Como implementar a LGPD bases, mecanismos e processos

Prévia do material em texto

Governo e Transformação Digital; Direito e Legislação;
Gestão da Informação e do Conhecimento.
Como implementar a 
LGPD: bases, mecanismos 
e processos
Enap, 2022
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
SAIS - Área 2-A - 70610-900 — Brasília, DF
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
Conteudista/s 
Bruno Anselmo Guilhen (Conteudista, 2022).
Sumário
Módulo 1: Bases para Aplicação da LGPD ............................................................. 6
Unidade 1: A Relação entre Proteção de Dados e Segurança da Informação ...6
1.1 Conceitos de Dado, Informação e Conhecimento .................................................. 6
1.2 Princípios Básicos da Segurança da Informação (PBSI) ......................................... 9
1.3 Aplicação e Técnicas de Segurança ........................................................................ 12
Referências ...................................................................................................................... 21
Unidade 2: Como a LGPD Disciplina o Conceito de Proteção de Dados? .........23
2.1 Afinal, a LGPD Trata de Dado ou Informação? ..................................................... 23
2.2 Os Diversos Tipos de Dados Segundo a LGPD: Pessoal, Sensível e Anonimizado ... 25
2.3 Outras Definições da LGPD ..................................................................................... 30
Referências ...................................................................................................................... 35
Módulo 2: Mecanismos para Implementação da LGPD .....................................37
Unidade 1: Princípios e Definições para Tratamento de Dados .......................37
1.1 O Tratamento de Dados e seus Personagens....................................................... 37
1.2 Finalidade, Adequação e Necessidade .................................................................. 43
1.3 Acesso, Qualidade e Transparência ....................................................................... 45
1.4 Segurança, Prevenção, Não Discriminação e Responsabilização ....................... 47
Referências ...................................................................................................................... 50
Unidade 2: Elementos para Implementar a Política de Segurança da Informação 
(PSI) .......................................................................................................................... 51
2.1 Análise e Avaliação de Riscos .................................................................................. 51
2.2 Estrutura e Conteúdo da PSI ................................................................................... 56
2.3 A Transformação Digital e a PSI .............................................................................. 59
Referências ...................................................................................................................... 62
Módulo 3: Implementando a LGPD ...................................................................... 64
Unidade 1: Os Processos para a Implementação da LGPD ...............................64
1.1 Processos para Implementação da LGPD ............................................................. 64
1.2 A Trilha de Conformidade para Tratamento Adequado de Dados .................... 69
1.3 O Término do Tratamento de Dados ..................................................................... 72
Referências ...................................................................................................................... 75
4Enap Fundação Escola Nacional de Administração Pública
Unidade 2: Base Legal para o Tratamento de Dados .........................................76
2.1 Quais as Bases Legais para o Tratamento de Dados? ......................................... 76
2.2 Exemplo de Termo de Consentimento. ................................................................. 85
Referências ...................................................................................................................... 89
Unidade 3: Tratamento de Dados pelo Poder Público .......................................90
3.1 Quem Realiza o Tratamento de Dados no Serviço Público? ............................... 90
3.2 Regras e Responsabilidades no Tratamento de Dados pelo Poder Público ..... 92
Referências ...................................................................................................................... 94
Unidade 4: Locais e Mecanismos para Tratamento de Dados ..........................95
4.1 Inventário de Dados ................................................................................................. 95
4.2 Local de Armazenamento de Dados ..................................................................... 97
4.3 Análise e Avaliação de Riscos sobre Armazenamento de Dados ....................... 98
Referências ................................................................................................................... 101
Módulo 4: Infrações e Penalidades .................................................................... 103
Unidade 1: Infrações e Penalidades da LGPD ................................................... 103
1.1 Quais são as Infrações e Penalidades da LGPD .................................................. 103
1.2 Documentos que Devem Existir na Empresa para Atestar as Boas Práticas da 
LGPD ............................................................................................................................... 106
1.3 Resposta a Incidentes ............................................................................................ 107
Referências .................................................................................................................... 110
Enap Fundação Escola Nacional de Administração Pública 5
Apresentação e Boas-vindas 
Caro(a) Cursista, seja muito bem-vindo(a) ao curso Como Implementar a LGPD: 
Bases, Mecanismos e Processos.
Olá! É um prazer contar com sua companhia por aqui. Este curso visa guiar você ao 
entendimento da Lei Geral de Proteção de Dados (LGPD), que tem como fundamento 
a responsabilidade com os dados coletados das pessoas, principalmente dos usuários 
de serviços públicos. 
Alinhados ao processo de transformação digital do serviço público, os conteúdos que 
serão abordados a partir de agora estabelecerão os pilares para que essa mudança 
caminhe juntamente da correta implementação da LGPD. 
Para tornar o processo de aprendizagem mais harmonioso e organizado, os conteúdos 
do curso foram divididos em quatro módulos.
• Módulo 1: Bases para aplicação da LGPD, inicia-se com a apresentação 
das bases para a implementação da LGPD.
• Módulo 2: Mecanismos para implementação da LGPD, apresentará 
os pilares para essa implementação, tendo como base os conceitos e 
definições fundamentais da lei e a criação de uma Política de Segurança da 
Informação (PSI). 
• Módulo 3: Implementando a LGPD, versa sobre o processo de 
implementação dos quesitos requeridos pela lei.
• Módulo 4: Infrações e penalidades, finaliza demostrando as consequências 
da lei. 
Esclarecidos esses pontos iniciais de estudo para que você siga bem orientado (a), 
assista agora ao vídeo de apresentação inicial do curso. É hora de começar.
Bons estudos para você!
Videoaula: Apresentação e Boas-Vindas
https://
https://cdn.evg.gov.br/cursos/529_EVG/video/modulo01_video01/index.html
6Enap Fundação Escola Nacional de Administração PúblicaEnap Fundação Escola Nacional de Administração Pública
 Módulo
Bases para Aplicação da LGPD 1
Esta etapa inicial de estudos é composta de duas unidades, sendo muito importante 
por buscar que você chegue ao entendimento das bases de aplicação da LGPD. A 
primeira unidade estabelece uma relação entre a proteção de dados, que é parte da 
nomenclatura da própria LGPD, e os princípios básicos da segurança da informação. 
Nasegunda unidade, você será apresentado a definições importantes, trazidas por 
meio da lei, sobre dado pessoal, dado sensível e dado anonimizado, conceitos 
que representam a base para o entendimento de quais são os elementos a serem 
protegidos na sua implementação. Por isso, não perca de vista o que você aprenderá 
a partir de agora, certo? Siga firme e persevere! Vamos começar? 
1.1 Conceitos de Dado, Informação e Conhecimento
Unidade 1: A Relação entre Proteção de Dados e Segurança 
da Informação
Objetivo de aprendizagem
Ao final desta unidade você deverá ser capaz de reconhecer o significado de proteção de dados.
Para início de conversa, analise atentamente a imagem abaixo. O que ela representa 
para você? Qual(is) a(s) diferença(s) que você consegue perceber entre elas?
Enap Fundação Escola Nacional de Administração Pública 7
Muita coisa mudou desde a Revolução Industrial até os dias atuais, não é mesmo?
O primeiro passo para você que pretende implementar a LGPD é entender a divisão dos 
sistemas digitais e físicos. Os sistemas digitais são formados por bits e bytes. Já o sistema 
físico representa tudo aquilo que não é digital, que pode ser facilmente manuseado, por 
exemplo, livros, notas fiscais, folhas de cheque etc. (LAUDON; LAUDON, 2014).
Segundo Kenneth Laudon e Jane Laudon (2014), os sistemas digitais são representados 
pelos seguintes elementos: dado, informação e conhecimento. Com base nestes 
autores, observe no infográfico a seguir a definição que melhor se enquadra nos 
sistemas de informação gerenciais. 
Evolução dos sistemas.
Fonte: Freepik (2022) Elaboração: CEPED/UFSC (2022). 
Segundo Stallings e Brown (2013), os sistemas 
sofrem constantes mutações com o tempo, desde a 
Revolução Industrial até a atual era do conhecimento. 
Por este motivo, é necessária uma classificação e 
posterior análise de riscos para que a segurança 
seja corretamente mensurada em todo sistema, 
independentemente de ser físico ou digital.
8Enap Fundação Escola Nacional de Administração Pública
Segundo O’brien (2011), dado significa tudo aquilo que é facilmente estruturado, 
quantificado, transferível e facilmente obtido por máquinas. Por outro lado, o 
conhecimento é de difícil estruturação, difícil captura por máquinas, frequentemente 
tácito e de difícil transferência.
A informação requer análise, consenso em relação ao significado e a mediação 
humana. Portanto, saber diferenciar cada um desses elementos será um passo 
importante para você estabelecer as relações de proteção dos sistemas digitais 
modernos e a estrutura da LGPD.
Aprendido isto, agora é hora de você refletir sobre ativos! Você sabe o que é “ativo” 
neste contexto? 
Porém, do ponto de vista da segurança, é preciso ter em mente que não é 
possível proteger igualmente todos os ativos. Sendo necessário, neste caso, uma 
análise detalhada para estabelecer quais ativos deverão receber mais ou menos 
investimentos em proteção e segurança. 
Representação de um sistema digital.
Fonte: Laudon e Laudon (2014). Elaboração: CEPED/UFSC (2022).
A ISO 27002 define como ativo tudo aquilo que possui valor para 
uma organização (ABNT, 2013).
Enap Fundação Escola Nacional de Administração Pública 9
A partir de um olhar sobre os ativos e as formas como protegê-los é que se entende 
a importância da relação entre segurança da informação e a Lei Geral de Proteção 
de Dados (LGPD). Segurança é a base da implementação da LGPD.
1.2 Princípios Básicos da Segurança da Informação (PBSI) 
Uma vez definidos os ativos (aqueles que mais devem receber investimentos em 
segurança) e entendidos quais são os sistemas (físicos ou digitais), para a adoção 
de um modelo seguro será necessário que você entenda quais são os princípios 
básicos da segurança da informação e as técnicas para sua proteção.
Stallings e Brown (2013) abordam os princípios utilizando a tríade demonstrada na 
pirâmide abaixo. Analise-a com atenção!
Segurança na LGPD.
Fonte: Freepik (2022). Elaboração: CEPED/UFSC (2022). 
10Enap Fundação Escola Nacional de Administração Pública
Na ISO 27002 (2013) esses três princípios são complementados por mais dois: a 
autenticidade e o não-repúdio. Porém, a Teoria Parkeriana (KABAY; BOSWORTH, 
2002) define em seis os princípios da segurança da informação, no que é conhecido 
como hexagrama Parkeriano. 
Princípios básicos da segurança da informação.
Fonte: Stallings e Brown (2013). Elaboração: CEPED/UFSC (2022).
Hexagrama Parkeriano.
Fonte: Kabay e Bosworth (2002). Elaboração: CEPED/UFSC (2022).
Autenticidade
Enap Fundação Escola Nacional de Administração Pública 11
Levando em consideração tantas teorias acerca desses princípios, os cinco que 
serão definidos e estudados aqui são os ilustrados na ISO 27002 , uma vez que eles 
também são listados na LGPD, combinado?
Os princípios são: 
Conheça cada um deles a seguir.
Confidencialidade 
O princípio da confidencialidade está associado à garantia do sigilo, segredo ou 
privacidade. Indica que somente os autorizados poderão ter acesso às informações 
armazenadas ou transmitidas no momento e na forma adequada. Quando um terceiro 
passa a ter acesso a uma informação, costuma-se dizer que a confidencialidade foi 
perdida (STALLINGS; BROWN, 2013).
Integridade
A integridade diz respeito à percepção da modificação, ou seja, é a garantia de que 
a informação não foi alterada/modificada intencional ou involuntariamente, e que 
caso alterada por algum motivo, isso seja detectado (STALLINGS; BROWN, 2013).
Disponibilidade 
A disponibilidade é o princípio que garante acesso ao sistema ou aos dados sempre 
que solicitado. 
Autenticidade
Já a autenticidade é a prova da identidade ou a garantia da identidade de um usuário, 
sistema ou site. 
1. confidencialidade; 
2. integridade; 
3. disponibilidade; 
4. autenticidade; 
5. não-repúdio ou irretratabilidade.
12Enap Fundação Escola Nacional de Administração Pública
Não-repúdio ou irretratabilidade
Por fim, o não-repúdio ou irretratabilidade é a impossibilidade de negar a participação 
em uma ação eletrônica, fazendo com que uma vez que o usuário executou certas ações 
seja impossível de negar que esse fato aconteceu (STALLINGS; BROWN, 2013).
Tome nota desta informação importantíssima! Todos esses 
princípios possuem técnicas computacionais para garantir a sua 
execução. Os cinco princípios listados aqui são elementos básicos 
para a correta aplicação de segurança e para toda a estrutura 
de privacidade usada para construir políticas em torno de leis e 
tratados que versem sobre o assunto.
1.3 Aplicação e Técnicas de Segurança
Talvez você esteja curioso(a) para entender como ocorre o funcionamento destes 
princípios na prática, certo? Bem, os princípios básicos da segurança da informação 
são trabalhados na prática através de técnicas que melhoram a sua aplicação. 
Neste caso, cada princípio possui pelo menos uma técnica que deve ser estudada, 
entendida e implementada. 
A tabela a seguir mostra os princípios estudados e uma técnica que pode ser 
utilizada para sua garantia. Mas, atenção: a técnica apresentada a seguir não é a 
única opção garantidora do princípio, porém serve como ideia sobre qual caminho 
seguir. Existem técnicas mais avançadas, a opção aqui foi sugerir uma técnica para 
que você possa entender o princípio e saber qual caminho seguir.
Princípio Técnica
Confidencialidade Criptografia
Integridade Hash
Disponibilidade Cópia de segurança (backup)
Autenticidade Autenticação em fatores múltiplos 
Não-repúdio Captcha
Princípio e técnica da segurança da informação.
Elaboração: CEPED/UFSC (2022).
Enap Fundação Escola Nacional de Administração Pública 13
E a resposta está na técnica, já que a criptografia garante o sigilo/privacidade das 
informações. Da mesma forma, o backup garante a disponibilidade dos dados em caso 
de perda do sistema original e o hash permite conferir a integridade de um arquivo.
Uma breve definição de cada uma das técnicas apresentadas serve para entender como 
relacionar oselementos de proteção invocados pela lei e as ações que devem ser trabalhadas.
Criptografia
Técnica matemática para embaralhar informações de maneira que somente os 
detentores das chaves poderão desfazer o processo. A criptografia pode ser simétrica 
(de chave única) ou assimétrica (de chave pública e privada).
A técnica é a tentativa de garantir o princípio de segurança apresentado, assim, quando 
se fala em, assim, quando se fala em confidencialidade a pergunta que se faz é: 
Como garantir que uma informação poderá ser transmitida ou 
armazenada em sigilo? 
Criptografia.
Fonte: Freepik (2022). 
14Enap Fundação Escola Nacional de Administração Pública
Hash
O hash nada mais é do que um algoritmo que recebe uma entrada (pode ser um 
texto, um arquivo ou uma unidade de disco) e gera um código hexadecimal (de 0 
a 9 e A a F) de tamanho fixo na saída. Sempre que essa entrada mencionada for 
inserida, o mesmo resultado (o mesmo código hash) deverá aparecer na saída, para 
demonstrar a integridade.
Por outro lado, se um arquivo possui um código hash e tempos depois o código não 
é mais o mesmo, significa que esse arquivo foi alterado, a integridade foi perdida.
Cópia de segurança
Cópia de segurança ou backup é a técnica que realiza a cópia fiel de um conjunto 
de dados para posterior utilização em caso de perda do sistema original. A 
disponibilidade está devidamente garantida se for possível resgatar todos os dados 
perdidos, e uma dessas formas é utilizar o backup. 
Convém notar que existem técnicas mais avançadas de backup, por exemplo, a 
replicação dos servidores em cloud, o backup em sites de terceiros ou nuvem etc. 
Lembre-se que a ideia aqui é mostrar o caminho para garantir a disponibilidade. Um 
ponto de atenção para a utilização de serviços de terceiros é analisar o contrato de 
prestação de serviços (SLA – Acordo de Nível de Serviço), principalmente quando 
se trata de administração pública, algumas regras de armazenamento precisam 
ser seguidas.
Hash.
Fonte: Freepik (2022). 
Enap Fundação Escola Nacional de Administração Pública 15
Autenticação em fatores múltiplos
A autenticação pode acontecer utilizando três técnicas: algo que o usuário tem, algo 
que o usuário sabe e algo que o usuário possui.
Captcha
Técnica que realiza um teste de caráter cognitivo. É um desafio para garantir que o 
utilizador de determinado sistema é um ser humano, por isso o captcha, ou Teste de 
Turing, é conhecido como desafio-resposta. A garantia do não-repúdio está exatamente 
na proposta de que o desafio só pode ser “vencido” por um ser humano e não por uma 
máquina. Sendo assim, o ser humano não poderá negar que passou por aquela etapa.
A implementação do captcha vem sendo contestada em relação a eficiência em garantir 
A autenticação em fatores múltiplos representa a utilização de mais de uma técnica 
de pelo menos uma categoria, por exemplo, um cartão, uma senha e a digital.
• Ter: um cartão, um documento, um token, um crachá etc. 
• Saber: uma senha, um PIN, uma sequência de letras de acesso etc.
• Ser: uma característica biométrica como a íris, a retina, a impressão 
digital, a voz etc.
Autenticação em fatores múltiplos.
Fonte: Freepik (2022).
Representação do captcha.
Fonte: Higa (2014). 
o não-repúdio, mais uma vez aqui a ideia é 
entender o caminho. O governo federal, por meio 
do serviço Gov.br, fornece a autenticação de 
documentos; dessa forma, ao utilizar a assinatura 
digital o usuário poderá garantir a autenticidade, a 
integridade e o não-repúdio. Portanto, a assinatura 
digital seria o meio mais eficaz para garantir o não-
repúdio, o captcha uma opção de implementação.
16Enap Fundação Escola Nacional de Administração Pública
A partir deste ponto espera-se que você já consiga entender os princípios básicos 
de segurança e as técnicas como os pilares para a implementação da Lei Geral de 
Proteção de Dados.
Em diversos pontos da lei os princípios serão invocados e o entendimento das 
técnicas também será necessário para validar qual atitude tomar. Cita-se, como 
exemplo, o art 2º – I, que diz (BRASIL, 2018):
Ao ler a palavra “privacidade” dentro do texto da lei é necessário que você entenda 
o contexto e, principalmente, a utilização do termo. Inevitavelmente devem vir à 
tona perguntas como: “qual a definição de privacidade?”, “quais as técnicas para 
garantir o respeito à privacidade?”. Por essa razão é que você foi levado a conhecer 
o significado de proteção de dados.
Uma importante aplicação desses conceitos foi elencada no Decreto 10.332 de 2020 
(BRASIL, 2020). Este decreto institui a Estratégia de Governo Digital para o período de 
2020 a 2022 e um de seus principais objetivos é oferecer serviços digitais ao cidadão.
Serviços digitais ao cidadão.
Fonte: Brasil (2022).
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
Enap Fundação Escola Nacional de Administração Pública 17
A transformação digital proposta pelo governo, conjuntamente com o processo 
de oferta de serviços, expõe um problema de segurança e gera uma enorme 
responsabilidade pelo tratamento dos dados que serão ofertados. Por essa razão é 
necessário que você conheça os conceitos de segurança que vem sendo utilizados 
até este momento. Vamos lá?
O que seria transformação digital e como a LGPD deve ser enquadrada nesse 
contexto?
Segundo o Decreto 10.332 (BRASIL, 2020) e o conteúdo do site Gov.br sobre 
Governo Digital, a transformação digital representa a oferta de serviços públicos 
de qualidade, de forma que o cidadão gaste menos tempo e dinheiro para poder 
usufruir dos mesmos. Em outras palavras, seria oferecer ao cidadão os serviços 
públicos que antes eram oferecidos presencialmente, ou parte no modelo digital e 
parte no modelo físico, de forma totalmente digital e com soluções mais rápidas.
Mas quais são as consequências dessa sistematização toda? Se você pensou sobre 
aumento da segurança, é isso mesmo, pois as consequências remetem à necessidade 
de pensar ainda mais nos mecanismos de proteção de dados.
A necessidade de inserir o cidadão no contexto de serviços digitais faz com 
que a proteção através da confidencialidade, integridade, disponibilidade, 
autenticidade e não repúdio seja cada vez mais cobrada dos detentores dos serviços 
e dos dados, que neste caso tem de um lado o governo e do outro os cidadãos.
O alinhamento de tudo isso foi consolidado pela LGPD que trouxe a ideia de um 
tratamento de dados com cautela, responsabilidade e com finalidade específica. 
A implementação desses conceitos fornece um grau maior de confiabilidade aos 
serviços vistos pelo cidadão.
Adeus, burocracia!
Elaboração: CEPED/UFSC (2022). 
https://www.gov.br/governodigital/pt-br/transformacao-digital/o-que-e
18Enap Fundação Escola Nacional de Administração Pública
Interoperabilidade e compartilhamento de dados.
Fonte: gov.br/conecta.
Do ponto de vista da gestão pública será necessário implementar políticas de 
segurança juntamente com mecanismos de tratamento de dados, pois o objetivo 
do decreto e da Administração Pública é oferecer serviços para engajar ainda 
mais o cidadão. Entretanto, as bases para que isso ocorra passam por planos de 
transformação digital que unificam serviços e canais digitais, que propõem a 
interoperabilidade de sistemas e que carecem de mecanismos de segurança e de 
privacidade. Veja na imagem os benefícios gerados pela interoperabilidade e pelo 
compartilhamento de dados:
A atuação do governo federal é pautada pela interoperabilidade 
de dados para:
1) simplificar a oferta de serviços públicos, ou seja, melhoria 
de políticas públicas;
2) otimizar a manutenção de benefícios sociais e fiscais;
3) qualificar os dados que estão com a Administração Pública 
Federal;
4) melhorar as operações internas da Administração Pública 
Federal.
Enap Fundação Escola Nacional de Administração Pública 19
Imagine que a secretaria acadêmica de um instituto federal ou 
de uma universidade resolve oferecer o serviçode matrícula e 
rematrícula completamente digital aos alunos e que o sistema 
que trata os dados já existe (sistema acadêmico) e já oferece 
serviços na Internet.
Então bastaria a instituição disponibilizar o site para que os 
alunos fizessem o cadastro e escolhessem as disciplinas a serem 
cursadas? Do ponto de vista da solução digital ao cidadão sim, 
mas do ponto de vista da Administração Pública, não.
Muitas variáveis precisam ser levadas em conta, mas aqui será separado o que 
interessa na implementação da LGPD e que será melhor desenvolvido ao longo de 
sua aprendizagem em todas as etapas.
As primeiras perguntas remontam ao plano de segurança dos dados, visto que agora 
eles circularão além do ambiente do órgão, e mais, vão “passear” pelo ambiente hostil 
da Internet. Qual é o plano de segurança? Quais políticas e princípios precisam ser 
mais explorados? Do ponto de vista do tratamento de dados (LGPD), como será esse 
planejamento? Quem serão os responsáveis pelos dados e pelo seu tratamento?
Conseguiu perceber que não é tão elementar assim, quanto seria inserir 
transformação digital sem pensar muito na segurança do sistema? Agora será 
necessário incluir os postulados da LGPD.
Partindo para um plano mais profundo, imagine que esses dados possuem uma relevância 
ainda maior, por exemplo, dados de previdência privada, dados relativos à saúde, etc.
Neste contexto, quanto mais sensíveis (dados sensíveis serão especificamente 
definidos mais adiante) ou “preciosos” os dados, maior será a responsabilidade no 
cuidado, mais elaborada deverá ser a política de segurança, mais atenção com a 
confidencialidade, integridade e outras técnicas. O aumento da responsabilidade 
com os dados também aumenta a demanda de colaboradores responsáveis pelos 
processos e com isso os custos para oferecer o serviço.
Pense neste exemplo prático para esclarecer melhor a compreensão.
20Enap Fundação Escola Nacional de Administração Pública
É por isso que o planejamento é fundamental. Para realizar um bom planejamento o 
melhor caminho é conhecer as teorias e as ferramentas que devem ser empregadas. 
Uma observação que deve ser levada em conta é que a LGPD não solicita uma 
mudança radical em todos os processos, no banco de dados e na estrutura sistêmica. 
Quem decide isso é a política de segurança que deverá ter como base a LGPD.
Portanto, seja para implementar um serviço simples ao cidadão ou um serviço que 
utiliza dados mais sensíveis, tenha em mente a necessidade de criar a política de 
segurança desse serviço e toda a estrutura que acompanha o processo, para que o 
passo lógico seguinte seja apenas ajustar o modelo à LGPD.
Até aqui você já deu um passo importante no conhecimento dos princípios básicos 
de segurança e algumas técnicas para sua implementação. Na sequência do curso 
será possível conhecer os passos seguintes do processo!
Antes de encerrar esta etapa de estudos, assista a videoaula a seguir que apresenta 
mais esclarecimentos sobre a LGPD.
 Você chegou ao fim desta unidade. Caso ainda tenha dúvidas, reveja o conteúdo e 
se aprofunde nos temas propostos.
Dados sensíveis.
Fonte: Freepik. Elaboração: CEPED/UFSC (2022). 
Videoaula: A LGPD e sua Relação com a Transformação 
Digital e as Técnicas de Segurança
https://
https://cdn.evg.gov.br/cursos/529_EVG/video/modulo01_video02/index.html
https://cdn.evg.gov.br/cursos/529_EVG/video/modulo01_video02/index.html
Enap Fundação Escola Nacional de Administração Pública 21
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27002:2013: 
tecnologia da informação — técnicas de segurança — código de prática para contro-
les de segurança da informação. Rio de Janeiro: ABNT, 2013.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27005:2011: 
tecnologia da informação — técnicas de segurança — gestão de riscos de segurança 
da informação. Rio de Janeiro: ABNT, 2011.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 
1988. Brasília, DF: Presidência da República, 1988. Disponível em: http://www.pla-
nalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 13 jun. 2022.
BRASIL. Decreto nº 10332, de 28 de abril de 2020. Institui a Estratégia de Governo 
Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades da 
administração pública federal direta, autárquica e fundacional e dá outras providên-
cias. Brasília, DF: Presidência da República, 2020. Disponível em: https://www.in.gov.
br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358. Acesso em: 
7 abr. 2022.
BRASIL. Governo Federal. Portal gov.br. 2022. Disponível em: https://www.gov.br/
pt-br. Acesso em: 10 jun. 2022.
BRASIL. Lei nº 12527, de 18 de novembro de 2011. Regula o acesso a informações 
previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 
da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a 
Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 
1991; e dá outras providências. Brasília, DF: Presidência da República, 2011. Dispo-
nível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. 
Acesso em: 13 jun. 2022.
BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados 
Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 
jun. 2022.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.
Referências 
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
https://www.in.gov.br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358
https://www.in.gov.br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358
https://www.gov.br/pt-br
https://www.gov.br/pt-br
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.freepik.com/
https://www.freepik.com/
22Enap Fundação Escola Nacional de Administração Pública
HIGA, Paulo. Existe um serviço que paga US$ 0,0009 para humanos resolverem 
captchas. 2014. Tecnoblog. Disponível em: https://tecnoblog.net/especiais/capt-
cha-trabalho-humano/. Acesso em: 7 dez. 2021.
KABAY, M. E.; BOSWORTH, S. Computer Security Handbook. [Hoboken]: John Wiley 
& Sons, 2002. 
LAUDON, K. C.; LAUDON, J. P. Sistemas de Informação Gerenciais. São Paulo: Pe-
arson, 2014.
O’BRIEN, J. Sistemas de informação e as decisões gerenciais na era da Internet. 
São Paulo: Saraiva, 2011.
STALLINGS, W.; BROWN, L. Segurança de Computadores: princípios e práticas. São 
Paulo: GEN LTC, 2013.
Referências 
https://tecnoblog.net/especiais/captcha-trabalho-humano/
https://tecnoblog.net/especiais/captcha-trabalho-humano/
Enap Fundação Escola Nacional de Administração Pública 23
2.1 Afinal, a LGPD Trata de Dado ou Informação?
Unidade 2: Como a LGPD Disciplina o Conceito de Proteção 
de Dados?
Objetivo de aprendizagem
Ao final desta unidade espera-se que você reconheça como a LGPD define dados.
Ao analisar o conceito de dado, informação e conhecimento proposto por Laudon 
e Laudon (2014) e comparar com o texto da LGPD, perceba que a lei, embora tenha 
em seu título a expressão “proteção de dados”, faz mais referência à informação que 
a dados. Em alguns pontos nos quais o legislador busca tratar o conteúdo de forma 
anônima e sem contexto é que ele mais se aproxima ao conceito de dados.
Veja o que está escrito no Artigo 5º, inciso I, da lei:
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou 
identificável; 
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção 
religiosa, opinião política, filiaçãoa sindicato ou a organização de caráter 
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado 
genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, 
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião 
de seu tratamento;
[...]. (BRASIL, 2018).
24Enap Fundação Escola Nacional de Administração Pública
Fazendo uma comparação entre o Artigo 5 da LGPD e o Artigo 4 da LAI, percebe-
se definições parecidas com as palavras dado e informação. Veja que na LGPD a 
definição para “dado” pessoal começa com a palavra “informação”. O legislador 
faz uma mistura de conceitos na LGPD. Convém notar que, para tratar e proteger 
“dados”, pouco importa se a definição está mais próxima de informação do que dado. 
O importante é implementar corretamente as técnicas de segurança relacionadas 
aos parâmetros descritos na lei.
A título de comparação, a Lei de Acesso à Informação (LAI) trouxe definições similares, 
porém com a palavra “informação” no lugar de dados, veja o que reza o Artigo 4 e 
suas definições (BRASIL, 2011):
Art. 4º Para os efeitos desta Lei, considera-se:
I – informação: dados, processados ou não, que podem ser utilizados para 
produção e transmissão de conhecimento, contidos em qualquer meio, suporte 
ou formato;
II – documento: unidade de registro de informações, qualquer que seja o suporte 
ou formato;
III – informação sigilosa: aquela submetida temporariamente à restrição de acesso 
público em razão de sua imprescindibilidade para a segurança da sociedade e 
do Estado;
IV – informação pessoal: aquela relacionada à pessoa natural identificada ou 
identificável;
V – tratamento da informação: conjunto de ações referentes à produção, 
recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, 
distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação 
ou controle da informação;
[...]. (BRASIL, 20211).
https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
Enap Fundação Escola Nacional de Administração Pública 25
2.2 Os Diversos Tipos de Dados Segundo a LGPD: Pessoal, Sensível e 
Anonimizado
Uma vez que a lei traz no seu título a expressão “proteção de dados”, cabe a reflexão 
para saber quais são os tipos de dados definidos por ela.
Neste ponto, é interessante que você saiba que o Artigo 5 da legislação é conhecido por 
“artigo das definições básicas da LGPD”. Entenda, a seguir, quais são essas definições:
Com base no referido artigo, constata-se que existem três tipos de dados: o pessoal, 
o pessoal sensível e o anonimizado. 
Pessoal
Um dado pessoal pode ser o nome, sobrenome, número de telefone, endereço, 
remuneração, data de nascimento. 
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou 
identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção 
religiosa, opinião política, filiação a sindicato ou a organização de caráter 
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado 
genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, 
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião 
de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em 
um ou em vários locais, em suporte eletrônico ou físico; 
[...]. (BRASIL, 2018).
26Enap Fundação Escola Nacional de Administração Pública
Pessoal sensível
Já o dado sensível está muito bem exemplificado no inciso II (BRASIL, 2018). Dado pessoal 
sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou 
organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida 
sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Anonimizado
Já a anonimização representa a possibilidade de o dado não ser associado a 
nenhuma pessoa. Nesse caso, o dado perde a identidade, mas não perde o valor. 
Por exemplo, se o gestor de marketing de um determinado órgão precisa melhorar a 
eficácia da campanha do Outubro Rosa, ele vai solicitar ao órgão que possui acesso 
ao sistema de saúde quantas mulheres acima de 40 anos realizam mamografia 
naquele mês. Perceba que é possível saber “quantas” mulheres realizaram o exame 
sem saber “quem” realizou. Portanto, o envio anonimizado dos dados para o gestor 
de marketing não identifica os envolvidos. 
Portanto, independente de se a letra da lei confunde em alguns momentos os 
conceitos de dado e informação, os operadores não poderão deixar de realizar a 
devida proteção abordada na lei. Sendo assim, conhecer os tipos de dados e as 
técnicas empregadas na proteção passou a ser um dever de todos, principalmente 
na gestão pública.
Agora, observe alguns exemplos de dados apresentados nos círculos a seguir. 
Analise-os com base nos conceitos de dados pessoais e sensíveis que você aprendeu.
Tipos de Dados.
Elaboração: CEPED/UFSC (2022).
Enap Fundação Escola Nacional de Administração Pública 27
Por exemplo, imagine que um usuário do serviço público vai ser 
levado a preencher dados em um formulário em uma repartição 
pública. As seguintes perguntas devem ser feitas durante a 
elaboração do formulário. 
• Qual a finalidade do formulário? Ou seja, qual o propósito 
para aquela aquisição de dados? Imagine que o formulário 
a ser preenchido para entrar na repartição (formulário de 
identificação) não vai precisar dos mesmos dados que um 
formulário para cadastrar o usuário em um sistema para utilizar 
serviços governamentais.
• Quais dados serão estritamente necessários? Depois de definir a 
finalidade será possível listar os dados que serão coletados. Essa 
questão representa o núcleo do que estamos tratando aqui (o 
“menos é mais”), pois quanto mais dados forem coletados, maior 
será a responsabilidade sobre eles. Por isso a pergunta trata 
sobre o que é necessário coletar, já que não podem faltar dados 
essenciais, mas “sobrar” dados já não é tão interessante, com a 
LGPD criando responsabilidades sobre todos os dados coletados.
Convém notar que em relação ao universo prático na hora de decidir pela aquisição 
de dados, “menos pode ser mais”. Em tempos de LGPD procure coletar a menor 
quantidade de dados possível, faça um estudo mais demorado para criar formulários 
que realmente estejam ajustados ao propósito da aquisição. 
Neste ponto do curso é inevitável invocar mais uma vez o Decreto 10.332/2020 
(BRASIL, 2020) sobre o processo de transformação digital na administração pública. 
Esse processo de transformação acompanha uma aquisição intensa de dados e neste 
caso reitera-se a importância do planejamento nessa aquisição. 
28Enap Fundação Escola Nacional de Administração Pública
A LGPD não possui nenhuma recomendação expressa sobre quais técnicas devem 
ser utilizadas para o tratamento e a proteção dos dados, a lei apenas ressalta a 
importância de garantir a confidencialidade, a integridade e também estabelece as 
sanções em caso de vazamento ou desvio de finalidade, por isso as recomendações 
de classificar e separar os dados na coleta, bem como realizar a coleta do que for 
estritamente necessário.
A anonimização foi um recurso inserido na LGPD para amenizar o risco e permitir o 
tratamento dos dados. Embora alguns estudos contestem as técnicas de anonimização, 
indicando que diversas delas não são suficientemente boas para impedir o processo 
de reversão até o titular, a lei simplesmente define que devem ser utilizados “meios 
técnicos e razoáveis” para o tratamento.
 Conforme já analisado por você no exemplo do Outubro Rosa, anonimizar permite 
trabalhar com os dados, realizar análises estatísticas, transmitir para outras bases, 
dentre outros mecanismos necessários para o processo de transformação digital, sem 
precisarexpor o titular. Uma outra vantagem da anonimização é criar um impacto 
menor quando esses dados são acessados indevidamente ou vazados.
Uma recomendação sobre a anonimização é que embora a LGPD tenha colocado 
meios técnicos razoáveis sem citar as técnicas, cabe aos gestores a análise da melhor 
técnica para os tipos de dados.
No planejamento da aquisição de dados será necessário classificar 
os dados pessoais e os dados sensíveis. Porém, se na coleta de 
dados o formulário contiver dados sensíveis, aí o padrão de 
segurança será maior para todo o processo, uma vez que o dado 
sensível vai se misturar aos outros. 
Se realmente for necessário coletar os dados sensíveis, 
recomenda-se criar dois formulários, ou dois mecanismos de 
coleta, um para coletar dados pessoais e outro para coletar dados 
pessoais sensíveis. 
Enap Fundação Escola Nacional de Administração Pública 29
Lembre-se, dependendo do tratamento e dos dados os níveis 
de segurança sempre aumentam, procure técnicas válidas e 
consolidadas, e por fim documente tudo, uma vez que no processo 
fiscalizatório o que vale é a documentação apresentada.
As principais técnicas de anonimização são:
A implementação dessas técnicas não é um processo trivial, porém empresas como 
Google e Amazon (AWS) já oferecem o serviço de anonimização, caso seja necessário. 
Às vezes esse processo precisa ser feito no ambiente interno da administração, neste 
caso, convém realizar uma reunião com a equipe de TI para decidir pela melhor 
técnica. Mais uma vez vale frisar a informação de que “será necessário documentar 
tudo que for decidido e qual técnica foi utilizada”, pois a técnica é importante e a 
documentação é a chave para responder ao processo de auditoria e fiscalização.
Na videoaula a seguir, você entenderá um pouco mais sobre os tipos de Dados 
existentes. Fique firme e preste atenção!
• supressão de atributos;
• supressão de registros;
• encobrimento de caracteres;
• generalização;
• pseudoanonimização;
• substituição.
Videoaula: Tipos de dados: Pessoal, Sensível e Anonimizado 
https://
https://cdn.evg.gov.br/cursos/529_EVG/video/modulo01_video03/index.html
30Enap Fundação Escola Nacional de Administração Pública
2.3 Outras Definições da LGPD
O Artigo 5 da Lei, além das definições propostas no tópico anterior, também trouxe 
outras que serão úteis para a implementação da LGPD (BRASIL, 2018). Veja a seguir:
Art. 5º Para os fins desta Lei, considera-se:
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em 
um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto 
de tratamento; 
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem 
competem as decisões referentes ao tratamento de dados pessoais; 
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que 
realiza o tratamento de dados pessoais em nome do controlador; 
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como 
canal de comunicação entre o controlador, os titulares dos dados e a Autoridade 
Nacional de Proteção de Dados (ANPD); 
IX - agentes de tratamento: o controlador e o operador; 
X - tratamento: toda operação realizada com dados pessoais, como as que se 
referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, 
transmissão, distribuição, processamento, arquivamento, armazenamento, 
eliminação, avaliação ou controle da informação, modificação, comunicação, 
transferência, difusão ou extração; 
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no 
momento do tratamento, por meio dos quais um dado perde a possibilidade de 
associação, direta ou indireta, a um indivíduo; 
XII - consentimento: manifestação livre, informada e inequívoca pela qual o 
titular concorda com o tratamento de seus dados pessoais para uma finalidade 
determinada; 
Enap Fundação Escola Nacional de Administração Pública 31
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, 
mediante guarda do dado pessoal ou do banco de dados; 
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em 
banco de dados, independentemente do procedimento empregado; 
XV - transferência internacional de dados: transferência de dados pessoais para 
país estrangeiro ou organismo internacional do qual o país seja membro; 
XVI - uso compartilhado de dados: comunicação, difusão, transferência 
internacional, interconexão de dados pessoais ou tratamento compartilhado de 
bancos de dados pessoais por órgãos e entidades públicos no cumprimento de 
suas competências legais, ou entre esses e entes privados, reciprocamente, com 
autorização específica, para uma ou mais modalidades de tratamento permitidas 
por esses entes públicos, ou entre entes privados; 
XVII - relatório de impacto à proteção de dados pessoais: documentação do 
controlador que contém a descrição dos processos de tratamento de dados 
pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, 
bem como medidas, salvaguardas e mecanismos de mitigação de risco; 
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta 
ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente 
constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua 
missão institucional ou em seu objetivo social ou estatutário a pesquisa básica 
ou aplicada de caráter histórico, científico, tecnológico ou estatístico; 
XIX - autoridade nacional: órgão da administração pública responsável por zelar, 
implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
O inciso IV trouxe a definição de banco de dados, que representa um conjunto de dados 
armazenados de forma organizada e que possui relações semânticas (ou estruturado). 
Lembre-se que o banco de dados que vai armazenar os dados coletados pode 
estar em qualquer lugar. Isso porque, com o processo de transformação digital, as 
empresas e a Administração Pública passaram a utilizar bancos de dados no ambiente 
de nuvem, ou seja, alugam espaços de empresas que trabalham especificamente 
em prol de oferecer serviços e cobrar por eles. 
32Enap Fundação Escola Nacional de Administração Pública
A nuvem é uma realidade no governo federal, e para evitar incidentes de segurança 
e alterações acidentais ou indevidas, surge a necessidade ainda mais evidente de 
ter uma política de acesso aos dados, uma identificação e controle de alterações. 
Convém que todo contrato com serviços de nuvem seja muito bem documentado 
para posterior auditoria da ANPD.
Tratamento, anonimização e consentimento
Tratamento é qualquer operação realizada nos dados, desde o momento da sua 
coleta até o descarte. Toda movimentação que se realiza com os dados pode ser 
considerada tratamento, portanto muita atenção ao manipular os dados!
Mesmo que seja apenas para realizar a transmissão de um banco de dados local para 
um banco de dados em nuvem esta ação ainda será considerada tratamento. Por isso, 
estabeleça um plano, documente e controle o processo para evitar vazamentos e desvios.
Bloqueio e eliminação
O bloqueio é a solicitação para uma pausa temporária no tratamento com todos 
os requisitos de proteção e segurança dos dados tratados; por isso que a lei fala 
em suspensão temporária do tratamento. A grande recomendação neste ponto 
é a comunicação que o encarregado (DPO) precisa manter com o titular. Procure 
estabelecer uma política clara e bem documentada para que o titular não tenha 
dúvidas e não tenha que ficar enviando diversas solicitações para realizar checagem.
Um outro fator no bloqueio é o banco de dados que deverá receber os dados 
bloqueados, visto que, ao bloquear, os dados não poderão ficar na mesma base de 
dados que recebe tratamento. Este é um ponto de atenção quanto ao vazamento, 
perda, desvio e divulgação, por isso, tenha uma boa política de segurançae um bom 
processo para tratar o bloqueio.
Que tal um exemplo? Se uma empresa ou um órgão público 
utiliza armazenamento de dados de diversos titulares em bancos 
de dados alugados da Amazon AWS, será necessário estabelecer 
quem são os responsáveis por todos os eventos no banco e 
como controlar os diversos acessos que os operadores dos 
dados possuem. Sem controle, será impossível fiscalizar, realizar 
auditoria e até mesmo estabelecer punições. 
Enap Fundação Escola Nacional de Administração Pública 33
Já a eliminação representa a exclusão dos dados. Reitera-se aqui a importância de 
documentar e deixar claro para o titular e a todos que interessarem que realmente o 
procedimento foi executado e os dados não poderão ser recuperados depois de eliminados.
Transferência internacional de dados e uso compartilhado de dados
No processo de transferência internacional de dados, a lei não deixa evidente se 
a transferência representa qualquer ação ou apenas a ação para tratamento, por 
exemplo, se um órgão público ou uma empresa privada armazena dados em ambiente 
de nuvem, isso conta como transferência ou conta apenas se a transferência for 
especificamente para fins de tratamento. Pela leitura do item, o entendimento é que 
qualquer transferência, seja ela para tratamento ou não, está dentro da definição 
proposta pela lei, portanto, se realizar transferência para ambientes de nuvem ou 
para empresas fora do Brasil, certifique-se de estabelecer critérios e regras para 
cientificar o titular caso seja necessário.
O uso compartilhado significa que os dados até podem continuar na sua base de 
dados local, sem realizar a transferência para outro local ou fora do país, mas os dados 
serão compartilhados e os interessados poderão utilizá-los (consultar, copiar) para 
o tratamento que estiver na finalidade descrita. O item faz uma ressalva importante 
que é a necessidade de autorização específica. Portanto, se for compartilhar, 
certifique-se que, ao descrever a finalidade, todas as informações estejam dispostas 
de forma específica. Ao criar o termo de consentimento ou outra base legal para o 
tratamento, deixe muito evidente e avisado ao titular que vai existir um tratamento 
de dados compartilhado.
Relatório de impacto à proteção dos dados pessoais
O relatório de impacto é o documento que traz a forma do tratamento dos dados, 
quais as regras do tratamento, as principais medidas de segurança, as técnicas que 
serão utilizadas e como os mais diversos riscos serão mitigados para garantir devida 
proteção. Algumas regras não precisam ser transcritas no relatório de impacto, 
principalmente se o controlador for a Administração Pública. Por exemplo, não será 
necessário transcrever detalhes do armazenamento ou detalhes de todos os processos, 
pois isso pode violar questões de segurança e oferecer mais riscos que benefícios. A 
sugestão é ouvir os especialistas na criação da política de gestão de dados.
Convém notar que o Artigo 32 da LGPD também faz menção ao relatório de impacto, 
conforme segue: “Art. 32. A autoridade nacional poderá solicitar a agentes do Poder 
Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir 
a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo 
Poder Público.” (BRASIL, 2018). 
34Enap Fundação Escola Nacional de Administração Pública
Mais uma vez, nota-se a necessidade de criar uma boa política de segurança, 
pois junto dela será possível criar corretamente o relatório de impacto, indicar os 
principais riscos de segurança e indicar como os riscos serão tratados. Essas ações 
atendem ao que está descrito no Artigo 32. 
Conforme indicado no inciso XVII do Artigo 5º da Lei, o relatório de impacto contém 
a descrição dos processos de tratamento de dados pessoais que podem gerar 
riscos às liberdades civis e aos direitos fundamentais. Nesse caso, uma sequência 
de passos pode ser utilizada para realizar uma checagem do relatório, veja a seguir: 
• Classifique os dados pessoais e os sensíveis que serão tratados. 
• Realize a análise e avaliação de riscos de toda a entrada de dados, 
conforme indicado na ISO 27005. 
• Documente a forma como os dados serão armazenados e tratados 
pelo controlador. Essa documentação deverá conter os responsáveis 
pelos dados. 
• Depois de analisar e avaliar os riscos, crie as opções de tratamento 
de riscos. Neste ponto, será possível saber quais são as medidas, 
as opções de salvaguarda e os mecanismos de transferência de 
responsabilidades (mitigação). 
• Documente todos os itens do tópico anterior contendo a lista dos 
responsáveis por cada ação.
Órgão de pesquisa e autoridade nacional
A lei tratou de estabelecer o responsável por ser o curador e interpretador da LGPD, 
e criou a Agência Nacional de Proteção de Dados Pessoais (ANPD) que também 
possui a responsabilidade de zelar, implementar e fiscalizar o cumprimento da lei. A 
ANPD possui também a função de legislar (dentro dos limites que lhe cabem) sobre 
novas interpretações que vierem a surgir.
O melhor exemplo foi a criação de diversos manuais para o tratamento de dados, 
principalmente ligados ao setor público. Por fim, o inciso oitavo trouxe o conceito 
de órgão de pesquisa, sem deixar claro se seria o IBGE ou outro que inclusive possa 
ser criado, mas deixa aberto que existe um órgão com objetivo de recolher, tratar e 
tirar informações dos dados. 
Que bom que você chegou até aqui! Agora é a hora de você testar seus conhecimentos. 
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos! 
Enap Fundação Escola Nacional de Administração Pública 35
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27002:2013: 
tecnologia da informação — técnicas de segurança — código de prática para contro-
les de segurança da informação. Rio de Janeiro: ABNT, 2013. 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27005:2011: 
tecnologia da informação — técnicas de segurança — gestão de riscos de segurança 
da informação. Rio de Janeiro: ABNT, 2011.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 
1988. Brasília, DF: Presidência da República, 1988. Disponível em: http://www.planal-
to.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 13 jun. 2022.
BRASIL. Decreto nº 10332, de 28 de abril de 2020. Institui a Estratégia de Governo 
Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades da 
administração pública federal direta, autárquica e fundacional e dá outras providên-
cias. Brasília, DF: Presidência da República, 2020. Disponível em: https://www.in.gov.
br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358. Acesso em: 7 
abr. 2022.
BRASIL. Lei nº 12527, de 18 de novembro de 2011. Regula o acesso a informações 
previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 
da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a 
Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 
1991; e dá outras providências. Brasília, DF: Presidência da República, 2011. Dispo-
nível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. 
Acesso em: 13 jun. 2022.
BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados 
Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 
jun. 2022.
HIGA, Paulo. Existe um serviço que paga US$ 0,0009 para humanos resolverem 
captchas. 2014. Tecnoblog. Disponível em: https://tecnoblog.net/especiais/captcha-
-trabalho-humano/. Acesso em: 7 dez. 2021.
KABAY, M. E.; BOSWORTH, S. Computer Security Handbook. [Hoboken]: John Wiley 
& Sons, 2002. 
Referências 
36Enap Fundação Escola Nacional de Administração Pública
LAUDON, K. C.; LAUDON, J. P. Sistemas de Informação Gerenciais. São Paulo: Pear-
son, 2014.
O’BRIEN, J. Sistemasde informação e as decisões gerenciais na era da Internet. 
São Paulo: Saraiva, 2011.
STALLINGS, W.; BROWN, L. Segurança de Computadores: princípios e práticas. 
São Paulo: GEN LTC, 2013.
Referências 
Enap Fundação Escola Nacional de Administração Pública 37
 Módulo
Mecanismos para Implementação 
da LGPD2
Esta etapa de estudo foi dividida em duas unidades e apresenta as definições que você 
precisa conhecer para a implementação da LGPD. A primeira unidade versa sobre 
os principais mecanismos e definições para colocar em prática a implementação da 
LGPD. Essas definições estão organizadas nos artigos 5º e 6º da lei (BRASIL, 2018) e 
trazem conceitos extremamente discutidos pelos estudiosos e necessários para o 
trabalho. 
Trazem também definições sobre os personagens envolvidos no tratamento de 
dados, tais como o titular, o controlador, o operador e o encarregado (DPO) dos 
dados. Fala ainda sobre princípios da finalidade, necessidade, adequação, segurança 
e outros previstos no artigo 6º (BRASIL, 2018). 
Na unidade 2 você vai entender todo o processo de criação de uma Política de 
Segurança da Informação (PSI) que é a base para uma boa estrutura de segurança 
e, consequentemente, para a LGPD. Vamos continuar? 
1.1 O Tratamento de Dados e seus Personagens
Unidade 1: Princípios e Definições para Tratamento de Dados
Objetivo de aprendizagem
Ao final desta unidade você será capaz de reconhecer os pilares para a implementação da LGPD.
Com o objetivo de atender corretamente à LGPD, é essencial que você entenda o 
conceito de tratamento de dados, visto que o cerne da lei trata desse processo. 
Normalmente o ciclo se inicia com o recebimento dos dados, passando pelo seu 
tratamento, seguido do armazenamento e do descarte.
38Enap Fundação Escola Nacional de Administração Pública
Ciclo de dados.
Elaboração: CEPED/UFSC (2022). 
Agora é o momento de você entender melhor o funcionamento do ciclo apresentado! 
O tratamento de dados começa com quatro personagens fundamentais no 
processo, todos descritos no artigo 5 da lei, que são: titular; controlador; operador; e 
encarregado, conforme você pôde observar na imagem.
Veja, a seguir, a definição de cada um desses papéis:
• Titular: Pessoa natural a quem se referem os dados pessoais que são 
objeto de tratamento 
• Controlador: Pessoa natural ou jurídica, de direito público ou privado, 
a quem competem as decisões referentes ao tratamento de dados 
pessoais. 
• Operador: Pessoa natural ou jurídica, de direito público ou privado, 
que realiza o tratamento de dados pessoais em nome do controlador 
• Encarregado: Pessoa indicada pelo controlador e operador para atual 
como canal de comunicação entre o controlador, os titulares dos dados 
e a Autoridade Nacional de Proteção de Dados (ANPD).
Enap Fundação Escola Nacional de Administração Pública 39
O controlador recebe os dados do titular e toma as decisões de tratamento que são 
executadas pelo operador. O controlador e o operador são chamados de agentes de 
tratamento, ambos podem nomear o encarregado, que ficará responsável pelo canal 
de comunicação entre o titular e a Autoridade Nacional de Proteção de Dados (ANPD).
O encarregado recebe o título de Data Protection Officer – DPO emalgumas 
organizações devido à importância que possui no processo.
A figura a seguir ilustra os personagens envolvidos no processo de tratamento e 
suas ações conforme definidas pelo artigo 5º da LGPD (BRASIL, 2018).
Personagens do tratamento de dados pessoais.
Elaboração: CEPED/UFSC (2022). 
O capítulo VI da LGPD detalha as funções do controlador, operador e encarregado 
(arts. 37 ao 41). Depreende-se dos artigos algumas obrigações importantes.
• O controlador e o operador devem manter registro das operações de 
tratamento de dados que realizarem.
• A ANPD pode determinar ao controlador a elaboração de relatórios 
de impacto à proteção de dados, referentes às suas operações de 
tratamento. Aqui é importante notar que se o controlador possui 
uma Política de Segurança da Informação (PSI), parte desses dados 
já estarão disponíveis lá. Mas a ANPD pode solicitar informações 
40Enap Fundação Escola Nacional de Administração Pública
Sobre o papel do DPO ou encarregado, a lei reservou todo o art. 41 para indicar 
suas atribuições:
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados 
pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser 
divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio 
eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e 
adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas 
a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou 
estabelecidas em normas complementares.
específicas sobre formas de acesso, salvaguarda, garantia de 
integridade e outras técnicas utilizadas.
• O operador realiza o tratamento seguindo única e exclusivamente 
as instruções fornecidas pelo controlador. Portanto lembre-se de 
elaborar o conjunto de regras ajustado à finalidade do tratamento.
• A ANPD poderá dispor de regras e padrões sobre portabilidade, 
sobre livre acesso aos dados e sua segurança, bem como sobre 
o tempo de guarda dos registros. Lembre-se que alguns prazos de 
guarda também devem obedecer à Lei de Acesso à Informação, Lei 
12.527/2011 (BRASIL, 2011), por isso o legislador não fixou prazo para 
o tratamento e salvaguarda de dados na LGPD.
Enap Fundação Escola Nacional de Administração Pública 41
O encarregado é o elo de comunicação do titular com o controlador, por isso 
seu papel e responsabilidades são importantes. A autoridade nacional poderá 
estabelecer outras normas a serem seguidas além das apresentadas nos incisos de 
I a IV.
Ponto importante discutido no § 3º do art. 41 (BRASIL, 2018) é o fato de que a figura 
do encarregado poderá ser dispensada conforme a natureza, porte ou volume 
de operações de tratamento de dados. Portanto, nem todo tratamento requer 
um encarregado, mas todo tratamento precisa de um responsável pelo processo. 
Talvez esse alguém não tenha todas as funções do encarregado (DPO) vai precisar 
responder e intervir na garantia e proteção dos dados.
A operação final é o tratamento de dados, que é definido pelo art. 5-X, como:
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre 
a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da 
necessidade de sua indicação, conforme a natureza e o porte da entidade ou o 
volume de operações de tratamento de dados. (BRASIL, 2018).
X – Tratamento: toda operação realizada com dados pessoais, como as que se 
referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, 
transmissão, distribuição, processamento, arquivamento, armazenamento, 
eliminação, avaliação ou controle da informação, modificação, comunicação, 
transferência, difusão ou extração. (BRASIL, 2018).
42Enap Fundação Escola Nacional de Administração Pública
A figura a seguir ilustra um resumo sobre o que é o processo de tratamento de 
dados.
Uma vez que são conhecidos os personagens do processo de tratamento de dados, o 
próximo passo é você entender quais dados serão recebidos e responder à seguinte 
pergunta: os dados recebidos são realmente necessários? 
A resposta a essa pergunta relaciona-se muito ao fato de que a maioria dos dados 
que os controladores recebem não são necessários e, muitas vezes, são sensíveis. 
Portanto são dados que precisam de uma atenção especial, pois precisam de 
segurança, de cuidados contra vazamento e de um processo de anonimização mais 
intenso. Portanto, se o dado não é necessário, não faça a coleta. Essa é uma dica 
valiosa em tempos de LGPD!
Elementos do tratamentode dados.
Elaboração: CEPED/UFSC (2022). 
Enap Fundação Escola Nacional de Administração Pública 43
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé 
e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, 
explícitos e informados ao titular, sem possibilidade de tratamento posterior de 
forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas 
ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização 
de suas finalidades, com abrangência dos dados pertinentes, proporcionais e 
não excessivos em relação às finalidades do tratamento de dados; (BRASIL, 2018).
1.2 Finalidade, Adequação e Necessidade
Seguindo com o entendimento do que está previsto na lei, o seu art. 6º informa 
que as atividades de tratamento de dados deverão observar a boa-fé e diversos 
princípios. Dentre eles destacam-se, neste capítulo, os três seguintes:
Nesse caso o questionamento gira em torno da finalidade. Qual a finalidade do 
tratamento de dados? Reitero a indagação feita anteriormente: os dados são 
realmente necessários? 
Partindo da premissa de que são necessários, agora é o momento de deixar claro 
ao titular quais são os propósitos do tratamento, sob pena de receber sanções 
previstas na própria lei. 
Relembre o exemplo do gestor de marketing que precisa dos dados de saúde 
de diversos pacientes para criar uma campanha efetiva sobre o Outubro Rosa. A 
finalidade agora já está definida: a campanha. Então volte a se perguntar: quais 
dados são realmente necessários? 
Muita atenção neste ponto: dados demais também envolvem um trabalho extra 
que pode ser desnecessário. Por exemplo, os dados como nome, CPF e RG são 
necessários? Será preciso uma foto de cada paciente? Por outro lado, elementos como 
idade, sexo e/ou bairro podem ser vitais para entender a adesão e alcance da campanha.
44Enap Fundação Escola Nacional de Administração Pública
É por essa razão que os incisos II e III fazem uma reflexão sobre “adequação” e 
“necessidade”. Ao entender a finalidade, o passo seguinte é adequar o tratamento 
de dados ao contexto e limitá-lo ao mínimo para atender a finalidade. Perceba que 
trabalhar apenas com idade, sexo e bairro será menos trabalhoso do que tratar e 
anonimizar dados “extras”. 
Comece fazendo uma listagem de todos os dados que serão adequados para a 
finalidade, em seguida faça uma revisão, e se possível reúna a equipe para discutir 
se a sua lista realmente faz sentido. Após realizar as filtragens e separar o que será 
utilizado, faça o tratamento para adequar o que foi coletado à necessidade proposta. 
Verifique se ainda é possível descartar algo.
Portanto, ao repetir o mecanismo, lembre-se de revisar a finalidade para não correr 
o risco de consumir recursos adequando o processo de tratamento de dados àquilo 
que não é necessário. Ao gestor público convém lembrar que acima da LGPD existe 
um princípio constitucional chamado de eficiência, ressalto que ser eficiente é um 
dever, não uma opção.
Análise dos elementos do tratamento de dados.
Fonte: Freepik (2022).
Enap Fundação Escola Nacional de Administração Pública 45
O art. 37 da CF/1988 estabelece que “A administração pública 
direta e indireta de qualquer dos Poderes da União, dos Estados, 
do Distrito Federal e dos Municípios obedecerá aos princípios de 
legalidade, impessoalidade, moralidade, publicidade e eficiência 
[...]” (BRASIL, 1988).
O princípio da eficiência implementou o modelo de administração 
pública gerencial, voltada para um controle de resultados na 
atuação estatal, isso significa que os atos da administração 
devem ser realizados com a maior qualidade, competência e 
eficácia possível em prol da sociedade (OLIVEIRA, 2017). 
Para conhecer mais sobre o princípio da eficiência na íntegra, 
leia o art. 37 da Constituição Federal de 1988 (disponível aqui).
1.3 Acesso, Qualidade e Transparência
Uma vez superado o entendimento sobre o que são os dados e a finalidade do 
tratamento, a lei volta-se para os direitos que os titulares têm de acessar os dados que 
estão sendo tratados, acesso que deve ser feito com exatidão, clareza e atualização 
para que ele saiba se a finalidade proposta está sendo cumprida.
Por exemplo, se os dados serão para a campanha do Outubro Rosa não podem 
ser transferidos para o sindicato da categoria realizar uma promoção de plano de 
saúde, já que a norma fala em transparência.
Observe o que está escrito no art. 6º, incisos IV, V e VI:
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
46Enap Fundação Escola Nacional de Administração Pública
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma 
e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância 
e atualização dos dados, de acordo com a necessidade e para o cumprimento da 
finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e 
facilmente acessíveis sobre a realização do tratamento e os respectivos agentes 
de tratamento, observados os segredos comercial e industrial;
[...]. (BRASIL, 2018).
Dê bastante atenção para este trecho, pois livre acesso não se confunde com acesso 
total ao sistema, da mesma forma que qualidade e transparência não representam 
falta de controle no acesso aos dados.
Os agentes de tratamento devem facilitar a consulta, ou seja, o titular poderá 
acessar o plano de tratamento que foi desenvolvido pela gestão e entender sua 
finalidade. Este é o propósito da qualidade dos dados referida pela Lei, ao consultar 
a finalidade do tratamento dos dados, o titular precisa de exatidão e clareza sobre 
os procedimentos que serão realizados com o que foi fornecido.
A transparência também possui uma relação estreita com a 
qualidade, visto que o titular do dado precisa saber exatamente 
o que será feito dos dados fornecidos e quem são os responsáveis 
por eles (os personagens), por isso que a Lei elegeu a figura do 
Encarregado, que representa a ponte de comunicação entre 
o titular e o controlador. Além de fornecer acesso por escrito 
sobre a finalidade, o encarregado pode ajudar a dirimir as 
dúvidas que surgirem.
Enap Fundação Escola Nacional de Administração Pública 47
Uma dúvida bastante comum neste ponto é “onde” inserir os termos para que o 
titular dos dados possa ler e concordar com eles. Se você for seguir os objetivos 
da transformação digital propostos pelo Decreto 10.332/2020 (BRASIL, 2020) 
então o local ideal será exatamente na página/formulário em que o titular estiver 
preenchendo os dados que serão tratados no site. 
Talvez você já tenha passado por algum episódio assim recentemente, em que ao 
entrar no seu serviço do Google, Facebook, Netflix etc., você foi levado até uma 
janela do navegador que solicitava sua anuência às novas políticas de segurança e 
tratamento de dados. 
Um problema que ocorre nos casos dessas grandes empresas é que a finalidade 
apresentada lá na página por elas não é nada fácil de entender. Já na administração 
pública esses procedimentos sempre ganham contornos mais expressivos, portanto 
cuide de elaborar uma finalidade clara e deixe-a acessível para os usuários do serviço.
Portanto, o segredo aqui é realizar um bom planejamento, 
com finalidades claras, pois o titular deve entender quem são 
os agentes de tratamento, qual a finalidade, quanto tempo os 
dados serão utilizados e onde estarão disponíveis, além disso a 
integridade dos dados deve ser rigorosamente mantida, essas 
ações garantem livre acesso, qualidade e transparência.
1.4 Segurança, Prevenção, Não Discriminação e Responsabilização
Os últimos incisos do artigo 6º tratam sobre a gestão de acesso aos dados. 
Uma vez que a relação entre o titular e os agentes de tratamentoforam consolidadas 
nos incisos anteriores, o próximo passo é garantir a proteção dos dados.
Entende-se como proteção todas as medidas para salvaguardar os princípios 
básicos de segurança, tais como confidencialidade, integridade, disponibilidade, 
autenticidade e não repúdio.
48Enap Fundação Escola Nacional de Administração Pública
Nestes termos, observe as definições dadas pelo art. 6º, VII, VIII, IX, X.
Relembrando o caput do art. 6º que diz: “As atividades de tratamento de dados 
pessoais deverão observar a boa-fé e os princípios [...]” (BRASIL, 2018), igualmente 
convém lembrar que todas as definições até aqui estão relacionadas às atividades de 
tratamento de dados. Assim sendo, a garantia da segurança será através de técnicas 
como criptografia, hash, autenticação e outras, devendo ser implementadas para 
controlar e proteger o acesso aos dados.
O inciso VII diz ser necessário garantir a segurança, portanto todas as medidas 
necessárias para proteger os dados que estão sob sua responsabilidade precisam 
ser tomadas. Por exemplo, se for transmitir através de uma rede, o principal aspecto 
de segurança relacionado é a confidencialidade, e neste caso a técnica que pode 
atendê-lo é a criptografia. Se os dados estão armazenados e a necessidade de 
proteção é contra alterações indesejadas (princípio da integridade), então a técnica 
que pode ser utilizada é o hash. Se o que precisa ser garantido é a disponibilidade 
para acessar sempre que for necessário, então a possível técnica é o backup. 
O inciso sétimo termina falando sobre destruição, perda, alteração, comunicação ou 
difusão, que são elementos que podem ensejar graves problemas para o controlador. 
A destruição, a perda e a alteração estão relacionadas aos elementos de proteção já 
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os 
dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de 
destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude 
do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins 
discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção 
de medidas eficazes e capazes de comprovar a observância e o cumprimento das 
normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 
(BRASIL, 2018).
Enap Fundação Escola Nacional de Administração Pública 49
tratados, tais como o backup, para a proteção contra perda e destruição, e o hash, para 
a proteção contra alteração. No processo de comunicação e difusão, a recomendação, 
além da criptografia para resguardar o sigilo dos dados, será identificar corretamente 
os agentes controladores e responsáveis por acessar e manusear os dados, para uma 
possível responsabilização em caso de difusão indevida.
Além de solicitar segurança, o próximo inciso (VIII) insere o termo “prevenção”, que 
poderia ser entendido de forma generalizada dentro do inciso anterior ao falar de 
segurança. Porém a prevenção nesse caso se refere especificamente ao processo de 
tratamento de dados, estabelecendo uma diferenciação. Entende-se que existe uma 
garantia no processo de coleta, armazenamento e descarte, e uma outra garantia 
específica no processo de tratamento. Por isso a prevenção foi destacada aqui: 
adote todas as medidas necessárias para garantir segurança dos dados, além disso, 
para fins de fiscalização e formalização, documente tudo que for decidido e feito.
A contribuição do inciso nono mais uma vez refere-se à forma como o tratamento 
de dados será feito, ou seja, deve ser feito conforme foi proposto na finalidade, 
sem desvios ou abusos. Uma prática abusiva comum é a venda de bases de dados 
para empresas, como enviar para um banco os dados dos servidores que já fizeram 
empréstimo para que serviços similares sejam oferecidos ao titular. Ao olhar para 
o inciso X fica mais clara a necessidade de ter documentadas todas as ações que 
serão realizadas no tratamento, pois não basta que o controlador as faça, o titular 
precisa poder consultar o que será feito para atender a prestação de contas exigida no 
inciso X. O inciso dez termina propondo que o controlador seja capaz de demonstrar 
eficácia nas medidas de segurança, por certo, que a ANPD não vai realizar testes para 
verificar se realmente os dados estão protegidos e as medidas são eficazes, mas uma 
boa Política de Segurança, um controle de processos ajustado juntamente com uma 
política de gestão dos dados representa o cumprimento de normas de proteção. 
Portanto, faça uma lista das medidas que serão implementadas e pense em um 
documento que deve ser apresentado sempre que for solicitado. Além disso, lembre-
se que a ANPD, nas suas fiscalizações de rotina, vai solicitar todos esses documentos.
Você chegou ao fim desta unidade. Caso ainda tenha dúvidas, reveja o conteúdo e 
se aprofunde nos temas propostos. Siga firme nos estudos!
50Enap Fundação Escola Nacional de Administração Pública
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 
1988. Brasília, DF: Presidência da República, 1988. Disponível em: http://www.planal-
to.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 13 jun. 2022.
BRASIL. Decreto nº 10332, de 28 de abril de 2020. Institui a Estratégia de Governo 
Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades da admi-
nistração pública federal direta, autárquica e fundacional e dá outras providências. Bra-
sília, DF: Presidência da República, 2020. Disponível em: https://www.in.gov.br/en/web/
dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358. Acesso em: 7 abr. 2022.
BRASIL. Lei nº 12527, de 18 de novembro de 2011. Regula o acesso a informações 
previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 
da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a 
Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 
1991; e dá outras providências. Brasília, DF: Presidência da República, 2011. Dispo-
nível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. 
Acesso em: 13 jun. 2022.
BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pes-
soais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.
planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 jun. 2022.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.
OLIVEIRA, Jose Pedro Fernandes Guerra de. O princípio da eficiência na administração pú-
blica. 2017. [Jusbrasil]. Disponível em: https://drpedroo.jusbrasil.com.br/artigos/487523360/o-
-principio-da-eficiencia-na-administracao-publica. Acesso em: 14 jun. 2022.
Referências 
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
https://www.in.gov.br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358
https://www.in.gov.br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://drpedroo.jusbrasil.com.br/artigos/487523360/o-principio-da-eficiencia-na-administracao-publica
https://drpedroo.jusbrasil.com.br/artigos/487523360/o-principio-da-eficiencia-na-administracao-publica
Enap Fundação Escola Nacional de Administração Pública 51
2.1 Análise e Avaliação de Riscos
Unidade 2: Elementos para Implementar a Política de 
Segurança da Informação (PSI)
Objetivo de aprendizagem
Ao final desta unidade você deverá ser capaz de reconhecer a Política de Segurança da 
Informação(PSI).
Qual a base de sustentação para a implementação da LGPD?
Embora a segurança e as boas práticas só apareçam no capítulo VII, começando 
no art. 46 da LGPD, no cotidiano do cumprimento dessa legislação a política de 
segurança é item fundamental. 
Tenha atenção ao fato de que a ANPD e todos os órgãos fiscalizadores vão solicitar 
documentos para entender como a gestão dos dados é realizada no seu ambiente. O 
principal documento que deve existir é uma boa Política de Segurança da Informação, 
não esquecendo do plano de tratamento de dados e outros que serão analisados no 
decorrer da lei.
Portanto a LGPD precisa estar alicerçada em uma política de segurança, conforme 
ilustra a figura.
1 O primeiro elemento é o conjunto de Princípios Básicos de Segurança da Informação (PBSI).
2 O segundo elemento é a criação de uma Política de Segurança da Informação 
(PSI), ou seja, um plano de gestão para os dados.
PSI e LGPD.
Elaboração: CEPED/UFSC (2022). 
52Enap Fundação Escola Nacional de Administração Pública
Como o foco da LGPD é o dado e o tratamento que se faz dele, observe a quantidade 
de problemas que pode existir se alguma coisa diferente do tratamento ocorrer: 
vazamento, alterações indevidas, desvio de finalidade etc. Por isso a lei trouxe o 
“Capítulo VII – Da Segurança e das Boas Práticas” (BRASIL, 2018).
O primeiro passo é entender quais são os riscos envolvidos no tratamento de dados. 
Para identificar, analisar e avaliar os riscos é retomada aqui a norma ISO 27005 
(ABNT, 2011) que trata exatamente da gestão de riscos. 
Para essa norma o “risco está associado com o potencial de que ameaças possam 
explorar vulnerabilidades de um ativo de informação ou grupo de ativos de 
informação e, consequentemente, causar dano a uma organização” (ABNT, 2011). 
Um exemplo é o vazamento de dados: quais os riscos desse evento “indesejado” 
acontecer? Por isso a norma mostra a importância de uma abordagem sistemática 
na gestão de riscos de segurança da informação.
A figura a seguir demonstra o processo de gestão de riscos trazido pela ISO 27005. 
O primeiro elemento é a definição do contexto, o que, no caso do estudo da LGPD, 
são os dados e os mecanismos de segurança que o envolvem.
Na sequência será necessário identificar os riscos. Neste caso será necessário definir 
bem os cenários, entender quem são os responsáveis pelo tratamento, para que 
tudo fique bem planejado. Algumas questões que podem ajudar na reflexão:
• Como será o processo de aquisição e garantia de integridade dos 
dados do titular? 
• Os dados serão transmitidos do controlador para o operador utilizando 
quais técnicas? 
• Quem são os personagens responsáveis por cada etapa, da aquisição 
ao descarte dos dados?
Enap Fundação Escola Nacional de Administração Pública 53
Essas questões são apenas exemplos, faça você mesmo uma lista identificadora de 
riscos, visto que o propósito da identificação de riscos é determinar eventos, a partir 
das especificidades de cada caso, que possam causar perda e deixar claro como, 
onde e por que isso pode acontecer (ABNT, 2011). 
Após a identificação, a próxima etapa é a análise. Importante lembrar que a LGPD 
fala em dados pessoais e dados pessoais sensíveis, então esse é o ativo que deverá 
ser observado no contexto presente, porém não é o único ativo do qual pode tratar 
uma política de segurança. Como o estudo aqui diz respeito à LGPD, convém deixar 
os exemplos associados a ela. 
A análise de riscos é feita, primeiramente, de forma qualitativa para identificar os 
grandes riscos, em seguida a análise tem uma etapa quantitativa que especifica 
esses mesmos riscos. 
Gestão de riscos da segurança da informação.
Fonte: Associação Brasileira de Normas Técnicas (2011). Elaboração: CEPED/UFSC (2022).
54Enap Fundação Escola Nacional de Administração Pública
A análise quantitativa poderá identificar vulnerabilidades e possíveis incidentes de 
forma mais detalhada (ABNT, 2011). Lance um olhar sobre os dados e acompanhe 
todo o seu trajeto, assim será possível identificar e analisar os riscos.
Análise feita, é chegada a hora de avaliar os riscos para realizar os possíveis 
tratamentos. O Anexo E da ISO 27005 traz uma fonte segura e detalhada sobre 
abordagens para o processo de avaliação de riscos de segurança da informação. 
Normalmente utiliza-se uma lista com os riscos identificados e um conjunto de 
valores (geralmente numéricos) para classificá-los.
Veja novamente a figura anterior! Você notou que existem dois pontos de decisão? 
No ponto de decisão 1 existe um questionamento: “avaliação satisfatória”. Faça 
uma reflexão muito importante aqui, um debate com a equipe para ter certeza de 
que os riscos identificados, analisados e avaliados estão realmente corretos. Se 
tiver dúvidas, o diagrama sugere que as ações sejam repetidas desde a definição 
do contexto. Porém, se a avaliação é satisfatória, será o momento de seguir para o 
tratamento dos riscos. 
Esta outra imagem cria uma visão ampliada desse processo entre os pontos de 
decisão 1 e 2, chamada de atividade de tratamento de riscos. Observe com atenção!
Atividade de tratamento de risco.
Fonte: ABNT (2011). Elaboração: CEPED/UFSC (2022).
Enap Fundação Escola Nacional de Administração Pública 55
 A ISO 27005 lista quatro opções para tratamento de riscos:
Quando se trabalha inserindo ou excluindo controles e técnicas para gerenciar o 
risco, a gestão está modificando este risco. E quando a gestão entende que o risco 
está dentro de um limiar aceitável, ela está retendo o risco, uma vez que o risco 
atende aos critérios de aceitação. A descrição detalhada do tratamento encontra-se 
fundamentada na ISO 27005 (ABNT, 2011). 
Relembre o processo de gestão de riscos trazido pela ISO 27005 demonstrado 
anteriormente: depois do tratamento ainda sobram riscos residuais, porém se esses 
riscos estiverem abaixo de um limiar que foi definido pela gestão como aceitável, 
significa que o tratamento foi satisfatório e os riscos restantes aceitos. 
A norma estabelece que a decisão de aceitação deve ser formalmente registrada, 
juntamente com a informação da responsabilidade pela decisão. Por fim, será 
necessário monitorar e analisar criticamente todo o processo.
1. modificar o risco;
2. reter o risco;
3. evitar o risco;
4. compartilhar o risco.
Tome como exemplo o risco de perda de dados: a gestão analisou 
e entendeu que a técnica utilizada para tal evento será realizar 
o backup em nuvem. Neste caso, a gestão está compartilhando o 
risco com outra empresa.
Imagine que a gestão analisou um risco e encontrou fontes 
suficientes para entender que a tarefa é arriscada demais ou seu 
custo é muito maior que o próprio valor dos dados, ou seja, o 
custo-benefício é muito baixo. Neste caso, a gestão pode optar 
por excluir a tarefa ou evitar o risco, já que se o processo deixa 
de existir, seu risco também deixa.
56Enap Fundação Escola Nacional de Administração Pública
2.2 Estrutura e Conteúdo da PSI
Depois de analisar e avaliar os riscos é chegada a hora de criar a política de segurança 
da informação (PSI). Para executar esse objetivo será necessário traçar uma lista 
com regras e objetivos bem claros, e contar com o apoio da alta gestão.
Além disso, toda PSI precisa de ampla divulgação, do comprometimento de todos e da 
publicação de um documento contendo as regras e a aprovação da alta gestão (ABNT, 2013).
Veja abaixo mais detalhes sobre a PSI.
1- O documento da PSI
Segundo a ISO 27002 (ABNT, 2013), o documento que contém a PSI deve ser criado 
por um conjunto de especialistas em segurança. A norma dita que se a empresa não 
possuir especialistas no seu quadro esse trabalho pode ser terceirizado. Isso, porém, 
deve ser aprovado pela direção e conter regras sobre a política definida na análise 
e na avaliação de fatores que causam os eventos que podem afetar a segurança. O 
documento deve ser publicado e comunicado para todos os colaboradores e partes 
externas relevantes.
PSI. Fonte: Freepik (2022).
Elaboração:CEPED/UFSC (2022). 
O documento da PSI.
Fonte: Freepik (2022). Elaboração: CEPED/UFSC (2022). 
Enap Fundação Escola Nacional de Administração Pública 57
2- Conteúdo da PSI
Na elaboração do documento da PSI alguns pontos fundamentais precisam ser 
inseridos e trabalhados. A norma trata os tópicos de forma genérica, porém uma 
análise mais detalhada e específica pode ser feita para viabilizar o emprego desses 
tópicos dentro de cada local. 
3- Duração da PSI
Não existe um tempo de duração padrão para uma política de segurança, visto que 
um incidente de segurança é um acontecimento capaz de mudar diversos pontos 
da sua estrutura.
Os principais tópicos que convém ser tratados em uma PSI são (ABNT, 2013):
O conteúdo da PSI. 
Fonte: Freepik (2022). Elaboração: CEPED/UFSC (2022). 
• definição sobre metas globais, escopo e importância da segurança da 
informação (SI);
• declaração de apoio e comprometimento da direção;
• quais são os controles e seus objetivos;
• quais são as políticas, os princípios, as normas e os requisitos de 
conformidade com a SI específicos para a organização (incluindo 
treinamento, conscientização, consequências de violações, contratos 
e legislações);
• definição de responsabilidades gerais e específicas na gestão da SI.
58Enap Fundação Escola Nacional de Administração Pública
Duração da PSI.
Fonte: Freepik (2022). Elaboração: CEPED/UFSC (2022). 
Se um incidente ocorrer poucos dias depois de aprovada a política, ela deverá ser 
revista e alterada, afinal uma PSI é criada exatamente para evitar incidentes, então 
se eles ocorrem mesmo assim entende-se que alguma coisa não foi projetada 
corretamente na análise/avaliação de riscos. 
A norma trouxe alguns pontos que precisam de atenção no aspecto da duração 
de uma PSI, tais como (ABNT, 2013): realizar uma análise detalhada e periódica do 
documento proposto;
4- Conclusões sobre a PSI
A PSI é um documento contendo todas as regras que serão aplicadas na gestão de 
segurança da organização, dado que a continuidade dos negócios e a imagem de 
uma organização passam por uma política de segurança bem estruturada.
• nomear um gestor que ficará legalmente responsável pela PSI e 
poderá compor uma equipe para realizar as análises e avaliações da 
política;
• informar ao gestor que vai realizar uma avaliação da PSI, todo evento 
de segurança;
• mudanças no cenário organizacional, nas circunstâncias do negócio e 
nas condições legais também são itens para reavaliação.
Enap Fundação Escola Nacional de Administração Pública 59
Conclusões sobre a PSI.
Fonte: Freepik (2022). Elaboração: CEPED/UFSC (2022). 
Quando devidamente documentada, implementada, apoiada por todos os 
colaboradores e, principalmente, pela direção, uma política de segurança 
é o mecanismo fundamental para reduzir os incidentes de segurança e, 
consequentemente, a implementação da LGPD será balizada por ela.
Toda segurança proposta no tratamento de dados, e por consequência o sucesso na 
implementação da LGPD, deve ter ligação com a PSI. As técnicas, os responsáveis, os 
procedimentos, a legalidade, tudo passa pelo documento que foi elaborado. É por 
essa razão que a PSI é a base da LGPD. Não se esqueça disso!
Normalmente a PSI é um documento solicitado pela ANPD 
quando realiza uma fiscalização, pelo judiciário em algum 
contencioso ou por um órgão de controle na resposta de um 
processo administrativo. Portanto, reitera-se a importância de 
ter uma PSI para implementar a LGPD.
2.3 A Transformação Digital e a PSI
A Política de Segurança da Informação (PSI) tratada até agora também é base para 
a transformação digital, pois não existe transformação digital sem que exista uma 
excelente política de segurança. Em outras palavras, todo o desenho para oferecer 
serviços digitais mais rápidos e acessíveis ao cidadão está alicerçado na segurança, 
por isso esses assuntos todos possuem uma estreita relação. 
60Enap Fundação Escola Nacional de Administração Pública
Nota-se que a LGPD e a transformação digital convergem para a necessidade de uma 
PSI. Por essa razão, convém que ao pensar em modificar os serviços para atender 
as novas demandas governamentais, transformando um atendimento físico em um 
serviço digital, a equipe avance no sentido de criar uma política de segurança que 
também atenda a todos os pontos da LGPD.
Nos próximos anos a demanda pela transformação digital dos serviços mais simples 
oferecidos pela administração pública será ainda maior, visto que de 2019 a 2021 o 
alvo foram os serviços mais complexos, que envolviam um estudo mais profundo. 
Neste momento a transformação digital começa a chegar na ponta, naquele 
serviço mais trivial, e com ela a necessidade de realizar esse desenho da PSI com os 
parâmetros da LGPD.
Mesmo que em uma escala menos complexa, a transformação digital vai chegar e nem 
sempre será possível contar com uma equipe de TI para alinhar os processos mais 
“simples”. Comece entendendo a finalidade da captação de dados, por onde os dados 
vão chegar, quais caminhos vão percorrer, como serão tratados, como será o descarte.
Em seguida crie uma PSI para esse processo. Os bancos possuem uma política de 
segurança global, mas existem outras várias políticas diferentes para pequenos 
procedimentos, como por exemplo o protocolo TED/DOC, o envio de malote etc., o 
que leva a crer que mesmo um procedimento entendido como “simples” dentro de 
uma repartição pública, se possui entrada de dados, também precisa de PSI e LGPD.
Antes de encerrar os estudos desta unidade, assista a videoaula a seguir. Ela 
apresenta mais detalhes acerca dos principais personagens do tratamento de dados 
da LGPD. Avante!
Transformação digital dos serviços.
Fonte: Brasil (2022).
Enap Fundação Escola Nacional de Administração Pública 61
Que bom que você chegou até aqui! Agora é a hora de você testar seus conhecimentos. 
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos! 
Videoaula: Os Personagens da LGPD e sua Relação entre 
a Lei, a Transformação Digital e a Política de Segurança 
https://
https://cdn.evg.gov.br/cursos/529_EVG/video/modulo02_video04/index.html
https://cdn.evg.gov.br/cursos/529_EVG/video/modulo02_video04/index.html
62Enap Fundação Escola Nacional de Administração Pública
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27002:2013: 
tecnologia da informação — técnicas de segurança — código de prática para con-
troles de segurança da informação. Rio de Janeiro: ABNT, 2013. Disponível em: 
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tec-
nicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-ab-
nt-nbr-iso-iec-270022013-2nbsped-9788507046134.html. Acesso em: 14 jun. 2022.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27005:2011: 
tecnologia da informação — técnicas de segurança — gestão de riscos de segurança 
da informação. Rio de Janeiro: ABNT, 2011. Disponível em: https://intranet.cade.gov.
br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489cc-
d57165e9d2ce51b64c1aaea.pdf. Acesso em: 14 jun. 2022.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 
1988. Brasília, DF: Presidência da República, 1988. Disponível em: http://www.pla-
nalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 13 jun. 2022.
BRASIL. Lei nº 12527, de 18 de novembro de 2011. Regula o acesso a informações 
previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 
da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a 
Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 
1991; e dá outras providências. Brasília, DF: Presidência da República, 2011. Dispo-
nível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. 
Acesso em: 13 jun. 2022.
BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais 
(LGPD). Brasília, DF:Presidência da República, 2018. Disponível em: http://www.planalto.
gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 jun. 2022.
BRASIL. Governo Federal. Portal gov.br. 2022. Disponível em: https://www.gov.br/
pt-br. Acesso em: 10 jun. 2022.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.
HIGA, Paulo. Existe um serviço que paga US$ 0,0009 para humanos resolverem 
captchas. 2014. Tecnoblog. Disponível em: https://tecnoblog.net/especiais/capt-
cha-trabalho-humano/. Acesso em: 7 dez. 2021.
Referências 
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.gov.br/pt-br
https://www.gov.br/pt-br
https://www.freepik.com/
https://www.freepik.com/
https://tecnoblog.net/especiais/captcha-trabalho-humano/
https://tecnoblog.net/especiais/captcha-trabalho-humano/
Enap Fundação Escola Nacional de Administração Pública 63
KABAY, M. E.; BOSWORTH, S. Computer Security Handbook. [Hoboken]: John Wiley 
& Sons, 2002. 
LAUDON, K. C.; LAUDON, J. P. Sistemas de Informação Gerenciais. São Paulo: Pe-
arson, 2014.
O’BRIEN, J. Sistemas de informação e as decisões gerenciais na era da Internet. 
São Paulo: Saraiva, 2011.
STALLINGS, W.; BROWN, L. Segurança de Computadores: princípios e práticas. São 
Paulo: GEN LTC, 2013.
Referências 
64Enap Fundação Escola Nacional de Administração Pública
 Módulo
Implementando a LGPD3
Esta etapa de estudos trará ao seu conhecimento um guia de implementação da LGPD. 
Para tal, foi dividida em quatro unidades que trabalham primeiro a metodologia de 
implementação da análise de processos, que é a comparação entre como estão os 
seus processos atualmente e onde eles precisam chegar para se adequarem à lei. 
Você também será apresentado(a) a uma trilha de conformidade que permite uma 
reflexão sobre como gerir os processos na implementação. Mais adiante verá como 
é possível criar um modelo de termo de consentimento, com dicas de como adequar 
a sua realidade ao que pede a lei, entendendo os papeis e as responsabilidades 
presentes no tratamento de dados e fechando a etapa com uma análise dos locais 
de armazenamento de dados.
1.1 Processos para Implementação da LGPD
Unidade 1: Os Processos para a Implementação da LGPD
Objetivo de aprendizagem
Ao final desta etapa você deve estar esclarecido sobre os processos para aplicação da 
LGPD, identificando o tratamento de dados e a trilha de conformidade.
Uma vez que sua organização já possui os procedimentos de segurança muito 
bem fundamentados; os riscos analisados e avaliados; e a política de segurança da 
informação bem implementada, significa que os seus pilares da LGPD já estão prontos. 
Enap Fundação Escola Nacional de Administração Pública 65
Então agora é o momento de conhecer bem os processos por onde os dados circulam 
para realizar a implementação da LGPD.
A lei não possui nenhum impeditivo contra que seja implementada em apenas um 
setor, departamento ou organização toda. Essas restrições são limitadas às normas 
certificadoras. Assim, dois questionamentos devem ser realizados na implementação, 
principalmente ao analisar os processos internos.
Se a sua resposta à primeira questão é o ponto zero, ou seja, nada foi implementado 
ainda, então se recomenda que você faça uma boa leitura dos artigos de 1 a 6 da lei. 
Depois será a hora de analisar processos.
A imagem a seguir ilustra uma organização ou apenas uma parte dela, por exemplo 
um departamento, que ainda não possui processos desenhados e adequados à LGPD. 
O que pode acontecer neste caso é que cada responsável, ou cada departamento, 
aja de forma independente, de acordo com os conhecimentos que possuem, e o 
resultado pode ser desastroso.
Processos para implementação da LGPD.
Fonte: Freepik (2022). Elaboração: CEPED/UFSC (2022).
• Em que nível de implementação de processos estou em termos de 
LGPD?
• Onde preciso chegar?
66Enap Fundação Escola Nacional de Administração Pública
Ponto de implementação da LGPD/resultado desastroso.
Elaboração: CEPED/UFSC (2022). 
Ponto de implementação da LGPD/grau de conformidade.
Elaboração: CEPED/UFSC (2022). 
Processo para implementação da LGPD.
Elaboração: CEPED/UFSC (2022). 
Porém, quando a organização estabelece os métodos corretos cria-se uniformidade 
na implementação (todo mundo procura falar a mesma língua). Tanto em política 
de segurança quanto em relação à LGPD a empresa passa a ficar estruturada, bem 
organizada, conforme mostrado na imagem à direita, e o nível de sucesso com 
todas as regras passa a ser bem maior. Costuma-se chamar esse grau de sucesso de 
confiabilidade ou grau de conformidade. 
Segundo Laudon e Laudon (2014) os processos dentro de uma organização seguem 
um padrão que se divide em entrada, processamento e saída. Ao analisar o elemento 
central da LGPD será preciso entender essa cadeia para não ocorrer falhas ou 
vazamentos na implementação da lei.
Enap Fundação Escola Nacional de Administração Pública 67
O exercício inicial neste ponto é para que você entenda como será a entrada de dados 
na instituição. Lembre-se de que existe uma pequena diferença entre o controlador e 
o operador. Esse também é um ponto importante e precisa de análise: o controlador 
e o operador estão em locais distintos? Nesse caso o trânsito de tudo que será 
transmitido entre eles também precisa de atenção. 
Por onde andam os dados? Quem são os responsáveis legais por eles? São 
questionamentos que devem estar respondidos na Política de Segurança da 
Informação. Porém nos casos em que a LGPD vai ser implementada em pequenos 
departamentos, ou em locais em que há pouco conhecimento sobre política de 
segurança, é muito comum que tentem a implementação sem a estrutura base que 
é a PSI. Se realmente houver a necessidade saiba que os questionamentos propostos 
anteriormente não podem ficar sem respostas.
Pense numa situação hipotética para ilustrar um processo de entrada e saída de 
dados. Imagine um departamento recebendo um currículo. A entrada é a entrega 
desse documento. Faça uma reflexão sobre as seguintes questões.
Neste ponto você pode estar se questionando: “Ah, então é 
possível implementar a LGPD sem implementar a PSI?”
Embora essa seja uma questão perigosa, a resposta é sim. Perigosa 
pois a PSI é a orientadora dos processos, é o porto seguro que cria 
um guia de segurança e estabelece diretrizes para a convergência 
digital. Porém, como a administração pública também precisa ser 
eficiente (princípio constitucional explícito no art. 37) (BRASIL, 
1988), em alguns casos ou para alguns processos pode ser que criar 
uma PSI venha a ser um exagero ou um desperdício de tempo, 
mão de obra e dinheiro público. Imagine o casoda entrega de 
um currículo ou o cadastro de uma pessoa para acesso em uma 
repartição. Se os dados que forem adquiridos não são sensíveis e 
compreendem apenas um ou dois campos (nome e idade, nome 
e RG etc.) pensar em criar uma PSI apenas para incrementar esse 
processo pode gerar mais despesas do que se fosse realizada 
uma adequação direta à LGPD sem a política, ou mesmo caso se 
esperasse acumular alguns processos e depois incluí-los todos na 
PSI de uma vez.
68Enap Fundação Escola Nacional de Administração Pública
• Se a entrega ocorre para um setor ou pessoa específica, para quem é? 
• Se o currículo contém dados pessoais, e possivelmente dados 
pessoais sensíveis, quem será o responsável pela salvaguarda desse 
documento e por quanto tempo? 
• O titular desses dados foi informado sobre a política de tratamento 
dos dados? 
• Vão colocar o currículo no banco de talentos? Por quanto tempo?
• Depois de quanto tempo o documento será descartado?
• cadastro de um novo colaborador;
• exclusão de um colaborador;
A lei oferece ao titular o direito de consultar, requerer e solicitar a exclusão dos dados. 
Assim sendo, será necessário deixar claro qual a política de tratamento, afinal, se o 
titular voltar um ano depois, ele poderá reaver seu currículo? Se nada foi informado 
sobre o tratamento, então quem recebeu os dados está irregular perante à LGPD.
A melhor solução será informar a todos que entregarem currículos (titulares dos 
dados) que, segundo a política de tratamento de dados da instituição, todo currículo 
entregue será descartado (deixe bem específico: serão triturados, queimados etc.) 
no prazo de sessenta dias se não for solicitado anteriormente pelo titular.
Refaça essa mesma análise de processos para os seguintes exemplos:
Informação sobre a política de tratamento de dados.
Fonte: Freepik (2022). Elaboração: CEPED/UFSC (2022). 
Enap Fundação Escola Nacional de Administração Pública 69
Comece treinando com exemplos simples para depois expandir para um sistema 
mais complexo, como nos casos de um banco de dados complexos ou sistemas de 
gestão. Independente da complexidade, é necessário ter bem claro o caminho que 
os dados percorrem e quem são os responsáveis por eles.
Trilha de conformidade para implementação da LGPD.
Elaboração: CEPED/UFSC (2022).
• banco de talentos;
• imagens do Circuito Fechado de TV (CFTV).
1.2 A Trilha de Conformidade para Tratamento Adequado de Dados.
A implementação da LGPD acompanha o fluxo de processos da empresa. O 
entendimento de como é a entrada, o processamento e a saída dos dados, permite 
criar o que se define por trilha de conformidade, que pode ser descrita como uma 
cadeia de eventos para adequar os processos à lei. A trilha está representada pelo 
infográfico a seguir. Clique sobre cada um dos pontos e conheça melhor os processos.
1- Entrada de dados
Se as perguntas movem o mundo, então esse é um ponto importante para que você 
faça um brainstorm e coloque questões que devem ser respondidas dentro do ciclo 
mostrado na trilha de conformidade. 
70Enap Fundação Escola Nacional de Administração Pública
Para cada etapa há um conjunto de perguntas que levam à reflexão sobre como 
trabalhar os dados, sendo que esse rol de questões será exemplificativo, podendo 
cada gestor acrescentar ou suprimir perguntas de acordo com a complexidade do 
processo. Seguem alguns exemplos.
Algumas observações importantes sobre a entrada de dados recaem sobre os 
artigos entre o 7º e o 10 da LGPD, os quais fazem referência sobre o consentimento 
expresso do titular e para a finalidade que foi definida inicialmente. Isso significa 
que a captura dos dados é precedida por um registro sobre tal fato, e para isso o 
controlador vai precisar tomar do titular o consentimento expresso por escrito ou 
por meio eletrônico. Porém, no mesmo documento a norma exige que seja colocada 
a finalidade dos dados, visto que a mudança de finalidade implica em necessidade 
de nova autorização.
Atenção
O documento de autorização contendo a finalidade é motivo de muito 
retrabalho. Normalmente ocorre retrabalho pois é comum que o documento 
seja criado com pressa e falta de atenção, com sua finalidade ficando fora do 
padrão de conformidade. Realize um bom planejamento para deixar clara a 
finalidade. A lei alerta que não será admitida finalidade genérica, com descrição 
ampla, então se isso acontecer todo o trabalho pode estar comprometido.
2- Controle
Ao receber os dados, a organização precisa nomear um responsável pelo controle, 
que deve guiar os dados, aplicar medidas de segurança e realizar a supervisão de 
forma ampla. As organizações criaram o papel do Data Protection Officer (DPO), 
que a lei descreve como encarregado. O encarregado, ou DPO, é o responsável 
pelo controle, além das outras funções que a lei destina a ele. O foco no processo 
de controle é entender a entrada, verificar a integridade e conduzir os dados ao 
destino correto. Por exemplo, em algumas organizações o controlador e o operador 
são entes distintos, neste caso o processo de controle precisa atuar para garantir 
proteção no trânsito desses dados. 
• Quem é o responsável pela coleta dos dados?
• Existe algum mecanismo de garantia de integridade?
• Como o titular será informado do processo?
• Os dados estão protegidos contra vazamento?
• Os dados chegam criptografados?
Enap Fundação Escola Nacional de Administração Pública 71
3- Responsabilidade
Responsabilidade seria uma variante do controle. Porém em casos em que a 
organização é muito grande e trata diversos tipos de dados, será necessário seguir 
o que prega a ISO 27002: estabelecer uma lista de colaboradores que devem 
responder pelos diversos processos que foram criados para o tratamento de dados. 
A responsabilidade está associada ao processo de forma ampla e global, ou seja, à 
garantia que a organização oferece aos titulares de que os dados estarão seguros. 
A responsabilidade também é associada a pessoas. Quem são elas? Faça uma lista 
com os nomes, cargos, qual a responsabilidade de cada um, quais são os papeis 
desempenhados e qual será a punição em caso de descumprimento. Esses são alguns 
itens que devem acompanhar o processo de elaboração das responsabilidades. 
4- Armazenamento
O processo de garantia de disponibilidade dos dados representa a garantia de 
que sempre que necessário estes estarão acessíveis. Para isso será necessário um 
plano de armazenamento. As novas orientações dadas pelo tribunal de contas da 
união (TCU) sugerem que os dados sejam armazenados em nuvem computacional, 
visto que esses ambientes já possuem várias outras garantias associadas. Convém 
lembrar que se trata de armazenar os dados que estão em posse do controlador/
operador e não podem ser transferidos para tratamento, pois se a finalidade for 
alterada o titular precisa ser informado. 
Um ponto importante sobre o armazenamento de dados é a possibilidade de 
vazamento. Na política de segurança, ou no plano de tratamento, precisam constar 
os responsáveis que deverão controlar o acesso aos dados no servidor.
5- Documentação
A documentação é a descrição sobre os processos de tratamento dos dados, sobre 
os responsáveis, sobre os locais de armazenamento, sobre backups e afins. A Política 
de Segurança da Informação (PSI) ou o plano de tratamento de dados representam 
a documentação sobre os dados que é necessária atualmente. 
6- Descarte
Quando o ciclo de operação dos dados se encerra será necessário descartá-
los, porém esse processo precisa de uma atenção especial. O titular precisa ser 
informado, de preferência lá no início (processo de captação do dado), qual o prazo 
até quando os dados estarão em posse do controlador. Tomando o exemplo do 
currículo ou banco de talentos, ao receber o currículo convém informar ao titular 
que todos esses documentos ficam disponíveis nos bancos de dados por até 90 
dias (prazo fictício criado para este exemplo). Assim o titular saberá que não poderá 
solicitar esses dados outra vez depois desseprazo.
72Enap Fundação Escola Nacional de Administração Pública
Uma observação importante diz respeito a outras leis que regem o processo de 
eliminação e descarte de dados, como por exemplo a Lei de acesso à informação 
(LAI) que pode possuir prazos determinados dependendo de como a informação for 
classificada. Portanto é importante estabelecer uma política centrada nos dados que 
contenha os princípios da LGPD e também das outras leis e decretos, principalmente 
quando se trata de dados do serviço público.
Portanto, para implementar a LGPD recomenda-se que os processos tenham 
uma trilha da conformidade de acordo com o que é mostrado na figura anterior e 
discutido neste tópico. Criar o termo de consentimento, eleger os responsáveis por 
cada ação e preparar os processos são itens solicitados pela Lei e que contribuem 
para o sucesso da implementação. Mas, lembre-se: para a administração pública, o 
termo de consentimento não é a única hipótese legal para o tratamento de dados. 
1.3 O Término do Tratamento de Dados
Utilizando a trilha de conformidade mostrada no infográfico anterior você notou que 
a última etapa do processo de tratamento de dados é o encerramento? Ela pode levar 
ao descarte, porém convém aprofundar um pouco mais o conhecimento sobre o que 
a LGPD fala sobre o término do tratamento de dados. 
O artigo 15 é o primeiro que trata sobre o assunto e trouxe o seguinte texto:
Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes 
hipóteses:
I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de 
ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II - fim do período de tratamento;
III - comunicação do titular, inclusive no exercício de seu direito de revogação 
do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o 
interesse público; ou
IV - determinação da autoridade nacional, quando houver violação ao disposto 
nesta Lei. (BRASIL, 2018).
Enap Fundação Escola Nacional de Administração Pública 73
O inciso I
Trata sobre a finalidade: uma vez que a finalidade foi alcançada, ou os dados 
deixaram de ser necessários, o tratamento está encerrado. 
Suponha que a finalidade de determinados dados é uma campanha para o 
Outubro Rosa, logo não faz sentindo continuar tratando os dados depois da 
data especificada, exceto se no documento de descrição da finalidade constava a 
extensão desse processo. Perceba que mesmo neste caso os dados também não 
são mais “necessários”, mas se por algum motivo devem continuar a ser tratados 
para compor o resultado de algum estudo, deixe essa informação muito clara no 
seu termo. 
O inciso II
Aborda o fim do período de tratamento. A LGPD não estabelece um período ou 
prazo para a finalização do tratamento, mas convém estabelecer esses prazos no 
termo de consentimento que o titular autoriza, uma vez que, enquanto estiver 
dentro do prazo, o titular pode requerer os dados. Se o prazo é muito longo, implica 
em muitas responsabilidades no armazenamento, salvaguarda entre outros. Neste 
caso há custos para manter elementos que podem não ser necessários. Portanto 
crie finalidades que sejam factíveis, principalmente com relação aos prazos que os 
dados deverão ser mantidos sob guarda da organização.
Os incisos III e IV 
Referem-se à vontade externa, ou seja, o titular comunica que não quer que haja 
mais nenhum tratamento dos seus dados ou a ANPD comunica que o tratamento 
não pode mais ser realizado. Neste caso o ponto importante a ser estruturado é a 
documentação sobre as ações que serão interrompidas. Documente as ações, além 
de descartar os dados ou devolvê-los ao titular, e deixe tudo muito bem registrado, 
pois este é um ponto de falha e de descuido comum nos processos da LGPD. Se 
existe um termo de consentimento que o titular assina para fornecer os dados, deve 
existir também um termo que ele assina quando exige a interrupção do tratamento.
O art. 16 fala sobre a eliminação (descarte) dos dados após o término do tratamento. 
O texto do artigo e seus incisos dizem:
74Enap Fundação Escola Nacional de Administração Pública
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, 
no âmbito e nos limites técnicos das atividades, autorizada a conservação para 
as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização 
dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento 
de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que 
anonimizados os dados. (BRASIL, 2018).
Como já descrito, a LGPD não fixou um prazo mínimo ou máximo para o tratamento, 
porém o art. 16 chama a atenção para a manutenção dos dados após o término do 
tratamento, desde que seja para cumprimento de obrigação legal ou regulatória, 
estudo por órgão de pesquisa, transferência a terceiros ou uso exclusivo do 
controlador.
Volte sua atenção para os incisos demonstrados agora! Os incisos III e IV carecem de 
mais esclarecimentos, visto que ora falam que a transferência a terceiros é possível 
e em seguida trazem uma vedação ao acesso por terceiro. Depreende-se do inciso III 
que a transferência a terceiros será possível se corretamente descrita na finalidade 
e autorizada pelo titular. Porém, no inciso IV, se o controlador alega que os dados 
continuarão em seu domínio para uso exclusivo, então não faz sentido esse possível 
compartilhamento.
Outro ponto importante é a anonimização. No inciso II o processo de anonimização 
foi relativizado (sempre que possível), porém no inciso IV ele é obrigatório. Existem 
muitas técnicas de anonimização e muito se discute sobre a validade (eficiência das 
técnicas) delas, visto que muitas publicações mostraram que é possível reverter 
dados anonimizados. A recomendação é procurar as técnicas que pareçam 
adequadas, deixar registrado nos documentos quais são as técnicas escolhidas, 
quais seus princípios e acompanhar até quando elas funcionam.
 Você chegou ao fim desta unidade. Caso ainda tenha dúvidas, reveja o conteúdo e 
se aprofunde nos temas propostos. Siga firme nos estudos!
Enap Fundação Escola Nacional de Administração Pública 75
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27002:2013: 
tecnologia da informação — técnicas de segurança — código de prática para con-
troles de segurança da informação. Rio de Janeiro: ABNT, 2013. Disponível em: 
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tec-
nicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-ab-
nt-nbr-iso-iec-270022013-2nbsped-9788507046134.html. Acesso em: 14 jun. 2022.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27005:2011: 
tecnologia da informação — técnicas de segurança — gestão de riscos de segurança 
da informação. Rio de Janeiro: ABNT, 2011. Disponível em: https://intranet.cade.gov.
br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489cc-
d57165e9d2ce51b64c1aaea.pdf. Acesso em: 14 jun. 2022.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 
1988. Brasília, DF: Presidência da República, 1988. Disponível em: http://www.pla-
nalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 13 jun. 2022.
BRASIL. Lei nº 12527, de 18 de novembro de 2011. Regula o acesso a informações 
previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 
da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a 
Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 
1991; e dá outras providências. Brasília, DF: Presidência da República, 2011. Dispo-
nível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. 
Acesso em: 13 jun. 2022.
BRASIL. Lei nº 13709, de 14 de agosto de 2018. LeiGeral de Proteção de Dados Pes-
soais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.
planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 jun. 2022.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.
LAUDON, K. C.; LAUDON, J. P. Sistemas de Informação Gerenciais. São Paulo: Pearson, 2014.
Referências 
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.freepik.com/
https://www.freepik.com/
76Enap Fundação Escola Nacional de Administração Pública
2.1 Quais as Bases Legais para o Tratamento de Dados?
Unidade 2: Base Legal para o Tratamento de Dados
Objetivo de aprendizagem
Ao final desta unidade o aluno deverá ser capaz de reconhecer os principais elementos 
do termo de consentimento e outras bases legais para o tratamento de dados.
O termo de consentimento é o aceite que o titular dos dados fornece ao controlador 
para que seus dados pessoais (e possivelmente também os pessoais sensíveis) possam 
ser tratados. 
De acordo com o que regulamenta o Art. 7º da LGPD, o consentimento não é a única 
forma de tratar dados. Os incisos de II até X levantam outras hipóteses de tratamento 
sem consentimento, por exemplo, para o cumprimento de obrigação legal (Art. 7º – II), 
para a execução de políticas públicas pela administração pública (Art. 7º – III) etc.
A discussão sobre forma de uso do termo de consentimento vem sendo modificada 
nos anos seguintes à publicação da lei, uma vez que o termo de consentimento da 
forma como foi proposta no Art. 7 pode funcionar para empresas privadas, mas na 
Administração Pública a estrutura ainda contém uma certa burocracia e o termo 
de consentimento pode ser um grande entrave na forma como está descrito na lei. 
Nesse sentido, a ANPD publicou o guia orientativo intitulado “Tratamento de Dados 
Pessoais pelo Poder Público” (ANPD, 2022) que versa sobre alternativas ao termo de 
consentimento na Administração Pública. 
Este é um momento importante do seu curso, pois se você é da Administração Pública 
(federal, estadual ou municipal), convém que você conheça as alternativas propostas 
pela ANPD para o termo de consentimento, lembrando que aqui não é uma fuga 
aos preceitos da LGPD, mas uma alternativa legal para tornar viável o tratamento de 
dados. 
De acordo com o princípio constitucional da legalidade (Art. 37 da Constituição 
Federal), ao servidor público só será permitido executar o que determina a lei; e 
no direito administrativo brasileiro existe a figura regulamentadora dos decretos 
e portarias. O que se busca saber é se no seu órgão (estadual ou municipal) existe 
alguma alternativa (seja um parecer da procuradoria jurídica, um decreto, instrução 
normativa) que descreva alternativas ao termo de consentimento. Se não houver, 
recomenda-se que o guia orientativo da ANPD seja invocado, já que ele está sendo 
empregado na Administração Pública federal. 
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf
Enap Fundação Escola Nacional de Administração Pública 77
Segundo o guia orientativo da ANPD (ANPD, 2022) e o Art. 7 da LGPD, as bases legais 
que a administração pública poderá invocar para suprir o termo de consentimento, 
alinhado à uma explicação clara e não genérica da finalidade serão:
Uma importante observação é o fato de a LGPD ter elegido a ANPD como titular 
da interpretação da lei, ou seja, a ANPD possui competência originária sobre casos 
omissos ou interpretações que derivem da lei sobre proteção de dados. Assim, todo 
parecer acerca de elementos da lei deve ter respaldo em outra lei ou em pareceres 
da própria ANPD. Por isso, o guia orientativo e outros manuais são citados para que, 
em caso de dúvida, eles sejam corretamente invocados no caso concreto. Veja as 
publicações da ANPD disponíveis no gov.br (veja aqui). 
Mas o que diz o guia orientativo sobre as alternativas ao termo de 
consentimento?
 
Primeiramente, o guia faz uma ressalva dizendo que, no contexto da Administração 
Pública, o consentimento pode não ser a principal base legal para o tratamento 
de dados, fundamentalmente quando o tratamento precisa ser realizado para a 
execução das obrigações legais (ou função típica do órgão). Nota-se, nesse caso, 
que o termo de consentimento criaria muitas barreiras na condução do processo de 
entrada e tratamento de dados. 
Que tal alguns exemplos para você compreender melhor esse contexto?
Consentimento de obrigação legal ou regulatória
Imagine que uma universidade inicie o processo de matrícula de ingressantes de 
forma digital, por meio de preenchimento de um formulário via Internet. Para isso, 
a universidade cria um sistema de cadastros para coletar os dados dos interessados 
na matrícula para, posteriormente, validar presencialmente a documentação que 
será apresentada. No preenchimento do formulário, a universidade poderá solicitar 
os dados necessários para a matrícula, como dados não sensíveis. Neste caso, a 
universidade possui a prerrogativa legal de captação desses dados e poderá invocar 
o interesse legítimo e o cumprimento de obrigação legal sem a necessidade de criar 
um termo de consentimento para cada aluno. Mesmo assim, nesse tipo de caso, 
o que se usa de praxe é uma forma rápida de confirmação (através de um check 
• Consentimento de obrigação legal ou regulatória;
• Legítimo interesse;
• Execução de políticas públicas previstas em leis e regulamentos ou 
respaldadas em contratos, convênios ou instrumentos congêneres.
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes
78Enap Fundação Escola Nacional de Administração Pública
box dentro da página, por exemplo) onde o titular dos dados é informado sobre a 
finalidade do tratamento dos dados (sendo clara e específica) e aceita o tratamento 
sem causar maiores barreiras. Do ponto de vista do direito civil, essa confirmação 
“compulsória” na qual o aluno é obrigado a aceitar para entregar os dados sob pena 
de não ter sua matrícula efetivada é chamada de “contrato de adesão”. 
Reitera-se que a confirmação por parte do usuário dentro do site, no caso do 
exemplo supracitado, é apenas uma praxe, pois se os dados são necessários para o 
cumprimento da obrigação legal (no caso a matrícula), essa confirmação poderá ser 
suprimida, não dependendo da confirmação do estudante para o recebimento dos 
dados e seu respectivo tratamento.
Muito cuidado com os exageros; por exemplo, se no termo de matrícula existisse um 
campo para o estudante inserir o e-mail e/ou telefone e no formulário de cadastro 
estivesse escritoque “a universidade poderá enviar informações promocionais, 
eventos da universidade, propagandas, transferir os e-mails e telefones para o 
grêmio/centro acadêmico etc.” nesse caso, o termo de consentimento deverá ser 
utilizado, visto que existe um outro interesse além da obrigação legal da universidade. 
Isso representa uma finalidade genérica, não específica, portanto, nula do ponto de 
vista da LGPD. Mesmo que a universidade invoque outra base legal (obrigação legal 
ou o interesse legítimo), ela não poderá fazer. Nesse caso, o termo de consentimento 
deverá ser utilizado e um ajuste na finalidade deverá ser feito, pois a função típica 
do órgão foi ampliada.
Conforme pode ser observado no Guia (ANPD, 2022), a Administração Pública pode 
substituir o termo de consentimento por outras bases legais para o tratamento de 
dados pessoais. Neste caso, a recomendação é que o gestor faça a indicação de 
Contrato de adesão.
Fonte: Freepik (2022). 
Enap Fundação Escola Nacional de Administração Pública 79
qual base legal será utilizada para a coleta e tratamento dos dados em questão. Ao 
realizar a troca do termo de consentimento, o recomendável é indicar que os dados 
estão sendo coletados obedecendo todos os preceitos da LGPD e que a base legal 
para a coleta e tratamento é o cumprimento de uma obrigação legal (se este for o 
seu caso) ou outro exemplo. 
Interesse Legítimo
Segundo preconiza o Guia da ANPD e o Art. 7, IX da LGPD, para invocar interesse 
legítimo, a Administração Pública não poderá fazer para o tratamento de dados 
sensíveis, exceto se prevalecerem direitos e liberdades fundamentais do titular que 
exijam proteção dos dados. Nos outros casos, cabe uma cautela e uma análise antes 
de utilizar como fundamento a base legal do interesse legítimo. O interesse legítimo 
só pode ser invocado pela Administração Pública, visto que no direito administrativo 
brasileiro o interesse público se sobressai sobre o privado, diferente do que acontece 
no direito privado que as vontades devem ser equivalentes. 
Nesse contexto, um administrador público poderá substituir o termo de 
consentimento pelo simples fato de que a administração precisa tratar os dados 
em prol do interesse legítimo, mas na relação entre o titular e uma empresa privada 
isso não pode acontecer. 
Trazer à baila o legítimo interesse em substituição ao termo de consentimento ainda 
não é algo completamente pacificado, nem mesmo pela ANPD. Veja a seguir um 
exemplo para compreender melhor uma forma de realizar o tratamento baseado 
no interesse legítimo.
Imagine o instituto de previdência de uma prefeitura (IPREM) que 
precisa tratar os dados (não sensíveis) de todos os seus servidores 
e seus dependentes a fim de garantir a segurança da informação 
do órgão. Se esse tratamento dependesse da anuência de cada 
titular dos dados através do termo de consentimento, esse 
processo seria demasiadamente moroso e muito arriscado do 
ponto de vista da segurança dos dados. Neste caso, utilizando 
uma finalidade clara e específica, o gestor poderia realizar o 
tratamento dos dados para garantir a segurança (finalidade do 
tratamento) sem precisar do termo de consentimento.
80Enap Fundação Escola Nacional de Administração Pública
Atenção, no exemplo anterior, se você pertencer a uma empresa privada, será 
necessário prever esse tratamento no momento da coleta dos dados e usar o termo de 
consentimento como reza a LGPD. Assim, quando a equipe de TI projetar a Política de 
Segurança da Informação (PSI) da empresa, eles deverão inserir a finalidade específica 
de tratamento de dados para a gestão de segurança, criar o termo de consentimento 
com essa finalidade juntamente com as outras especificações de tratamento. 
Por exemplo, uma empresa privada possui o cadastro dos colaboradores e seus 
dependentes. Então, na coleta dos dados a empresa deverá solicitar a autorização 
de tratamento (termo de consentimento) para a gestão de segurança de dados 
juntamente com as outras autorizações (pode se fazer constar em um único termo as 
finalidades), não podendo invocar o interesse legítimo para realizar esse tratamento 
a qualquer tempo. No caso em questão, dados sensíveis também serão tratados, 
pois utiliza-se o termo de consentimento e não o interesse legítimo. 
Execução de políticas públicas
No uso de suas atribuições legais, a Administração Pública (em todas as esferas 
e poderes) pode realizar o tratamento e uso compartilhado de dados (inclusive 
sensíveis) necessários à execução de políticas públicas (LGPD, Art. 7, III) (ANPD, 
2022). Para usar essa base legal em substituição ao termo de consentimento, a 
política pública deverá ser baseada em leis, regulamentos, convênios, contratos 
ou instrumentos congêneres que configure a existência de uma política pública. A 
LGPD e a ANPD não definem claramente a estrutura de uma política pública, porém 
definem que, para utilizar essa base legal, a “política pública” precisa derivar dos 
termos já citados: lei, regulamento, convênio, contratos ou instrumentos congêneres.
Relembrando o exemplo da campanha governamental do Outubro Rosa, se a 
campanha foi estabelecida através de uma norma infralegal, que consta dos termos 
da política pública (objetivos, prazo, competências, responsáveis etc.), todos os dados 
recolhidos pelo Ministério da Saúde (supondo ser ele o responsável pela coleta) 
poderão ser tratados e ainda compartilhados com outros órgãos sem o respectivo 
termo de consentimento, utilizando a base legal da execução de políticas públicas. 
A observação importante é que nenhuma base legal poderá ser 
invocada, inclusive a de políticas públicas, sem que a finalidade 
seja exatamente aquela que foi projetada. Qualquer desvio ou 
tratamento fora do objetivo traçado pela política necessita do 
termo de consentimento.
Enap Fundação Escola Nacional de Administração Pública 81
Nestes termos, prezado servidor público, busque entender qual o mecanismo 
será o mais adequado para a situação que você tenha que implementar a LGDP. 
Se o termo de consentimento não gerar entraves no seu processo, ele poderá 
ser utilizado tranquilamente, mas se isso for uma grande barreira, mude a base 
legal, informe qual base legal será utilizada para o tratamento de dados e realize a 
discricionariedade do ato.
Termo de Consentimento
O termo de consentimento habita o coração da LGPD, visto que para todo tratamento 
de dados do mundo privado ele deverá ser utilizado. Já na Administração Pública ele 
poderá ser utilizado ou substituído, conforme já estudado. Como no caso concreto 
às vezes o termo de consentimento é muito simples de ser criado e utilizado, 
convém conhecer sua estrutura e elementos associados para regular sua utilização 
em qualquer esfera, seja pública ou privada.
Por exemplo, se o Ministério resolver enviar os dados das pacientes para uma 
empresa, de modo que a empresa envie brindes ou notificações de outros tipos de 
exames a todas as participantes da campanha, o Ministério não poderá fazer sem o 
termo de consentimento e sem explicar a finalidade específica.
A figura a seguir mostra um resumo das bases legais que poderão ser utilizadas para o 
tratamento de dados pessoais, lembrando que a Administração Pública poderá utilizar-
se de todos eles e as empresas privadas só poderão utilizar o termo de consentimento.
Base Legal para recebimento de dados do titular.
Fonte: ANPD (2022). Elaboração: CEPED/UFSC (2022). 
82Enap Fundação Escola Nacional de Administração Pública
Antes de descrever o termo, convém observar os preceitos do Art. 7-X, § 4, que descreve 
que se o titular tornar os dados públicos (por exemplo, tenha postado em redes sociais 
ou outros meios), o consentimento não será necessário, porém os direitos do titular 
não podem ser modificados. Assim, se o titular quiser pedir para retirar os dados, 
mesmo sendo públicos, ele poderá fazê-lo. Da mesma forma, o tratamento dos dados 
públicos só poderá ocorrer para finalidades legítimas e em boa fé.
Por exemplo, se uma prefeituraprecisa realizar uma campanha para entender 
a quantidade e o padrão de pessoas (homem, mulher, faixa etária) que acessa 
determinado ponto turístico da cidade e, para isso, realiza uma coleta de dados em 
uma determinada rede social (check-ins, posts, comentários) referente ao ponto 
turístico da cidade, ela poderá fazer sem o consentimento dos titulares, uma vez 
que os dados são públicos, porém não poderá tratar ou transferir esses dados para 
finalidade adversa que não seja a proposta inicial (Art. 7-X, §§ 3, 4, 6). 
Atenção especial a isso está presente nos parágrafos 5, 6 e 7, que reiteram sobre a 
mudança de finalidade, portanto se o controlador precisa compartilhar os dados com 
terceiros ou destiná-lo a nova finalidade, será necessária uma nova comunicação para 
obter um consentimento específico. Portanto estude bem a finalidade (não pode ser 
genérica nem muito abrangente) para não ter muitos retrabalhos depois.
O art. 8º também faz importantes observações sobre o conteúdo e forma do termo de 
consentimento, conforme segue:
Termo de consentimento de dados para redes sociais.
Fonte: Freepik (2022).
Enap Fundação Escola Nacional de Administração Pública 83
Da leitura do art. 8º depreende-se que o termo de consentimento poderá ser oferecido 
por escrito ou através de um sistema, opção muito comum quando o titular está 
preenchendo um formulário em um sistema web com dados pessoais. A ressalva é que o 
ônus da prova sobre a correta observação do termo de consentimento é do controlador. 
Outro ponto bastante discutido são os termos de consentimento genéricos com 
linguagens rebuscadas e abrangentes, o que a lei chamou de vício de consentimento. 
Isso implica dizer que essa ação precisa ser a mais clara possível para o titular. 
Mesmo assim o titular terá o direito de revogá-la a qualquer tempo.
O termo de consentimento não precisa ser um livro, um tratado jurídico ou um 
manual, porém precisa ter clareza de objetivos (finalidade). O titular (qualquer que 
seja) precisa ler e conseguir entender o que será feito com os dados que estão sendo 
depositados para o tratamento.
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido 
por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de 
cláusula destacada das demais cláusulas contratuais.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em 
conformidade com o disposto nesta Lei.
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as 
autorizações genéricas para o tratamento de dados pessoais serão nulas.
§ 5º O consentimento pode ser revogado a qualquer momento mediante 
manifestação expressa do titular, por procedimento gratuito e facilitado, 
ratificados os tratamentos realizados sob amparo do consentimento 
anteriormente manifestado enquanto não houver requerimento de eliminação, 
nos termos do inciso VI do caput do art. 18 desta Lei.
§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 
9º desta Lei, o controlador deverá informar ao titular, com destaque de forma 
específica do teor das alterações, podendo o titular, nos casos em que o seu 
consentimento é exigido, revogá-lo caso discorde da alteração. (BRASIL, 2018).
84Enap Fundação Escola Nacional de Administração Pública
Termo de consentimento claro e objetivo?
Fonte: Freepik (2022). 
O art. 9º traz mais detalhes sobre o termo, tais como forma e duração do tratamento, 
identificação do controlador, qual o contato com o controlador (ou encarregado) 
caso o titular queira efetuar a revogação e quais são os caminhos para esta ação. 
É necessário ainda informar se os dados serão compartilhados e as respectivas 
responsabilidades de quem realiza o tratamento. 
Os arts. 17 e 18 tratam dos direitos do titular, de acesso aos dados, anonimização, 
bloqueio ou eliminação de dados desnecessários (ocorre muito com números de 
telefone, os titulares sempre pedem para remover esse dado) e dados excessivos ou 
tratados em desconformidade. 
O art. 18, especialmente os §§ 1º ao 4º tratam da implicação de o controlador não 
conseguir fornecer as informações sobre o tratamento de dados, o que pode se dar 
em dois contextos diferentes. O primeiro é quando não é o agente de tratamento de 
dados (operador), caso em que deve, por obrigação da lei, indicar quem é o agente 
de tratamento. No segundo, quando for o agente de tratamento de dados, deverá 
explicar quais razões o impedem de tomar alguma providência imediata solicitada 
pelo titular, relacionada ao tratamento. 
Imagine que o titular solicite a imediata retirada de todos os 
seus dados da base dados, é possível que esse procedimento não 
possa ser realizado apenas com uma simples busca nas tabelas 
dos bancos de dados seguida de um comando de exclusão. A 
recomendação é que além de excluir, todo um mecanismo de 
registro e controle sobre esse ato de exclusão seja registrado, 
uma vez que o ônus da prova fica a cargo do controlador. 
Enap Fundação Escola Nacional de Administração Pública 85
Da leitura e entendimento do termo de consentimento, foi possível perceber que ele 
pode gerar muitos problemas para o correto tratamento de dados, uma vez que o 
titular dos dados poderá fazer requisições (por exemplo, vários usuários solicitando 
a exclusão dos dados a todo tempo), o que travaria ou demandaria um quantitativo 
muito grande de servidores para atender essas demandas. Por essa razão que a 
ANPD permitiu que a Administração Pública utilizasse outras bases legais e assim 
exercer de forma contrabalanceada o interesse da administração sobre a população, 
sempre de forma legítima.
Agora, assista a videoaula a seguir, na qual você irá compreender um pouco mais 
sobre o tratamento de dados na Administração Pública e a relação com as outras 
bases legais da LGPD, além do termo de consentimento!
Videoaula: Bases Legais de Implementação da LGPD
2.2 Exemplo de Termo de Consentimento.
Como o termo de consentimento é um elemento obrigatório, algumas questões 
precisam ser levantadas para que ele possa ser construído. Os pilares básicos do 
termo de consentimento são:
Comece identificando claramente o titular. De preferência ele deverá inserir alguns 
dados básicos, tais como nome, endereço, data de nascimento, RG e outros que 
forem necessários. Em seguida, transcreva os dados do controlador e se os dados 
forem compartilhados também transcreva os dados do operador, ou explicite que os 
dados serão enviados a um operador. Na sequência, coloque a finalidade de forma 
clara, objetiva e específica. Outras informações, tais como tempo de tratamento e 
armazenamento dos dados, medidas de segurança e os contatos dos responsáveis 
também devem constar. 
• o titular; 
• o controlador; 
• o operador; e
• a finalidade.
https://
https://cdn.evg.gov.br/cursos/529_EVG/video/modulo03_video05/index.html
86Enap Fundação Escola Nacional de Administração Pública
Um exemplo do termo pode ser observado a seguir. Todos os exemplos são 
meramente ilustrativos, ok?
1- Termo de consentimento para tratamento de dados pessoais
[Dados da Unidade/Órgão]
[Endereço da Unidade/Órgão]
[Contatos: Telefone e E-mail]
Este documento visa registrar a livre manifestação pela qual o Titular dos dados aqui 
inseridos concorda com o tratamento, pelo controlador e o respectivo operador, 
para a finalidade específica de acordo com os termos da Lei 13.709 – Lei Geral de 
Proteção de Dados Pessoais (LGPD).
Através do presente instrumento, eu [nome completo do titular], inscrito no 
[Documento a ser coletado CPF/RG/MATRÍCULA], autorizo a Instituição [Nome da 
Instituição Controladora], inscrita no CNPJ [número], a tratar meus dados pessoais e 
dados pessoais sensíveis que foram coletados por meio deste canal de acordo com 
o artigo 5º da LGPD.
Dados Pessoais
• Nome completo
• Nomesocial 
• Número e imagem do RG
• CPF
• Matrícula
• Sexo
• Data de nascimento
• Estado civil
• Endereço completo
• Nível de Escolaridade
• Número de telefone e Whatsapp
Enap Fundação Escola Nacional de Administração Pública 87
2- Finalidade do tratamento de dados
3- Compartilhamento de dados
O controlador fica autorizado a compartilhar os dados pessoais do titular com o 
operador [transcrever o nome do operador se possuir] para o tratamento de dados 
obedecendo as mesmas finalidades descritas neste termo.
4- Gestão da Segurança dos Dados
O controlador se compromete a aplicar gestão e segurança de dados de acordo 
com o Capítulo VII, arts. 46 a 51 da LGPD, neste processo compreendem as técnicas 
de proteção contra integridade, disponibilidade, autenticidade, confidencialidade. 
Além de aplicar, quando necessário, técnicas de anonimização.
O controlador também se compromete a avisar imediatamente o Titular e a 
Autoridade Nacional de Proteção de Dados (ANPD) em caso de vazamento de dados 
ou qualquer outro incidente de segurança que possa causar dano ou expor o Titular.
• Endereço de e-mail
• Raça
• Cor
• Imagem 
• Imagem, áudio e vídeo através de CFTV
• Permitir que o controlador entre em contato com o titular para 
contatos comerciais.
• Permitir que o controlador entre em contato com o titular para 
contatos funcionais.
• Permitir que o controlador armazene a imagem e vídeo do titular por 
meio do CFTV.
• Permitir que o controlador emita relatórios para fins de pesquisa de 
mercado.
• Permitir que o controlador utilize os dados para elaboração de políticas 
públicas.
88Enap Fundação Escola Nacional de Administração Pública
5- Direitos do Titular
O titular possui o direito de obter do Controlador todas as informações sobre seus dados 
e os tratamentos aplicados mediante requisição por e-mail [ou outro canal escolhido], 
bem como dados sobre os dados que podem ser transferidos para o operador. 
O titular possui o direito de revogar esse termo, em qualquer momento, sem ônus, 
mediante solicitação expressa via e-mail ou outro canal escolhido. OBS: Evite as 
revogações por via oral, pela simples falta de registro.
O titular poderá entrar em contato para sanar dúvidas sobre a finalidade do tratamento 
e outras dúvidas referentes aos seus dados no canal [e-mail/telefone] e o tempo de 
resposta será de 15 dias [não é preciso estipular o número de dias, porém, seguindo 
a lei de processo administrativo e normas do TCU convém inserir o prazo]. 
6- Término do Tratamento de Dados
O controlador poderá manter os dados por [30 dias] [ou o prazo estipulado 
dependendo do tipo de dado, desde que não desobedeça à Lei de Acesso à 
Informação (12527/2011)] após o término do tratamento, ou, sendo pertinente, o 
controlador poderá manter os dados por prazo superior ao estipulado resguardando 
todos os direitos previstos da LGPD.
Caso o titular queira a eliminação dos dados não anonimizados [essa ressalva 
é importante, visto que, em tese, uma vez anonimizados não há mais como 
estabelecer a relação do titular com o dado] antes do prazo estipulado ele poderá 
requerer expressamente por e-mail.
[fim do documento, local e data]
O texto apresentado é um exemplo que pode ser seguido de termo de consentimento, 
porém é possível simplificar ou melhorar o seu conteúdo segundo sua conveniência. 
Lembrando que o ponto mais importante a ser observado é que a finalidade atenda 
os propósitos que foram descritos. Faça uma discussão com a sua gestão, verifique 
qual a finalidade e transcreva para o usuário dar o aceite, com isso evita-se problemas 
no processo fiscalizatório.
 Você chegou ao fim desta unidade. Caso ainda tenha dúvidas, reveja o conteúdo e 
se aprofunde nos temas propostos. Bons estudos!
Enap Fundação Escola Nacional de Administração Pública 89
AGENCIA NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS (ANPD). Guia Orientativo: 
Tratamento de Dados Pessoais pelo Poder Público. Versão 01, 2022. Disponível 
em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-
-anpd-versao-final.pdf. Acesso em: 4 out. 2022.
 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27002:2013: 
tecnologia da informação — técnicas de segurança — código de prática para con-
troles de segurança da informação. Rio de Janeiro: ABNT, 2013. Disponível em: 
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tec-
nicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-ab-
nt-nbr-iso-iec-270022013-2nbsped-9788507046134.html. Acesso em: 14 jun. 2022.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27005:2011: 
tecnologia da informação — técnicas de segurança — gestão de riscos de segurança 
da informação. Rio de Janeiro: ABNT, 2011. Disponível em: https://intranet.cade.gov.
br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489cc-
d57165e9d2ce51b64c1aaea.pdf. Acesso em: 14 jun. 2022.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 
1988. Brasília, DF: Presidência da República, 1988. Disponível em: http://www.planal-
to.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 13 jun. 2022.
BRASIL. Lei nº 12527, de 18 de novembro de 2011. Regula o acesso a informações 
previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 
da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a 
Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 
1991; e dá outras providências. Brasília, DF: Presidência da República, 2011. Dispo-
nível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. 
Acesso em: 13 jun. 2022.
BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados 
Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 
jun. 2022.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.
Referências 
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.freepik.com/
https://www.freepik.com/
90Enap Fundação Escola Nacional de Administração Pública
3.1 Quem Realiza o Tratamento de Dados no Serviço Público?
Unidade 3: Tratamento de Dados pelo Poder Público
Objetivo de aprendizagem
Ao final desta unidade você deverá ser capaz de identificar os personagens envolvidos no 
tratamento de dados pelo poderpúblico.
O tratamento de dados pelo poder público representa um capítulo especial da Lei 
Geral de Proteção de Dados (BRASIL, 2018, capítulo IV; arts. 23-32), que alcança 
toda a administração pública (União, Estados e Municípios), incluindo administração 
direta, indireta, cortes de contas, Ministério Público e serviços notariais e de registro 
(BRASIL, 2018, art. 23).
As empresas públicas e as sociedades de economia mista que atuam em regime de 
concorrência terão o mesmo tratamento dispensado às pessoas jurídicas de direito 
privado (BRASIL, 2018, art. 24), exceto quando estiverem operacionalizando políticas 
públicas e no âmbito da execução delas, caso em que o tratamento é o mesmo dado 
aos órgãos de direito público.
Ao analisar o art. 23, você perceberá que as regras aplicadas ao tratamento de 
dados anteriormente estudadas na LGPD também se aplicam ao setor público. Por 
exemplo, a indicação do controlador, do operador, do encarregado, da finalidade e do 
termo de consentimento, com a ressalva para os prazos e procedimentos que foram 
direcionados pela LGPD à legislação específica: Lei 9.507/97 (Lei do Habeas Data), Lei 
9.784/99 (Lei do Processo Administrativo) e Lei 12.527/11 (Lei de Acesso à Informação).
O tratamento tem como objetivo a finalidade pública, a busca 
do interesse público e a necessidade de executar as atribuições 
legais do serviço público, com as exigências de que realizem o 
tratamento fornecendo informações claras e atualizadas em seus 
respectivos sítios eletrônicos sobre a previsão legal, a finalidade, os 
procedimentos e as práticas utilizadas para a execução da atividade. 
Enap Fundação Escola Nacional de Administração Pública 91
Mesmo direcionando para as Leis supramencionadas, a LGPD não define claramente 
como é a aplicação, visto que não foi especificada a ordem de aplicação ou quais 
elementos específicos (prazos e procedimentos) de cada lei deverão ser aplicados. 
No caso de prazos ou procedimentos diferentes, qual aplicar? Neste caso, importa 
saber quais leis serão subsidiariamente utilizadas, pois o legislador apenas 
apresentou as opções.
Por exemplo, se o titular solicita a exclusão de dados de um sistema, qual o prazo 
para o agente público responder ao pedido? Na esfera federal costuma-se utilizar 
a Lei do Processo Administrativo para respostas de recursos, neste caso os prazos 
podem ser copiados. 
Se o caso é a correção de dados sabidamente incorretos, então a Lei do Habeas Data 
contém os prazos e procedimentos mais bem definidos. Esses são apenas alguns 
exemplos de aplicação dos dispostos no art. 23.
Uma ressalva é o que se observa no art. 4º- III, que indica que a lei não se aplica quando o 
tratamento de dados pessoais é realizado para fins exclusivos de segurança pública, 
defesa nacional, segurança nacional ou atividades de investigação e repressão de 
infrações penais. Como essas ações são executadas por órgãos públicos, convém 
notar que não será necessário trazer à baila as regras da LGPD nestes casos. 
Não se pode confundir a função típica dos órgãos que executam as regras acima 
com a função administrativa, por exemplo, da Polícia Federal ou da Marinha quando 
estiverem tratando dados referentes à segurança pública ou defesa nacional. Neste 
caso as instituições não precisam aplicar a LGPD, porém se o tratamento for para 
atender demandas do sindicato da categoria, ou do fundo de previdência, essa 
regulação deve ser obedecida normalmente.
Portanto as regras e os personagens que operam dados no ambiente público ou 
coorporativo são os mesmos, mas a LGPD foi adiante e fez uma ligação de prazos e 
procedimentos para que o agente público pudesse seguir corretamente o princípio 
constitucional da legalidade (BRASIL, 2020).
Espera-se que você conheça um pouco mais sobre a LGPD e o que 
tratam os artigos estabelecidos nesta lei. Para visualizar o art. 23 
citado agora, acesse aqui.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
92Enap Fundação Escola Nacional de Administração Pública
3.2 Regras e Responsabilidades no Tratamento de Dados pelo Poder 
Público
Os dados devem ser mantidos em formato interoperável e estruturado para uso 
compartilhado (BRASIL, 2018, art. 25), porém essa não é uma indicação exclusiva da 
LGPD. 
Essa indicação está contida nas principais recomendações da Secretaria de Governo 
Digital (SGD), conforme Decreto nº 9.745/19 (BRASIL, 2019) e o Decreto 10.332/20 
(BRASIL, 2020) que tem como função a digitalização, a transformação e a integração 
do serviço público, além do alinhamento do Tribunal de Contas da União (TCU) que 
fez constar a ideia de dados interoperáveis e estruturados para uso compartilhado 
no Plano Diretor de Tecnologia da Informação (PDTI) de 2021 a 2023 (TCU, 2021). 
Como a lei ainda não possui regulamentos para melhor detalhar os formatos, essas 
duas referências devem subsidiar o art. 25. 
O art. 26 alerta que o poder público não pode tratar dados para algo que não seja 
a finalidade específica e sua atribuição legal, respeitando os princípios de proteção 
e segurança. Sob essa ótica, além de ter que obedecer aos princípios elencados 
na própria lei em parágrafos anteriores, também precisam ser resguardados os 
princípios constitucionais explícitos e implícitos, além de ser vedada a transferência 
para entidades privadas, exceto em casos de execução descentralizada de atividade 
pública que exija essa ação, desde que obedeça ao fim específico e obedeça aos 
preceitos da Lei de Acesso à Informação.
O art. 27 aborda a necessidade de informar à autoridade nacional, e a dependência 
de consentimento do titular, para a comunicação ou o uso compartilhado de dados 
pessoais entre a pessoa jurídica de direito público para a de direito privado. 
Já o art. 29 faz importante ressalva sobre o tratamento de dados, uma vez que 
permite que a autoridade nacional solicite a qualquer momento, aos órgãos e 
entidades públicas, a realização de operações de tratamento de dados e informações 
específicas sobre sua natureza.
Neste ponto é importante dizer que além do acesso ao banco de 
dados “interoperável e estruturado” listado no art. 25, a autoridade 
pode requerer documentos, tais como a Política de Segurança da 
Informação (PSI), o plano de tratamento de dados, entre outros já 
citados, além de poder estabelecer normas complementares para 
as atividades de tratamento (BRASIL, 2018, art. 30). 
Enap Fundação Escola Nacional de Administração Pública 93
Se houver infração a pontos da lei no tratamento de dados feito por órgãos públicos, 
cabe à autoridade nacional tomar as medidas cabíveis para fazer cessar a violação, 
bem como solicitar a publicação de relatórios de impacto e a adoção de padrões de 
boas práticas. 
Você chegou ao fim desta unidade. Caso ainda tenha dúvidas, reveja o conteúdo e 
se aprofunde nos temas propostos. Siga firme nos estudos!
94Enap Fundação Escola Nacional de Administração Pública
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 
1988. Brasília, DF: Presidência da República, 1988. Disponível em: http://www.planal-
to.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 13 jun. 2022.
BRASIL. Decreto nº 9745, de 8 de abril de 2019. Aprova a Estrutura Regimental e o 
Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança do Mi-
nistério da Economia [...]. Brasília, DF: Presidência da República, 2019. Disponível em: 
http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9745.htmhttp://
www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htmhttp://www.pla-
nalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. Acesso em: 22 jun. 2022.
BRASIL. Lei nº 12527, de 18 de novembro de 2011. Regula o acesso a informações 
previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 
da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a 
Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeirode 
1991; e dá outras providências. Brasília, DF: Presidência da República, 2011. Dispo-
nível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. 
Acesso em: 13 jun. 2022.
BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados 
Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 
jun. 2022.
TRIBUNAL DE CONTAS DA UNIÃO (TCU). Plano Diretor de Tecnologia da Informa-
ção (PDTI). [versão 2021/2023]. Brasília: TCU, 2021.
Referências 
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9745.htmhttp://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htmhttp://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9745.htmhttp://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htmhttp://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9745.htmhttp://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htmhttp://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Enap Fundação Escola Nacional de Administração Pública 95
4.1 Inventário de Dados
Unidade 4: Locais e Mecanismos para Tratamento de Dados
Objetivo de aprendizagem
Ao final desta unidade você deverá ser capaz de estabelecer os mecanismos para 
consentimento e uso de dados.
Seguindo o modelo de políticas públicas que estabelece a Secretaria de Governo 
Digital (SGD), alinhado com o Decreto nº 10.046 de 2019 (BRASIL, 2019a), a gestão e 
governança de dados está intimamente ligada à gestão de ativos, de modo a promover 
a interoperabilidade das informações, melhorando a relação com a sociedade e 
tornando mais claros os mecanismos de intercâmbio de informações. Tudo isso 
deve estar alinhado à Lei de Acesso à Informação (LAI) e à LGPD, principalmente em 
relação à garantia de disponibilidade dos dados. 
 
Mas, o que é garantir a disponibilidade? Significa ter uma rota sólida de acesso aos 
dados e sistemas que permitam a recuperação total em caso de falhas, perdas, 
vazamento de dados, ataques de cibercriminosos, ransomware etc. 
Disponibilidade de dados.
Fonte: Freepik (2022). 
1- Os dados são corretamente organizados. 
Se um titular precisar de algum dado ele 
poderá ser rapidamente recuperado, além 
de ter a garantia de disponibilidade.
2- Os principais cuidados são sempre com 
relação ao vazamento, portanto, seguindo 
preceitos da ISO 27002, certifique-se de 
nomear os responsáveis pelo processo.
3- Além disso, estabeleça quais são as sanções 
em caso de não atendimento às regras.
96Enap Fundação Escola Nacional de Administração Pública
Para que a disponibilidade não fique apenas no projeto, recomenda-se a criação de 
um inventário de dados, documentando as principais informações sobre o processo 
de backup, transferência e processamento dos dados. 
Para criar uma ideia real, mas não muito ampliada, do que deve ser realizado, 
buscando focar apenas na implementação da LGPD. O inventário pode ser feito 
sobre os dados que o controlador recebe do titular e possui a obrigação de tratar 
(aqui no sentido amplo, tratar, proteger, armazenar, descartar). Vale reforçar que a 
recomendação da SGD é a governança de todos os dados (entenda-se no sentido de 
qualquer ativo que contenha dados, podendo ser um arquivo de banco de dados ou 
um currículo em papel).
 
Para fins de implementação da LGPD, o inventário de dados possui importante papel 
para a organização do processo de consentimento e uso dos dados, uma vez que a 
lei preceitua que o titular poderá solicitar a revogação de uso, exclusão ou devolução 
dos dados que estão sendo tratados. Então, nada melhor do que a governança de 
dados para deixar os processos mais rápidos e organizados. 
 
Outra importante informação é que o inventário alimenta os pedidos da ANPD 
quando, durante a fiscalização, busca conhecer o processo de gestão e governança 
de dados. Normalmente será solicitado ao controlador que informe quais são os 
elementos utilizados para garantir as propostas do Capítulo VII – Da Segurança e das 
Boas Práticas (BRASIL, 2018), artigos 46 ao 51 da LGPD. 
Por isso o inventário é um elemento que contribui muito para a documentação e 
boa implementação da LGPD. 
Inventário de dados.
Fonte: Freepik (2022). Elaboração: CEPED/UFSC (2022). 
Enap Fundação Escola Nacional de Administração Pública 97
Algumas informações sobre o Inventário de Dados: 
• Os dados são corretamente organizados. Se um titular precisar de 
algum dado ele poderá ser rapidamente recuperado, além de ter a 
garantia de disponibilidade. 
• Os principais cuidados são sempre com relação ao vazamento, 
portanto, seguindo preceitos da ISO 27002, certifique-se de nomear 
os responsáveis pelo processo. 
• Além disso, estabeleça quais são as sanções em caso de não 
atendimento às regras. 
De maneira global, o correto é que tudo isso esteja na política de segurança, porém 
caso não exista essa política no seu local de trabalho ou seja muito complicado 
mudar a PSI antes de implementar a LGPD, estabeleça esse processo de forma 
micro, para atender as demandas de implementação. 
Outra questão importante a ser observada é o prazo de salvaguarda ou de posse 
dos dados do titular. A lei não estabelece um prazo mínimo ou máximo, porém 
convém que o controlador deixe claro para o titular qual será o prazo de tratamento 
até o descarte. Esse ponto é importante, visto que se não existir um prazo para o 
descarte o controlador pode gastar muitos recursos armazenando dados que não 
são mais necessários, exceto para obedecer aos prazos do direito civil, da Lei de 
Acesso à Informação e outras. Para evitar isso, tenha uma política muito ajustada 
para o descarte dos dados e uma ainda melhor para informar isso ao titular. 
4.2 Local de Armazenamento de Dados 
Talvez as perguntas que você esteja fazendo neste momento são:
1 Por onde começar o inventário de dados? Comece seguindo a trilha dos 
dados, por onde os dados entram, ou como eles chegam até o controlador.
2 Os dados são transferidos para um operador? Seja no operador ou no 
controlador procure saber onde eles são armazenados para o tratamento, se é 
em um ambiente local, se é em um ambiente de cloud.
98Enap Fundação Escola Nacional de Administração Pública
Um erro que é muito comum na estrutura de segurança de dados é a sincronização 
dos sistemas que recebem dados em tempo real com o serviço de armazenamento 
de dados em nuvem. Neste caso um ataque ao sistema real também atinge o sistema 
de armazenamento e, às vezes, o backup dos dados. 
Convém, segundo a ISO 27001, realizar a salvaguarda dos dados em discos que 
sejam específicos para este fim, ou serviços de nuvem que não estejam conectados 
com o sistema em uso, como por exemplo uma conta do Google Drive, do Microsoft 
OneDrive, entre outros. 
Portanto defina um local seguro para o armazenamento dos dados que serão 
tratados e outro local para o backup de todos os dados tratados que precisam ser 
copiados e armazenados seguramente.
4.3 Análise e Avaliação de Riscos sobre Armazenamento de Dados
A ISO 27005 oferece uma estrutura esquematizada para o entendimento macro 
sobre análise e avaliação de riscos, oferecendo conceitos sobre planos de tratamento, 
classificação dos riscos e os limiares aceitáveis sobre os riscos residuais.
Neste ponto espera-se que todos esses aspectos macro já tenham sido 
implementados, mudando agora para uma visão da estrutura micro. Para isso os 
dados específicos detratamento referidos pela LGPD devem ser analisados e os 
principais riscos colocados em pauta para análise. Acompanhe os exemplos:
• Quanto tempo é o processo de recuperação de um ativo em caso de 
extravio ou perda. 
• Quem será o porta voz, o encarregado (DPO em uma hipótese ideal) 
para responder sobre incidentes, tratamentos, backup e respostas ao 
titular?
• De quanto em quanto tempo será feito um novo processo de análise 
e avaliação de riscos, especificamente sobre todo o processo do 
armazenamento até o descarte dos dados?
Levante o maior número de perguntas possíveis para discutir com a equipe. Analise 
cuidadosamente os processos de armazenamento, acesso, tratamento e descarte 
dos dados. 
Enap Fundação Escola Nacional de Administração Pública 99
A experiência ensinou que todo cuidado pode ainda não ser suficiente para garantir 
a segurança razoável ao processo. O maior problema relatado até então, além da 
perda de dados, é o vazamento, tanto um quanto outro podem ser evitados com os 
processos estruturados pela ISO 27005. 
O vazamento possui um efeito devastador que recai sobre a imagem da instituição. 
Além do prejuízo financeiro, a instituição demonstrará para a sociedade o despreparo 
frente a tudo que o governo vem tentando implementar sobre gestão e governança 
de dados com a Secretaria de Governo Digital.
Vazamento de dados é devastador.
Fonte: Freepik (2022).
Portanto, auditar, revisar e alinhar os processos para armazenamento de dados são 
passos importantes para evitar problemas como vazamento, perda, extravio, entre 
outros, comuns quando esses processos são ignorados.
100Enap Fundação Escola Nacional de Administração Pública
Agora, assista na videoaula a seguir uma breve explicação do professor Bruno 
Guilhen sobre o processo de implementação da LGPD.
Que bom que você chegou até aqui! Agora é a hora de você testar seus conhecimentos. 
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos! 
Videoaula: Processo de Implementação da LGPD
https://
https://cdn.evg.gov.br/cursos/529_EVG/video/modulo03_video06/index.html
Enap Fundação Escola Nacional de Administração Pública 101
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27002:2013: 
tecnologia da informação — técnicas de segurança — código de prática para con-
troles de segurança da informação. Rio de Janeiro: ABNT, 2013. Disponível em: 
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tec-
nicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-ab-
nt-nbr-iso-iec-270022013-2nbsped-9788507046134.html. Acesso em: 14 jun. 2022.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27005:2011: 
tecnologia da informação — técnicas de segurança — gestão de riscos de segurança 
da informação. Rio de Janeiro: ABNT, 2011. Disponível em: https://intranet.cade.gov.
br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489cc-
d57165e9d2ce51b64c1aaea.pdf. Acesso em: 14 jun. 2022. 
 
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 
1988. Brasília, DF: Presidência da República, 1988. Disponível em: http://www.planal-
to.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 13 jun. 2022.
BRASIL. Decreto nº 9745, de 8 de abril de 2019. Aprova a Estrutura Regimental e o Qua-
dro Demonstrativo dos Cargos em Comissão e das Funções de Confiança do Ministério 
da Economia [...]. Brasília, DF: Presidência da República, 2019b. Disponível em: https://
www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9745.htm. Acesso em: 22 
jun. 2022.
BRASIL. Decreto nº 10046, de 9 de outubro de 2019. Dispõe sobre a governança no 
compartilhamento de dados no âmbito da administração pública federal e institui 
o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados. Brasília, 
DF: Presidência da República, 2019a. Disponível em: http://www.planalto.gov.br/cci-
vil_03/_ato2011-2014/2011/lei/l12527.htm. Acesso em: 22 jun. 2022.
BRASIL. Lei nº 12527, de 18 de novembro de 2011. Regula o acesso a informações 
previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 
da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a 
Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 
1991; e dá outras providências. Brasília, DF: Presidência da República, 2011. Dispo-
nível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. 
Acesso em: 13 jun. 2022.
BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados 
Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://
Referências 
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9745.htm
https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9745.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
102Enap Fundação Escola Nacional de Administração Pública
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 
jun. 2022.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.
TRIBUNAL DE CONTAS DA UNIÃO (TCU). Plano Diretor de Tecnologia da Informa-
ção (PDTI). [versão 2021/2023]. Brasília: TCU, 2021.
Referências 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.freepik.com/
https://www.freepik.com/
Enap Fundação Escola Nacional de Administração Pública 103
 Módulo
Infrações e Penalidades4
Esta etapa do estudo apresentará as infrações e penalidades presentes na LGPD; 
quais são as penalidades e que tipo de sanções decorrem delas. Além disso abordará 
importante informação sobre quais são os documentos que devem estar presentes 
para fins de auditoria e fiscalização. Vamos seguir?
1.1 Quais são as Infrações e Penalidades da LGPD
Unidade 1: Infrações e Penalidades da LGPD
Objetivo de aprendizagem
Ao final desta unidade você deverá ser capaz de reconhecer quais são as infrações e 
penalidades da LGPD, bem como os documentos necessários para defesa prévia de uma 
notificação da ANPD (Autoridade Nacional de Proteção de Dados) ou infração. 
O capítulo que trata sobre infrações e penalidades da LGPD é o cap. VIII, constituído 
pelos artigos 52, 53 e 54 (BRASIL, 2018). O primeiro ponto importante a ser notado 
por você no texto da lei é o fato de ser responsabilidade da ANPD a fiscalização 
e consequente aplicação da sanção administrativa aos agentes de tratamento de 
dados. Neste ponto do curso espera-se que você não tenha mais dúvidas sobre 
quem é o agente de tratamentode dados. Embora o artigo 5 não traga uma definição 
formal, tem-se que nos artigos 1, 2 e 3 a lei é clara ao atribuir esse papel a “toda 
pessoa natural ou jurídica de direito público ou privado”. 
104Enap Fundação Escola Nacional de Administração Pública
Assim, nota-se que o papel da ANPD é fiscalizar toda a estrutura 
da LGPD e sua correta aplicação, principalmente ações como: 
finalidade do tratamento de dados, armazenamento, tipo de 
tratamento, a segurança e as políticas aplicadas aos dados. 
O objetivo é garantir que exista um cuidado com os dados de 
maneira geral. 
Caso esse cuidado não esteja sendo aplicado corretamente, a lei estabelece algumas 
sanções que estão elencadas no artigo 52 nos seguintes incisos: 
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às 
normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas 
aplicáveis pela autoridade nacional: 
I - advertência, com indicação de prazo para adoção de medidas corretivas; 
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica 
de direito privado, grupo ou conglomerado no Brasil no seu último exercício, 
excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões 
de reais) por infração; 
III - multa diária, observado o limite total a que se refere o inciso II; 
IV - publicização da infração após devidamente apurada e confirmada a sua 
ocorrência; 
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; 
VI - eliminação dos dados pessoais a que se refere a infração; 
X - suspensão parcial do funcionamento do banco de dados a que se refere a 
infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, 
até a regularização da atividade de tratamento pelo controlador; (Incluído pela 
Lei nº 13.853, de 2019); 
Enap Fundação Escola Nacional de Administração Pública 105
As sanções começam com advertência e um prazo para que os problemas 
encontrados pela fiscalização da ANPD sejam corrigidos.
Uma situação bastante comum atualmente são os documentos que possuem 
finalidades de tratamento de dados genéricas e muito abrangentes, dando 
margem para o titular realizar ações que vão além da proposta inicial. Um termo 
de consentimento que permite a um órgão público “enviar os dados para quaisquer 
outras entidades” certamente será alvo de questionamento. O primeiro ponto é que 
não se pode definir quais entidades são essas, por exemplo o sindicato, a operadora 
de plano de saúde e os bancos (ninguém merece receber milhares de ligações 
oferecendo serviços que você não deseja).
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que 
se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual 
período; (Incluído pela Lei nº 13.853, de 2019); 
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento 
de dados. (Incluído pela Lei nº 13.853, de 2019). (BRASIL, 2018).
Ligações indesejadas.
Fonte: Freepik (2022). 
106Enap Fundação Escola Nacional de Administração Pública
Outro ponto é que a lei é clara em não aceitar finalidade genérica e tratamento que 
fuja da proposta da entidade. Neste caso a ANPD notifica a entidade, o que pode ser 
feito através do DPO (encarregado) ou do responsável legal, e emite um prazo para 
correção dos problemas. 
A multa sem dúvidas é a sanção mais temida, podendo chegar à cifra de R$ 50 milhões 
por infração. A multa também pode ser diária, um exemplo comum ocorrendo 
em demandas judiciais quando o magistrado arbitra uma multa diária em caso 
de descumprimento de determinada ação ou o uso indevido de algum elemento. 
Por exemplo, a ANPD pode exigir que dados de um titular sejam removidos de um 
banco de dados e estabelecer um prazo para que isso ocorra. Caso o prazo não seja 
cumprido uma multa diária será estabelecida por dia de ultrapassagem do prazo. 
As sanções mostradas nos incisos do artigo 52 podem ser impostas de forma 
combinada, portanto é possível que seja aplicada advertência e multa ou advertência 
e suspensão, por exemplo. O parágrafo 1º do art. 52 mostra que as sanções só 
poderão ser aplicadas após procedimento administrativo que possibilite ampla 
defesa e também serão consideradas a gravidade e a natureza da infração, a boa-fé 
do infrator, a vantagem auferida ou proferida, a condição econômica, a reincidência 
e o grau do dano. 
Por outro lado, as sanções poderão ser atenuadas a depender da política de segurança 
e de boas práticas; da adoção de medidas corretivas e protetivas; e outras medidas 
que a entidade conseguir provar que adota para proteger os dados. Por essa razão 
foi mostrada aqui a importância de estruturar medidas de segurança através da PSI, 
uma boa política de segurança e todas as técnicas de proteção envolvidas. Além de 
amenizar problemas de segurança, isso também ajuda a diminuir a gravidade das 
sanções que podem ser aplicadas pela ANPD na fiscalização da LGPD.
1.2 Documentos que Devem Existir na Empresa para Atestar as Boas 
Práticas da LGPD
Os documentos listados pela LGPD são os termos de consentimento e o documento 
que ateste a finalidade do tratamento de dados. Porém esses não são os únicos 
documentos que realmente fazem a diferença.
 Ao observar o artigo 52 note que é possível concluir que a adoção de boas práticas 
de segurança e gestão dos dados são elementos que atenuam sanções. É por isso 
que se uma empresa implementa tudo isso, mas não tem documentação para 
comprovar, de pouco adianta.
Enap Fundação Escola Nacional de Administração Pública 107
Uma lista exemplificativa de documentos que o controlador e operador precisam 
portar será composta por: 
1.3 Resposta a Incidentes
Um incidente de segurança representa um evento adverso que realmente ocorreu, 
ou que suspeita-se ter acontecido, relacionado à segurança da informação. No 
estudo da LGPD um incidente de segurança pode representar acesso indevido a 
um sistema (perda de confidencialidade) até chegar ao vazamento e exposição de 
dados, o que pode significar um verdadeiro caos. 
Portanto, implemente todas as técnicas possíveis de gestão 
e segurança de dados e lembre-se de deixar tudo muito bem 
documentado. Não perca de vista a importância do documento 
da PSI e a necessidade de documentar corretamente todos os 
processos da LGPD. Uma fiscalização da ANPD ou uma resposta 
ao Ministério Público sempre exigirá a entrega de documentos 
que comprovem as ações de gestão e governança.
Lista de documentos.
Elaboração: CEPED/UFSC (2022).
108Enap Fundação Escola Nacional de Administração Pública
Não custa lembrar que segurança possui uma relação estreita com confiança. 
Uma vez que essa relação sofre problemas demora muito para que a confiança se 
reestabeleça. Portanto a imagem da controladora pode ser bastante comprometida 
com um incidente.
A LGPD, no artigo 48, § 1º (BRASIL, 2018), diz que o controlador deve comunicar à 
ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou 
dano relevante aos titulares. Neste caso não são todos os incidentes que precisam ser 
comunicados, somente os que possam acarretar esses riscos ou danos relevantes. 
O maior problema é entender qual o limiar entre danos relevantes ou não relevantes, 
uma vez que os riscos podem ser estabelecidos utilizando a análise e avaliação da 
ISO 27005. Neste caso os riscos e seus limiares já devem estar bem estabelecidos e 
documentados (de agora em diante nada de criar uma regra sem documentar, ok?!). 
O próximo passo será estabelecer o documento contendo a descrição de quais 
seriam os danos e, dentre eles, quais são os relevantes. Quer ver um exemplo? 
Um vazamento de dados com apenas nomes e e-mails de diversos servidores 
públicos é um incidente de segurança. Embora se trate de diversos dados pessoais, 
talvez não seja considerado um dano relevante, visto que possivelmente, segundo a 
Lei de Acesso à Informação, esses dados são públicos. 
De toda forma,recomenda-se que um vazamento de dados, mesmo que na sua 
classificação não seja considerado um dano relevante, seja informado para a ANPD. 
A comunicação deve ser feita segundo os preceitos do art. 48, § 1º, incisos de I até 
VI (BRASIL, 2018). Essa comunicação deve conter, principalmente, a descrição da 
natureza dos dados pessoais afetados (neste momento é que a ANPD fará o juízo 
de valor para entender a relevância ou não dos dados vazados), quais os titulares 
afetados e quais as medidas de segurança que serão tomadas. Por exemplo.
• Vazamento de banco de dados contendo nome e e-mails dos 
servidores do departamento administrativo da ENAP (natureza e 
titulares afetados).
• As medidas de segurança adotadas diante desse fato serão: a 
notificação e orientação dos servidores envolvidos para medidas de 
atenção, prevenção e troca de senhas. Análise da rede e dos servidores 
afetados pelo incidente para avaliar a integridade. Análise da PSI para 
a devida avaliação do incidente e das medidas de segurança. Forma 
de recuperação dos dados, se necessário.
Enap Fundação Escola Nacional de Administração Pública 109
Se o incidente envolver danos relevantes, como por exemplo o vazamento de dados 
sensíveis ou um CPF relacionado com um nome, nesse caso mais medidas precisam 
ser tomadas conforme § 2º e 3º do art. 48. Um exemplo seria a ampla divulgação do 
evento. 
Assim, a maior recomendação que se pode fazer é que você tenha uma boa equipe 
para responder aos incidentes caso eles aconteçam, primeiramente pelo tamanho 
do problema que isso pode causar aos titulares, e também por conta do processo 
de fiscalização da ANPD que poderá aplicar sanções mais duras dependendo de 
como for o tratamento dado pelos titulares ao processo. 
Que bom que você chegou até aqui! Agora é a hora de você testar seus conhecimentos. 
Para isso, acesse o exercício avaliativo disponível no ambiente virtual.
110Enap Fundação Escola Nacional de Administração Pública
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27002:2013: 
tecnologia da informação — técnicas de segurança — código de prática para con-
troles de segurança da informação. Rio de Janeiro: ABNT, 2013. Disponível em: 
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tec-
nicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-ab-
nt-nbr-iso-iec-270022013-2nbsped-9788507046134.html. Acesso em: 14 jun. 2022.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 27005:2011: 
tecnologia da informação — técnicas de segurança — gestão de riscos de segurança 
da informação. Rio de Janeiro: ABNT, 2011. Disponível em: https://intranet.cade.gov.
br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489cc-
d57165e9d2ce51b64c1aaea.pdf. Acesso em: 14 jun. 2022.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 
1988. Brasília, DF: Presidência da República, 1988. Disponível em: http://www.planal-
to.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 13 jun. 2022.
BRASIL. Decreto nº 9745, de 8 de abril de 2019. Aprova a Estrutura Regimental e o Qua-
dro Demonstrativo dos Cargos em Comissão e das Funções de Confiança do Ministério 
da Economia [...]. Brasília, DF: Presidência da República, 2019b. Disponível em: http://
www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9745.htm. Acesso em: 22 
jun. 2022 
BRASIL. Lei nº 12527, de 18 de novembro de 2011. Regula o acesso a informações 
previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 
da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a 
Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 
1991; e dá outras providências. Brasília, DF: Presidência da República, 2011. Dispo-
nível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. 
Acesso em: 13 jun. 2022.
BRASIL. Lei nº 13709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais 
(LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.planalto.
gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 jun. 2022.
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: ht-
tps://www.freepik.com/. Acesso em: 21 mar. 2022.
TRIBUNAL DE CONTAS DA UNIÃO (TCU). Plano Diretor de Tecnologia da Informa-
ção (PDTI). [versão 2021/2023]. Brasília: TCU, 2021.
Referências 
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://dokumen.pub/abnt-nbr-iso-iec-270022013-tecnologia-da-informaao-tecnicas-de-segurana-codigo-de-pratica-para-controles-de-segurana-da-informaao-abnt-nbr-iso-iec-270022013-2nbsped-9788507046134.html
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
https://intranet.cade.gov.br/folder/files/arquivo/2018/07/36d5971bffbd671093ce8accf56a2895_43f5489ccd57165e9d2ce51b64c1aaea.pdf
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9745.htm
http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9745.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.freepik.com/
https://www.freepik.com/
	Unidade 1: A Relação entre Proteção de Dados e Segurança da Informação
	1.1 Conceitos de Dado, Informação e Conhecimento
	1.2 Princípios Básicos da Segurança da Informação (PBSI) 
	1.3 Aplicação e Técnicas de Segurança
	Referências 
	Unidade 1: Infrações e Penalidades da LGPD
	1.1 Quais são as Infrações e Penalidades da LGPD
	1.3 Resposta a Incidentes
	Práticas da LGPD
	1.2 Documentos que Devem Existir na Empresa para Atestar as Boas 
	Referências 
	Unidade 4: Locais e Mecanismos para Tratamento de Dados
	4.1 Inventário de Dados
	4.2 Local de Armazenamento de Dados 
	4.3 Análise e Avaliação de Riscos sobre Armazenamento de Dados
	Referências 
	Unidade 3: Tratamento de Dados pelo Poder Público
	3.1 Quem Realiza o Tratamento de Dados no Serviço Público?
	3.2 Regras e Responsabilidades no
Tratamento de Dados pelo Poder Público
	Referências 
	Unidade 2: Base Legal para o Tratamento de Dados
	2.1 Quais as Bases Legais para o Tratamento de Dados?
	2.2 Exemplo de Termo de Consentimento.
	Referências 
	Unidade 1: Os Processos para a Implementação da LGPD
	1.1 Processos para Implementação da LGPD
	1.2 A Trilha de Conformidade para Tratamento Adequado de Dados.
	1.3 O Término do Tratamento de Dados
	Referências 
	Unidade 2: Elementos para Implementar a Política de Segurança da Informação (PSI)
	2.1 Análise e Avaliação de Riscos
	2.2 Estrutura e Conteúdo da PSI
	2.3 A Transformação Digital e a PSI
	Referências 
	Unidade 1: Princípios e Definições para Tratamento de Dados
	1.1 O Tratamento de Dados e seus Personagens
	1.4 Segurança, Prevenção, Não Discriminação e Responsabilização
	1.3 Acesso, Qualidade e Transparência
	1.2 Finalidade, Adequação e Necessidade
	Referências 
	Unidade 2: Como a LGPD Disciplina o Conceito de Proteção de Dados?
	2.1 Afinal, a LGPD Trata de Dado ou Informação?
	2.2 Os Diversos Tipos de Dados Segundo a LGPD: Pessoal, Sensível e Anonimizado
	2.3 Outras Definições da LGPD
	Referências