tratamento = bases legais
Slide 39
Consentimento (conforme algumas 
regras específicas)
Cumprimento de obrigação legal 
ou regulatória pelo controlador
Pela administração pública, para o 
tratamento e uso compartilhado de 
dados necessários à execução de 
políticas públicas previstas em leis e 
regulamentos ou respaldadas em 
contratos, convênios ou 
instrumentos congêneres
As hipóteses de tratamento = bases legais
Slide 40
PARA A REALIZAÇÃO DE 
ESTUDOS POR ÓRGÃO DE 
PESQUISA, GARANTIDA, 
SEMPRE QUE POSSÍVEL, A 
ANONIMIZAÇÃO DOS DADOS 
PESSOAIS
QUANDO NECESSÁRIO PARA A 
EXECUÇÃO DE CONTRATO OU 
DE PROCEDIMENTOS 
PRELIMINARES RELACIONADOS 
A CONTRATO DO QUAL SEJA 
PARTE O TITULAR, A PEDIDO 
DO TITULAR DOS DADOS
As hipóteses de tratamento = bases legais
Slide 41
Para o exercício regular de 
direitos em processo 
judicial, administrativo ou 
arbitral
Para a proteção da vida ou 
da incolumidade física do 
titular ou de terceiro
Para a tutela da saúde, 
exclusivamente, em 
procedimento realizado 
por profissionais de saúde, 
serviços de saúde ou 
autoridade sanitária
As hipóteses de tratamento = bases legais
Slide 42
Quando necessário para atender 
aos interesses legítimos do 
controlador ou de terceiro, exceto 
no caso de prevalecerem direitos e 
liberdades fundamentais do titular 
que exijam a proteção dos dados 
pessoais
Para a proteção do crédito, 
inclusive quanto ao disposto na 
legislação pertinente
As hipóteses de tratamento = bases legais
Slide 43
Quantas 
bases legais 
utilizar?
Apenas
uma.
Escolha
apenas
uma base 
legal por 
finalidade.
O tratamento de dados sensíveis
Slide 44
Também precisa se 
fundamentar em bases 
legais
Em suma, correspondem 
às mesmas bases legais 
acima apresentadas, à 
exceçãode execução de 
contrato e de legítimo 
interesse
O tratamento de dados sensíveis
Slide 45
Acresce-se uma nova base legal: 
a garantia da prevenção à 
fraude e à segurança do titular, 
nos processos de identificação e 
autenticação de cadastro em 
sistemas eletrônicos
O consentimento deve ser 
concedido pelo titular de forma 
específica e destacada
O tratamento de dados sensíveis
Slide 46
É vedada a comunicação ou o uso compartilhado
entre controladores de dados pessoais sensíveis
referentes à saúde com objetivo de obter vantagem
econômica. Exceções:
Hipóteses relativas à prestação de serviços de saúde, de
assistência farmacêutica e de assistência, incluídos os
serviços auxiliares de diagnose e terapia, em benefício
dos interesses dos titulares de dados;
A portabilidade de dados quando solicitada pelo titular;
As transações financeiras e administrativas resultantes do
uso e da prestação dos serviços de saúde.
O tratamento de dados sensíveis
Slide 47
É vedado às operadoras de planos privados de
assistência à saúde o tratamento de dados de saúde
para a prática de seleção de riscos na contratação
de qualquer modalidade, assim como na
contratação e exclusão de beneficiários.
O tratamento de dados públicos
Slide 48
O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-
fé e o interesse público que justificaram sua disponibilização.
É dispensada a exigência do consentimento para os dados tornados manifestamente
públicos pelo titular, resguardados os direitos do titular e os princípios previstos na Lei.
O tratamento posterior destes dados pessoais poderá ser realizado para novas finalidades
desde que observados os propósitos legítimos e específicos para o novo tratamento e a
preservação dos direitos do titular, assim como os fundamentos e os princípios previstos
na Lei.
E os dados de crianças e adolescentes?
Slide 49
O tratamento dos dados deverá ser realizado em seu melhor interesse.
O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento
específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
Obrigação: os controladores deverão manter pública a informação sobre os tipos de dados
coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos.
E os dados de crianças e adolescentes?
Slide 50
Podem ser coletados dados de menores sem 
consentimento quando:
Em nenhum caso poderão ser repassados a 
terceiro sem o consentimento dos pais ou 
responsável
A participação de menores em jogos, 
aplicações de internet ou outras atividades não 
pode ser condicionada ao fornecimento de 
informações pessoais além das estritamente 
necessárias à atividade.
• Coleta necessária para contatar os pais ou o
responsável legal;
• Utilizados uma única vez e sem armazenamento;
• Para a proteção da criança.
E os dados de crianças e adolescentes?
Slide 51
O controlador deve realizar todos os esforços razoáveis para verificar que o
consentimento foi dado pelo responsável pela criança, consideradas as tecnologias
disponíveis.
As informações sobre o tratamento de dados de crianças e adolescentes deverão ser
fornecidas de maneira simples, clara e acessível, consideradas as características
físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de
recursos audiovisuais quando adequado, de forma a proporcionar a informação
necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
Há ainda os dados anonimizados
Slide 52
Não são considerados dados pessoais para os fins da Lei.
Exceção: quando o processo de anonimização ao qual foram
submetidos for revertido, utilizando exclusivamente meios próprios,
ou quando, com esforços razoáveis, puder ser revertido.
“Esforço razoável”: custo e tempo necessários para reverter o
processo de anonimização, de acordo com as tecnologias disponíveis,
e a utilização exclusiva de meios próprios.
Por fim, o término do tratamento
Slide 53
Verificação de que a 
finalidade foi 
alcançada ou de que 
os dados deixaram 
de ser necessários ou 
pertinentes ao 
alcance da finalidade 
específica almejada
Fim do período de 
tratamento
Comunicação do 
titular, inclusive no 
exercício de seu 
direito de revogação 
do consentimento, 
resguardado o 
interesse público
Determinação da 
ANPD quando houver 
violação da Lei
Quando o tratamento termina?
O que acontece com os dados?
Slide 54
Os dados pessoais devem ser eliminados após o
término de seu tratamento.
É autorizada a conservação para as seguintes
finalidades:
Cumprimento de obrigação legal ou regulatória pelo
controlador;
Estudo por órgão de pesquisa, garantida, sempre que
possível, a anonimização;
Transferência a terceiro, desde que respeitados os
requisitos de tratamento de dados dispostos na Lei;
Uso exclusivo do controlador, vedado seu acesso por
terceiro, e desde que anonimizados os dados.
Pausa na sequência: 
o consentimento
Curso rápido Imersão LGPD
Características e exigências legais para ser válido
Slide 56
O consentimento deverá
ser fornecido por escrito
ou por outro meio que
demonstre a manifestação
de vontade do titular.
01
Caso o consentimento seja
fornecido por escrito, esse
deverá constar de cláusula
destacada das demais
cláusulas contratuais.
02
Cabe ao controlador o
ônus da prova de que o
consentimento foi obtido
em conformidade com a
Lei.
03
Características e exigências legais para ser válido
Slide 57
O consentimento 
deverá referir-se a 
finalidades 
determinadas.
Autorizações 
genéricas para o 
tratamento de dados 
pessoais são nulas.
Vício de 
consentimento 
invalida o tratamento 
de dados pessoais.
Características e exigências legais para ser válido
Slide 58
O consentimento pode ser revogado a qualquer
momento mediante manifestação expressa do
titular, por procedimento gratuito e facilitado,
ratificados os tratamentos realizados sob amparo
do consentimento anteriormente manifestado
enquanto não houver requerimento de eliminação
dos dados por parte do titular.
Características e exigências legais para ser válido
Slide 59
Havendo alteração da finalidade específica do
tratamento, da forma e da duração do tratamento, da
identificação do controlador ou das informações acerca
do uso compartilhado de dados pelo controlador e a
finalidade deste uso compartilhado, o controlador
deverá informá-la(s) ao titular, com destaque de forma
específica do teor das alterações, podendo o titular,
nos casos em que o seu consentimento é exigido,
revogá-lo caso discorde da alteração.
Pausa na sequência: 
o interesse legítimo
Curso rápido Imersão LGPD
Para que serve o interesse legítimo?
Slide 61
“Quando necessário para atender aos interesses legítimos do controlador ou 
de terceiro, exceto no caso de prevalecerem direitos e liberdades 
fundamentais do titular que exijam a proteção dos dados pessoais.”
Para que serve o interesse legítimo?
Slide 62
O legítimo interesse do controlador somente
poderá fundamentar tratamento de dados
pessoais para finalidades legítimas, consideradas
a partir de situações concretas, que incluem, mas
não se limitam a:
Apoio e promoção de atividades do controlador;
Proteção, em relação ao titular, do exercício regular de
seus direitos ou prestação de serviços que o
beneficiem, respeitadas as legítimas expectativas dele
e os direitos e liberdades fundamentais.
Boas práticas referentes ao interesse legítimo
Slide 63
• Não existe obrigatoriedade legal de se fazer uma avaliação do legítimo
interesse (LIA).
• Nem no RGPD, nem na LGPD.
• ICO: “Embora um teste de três partes não seja explicitamente estabelecido como tal
no RGPD do Reino Unido, a disposição sobre interesses legítimos incorpora três
elementos principais...”.
• No entanto, sua realização é considerada como boa prática porque serve
para comprovar que a empresa realmente se preocupa com a proteção de
dados dos titulares.
As três etapas da avaliação do legítimo interesse
Slide 64
Testeda finalidade: a empresa está perseguindo um interesse
legítimo?
Teste da necessidade: o tratamento é necessário para a
finalidade?
Teste de equilíbrio/balanceamento/proporcionalidade: os
interesses do titular prevalecem sobre os interesses da empresa?
O resultado da avaliação do legítimo interesse
Slide 65
Somente se a atividade de tratamento passar na avaliação do legítimo
interesse é que esta base legal poderá ser utilizada.
Uma avaliação do legítimo interesse deverá ser feita para cada atividade de
tratamento que o agente de tratamento queira ver fundada nesta base legal.
Obrigações de 
fornecimento de 
informações
Curso rápido Imersão LGPD
Informação e Transparência
Slide 67
As seguintes informações devem ser amplamente divulgadas ao titular dos
dados pessoais de forma clara, adequada e ostensiva:
Finalidade específica do tratamento;
Forma e duração do tratamento;
Identificação do controlador;
Informações de contato do controlador;
Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
Responsabilidades dos agentes que realizarão o tratamento; e
Direitos do titular, com menção explícita aos direitos.
Informação e Transparência
Slide 68
Se o tratamento de dados pessoais tiver como base legal o consentimento e estas informações forem
repassadas de maneira enganosa ou abusiva, o consentimento será considerado nulo.
Se o tratamento de dados pessoais tiver como base legal o consentimento e se houver mudanças da
finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador
deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o
consentimento caso discorde das alterações.
Informação e Transparência
Slide 69
Quando o tratamento de 
dados pessoais for condição 
para o fornecimento de 
produto ou de serviço ou para 
o exercício de direito, o titular 
será informado com destaque 
sobre esse fato e sobre os 
meios pelos quais poderá 
exercer os direitos do titular 
elencados no art. 18 da Lei.
Atenção a outros itens que devem ser informados
Slide 70
O nome e os 
contatos do 
DPO
A existência de 
decisões 
automatizadas
O mecanismo 
utilizado para 
transferências 
internacionais
E as medidas de 
segurança?
Outras obrigações dos agentes de tratamento
Slide 71
Controlador e operador 
devem manter um registro 
das atividades de 
tratamento realizadas
O controlador poderá ter 
de realizar um relatório de 
impacto à proteção de 
dados pessoais contendo:
Descrição dos tipos de 
dados coletados
Metodologia utilizada para 
a coleta e para a garantia 
da segurança das 
informações
Análise do controlador com 
relação a medidas, 
salvaguardas e mecanismos 
de mitigação de risco 
adotados
Outras obrigações dos agentes de tratamento
Slide 72
O operador deverá realizar o tratamento
segundo as instruções fornecidas pelo
controlador, que verificará a observância
das próprias instruções e das normas
sobre a matéria.
Pausa na sequência: 
o encarregado
Curso rápido Imersão LGPD
O encarregado pela proteção de dados (DPO)
Slide 74
Deverá ser indicado por todos os 
controladores, salvo eventual futura 
indicação em contrário da ANPD
Sua identidade e contatos deverão 
ser divulgadas publicamente, de 
preferência no site da empresa
O encarregado pela proteção de dados (DPO)
Slide 75
Funções:
Aceitar reclamações 
e comunicações dos 
titulares, prestar 
esclarecimentos e 
adotar providências;
Receber 
comunicações da 
ANPD e adotar 
providências;
Orientar os 
funcionários e os 
contratados da 
entidade a respeito 
das práticas a serem 
tomadas em relação 
à proteção de dados 
pessoais;
Executar as demais 
atribuições 
determinadas pelo 
controlador ou 
estabelecidas em 
normas 
complementares.
Direitos dos titulares
Curso rápido Imersão LGPD
Os direitos dos titulares de dados pessoais
Slide 77
Os dados pessoais são 
dos titulares – os 
agentes de tratamento 
apenas os utilizam
Em consequência, os 
titulares têm direitos 
que podem ser 
exercidos junto aos 
agentes de tratamento
Os direitos dos titulares de dados pessoais
Slide 78
Confirmação da existência 
de tratamento
Acesso aos dados
Correção de dados 
incompletos, inexatos ou 
desatualizados
Anonimização, bloqueio ou 
eliminação de dados 
desnecessários, excessivos 
ou tratados em 
desconformidade com o 
disposto na Lei
Os direitos dos titulares de dados pessoais
Slide 79
Portabilidade dos dados a outro 
fornecedor de serviço ou 
produto, mediante requisição 
expressa, de acordo com a 
regulamentação da autoridade 
nacional, observados os segredos 
comercial e industrial
Eliminação dos dados pessoais 
tratados com o consentimento 
do titular, exceto nas situações 
em que seja autorizada a 
conservação
Os direitos dos titulares de dados pessoais
Slide 80
Informação das 
entidades públicas e 
privadas com as 
quais o controlador 
realizou uso 
compartilhado de 
dados
Informação sobre a 
possibilidade de não 
fornecer 
consentimento e 
sobre as 
consequências da 
negativa
Revogação do 
consentimento
Peticionar em 
relação aos seus 
dados contra o 
controlador perante 
a autoridade 
nacional
Os direitos dos titulares de dados pessoais
Slide 81
Opor-se a tratamento realizado tendo como base legal outra que não o
consentimento, em caso de descumprimento ao disposto na Lei
Solicitar a revisão de decisões tomadas unicamente com base em tratamento
automatizado de dados pessoais que afetem seus interesses, incluídas as decisões
destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou
os aspectos de sua personalidade
Como exercer estes direitos?
Slide 82
Os direitos serão exercidos 
mediante requerimento 
expresso do titular ou de 
representante legalmente 
constituído, a agente de 
tratamento
O atendimento aos direitos 
deve ser feito de maneira 
gratuita para o titular
Como exercer estes direitos?
Slide 83
Em caso de impossibilidade de resposta
imediata, o controlador enviará ao
titular resposta em que poderá:
Comunicar que não é agente de
tratamento dos dados e indicar, sempre
que possível, o agente;
Indicar as razões de fato ou de direito que
impedem a adoção imediata da
providência.
Prazos para responder
Slide 84
Confirmação da existência de tratamento e acesso aos dados:
• Em formato simplificado: imediatamente;
• Por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de
registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e
industrial: em até 15 dias.
Demais direitos: não há prazo especificado na Lei = o mais rapidamente possível.
A ANPD poderá estabelecer outros prazos para setores específicos.
Pausa na sequência: 
uso de dados pessoais
pelo poder público
Curso rápido Imersão LGPD
Tratamento de dados pessoais pelo Poder Público
Slide 86
O tratamento de dados pessoais pelo poder público 
deverá ser realizado para o atendimento de sua 
finalidade pública, na persecução do interesse público, 
com o objetivo de executar as competências legais ou 
cumprir as atribuições legais do serviço público.
• Devem ser informadas as hipóteses em
que, no exercício de suas competências,
realizam o tratamento de dados
pessoais, fornecendo informações claras
e atualizadas sobre a previsão legal, a
finalidade, os procedimentos e as
práticas utilizadas para a execução
dessas atividades, em veículos de fácil
acesso, preferencialmente em seus sítios
eletrônicos;
• Deve ser indicado um encarregado
quando realizarem operações de
tratamento de dados pessoais.
• Pessoa jurídica de direito público: ver
parágrafo único do art. 1º da Lei nº
12.527, de 18 de novembro de 2011 (Lei
de Acesso à Informação).
Condições:
Prazos e procedimentos para exercício de direitos
Slide 87
Prazos e 
procedimentos 
para exercício dos 
direitos do titular 
perante o Poder 
Público
Observarão o 
disposto em 
legislaçãoespecífica
Lei nº 9.507, de 12 
de novembro de 
1997 (Lei do 
Habeas Data)
Lei nº 9.784, de 29 
de janeiro de 1999 
(Lei Geral do 
Processo 
Administrativo)
Lei nº 12.527, de 
18 de novembro 
de 2011 (Lei de 
Acesso à 
Informação)
Cartórios
Slide 88
Os serviços notariais e de registro exercidos em caráter
privado, por delegação do Poder Público, terão o mesmo
tratamento dispensado ao poder público.
Devem fornecer acesso aos dados por meio
eletrônico para a administração pública, tendo
em vista as finalidades anteriormente indicadas.
Formato e compartilhamento de dados
Slide 89
Os dados deverão ser mantidos em 
formato interoperável e estruturado 
para o uso compartilhado, com vistas à 
execução de políticas públicas, à 
prestação de serviços públicos, à 
descentralização da atividade pública e à 
disseminação e ao acesso das 
informações pelo público em geral.
O uso compartilhado de dados pessoais pelo 
Poder Público deve atender a finalidades 
específicas de execução de políticas públicas e 
atribuição legal pelos órgãos e pelas entidades 
públicas, respeitados os princípios de proteção 
de dados pessoais.
A regra e as exceções (1)
Slide 90
O Poder Público não pode 
transferir a entidades 
privadas dados pessoais 
constantes de bases de 
dados a que tenha acesso.
Execução descentralizada de atividade pública que exija a transferência,
exclusivamente para esse fim específico e determinado.
Nos casos em que os dados forem acessíveis publicamente, observadas as
disposições da Lei.
Quando houver previsão legal ou a transferência for respaldada em
contratos, convênios ou instrumentos congêneres.
Na hipótese de a transferência dos dados objetivar exclusivamente a prevenção
de fraudes e irregularidades, ou proteger e resguardar a segurança e a
integridade do titular dos dados, vedado o tratamento para outras finalidades.
A regra e as exceções (2)
Slide 91
A comunicação ou o uso 
compartilhado de dados 
pessoais de pessoa jurídica de 
direito público a pessoa de 
direito privado será informado à 
ANPD e dependerá de 
consentimento do titular.
Exceções:
Nas hipóteses de dispensa de 
consentimento previstas na Lei.
Nos casos de uso compartilhado 
de dados.
Nos casos das exceções 
apresentadas anteriormente.
Infrações pelo Poder Público
Slide 92
Quando houver infração à LGPD em decorrência 
do tratamento de dados pessoais por órgãos 
públicos, a ANPD poderá enviar informe com 
medidas cabíveis para fazer cessar a violação.
A ANPD poderá solicitar a agentes do Poder 
Público a publicação de relatórios de impacto à 
proteção de dados pessoais e sugerir a adoção 
de padrões e de boas práticas para os 
tratamentos de dados pessoais pelo Poder 
Público.
Transferências
internacionais de dados
Curso rápido Imersão LGPD
O que são transferências internacionais?
Slide 94
Compartilhamento de 
base de dados de RH 
entre empresas do 
mesmo grupo (matriz-
filial)
Armazenamento de 
dados em data centers 
fisicamente localizados 
no exterior
Terceirização de serviço 
de atendimento ao 
consumidor
Contratação de 
provedor de 
computação em serviço 
de nuvem estrangeiro
Contratação de 
provedor de e-mail 
estrangeiro
As transferências internacionais na LGPD
Slide 95
Para países ou 
organismos 
internacionais que 
proporcionem grau de 
proteção de dados 
pessoais adequado ao 
previsto na Lei
Quando o titular tiver 
fornecido o seu 
consentimento 
específico e em 
destaque para a 
transferência, com 
informação prévia 
sobre o caráter 
internacional da 
operação, distinguindo 
claramente esta de 
outras finalidades
Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção 
de dados previstos na Lei, na forma de
Cláusulas contratuais 
específicas para 
determinada 
transferência
Cláusulas-padrão 
contratuais
Normas corporativas 
globais
Selos, certificados e 
códigos de conduta 
regularmente emitidos
O conteúdo de todos 
estes itens serão 
definidos pela 
ANPD.
Três situações 
principais
Outras situações
Slide 96
Quando a transferência for 
necessária para a cooperação 
jurídica internacional entre 
órgãos públicos de inteligência, 
de investigação e de persecução, 
de acordo com os instrumentos 
de direito internacional
Quando a transferência for 
necessária para a proteção da 
vida ou da incolumidade física do 
titular ou de terceiro
Quando a autoridade nacional 
autorizar a transferência
Outras situações
Slide 97
Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional
Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público
Quando necessário para o cumprimento de obrigação legal ou regulatória pelo controlador, para a execução de
contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do
titular dos dados, ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral
Segurança dos dados 
pessoais
Curso rápido Imersão LGPD
As medidas de segurança
Slide 99
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas
aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito.
Estas medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até
a sua execução (privacy by design).
A ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável quais são as medidas de segurança 
técnicas e administrativas, considerados a natureza das informações tratadas, as características específicas do 
tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis.
As medidas de segurança
Slide 100
Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma 
das fases do tratamento obriga-se a garantir a segurança da informação 
prevista na Lei em relação aos dados pessoais, mesmo após o seu término.
Sobre incidentes de segurança
Slide 101
C
o
n
te
ú
d
o
 d
a 
n
o
ti
fi
ca
çã
o
:
A descrição da natureza dos dados 
pessoais afetados;
As informações sobre os titulares 
envolvidos;
A indicação das medidas técnicas e 
de segurança utilizadas para a 
proteção dos dados, observados os 
segredos comercial e industrial;
Os riscos relacionados ao incidente;
Os motivos da demora, no caso de 
a comunicação não ter sido 
imediata; e
As medidas que foram ou que serão 
adotadas para reverter ou mitigar 
os efeitos do prejuízo.
Em caso de violações de dados 
pessoais, o controlador deverá 
comunicar à ANPD e ao titular, 
em prazo razoável, a ocorrência 
de incidente de segurança que 
possa acarretar risco ou dano 
relevante aos titulares
Comunicação de incidentes de segurança
Slide 102
Orientações 
prévias da 
ANPD, 2 de 
março de 
2021
• Prazo para comunicação à ANPD:
• Enquanto pendente a regulamentação,
recomenda-se que após a ciência do evento
adverso e havendo risco relevante, a ANPD seja
comunicada com a maior brevidade possível,
sendo tal considerado a título indicativo o prazo
de 2 dias úteis, contados da data do
conhecimento do incidente.
Sobre a gravidade dos incidentes de segurança
Slide 103
A ANPD verificará a gravidade 
do incidente e poderá, caso 
necessário para a salvaguarda 
dos direitos dos titulares, 
determinar ao controlador a 
adoção de providências, tais 
como:
Ampla divulgação do fato em 
meios de comunicação;
Medidas para reverter ou 
mitigar os efeitos do incidente.
No juízo de gravidade do
incidente, será avaliada eventual
comprovação de que foram
adotadas medidas técnicas
adequadas que tornem os dados
pessoais afetados ininteligíveis, no
âmbito e nos limites técnicos de
seus serviços, para terceiros não
autorizados a acessá-los.
Os sistemas utilizados para o
tratamento de dados pessoaisdevem ser estruturados de forma
a atender aos requisitos de
segurança, aos padrões de boas
práticas e de governança e aos
princípios gerais previstos na Lei e
às demais normas regulamentares.
As boas práticas
Slide 104
Os controladores e operadores poderão formular 
regras de boas práticas e de governança
Condições de 
organização
Regime de 
funcionamento
Procedimentos, 
incluindo 
reclamações e 
petições de 
titulares
Normas de 
segurança
Padrões 
técnicos
Obrigações 
específicas para 
os diversos 
envolvidos no 
tratamento
Ações 
educativas
Mecanismos 
internos de 
supervisão e de 
mitigação de 
riscos
Outros aspectos 
relacionados ao 
tratamento de 
dados pessoais
As boas práticas
Slide 105
A natureza
O escopo
A finalidade
A probabilidade e a gravidade dos 
riscos e dos benefícios decorrentes de 
tratamento de dados do titular
Ao estabelecer regras de 
boas práticas, o 
controlador e o operador 
levarão em consideração, 
em relação ao 
tratamento e aos dados:
O programa de privacidade
Slide 106
Programa de 
governança em 
privacidade
Demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o
cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais
Ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do
modo como se realizou sua coleta
Ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados
tratados
Estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e
riscos à privacidade
Ter o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que
assegure mecanismos de participação do titular
Estar integrado a sua estrutura geral de governança e estabelecer e aplicar mecanismos de supervisão internos
e externos
Contar com planos de resposta a incidentes e remediação
Ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e
avaliações periódicas
A responsabilização e prestação de contas
Slide 107
Não adianta apenas dizer que faz: tem de
provar que faz, e provar que o que faz protege
os dados dos titulares
A responsabilização e prestação de contas
Slide 108
Toda empresa deve demonstrar 
a efetividade de seu programa 
de governança em privacidade 
quando apropriado e, em 
especial, a pedido da ANPD ou 
de outra entidade responsável 
por promover o cumprimento 
de boas práticas ou códigos de 
conduta, os quais, de forma 
independente, promovam o 
cumprimento da Lei.
As regras de boas práticas e de 
governança deverão ser 
publicadas e atualizadas 
periodicamente e poderão ser 
reconhecidas e divulgadas pela 
ANPD.
Dados pessoais legados: o que fazer?
Slide 109
ISTO NÃO É MOTIVO PARA QUE AS EMPRESAS ESPEREM A LEI ENTRAR EM 
VIGOR PARA SE ADEQUAR!
A ANPD ESTABELECERÁ NORMAS SOBRE A ADEQUAÇÃO PROGRESSIVA DE 
BANCOS DE DADOS CONSTITUÍDOS ATÉ A DATA DE ENTRADA EM VIGOR DA LEI, 
CONSIDERADAS A COMPLEXIDADE DAS OPERAÇÕES DE TRATAMENTO E A 
NATUREZA DOS DADOS.
Supervisão da LGPD
Curso rápido Imersão LGPD
A responsabilidade na LGPD
Slide 111
O controlador ou o operador que, em razão do exercício de atividade de 
tratamento de dados pessoais, causar a outrem dano patrimonial, moral, 
individual ou coletivo, em violação à legislação de proteção de dados 
pessoais, é obrigado a repará-lo.
A responsabilidade na LGPD
Slide 112
O operador responde solidariamente 
pelos danos causados pelo tratamento 
quando descumprir as obrigações da 
legislação de proteção de dados ou
quando não tiver seguido as 
instruções lícitas do controlador, 
hipótese em que o operador 
equipara-se ao controlador
Os controladores que estiverem 
diretamente envolvidos no 
tratamento do qual decorreram danos 
ao titular dos dados respondem 
solidariamente
A responsabilidade na LGPD
Slide 113
Aquele que reparar o dano 
ao titular tem direito de 
regresso contra os demais 
responsáveis, na medida de 
sua participação no evento 
danoso.
Os agentes de tratamento 
só não serão 
responsabilizados quando 
provarem:
Que não realizaram o 
tratamento de dados 
pessoais que lhes é 
atribuído;
Que, embora tenham 
realizado o tratamento de 
dados pessoais que lhes é 
atribuído, não houve 
violação à legislação de 
proteção de dados;
Que o dano é decorrente 
de culpa exclusiva do 
titular dos dados ou de 
terceiro.
A Autoridade Nacional de Proteção de Dados
Slide 114
Está dando seus 
“passos iniciais”.
Órgão da 
administração pública 
federal, integrante da 
Presidência da 
República.
Tem autonomia 
técnica e decisória.
Funções básicas: 
fiscalizar, conscientizar, 
aplicar sanções, 
promover estudos, 
elaborar relatórios, 
editar regulamentos, 
realizar auditorias, 
editar normas, etc.
As sanções administrativas
Slide 115
Advertência, com indicação de prazo 
para adoção de medidas corretivas
Multa simples, de até 2% (dois por 
cento) do faturamento da pessoa 
jurídica de direito privado, grupo ou 
conglomerado no Brasil no seu último 
exercício, excluídos os tributos, 
limitada, no total, a R$ 50.000.000,00 
(cinquenta milhões de reais) por 
infração
As sanções administrativas
Slide 116
Multa diária, observado o limite dos 50 milhões de
reais
Publicitação da infração após devidamente apurada
e confirmada a sua ocorrência
Bloqueio dos dados pessoais a que se refere a
infração até a sua regularização
Eliminação dos dados pessoais a que se refere a
infração
As sanções administrativas
Slide 117
SUSPENSÃO PARCIAL DO FUNCIONAMENTO DO BANCO DE DADOS A QUE SE REFERE A
INFRAÇÃO PELO PERÍODO MÁXIMO DE 6 (SEIS) MESES, PRORROGÁVEL POR IGUAL
PERÍODO, ATÉ A REGULARIZAÇÃO DA ATIVIDADE DE TRATAMENTO PELO CONTROLADOR
SUSPENSÃO DO EXERCÍCIO DA ATIVIDADE DE TRATAMENTO DOS DADOS PESSOAIS
A QUE SE REFERE A INFRAÇÃO PELO PERÍODO MÁXIMO DE 6 (SEIS) MESES,
PRORROGÁVEL POR IGUAL PERÍODO
PROIBIÇÃO PARCIAL OU TOTAL DO EXERCÍCIO DE ATIVIDADES RELACIONADAS A
TRATAMENTO DE DADOS
Procedimento administrativo para sanções
Slide 118
As sanções serão aplicadas após procedimento administrativo que 
possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou 
cumulativa, de acordo com as peculiaridades do caso concreto e 
considerados os seguintes parâmetros e critérios:
Procedimento administrativo para sanções
Slide 119
A gravidade e a natureza das 
infrações e dos direitos pessoais 
afetados;
A boa-fé do infrator;
A vantagem auferida ou 
pretendida pelo infrator;
A condição econômica do infrator;
A reincidência; O grau do dano; A cooperação do infrator;
A adoção reiterada e demonstrada 
de mecanismos e procedimentos 
internos capazes de minimizar o 
dano, voltados ao tratamento 
seguro e adequado de dados, em 
consonância com o disposto no 
inciso II do § 2º do art. 48 da Lei;
A adoção de política de boas 
práticas e governança;
A pronta adoção de medidas 
corretivas; e
A proporcionalidade entre a 
gravidade da falta e a intensidade 
da sanção.
As sanções administrativas
Slide 120
Estas sanções não substituem a aplicação de outras sanções administrativas, civis ou penais
definidas no CDC
No cálculo do valor das multas, a ANPD poderá considerar o faturamento total da empresa
ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade
empresarial em que ocorreu a infração, definido pela ANPD, ou quando o valor for
apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.
Proporcionalidade na aplicação de sanções
Slide 121
A ANPD definirá, por meio de regulamento 
próprio sobre sanções administrativas a 
infrações à Lei, que deverá ser objeto de 
consulta pública, as metodologias que 
orientarão o cálculo do valor-base das sanções 
de multa.
Estas metodologias devem ser previamente 
publicadas, para ciência dos agentes de 
tratamento, e devem apresentar 
objetivamenteas formas e dosimetrias para o 
cálculo do valor-base das sanções de multa, 
que deverão conter fundamentação detalhada 
de todos os seus elementos, demonstrando a 
observância dos critérios previstos na Lei.
O regulamento de sanções e metodologias 
correspondentes deve estabelecer as 
circunstâncias e as condições para a adoção de 
multa simples ou diária.
Valor da multa diária
Slide 122
O valor da sanção de multa diária aplicável às infrações à Lei deve observar a gravidade da falta e a
extensão do dano ou prejuízo causado e ser fundamentado pela ANPD.
A intimação da sanção de multa diária deverá conter, no mínimo, a descrição da obrigação imposta, o
prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada
pelo seu descumprimento.
Considerações finais
Curso rápido Imersão LGPD
Um fato
Slide 124
A empresa que não se adequar poderá estar gerando um problema futuro 
para ela: será melhor responder ao titular e/ou à ANPD do que em outras 
instâncias, inclusive fiscalizadoras (MPDFT, Senacom, Procon, etc.)
Independentemente de sanções por parte da ANPD, os titulares irão 
buscar seus direitos, provavelmente via Justiça
Dicas importantes
Slide 125
Compreender que a LGPD funda-se no princípio da responsabilidade.
A empresa precisa demonstrar conformidade com as legislações de proteção de
dados.
A fiscalização da ANPD será sucessiva e no âmbito da legislação de proteção de dados.
Garantir a segurança da informação não leva à automática proteção dos dados
pessoais – são conceitos interligados, mas distintos.
O que fazer?
Slide 126
Para se adequar uma empresa precisa estruturar um programa de privacidade.
Ainda que o conteúdo exato deste programa seja variável (em decorrência do
tamanho da empresa, setor de atuação etc.), o programa tem alguns pontos
gerais que se aplicam a qualquer empresa.
O Programa de Privacidade
Slide 127
Entendimento da 
visão da empresa 
sobre privacidade
Mapeamento da 
situação atual da 
empresa
Análise da situação 
atual da empresa
Proposição de 
melhorias com vistas 
ao cumprimento das 
exigências legais
Criação de um sistema 
de manutenção 
contínua do programa 
de privacidade
Avaliação contínua do 
programa de 
privacidade
Obrigado!
Obrigado pela parceria e pela paciência ☺
Redes (LinkedIn, Instagram, YouTube):
@tiexames
@profmatheuspassos
Slide 128

Mais conteúdos dessa disciplina

Conteúdos escolhidos para você

Lei Geral de Proteção de Dados (LGPD)
81 pág.

Lei Geral de Proteção de Dados (LGPD)

ESTÁCIO

MATERIAL PARA CERTIFICAÇÃO LGPD CERTIPROF
81 pág.

MATERIAL PARA CERTIFICAÇÃO LGPD CERTIPROF

SENAC GO

LEI GERAL DE PROTEÇÃO DE DADOS - LGPD - Lei nº 13 709/18
9 pág.

LEI GERAL DE PROTEÇÃO DE DADOS - LGPD - Lei nº 13 709/18

UFPE

E-book - Perguntas e respostas sobre a LGPD
20 pág.

E-book - Perguntas e respostas sobre a LGPD

100_Perguntas_sobre_LGPD
40 pág.

100_Perguntas_sobre_LGPD

UNINTER

Perguntas dessa disciplina

Question Icon

Qual o meio de aplicação das sanções por violações ao tratamento de dados, segundo a Lei Geral de Proteção de Dados (LGPD)?

UFF

Question Icon

De acordo com a Lei Geral de Proteção de Dados (LGPD), quem são considerados agentes de tratamento de dados?

FIC

Question Icon

De onde são as fontes da LGPD?

Question Icon

Entre as obrigações do controlador, elencadas na Lei Geral de Proteção de Dados (LGPD), estão: