MATERIAL ATUALIZADO

Prévia do material em texto

<p>1.INTRODUÇÃO À LEI</p><p>BRASILEIRA DE PROTEÇÃO DE</p><p>DADOS PESSOAIS</p><p>A nova legislação brasileira de proteção de dados pessoais (Lei</p><p>13.709/18), compreendendo os temas mais importantes para a sua</p><p>implementação, como: fundamentos e campo de aplicação, princípios e direitos</p><p>do titular, responsabilidades dos agentes, aspectos internacionais, segurança e</p><p>a Autoridade Nacional de Proteção de Dados, entre outros. O objetivo desse</p><p>treinamento é capacitar as pessoas para de um modo geral entenderem, de</p><p>forma rápida e acessível, o funcionamento e diretrizes básicas expostas na nova</p><p>lei geral de proteção de dados do Brasil.</p><p>Porém, antes de entrarmos no estudo do tema, veremos uma visão de</p><p>três conceitos inerentes ao assunto, entendendo um pouco sobre segurança da</p><p>informação, segurança Cibernética e Privacidade de dados</p><p>2. SEGURANÇA DA INFORMAÇÃO1</p><p>No contexto corporativo, podemos definir o que é segurança da</p><p>informação como um conjunto de ações e estratégias que buscam proteger os</p><p>dados produzidos e armazenados em uma empresa.</p><p>Para isso, são implementadas boas práticas e políticas, chamadas de</p><p>compliance, visando controlar os riscos e evitar qualquer tipo de ameaça à</p><p>1 Disponível em: https://www.siteware.com.br/blog/seguranca/seguranca-da-informacao/</p><p>integridade, à confidencialidade, à disponibilidade e à autenticidade desses</p><p>dados.</p><p>Ou seja, a segurança da informação tem como objetivo blindar os dados</p><p>de uma empresa contra acessos não autorizados, alterações indesejadas,</p><p>vazamentos, invasões aos sistemas e perdas de dados e informações sensíveis</p><p>e valiosas.</p><p>Três componentes definem a segurança da Informação e seus</p><p>controles:</p><p>2.1 CONFIDENCIALIDADE</p><p>O primeiro pilar da segurança da informação se refere à confidencialidade</p><p>dos dados. As medidas implementadas devem ser capazes de assegurar que as</p><p>informações sejam acessadas apenas por pessoas autorizadas.</p><p>Geralmente, costuma-se definir níveis e controle de acesso,</p><p>estabelecendo uma hierarquia para os dados; quanto mais sensíveis, menos</p><p>pessoas poderão acessá-los.</p><p>2.2 INTEGRIDADE</p><p>A integridade trata da preservação dos dados. O objetivo é evitar que eles</p><p>sejam alterados, danificados ou corrompidos, gerando prejuízos para a empresa.</p><p>Geralmente, a integridade dos dados é preservada por meio de backups</p><p>automáticos, controle nas alterações feitas em um documento, manutenção</p><p>periódicas de hardwares de armazenamento entre outras ações.</p><p>2.3 DISPONIBILIDADE</p><p>Além do sigilo e da integridade dos dados, eles também devem estar</p><p>disponíveis para serem acessados quando necessário.</p><p>Isso significa que a segurança da informação também deve garantir que</p><p>usuários autorizados possam acessar esses ativos sempre que quiserem, a</p><p>qualquer hora e dia.</p><p>Isso evita que os processos organizacionais precisem ser interrompidos,</p><p>gerando atrasos na operação.</p><p>Fonte:Ibsec</p><p>2.4 Linha do tempo de eventos</p><p>Fonte: Ibsec</p><p>3. SEGURANÇA CIBERNÉTICA</p><p>A cibersegurança, também chamada de segurança de computadores ou</p><p>segurança da tecnologia da informação, abrange técnicas e ações que tem como</p><p>objetivo proteger sistemas, programas, equipamentos, redes e pessoas de</p><p>ataques cibernéticos, crimes virtuais e terrorismo cibernético.</p><p>É comum que as práticas de cibersegurança estejam divididas em três</p><p>grupos (embora existam outros): o blue team, red team e também em</p><p>desenvolvimento seguro. Blue team e red team são times focados em achar</p><p>brechas de segurança ou vulnerabilidades e que sugerem formas de proteger os</p><p>sistemas, redes e dados. Já desenvolvimento seguro, de forma resumida, é</p><p>aplicação de práticas de segurança no desenvolvimento de software.</p><p>3.1 O que é Cibercrime?</p><p>Atividades Maliciosas com o uso de tecnologias, Principal meio é a</p><p>Internet, Financiamento de atividades ilícitas, Impactos negativos em atividades</p><p>civis e empresariais (Comércio, Saúde, Pesquisa e etc.) Impedimentos na</p><p>prestação de serviços, Interrupção de atividades de pesquisa e Promoção de</p><p>grupos Terroristas ou Ativistas</p><p>4. PRIVACIDADE DE DADOS</p><p>A privacidade de dados geralmente significa a capacidade das</p><p>pessoas determinarem por si mesmas quando, como e até que ponto as</p><p>informações pessoais sobre elas são compartilhadas ou comunicadas a outras</p><p>pessoas. Essas informações pessoais podem ser nome, localização,</p><p>informações de contato ou comportamento on-line ou no mundo real. Assim</p><p>como alguém pode desejar excluir pessoas de uma conversa particular, muitos</p><p>usuários on-line querem controlar ou evitar certos tipos de coleta de dados</p><p>pessoais.</p><p>À medida que o uso da Internet aumentou ao longo dos anos, também</p><p>aumentou a importância da privacidade de dados. Sites, aplicativos e</p><p>plataformas de redes sociais geralmente precisam coletar e armazenar dados</p><p>pessoais sobre usuários para fornecer serviços. No entanto, alguns aplicativos e</p><p>plataformas podem exceder as expectativas dos usuários quanto à coleta e uso</p><p>de dados, deixando os usuários com menos privacidade do que imaginavam.</p><p>Outros aplicativos e plataformas podem não colocar proteções adequadas em</p><p>torno dos dados que coletam, o que pode resultar em violação de dados, o que</p><p>compromete a privacidade do usuário.</p><p>4.1 Vídeo de apresentação sobre dados</p><p>https://www.youtube.com/watch?v=Fl55ZPL_NMo&pp=ygUZdmlkZW8gZG8gaXRhdSBzb2Jy</p><p>ZSBkYWRvcw%3D%3D</p><p>Fonte: banco itaú</p><p>4.2 Vazamento de dados</p><p>Banco central</p><p>https://agenciabrasil.ebc.com.br/economia/noticia/2024-04/banco-central-comunica-o-</p><p>vazamento-de-dados-de-3-mil-chaves-pix</p><p>Facebook</p><p>https://tecnoblog.net/noticias/vazamento-do-facebook-expoe-533-milhoes-de-usuarios-</p><p>incluindo-brasileiros/</p><p>Como saber se seus dados foram vazados “Matéria do site olhar digital”</p><p>https://olhardigital.com.br/2024/02/14/dicas-e-tutoriais/como-saber-se-meus-dados-</p><p>foram-vazados-na-internet/</p><p>Site para consulta --- >>> https://haveibeenpwned.com/</p><p>4.3 Onde estão esses dados?</p><p>Fonte: Google</p><p>5. MAIS O QUE É DADOS?</p><p>5.1 Dados</p><p>Apesar da palavra dados ser muito utilizada para se referir a</p><p>informações, estes dois conceitos possuem diferentes significados em TI.</p><p>Então, o que são dados? Dados são registros, fatos brutos coletados que</p><p>não possuem qualquer significado, contexto ou nexo com a realidade.</p><p>Um dado pode ser uma letra, um número, uma palavra, bem como</p><p>conjuntos de números e vocábulos desorganizados, o qual não transmite</p><p>nenhuma informação ou conhecimento. Por exemplo, veja a tabela</p><p>abaixo:</p><p>https://haveibeenpwned.com/</p><p>Dados</p><p>Podemos observar os nomes de algumas cidades e alguns</p><p>números. Mas o que eles querem dizer? Há alguma relação entre elas?</p><p>Há algum significado? Qual informação podemos tirar?</p><p>Apenas visualizando estes registros da maneira que estão</p><p>dispostos, não podemos tirar nenhuma conclusão, pois eles não estão</p><p>apresentados de uma maneira que possa se definir, com certeza, a</p><p>relação entre eles. Pode ser o número de habitantes de cada cidade?</p><p>Pode. Pode ser o número de carros presente em cada cidade? Também</p><p>pode.</p><p>Então, quando os fatos são expostos sem nenhuma relação, no seu</p><p>estado bruto, desvinculados da realidade, temos os chamados dados.</p><p>5.2 Informação</p><p>Quando os dados são estruturados, organizados, processados,</p><p>contextualizados ou interpretados, há a geração de informação.</p><p>Assim, quando um ou um conjunto de dados são tratados, de modo</p><p>a transmitir uma mensagem dentro de um contexto real, temos as</p><p>informações, as quais são providas de propósito, significado e relevância,</p><p>podendo ser utilizadas pelo ser humano durante a tomada de decisão, por</p><p>meio da sua compreensão e análise. Ainda está com dúvidas? Vamos a</p><p>mais um exemplo.</p><p>Suponha-se que os dados expostos anteriormente sejam</p><p>organizados, de modo a possuírem um significado concreto, como</p><p>podemos ver abaixo</p><p>Informação</p><p>5.3 Conhecimento</p><p>O conhecimento é</p><p>ou da incolumidade (proteção /segurança) física do</p><p>titular ou de terceiro</p><p>Exemplo73: Ocorreu um acidente de trabalho em uma obra e a construtora</p><p>forneceu os dados pessoais do colaborador para os atendentes do resgaste.</p><p>Quando a transferência for necessária para a proteção da vida ou da</p><p>incolumidade física do titular ou de terceiro;</p><p>Exemplo74: colaborador estava em viagem no exterior e sofreu um acidente,</p><p>a empresa enviou dados pessoais para a seguradora no exterior.</p><p>23.2 Tutela da saúde</p><p>Para a tutela da saúde, exclusivamente, em procedimento realizado por</p><p>profissionais de saúde, serviços de saúde ou autoridade sanitária.</p><p>Para o exercício regular de direitos em processo judicial, administrativo ou</p><p>arbitral</p><p>Na transferência internacional de dados</p><p>Exemplo75: Agentes de saúde coletando dados de moradores para a</p><p>melhoria do atendimento da saúde básica de um bairro</p><p>Do Tratamento de Dados Pessoais Sensíveis</p><p>Inclusive quando se trata de dados sensíveis desde que tratado por</p><p>profissionais de saúde, serviços de saúde ou autoridade sanitária.</p><p>Exemplo76: Médica do home care acessa exames e prontuário eletrônico do</p><p>paciente</p><p>23.3 Proteção do crédito</p><p>Está dispensada do consentimento para a proteção do crédito, inclusive quanto</p><p>ao disposto na legislação pertinente.</p><p>Exemplo77: uma empresa que oferece crédito no mercado faz análise dos</p><p>dados de pessoas para criar scores de riscos.</p><p>Exemplo78: empresa que oferece empréstimo, aumenta ou</p><p>diminui as taxas de juros, conforme o score dos clientes.</p><p>Quando o processo de profiling e scoring automatizados ou não, estiver baseado</p><p>em critérios discriminatórios e nebulosos podem estar exposto a lei.</p><p>23.4 Interesses legítimos</p><p>Quando necessário para atender aos interesses legítimos do controlador ou de</p><p>terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do</p><p>titular que exijam a proteção dos dados pessoais</p><p>Na LGPD não está definido com conceito de interesse legítimo. Contudo pode-</p><p>se entender o “interesse” como um conceito amplo, sendo aquilo que o</p><p>controlador, ou terceiro, pretende auferir com o tratamento de dados; em outras</p><p>Cuidado</p><p>Discussão</p><p>palavras, é o benefício que se espera decorrer da atividade de tratamento, seja</p><p>para o controlador, para o próprio titular dos dados ou, ainda, para a sociedade</p><p>em geral.</p><p>Exemplo79: Utilizar os dados pessoais coletados para fins de criar redes de</p><p>relacionamento, por exemplo, pode entrar dentro do legítimo interesse do</p><p>controlador</p><p>Exemplo80: No caso de uma escola em tempo integral, pode ser necessário</p><p>recolher informações pessoais dos alunos sobre as respectivas intolerâncias</p><p>alimentares para fins de proteção à saúde, medida que beneficia tanto o</p><p>controlador quanto o titular dos dados. Contudo, a escola não poderia ceder</p><p>dados para terceiros, sem autorização prévia para oferecer outros serviços</p><p>relacionados a esse contexto.</p><p>Exemplo81: Dados pessoais de executivos que eventualmente sejam</p><p>divulgados para acionistas da empresa, com vistas a maior transparência.</p><p>Neste caso, o interesse legítimo tutelado pela LGPD é do acionista, terceiro</p><p>na relação entre o controlador e o titular dos dados.</p><p>O legítimo interesse do controlador somente poderá fundamentar tratamento</p><p>de dados pessoais para finalidades legítimas, consideradas a partir de</p><p>Situações concretas, que incluem, mas não se limitam a:</p><p>Apoio e promoção de atividades do controlador</p><p>Proteção, em relação ao titular, do exercício regular de seus direitos ou</p><p>prestação de serviços que o beneficiem, respeitadas as legítimas expectativas</p><p>dele e os direitos e liberdades fundamentais, nos termos da LGPD</p><p>A autoridade nacional poderá solicitar ao controlador relatório de impacto à</p><p>proteção de dados pessoais</p><p>Tratar dados pessoais estritamente necessários para a finalidade pretendida</p><p>poderão ser tratados.</p><p>Adotar medidas para garantir a transparência do tratamento de dados</p><p>baseado em seu legítimo interesse.</p><p>O controlador e o operador devem manter registro das operações de</p><p>tratamento de dados pessoais que realizarem, especialmente quando</p><p>baseado no legítimo interesse.</p><p>24. IMPORTÂNCIA DA PROTEÇÃO DE DADOS, PROTEÇÃO DE DADOS, CONFIDENCIALIDADE,</p><p>INTEGRIDADE E DISPONIBILIDADE.</p><p>24.1 Privacidade e Proteção de dados</p><p>Os agentes de tratamento devem adotar medidas de segurança, técnicas</p><p>e administrativas aptas a proteger os dados pessoais de acessos não</p><p>autorizados e de situações acidentais ou ilícitas de destruição, perda, lteração,</p><p>comunicação, etc.</p><p>A proteção de dados é uma medida ou meio de se proteger o direito à privacidade</p><p>Privacidade e proteção de dados são conceitos diferentes. Isso pode gerar</p><p>confusão e questões relacionadas a esse tema são comuns na prova da EXIN.</p><p>Uma não decorre da outra!</p><p>A privacidade abrange aspectos, como privacidade de</p><p>Localização, relacional, corporal e de informações.</p><p>A proteção de dados ajuda a garantir que esses</p><p>Aspectos sejam preservados</p><p>25 Princípios da segurança da Informação</p><p>Proteção de dados</p><p>A proteção de dados é um meio de se garantir a privacidade</p><p>Fonte:allPrivacy</p><p>25.1 Confidencialidade</p><p>Objetivo</p><p>Proteger uma informação, armazenada ou em trânsito, contra</p><p>Divulgação à uma entidade não autorizada.</p><p>Entidade pode ser ...</p><p>• Um usuário</p><p>• Um processo, software, sistema, ...</p><p>• Um computador, equipamento, ....</p><p>É implementada usando mecanismos unitários ou multifatoriais de segurança,</p><p>como nomes de usuário, senhas, listas de controle de acesso (ACLs)</p><p>tokens e criptografia.</p><p>Exemplo82: Carlos observa o conteúdo das mensagens entre Bob e Alice ou</p><p>os padrões de mensagens trocadas entre Bob e Alice</p><p>Conferem maior suporte:</p><p>• identificação;</p><p>• autenticação;</p><p>• autorização;</p><p>• controles de acesso;</p><p>• privacidade</p><p>Exemplo83: dados armazenados em USB podem ser roubados, mas a</p><p>criptografia suporta a confidencialidade, uma vez que protege qualquer</p><p>informação confidencial e impede sua transcrição e propagação.</p><p>25.2 Integridade</p><p>Objetivo</p><p>Determinar se um recurso (armazenado ou em</p><p>Trânsito) foi modificado por uma entidade não</p><p>Autorizada.</p><p>Ferramenta: Função de hash</p><p>Um hash de um conjunto específico de dados</p><p>é calculado antes do trânsito e enviado junto</p><p>com a mensagem original. Assim, a</p><p>mensagem recebida é comparada com o hash</p><p>enviado. Se ambos os hashes forem</p><p>diferentes, significa que a mensagem perdeu</p><p>seu valor, ou seja, sua integridade foi</p><p>descaracterizada.</p><p>Exemplo84: Serviço de integridade pode proteger contra ataques ativos</p><p>de Modificação de Mensagens. Carlos consegue modificar as mensagens de</p><p>Bob para Alice.</p><p>25.3 Disponibilidade</p><p>Objetivo</p><p>Esse aspecto garante que as informações e os</p><p>recursos estejam disponíveis para entidades.</p><p>Esse principio pode ser garantido por meio da</p><p>manutenção de hardware, patch de software e</p><p>otimização de rede, redundância da</p><p>infraestrutura de TI, entre outras;</p><p>Dispositivos de hardware dedicados podem ser</p><p>usados para proteger contra inatividade e</p><p>inacessibilidade de dados devido a ações mal�intencionadas.</p><p>Mas também deve ser previstos planos de ação contra</p><p>ameaças causadas por desastres naturais (terremotos,</p><p>enchentes etc.).</p><p>Exemplo85: uma empresa de TI após sofrer com a danificação de um HD do</p><p>servidor principal, resolveu investir em RAID (Redundant Array of Independent</p><p>Disks) para implementar a redundância de armazenamento.</p><p>É importante estabelecer um plano de recuperação de desastres em que diretrizes e</p><p>procedimentos são descritos detalhadamente para administrar crises, recuperar informações,</p><p>mitigar riscos e manter a continuidade dos processos.</p><p>26. IMPORTÂNCIA DA PROTEÇÃO DE DADOS, NOTIFICAÇÃO DE INCIDENTES DE SEGURANÇA E</p><p>SANSÕES ADMINISTRATIVAS</p><p>26.1 Notificação de incidentes de segurança</p><p>Ocorreu um Incidente de segurança, como por exemplo, um vazamento</p><p>de</p><p>dados</p><p>O que a empresa deve fazer?</p><p>Deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de</p><p>segurança que possa acarretar risco ou dano relevante aos titulares.</p><p>A comunicação será feita em prazo razoável, conforme definido</p><p>pela autoridade nacional, e deverá mencionar, no mínimo:</p><p>• a descrição da natureza dos dados pessoais afetados;</p><p>• as informações sobre os titulares envolvidos;</p><p>• a indicação das medidas técnicas e de segurança utilizadas para a proteção</p><p>dos dados.</p><p>• os riscos relacionados ao incidente;</p><p>• os motivos da demora, no caso de a comunicação não ter sido imediata; e</p><p>• as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos</p><p>do prejuízo.</p><p>Exemplo86: Uma empresa teve dados de seus clientes expostos em sua</p><p>página, essa notificou autoridade nacional e tomou as medidas técnicas para</p><p>solução.</p><p>Providencia exigidas pela autoridade nacional</p><p>Nesse processo a autoridade nacional verificará a gravidade do incidente e</p><p>poderá, caso necessário, determinar ao controlador a adoção de providências,</p><p>tais como:</p><p>I - ampla divulgação do fato em meios de comunicação;</p><p>II - medidas para reverter ou mitigar os efeitos do incidente.</p><p>Conforme a gravidade do incidente, será avaliada eventual comprovação de que</p><p>foram adotadas pela empresa medidas técnicas adequadas e razoáveis para</p><p>proteção desses dados vazados, considerando os limites técnicos para a</p><p>realização.</p><p>Para a prevenção de possíveis incidentes, é necessária a adoção de</p><p>mecanismos como:</p><p>• treinamento de funcionários da empresa para uma gestão responsável dos</p><p>Dados pessoais e implementação de normas de confidencialidade;</p><p>• nomeação e formação do DPO – responsável pelo canal de comunicação</p><p>Entre a empresa, os titulares das informações e a Agência Nacional de Proteção</p><p>de Dados;</p><p>• criação um ambiente seguro para esses dados, adotando tecnologias para</p><p>Garantir a segurança de informações.</p><p>• implementação de uma política de segurança da informação capaz de</p><p>Instituir rotinas e processos internos que minimizem os riscos de incidentes</p><p>De vazamento.</p><p>• Entre outros.</p><p>26.2 INCIDENTE DE SEGURANÇA</p><p> A LGPD determina que a comunicação do incidente de segurança seja feita em prazo</p><p>razoável (art. 48, § 1º), conforme ainda será definido pela ANPD.</p><p> A Realização da comunicação demonstrará transparência e boa-fé e será considerada</p><p>em eventual</p><p> Após o conhecimento de evento adverso e havendo risco relevante, comunicar a ANPD</p><p>no prazo de 2 dias úteis a partir da data do conhecimento do incidente</p><p>Fonte: gov.br</p><p>https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-</p><p>incidente-de-seguranca-cis</p><p>26.3 INCIDENTE DE SEGURANÇA</p><p>EX. Gestão da segurança</p><p>14.2 REALMENTE OCORREM MUITOS VAZAMENTOS?</p><p>Infelizmente são apenas alguns poucos ex. de uma mínima parcela do que foi</p><p>Descoberto e divulgado!</p><p>26.4 Sansões administrativas</p><p>Advertência, com indicação de prazo para adoção de medidas corretivas;</p><p>Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica</p><p>de direito privado, grupo ou conglomerado no Brasil no seu último exercício,</p><p>excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões</p><p>de reais) por infração;</p><p>Multa diária, observado o limite total citado</p><p>Publicização da infração após devidamente apurada e confirmada a sua</p><p>ocorrência;</p><p>Bloqueio dos dados pessoais a que se refere a infração até a sua</p><p>regularização;</p><p>Eliminação dos dados pessoais a que se refere a infração;</p><p>Bloqueio dos dados pessoais a que se refere a infração até a sua</p><p>regularização;</p><p>Eliminação dos dados pessoais a que se refere a infração;</p><p>Suspensão parcial do funcionamento do banco de dados a que se refere</p><p>a infração pelo período máximo de 6 (seis) meses, prorrogável por igual</p><p>período, até a regularização da atividade de tratamento pelo controlador</p><p>Suspensão do exercício da atividade de tratamento dos dados pessoais a</p><p>que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável</p><p>por igual período;</p><p>Proibição parcial ou total do exercício de atividades relacionadas a</p><p>tratamento de dados.</p><p>Aspectos que influenciam aplicação das sanções</p><p>I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;</p><p>II - a boa-fé do infrator;</p><p>III - a vantagem auferida ou pretendida pelo infrator;</p><p>IV - a condição econômica do infrator;</p><p>V - a reincidência;</p><p>VI - o grau do dano;</p><p>VII - a cooperação do infrator;</p><p>VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos</p><p>internos capazes de minimizar o dano, voltados ao tratamento seguro e</p><p>adequado de dados.</p><p>IX - a adoção de política de boas práticas e governança;</p><p>X - a pronta adoção de medidas corretivas; e</p><p>XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção.</p><p>Os vazamentos individuais ou os acessos não autorizados poderão ser</p><p>objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o</p><p>controlador estará sujeito à aplicação das penalidades de que trata este artigo</p><p>27. PRÁTICAS DE PROTEÇÃO DE DADOS, GOVERNANÇA DE PRIVACIDADE, PRIVACY BY</p><p>DEFAULT, PRIVACY BY DESIGN, RELATÓRIO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS</p><p>27.1 Governança de Privacidade</p><p>Aplicado a controladores e operadores, conforme suas</p><p>responsabilidades</p><p>Individualmente ou juntos, poderão formular regras de boas práticas e de</p><p>governança que estabeleçam as condições de organização, o regime de</p><p>funcionamento e os procedimentos.</p><p>Devem atender reclamações e petições de titulares, as normas de segurança,</p><p>os padrões técnicos, as obrigações específicas para os diversos envolvidos no</p><p>tratamento, as ações educativas, os mecanismos internos de supervisão e de</p><p>mitigação de riscos.</p><p>Ao estabelecer regras de boas práticas deve-se considerar no tratamento, a</p><p>natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos</p><p>Programa de governança em privacidade</p><p> Demonstrar o comprometimento em adotar processos e políticas internas</p><p>que assegurem o cumprimento, de forma abrangente, de normas e boas</p><p>práticas relativas à proteção de dados pessoais;</p><p> Que seja aplicável a todo o conjunto de dados pessoais que estejam sob</p><p>seu controle, independentemente do modo como se realizou sua coleta;</p><p> Que seja adaptado à estrutura, à escala e ao volume de suas operações,</p><p>bem como à sensibilidade dos dados tratados;</p><p> Estabeleça políticas e salvaguardas adequadas com base em processo</p><p>de avaliação sistemática de impactos e riscos à privacidade;</p><p>Estabelecer relação de confiança com o titular, por meio de atuação</p><p>transparente e Que assegure mecanismos de participação do titular;</p><p> Estar integrado a sua estrutura geral de governança e estabeleça e</p><p>aplique mecanismos de supervisão internos e externos;</p><p> Manter planos de resposta a incidentes e remediação;</p><p> Atualizar constantemente com base em informações obtidas a partir de</p><p>monitoramento contínuo e avaliações periódicas;</p><p>A capacidade de demonstrar a efetividade de seu programa de governança em</p><p>privacidade.</p><p>27.2 Privacy by default</p><p>Prevê que qualquer projeto de uma empresa que envolva o processamento de</p><p>dados pessoais deve ser realizado mantendo a proteção e a privacidade dos</p><p>dados a cada passo. Isso inclui o desenvolvimento de produtos,</p><p>desenvolvimento de software, e serviços.</p><p>Na prática, isso significa que a organização deve garantir que a privacidade seja</p><p>incorporada ao sistema durante todo o ciclo de vida.</p><p>Exemplo87: uma empresa na criação da sua nova Landing Page considera</p><p>os aspectos de privacidade na captura de dados de interessados em seus</p><p>serviços</p><p>27.3 Privacy by design</p><p>No produto ou serviço as configurações mais seguras de privacidade</p><p>deverão ser aplicadas por padrão, sem que o titular deva configurar</p><p>posteriormente.</p><p>Além disso,</p><p>todos os dados pessoais fornecidos pelo titular para permitir</p><p>o uso ideal de um produto ou serviço devem ser mantidos apenas pelo tempo</p><p>necessário para fornecer o produto ou serviço.</p><p>Exemplo88: um site que utiliza cookies, estes só podem ser habilitados</p><p>quando o usuário ativa essa coleta de dados. Caso o visitante de um site não</p><p>ative os cookies de forma voluntária, não haverá a coleta de informações</p><p>pessoais do usuário</p><p>27.4 FAZENDO CORRETO, NÃO PRECISA REFAZER</p><p> Privacy by design</p><p>Qualquer projeto da empresa que envolva o processamento de dados</p><p>pessoais deve ser realizado mantendo a proteção e a privacidade dos dados a</p><p>cada pessoa. DEVE-SE GARANTIR QUE A PRIVACIDADE SEJA</p><p>INCORPORADA DURANTE TODO O CICLO DE VIDA.</p><p>O privacy by design é proativo e não reativo. Antecipa os problemas e</p><p>diminui o risco.</p><p> Privacy by Default</p><p>Esse conceito significa que assim que um produto ou serviço for</p><p>lançado ao público. AS CONFIGURAÇÕES MAIS SEGURAS DE PRIVACIDADE</p><p>DEVERÃO SER APLICADAS POR PADRÃO. Além disso, todos os dados</p><p>pessoais fornecidos pelo usuário para permitir utilização do produto ou serviço</p><p>devem ser mantidos apenas pelo tempo necessário para uso.</p><p>Resumidamente,</p><p>O privacy by design - ou em uma tradução livre a privacidade desde a</p><p>concepção - é um modelo teórico, um conjunto de 7 (sete) princípios que toda</p><p>organização pode adotar em sua filosofia de criação de produtos ou serviços (e</p><p>nos seus processos de negócio) para garantir que tudo o que essa organização</p><p>faz, ela pensa na privacidade desde o início.</p><p>O privacy by default - ou em tradução livre a privacidade por padrão - é o</p><p>segundo princípio desse modelo.</p><p>Estamos falando de um modelo teórico que, por si só, não resolve os</p><p>problemas de proteção de dados, muito menos garante a adequação à LGPD</p><p>(ou à GDPR), porém, são princípios valiosos para se manter em mente</p><p>durante a execução dos projetos de adequação que vise garantir a</p><p>privacidade das pessoas envolvidas nos processos de negócio de uma</p><p>organização.</p><p>Se formos bem diretos, podemos resumir o 7 princípios privacidade</p><p>desde a concepção dessa forma:</p><p>Fonte: Google</p><p>Princípio #1: Prevenir e não remediar: Não deixe riscos associados à</p><p>privacidade se tornarem realidade, aja proativamente e pense</p><p>antes do fato, não depois;</p><p>Princípio #2: Privacidade como padrão (privacy by default): Não exija</p><p>nenhuma ação do seu titular de dado para que a privacidade de</p><p>seu produto, serviço ou solução seja “ativada”. A privacidade já</p><p>está garantida como padrão em tudo;</p><p>Princípio #3: Privacidade incorporada ao projeto: A privacidade não deve</p><p>ser tratada como um componente adicional de seu produto, serviço</p><p>ou solução, ela é algo intrínseco ao projeto;</p><p>Princípio #4: Soma positiva: Privacidade tem que ser um ganha-ganha</p><p>entre o provedor de um produto, serviço ou solução e quem</p><p>consumirá isso. Ela deve agregar valor e não apenas ser uma</p><p>obrigação ou escolha;</p><p>Princípio #5: Segurança de ponta-a-ponta: A preocupação com proteção</p><p>de dados e segurança deve ser algo presente desde o início das</p><p>atividades de tratamento de dados, até o fim, quando os dados são</p><p>destruídos;</p><p>Princípio #6: Visibilidade e transparência: A privacidade deve ser algo</p><p>visível e transparente para todos os envolvidos no projeto, de</p><p>ambos os lados. Todos devem saber as regras, práticas e</p><p>tecnologias envolvidas na proteção de dados, de forma que seja</p><p>possível se validar tudo isso;</p><p>Princípio #7: Solução centrada no usuário: Deve-se considerar que o</p><p>maior interessado na privacidade é o titular dos dados. São os</p><p>interesses e direitos do titular de dados que importam mais quando</p><p>tratamos do assunto.</p><p>27.5 Relatório de impacto sobre a proteção de dados Relatório de impacto sobre a proteção de</p><p>dados</p><p>Trata-se documentação do controlador que contém a descrição dos processos</p><p>de tratamento de dados pessoais que podem gerar riscos às liberdades civis e</p><p>aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de</p><p>mitigação de risco.</p><p>O relatório deverá conter, entre outras coisas, a descrição dos tipos de dados</p><p>coletados, a metodologia utilizada para a coleta, a garantia da segurança das</p><p>informações, bem como quais as medidas adotadas pelo do controlador em</p><p>casos de incidentes de segurança.</p><p>A dica aqui é se dedicar para que na fase de avaliação de riscos, a empresa</p><p>tenha previsto a possibilidade do vazamento de dados e já tenha elaborado um</p><p>relatório de impacto com os procedimentos e o treinamento dos colaboradores</p><p>para a execução das etapas de contenção, mitigação e comunicação de um</p><p>eventual incidente.</p><p>A autoridade nacional poderá solicitar ao controlador relatório de impacto à</p><p>proteção de dados pessoais, quando o tratamento tiver como fundamento seu</p><p>interesse legítimo</p><p>A autoridade nacional poderá determinar ao controlador que elabore relatório de</p><p>impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente</p><p>a suas operações de tratamento de dados</p><p>28. MEDIDAS TÉCNICAS, FATOR HUMANO, GERENCIAMENTO DO CICLO DE VIDA DOS DADOS</p><p>28.1 Medidas técnicas</p><p>Abrangência de Segurança da Informação</p><p>ISO/IEC 27001 : Requisitos para Sistema de Gestão da Segurança da</p><p>Informação (SGSI );</p><p>ISO/IEC 27002 : Código de boas práticas;</p><p>ISO/IEC 27005 : Gestão de Riscos;</p><p>ISO/IEC 27014 : Técnicas para governança;</p><p>ISO/IEC 27017 : Controles cloud computing;</p><p>ISO 27032 : “ Cybersecurity ”.</p><p>ISO 27033-1 : Segurança em redes;</p><p>ISSO 27701 : Privacidade</p><p>5. Política de Segurança</p><p>6. Organização da Segurança da Informação</p><p>7. Gestão de Ativos</p><p>8. Segurança em Recursos Humanos</p><p>9. Segurança Física e do Ambiente</p><p>10. Gerenciamento das operações e Comunicações</p><p>11. Controle de Acessos</p><p>12. Aquisição, Desenvolvimento e Manutenção de Sistemas</p><p>13. Gestão de Incidentes de Segurança da Informação</p><p>14. Gestão da Continuidade do Negócio</p><p>15. Conformidade</p><p>28.2 Fator humano</p><p>A proteção de dados confidenciais nas empresas é baseada no</p><p>componente técnico e no fator humano.</p><p>Engenharia Social</p><p>Os colaboradores devem ser treinados para mitigar os casos de</p><p>desconhecimento e negligencia.</p><p>Política de Segurança da Informação</p><p>Código de conduta dos colaboradores</p><p>28.3 O ciclo de vida de dados podem</p><p>Implicar em classificar o tipo de dados e definir seu ciclo de vida,</p><p>diferentes classificações levam a diferentes ciclos de vida. Gerenciamento do</p><p>ciclo de vida dos dados</p><p>Término do Tratamento de Dados</p><p>O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:</p><p>• verificação de que a finalidade foi alcançada ou de que os dados deixaram de</p><p>ser necessários ou pertinentes ao alcance da finalidade específica almejada;</p><p>• fim do período de tratamento;</p><p>• comunicação do titular, inclusive no exercício de seu direito de revogação do</p><p>Consentimento, resguardado o interesse público;</p><p>• determinação da autoridade nacional, quando houver violação à LGPD.</p><p>Exemplo89: uma empresa de pesquisa de satisfação de clientes estipula o</p><p>Término do tratamento de dados após a divulgação dos resultados finais.</p><p>Os dados pessoais serão eliminados após o término de seu tratamento, exceto:</p><p>• cumprimento de obrigação legal ou regulatória pelo controlador;</p><p>• estudo por órgão de pesquisa, garantida, sempre que possível, a</p><p>anonimização dos dados pessoais;</p><p>• transferência a terceiro, desde que respeitados os requisitos de</p><p>tratamento de dados dispostos na LGPD;</p><p>• uso exclusivo do controlador, vedado seu acesso por</p><p>Terceiro, e desde que anonimizados os dados.</p><p>Exemplo90: Dados pessoais foram coletados para um campeonato de</p><p>Games. Após a realização do evento estipulou-se o término do tratamento</p><p>Com eliminação dos dados.</p><p>29 QUEM É EMPACTADO</p><p>Todos nós</p><p>Supermercados, farmácias, bancos, marketing,</p><p>serviços, segurança, aeroportos,</p><p>hotelaria, advocacia, indústria, varejo, datacenter, cartões, aplicativos, jogos, saúde, imobiliária,</p><p>corretoras, seguradoras, consultorias, mídias e educação.</p><p>29.1 PROTEÇÃO DE DADOS NO MUNDO</p><p>Legislações</p><p>Fonte: https://www.dlapiperdataprotection.com/</p><p>Estados unidos</p><p>Health Insurance Portability and Accountability Act (HIPAA) de 1996;</p><p>https://www.dlapiperdataprotection.com/</p><p>Children’s Online Privacy Protection Act (COPPA) DE 1998;</p><p>California Consumer Privacy Act (CCPA) de 2018;</p><p>California Consumer Privacy Rights Act (CPRA) de 2020 (em vigor em 2023)</p><p>União Europeia > General Data Protection Regulation (GDPR) – Regulamento (UE)</p><p>2016/680</p><p>Japão> Act on the Protection of Personal Information (APPI)</p><p>Canadá > PersonalInformation Protection and Eletronics Documents Act(PIPEDA)</p><p>China > PRC Cybersegurity Law</p><p>Africa do sul --> Protection Of Personal Information Act</p><p>Argentina> Ley de Protección de los Datos Personales nº 25.326(PDPL)</p><p>Chile> Ley Nº 19.628 – Proteccion de Datos de caracter Personal</p><p>Colombia - >> Ley 1.266 de 2008 (Habeas data ) e ley 1.581 de 2012</p><p>Costa rica ->> Ley Nº 8.968 Proteccion de la Persona frente al tratamento de sus datos</p><p>Personales</p><p>Mexico > ley federal de proteccion de dados personales em posesion de los particulares</p><p>Peru> ley Nº 29.733 – ley de Proteccion de Datos Personales</p><p>Uruguai> ley Nº 18.331 – ley de Proteccion de Datos Personales y Accion de Habeas Data</p><p>29.2 LEIS COMPLEMENTARES</p><p>Além da LGPD, temos ainda outras leis!</p><p> Marco civil da Internet</p><p>Lei 12.965/20142</p><p> Lei dos crimes Cibernéticos</p><p>Lei 12.737/20123</p><p> Código de defesa do Consumidor</p><p>Lei 8.078/19904</p><p> Código civil Brasileiro</p><p>2 Marco civil da Internet, Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-</p><p>2014/2014/lei/l12965.htm</p><p>3 Lei dos crimes Cibernéticos, Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-</p><p>2014/2012/lei/l12737.htm</p><p>4 Código de defesa do Consumidor, Disponível em:</p><p>https://www.planalto.gov.br/ccivil_03/Leis/L8078compilado.htm</p><p>Lei 10.406/20025</p><p>30. PROGRAMA DE ADEQUAÇÃO A LGPD</p><p>30.1 PROGRAMA DE PRIVACIDADE</p><p>O prazo de adequação à LGPD depende de diversos fatores, tais como</p><p>porte, quantidade de processos de tratamento de dados pessoais, número de funcionários,</p><p>quantidade de sistemas e banco de dados pessoais, demandas de segurança represadas,</p><p>entre outros.</p><p>30.2 NÃO É APENAS SOBRE TECNOLOGIA</p><p> Tecnologia</p><p>Sistemas e Infraestrutura Tecnológica</p><p> Processos</p><p>Definição, desenho, conformidade, melhoria continua, boas práticas, etc.</p><p> Pessoas</p><p>Papeis e responsabilidades, gerenciamento, desenvolvimento, perfil,</p><p>competência e disciplina</p><p> Cultura</p><p>Valores, normas e condutas</p><p>30.4 PILARES DE UM PROGRAMA</p><p>Pode montar da forma que couber melhor a sua empresa, aqui apenas um exemplo!</p><p>30.5 EXEMPLO DE ROTEIRO DE MACRO</p><p>5 Código Civil Brasileiro, Disponível em:</p><p>https://www.planalto.gov.br/ccivil_03/LEIS/2002/L10406compilada.htm</p><p>Criar um</p><p>comitê de</p><p>implementação</p><p>Nomear ou</p><p>contratar um</p><p>DPO</p><p>Seguir uma</p><p>norma</p><p>Mapear dados</p><p>pessoais</p><p>Categorizar</p><p>dados e</p><p>identificar</p><p>bases legais</p><p>Alterar sistemas</p><p>e processos</p><p>para não coletar</p><p>dados</p><p>desnecessários</p><p>Verificar se</p><p>sistemas de</p><p>terceiros estão</p><p>em</p><p>conformidades</p><p>Criar políticas</p><p>de segurança</p><p>da informação</p><p>Criar políticas</p><p>para acessos</p><p>e eliminação</p><p>de dados</p><p>Criar registro</p><p>de</p><p>consentimento</p><p>Criar uma</p><p>agenda de</p><p>retenção de</p><p>dados</p><p>Fazer</p><p>treinamento de</p><p>conscientização</p><p>Elaborar</p><p>processos para</p><p>resposta a</p><p>incidentes de</p><p>segurança</p><p>Treinar a</p><p>equipe que vai</p><p>lidar com a</p><p>violação de</p><p>dados</p><p>Implementar</p><p>segurança em</p><p>dispositivos</p><p>móveis</p><p>(criptografia)</p><p>Revisar</p><p>segurança</p><p>físicas dos</p><p>dados (discos,</p><p>scripts etc.)</p><p>Elaborar ou</p><p>atualizar a</p><p>política de</p><p>privacidade</p><p>Fazer testes de</p><p>segurança em</p><p>sistemas</p><p>Fazer teste em</p><p>segurança da</p><p>infraestrutura</p><p>Fazer teste de</p><p>segurança</p><p>nos usuários</p><p>(engenharia</p><p>social)</p><p>Iniciar ciclo de</p><p>melhoria</p><p>continua</p><p>(PDCA)</p><p>31. CONSIDERAÇÕES FINAIS</p><p>A verdade sobre adequação a LGPD</p><p>Transparência Responsabilidade e</p><p>prestação de contas</p><p>Resposta à incidente Garantia de direito</p><p>Bases legais Minimização Ética Segurança da</p><p>informação</p><p>Posicionamento Governança de dados Prevenção Boa fé</p><p>Boas praticas Processo políticas e</p><p>termos</p><p>Avaliação e gestão de</p><p>risco</p><p>Relação de confiança</p><p>Assim como a LGPD que tem resistência foi o uso obrigatório do cinto de segurança</p><p>gerou no início, mas aos poucos foi sendo incorporado e se transformou em um hábito de</p><p>motoristas e passageiros brasileiros.</p><p>32. REFERENCIAS</p><p>Autoridade Nacional de Proteção de Dados, Disponível em:</p><p>https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-</p><p>incidente-de-seguranca-cis</p><p>Segurança da informação: o que é e como criar uma política para proteção de dados,</p><p>disponível em: https://www.siteware.com.br/blog/seguranca/seguranca-da-informacao/</p><p>Privacidade de dados, disponível em: https://www.cloudflare.com/pt-</p><p>br/learning/privacy/what-is-data-privacy/</p><p>Resolução cd/anpd nº 15, de 24 de abril de 2024 Disponível em:</p><p>https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024</p><p>Lei dos crimes Cibernéticos, Disponível em:</p><p>https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm</p><p>Código de defesa do Consumidor, Disponível em:</p><p>https://www.planalto.gov.br/ccivil_03/Leis/L8078compilado.htm</p><p>Código Civil Brasileiro, Disponível em:</p><p>https://www.planalto.gov.br/ccivil_03/LEIS/2002/L10406compilada.htm</p><p>Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em:</p><p>https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm</p><p>gerado através da habilidade em analisar as</p><p>informações encontradas. Em outras palavras, o conhecimento acontece</p><p>quando as informações são integradas e processadas, sendo que, através</p><p>da análise do todo, podem ser encontradas determinadas conclusões.</p><p>Por exemplo, qual a conclusão que pode ser tirada através da</p><p>análise das informações presentes na tabela anterior?</p><p>Bom, através da consolidação de todas as informações</p><p>apresentadas, é possível estabelecer que a cidade Belo Horizonte possui</p><p>o maior salário de médico entre as cidades analisadas, além de São Paulo</p><p>possuir o menor. Assim, por meio de análises, o conhecimento produziu</p><p>reflexões e conclusões que as informações, por si sós, não são capazes</p><p>de gerar.</p><p>5.4 Inteligência</p><p>Aprendemos o que é dado, informação e conhecimento. Desse</p><p>modo, iremos agora apresentar o último conceito: a inteligência.</p><p>A inteligência é a aplicação do conhecimento, ou seja, quais ações</p><p>podem ser tomadas através do conhecimento que foi adquirido.</p><p>Em nosso exemplo. Os dados brutos adquiridos foram agrupados</p><p>e organizados, gerando informações sobre os salários de um médico em</p><p>determinadas cidades. Desse modo, através da interpretação dessas</p><p>informações, foi gerado o conhecimento, sendo possível observar quais</p><p>cidades possuem o maior e o menor salário. Agora, através da</p><p>inteligência, pode-se aplicar este conhecimento adquirido. Desse modo, é</p><p>possível que um médico recém formado, de posse deste conhecimento e</p><p>aplicando a sua inteligência e seu julgamento, opte por ir morar em Belo</p><p>Horizonte, de modo a obter um emprego com um salário maior.</p><p>A inteligência é considerada uma qualidade puramente humana,</p><p>sendo ela baseada na experiência, bem como na intuição. Diferentes</p><p>pessoas, de posse do mesmo conhecimento, podem tomar diferentes</p><p>decisões, pois cada indivíduo possui a sua inteligência.</p><p>Desse modo, concluindo este estudo sobre Dado, Informação,</p><p>Conhecimento e Inteligência, apresentamos a chamada Pirâmide</p><p>Informacional, a qual demonstra a escalada dos dados brutos, até serem</p><p>utilizados pela inteligência:</p><p>Pirâmide informacional</p><p>Fonte: Estratégia</p><p>Podemos observar, portanto que através dos Dados, podemos</p><p>gerar uma Informação, a através desses o Conhecimento e com essas</p><p>informações podemos então termos uma tomada de decisão que é a</p><p>Inteligência.</p><p>6. TEORIA DOS 6 GRAUS</p><p>A teoria dos seis graus de separação é a prova de que o mundo é</p><p>realmente pequeno. (1967) desenvolvido pelo Psicólogo Stanley Milgran,</p><p>Ou você nunca se surpreendeu ao conversar com um cliente que</p><p>conhece alguém próximo? Estamos a, no máximo, seis</p><p>conexões/pessoas de distância de alguém. Para o pesquisador são</p><p>necessários no máximo seis laços de amizade para que duas pessoas</p><p>quaisquer estejam ligadas.</p><p>Fonte: Wikipédia</p><p>Mundo digital</p><p>Um estudo mostra que entre cada usuário do facebook, a média de</p><p>separação é de 3,74 graus. Em outras palavras, como afirmam os autores</p><p>do estudo: “considerando outras pessoas no mundo, um amigo do seu</p><p>amigo conhece um amigo dele!”</p><p>7. ANONIMIZAÇÃO DE DADOS</p><p> Dados pessoais relativos a um titular que não possa ser identificado</p><p> Dados tratados para que as informações não possam ser vinculadas ao seu titular</p><p> Não é possível reconstruir o caminho para o titular original</p><p> Se um dados for anonimizado, a LGPD não se aplicará a ele</p><p> Não é uma exigência da lei que dados sejam anonimizados.</p><p>7.1 Anonimização de dados</p><p>Ex.</p><p>Nome: Mario silva</p><p>Gênero: Masculino</p><p>Nacionalidade: Brasileiro</p><p>Profissão: Médico</p><p>CRM/MT 456.333</p><p>Quantos médicos tem no Brasil</p><p>8. DADO PSEUDOANONIMIZADO</p><p> Elemento de identificação encriptados</p><p> Os dados individualmente perdem a capacidade de serem vinculados a um</p><p>individuo</p><p> No entanto, o controlador pode associar dados e vincular ao titular original</p><p>novamente</p><p> Os dados continuam sendo protegidos pela LGPD e são sujeito as suas</p><p>exigências e penalidades</p><p>Ex. Banco de dados 1</p><p>Nome: Mario silva</p><p>Gênero: Masculino</p><p>Nacionalidade: Brasileiro</p><p>Profissão: Medico</p><p>CRM/MT: 456.333</p><p>Banco de dados 2</p><p>Gênero: Masculino</p><p>Nacionalidade: Brasileiro</p><p>Profissão: Medico</p><p>Identificador: 112233</p><p>Anonimização</p><p>Gênero: Masculino</p><p>Nacionalidade: Brasileiro</p><p>Profissão: Médico</p><p>APLICA LGPD</p><p>Pseudoanonimização</p><p>LGPD – LEI GERAL DE PROTEÇÃO DE DADOS</p><p>9. O QUE É A LGPD</p><p>Ainda é um termo novo ao se falar da LGPD. Desde o início de sua vigência,</p><p>todas as empresas e órgãos governamentais precisaram se adequar às novas</p><p>diretrizes.</p><p>A LGPD é a Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709). Ela</p><p>foi publicada em 14 de agosto de 2018 e entrou em vigor em 18 de setembro de</p><p>2020.</p><p>É a principal lei que regula o tratamento de dados pessoais no Brasil.</p><p>Dessa forma, garante uma série de direitos aos titulares de dados, além de impor</p><p>Importantes obrigações aos destinatários.</p><p>Todos os nossos dados pessoais coletados no mundo online e mesmo</p><p>offline envolvem questões de privacidade. Portanto, a LGPD estabelece meios</p><p>de proteção da privacidade. Isso mesmo, simples assim</p><p>10. INÍCIO DAS SANÇÕES</p><p>As sanções administrativas decorrentes de irregularidades no</p><p>tratamento de dados passaram a ser aplicadas a partir de 1 de agosto de</p><p>2021.</p><p>Identificador 112233</p><p>Nome: Mario silva</p><p>CRM/MT 456.333</p><p>Pois é. Essas sanções podem variar de uma simples advertência a</p><p>uma multa no valor de até 2% do faturamento da empresa.</p><p>Vale lembrar que as multas podem chegar a até R$ 50 milhões por</p><p>infração. E quem espera por isso? Ninguém!</p><p>Logo, você já deve ter percebido que não é uma mera formalidade,</p><p>certo? Existem implicações reais caso as normas sejam descumpridas.</p><p>Como já dito, a LGPD aborda as regulamentações voltadas para</p><p>empresas e organismos públicos.</p><p>11. CONCEITO</p><p>1948 - O artigo 12 da "Declaração Universal dos Direitos Humanos”</p><p>"Ninguém será objeto de ingerências arbitrárias em sua vida privada, sua</p><p>família, seu domicílio ou sua correspondência, nem de ataques a sua</p><p>honra ou a sua reputação. Toda pessoa tem direito à proteção da lei</p><p>contra tais ingerências ou ataques."</p><p>1988 - Constituição Federal de 1988 Art. 5º X - são invioláveis a</p><p>intimidade, a vida privada, a honra e a imagem das pessoas, assegurado</p><p>o direito a indenização pelo dano material ou moral decorrente de sua</p><p>violação;</p><p>Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais,</p><p>inclusive nos meios digitais, por pessoa natural ou por pessoa</p><p>jurídica de direito público ou privado, com o objetivo de proteger os</p><p>direitos fundamentais de liberdade e de privacidade e o livre</p><p>desenvolvimento da personalidade da pessoa natural.</p><p>Parágrafo único. As normas gerais contidas nesta Lei são de</p><p>interesse nacional e devem ser observadas pela União, Estados,</p><p>Distrito Federal e Municípios. (Incluído pela Lei nº 13.853, de 2019)</p><p>Vigência</p><p>11.1 EMENDA CONSTITUCIONAL Nº 115, DE 10 DE FEVEREIRO DE 2022</p><p>Altera a Constituição Federal para incluir a</p><p>proteção de dados pessoais entre os direitos e</p><p>garantias fundamentais e para fixar a</p><p>competência privativa da União para legislar</p><p>sobre proteção e tratamento de dados</p><p>pessoais.</p><p>As Mesas da Câmara dos Deputados e do Senado Federal, nos termos do § 3º do art. 60</p><p>da Constituição Federal, promulgam a seguinte Emenda ao texto constitucional:</p><p>Art. 1º O caput do art. 5º da Constituição Federal passa a vigorar acrescido do seguinte</p><p>inciso LXXIX:</p><p>"Art. 5º .................................</p><p>LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive</p><p>nos meios digitais.</p><p>NR)</p><p>Art. 2º O caput do art. 21 da Constituição Federal passa a vigorar acrescido do seguinte</p><p>inciso XXVI:</p><p>"Art. 21. ................................................................................................................</p><p>XXVI - organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da</p><p>lei." (NR)</p><p>Art. 3º O caput do art. 22 da Constituição Federal passa a vigorar acrescido do seguinte</p><p>inciso XXX:</p><p>"Art. 22. ..............................................................................................................................</p><p>XXX - proteção e tratamento de dados pessoais. ............................................." (NR)</p><p>Art. 4º Esta Emenda Constitucional entra em vigor na data de sua publicação.</p><p>Promulgada dia 10/2022 a Emenda Constitucional 115/2022 que</p><p>torna a PROTEÇÃO DE DADOS PESSOAIS, inclusive nos meios digitais,</p><p>um DIREITO FUNDAMENTAL</p><p>A emenda dá ao tratamento de dados a mesma importância da</p><p>privacidade, que já contava com proteção constitucional, dessa forma, os</p><p>riscos e impactos de possíveis violações ficam mais expressivos.</p><p>Não basta apenas mapear dados, contratar ferramentas e elaborar</p><p>documentos, mas, sim, compreender a real importância da preservação</p><p>da privacidade nas relações, fortalecendo, dessa forma, as relações</p><p>comerciais e a continuidade nos negócios das organizações, bem como a</p><p>transparência com clientes e titulares de dados pessoais</p><p>http://legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_Identificacao/emc%20115-2022?OpenDocument</p><p>https://www.planalto.gov.br/ccivil_03/constituicao/Constituicao.htm</p><p>https://www.planalto.gov.br/ccivil_03/constituicao/Constituicao.htm#art5lxxix</p><p>https://www.planalto.gov.br/ccivil_03/constituicao/Constituicao.htm#art21</p><p>https://www.planalto.gov.br/ccivil_03/constituicao/Constituicao.htm#art21xxvi</p><p>https://www.planalto.gov.br/ccivil_03/constituicao/Constituicao.htm#art22</p><p>https://www.planalto.gov.br/ccivil_03/constituicao/Constituicao.htm#art22xxx</p><p>“O novo mandamento constitucional reforça a liberdade dos</p><p>brasileiros, pois ele vem instalar-se em nossa constituição em socorro da</p><p>privacidade do cidadão. Os dados, as informações pessoais, pertencem,</p><p>de direito, ao indivíduo e a mais ninguém.</p><p>Cabe a ele, tão somente a ele, o indivíduo, o poder de decidir a</p><p>quem esses dados podem ser revelados e em que circunstância,</p><p>ressalvadas exceções legais muito bem determinadas, como é o caso de</p><p>investigações de natureza criminal realizadas com o devido processo</p><p>legal</p><p>Rodrigo Pacheco - Presidente do senado</p><p>12. FUNDAMENTOS DA LEI</p><p> O respeito à privacidade. Nesse sentido, visa garantir que</p><p>cada pessoa tenha o máximo de controle possível sobre a destinação de</p><p>suas informações pessoais;</p><p> A autodeterminação informativa. Aqui estamos falando do</p><p>poder que cada cidadão têm sobre seus próprios dados pessoais. Isso</p><p>quer dizer que, em determinadas circunstâncias, ou seja, quando a</p><p>pessoa puder fazer essa escolha, ela pode decidir se seus dados serão</p><p>coletados, tratados, compartilhados;</p><p> A liberdade de expressão, de informação, de comunicação</p><p>e de opinião;</p><p> Inviolabilidade da intimidade, da honra e da imagem;</p><p> O desenvolvimento econômico e tecnológico e a inovação;</p><p> A livre iniciativa, a livre concorrência e a defesa do</p><p>consumidor</p><p> Os direitos humanos, o livre desenvolvimento da</p><p>personalidade, a dignidade e o exercício da cidadania pelas pessoas</p><p>naturais.</p><p>12.1 Diferença entre LGPD e GDPR</p><p>Ao entendermos o que é LGPD, não podemos deixar de mencionar a sigla</p><p>GDPR. É comum haver uma confusão entre os termos, mas existem Diferenças</p><p>importantes. Se você já se deparou com o termo LGPD em sites ou em redes</p><p>sociais, Provavelmente pode ter encontrado também a questão da GDPR.</p><p>Como já vimos acima, a LGPD regula como os dados pessoais devem ser</p><p>gerenciados e tratados, sejam físicos ou eletrônicos. Mas qual a relação</p><p>específica entre LGPD e GDPR?.</p><p>12.2 GENERAL DATA PROTECTION REGULARION (GDPR)</p><p>A sigla GDPR vem do inglês General Data Protection Regulation (Regulamento</p><p>Geral sobre a Proteção de Dados). Enquanto a LGPD vale para o Brasil, a GDPR</p><p>trata da proteção de dados e da identidade de cidadãos da União Europeia.</p><p>Começou a ser idealizada em 2012 e foi aprovada em 2016.</p><p>Ou seja, a GDPR teve início na Europa e é precursora da lei que protege</p><p>dados no Brasil. Embora na União Europeia já tivesse leis relacionadas à</p><p>privacidade de dados desde 1995, estas já estavam de certa forma obsoletas.</p><p>Portanto, não correspondiam ao cenário tecnológico atual. A decisão de criar um</p><p>regulamento que englobasse as necessidades atuais vem daí. Vivemos em uma</p><p>era em que estamos cada vez mais conectados, não é verdade? Isso envolve o</p><p>uso de nossas informações pessoais em larga escala. Para nos cadastrarmos</p><p>em uma rede social, apresentaremos nossos dados. O mesmo vale para</p><p>fazermos compras de produtos online ou para reservarmos uma passagem área.</p><p>Além disso, com o avanço da tecnologia, o uso de dados biométricos, por</p><p>exemplo, se tornou uma realidade e também envolve nossos dados.</p><p>12.3 MAS QUEM A GDPR ABRANGE?</p><p>A União Europeia considera a proteção de dados pessoais um direito dos</p><p>cidadãos dos países do bloco. Dessa forma, todas as empresas e organizações,</p><p>independentemente do seu porte ou da sua área de atuação, deverão seguir</p><p>regras rígidas para coletar, processar, compartilhar e resguardar dados</p><p>pessoais. E não para por aqui.</p><p>12.4 O QUE A GDPR VISA PROTEGER?</p><p>Basicamente, a principal preocupação é com a privacidade das pessoas</p><p>e o cuidado com a segurança dos dados armazenados. Afinal, os indivíduos</p><p>precisam ter a segurança de que suas informações pessoais não serão</p><p>“vazadas” nem se tornarão de conhecimento de terceiros não autorizados.</p><p>Dessa maneira, a empresa não pode armazenar nenhuma informação que possa</p><p>identificar um usuário sem o consentimento dele. Entre essas informações estão:</p><p> Dados de comportamento de navegação;</p><p> Endereço de IP;</p><p> Registros médicos;</p><p> Cookies</p><p> Informações pessoais;</p><p> Dados Biométricos;</p><p> Email;</p><p>Por exemplo, se você navegar por qualquer site de países integrantes da</p><p>União Europeia, e também do Brasil, é preciso que haja um aviso no portal a</p><p>respeito do consentimento da coleta de dados dos usuários obtidos por meio</p><p>de cookies. O visitante pode concordar ou discordar dessa coleta de dados.</p><p>Além disso, precisamos lembrar que a lei determina regras rígidas para o</p><p>gerenciamento dessas informações.</p><p>Então, chegamos à questão essencial. O usuário tem total poder sobre</p><p>elas e pode, a qualquer momento, solicitar cópia dos dados armazenados.</p><p>Ele também pode revogar a autorização já concedida a uma empresa, que</p><p>Deve excluir qualquer informação referente àquele usuário.</p><p>12.5 IMPLICAÇÕES NO BRASIL E RELAÇÃO COM A LGPD</p><p>Embora a GDPR seja uma lei criada pela União Europeia, todas as</p><p>empresas que trabalham com informações de cidadãos europeus precisam</p><p>estar de acordo com ela, mesmo que sejam brasileiras.</p><p>Por esses motivos, muitas empresas brasileiras passaram a atender às</p><p>Exigências da lei europeia. Grandes empresas da internet, que também</p><p>disponibilizam serviços no Brasil, já atualizaram seus sistemas e estenderam as</p><p>configurações de proteção de dados a todos os países em que prestam serviços,</p><p>tendo como referência a GDPR. É o caso do Facebook, Spotify, Google, entre</p><p>outras.</p><p>Portanto, influenciado pela criação da Lei Europeia e ciente dos impactos</p><p>globais que a GDPR traz, o Brasil também criou uma legislação específica</p><p>Para proteção de dados, a LGPD.</p><p>Nesse sentido, pela LGPD, todos dados pessoais só podem ser coletados</p><p>se os usuários concordarem com o acesso às informações. O objetivo desta lei</p><p>é proteger os direitos fundamentais de liberdade e de privacidade.</p><p>13. PRINCIPAIS ASPECTOS SOBRE A LEI GERAL DE</p><p>PROTEÇÃO DE DADOS (LGPD)</p><p>13.1 Quais aspectos são tratados na LGPD</p><p>DISPOSIÇÕES PRELIMINARES</p><p>Disposições gerais sobre privacidade e proteção de dados</p><p>• A quem se aplica</p><p>• A quem não se aplica</p><p>• Definições de papéis e conceitos</p><p>• Princípios sobre tratamento de dados pessoais</p><p>DO TRATAMENTO DE DADOS PESSOAIS</p><p>• Hipóteses de tratamento</p><p>• Direitos do titular</p><p>• Tratamento de dados sensíveis</p><p>• Tratamento de Dados Pessoais de Crianças e de Adolescentes</p><p>• Término do Tratamento de Dados</p><p>DOS DIREITOS DO TITULAR DO TRATAMENTO DE DADOS PESSOAIS PELO</p><p>PODER PÚBLICO DA TRANSFERÊNCIA INTERNACIONAL DE DADOS DOS AGENTES DE</p><p>TRATAMENTO DE DADOS PESSOAIS</p><p>• Do Controlador e do Operador</p><p>• Do Encarregado pelo Tratamento de Dados Pessoais</p><p>DA RESPONSABILIDADE E DO RESSARCIMENTO DE DANOS DA SEGURANÇA E</p><p>DAS BOAS PRÁTICAS</p><p>• Da Segurança e do Sigilo de Dados</p><p>• Das Boas Práticas e da Governança</p><p>DA FISCALIZAÇÃO</p><p>• Das Sanções Administrativas</p><p>DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA</p><p>PRIVACIDADE</p><p>• Da Autoridade Nacional de Proteção de Dados (ANPD)</p><p>• Do Conselho Nacional de Proteção de Dados Pessoais e da</p><p>Privacidade</p><p>13.2 CONCEITOS BÁSICOS</p><p>• Aonde LGPD se aplica</p><p>• Aonde LGPD se não aplica</p><p>13.3 APLICAÇÃO DA LGPD</p><p>Independentemente</p><p>Desde que:</p><p>Tratamento seja realizada no território nacional;</p><p>Pessoa natural ou pessoa jurídica de</p><p>direito público ou privado que trata</p><p>dados pessoais</p><p>A quem?</p><p>Do meio, do país de sua sede ou do país</p><p>onde estejam localizados os dados.</p><p>Independentemente</p><p>Localização</p><p>Objetivo</p><p>A oferta ou o fornecimento de bens ou serviços coletados no território</p><p>nacional;</p><p>.</p><p>13.4 onde não se aplica a LGPD</p><p>Pessoa natural para fins</p><p>Exclusivamente particulares e</p><p>Não econômicos.</p><p>Exemplo04:</p><p>Um usuário do Face book posta,</p><p>Em sua conta pessoal, uma fotografia</p><p>de uma terceira pessoa.</p><p>Para fins exclusivamente</p><p>Jornalístico e artísticos</p><p>Exemplo05:</p><p>Jornalista que pública em site</p><p>De notícias o nome, o sobrenome e a</p><p>Fotografia de um suspeito de cometer</p><p>um crime.</p><p>Para fins exclusivamente acadêmicos Exemplo06:</p><p>Pesquisador de uma</p><p>Universidade Federal utiliza dados</p><p>Pessoais, de forma anonimizada, para</p><p>Fundamentar sua pesquisa sobre a</p><p>Longevidade da população brasileira.</p><p>Para fins exclusivamente de:</p><p>• segurança pública;</p><p>• defesa nacional;</p><p>• segurança do Estado; ou</p><p>• atividades de investigação e</p><p>repressão de infrações penais.</p><p>Exemplo07:</p><p>Autoridades divulgam um cartaz de</p><p>“Procurado”, contendo o nome e</p><p>sobrenome do suspeito de cometer</p><p>Crimes.</p><p>Dados Pessoais Provenientes de</p><p>Fora do Território Nacional Sem</p><p>Comunicação ou Compartilhamento</p><p>com Empresas Brasileiras</p><p>Exemplo08:</p><p>Uma empresa brasileira é contratada</p><p>por uma empresa europeia para</p><p>realizar o tratamento de dados</p><p>pessoais de cidadãos europeus,</p><p>sendo os dados, após o tratamento,</p><p>devolvidos para a empresa europeia.</p><p>Nesta hipótese, não se aplicarão as</p><p>Exemplo01:</p><p>Supermercado em São</p><p>Paulo coleta dados dos</p><p>Clientes por meio do</p><p>Preenchimento de cupons</p><p>Para sorteio de carros</p><p>Exemplo02:</p><p>Cadastro em plataformas</p><p>estrangeiras, em território</p><p>nacional, que utilizem</p><p>esses dados para vendas</p><p>de produtos no país</p><p>Exemplo03:</p><p>um alemão, em férias no</p><p>Brasil, tem seus dados</p><p>coletados por um hotel.</p><p>Esse dado está</p><p>submetido à LGPD</p><p>disposições da LGPD, mas as</p><p>disposições da Legislação da Europa</p><p>(GDPR).</p><p>O objetivo de tal artigo é garantir que a LGPD não vai ser aplicada</p><p>às empresas brasileiras (operadoras) contratadas por empresas</p><p>estrangeiras (controladoras), quando os dados pessoais forem</p><p>posteriormente “devolvidos” ao país de origem após o tratamento, desde</p><p>que tal país tenha uma legislação de proteção de dados adequada.</p><p>Europa</p><p>13.5 Tipos de dados pessoais</p><p>• Dado pessoal</p><p>• Dado pessoal sensível</p><p>• Dado anonimizado</p><p>• Dado pseudoanonimizado</p><p>13.6 Dado pessoal</p><p>Qualquer informação relacionada a pessoa natural que possa de</p><p>alguma maneira torná-la identificada ou identificável.</p><p>Exemplo09:</p><p>Dados cadastrais, data de nascimento, profissão, dados de GPS,</p><p>identificadores eletrônicos, nacionalidade, gostos, interesses e hábitos de</p><p>consumo, entre outros, são dados pessoais</p><p>Um dos mais relevantes ativos para o exercício de qualquer</p><p>atividade empresarial, pessoal ou social, assim como para a</p><p>concretização de políticas públicas, não há dúvida sobre a importância</p><p>do tratamento do dado pessoal para o desenvolvimento econômico</p><p>global.</p><p>13.7 Dado pessoal sensível</p><p>Dado pessoal sobre origem racial ou étnica, convicção religiosa,</p><p>opinião política, filiação a sindicato ou a organização de caráter</p><p>religioso, filosófico ou político, dado referente à saúde ou à vida sexual,</p><p>dado genético ou biométrico, quando vinculado a uma pessoa natural.</p><p>Dados pessoais sensíveis são tratados especificamente na LGPD, e</p><p>exigem uma gestão diferenciada e seguem regras especificas de tratamento.</p><p>Exemplo10:</p><p>Uma nova plataforma de relacionamento</p><p>utiliza dados referentes à vida sexual dos</p><p>seus seguidores em seus algoritmos de</p><p>criação de perfil.</p><p>Importante</p><p>Quando posso tratar dados pessoais sensíveis?</p><p>Quando o titular ou seu responsável legal consentir, de forma específica</p><p>e destacada, para finalidades específicas.</p><p>Realização de estudos por órgão de pesquisa, garantida, sempre que</p><p>possível, a anonimização dos dados pessoais sensíveis.</p><p>Exercício regular de direitos, inclusive em contrato e em processo judicial,</p><p>administrativo e arbitral.</p><p>Proteção da vida ou da integridade física</p><p>Tutela da saúde</p><p>Garantia da prevenção à fraude e à segurança do titular</p><p>Ou</p><p>Sem fornecimento de consentimento do titular, nas hipóteses em que for</p><p>indispensável para:</p><p>Cumprimento de obrigação legal ou regulatória pelo controlador.</p><p>Tratamento compartilhado de dados necessários à execução, pela administração</p><p>pública, de políticas públicas previstas em leis ou regulamentos.</p><p>13.8 Dado anonimizado</p><p>Dado relativo a titular que não possa ser identificado, considerando a utilização</p><p>de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.</p><p>Dados anonimizados ou que passam por processo de anonimização não são</p><p>dados pessoais.</p><p>O uso de dados anonimizados se mostra primordial para possibilitar o</p><p>desenvolvimento e aprimoramento de novas tecnologias, como a Internet das Coisas e</p><p>a Inteligência Artificial, porém a dificuldade é enorme de se comprovar que meios</p><p>técnicos razoáveis e disponíveis na ocasião do tratamento não possam levar a</p><p>identificação do titular.</p><p>IMPORTANTE</p><p>Discussão</p><p>Exemplo11:</p><p>uma startup na área de inteligência artificial utiliza uma base</p><p>de dados anonimizada para treinar seus algoritmos para o</p><p>reconhecimento de padrões de comportamento.</p><p>13.9 Dado pseudoanonimizado</p><p>A pseudonimização é o tratamento por meio do qual um dado perde a</p><p>possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de</p><p>informação adicional mantida separadamente pelo controlador em ambiente controlado</p><p>e seguro.</p><p>“De um ponto de vista da segurança da informação, a pseudonimização contribui</p><p>para garantir uma maior segurança dos dados, podendo diminuir os danos causados</p><p>por eventuais vazamentos, se os dados afetados forem somente aqueles não</p><p>identificáveis, sem o acesso aos dados complementares mantidos em separado. Este</p><p>cenário pode fazer com que eventuais indenizações sejam reduzidas ou mesmo não</p><p>aplicáveis, considerando que os dados vazados não sejam capazes de gerar danos ao</p><p>titular por serem incompreensíveis”.</p><p>Exemplo12: uma empresa adotou a pseudoanonimização antes de compartilhar</p><p>dados terceiros com o objetivo de mitigar alguns riscos de segurança.</p><p>14. TRATAMENTO DE DADOS PESSOAIS</p><p>• O que é o tratamento?</p><p>• Tratamento de dados pessoais de crianças e adolescentes</p><p>• Transferência Internacional</p><p>de Dados</p><p>• Uso compartilhado de dados</p><p>14.1 O que é o tratamento?</p><p>Discussão</p><p>Tratamento de dados é TODA operação realizada com dados pessoais,</p><p>Como as que se referem, por exemplo, a:</p><p>Coleta, produção, recepção, classificação, utilização, acesso, reprodução,</p><p>transmissão, distribuição, processamento, arquivamento, armazenamento,</p><p>eliminação, avaliação ou controle da informação, modificação, comunicação,</p><p>transferência, difusão ou extração.</p><p>14.2 Tratamento de dados pessoais de crianças e adolescentes</p><p>O tratamento de dados pessoais de crianças e de adolescentes deverá ser</p><p>realizado em seu melhor interesse.</p><p>14.3 Forma de tratamento</p><p>Manter pública a informação sobre os tipos de dados coletados, a forma de sua</p><p>utilização e os procedimentos para o exercício dos direitos.</p><p>Não condicionar a participação em jogos, aplicações de internet ao</p><p>fornecimento de informações pessoais além das estritamente necessárias à atividade.</p><p>Exemplo13: um game solicita uma quantidade de dados desnecessária sobre a</p><p>criança, além de dados de amigos que podem ser potenciais compradores do jogo.</p><p>14.4 Necessidade de consentimento</p><p>O tratamento de dados pessoais de crianças deverá ser realizado com o</p><p>consentimento específico e em destaque dado por pelo menos um dos pais ou pelo</p><p>responsável legal.</p><p>O controlador deve realizar todos os esforços razoáveis para verificar que o</p><p>consentimento foi dado pelo responsável pela criança, consideradas as tecnologias</p><p>disponíveis.</p><p>As informações sobre o tratamento deverão ser fornecidas de maneira simples,</p><p>clara e acessível, consideradas os limites de entendimento da criança ou adolescente.</p><p>Exemplo14: Game solicita foto do responsável da criança no cadastro, para que</p><p>seus algoritmos identifique que se trata de um adulto.</p><p>14.5 Hipótese de dispensa do consentimento</p><p>Poderão ser coletados dados pessoais de crianças sem o consentimento</p><p>somente quando a coleta for necessária para contatar os pais ou o responsável legal,</p><p>utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum</p><p>caso poderão ser repassados a terceiro sem o consentimento.</p><p>Exemplo15: empresa de transporte de estudantes consulta número do telefone dos</p><p>pais da criança para informar que seu filho passou mal durante o trajeto.</p><p>14.6 Transferência Internacional de Dados</p><p>Somente é permitida nos seguintes casos:</p><p>I - para países ou organismos internacionais que proporcionem grau de</p><p>proteção de dados pessoais adequado ao previsto na LGPD</p><p>II - quando a empresa oferecer e comprovar garantias de cumprimento dos</p><p>princípios, dos direitos do titular e do regime de proteção de dados, que</p><p>devem estar especificadas em cláusulas contratuais, normas corporativas e</p><p>certificados e códigos de conduta regularmente emitidos</p><p>III - Para a cooperação jurídica internacional</p><p>IV - Para proteção da vida ou da incolumidade física do titular ou de terceiro</p><p>Exemplo16: empresa brasileira pretende transferir dados para servidores</p><p>que estão na Europa.</p><p>Somente é permitida nos seguintes casos:</p><p>V - quando a autoridade nacional autorizar a transferência;</p><p>VIII - quando o titular tiver fornecido o seu consentimento específico e em</p><p>destaque para a transferência</p><p>VII - para a execução de política pública ou atribuição legal do serviço</p><p>público</p><p>VI - compromisso assumido em acordo de cooperação internacional</p><p>Exemplo17: empresa brasileira pretende transferir dados um pais que não</p><p>possui um lei de privacidade e proteção de dados, contudo a autoridade</p><p>nacional autoriza.</p><p>14.7 Uso compartilhado de dado</p><p> Quando os dados forem indispensáveis para o controlador cumprir obrigações</p><p>legais ou regulatórias</p><p> Quando o tratamento compartilhado de dados for necessário para a execução</p><p>de políticas públicas;</p><p> Para que os órgãos de pesquisa possam realizar estudos, sempre observando</p><p>a anonimização de dados pessoais sensíveis;</p><p> Para o exercício regular de direitos, incluindo contrato e processo judicial,</p><p>administrativo e arbitral;</p><p> Em caso de proteção da vida ou segurança física do titular dos dados ou de</p><p>terceiros;</p><p> Para tutela de saúde, em procedimentos que devem ser realizados por</p><p>profissionais ou serviços de saúde/autoridade sanitária;</p><p>Exemplo18: Policia Federal brasileira transfere dados pessoais de suspeitos para</p><p>organização internacional de combate ao tráfico de drogas.</p><p>Direito do titular: ter informações acerca do uso compartilhado de dados pelo</p><p>controlador e a finalidade</p><p>Dados sensíveis: A comunicação ou o uso compartilhado de dados pessoais sensíveis</p><p>entre controladores com objetivo de obter vantagem econômica poderá ser objeto de</p><p>vedação ou de regulamentação</p><p>É permitido</p><p>O responsável deverá informar, de maneira imediata, aos agentes de tratamento</p><p>com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a</p><p>anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto</p><p>nos casos em que esta comunicação seja comprovadamente impossível ou implique</p><p>esforço desproporcional.</p><p>Exemplo19: um titular de dados começa receber propagandas de uma empresa</p><p>parceira daquela que ele mantem um contrato de assinatura de internet, o titular tem</p><p>o direito que solicitar informações sobre o uso compartilhado de dados da empresa</p><p>contratada.</p><p>15. PAPÉIS E RESPONSABILIDADES</p><p>• Titular de Dados</p><p>• Agentes de tratamento</p><p>• Controlador</p><p>• Operador</p><p>• Encarregado</p><p>• Autoridade nacional</p><p>• Conselho nacional</p><p>15.1 Titular de Dados</p><p>O titular de dados é a pessoa natural. A propriedade do dado pertence a pessoa</p><p>física.</p><p>O titular de dados tem direitos previsto na LGPD</p><p>As sanções estão diretamente ligadas ao impacto sobre o titular de dados,</p><p>individualmente ou coletivamente.</p><p>Os titulares de dados, em casos específicos, não tem seus direito limitados sobre</p><p>algumas hipóteses de tratamento.</p><p>15.2 Agentes de tratamento</p><p>Os agentes de tratamento pode ser classificados como:</p><p>Operadores Controladores</p><p>Ambos podem ser pessoa física ou jurídica, de direito público ou privado.</p><p>15.3 Operador e Controlador</p><p>Controlador: a quem compete às decisões referentes ao tratamento de dados pessoais.</p><p>Operador: realiza o tratamento de dados pessoais em nome do controlador.</p><p>Apesar do conceito ser explicito na definição dos agentes de tratamento, na prática</p><p>empresas enfrentam um dilema na decisão sobre o enquadramento das suas atividades</p><p>como controlador e operador.</p><p>15.4 Controlador e Operador</p><p>O controlador e o operador devem manter registro das operações de</p><p>tratamento de dados pessoais que realizarem, especialmente quando baseado no</p><p>legítimo interesse.</p><p>A autoridade nacional poderá determinar ao controlador que elabore relatório</p><p>de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a</p><p>suas operações de tratamento de dados.</p><p>O operador deverá realizar o tratamento segundo as instruções fornecidas pelo</p><p>controlador, que verificará a observância das próprias instruções e das normas sobre a</p><p>matéria.</p><p>Exemplo20: uma empresa na sua análise de risco de privacidade e proteção de</p><p>dados definiu que irá elaborar relatório de impacto de dados para todos os dados</p><p>sensíveis tratados</p><p>15.5 Encarregado</p><p>O controlador deverá indicar encarregado pelo tratamento de dados pessoais.</p><p>Importante: Autoridade nacional poderá dispensar da necessidade de sua indicação,</p><p>conforme a natureza e o porte da entidade ou o volume de operações de tratamento de</p><p>dados.</p><p>Discussão</p><p>O que o encarregado faz?</p><p>I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e</p><p>adotar providências;</p><p>II - receber comunicações da autoridade nacional e adotar providências;</p><p>III - orientar os funcionários e os contratados da entidade a respeito das práticas</p><p>a serem tomadas em relação à proteção</p><p>de dados pessoais;</p><p>IV - executar as demais atribuições determinadas pelo controlador ou</p><p>estabelecidas em normas complementares.</p><p>Importante: Autoridade nacional poderá dispensar da necessidade de sua indicação,</p><p>conforme a natureza e o porte da entidade ou o volume de operações de tratamento</p><p>de dados.</p><p>Importante: A identidade e as informações de contato do encarregado deverão ser</p><p>divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio</p><p>eletrônico do controlador.</p><p>Exemplo21: uma grande empresa nomeou um único encarregado de dados para sua</p><p>matriz e suas filiais.</p><p>16. DPO – DATA PROTECTION OFFICER</p><p>Características</p><p> Se reporta diretamente ao alto nível de direção</p><p> Deve ser dotado de autonomia e estabilidade</p><p> Importante que tenha independência orçamentaria</p><p> Não precisa ter uma formação especifica</p><p> Pode ser terceirizado</p><p>ATIVIDADES</p><p> Recepcionar e atender demandas dos titulares do dados</p><p> Interagir com a Autoridade Nacional de Proteção de Dados</p><p> Orientação sobre Práticas de proteção de dados</p><p>RESOLUÇÃO Nº 2 DE 27/01/2022</p><p> O DPO deixa de ser obrigatório para todos os controladores</p><p> Aplicação das obrigações em grau mais suave para as empresas definidas como</p><p>agentes de tratamento de pequeno porte</p><p> Para ser considerada uma empresa de pequeno porte, a empresa NÃO PODE se</p><p>enquadrar em 2 ou mais critério abaixo;</p><p>o Administração de dados pessoais em grande escala</p><p>o Tratamento de dados pessoais que afetem os interesses e direitos</p><p>fundamentais dos titulares</p><p>o Utilização de tecnologia emergentes ou inovadoras</p><p>o Controle de zonas acessíveis ao públicos</p><p>o Atitudes tomadas com base no tratamento automatizado de dados pessoais,</p><p>pensando em definir o perfil daquela pessoa, seja âmbito pessoal, profissional,</p><p>de comum, de saúde e de crédito ou ainda sobre a personalidade do titular</p><p>o Uso dos dados sensíveis ou pessoais de criança, adolescentes e de idosos</p><p>16.1 DPO AS A SERVICE</p><p>A LGPD permite que um DPO possa prestar serviços para vários controladores</p><p>O importante é que esteja acessível por todas as organizações que atende</p><p>16.2 RESPONSABILIDADE CIVIL</p><p>O DPO não responderá civilmente perante os titulares ou à ANPD em relação a tratamento de</p><p>dados</p><p>Seu papel é meramente consultivo.</p><p> Não cabe ao DPO adotar medidas junto a qualquer operação de tratamento de dados</p><p> Cabe ao controlador adotar, ou não, as orientações de DPO, ciente dos riscos.</p><p>16.3 CBO 1425-35</p><p>Em 2021, o ministério do Trabalho iniciou os debates para a criação da ocupação de</p><p>Encarregado de Dados Pessoais na classificação Brasileira de Ocupações – CBO para</p><p>inclusão na tabela em 03/2022 com a definição do código 1421-35</p><p>O reconhecimento pelo ministério do Trabalho foi um marco importante para todos os</p><p>profissionais que já exercem este papel</p><p>16.4 Autoridade nacional</p><p> Zelar pela proteção dos dados pessoais, nos termos da legislação, observância dos</p><p>segredos comercial e industrial.</p><p> Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da</p><p>Privacidade.</p><p> Fiscalizar e aplicar sanções</p><p> Apreciar petições de titular contra controlador após comprovada pelo titular a</p><p>apresentação de reclamação ao controlador não solucionada no prazo estabelecido em</p><p>regulamentação;</p><p> Promover na população o conhecimento das normas e das políticas públicas (P&PD)</p><p> Promover e elaborar estudos sobre as práticas nacionais e internacionais (P&PD)</p><p> Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de</p><p>controle dos titulares sobre seus dados pessoais</p><p>Os agente de tratamento é que são responsáveis por</p><p>garantir que as atividades de tratamento de dados</p><p>pessoais está sendo realizada nos parâmetros legais</p><p>Quais são alguns deveres da Autoridade Nacional de Proteção de Dados</p><p> Promover ações de cooperação com autoridades de proteção de dados pessoais de</p><p>outros países</p><p> Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais</p><p> Solicitar às entidades do poder público informações sobre o tratamento de dados</p><p> Editar regulamentos e procedimentos sobre P&PD e DPIA</p><p> Realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização</p><p> Editar normas, orientações e procedimentos para que microempresas e empresas de</p><p>pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo.</p><p> Comunicar às autoridades competentes as infrações penais das quais tiver</p><p>conhecimento.</p><p> Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de</p><p>reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.</p><p>16.5 Conselho nacional</p><p>Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:</p><p>I - propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política</p><p>Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;</p><p>II - elaborar relatórios anuais de avaliação da execução das ações da Política Nacional</p><p>de Proteção de Dados Pessoais e da Privacidade;</p><p>III - sugerir ações a serem realizadas pela ANPD;</p><p>IV - elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados</p><p>pessoais e da privacidade; e</p><p>V - disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à</p><p>população.</p><p>17. Fundamentos Legítimos e finalidade</p><p>Veremos aqui a importância dos princípios, dentre eles os princípios da</p><p>Finalidade, Adequação, Necessidade, Livre Acesso, Qualidade dos dados.</p><p>Importância dos princípios</p><p>“Violar um princípio é muito mais grave que transgredir uma norma qualquer. A</p><p>desatenção ao princípio implica ofensa não apenas a um específico mandamento</p><p>obrigatório, mas a todo o sistema de comandos. É a mais grave forma de ilegalidade ou</p><p>inconstitucionalidade, conforme o escalão do princípio atingido”</p><p>- Celso Antônio Bandeira de Mello, ministro do STF -</p><p>Muitas empresas na Europa foram multas por não atenderem os princípios da GDPR,</p><p>multas pesadas.</p><p>17.1 Finalidade</p><p>Realização do tratamento para propósitos legítimos, específicos, explícitos e</p><p>informados ao titular, sem possibilidade de tratamento posterior de forma incompatível</p><p>com essas finalidades.</p><p>É passível de punição coletar dados com um propósito e utilizar para outro.</p><p>Com a LGPD não será mais possível tratar dados pessoais com finalidades genéricas</p><p>ou indeterminadas.</p><p>Exemplo22: Uma empresa oferece a interessados a possibilidade de download de</p><p>conteúdo exclusivo sobre receitas, bastando que se cadastre e inclua um e-mail para</p><p>o envio do material, com o intuito de oferecer cursos profissionais. Em um segundo</p><p>momento essa mesma empresa em parceria com terceiros resolver usar esses e-</p><p>mails para o envio de ofertas de restaurantes.</p><p>Exemplo22: Uma empresa oferece a interessados a possibilidade de download de</p><p>conteúdo exclusivo sobre receitas, bastando que se cadastre e inclua um e-mail para</p><p>o envio do material, com o intuito de oferecer cursos profissionais. Em um segundo</p><p>momento essa mesma empresa em parceria com terceiros resolver usar esses e-</p><p>mails para o envio de ofertas de restaurantes.</p><p>Exemplo23: Uma startup que solicita o e-mail do cliente para a finalidade específica</p><p>de login na plataforma, não pode automaticamente utilizar esse mesmo e-mail para</p><p>enviar publicidade ou ofertas.</p><p>Exemplo24: uma empresa coleta dados da pessoa para emitir a nota fiscal (sem</p><p>consentimento), não pode usar esses dados para enviar um e-mail marketing.</p><p>17.2 Adequação</p><p>Compatibilidade do tratamento com as finalidades informadas ao titular, de</p><p>acordo com o contexto do tratamento;</p><p>Os princípios dão o tom, a abrangência e a interpretação correta para o todo texto</p><p>de lei</p><p>Importante</p><p>Exemplo25: Em e-commerce</p><p>de produtos eletrônicos, dificilmente será justificável</p><p>pedir dados de saúde aos clientes. Então, se não é compatível, o tratamento se torna</p><p>inadequado.</p><p>Exemplo26: o usuário informou seu e-mail para receber o material de conteúdo</p><p>exclusivo de receitas e começa a receber informações sobre emagrecimento. Pode-</p><p>se afirmar que não está compatível com a finalidade apresentada a ele.</p><p>Exemplo27: coletar os dados para mandar uma newsletter, mas depois usa para</p><p>enviar uma pesquisa qualitativa de algum produto para gerar score.</p><p>17.3 Necessidade</p><p>Limitação do tratamento ao mínimo necessário para a realização de suas</p><p>finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em</p><p>relação às finalidades do tratamento de dados.</p><p>Exemplo28: para que o material exclusivo de receitas seja enviado para o</p><p>interessado, é necessário apenas a informação do e-mail do interessado. Neste caso</p><p>qual seria a necessidade de solicitar o endereço ou o telefone para o envio do e-mail?</p><p>Exemplo29: o objetivo era conceder ou não um empréstimo no banco, mas solicitou</p><p>dados como, orientação sexual, ideologia, filiação partidária ou sindical, o controlador</p><p>extrapolou a necessidade.</p><p>Quanto mais dados tratar, maior será a sua responsabilidade, inclusive em casos de</p><p>vazamentos e incidentes de segurança.</p><p>17.4 Livre Acesso</p><p>Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração</p><p>do tratamento, bem como sobre a integralidade de seus dados pessoais.</p><p>Exemplo30: Uma empresa oferece um canal de atendimento ao titular do dados e</p><p>oferece a consulta aos dados. Contudo se o titular queira um relatório completo de</p><p>como seus dados são tratados é cobrada uma taxa de R$ 0,99 na sua mensalidade.</p><p>Exemplo31: um titular de dados solicita acesso aos seus dados na totalidade, contudo</p><p>a empresa fornece em um formato que dificulta extremamente a identificação e</p><p>localização por parte do titular.</p><p>Importante</p><p>Importante</p><p>É muito importante garantir a identificação do titular para evitar fraudes.</p><p>17.5 Qualidade dos dados</p><p>Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados,</p><p>de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.</p><p>Dentro de uma organização, a qualidade de dados é essencial para os processos</p><p>transacionais, operacionais e estratégias de marketing e negócios. Dados errados,</p><p>incompletos, imprecisos podem levar a tomadas de decisões equivocadas. Para manter</p><p>a qualidade do dados existem frameworks, soluções tecnológicas, testes e pesquisas</p><p>com o titular de dados.</p><p>Exemplo32: uma empresa além de oferece aos seus clientes mecanismo de</p><p>atualização de dados e realiza uma pesquisa direcionada para confirmar a exatidão</p><p>dos dados pessoais.</p><p>Continuando ainda com as finalidades veremos aqui a Transparência,</p><p>Segurança, Prevenção, Não discriminação, Responsabilização e prestação de contas.</p><p>17.6 Transparência</p><p>Garantia, aos titulares, de informações claras, precisas e facilmente</p><p>acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento,</p><p>observados os segredos comercial e industrial;</p><p>Em nenhum momento o titular de dados pode ter dúvida sobre quais condições</p><p>seus dados estão sendo tratados. Isso tem que ficar claro não apenas no momento que</p><p>o usuário fornece os dados, mas também quando for preciso e com fácil acesso.</p><p>Discussão</p><p>Discussão</p><p>Exemplo33: se sua empresa compartilha dados com terceiros, independente da</p><p>hipótese de tratamento adotada, o titular de dados deve saber disso ou conseguir</p><p>consultar facilmente.</p><p>17.7 Segurança</p><p>Utilização de medidas técnicas e administrativas aptas a proteger os</p><p>dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de</p><p>destruição, perda, alteração, comunicação ou difusão;</p><p>Os conceitos de Privacy by Design e Privacy by Default estão fortemente vinculado</p><p>com esse princípio</p><p>A Autoridade Nacional de Proteção de Dados poderá dispor sobre os padrões técnicos</p><p>mínimos aceitáveis.</p><p>Também é importante salientar que esse princípio não atinge apenas a área técnica,</p><p>mas também o administrativo. Ou seja, pessoas e processos também são</p><p>responsáveis pelos dados.</p><p>Exemplo34: a empresa não possui softwares de proteção contra malwares.</p><p>Exemplo35: a empresa não mantém um programa de orientação para os</p><p>colaboradores em relação a privacidade e proteção de dados.</p><p>17.8 Prevenção</p><p>Adoção de medidas para prevenir a ocorrência de danos em virtude do</p><p>tratamento de dados pessoais;</p><p>Se uma prevenção não for adequadamente implementada, os pressupostos</p><p>jurídicos para uma ação de responsabilidade por negligência, ou seja, descumprimento</p><p>dos deveres gerais vinculados a LGPD pode ocorrer.</p><p>Exemplo36: a empresa não mantém seus software de proteção de dados atualizados</p><p>e licenciados</p><p>Exemplo37: a empresa não um programa de governança dos dados, da privacidade</p><p>e da proteção.</p><p>Exemplo38: a empresa não treina seus funcionários para prevenir violações de</p><p>privacidade e proteção de dados listadas em sua matriz de riscos.</p><p>17.9 Não discriminação</p><p>Impossibilidade de realização do tratamento para fins discriminatórios</p><p>Ilícitos ou abusivos;</p><p>A discriminação poderá ser direta ou indireta. Direta, quando a aplicação</p><p>do processamento e seus resultados geraram um efeito negativo injustificável para um</p><p>indivíduo. Indireta quando uma grupo de pessoas é tratada com desvantagens, quando</p><p>comparado a outras pessoas.</p><p>Exemplo39: negar um empréstimo bancário com base na cor da pele ou por razões</p><p>étnica</p><p>17.10 Responsabilização e prestação e contas</p><p>Demonstração, pelo agente, da adoção de medidas eficazes e capazes de</p><p>comprovar a observância e o cumprimento das normas de proteção de dados pessoais</p><p>e, inclusive, da eficácia dessas medidas.</p><p>Autoridade Nacional de Proteção de Dados (ANPD) irá dispor sobre o relatório</p><p>de impacto à proteção de dados pessoais, que as empresas deverão apresentar.</p><p>Por exemplo40: uma empresa sofre um ataque cibernético que resulta no vazamento</p><p>de dados pessoais. Está deve ser capaz comprovar que utilizava medidas eficazes de</p><p>prevenção, mesmo que estas não foram suficientes.</p><p>18. DIREITOS DO TITULARES</p><p>Nesta seção veremos os direitos dos titulares, fazendo uma contextualização,</p><p>Confirmação da existência de tratamento, Acesso aos dados e Correção de dados</p><p>incompletos.</p><p>18.1 Contextualização</p><p>Devem ser feitas por meio de um requerimento expresso do titular</p><p>ao agente de tratamento.</p><p>Caso não seja possível atender? O agente deve...</p><p>Regras Gerais</p><p>Solicitações</p><p>• comunicar que não é agente de tratamento dos dados e indicar,</p><p>sempre que possível, o agente; ou</p><p>• indicar as razões de fato ou de direito que impedem a adoção</p><p>imediata da providência.</p><p>Será atendido sem custos para o titular, nos prazos e nos termos</p><p>previstos em regulamento.</p><p>18.2 Confirmação da existência de tratamento</p><p>O titular de dados poderá solicitar a confirmação do tratamento.</p><p>Caso a empresa não trata dados daquele titular deverá comunicar que</p><p>não é agente de tratamento dos dados e indicar, sempre que possível, o agente.</p><p>Exemplo41: Uma empresa de produtos de limpeza realiza uma promoção colocando</p><p>um painel na gondola do supermercado em que o consumidor se cadastra acessando</p><p>um QR Code. Dias depois um consumidor solicita ao supermercado a confirmação do</p><p>tratamento. Este deve informar que não é o agente, mas indica a empresa de limpeza</p><p>como.</p><p>18.3 Acesso aos dados</p><p>Em formato simplificado imediatamente</p><p>Por meio de declaração clara e completa, Que indique a origem dos dados, a</p><p>inexistência de registro, os critérios Utilizados e a finalidade do tratamento.</p><p>Por meio eletrônico ou sob forma impressa (a critério do titular)</p><p>importante</p><p>Tipo de resposta</p><p>Formato da resposta</p><p>Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular</p><p>poderá solicitar cópia eletrônica integral de seus dados pessoais, em formato que</p><p>permita a sua utilização subsequente, inclusive em outras operações de tratamento.</p><p>Em 15 dias.</p><p>Exemplo42: uma empresa se negou a oferecer uma cópia impressa dos dados do</p><p>titular, mas ofereceu um serviço pago junto a um parceiro para atender a solicitação</p><p>do titular.</p><p>18.4 Correção de dados incompletos.</p><p>A correção de seus dados pessoais, quando estiverem incompletos,</p><p>inexatos ou desatualizados</p><p>O titular dos dados terá o direito de obter do controlador, sem demora</p><p>injustificada, a retificação de dados pessoais incorretos que lhe digam respeito.</p><p>Exemplo43: (Boa prática) uma empresa periodicamente valida com seus</p><p>clientes os dados pessoais, dando a possibilidade de alteração imediata, caso</p><p>o titular entenda necessário.</p><p>19. ANONIMIZAÇÃO, BLOQUEIO OU ELIMINAÇÃO DE DADOS, PORTABILIDADE DOS DADOS,</p><p>ELIMINAÇÃO DOS DADOS PESSOAIS, INFORMAÇÕES SOBRE COMPARTILHAMENTO DE DADOS.</p><p>19.1 Anonimização, bloqueio ou eliminação</p><p>Anonimização, bloqueio ou eliminação de dados desnecessários,</p><p>excessivos ou tratados em desconformidade com a LGPD.</p><p>Aplica-se a dados que são tratados sob consentimento ou não do titular,</p><p>desde que sejam desnecessários, excessivos ou tratados em desconformidade</p><p>Exemplo44: O titular de dados entende que foram coletados dados que fogem</p><p>da finalidade de tratamento anunciada. Esse pode solicitar a eliminação dos</p><p>dados contestados.</p><p>19.2 Portabilidade dos dados</p><p>Discussão</p><p>Importante</p><p>Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante</p><p>requisição expressa, de acordo com a regulamentação da autoridade nacional,</p><p>observados os segredos comercial e industrial.</p><p>Não inclui dados que já tenham sido anonimizados pelo controlador</p><p>A autoridade nacional poderá dispor sobre padrões de interoperabilidade para</p><p>fins de portabilidade</p><p>Exemplo45: O titular solicita seus dados pessoais de uma plataforma de</p><p>educação a distância (EaD) para migrar para de outro fornecedor.</p><p>19.3 Eliminação dos dados pessoais</p><p>Eliminação dos dados pessoais tratados com o consentimento do titular,</p><p>exceto nas hipóteses previstas na LGPD.</p><p>O responsável deverá informar, de maneira imediata, aos agentes de</p><p>tratamento com os quais tenha realizado uso compartilhado de dados a</p><p>eliminação, para que repitam idêntico procedimento.</p><p>exceto</p><p>.</p><p>Exemplo46: usuário solicita a eliminação de dados pois não quer mais</p><p>manter relacionamento com a empresa.</p><p>19.4 Informações sobre compartilhamento de dados</p><p>Importante</p><p>nos casos em que esta comunicação seja comprovadamente impossível ou</p><p>implique esforço desproporcional</p><p>Informação das entidades públicas e privadas com as quais o</p><p>controlador realizou uso compartilhado de dados.</p><p>Exemplo47: após fazer o check-in online em seu restaurante</p><p>favorito o cliente começou a receber informações sobre atrações</p><p>turísticas na cidade e resolve solicitar ao restaurante informações</p><p>sobre entidades que ele compartilhou seus dados.</p><p>Existem normas para o poder público sobre o</p><p>compartilhamento de dados pessoais.</p><p>Existem normas para dados sensíveis sobre o</p><p>compartilhamento de dados pessoais.</p><p>20. POSSIBILIDADE DE NÃO FORNECER CONSENTIMENTO, REVOGAÇÃO DO</p><p>CONSENTIMENTO, REVISÃO DE DECISÕES AUTOMATIZADAS.</p><p>20.1 Possibilidade de não fornecer consentimento</p><p>Informação sobre a possibilidade de não fornecer consentimento e sobre as</p><p>consequência Quando o acesso a um conteúdo ou funcionalidade</p><p>Quando o acesso a um conteúdo ou funcionalidade depender do consentimento</p><p>do titular de dados, este deve ser informado sobre a possibilidade não conceder</p><p>o consentimento e quais os impactos negativos ou limitadores dessa ação.</p><p>Exemplo48: um cliente ao acessar seu site é alertado sobre a coleta de dados</p><p>via cookie, esse pode ou não aceitar, além de ser informados de limitações da</p><p>não aceitação.</p><p>Exemplo49: Usuário para acessar todas as funcionalidades do seu sistema</p><p>deve preencher um cadastro e fornecer o consentimento, esse deve ser</p><p>informado sobre as limitações caso ele não conceder.</p><p>20.2 Revogação do consentimento</p><p>O consentimento pode ser revogado a qualquer momento mediante</p><p>manifestação expressa do titular, por procedimento gratuito e facilitado,</p><p>ratificados os tratamentos realizados sob amparo do consentimento</p><p>anteriormente manifestado enquanto não houver requerimento de eliminação.</p><p>Exemplo50: um cliente deseja revogar o consentimento para o</p><p>compartilhamento de dados com terceiros, contudo deseja manter o</p><p>consentimento para outras atividades.</p><p>20.3 Revisão de decisões automatizadas</p><p>Revisão de decisões que afetem seus interesses, incluídas as decisões</p><p>destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito</p><p>ou os aspectos de sua personalidade.</p><p>Exceção</p><p>Segredo comercial e industrial</p><p>Quando houver segredo comercial e industrial, a autoridade nacional poderá</p><p>realizar auditoria para verificação de aspectos discriminatórios em tratamento</p><p>automatizado de dados pessoais.</p><p>Exemplo51: empresa na contratação utiliza um software de inteligência</p><p>artificial para analisar o perfil dos candidatos e o resultado é um dos itens do</p><p>processo seletivo.</p><p>O controlador deverá fornecer, sempre que</p><p>solicitadas, informações claras e adequadas</p><p>a respeito dos critérios e dos procedimentos</p><p>utilizados para a decisão automatizada.</p><p>21 BASES LEGAIS DE TRATAMENTO</p><p>• Contextualização</p><p>• Consentimento</p><p>21.1 Contextualização</p><p>O que são as bases legais de tratamento? (Propósito)</p><p>Posso adotar mais de uma base legal para o tratamento de um dado</p><p>específico?</p><p>21.2 Consentimento</p><p>Conceito: Manifestação livre, informada e inequívoca pela qual o titular</p><p>concorda com o tratamento de seus dados pessoais para uma finalidade</p><p>determinada;</p><p>Quando devo usar o consentimento?</p><p>Quando o consentimento “atrapalha”?</p><p>Como deve ser fornecido?</p><p>Por escrito ou por outro meio que demonstre a manifestação de vontade do</p><p>titular.</p><p>Deverá constar de cláusula destacada das demais cláusulas contratuais.</p><p>É vedado o tratamento de dados pessoais mediante vício de consentimento</p><p>Por escrito</p><p>Regras Gerais do Consentimento</p><p>O consentimento deverá referir-se a finalidades determinadas, e as autorizações</p><p>genéricas para o tratamento de dados pessoais serão nulas.</p><p>O consentimento pode ser revogado a qualquer momento mediante</p><p>manifestação expressa do titular, por procedimento gratuito e facilitado.</p><p>Cabe ao controlador provar de que o consentimento foi obtido em conformidade</p><p>Qualquer de alteração de informação referente á:</p><p>• finalidade específica do tratamento;</p><p>• forma e duração do tratamento</p><p>• identificação do controlador;</p><p>• informações acerca do uso compartilhado de dados pelo controlador e a</p><p>finalidade;</p><p>o controlador deverá informar ao titular, podendo o titular revogar o</p><p>consentimento caso discorde da alteração.</p><p>Será considerado nulo caso as informações fornecidas ao titular tenham</p><p>conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente</p><p>com transparência, de forma clara e inequívoca.</p><p>A eventual dispensa da exigência do consentimento não desobriga os agentes</p><p>de tratamento das demais obrigações previstas na LGPD.</p><p>É dispensada a exigência do consentimento para os dados tornados</p><p>manifestamente públicos pelo titular, resguardados os direitos do titular e os</p><p>princípios previstos nesta Lei.</p><p>O controlador que necessitar comunicar ou compartilhar dados pessoais com</p><p>outros controladores deverá obter consentimento específico do titular para esse</p><p>fim.</p><p>Resguardas as ressalvas da LGPD, definidas por outras bases legais</p><p>Tratamento de Dados Pessoais Sensíveis</p><p>Cumprimento de obrigação legal ou regulatória pelo controlador</p><p>Tratamento compartilhado de dados necessários à execução, pela</p><p>administração pública, de políticas públicas previstas em leis ou regulamentos</p><p>Realização de estudos por órgão de pesquisa, garantida, sempre que possível,</p><p>a anonimização dos dados pessoais sensíveis</p><p>Exercício regular de direitos, inclusive em contrato e em processo judicial,</p><p>administrativo e arbitral.</p><p>Exemplo52: minha clínica precisa compartilhar com a Anvisa dados pessoais</p><p>sensíveis de pacientes.</p><p>Exemplo53: será dada publicidade à referida dispensa de consentimento caso</p><p>a administração pública necessitar compartilhar dados sensíveis</p><p>Exemplo54: relatório estatísticos que contém dados pessoais sensíveis, sobre</p><p>tipos de internação que ocorrem no meu hospital.</p><p>Exemplo55: envio dados pessoais sensíveis em um processo judicial contra</p><p>a minha clínica.</p><p>Proteção da vida ou da incolumidade física do titular ou de terceiro</p><p>Tutela da saúde, exclusivamente, em procedimento realizado por profissionais</p><p>de saúde, serviços de saúde ou autoridade sanitária</p><p>Garantia da prevenção à fraude e à segurança do titular, nos processos de</p><p>identificação e autenticação de cadastro em sistemas eletrônicos.</p><p>Exemplo56: a farmácia coletou meu dados e irá compartilhar com órgão</p><p>regulamentadores antes da compra de um antibiótico.</p><p>Exemplo57: a enfermeira coletou dados pessoais para criar um prontuário de</p><p>atendimento para minha internação</p><p>Exemplo58: Coletaram minha digital na academia com objetivo de me</p><p>identificar efetivamente e liberar minha entrada no estabelecimento</p><p>É vedada a comunicação ou o uso compartilhado entre controladores de dados</p><p>pessoais sensíveis referentes à saúde com objetivo de obter vantagem</p><p>econômica</p><p>Exceto</p><p>• Prestação de serviços de saúde,</p><p>• Assistência farmacêutica</p><p>• Assistência à saúde</p><p>• Serviços auxiliares de diagnose e terapia</p><p>• em benefício dos interesses dos titulares de dados, e para</p><p>permitir</p><p>I - a portabilidade de dados quando solicitada pelo titular;</p><p>II - as transações financeiras e administrativas resultantes do</p><p>uso e da prestação dos serviços de que trata este parágrafo.</p><p>Do Tratamento de Dados Pessoais de Crianças e de Adolescentes</p><p>O tratamento de dados pessoais de crianças deverá ser realizado com o</p><p>consentimento específico e em destaque dado por pelo menos um dos pais ou</p><p>pelo responsável legal.</p><p>Exceto</p><p>Poderão ser coletados dados pessoais de crianças sem o consentimento,</p><p>quando a coleta for necessária para contatar os pais ou o responsável legal,</p><p>utilizados uma única vez e sem armazenamento, ou para sua proteção.</p><p>Considerando que</p><p>Em nenhum caso poderão ser repassados a terceiro sem o consentimento</p><p>O controlador deve realizar todos os esforços razoáveis para verificar que o</p><p>consentimento foi dado pelo responsável pela criança, consideradas as</p><p>tecnologias disponíveis.</p><p>Exemplo59: Um aplicativo de jogo solicita dados pessoais de crianças, deve</p><p>ter o consentimento antes.</p><p>Exemplo60: A escola compartilha dados da criação com a empresa de</p><p>transporte. Ela deve solicitar o consentimento para isso!</p><p>Tratamento de dados pessoais pelo poder público</p><p>A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica</p><p>de direito público a pessoa de direito privado será informado à autoridade</p><p>nacional e dependerá de consentimento do titular.</p><p>Exceto</p><p>Nas hipóteses de dispensa de consentimento previstas na LGPD, com</p><p>destaque para a utilização para execução de políticas públicas e atribuição</p><p>legal.</p><p>Transferência internacional de dados</p><p>Uma das hipóteses, existem outras, para a transferência internacional de</p><p>dados pessoais é por meio do consentimento específico, destacando</p><p>informações sobre a operação de transferência, distinguindo claramente esta</p><p>de outras finalidades.</p><p>Consentimento /Cookies</p><p>Todos os sites que tratam dados. Se o seu site processa dados</p><p>Pessoais ou dados que, cruzados, podem identificar uma pessoa</p><p>Importante</p><p>Tipos: First Party e Third Party</p><p>Individualmente, ele precisa ainda mais de uma revisão na forma</p><p>Como essas informações são processadas.</p><p>Consentimento, finalidade, período de expiração, política de privacidade, etc</p><p>22. CUMPRIMENTO DE OBRIGAÇÃO LEGAL, EXECUÇÃO DE POLÍTICAS PÚBLICAS, ESTUDOS POR</p><p>ÓRGÃOS DE PESQUISA, EXECUÇÃO DE CONTRATO E EXERCÍCIO REGULAR DE DIREITOS</p><p>22.1 Cumprimento de obrigação legal</p><p>Cumprimento de Obrigação Legal ou Regulatória do Controlador</p><p>Exemplo61: Leis trabalhistas que exigem que os dados de funcionários</p><p>sejam armazenados por um período que varia de 5 a 20 anos, de acordo</p><p>com o documento –(Portaria SPREV nº 211/2019).</p><p>Exemplo62: A ANVISA exige o rastreamento do uso de medicamentos</p><p>controlados da fábrica até o consumidor final, adicionando dados pessoais</p><p>sensíveis a esse ato regulatório</p><p>Exemplo63: Documentos da área contábil e financeira que devem tratados e</p><p>armazenados na empresa controladora</p><p>22.2 Execução de políticas públicas</p><p>Pela administração pública, para o tratamento e uso compartilhado de dados</p><p>Necessários à execução de políticas públicas previstas em leis e regulamentos</p><p>ou respaldadas em contratos, convênios ou instrumentos congêneres.</p><p>Exemplo64: Unidade básica de saúde na coleta de dados pessoais para o</p><p>controle de vacinação</p><p>Exemplo65: Tratamento de dados de alunos da escola estadual para</p><p>combate a evasão escolar.</p><p>Exemplo66: Governo Federal faz o cadastro do cidadão para programas de</p><p>assistência social pública.</p><p>22.3 Estudos por órgãos de pesquisa</p><p>Definição de órgão de pesquisa: órgão ou entidade da administração pública</p><p>direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos</p><p>legalmente constituída sob as leis brasileiras, com sede e foro no País, que</p><p>inclua em sua missão institucional ou em seu objetivo social ou estatutário a</p><p>pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou</p><p>estatístico</p><p>Para a realização de estudos por órgão de pesquisa, garantida, sempre que</p><p>possível, a anonimização dos dados pessoais / dados pessoais sensíveis;</p><p>Exemplo67: O IBGE - Instituto Brasileiro de Geografia e Estatística em</p><p>pesquisas nacionais e regionais coletando dados pessoais.</p><p>Exemplo68: O IPEA - Instituto de Pesquisa Econômica Aplicada coleta</p><p>dados pessoais do perfil do brasileiro que compra pela Internet.</p><p>Na realização de estudos em saúde pública serão tratados exclusivamente</p><p>dentro do órgão e estritamente para a finalidade de realização de estudos e</p><p>pesquisas e mantidos em ambiente controlado e seguro, que incluam, sempre</p><p>que possível, a anonimização ou pseudonimização dos dados.</p><p>22.4 Execução de contrato</p><p>Para a execução de contrato ou de procedimentos preliminares relacionados</p><p>a contrato do qual seja parte o titular, a pedido do titular dos dados.</p><p>Exemplo69: um contrato de aluguel de um imóvel no qual o titular queira</p><p>alugar.</p><p>Exemplo70: Um memorando de entendimento de sócios no início de</p><p>concepção de uma startup.</p><p>22.5 Exercício regular de direitos</p><p>Importante</p><p>O órgão de pesquisa será o responsável pela segurança da informação, não</p><p>permitida, em circunstância alguma, a transferência dos dados a terceiro.</p><p>Que não cabe oposição ao tratamento de dados pessoais no contexto dos</p><p>processos judiciais, administrativos e arbitrais.</p><p>Exemplo71: Um policial que aborda uma pessoa na rua e pede seus dados e</p><p>anota em um boletim de ocorrência</p><p>Exemplo72: no processo de investigação e geração de provas que envolvam</p><p>dados pessoais</p><p>23. PROTEÇÃO DA VIDA, TUTELA DA SAÚDE, PROTEÇÃO DO CRÉDITO, INTERESSES LEGÍTIMOS</p><p>23.1 Proteção da vida</p><p>Para a proteção da vida</p>