GUIA_ IMPLEMENTAÇÃO DO PROJETO DE ADEQUAÇÃO À LGPD

Prévia do material em texto

PASSO A PASSO
NA IMPLEMENTAÇÃO DO 
PROJETO DE ADEQUAÇÃO 
À LGPD
INPD – Instituto Nacional de Proteção de Dados 
Equipe da Comissão de Comunicação Institucional
Coordenação 
Martha Leal
Membros
Debora Sirotheau 
Guilherme Gonçalves 
Paula Ferraz 
Rosangela Benetti
INTRODUÇÃO
AO LEITOR
A construção e o amadurecimento do ambiente 
da proteção de dados pessoais no Brasil 
representam um movimento de grande 
importância para a sociedade civil e econômica. 
E, para o seu sucesso, requer o engajamento de 
todos os agentes de tratamento e a 
conscientização dos titulares de dados.
Decorridos mais de dois anos de vigência da Lei 
Geral de Proteção de Dados (LGPD), muito já se 
evoluiu no ambiente nacional de proteção de 
dados. A Autoridade Nacional de Proteção de 
Dados (ANPD), já devidamente estruturada e 
contando com a natureza de autarquia especial, 
vem, a passos largos, cumprindo com a agenda 
regulatória proposta.
A ANPD, desempenhando as competências 
previstas no art. 55-J da LGPD, tem, entre outras 
iniciativas, editado regulamentos e procedimen-
tos sobre proteção de dados pessoais e privaci-
dade. 
Nessa toada, já foram editados o Regulamento 
nº 1, o qual aprovou o Processo de Fiscalização 
Administrativo e Sancionador, e o Regulamento 
nº 2, que disciplina a aplicação da lei para agen-
tes de tratamento de pequeno porte. Em breve, 
contaremos com a Resolução nº 3, que regulará 
a dosimetria das sanções administrativas.
Entretanto, o Instituto Nacional de Proteção de Dados – INPD, ciente do desafio que o processo de 
“compliance” à lei representa para as organizações envolvidas e, cumprindo com o seu propósito de 
ajudar na construção de um ambiente fortalecido de proteção de dados, elaborou o presente material 
denominado “Passo a Passo no Projeto de Implementação”.
Esperamos ajudá-lo na compreensão das fases que compõem um processo de adequação, da importância da 
cronologia das etapas, conduzindo-o nessa jornada viva e dinâmica que se traduz na implementação de boas 
práticas em prol da privacidade e proteção de dados.
Instituto Nacional de Proteção de Dados
2 INPD – Instituto Nacional de Proteção de Dados 
1. Questionamentos que precisam ser enfrentados
pela organização
1.1 Questionamento da Fase 1
1.2 Questionamento da Fase 2
1.3 O que devemos esperar da Fase 1?
1.4 O que devemos esperar da Fase 2?
2. Da correta definição dos agentes de
tratamento-controlador e operador
2.1 Fluxograma para melhor identificação do Controlador – 
Operador e Controladoria Conjunta/Singular
2.2 Obrigações do Controlador
2.3 Sobre os deveres dos Controladores e Operadores
2.3.1 Os Controladores devem
2.3.2 Os Operadores devem
3. Da importância do mapeamento de processos
3.1 Principais informações que o mapeamento deve conter
4. Os requisitos mínimos para garantia da segurança
da informação
4.1 Política de Segurança da Informação (PSI)
4.2 Conscientização e Treinamento
4.3 Gerenciamento de Contratos
4.4 Controle de Acessos
4.5 Segurança dos Dados Pessoais Armazenados
4.6 Segurança das Comunicações
4.7 Manutenção de Programa de Gerenciamento de 
Vulnerabilidades
4.8 Medidas relacionadas ao uso de Dispositivos Móveis
4.9 Medidas relacionadas ao Serviço de Nuvem
5. Dos direitos dos titulares e a obrigação do
controlador
5.1 Correlação das bases legais com os direitos dos titulares
6. Treinamento e conscientização
Conclusão
Materiais publicados de apoio disponíveis
............................................. 4
.................................................................................... 4
.................................................................................... 4
........................................................................ 4
........................................................................ 4
................................................................. 7
................................................................. 7
.................................................................................... 9
..................................................10
...............................................................................10
....................................................................................10
................................................ 11
.............................................. 11
........................................ 11
............................................................... 12
........................................................................... 12
............................................................................... 12
.......................................................................................... 12
....................................................... 13
..................................................... 13
............................................... 13
........................................................... 13
...................................................... 14
........................................... 15
.......................................................................... 16
................................................................................................................ 17
........................................................... 18
............................................................................. 13
INDICE
3 INPD – Instituto Nacional de Proteção de Dados 
O questionamento da Fase 1 compreende as 
seguintes etapas: 
• Preparação
• Liderança
• Contexto Organizacional
• Capacitação
1.1 Fase 1 - A organização se estruturou 
para a condução das iniciativas de 
adequação?
O questionamento da Fase 2 compreende as seguintes etapas: 
• Conformidade do tratamento
• Direitos do Titular
• Violação de Dados
• Medidas de Proteção
1.2 Fase 2 - A organização implementou 
medidas e controles de proteção de 
dados pessoais para adequação à LGPD?
A organização deverá adotar medidas para criar um ambiente propício à implementação do projeto 
de adequação, que consistem em:
• Implementar um Programa de Governança em Privacidade proporcional à estrutura e ao volume 
de dados pessoais tratados. Por exemplo, a criação de um grupo de trabalho que conte com 
profissionais de diferentes áreas (SI, TI, Jurídico, RH, Auditoria, etc).
• Elaborar um plano de ação documentado para direcionar a iniciativa do projeto. Esse plano deve 
conter o que será feito, quais os recursos necessários, quem serão os responsáveis, prazo para 
a conclusão das tarefas e como os resultados serão avaliados.
1.3 O que devemos esperar da Fase 1? Estruturação
Nessa fase, a organização começa a executar o projeto. Para o seu êxito e objetivando evitar o 
retrabalho, recomenda-se as seguintes etapas:
1.4 O que devemos esperar da Fase 2? Execução
Questionamentos a serem enfrentados:
4 INPD – Instituto Nacional de Proteção de Dados 
1. Sugestão de enfrentamento do tema
Para guiar os responsáveis na implementação dos controles para adequação à LGPD.
Por que esse plano é importante? 
5 INPD – Instituto Nacional de Proteção de Dados 
• Identificar os normativos relacionados ao tratamento de dados que a organização está
envolvida. O arcabouço jurídico aplicável não se restringe à LGPD, à Constituição Federal
de 1988 (CF/88), Lei de Acesso à Informação (LAI - Lei 12.527/11), Lei do Cadastro
Positivo (Lei 12.414/11), CLT. Outros atos normativos setoriais devem ser considerados.
• Identificar a categoria dos dados tratados pelas quais a entidade está envolvida, pública ou
privada. Por exemplo, cidadão, cliente, servidor público, representante de fornecedor e
terceirizado.
• Identificar os operadores, seus papéis e responsabilidades.
• Adequar os contratos firmados com os operadores. Os contratos devem ser adequados para
estabelecer as responsabilidades e papéis em relação à Proteção de Dados dos Titulares;
• Identificar os processos que realizam tratamento de dados pessoais. Necessário haver registro
dos processos detratamento por parte do Controlador. E, na hipótese de enquadramento na
categoria de Agente de Tratamento de Pequeno Porte (consulte aqui o Guia), o mesmo poderá se dar de
forma simplificada. E, lembrando que mesmo no caso de não ser obrigatório, sempre será uma boa prática ao processo
de aderência a LGPD;
• Mapear estes processos. Essa etapa é fundamental, pois a partir daqui é possível avaliar os
riscos inerentes a cada processo, a finalidade, a base legal e compartilhamento dos dados;
• Identificar os responsáveis pelos processos de negócio que realizam tratamento;
• Identificar onde os dados tratados se encontram (servidor, banco de dados, arquivos físicos e etc);
• Nomear encarregado. Verificar se a empresa, caso seja privada e atuando como Controladora,
não está desobrigada pelo enquadramento como Agente de Pequeno Porte. Lembrando que
mesmo nos casos de dispensa legal, a nomeação do encarregado configura-se como uma boa
prática e deve ser incentivada;
É relevante, pois realizam tratamento em nome do Controlador, respondendo os operadores
solidariamente quando, em caso de dano, não tiverem seguido as instruções do Controlador;
Por que é importante essa identificação? 
Para avaliar os riscos inerentes aos processos de tratamento, para direcionar as prioridades
dos processos para adequação à LGPD e para ajudar no atendimento dos direitos dos
titulares. Por exemplo, para conceder o direito de acesso a um titular é indispensável saber
onde estão localizadas as informações dentro da organização. 
Por que é importante essa identificação? 
Para auxiliar no planejamento dos controles que serão implementados. Alguns dados
requerem controles adicionais.
Por que é importante a identificação dessas categorias? 
6 INPD – Instituto Nacional de Proteção de Dados 
• Formular políticas que busquem assegurar a Proteção 
de Dados, tais como a Política da Segurança da Infor-
mação e implementação dos controles de segurança 
da informação, nomeação do responsável para Segu-
rança da Informação, definição de processos de 
gestão de riscos de SI, estabelecimento da política de 
Segurança da Informação, processo de elaboração de 
inventário de ativos e implantação de controles de 
Segurança da Informação;
• Formular Política de Proteção de Dados alinhada à 
Política de Segurança da Informação.
Não. A Política de Proteção de Dados está voltada ao público interno, enquanto a Política de 
Privacidade ao público externo ao ambiente da organização. 
Política de Proteção de Dados e Política de Privacidade são a mesma coisa? 
• Capacitar a equipe e treinar colaboradores;
• Realizar Relatório de Impacto à Proteção de Dados - RIPD para controle nos tratamentos que 
representem riscos;
• Elaborar Política de Privacidade;
• Estabelecer mecanismo para atendimento dos direitos dos titulares;
• Documentar detalhes relacionados ao compartilhamento dos dados pessoais com terceiros. 
Observar hipóteses autorizadoras no art. 26, §1º c/c §2º ou consentimento;
• Transferência internacional, observar art. 33 da LGPD.
• Implementar plano de resposta a incidentes de segurança: Violação de dados requer 
gerenciamento de incidentes de segurança, registros dos incidentes e plano de notificação à 
ANPD e Titulares, quando cabível. A organização deve ter um esboço do plano de resposta, 
quando o incidente ocorrer;
• Adotar medidas de proteção de Segurança da Informação, técnicas e administrativas para 
proteger os dados. Por exemplo, controle de acesso aos sistemas, registros de eventos (LOGS), 
criptografia, pseudominização, etc.
Na Fase 2, a qual possui maior complexidade e exige 
maior dispêndio de energia e investimentos por parte das 
organizações, selecionamos os principais pontos de 
atenção para facilitação dessa jornada.
Uma mesma organização pode atuar como controladora em determinada operação de tratamento de
dados e operadora em outra, a depender da função desempenhada por ela nessas operações. 
O controlador é o responsável pela tomada das principais decisões referentes ao tratamento de dados
pessoais. É ele quem define o propósito, a duração e a escolha dos principais meios sobre como
o tratamento de dados ocorrerá, decidindo, inclusive, sobre a contratação e as instruções a serem
repassadas ao (s) operador (es). Por isso, a lei lhe atribuiu os maiores ônus e responsabilidades,
estando ele obrigado a reparar quaisquer danos causados aos titulares de dados em razão da atividade
de tratamento de dados pessoais, quando esta for realizada em violação à legislação.
O operador, por sua vez, atua de acordo com a
finalidade e os interesses determinados pelo
controlador, devendo realizar o tratamento de dados
em conformidade com as instruções recebidas dele,
cabendo-lhe apenas algumas definições não essenciais
à finalidade do tratamento. O operador possui
obrigações legais a serem cumpridas, porém em menor
número que o controlador. Quanto à sua
responsabilidade pelos danos causados em decorrência
do tratamento de dados, esta será solidária apenas se
ele descumprir as orientações recebidas do controlador
ou descumprir as obrigações que lhe são impostas pela
legislação. 
O artigo 5º, IX, da Lei Geral de Proteção de Dados Pessoais (LGPD) define que os agentes de tratamento são
o controlador e o operador. Considerando que a lei traz diferentes obrigações e responsabilidades para os
agentes de tratamento, a depender da função de controlador ou operador que assumem em cada operação
de tratamento de dados, entender os conceitos e características de cada um para realizar o enquadramento
correto é primordial. 
7 INPD – Instituto Nacional de Proteção de Dados 
2. Da Correta definição dos Agentes de Tratamento – Quem é quem
na relação?
Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem compete as
decisões.
Controlador:
Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento
de dados em nome do controlador.
Operador:
2.1 Vejamos os conceitos legais extraídos do artigo 5º, VI e VII da lei:
8 INPD – Instituto Nacional de Proteção de Dados 
É muito importante destacar que a figura do operador pode não existir em determinada atividade de 
tratamento. Isso ocorrerá quando o controlador executar todas as operações de tratamento de dados, sem 
demandar a execução de nenhuma operação a um terceiro. 
Por outro lado, é possível que mais de uma pessoa tome as principais decisões referentes ao tratamento dos 
dados pessoais. Nesse caso, teremos dois ou mais controladores, atuando de forma singular ou conjunta.
Por se tratar de um tema novo, a 
compreensão e aplicação desses conceitos 
têm suscitado algumas dúvidas. Um 
equívoco muito comum reside na 
compreensão de que o operador poderia ter 
uma subordinação hierárquica ao 
controlador, como, por exemplo, ser o 
empregado de uma organização. Nesse 
sentido, a Autoridade Nacional de Proteção 
de Dados – ANPD, órgão da Administração 
Pública responsável por zelar, implementar e 
fiscalizar o cumprimento da lei em todo o território nacional, publicou o Guia Orientativo para Definições dos 
Agentes de Tratamento de Dados Pessoais e do Encarregado em que, dentre outros pontos, esclarece que:
• O operador é uma pessoa distinta do 
controlador;
• As pessoas subordinadas não são agentes 
de tratamento;
• Quando há tratamento de dados por 
pessoas jurídicas, o agente de tratamento 
será a própria pessoa jurídica;
• Uma pessoa natural será considerada 
agente de tratamento quando, ao tomar 
decisões sobre o tratamento de dados, agir 
de forma independente e em nome próprio, 
e não de forma subordinada a uma pessoa jurídica ou como membro de um órgão desta.
• A controladoria conjunta requer a participação conjunta dos agentes de tratamento na definição 
das finalidades e meios para o tratamento de dados, através de decisões comuns ou 
convergentes; 
• Caso as finalidades não sejam comuns, a controladoria não será conjunta, será singular. 
9 INPD – Instituto Nacional de Proteção de Dados 
2.2 O fluxogramaabaixo, produzido pela ANPD e extraído do guia 
mencionado, é muito útil para auxiliar na compreensão e identificação 
da função de cada agente de tratamento nas operações de tratamento 
de dados. 
Para a conformidade com a LGPD, uma vez identificada a função de cada agente de tratamento, 
controladores e operadores devem cumprir deveres, sendo estes oriundos do texto legal ou 
decorrentes de regras de boas práticas adotadas pela organização em um programa de governança 
em privacidade. A seguir elencamos as principais obrigações legais a serem observadas pelos 
agentes de tratamento. 
• Cumprir com os Princípios de Proteção de Dados – Artigo 6º;
• Definir as Bases Legais para o Tratamento dos Dados – Artigos 7º e 11;
• Fornecer Informações claras e ostensivas aos titulares sobre as atividades de 
tratamento - Artigo 9º;
• Indicar o Encarregado pelo Tratamento de Dados – Artigo 41;
• Responder às Requisições do Titular de Dados – Artigo 18;
• Manter Registro das Atividades de Tratamento de Dados – Artigo 37;
• Adotar medidas técnicas e administrativas para a proteção dos dados – Artigo 46;
• Fornecer Relatório de Impacto à Proteção de Dados (RIPD), quando solicitado 
pela ANPD – Artigo 38;
• Comunicar à ANPD a ocorrência de Incidentes que acarretam risco elevado ao 
titular de dados – Artigo 48;
• Fornecer reparação ao dano material /moral causado em decorrência da atividade 
de tratamento de dados – Artigo 42;
• Estar sujeito às sanções administrativas aplicáveis pela ANPD - Artigo 52.
• Eliminar os dados pessoais após o término da atividade de tratamento – Artigo 16;
• Manter Registro das Operações de Tratamento de dados– Artigo 37;
• Tratar dados pessoais segundo as instruções dos controladores– Artigo 38;
• Fornecer reparação ao dano material /moral causado em decorrência da atividade 
de tratamento de dados – Artigo 42;
• Adotar medidas técnicas e administrativas para a proteção dos dados – Artigo 46;
• Cooperar com o controlador para responder em tempo hábil as requisições feitas 
pelos titulares de dados pessoais;
• Cooperar com o controlador para fornecer informações sobre incidentes de 
segurança;
• Estar sujeito às sanções administrativas aplicáveis pela ANPD - Artigo 52.
2.3 Sobre os deveres dos Controladores e Operadores:
2.3.1 Os Controladores devem:
10 INPD – Instituto Nacional de Proteção de Dados 
2.3.2 Os Operadores devem:
11 INPD – Instituto Nacional de Proteção de Dados 
• Quais dados pessoais são tratados em cada processo da organização, como são 
tratados, e quem é o responsável?
• Quais as categorias de titulares de dados envolvidas?
• Qual a finalidade do tratamento de dados?
• Há compartilhamento de dados com terceiros? Quem são?
• Onde os dados estão armazenados e quem tem acesso?
• Há prazo previsto para o armazenamento dos dados e como eles são eliminados?
• Há transferências internacionais de dados?
• Há medidas de segurança previstas para aquele tratamento? Elas são suficientes? 
• Qual a base legal que autoriza o tratamento de dados?
Muito embora não conste dentre as obrigações legais acima elencadas, o mapeamento de dados (data 
mapping) é essencial para a conformidade da organização com a LGPD, tendo em vista que sem o 
levantamento de todos os dados tratados pela organização dificilmente o agente de tratamento conseguirá 
identificar pontos de desconformidade com a lei para adequá-los. 
Por isso, uma das primeiras etapas de um programa de governança em privacidade reside justamente no 
mapeamento de dados, que pode ser feito de várias formas, inclusive com o apoio de softwares específicos 
disponíveis no mercado. Uma das maneiras mais usuais e eficientes de realizá-lo é por meio de entrevistas 
com os responsáveis pelos departamentos dentro da organização, momento em que, no mínimo, as seguintes 
informações devem ser levantadas: 
3. Da Importância do Mapeamento de Processos – Por que fazer?
3.1 Informações indispensáveis e que devem constar no mapeamento:
Portanto, a partir do conhecimento do fluxo dessas informações, os agentes de tratamento estarão 
aptos a tomarem as melhores medidas em prol da adequação à lei.
A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18) dispõe 
em seus dispositivos legais, especificamente nos arts. 42 e 46, que 
os agentes de tratamento devem adotar as medidas de segurança, 
técnicas e administrativas para proteção dos dados pessoais; e que 
o tratamento será considerado irregular quando este não fornecer a 
segurança esperada pelo titular.
Com o intuito de colaborar nessa jornada, fornecendo subsídios 
aos agentes de tratamento, a ANPD já estabeleceu publicação 
sobre o tema, intitulado de Guia Orientativo sobre Segurança da
4. Os requisitos mínimos para garantir a Segurança da Informação, 
exigidos por lei por parte dos Agentes de Tratamento
12 INPD – Instituto Nacional de Proteção de Dados 
Informação para Agentes de Tratamento de Pequeno Porte que, inclusive, conta com um checklist, no qual 
são descritos 48 (quarenta e oito) pontos de verificação para facilitação do entendimento. O Guia representa 
a visão da ANPD sobre o mínimo a ser implementado em termos de Segurança da Informação e, como tal, 
deve ser encarado como um ponto de partida para as organizações na adoção de práticas e cultura de 
proteção de dados.
As medidas de Segurança da Informação abordadas no Guia são: 
4.1 Política de Segurança da Informação (PSI)
Documento que descreve o conjunto de práticas acerca, dentre 
outros, de cópias de segurança; uso de senhas; acesso à 
informação; compartilhamento de dados; atualização de 
softwares; uso de correio eletrônico; uso de antivírus. A PSI é a 
bússola utilizada no tratamento de dados e deve ser observada 
por todos os integrantes da organização, representando sua 
visão sobre o tema. 
4.2 Conscientização e treinamento
Pessoas são vetores de vulnerabilidades e alvo de pessoas mal-intencionadas. Por essa razão, a 
conscientização deve ser integrada às rotinas da organização com o estabelecimento de calendários 
de capacitação, inclusive com abordagem sobre phishing, tela e mesa limpa, detecção de incidentes 
de segurança. 
4.3 Gerenciamento de contratos
As relações organizacionais são formalizadas em contratos. Assim, cláusulas específicas de 
confidencialidade, contratação de fornecedores e parceiros, regras sobre compartilhamentos, relação 
entre controlador e operador, são necessárias nos instrumentos contratuais. Os contratos, em certa 
medida, refletem as regras da PSI. 
4.4 Controle de acesso
O controle de acesso pode ser lógico e físico, abrangendo a 
entrada em salas (de arquivos, de processamento de dados, 
etc.) e sistemas (logins). A organização deve investir esforço 
para determinar o que cada integrante pode acessar, sempre 
pautando a prática no princípio do “menor privilégio”. O controle 
do acesso permite auditorias sobre o que o usuário fez, permite 
que sejam criadas, aprovadas, revisadas e excluídas as contas 
de usuários. Também é importante que se gerencie o uso de 
senhas, estabelecendo-se uma certa complexidade em sua 
criação (letras maiúsculas e minúsculas, número mínimo de 
caracteres, tempo de expiração, etc.), bem como se instrua os 
usuários a não compartilharem contas e senhas. Por fim, o uso de 
multi-fatores de autenticação (MFA) para acessar sistemas 
aumenta o nível de segurança.
13 INPD – Instituto Nacional de Proteção de Dados 
4.5 Segurança dos dados pessoais armazenados
A organização deve determinar quais são os dados que realmente necessita em suas atividades,
podendo também investir em técnicas de pseudonimização. Por tal razão, ter um mapeamento de
processos internos é essencial em termos organizacionais. Através desse mapeamento é possível
entender e determinar configurações de sistemas, sendo as pessoas instruídas a não as modificar.
Também se deve evitar ou mesmo impedir o uso de dispositivos móveis, de modo que as informações
não sejam carregadas em pendrives e HDs externos. Os backups devem ser realizados regularmente
e armazenadosem locais seguros e diferentes da base de dados original. O Guia ainda recomenda
que o backup não seja sincronizado de forma online, de modo a evitar a perda de dados em casos de
ataques maliciosos. Por fim, o cuidado com o descarte das informações também deve ser considerado,
estabelecendo-se métodos de formatação, subscrição ou criptografia dos dados, antes do descarte.
4.6 Segurança das comunicações
O Guia recomenda a utilização de conexões cifradas (com uso de
TLS/HTTPS) ou aplicativos com criptografia fim a fim, inclusive em
relação aos e-mails ou, ao menos, que os arquivos do e-mail sejam
cifrados. Também é importante o uso de firewalls, antivírus, anti-
spams, filtros de e-mails, para gerenciamento do tráfego de rede.
4.8 Medidas relacionadas ao uso de dispositivos móveis
O mundo é mobile e os dispositivos móveis carregam muitas
informações. As medidas de segurança devem se estender a
esses equipamentos, estabelecendo-se controles para acesso,
MFAs, guarda em locais seguros e para uso exclusivamente
institucional. Também é importante estabelecer meios de
apagamento remoto dos dados, para o caso de perda ou roubo dos
dispositivos.
4.7 Manutenção de programa de
gerenciamento de vulnerabilidades
Monitorar e manter os sistemas em suas versões mais atualizadas ajuda a segurança, pois os
fornecedores estão constantemente melhorando a defesa de seus sistemas. Também se
recomenda uma varredura periódica para a checagem dos sistemas e até o descarte de sistemas
inúteis para a organização.
4.9 Medidas relacionadas ao serviço em
nuvem
Assim como o mundo é mobile, o uso de nuvens se massificou e,
nesses casos, um bom contrato deve ser estabelecido. Além disso,
regras de controle de acesso, MFAs, também são incentivadas.
14 INPD – Instituto Nacional de Proteção de Dados 
Portanto, os itens acima elencados devem obrigatoriamente ser
enfrentados pela Organização, posto que a própria Autoridade
Nacional de Proteção de Dados destacou como de extrema
relevância em seu Guia Orientativo.
Além disso, esses fatores auxiliam as organizações a elevarem os
seus níveis de segurança e não significam um ponto estanque.
Pelo contrário, devem ser revisados periodicamente. A revisão pe-
riódica permite uma análise crítica e incentiva estabelecer um ciclo de checagem, planejamento e
correção, sempre com vistas à adoção das melhores práticas em segurança da informação. Ademais, o
próprio Guia registra que as medidas devem ser completadas de acordo com a realidade de cada
organização.
Para fins de auxiliar o Controlador a cumprir com as obrigações legais decorrentes dos direitos requeridos
pelos titulares, é importante estabelecermos mecanismos para que sejam executáveis. 
Primeiramente, é necessário identificar quais os direitos do titular de dados estão associados à base legal que
ampara o respectivo tratamento, pois nem todos os direitos são absolutos e a depender da hipótese
autorizadora, alguns direitos não poderão ser atendidos. 
5. Dos Direitos dos Titulares e a obrigação do Controlador 
Para fins de auxiliar o Controlador a cumprir com as obrigações legais decorrentes dos direitos requeridos
pelos titulares, é importante estabelecermos mecanismos para que sejam executáveis.
Por essa razão, recomenda-se extrema atenção na eleição da base legal de forma que represente a mais
adequada ao tratamento e observe-se a correlação com os respectivos direitos dos titulares.
O Controlador é um empregador que processa dados coletando e arquivando informações dos
empregados referentes a pagamentos realizados junto ao Instituto Nacional do Seguro Social (INSS).
Para fins de coleta e manuseio das informações, o Controlador está amparado no cumprimento de
obrigação legal (art. 7, II), e para o armazenamento dos informes de pagamento encontra amparo no
exercício de direitos em processo judicial (art. 7, VI). Portanto, caso o titular venha a requerer a
eliminação desses dados pessoais, previstos no art. 17, inciso VI, não será passível de atendimento,
visto que o tratamento em questão não está amparado na base legal do consentimento. 
Exemplo:
15 INPD – Instituto Nacional de Proteção de Dados 
I. Confirmação de existência de tratamento – Aplica-se a todas as bases legais e deve se dar 
mediante requisição do titular.
II. Acesso aos dados - Em sendo positiva a resposta acerca da existência de tratamento, aplica-se a 
todas as bases legais e deve se dar mediante requisição expressa do titular.
III. Correção de dados incompletos, inexatos ou desatualizados – Da mesma forma, em se 
confirmando o tratamento de dados, aplica-se a todas as bases legais.
IV. Anonimização, bloqueio ou eliminação – Este direito está diretamente vinculado à finalidade e 
necessidade. Em sendo os dados tratados em excesso ou em desconformidade com a finalidade, 
o direito requerido pelo titular deve ser atendido e aplicado a todas as bases legais.
V. Portabilidade dos dados a outro fornecedor – O atendimento ao direito em questão encontra 
limitação nos segredos comercial e industrial, razão pela qual não são absolutos. Importante 
registrar que aguardam regulamentação por parte da Autoridade Nacional de Proteção de Dados – 
ANPD.
VI. Eliminação dos dados pessoais – Aplica-se a todos os tratamentos realizados sob o amparo da 
base legal do consentimento. Entretanto, encontram-se fora desta abrangência os dados que 
estiverem sendo tratados por- i) cumprimento de obrigação legal ou regulatória pelo Controlador ii) 
para estudo por órgãos de pesquisa, garantindo-se sempre que possível a anonimização iii) a 
transferência a terceiro, desde que respeitados os requisitos legais iv) e, por fim, quando o uso dos 
5.1 Em relação aos direitos dos titulares elencados no art. 18, I a IX, da 
LGPD, e que podem ser exercidos a qualquer momento mediante 
requisição ao Controlador, fazemos as devidas correlações com as 
bases legais objetivando facilitar o processo obrigatório de 
atendimento aos direitos dos titulares.
dados for exclusivo do controlador e desde que anonimizados.
I. Confirmação de existência de tratamento – Aplica-se a todas as bases legais e deve se dar 
mediante requisição do titular.
II. Acesso aos dados - Em sendo positiva a resposta acerca da existência de tratamento, aplica-se a 
todas as bases legais e deve se dar mediante requisição expressa do titular.
III. Correção de dados incompletos, inexatos ou desatualizados – Da mesma forma, em se 
confirmando o tratamento de dados, aplica-se a todas as bases legais.
IV. Anonimização, bloqueio ou eliminação – Este direito está diretamente vinculado à finalidade e 
necessidade. Em sendo os dados tratados em excesso ou em desconformidade com a finalidade, 
o direito requerido pelo titular deve ser atendido e aplicado a todas as bases legais.
V. Portabilidade dos dados a outro fornecedor – O atendimento ao direito em questão encontra 
limitação nos segredos comercial e industrial, razão pela qual não são absolutos. Importante 
registrar que aguardam regulamentação por parte da Autoridade Nacional de Proteção de Dados – 
ANPD.
VI. Eliminação dos dados pessoais – Aplica-se a todos os tratamentos realizados sob o amparo da 
base legal do consentimento. Entretanto, encontram-se fora desta abrangência os dados que 
estiverem sendo tratados por- i) cumprimento de obrigação legal ou regulatória pelo Controlador ii) 
para estudo por órgãos de pesquisa, garantindo-se sempre que possível a anonimização iii) a 
transferência a terceiro, desde que respeitados os requisitos legais iv) e, por fim, quando o uso dos 
VII. Informação das entidades públicas e privadas com as quais o Controlador compartilhou os 
dados - Este direito aplica-se a todas as bases legais. Impõe-se ressaltar aqui, a relevância de um 
Registro de Operações de Tratamento – ROPA- bem-feito, pois essas informações devem estar 
devidamente sinalizadas, facilitando assim, a resposta ao titular.
negativa - Este direito aplica-se tão somente às hipóteses em que o processamento de dados 
depender do consentimento do titular. Nessecaso, o titular deve ser avisado de que, por exemplo, 
caso não consinta com o tratamento ofertado, o mesmo talvez não possa ser fornecido.
IX. Revogação do consentimento - Este direito como o próprio nome já sinaliza, aplica-se apenas 
aos tratamentos amparados pela base legal do consentimento. E, neste caso, pode ser exercido a 
qualquer momento mediante manifestação expressa do titular, de forma gratuita e simplificada (art. 
X. Revisão e explicação de decisões automatizadas - Por fim, de acordo com o art. 20, o titular tem 
o direito de solicitar a revisão de decisões exclusivamente automatizadas que afetem seus 
interesses, tais com a definição de perfis pessoal, profissional, de consumo, de crédito ou aspectos 
da personalidade.
Portanto, é de suma importância que o Controlador que utilizar processos automatizados para tomada 
de decisões baseada em dados seja capaz de fornecer as explicações obrigatórias por comando legal, 
bem como de prover a sua revisão. 
VIII. Informação sobre a possibilidade de não fornecer consentimento e as consequências da sua
8, § 5).
O processo de qualificação da equipe no tema, poderá ocorrer por meio de palestras, workshops, eventos, 
cursos, podcast, informativos por e-mail, e-books, cartilhas, comunicação em geral, utilizando-se de 
ferramentas para disseminar a informação.
O uso de ferramentas que ofereçam condições teórico-didáticas, metodológicas e práticas, personalizadas 
para cada realidade a fim de realizar um trabalho sistêmico são recomendáveis.
Algumas sugestões de treinamentos complementares, seguem abaixo:
- Aprendizagem com utilização de games (dinâmica de gamificação);
- Aplicar a técnica de LNT (Levantamento de Necessidade de Treinamento) para avaliar e nivelar o 
conhecimento do grupo;
- Vídeo para integração de novos empregados;
- Leitura da legislação e análise de casos reais;
Não esqueçamos que a medição dos resultados é de grande valia, pois permitirá que a organização 
compreenda se os recursos e esforços investidos estão sendo direcionados para a área certa e quais são as 
carências que ainda precisam ser resolvidas. 
Por fim, é bastante interessante aplicar uma pesquisa de satisfação em relação ao treinamento, permitindo 
que as equipes evidenciem os pontos mais fortes e fracos do programa.
16 INPD – Instituto Nacional de Proteção de Dados 
Deve-se atentar na escolha dos fornecedores dessas ferramentas tecnológicas, tendo em vista que o 
Controlador está diretamente obrigado perante o titular.
O recurso humano representa um dos maiores ativos de uma organização e nada mais coerente do que 
investir no treinamento da equipe. Afinal de contas, o erro humano ainda representa a maior causa 
responsável pelos incidentes de segurança.
Portanto, conscientizar é capacitar o time!
A implementação da Lei Geral de Proteção de Dados é 
complexa, mas representa um importante passo no 
mundo corporativo em atenção ao direito de todos os 
titulares.
A Capacitação precisa alcançar a todos, sejam os 
envolvidos internamente nas organizações, mas tam-
bém os externos, tanto no público quanto no privado, devendo ser o foco primeiro os que estão direta e 
indiretamente envolvidos nos processos de governança, compliance e aplicação da LGPD.
Deve-se primar pelo conhecimento e pela interpretação da norma da proteção de dados pessoais, combinada 
com as demais leis e princípios do Direito e pelas diretrizes da ANPD.
A capacitação pode e deve se dar em diferentes níveis de profundidade, a depender do envolvimento do 
profissional com o tratamento de dados dentro da empresa. 
6. Treinamento e Conscientização
17 INPD – Instituto Nacional de Proteção de Dados 
Nesse sentido, as posturas relacionadas representam boas práticas e compõem uma governança corporativa.
A LGPD é clara quanto a isso:
A viabilização destas boas práticas e governança ocorre quando os envolvidos começam a realizar ações 
educativas, abrangendo mecanismos internos de supervisão e de mitigação de riscos e outros aspectos 
relacionados ao tratamento de dados pessoais.
A formação de uma rede de pessoas cautelosas, conscientes das obrigações e direitos legais é pré-requisito 
para uma efetiva governança de dados pessoais.
Por certo que ao seguir as orientações elencadas, a organização acumulará benefícios para o negócio, assim 
como investir em capacitação haverá:
• A melhora do relacionamento com o cliente;
• O ganho de confiança entre o público e a empresa;
• O aumento da segurança jurídica;
• A proteção à reputação da marca;
• A garantia da ética profissional;
• A criação de um verdadeiro diferencial competitivo.
“Art. 50. Os controladores e operadores (....) poderão formular regras de boas práticas e de gover-
nança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos 
(...)”
Por fim, importante registrar que os agentes de tratamento, sejam controladores ou operadores, estão 
obrigados por força de lei a cumprir com os dispositivos legais da Lei Geral de proteção de Dados.
Tal aderência, além de impositivo legal, tem potencial de representar diferencial competitivo de mercado. Pois, 
com o passar do tempo, não haverá mais espaço para organizações que não incluírem em sua pauta a 
privacidade e proteção de dados.
Respeitando as peculiaridades de cada empresa e seu modelo de negócios, volume e categoria de dados 
tratados sugerimos que cada ator neste cenário empreenda esforços para implementar as medidas 
necessárias para atingir um status de adequação à LGPD.
E para essa jornada, é indispensável conhecer o caminho a ser trilhado.
Esperamos que este Passo a Passo à implementação à LGPD seja um norte nesse processo.
Obrigado por nos acompanhar até aqui!
Conclusão
INPD 
www.instagram.com/inpdados
www.inpd.com.br
18 INPD – Instituto Nacional de Proteção de Dados 
• GUIA DE BOAS PRÁTICAS DA LGPD – MODELO DE RIPD
• GUIA DE SEGURANÇA DA INFORMAÇÃO PARA AGENTE DE TRATAMENTO DE PEQUENO PORTE
• CARTILHA CERT.BR E ANPD QUE APRESENTA INFORMAÇÕES SOBRE ADOÇÃO DE POSTURA
PREVENTIVA
• PERGUNTAS E RESPOSTAS SITE OFICIAL DA ANPD
• GUIA SENACON “COMO PROTEGER SEUS DADOS PESSOAIS”
• GUIA ORIENTATIVO AGENTES DE TRATAMENTO DE PEQUENO PORTE
• GUIA ORIENTATIVO TRATAMENTO DE DADOS NO PODER PÚBLICO
• TCU AUDITORIA DO GRAU DE IMPLEMENTAÇÃO NO SETOR PÚBLICO
Materiais publicados de apoio disponíveis