lgpd

Prévia do material em texto

Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Estudo clássico de Latanya Sweeney - Carnegie Mellon University – Ano: 20001
Fonte: http://dataprivacylab.org/projects/identifiability/paper1.pdf
87% da população pôde ser 
identificada com 
exclusividade baseado no 
cruzamento dos dados do 
CEP, gênero e data de 
nascimento.
50% da população pode 
ser identificada com 
exclusividade baseado no 
cruzamento dos dados do 
município, gênero e data 
de nascimento.
Proposição: 
o uso de dados 
demográficos simples 
muitas vezes Identificam 
pessoas com exclusividade
INTRODUÇÃO
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Estudo realizado pelo Media Lab do Instituto de Massachussets (MIT) – Ano 2015
Fonte: http://brasil.elpais.com/brasil/2015/01/29/ciencia/1422520042_066660.html
Base de dados
Transações de pagamentos 
eletrônicos de 1,1 milhão 
de clientes em 10.000 lojas 
durante os meses de 
janeiro e março de 2014
Dados observados
4 Transações, os dias e a 
lista de lojas dessas 
transações.
4 Transações, dias, lojas e 
valores gastos.
Resultado 1
Em 90% dos casos é 
possível individualizar a 
pessoa.
Resultado 2
Em 94% dos casos é 
possível individualizar a 
pessoa.
Proposição: 
Algoritmos matemáticos permitem identificar uma pessoa baseando-se 
em seus hábitos de compra – Uso de metadados. 
INTRODUÇÃO
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Tratamento ilegal de dados pessoais.
A lei prevê a proteção dos dados pessoais contra o quê?
A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por
pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de
proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento
da personalidade da pessoa natural.
INTRODUÇÃO
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
PJ DIREITO PRIVADO (art. 44º do Código Civil de 2002): 
As associações;
As sociedades;
As fundações;
As organizações religiosas;
Os partidos políticos;
As empresas individuais de responsabilidade limitada.
INTRODUÇÃO
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Art. 2º da LGPDP:
A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor;
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e 
o exercício da cidadania pelas pessoas naturais.
INTRODUÇÃO
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Destacando:
A autodeterminação informativa*: a capacidade da pessoa natural de poder decidir sobre
o acesso aos seus dados pessoais, por terceiros, desde que tenha os elementos informativos
para amparar para tal decisão.
- É obrigação do Controlador fornecer as informações sobre tais dados e seu tratamento.
* Art. 2º, inciso II.
INTRODUÇÃO
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Entendendo a LGPD
Aplicação (Art. 3º)
Aplica-se a lei a 
qualquer operação 
de tratamento, 
independentemente 
do meio, do país de 
sua sede ou do país 
onde estejam 
localizados os dados, 
desde que:
INTRODUÇÃO
O tratamento seja 
realizada no território 
nacional.
O tratamento tenha por 
objetivo a oferta ou o 
fornecimento de bens ou 
serviços.
O tratamento de dados 
seja de indivíduos 
localizados no território 
nacional
Os dados pessoais 
objeto do tratamento 
tenham sido coletados 
no território nacional 
(mesmo que de um 
estrangeiro)
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Entendendo a 
LGPD
Não Aplicação (Art. 
4º)
Realizado por pessoa 
natural para fins 
exclusivamente 
particulares e não 
econômicos.
Realizado para fins 
exclusivamente 
jornalístico e 
artísticos.
Realizado para fins 
acadêmicos, 
aplicando-se os arts. 
7º e 11º.
Realizado para fins 
exclusivos de segurança 
pública; defesa nacional; 
segurança do Estado ou 
atividades de investigação e 
repressão de infrações 
penais.
INTRODUÇÃO
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Entendendo a LGPD
Não Aplicação (Art. 4º)
Proveniente de fora do território nacional 
e que não seja objeto de comunicação, 
uso compartilhado de dados com 
agentes de tratamento brasileiros ou 
objeto de transferência internacional de 
dados com outro país que não o de 
proveniência, desde que o país de 
proveniência proporcione grau de 
proteção de dados pessoais adequados 
ao previsto nesta lei.
INTRODUÇÃO
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
FUNDAMENTOS E REGULAMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS 
PESSOAIS
Privacy and Data Protection Essentials - © HSI Institute. Todos os direitos reservados. 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1.1 – Definições
1.1.1 – O que é privacidade?
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.1.1 – O que é privacidade?
1.1 – Definições
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Intitulada “The Tradeoff Falacy” (“A falácia do tradeoff), a pesquisa entrevistou 1506 usuários de internet
residentes nos EUA entre fevereiro e março de 2015, e mostrou que 91% dos entrevistados não
acreditam que ser vigiado por empresas sem aviso, em troca de descontos, seja uma troca justa. 84% dos
entrevistados gostariam de ter controle sobre o que os publicitários e as empresas podem descobrir sobre eles
através de suas atividades na internet. 65% acreditam que não exercem quase nenhum controle sobre quais
informações pessoais podem ser coletadas.
Para um dos autores da pesquisa, o professor Joseph Turow, da Universidade da Pensilvânia, a maior
preocupação que advém dos resultados é que, a longo prazo, as pessoas deixem de confiar na “própria
instituição do comércio”. Apenas 43% dos entrevistados diz que aceitaria descontos e facilidades sem saber
que tipo de informação as empresas comerciais podem obter.
Fonte: https://www.cartacapital.com.br/sociedade/voce-trocaria-sua-privacidade-por-descontos-em-produtos-4348/
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.1 – Definições
1.1.1 – O que é privacidade?
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
O direito à privacidade, concebido como uma tríade de
direitos – direito de não ser monitorado; direito de não ser
registrado e direito de não ser reconhecido (direito de não
ter registros pessoais publicados) – transcende, pois, nas
sociedades informacionais, os limites de mero direito de
interesse privado para se tornar um dos fundamentos do
Estado Democrático de Direito.
VIANNA, Túlio Lima. Transparência pública, opacidade privada: o direito como
instrumentode limitação do poder na sociedade de controle. Rio de Janeiro: Revan,
2007, pag. 116
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.1 – Definições
1.1.1 – O que é privacidade?
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1.1 – Definições
1.1.2 – Relação da Privacidade com Proteção de Dados Pessoais
BASE LEGAL ANO
DECLARAÇÃO UNIVERSAL DH 1948
CONSTITUIÇÃO FEDERAL 1988
LEI 8.078 - CDC 1990
LEI 10.406 - CÓDIGO CIVIL 1916/2002
LEI 9.296 - INTERCEPTAÇÃO 1996
LEI 9.472 - LGT 1997
LEI 9.507 - HABEAS DATA 1997
LEI 9.983 – SOBRE A INSERÇÃO 
DADOS FALSOS NA ADM PÚBLICA
2000
LC 105 - SIGILO BANCÁRIO 2001
PORTARIA 5 MIN. JUSTIÇA/SDE –
CLÁUSULAS ABUSIVAS
2002
RESOLUÇÃO 245 CONATRAN –
RASTREAMENTO VEÍCULO
2007
BASE LEGAL ANO
RESOLUÇÃO CFM 1.821 – SRE PM 2007
DL 6.135 – CAD ÚNICO OS/GF 2007
DL 6.425 – CENSO ANUAL 
EDUCAÇÃO
2008
DL 6.523 – SAC 2008
LEI 12.414 – CADASTRO POSITIVO 2011
LEI 12.527 – LAI 2011
LEI 12.737 – CRIMES NA INTERNET 
(LEI “CAROLINA DIECKMANN”)
2012
DL 7.962 – COMÉRCIO ELETRÔNICO 2013
LEI 12.965 – MCI 2015
DL 8.771 – REGULAMENTO MCI 2015
DL 8.777 – POLÍTICA DADOS 
ABERTOS
2016
BASE LEGAL ANO
LEI 13.444 – ID CIVIL NACIONAL 2017
DL 9319 – SIST NAC TRANSF DIGITAL 2018
DL 9637 – PNSI 2018
LEI 13.709 – LGPDP 2018
LEI 13.787 – PRONTUÁRIO MÉDICO 2018
COM. BACEN OPEN BANKING 2019
DL 9854 – PN INTERNET DAS COISAS 2019
DL 10.046 – COMPARTILHAMENTO 
DE DADOS NA APF
2019
PORTARIA 96 – GLOSSÁRIO SI 2019
LEI 14.010 – VIGÊNCIA DOS 
DISPOSITIVOS SOBRE PENALIDADES
2020
DECRETO 10.332 – ESTRATÉGIA DO 
GOVERNO DIGITAL PARA APF
2020
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1.1 – Definições
1.1.2 – Definição histórica de Privacidade
É o direito à reserva de informações pessoais e da
própria vida privada: the right to be let alone (literalmente
"o direito de ser deixado em paz"), segundo o jurista norte-
americano Louis Brandeis, que foi provavelmente o
primeiro a formular o conceito de direito à privacidade,
juntamente com Samuel Warren.
Brandeis inspirou-se na leitura da obra do filósofo Ralph
Waldo Emerson, que propunha a solidão como critério e
fonte de liberdade.
VIANNA, Túlio Lima. Transparência pública, opacidade privada: o direito como
instrumento de limitação do poder na sociedade de controle. Rio de Janeiro: Revan,
2007, pag. 106 e 107.
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1.1 – Definições
1.1.2 – Definição histórica de Privacidade
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1.1 – Definições
1.1.2 – Privacidade no Brasil
A privacidade é, indiscutivelmente, um dos bem mais
íntimos do ser humano, pois sem ela o homem é violado
em sua personalidade.
Diante disso, a Constituição Federal de 1988, declarou no
seu artigo 5°, inciso X, sobre a inviolabilidade à intimidade,
à vida privada, à honra e a imagem das pessoas, bem como
assegurou o direito a indenização por eventuais danos
decorrentes de sua violação. Portanto, a privacidade tem
um estatuto constitucional de inviolabilidade, como termo
em que deferem também as garantias individuais
fundamentais do direito vida, à liberdade, à igualdade, à
segurança e à propriedade.
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
LGPDP –
CONCEITOS E
PRINCÍPIOS
Dados 
Pessoais
Lei
Titular
Controlador
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1.1 – Definições
1.1.3 – LGPDP e os seus conceitos
Art. 5º da LGPDP:
Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização
de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma
pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e
disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
(Continua)
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Art. 5º da LGPDP - continuação:
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados
pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos
dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019)
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou extração;
(Continua)
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.1 – Definições
1.1.3 – LGPDP e os seus conceitos
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Art. 5º da LGPDP - continuação:
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a
possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para
uma finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento
empregado;
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país
seja membro;
(Continua)
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.1 – Definições
1.1.3 – LGPDP e os seus conceitos
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Art. 5º da LGPDP - continuação:
XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento
compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e
entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes
públicos, ou entre entes privados;
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento
de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de
mitigação de risco;
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins
lucrativoslegalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo
social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e (Redação dada pela Lei nº
13.853, de 2019) e
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o
território nacional (Redação dada pela Lei nº 13.853, de 2019).
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.1 – Definições
1.1.3 – LGPDP e os seus conceitos
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1.1 – Definições
1.1.3 – LGPDP e os seus conceitos
Art. 5º, X da LGPDP: Tratamento
toda operação realizada com dados pessoais, como as que
se referem a coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou
extração.
DESTACANDO
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1.1 – Definições
1.1.3 – LGPDP e os seus conceitos
Art. 12º da LGPDP:
Os dados anonimizados não serão considerados dados
pessoais para os fins desta Lei, salvo quando o processo de
anonimização ao qual foram submetidos for revertido,
utilizando exclusivamente meios próprios, ou quando, com
esforços razoáveis, puder ser revertido.
DESTACANDO
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1.1 – Definições
1.1.3 – LGPDP e os seus conceitos
Art. 13º, § 4º, da LGPDP:
Para os efeitos deste artigo, a pseudonimização é o
tratamento por meio do qual um dado perde a
possibilidade de associação, direta ou indireta, a um
indivíduo, senão pelo uso de informação adicional mantida
separadamente pelo controlador em ambiente controlado
e seguro.
DESTACANDO
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.2 – Dados Pessoais
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.2 – Dados Pessoais
1.2.0 – O que são Dados Pessoais?
Conforme a definição legal (art. 5º, I, da LGPDP), o dado pessoal é a informação relacionada a uma pessoa natural,
identificada ou identificável.
Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma
determinada pessoa.
Dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam ser
utilizados para reidentificar uma pessoa, continuam a ser dados pessoais e estão abrangidos no âmbito de
aplicação da LGPDP.
Dados pessoais que tenham sido tornados anônimos de modo a que a pessoa não seja ou deixe de ser
identificável deixam de ser considerados dados pessoais. Para que os dados sejam verdadeiramente
anonimizados, a anonimização tem de ser irreversível.
O conceito de dados pessoais não se limita a informações que possam ser consideradas prejudiciais à vida privada
e familiar do indivíduo. Nem o meio em que a informação está contida é relevante e isso inclui informações
disponíveis sob qualquer forma: texto, figuras, gráficos, fotografia, vídeo, áudio ou qualquer outro meio possível.
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.2 – Dados Pessoais
1.2.0 – O que são Dados Pessoais?
Exemplos de Dados Pessoais:
O nome e apelido;
O endereço de uma residência;
O número de um cartão de identificação;
Dados de localização;
Um endereço IP (protocolo de internet);
Registros de conexão (cookies);
O identificador do seu telefone.
.................................................................
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.2 – Dados Pessoais
1.2.1 – Definição de Dados Pessoais pela LGPDP
Art. 5º LGPDP:
Informação relativa a uma pessoa natural identificada ou identificável.
É considerada identificável uma pessoa natural que possa ser identificada, direta ou indiretamente,
em especial por referência a um identificador, como por exemplo um nome, um número de
identificação, dados de localização, identificadores por via eletrônica ou um ou mais elementos
específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa
pessoa natural.
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.2 – Dados Pessoais
1.2.1 – Definição de Dados Pessoais pela LGPDP
Alargamento da qualificação do dado como pessoal
Pessoa identificada
Pessoa determinada/específica
Vínculo imediato, direto, preciso ou exato
Retração da qualificação do dado como pessoal
Vínculo mediato, indireto, impreciso ou inexato
CRITÉRIOS PARA DEFINIÇÃO DO CONCEITO DE DADOS PESSOAIS
EXPANSIONISTA REDUCIONISTA
Pessoa identificável
Pessoa indeterminada
Fonte: Proteção de dados pessoais: a função e os limites do consentimento / Bruno Ricardo Bioni. – 2ª ed. - Rio de Janeiro: Forense, 2020 – pag. 60.
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.2 – Dados Pessoais
1.2.2 – Tipos de Dados Pessoais 
• Identificação Direta: realizada sem uso de informação adicional.
• Identificação Indireta: necessita de informação adicional.
• Dado Pseudonimizado: dado não associado ao titular, obtido através de processo que pode ser
revertido com o uso de informação adicional mantida separadamente pelo Controlador (conforme
art. 13º, § 4º, da LGPD).
• Anonimizado: dado não associado ao titular, obtido através de processo que, considerando a
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, não pode ser
revertido (conforme art. 5º, III, da LGPD).
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Direto: dados pessoais que podem ser atribuídos a um dado digital específico sem o uso de informações
adicionais, por ex.: foto, DNA ou biometria.
Indireto: dados que não podem ser atribuídos a um indivíduo de dados específico sem o uso de informações
adicionais, por exemplo: endereço IP, placa do carro, RENAVAN, etc.
Por exemplo, a placa numérica de um carro é um dado pessoal indireto, porque é possível rastrear o carro até
seu proprietário usando informações adicionais (nesse caso, as informações em um banco de dados eram as
placas relacionadas aos proprietários dos carros). O mesmo é válido para números exclusivos atribuídos a
pessoas pelo governo (número de previdência social) ou por um provedor de serviços internet (endereço IP),
que pode ser vinculado a um único indivíduo. O fato de nem todos os controladores poderem rastrear uma
placa de carro, número de segurança social ou endereço IP para o indivíduo associado é irrelevante. O fato de
que isso seja possível, faz com que sejam dados pessoais indiretos.
1.2 – Dados Pessoais
1.2.2 – Tipos de Dados Pessoais 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Pseudonimizaçãode Dados: significa o processamento de dados pessoais de tal maneira que os dados pessoais não podem
mais ser atribuídos a um sujeito específico sem o uso de informações adicionais. Todavia se o processo é reversível por meio
de uma chave, considera-se dado pessoal.
Exemplo: Um exemplo pode ser uma câmera registrando quantos carros passam por uma ponte em uma estrada. O número
da placa é dado pessoal indireto. O controlador então substituiria cada número de placa de licença por uma chave exclusiva
(pseudônimo), mantendo uma tabela separada ligando cada chave à placa correspondente. O controlador pode então
enviar esses dados sob pseudônimo para um processador, mantendo as chaves em um local seguro.
Anonimização: significa que nenhuma informação a partir da qual a pessoa a quem os dados se referem pode ser
identificada. Dados anonimizados de uma pessoa NÃO são considerados dados pessoais.
Exemplo: para uma pesquisa de mercado sobre saúde e hábitos alimentares, um grupo selecionado de entrevistados é
chamado. Nomes, números de telefone e outros dados dos entrevistados são conhecidos e mantidos em um banco de
dados para o qual os titulares dos dados deram sua permissão. Eles estão sendo chamados de vez em quando para
colaborar em uma pesquisa. Nessa pesquisa específica sobre saúde e hábitos alimentares, os dados identificáveis são
apagados após a coleta das informações necessárias para a pesquisa, ficando apenas informações como masculino/feminino
e faixa etária vinculadas às informações sobre saúde e hábitos alimentares.
1.2 – Dados Pessoais
1.2.2 – Tipos de Dados Pessoais 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.2 – Dados Pessoais
1.2.3 – Categorias especiais de Dados Pessoais 
Dado Pessoal Sensível (art. 5º, II, LGPD)
Origem racial ou étnica;
Convicção religiosa;
Opinião política;
Filiação sindical;
Filiação à organização religiosa, filosófica ou política;
Saúde ou à vida sexual;
Genético ou biométrico, vinculado a pessoa natural.
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Dados pessoais: nome completo, RG, CPF, e-mail, endereço, entre outros.
Dados pessoais sensíveis: opção sexual, convicções religiosas, filosóficas ou políticas, entre outros.
IDENTIFICAÇÃO DISCRIMINAÇÃO
1.2 – Dados Pessoais
1.2.4 – Distinção entre Dados Pessoais e Dados Pessoais Sensíveis
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
ANPD;
CNPDPP; 
Controlador; 
Operador;
Encarregado de Proteção de Dados;
Partes Interessadas Externas: Clientes/Fornecedores/Terceiros;
Partes Interessadas Internas: Conselho de Administração/Acionistas/etc.
Titular ou Representante Legal (art. 18º, § 3º). 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
Papel e Responsabilidade
EditarAregulamentosAeAprocedimentos
Fiscalizar e aplicar sanções mediante processo administrativo
f elarApelaAproteonoAdeAdadosApessoais
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
CNPDPP
I - Propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de
Dados Pessoais e da Privacidade e para a atuação da ANPD;
II - elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados
Pessoais e da Privacidade;
III - Sugerir ações a serem realizadas pela ANPD;
IV - Elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da
privacidade;
V - Disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Controlador e Operador (Agentes de tratamento)
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Controlador e Operador (Agentes de tratamento)
Pontos de Atenção:
Princípio da Responsabilidade: registro das atividades.
Legítimo Interesse x RIPDP.
Relacionamento entre Controlador e Operador: contrato!!!!!.
Responsabilidade pela atividade de tratamento de dados pessoais: obrigação de repará-lo.
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Controlador e Operador (Agentes de tratamento)
Pontos de Atenção:
Medidas de segurança e sigilo dos dados: 
Medidas Físicas, Técnicas e Organizacionais;
Princípio by design e by default;
Segurança mesmo após o término: ressaltando a importância da segurança fim a fim;
Sistema de Gestão da Segurança da Informação (ISO 27001);
Plano de Resposta à Violação de Dados Pessoais.
Boas práticas e governança: 
Sistema de Gestão de Privacidade de Informação (ISO 27701;
Plano de Gerenciamento de solicitações, reclamações e retificações;
Gestão de riscos.
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
ESCOLHA BEM 
SEU ENCARREGADO PELO 
TRATAMENTO DE 
DADOS PESSOAIS!
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
QUEM PODE SER
O DPO
DA SUA ORGANIZAÇÃO?
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
QUEM QUER SER O DPO
DA SUA ORGANIZAÇÃO?
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Encarregado pelo Tratamento de Dados Pessoais 
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva,
preferencialmente no sítio eletrônico do controlador.
§ 2º as atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados
pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuiçõesdo encarregado, inclusive
hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de
tratamento de dados.
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Destacando: Alta direção
Partes Interessadas Internas
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Partes Interessadas Externas 
Destacando: Fornecedores
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Fonte: ABNT NBR ISO/IEC 27001:2013, ANEXO A
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Partes Interessadas Externas 
Destacando: Fornecedores
Fonte: ABNT NBR ISO/IEC 27001:2013, ANEXO A
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Partes Interessadas Externas 
Destacando: Fornecedores
Fonte: ABNT NBR ISO/IEC 27001:2013, ANEXO A
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
A. 15.1.2
Identificando segurança da 
informação nos acordos com 
fornecedores
Controle Adicional
...especifique nos acordos com 
fornecedores se o DP é tratado e 
as medidas mínimas técnicas e 
organizacionais... Cumpra com as 
suas obrigações de proteção de DP 
e segurança da informação.
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Partes Interessadas Externas 
Destacando: Fornecedores
Fonte: ABNT NBR ISO/IEC 27001:2013, ANEXO A
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Partes Interessadas Externas 
Destacando: Fornecedores
Fonte: ABNT NBR ISO/IEC 27001:2013, ANEXO A
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.2 – Dados Pessoais
1.2.5 – Papéis, Responsabilidades e Partes Interessadas
Partes Interessadas Externas 
Destacando: Fornecedores
Fonte: ABNT NBR ISO/IEC 27001:2013, ANEXO A
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Consentimento do Titular Obrigação Legal/Regulatória do Controlador
Administração Pública atuando na execução de 
políticas públicas
Estudos por órgãos de pesquisas
Execução de contrato, a pedido do titular
Exercício regular direitos em processo judicial, 
administrativo ou arbitral.
Proteção da vida ou incolumidade física do titular ou 
de terceiro
Tutela da saúde
Legítimo interesse Proteção do crédito
O tratamento será lícito se preencher ao menos um 
dos requisitos abaixo, conforme art. 7º, LGPD:
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
I - Consentimento
Conforme art. 8º, da LGPD, o Titular dos dados deve
dar o consentimento de forma ativa e clara e a
Organização tem de conseguir demonstrar a todo o
momento que o consentimento foi obtido de acordo
com a LGPD.
O titular dos dados pode retirar o consentimento a
qualquer momento.
Transparência mediante comunicação clara; texto
direto e objetivo; informar riscos; idioma português
do Brasil.
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
I - Consentimento
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
II – Obrigação Legal ou Regulatória pelo Controlador
Em caso de existência de conformidade legal/regulatória (Federal, Estadual ou
Municipal);
Conformidade contratual não está amparada no artigo 7º, inciso II.
Exemplos:
i. Manutenção de registro de acesso à Internet pelos provedores;
ii. Retenções legais (IRRFPF);
iii. FGTS;
iv. INSS;
v. ...
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
III – Adm. Pública para tratamento e 
compartilhamento necessários à execução de 
políticas públicas
Exemplos: 
i. Saúde;
ii. Educação;
iii. Economia;
iv. Saneamento Básico;
v. Trabalho;
vi. ...
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
IV – Estudos por órgãos de pesquisa
• Atenção para o conceito de órgão de pesquisa:
“órgão ou entidade da administração pública direta ou indireta ou
pessoa jurídica de direito privado sem fins lucrativos legalmente
constituída sob as leis brasileiras, com sede e foro no País, que inclua
em sua missão institucional ou em seu objetivo social ou estatutário
a pesquisa básica ou aplicada de caráter histórico, científico,
tecnológico ou estatístico”.
• Recomenda-se a anonimização dos dados.
• Cumprimento dos princípios da LGPD.
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
V – Execução de contratos ou procedimentos 
preliminares
Direitos e obrigações firmados contratualmente:
Exemplo: Aquisição de produtos ou serviços.
Procedimentos preliminares a formalização do contrato:
Exemplo: Levantamento para concessão de crédito/financiamento.
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
VI – Exercício regular de direitos
• Previsões constitucionais:
Inafastabilidade da apreciação pelo Poder Judiciário;
Ampla defesa e contraditório.
• Exercício regular de direitos, mas não em qualquer
âmbito, mas somente nas esferas:
Judicial: ação contra devedor;
Administrativo: agência reguladora;
Arbitral: de acordo com lei 9307/96.
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOSE REGULAMENTAÇÃO EM P&PD
VII – Proteção da vida ou incolumidade
física do titular ou de terceiro
• Relevância do bem jurídico “vida” em relação ao
bem jurídico “privacidade”;
• Tratamento de dados pessoais em caráter de
exceção:
Geolocalização, em caso de acidentes;
Geolocalização, em caso de sequestro;
...
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
VIII – Tutela da saúde
• Profissionais da área de saúde: médicos,
enfermeiros, entre outros;
• Autoridade sanitária, membros integrantes do
Sistema Único de Saúde - SUS:
FIOCRUZ;
Instituto Vital Brasil;
Hospitais públicos.
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
IX - Legítimo Interesse
.
DIREITOS E LIBERDADES 
FUNDAMENTAIS DO TITULAR
LEGÍTIMO INTERESSE
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
IX - Legítimo Interesse
A exemplo do que ocorre no GDPR, não há na LGPD definição específica do que vem a ser “legítimo interesse”.
A LGPD diz:
Art. 10. O legítimo interesse do Controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas,
consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I - apoio e promoção de atividades do Controlador; e
II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas
expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do Controlador, somente os dados pessoais estritamente necessários para a
finalidade pretendida poderão ser tratados.
§ 2º O Controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao Controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver
como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
IX: Legítimo Interesse
FINALIDADE NECESSIDADE BALANCEAMENTO DECISÃO
Legitimidade
Fato concreto
Proporcionalidade
Minimização
Direitos e Liberdades 
Fundamentais
Expectativa legítima
Transparência
Salvaguardas
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Dica de estudo adicional:
LIA – Legitimate Interest Assessment
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-
interests/how-do-we-apply-legitimate-interests-in-practice/
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
IX - Legítimo Interesse
.
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
X – Proteção do crédito
• Atividade de risco.
• Criação de entidades de proteção ao crédito.
• Mitigação do risco.
• Cadastro Positivo x Cadastro Negativo.
• Prudente aguardar manifestação da ANPD.
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.0 – DEZ hipóteses para realizar o tratamento 
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Princípios da Lei – Artigo 6º
FINALIDADE dRTcSPTRÊc UIT
ADEQUAÇÃO SEGURANÇA
NECESSIDADE PREEENÇÃO
LIVRE ACESSO NÃO DISCRIMINAÇÃO
QUALIDADE DOS DADOS RESPONSABILIIAÇÃO/PRESTAÇÃO DE CONTAS
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.1 – Conceito de Limitação de Propósito
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Os dados pessoais somente serão coletados para fins
(art. 6º, I):
• Legítimo: vai além da referência à LGPD, pois abarca
outras áreas do direito;
• Específico: o objetivo da coleta deve ser especificado;
• Explícito: deve ser claro, não deixar dúvidas.
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.2.1 – Princípio da Finalidade
E tais fins serão devidamente informados ao 
titular dos dados pessoais!!!!!!!!!!
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
• Compatível com as finalidades;
• Contexto do tratamento;
• Procedimento para alcançar a finalidade desejada.
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.2.2 – Princípio da Adequação
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Os dados coletados devem ser limitados ao necessário 
para atingir os objetivos, necessários no limite da sua 
relevância (a coleta não pode exceder a finalidade do 
tratamento). 
Os dados pessoais devem ser pertinentes, necessários, 
proporcionais com os riscos aos direitos dos titulares.
Menos é mais!!!!!!!
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.2.3 – Princípio da Necessidade
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
• Consulta facilidade e gratuita sobre a forma e a 
duração do tratamento, bem como a integralidade de 
dados pessoais;
• Exercer o fundamento da autodeterminação 
informativa;
• Tempo de armazenamento (data storage).
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.2.4 – Princípio do Livre Acesso
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Garantir aos titulares dos dados a Exatidão, Clareza, Relevância e Atualização dos dados, de 
acordo com a necessidade e para cumprimento da finalidade do tratamento.
Pontos de atenção: dados pessoais sobre saúde, consumo e crédito. 
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.2.5 – Princípio da Qualidade dos Dados
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Garantir sempre informações claras, precisas e acessíveis aos
titulares em relação ao tratamento de seus dados pessoais:
• Critérios para decisões automatizadas, respeitando os segredos
industrial e comercial;
• Riscos em relação aotratamento de dados pessoais;
• Consequências em caso de violação de dados pessoais;
• Medidas mitigatórias adequadas.
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.2.6 – Princípio da Transparência
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Adoção de medidas técnicas e administrativas adequadas e
oportunas para proteção de dados pessoais:
• Garantir a C/I/D;
• Aderência/implementação ISO 27001;
• Aderência/implementação ISO 27701;
• Segurança by design e by default.
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.2.7 – Princípio da Segurança
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de 
dados pessoais:
• Monitoração;
• Governança de Proteção de Dados Pessoais;
• Treinamento e conscientização;
• Plano de Resposta a incidente de violação de dados pessoais;
• Proteção by design e by default.
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.2.8 – Princípio da Prevenção
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos:
• Evitar a criação de estereótipos (classificação);
• Coibir a limitação de direitos (segregação);
• A discriminação pode gerar danos físicos, materiais e imateriais;
• Evitar a prática de redlining: forma de discriminação de dados, que usa nossas identidades digitais e
atividades para reforçar a desigualdade e a opressão.
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.2.9 – Princípio da Não Discriminação
Fonte: Maldonado, Viviane; Blum, Renato – LGPD Lei Geral de Proteção de Dados Pessoais Comentada – 1ª edição. 
Revista dos Tribunais. Pag. 161.
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Demonstração, pelo agente, da adoção de medidas eficazes e
capazes de comprovar a conformidade, bem como a eficácia
dessas medidas:
• Registro das atividades;
• Indicadores e métricas;
• Políticas/normas/procedimentos;
• Adoção de melhores práticas.
1.3 – Fundamentos Legítimos e Limitação de Propósito
1.3.2.10 – Princípio da Responsabilização e Prestação de Contas
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1.4 – Requisitos adicionais para tratamento
Artigo 11º - Tratamento de dados pessoais sensíveis
Artigo 12º - Dados Anonimizados
Artigo 13º - Estudos em saúde pública
Artigo 14º - Tratamento de Dados Pessoais de Crianças e de Adolescentes
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Proteção extraordinária:
a) Aspectos ligados à intimidade, algo que vai além da questão de privacidade ou
b) Podem levar à discriminação.
Base legais:
a) Rol taxativo, tendo em vista a palavra “somente” no texto da lei.
Dados biométricos e genéticos:
a) Uso sem consentimento para processos de identificação e autenticação de cadastro em sistema 
eletrônico.
Limitação de compartilhamento e comunicação:
a) Atenção aos § 3º, 4º e 5º do referido artigo. 
1.4 – Requisitos adicionais para tratamento
1.4.0
Artigo 11º - Tratamento de dados pessoais sensíveis
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
O tratamento de dados pessoais sensíveissomente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica eAdestacada, para finalidades
específicas;
II - Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas
públicas previstas em leis ou regulamentos;
c) Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos
dados pessoais sensíveis;
d) Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral,
esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
1.4 – Requisitos adicionais para tratamento
1.4.0
Artigo 11º - Tratamento de dados pessoais sensíveis
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
(continuação)
II - Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
e) Proteção da vida ou da incolumidade física do titular ou de terceiro;
f) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de
saúde ou autoridade sanitária ou
g) Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e
autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º
desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a
proteção dos dados pessoais.
1.4 – Requisitos adicionais para tratamento
1.4.0
Artigo 11º - Tratamento de dados pessoais sensíveis
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados
pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação
específica.
§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos
órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos
termos do inciso I do caput do art. 23 desta Lei.
§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com
objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por
parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas
competências.
1.4 – Requisitos adicionais para tratamento
1.4.0
Artigo 11º - Tratamento de dados pessoais sensíveis
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais
sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses
relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde,
desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em
benefício dos interesses dos titulares de dados, e para permitir: (Redação dada pela Lei nº 13.853,
de 2019)
I - a portabilidade de dados quando solicitada pelo titular; ou (Incluído pela Lei nº 13.853, de 2019)
II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de
que trata este parágrafo (Incluído pela Lei nº 13.853, de 2019).
§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de
saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na
contratação e exclusão de beneficiários (Incluído pela Lei nº 13.853, de 2019).
1.4 – Requisitos adicionais para tratamento
1.4.0
Artigo 11º - Tratamento de dados pessoais sensíveis
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdoby HSI Institute
Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo
quando o processo de anonimização ao qual foram submetidos for revertido, utilizando
exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como
custo e tempo necessários para reverter o processo de anonimização, de acordo com as
tecnologias disponíveis, e a utilização exclusiva de meios próprios.
§ 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles
utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de
anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de
Proteção de Dados Pessoais
Artigo 12º - Dados Anonimizados
1.4 – Requisitos adicionais para tratamento
1.4.1
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Atenção para as seguintes questões legais:
• Menores de 16 anos são considerados “absolutamente incapazes” (art. 3º, do Código Civil);
• Maiores de 16 e menores de 18 são considerados “relativamente incapazes” (art. 4º, I, do Código
Civil);
“É dever da família, da sociedade e do Estado, assegurar à criança, ao adolescente e
ao jovem, com absoluta prioridade, o direito à [...] dignidade, ao respeito [...], além de
coloca-los a salvo de toda forma de negligência, discriminação, exploração, violência
[...]” (art. 227, Constituição Federal).
• Atentar para a necessidade de proteção integral, conforme legislação pertinente (ECA).
• Implementar soluções de acessibilidade, conforme artigo 63 da Lei 13.146/2015 – sobre inclusão da
pessoa com deficiência – Estatuto da Pessoa com Deficiência.
1.4 – Requisitos adicionais para tratamento
1.4.3
Artigo 14º - Tratamento de Dados Pessoais de Crianças e Adolescentes
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Regras específicas aplicáveis às crianças:
A desenvolvedora americana Gravity Interactive, responsável pelo jogo "Ragnarok", informou que
sua plataforma online WarpPortal passará a bloquear usuários europeus. Embora o texto não cite
expressamente o GDPR, ele explica que no dia 25 de maio os usuários de todos os países
europeus, exceto a Rússia e nações da Comunidade dos Estados Independentes, terão o acesso
proibido. Desta forma, a empresa não terá que se adaptar ao regulamento, nem responder pelas
exigências legais dele.
Fonte: https://www.uol/noticias/especiais/gdpr.htm#lista-4
1.4 – Requisitos adicionais para tratamento
1.4.3
Artigo 14º - Tratamento de Dados Pessoais de Crianças e Adolescentes
https://www.uol/noticias/especiais/gdpr.htm#lista-4
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu
melhor interesse, nos termos deste artigo e da legislação pertinente.
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico
e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
§ 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública
a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o
exercício dos direitos a que se refere o art. 18 desta Lei.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º
deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma
única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a
terceiro sem o consentimento de que trata o § 1º deste artigo.
1.4 – Requisitos adicionais para tratamento
1.4.3
Artigo 14º - Tratamento de Dados Pessoais de Crianças e Adolescentes
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
(continuação)
§ 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste
artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais
além das estritamente necessárias à atividade.
§ 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que
se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias
disponíveis.
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de
maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas,
sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de
forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao
entendimento da criança.
1.4 – Requisitos adicionais para tratamento
1.4.3
Artigo 14º - Tratamento de Dados Pessoais de Crianças e Adolescentes
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
• Irrenunciabilidade (art. 17º);
• Confirmação da existência de tratamento (art. 18º, I);
• Acesso aos dados (art. 18º, II);
• Correção (art. 18º, III);
• Anonimização; bloqueio ou eliminação de dados desnecessários, excessivos ou 
tratados em desconformidade (art. 18º, IV); 
• Eliminação (art. 18º, IV e VI); 
• Portabilidade (art. 18º, V);
• Compartilhamento ou não (art. 18º, VII);
• Não concessão do consentimento (art. 18º, VIII);
• Revogação (art. 18º, IX);
• Oposição (art. 18º, IX, § 2º);
• Direitos previstos em outras legislações (art. 64º);
• Revisão de decisões automatizadas P/P/C/C (art. 20º);
• Peticionar ANPD ou órgão de defesa do consumidor (art. 18º, § 1º e 8º).
1.5 – Direitos do Titular dos dados pessoais
1.5.0 – Quais são?
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Pontos de atenção: 
• Necessidade de regulamento:
✓ Art. 18º, § 5º; 
• Não restringe direitos previstos em outras legislações:
✓ CDC; 
✓ MCI.
• Direitos Relativos x Direitos Absolutos.
1.5 – Direitos do Titular dos dados pessoais
1.5.0 – Quais são?
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Além dos direitos existentes na LGPDP, em capítulo exclusivo para isso, o titular dos dados
também tem direitos estabelecido em outros diplomas legais, a saber:
• A irrenunciabilidade da titularidade dos dados pessoais (art. 11, do CC);
• O direito de peticionar, com relação aos seus dados, contra o Controlador perante à
autoridade nacional (art. 5º, XXXIV, da CF) e ;
• Inafastabilidade da tutela jurisdicional, individual ou coletivamente (art. 5º, XXXV, da CF).
1.5 – Direitos do Titular dos dados pessoais
1.5.0 – Quais são?
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1.5 – Direitos do Titular dos dados pessoais
1.5.1 – Direito ao Esquecimento
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
O titular dos dados tem o direito de SER ESQUECIDO, porém, não é absoluto.
Eliminação de dados pessoais:
▪ Quando desnecessários, excessivos ou tratados em desconformidade com a lei (art. 18º, 
IV);
▪ Quando tratados com o consentimento do titular, desde que não haja impedimento legal 
(art. 8º, § 5º e art. 18º, VI).
O titular dos dados tem o direito de obter do Controlador pelo tratamento a eliminaçãode 
seus dados pessoais, em prazo a ser previsto em regulamento.
▪ Eliminação dos dados pessoais a que se refere a infração (art. 52º, VI).
1.5 – Direitos do Titular dos dados pessoais
1.5.1 – Direito ao Esquecimento
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Exceções em relação à eliminação dos dados pessoais:
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no 
âmbito e nos limites técnicos das atividades, autorizada a conservação para as 
seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo Controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos 
dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento de 
dados dispostos nesta Lei ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que 
anonimizados os dados.
1.5 – Direitos do Titular dos dados pessoais
1.5.1 – Direito ao Esquecimento
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
1.6 – Violação de dados pessoais e procedimentos relacionados
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
COMO
TRATAR 
VIOLAÇÕES DE 
DADOS PESSOAIS?
1.6 – Violação de dados pessoais e procedimentos relacionados
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
COMO VOCÊ TRATA 
VIOLAÇÕES DE DADOS 
PESSOAIS
NA SUA ORGANIZAÇÃO?
1.6 – Violação de dados pessoais e procedimentos relacionados
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
CICLO DE VIDA DAS VIOLAÇÕES DE DADOS PESSOAIS
1: NEGAÇÃO
4: BARGANHA
3: DEPRESSÃO
2: RAIVA
5: ACEITAÇÃO
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de
tratamento inadequado ou ilícito.
Portanto,Aum incidente de segurança é a concretização de uma dessas 
situações citadas acima.
1.6 – Violação de dados pessoais e procedimentos relacionados
1.6.1 – Definição de incidente de segurança - LGPD
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Artigo 4º, nº 12, da GDPR:
Violação de dados pessoais», uma violação da segurança que provoque, de
modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o
acesso, não autorizados, a dados pessoais transmitidos, conservados ou
sujeitos a qualquer outro tipo de tratamento.
122
1.6 – Violação de dados pessoais e procedimentos relacionados
1.6.2 – Definição de violação de dados pessoais GDPR
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Artigo 31:
Quando houver infração a esta Lei [LGPDP] em decorrência do tratamento de
dados pessoais por órgãos públicos, a autoridade nacional [ANPD] poderá
enviar informe com medidas cabíveis para fazer cessar a violação.
1.6 – Violação de dados pessoais e procedimentos relacionados
1.6.2 – Definição de violação de dados pessoais GDPR
1.6.3.1 – Artigo 31, Seção II, Responsabilidade
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
TrtigoA4LIAO controlador ou o operador que, em razão do exercício de atividade de tratamento 
de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação 
à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando 
descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as 
instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo 
nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram 
danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no 
art. 43 desta Lei.
1.6 – Violação de dados pessoais e procedimentos relacionados
1.6.2 – Definição de violação de dados pessoais GDPR
1.6.3.2 – Artigo 42, Seção III, Responsabilidade e Ressarcimento
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
(continuação)
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados 
quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de 
prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos 
termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o 
disposto na legislação pertinente.
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais 
responsáveis, na medida de sua participação no evento danoso.
1.6 – Violação de dados pessoais e procedimentos relacionados
1.6.2 – Definição de violação de dados pessoais GDPR
1.6.3.2 – Artigo 42, Seção III, Responsabilidade e Ressarcimento
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Artigo 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não 
houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
1.6 – Violação de dados pessoais e procedimentos relacionados
1.6.2 – Definição de violação de dados pessoais GDPR
1.6.3.3 – Artigo 43, Seção III, Responsabilidade e Ressarcimento
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Desenvolver ou atualizar procedimentos internos para 
notificação de violações de dados pessoais.1
Validar planos de resposta a incidentes.2
Garantir que empregados entendam seu papel durante 
uma violação de dados pessoais.3
Revisar contratos com fornecedores e incluir requisitos 
para notificação de violações de dados pessoais.4
Adotar um seguro contra violações de dados pessoais pode 
ser uma boa ideia.5
CICLO DE VIDA DAS VIOLAÇÕES DE DADOS PESSOAIS
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute