Infográfico LGPD - MarceloPergentino Adv

Prévia do material em texto

Consultoria e Advocacia
IMPACTOS PARA AS EMPRESAS E A IMPORTÂNCIA DA ADEQUAÇÃOIMPACTOS PARA AS EMPRESAS E A IMPORTÂNCIA DA ADEQUAÇÃO
Segundo o artigo 5º, X, tratamento é toda operação realizada com dados
pessoais que envolva a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração.
o modo pelo qual é realizado;
o resultado e os riscos que razoavelmente
dele se esperam;
as técnicas de tratamento de dados pessoais
disponíveis à época em que foi realizado.
Os agentes de tratamento de dados - controlador e
operador - podem ser solidariamente
responsabilizados pelo uso indevido e não autorizado
dos dados, por incidente de segurança da informação,
por atuar em desconformidade à lei, ou por dar causa a
dano patrimonial ou moral, individual ou coletivo, ficando
obrigados a repará-lo.
O tratamento de dados pessoais será irregular quando
deixar de observar a legislação ou quando não
fornecer a segurança esperada pelo titular, entre as
quais (art. 44): 
Pessoas Jurídicas de Direito Privado que
realizem operação de tratamento com dados
pessoais. Logo, não é exclusiva às empresas
que operam em meio digital (ex. e-
commerce).
Profissionais Autônomos e Liberais que
realizem operação de tratamento de dados
pessoais com fins econômicos.
Pessoas Jurídicas de Direito Público 
A lei se aplica ao tratamento de dados pessoais, inclusive nos meios digitais, por
pessoa natural ou por pessoa jurídica de direito público ou privado, com o
objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o
livre desenvolvimento da personalidade da pessoa natural (art. 1º).
A P L I C A Ç Ã O , O B J E T I V O S E T R A T A M E N T O D E D A D O S P . 0 2
A P L I C A Ç Ã O E O B J E T I V O S D A L G P D :A P L I C A Ç Ã O E O B J E T I V O S D A L G P D :
Além do tratamento em meios digitais, a lei também se
aplica ao tratamento de dados em meio físico, por
exemplo, dados armazenados em arquivo físico,
coletados de forma impressa, por documento escrito,
etc.
O Q U E É T R A T A M E N T O D E D A D O S P E S S O A I S ?O Q U E É T R A T A M E N T O D E D A D O S P E S S O A I S ?
Q U E M D E V E O B S E R V A R A L E I ?Q U E M D E V E O B S E R V A R A L E I ?
R E S P O N S A B I L I D A D E S D O S A G E N T E SR E S P O N S A B I L I D A D E S D O S A G E N T E S
D E T R A T A M E N T O D E D A D O S ( A R T . 4 2D E T R A T A M E N T O D E D A D O S ( A R T . 4 2
E S E G U I N T E S )E S E G U I N T E S ) 
MP
Com a LGPD o tratamento de dados pessoais somente poderá serCom a LGPD o tratamento de dados pessoais somente poderá ser
realizado quando tiver fundamento em alguma das bases legais abaixo:realizado quando tiver fundamento em alguma das bases legais abaixo:
Dado pessoal sensível: dado pessoal sobre origem racial ou
étnica, convicção religiosa, opinião política, filiação a sindicato
ou a organização de caráter religioso, filosófico ou político,
dado referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural art. 5º, II).
Dado pessoal: informação relacionada a pessoa natural
identificada ou identificável (art. 5º, I);
D A D O P E S S O A L E B A S E S L E G A I S P . 0 3
Consentimento fornecido pelo titular;Consentimento fornecido pelo titular;
Cumprimento de obrigação legal ouCumprimento de obrigação legal ou
regulatória pelo controlador;regulatória pelo controlador;
Pela Administração Pública, para o tratamentoPela Administração Pública, para o tratamento
e uso compartilhado de dados necessários àe uso compartilhado de dados necessários à
execução de políticas públicas;execução de políticas públicas;
Realização de estudos por órgão de pesquisa;Realização de estudos por órgão de pesquisa;
Execução de contrato ou de procedimentosExecução de contrato ou de procedimentos
preliminares relacionados a contrato do qualpreliminares relacionados a contrato do qual
seja parte o titular;seja parte o titular;
Exercício regular de direitos em processoExercício regular de direitos em processo
judicial, administrativo ou arbitral;judicial, administrativo ou arbitral;
Proteção da vida ou da incolumidade física doProteção da vida ou da incolumidade física do
titular ou de terceiro;titular ou de terceiro;
Tutela da saúde (em procedimento realizado porTutela da saúde (em procedimento realizado por
profissionais de saúde, serviços de saúde ouprofissionais de saúde, serviços de saúde ou
autoridade sanitária);autoridade sanitária);
Legítimo interesse do controlador ou deLegítimo interesse do controlador ou de
terceiro (exceto quando prevalecerem direitosterceiro (exceto quando prevalecerem direitos
e liberdades fundamentais do titular);e liberdades fundamentais do titular);
Para a proteção do crédito;Para a proteção do crédito;
Em se tratando de dados pessoais sensíveis, as bases
legais do legítimo interesse, da proteção ao crédito e da
execução contratual não poderão ser utilizadas para
fundamentar o tratamento.
MP
A operação de tratamento deverá ter fundamento em
alguma das outras bases (art. 11).
E X E R C Í C I O D O D I R E I T OE X E R C Í C I O D O D I R E I T O
P E L O T I T U L A RP E L O T I T U L A R 
MP
REGISTRO DAS ATIVIDADES DE
TRATAMENTO E DATA MAPPING
O controlador e o operador devem O controlador e o operador devem manter registromanter registro
das operações de tratamentodas operações de tratamento de dados pessoais de dados pessoais
que realizarem, especialmente quando baseado noque realizarem, especialmente quando baseado no
legítimo interesse legítimo interesse (art. 37).(art. 37).
É necessário o registro de toda atividade deÉ necessário o registro de toda atividade de
tratamento de dados pessoas, desde a coleta atétratamento de dados pessoas, desde a coleta até
sua exclusão, com a sua exclusão, com a indicação da base legal indicação da base legal parapara
o tratamento,o tratamento, finalidades finalidades, , usosusos, , tempo detempo de
retençãoretenção, , práticas de segurança da informaçãopráticas de segurança da informação
adotadas para assegurar a confidencialidade,adotadas para assegurar a confidencialidade,
integridade e disponibilidade dos dados, bem comointegridade e disponibilidade dos dados, bem como
sobre eventual sobre eventual compartilhamento compartilhamento a terceiro.a terceiro.
D I R E I T O S D O S T I T U L A R E S D E D A D O S ( A R T . 1 8 )
Confirmação daConfirmação da
existência deexistência de
tratamento de seustratamento de seus
dados pessoaisdados pessoais
Acesso aosAcesso aos
dadosdados
Correção de dadosCorreção de dados
incompletos,incompletos,
inexatos ouinexatos ou
desatualizadodesatualizado
Anonimização,Anonimização,
bloqueio oubloqueio ou
eliminação deeliminação de
dadosdados
Portabilidade dosPortabilidade dos
dados a outrodados a outro
fornecedor defornecedor de
serviço ou produtoserviço ou produto
Eliminação Eliminação dosdos
dados pessoaisdados pessoais
tratados com basetratados com base
nono consentimento consentimento
do titulardo titular 
Informação sobre oInformação sobre o
compartilhamentocompartilhamento
de dados pessoaisde dados pessoais
com terceirocom terceiro
Informação sobre aInformação sobre a
possibilidade depossibilidade de
não fornecimentonão fornecimento
do consentimento edo consentimento e
suassuas
consequênciasconsequências
Revogação Revogação dodo
consentimentoconsentimento
fornecidofornecido
Oposição aoOposição ao
tratamento detratamento de
seus dadosseus dados
pessoaispessoais 
O titular dos dados pessoais tem o direito a
peticionar contra o controlador (empresa) perante
a Autoridade Nacional (ANPD) e aos organismos
de Defesa do Consumidor (art. 18, §§1º e 8º).
O titular poderá oferecer requerimento diretamente
ao agente de tratamentoe deverá ser atendido sem
custos, observando os prazos e termos previstos em
regulamento.
P . 0 4
OO consentimento consentimento deve ser fornecido pordeve ser fornecido por
escrito (com cláusula destacada) ou por outroescrito (com cláusula destacada) ou por outro
meio que demonstre a manifestação demeio que demonstre a manifestação de
vontade do titular (art. 8).vontade do titular (art. 8).
O consentimento pode ser O consentimento pode ser revogado arevogado a
qualquer momentoqualquer momento, mediante manifestação, mediante manifestação
expressa do titular, por procedimento gratuito eexpressa do titular, por procedimento gratuito e
facilitado, ratificados os tratamentos realizadosfacilitado, ratificados os tratamentos realizados
sob amparo do consentimento anteriormentesob amparo do consentimento anteriormente
manifestado enquanto não houvermanifestado enquanto não houver
requerimento de eliminação.requerimento de eliminação.
Cabe ao controlador o Cabe ao controlador o ônus da provaônus da prova de que de que
o consentimento foi obtido em conformidadeo consentimento foi obtido em conformidade
(art. 8, §2).(art. 8, §2).
MP
A LGDP é uma lei que envolve Governança, Riscos, Compliance e Boas Práticas.
O processo de adequação não se resume a documentos formais, mas a adoção de
medidas práticas, organizacionais e comportamentais efetivas que demonstrem o
cumprimento da legislação.
Envolve comprometimento da Alta Direção (e stakeholders), treinamento e
conscientização de funcionários, colaboradores e parceiros, due
diligence, avaliação, monitoramento e auditoria do progama de conformidade, etc.
C O M O S E A D E Q U A R À L G P D ? P . 0 5
Mapeamento dos dados,Mapeamento dos dados,
identificação das operaçõesidentificação das operações
de tratamento, indicação dasde tratamento, indicação das
bases legais e aderência aosbases legais e aderência aos
princípios do art. 6º, criação deprincípios do art. 6º, criação de
documentos (contratos,documentos (contratos,
políticas, termos, aviso depolíticas, termos, aviso de
privacidade) para uso interno eprivacidade) para uso interno e
externo.externo.
Criação de canal deCriação de canal de
comunicação com o titularcomunicação com o titular
para pedidos sobre seuspara pedidos sobre seus
dados: confirmação, acesso,dados: confirmação, acesso,
anonimização, revogação doanonimização, revogação do
consentimento, eliminação,consentimento, eliminação,
etc. (art. 18).etc. (art. 18).
Controle e gestão doControle e gestão do
consentimento do titular,consentimento do titular, 
 que deve ser obtido deque deve ser obtido de
forma clara e inequívoca,forma clara e inequívoca,
com transparência e paracom transparência e para
finalidades específicas, sobfinalidades específicas, sob
pena de nulidade dopena de nulidade do
consentimento prestado.consentimento prestado.
Indicação do encarregadoIndicação do encarregado
de proteção de dadosde proteção de dados
(pessoa física ou jurídica),(pessoa física ou jurídica),
responsável peloresponsável pelo
gerenciamento dogerenciamento do
programa de proteção deprograma de proteção de
dados pessoais (art. 41).dados pessoais (art. 41).
Treinamento e conscientizaçãoTreinamento e conscientização
dede funcionários, colaboradoresfuncionários, colaboradores
e parceiros sobre a importânciae parceiros sobre a importância
da proteção de dados eda proteção de dados e dada
adoção dos procedimentosadoção dos procedimentos
estabelecidos no programa deestabelecidos no programa de
conformidade.conformidade. 
Adoção de medidas deAdoção de medidas de
segurança da informaçãosegurança da informação
suficientes para proteção dossuficientes para proteção dos
dados pessoais, a garantir suadados pessoais, a garantir sua
confidencialidade, integridadeconfidencialidade, integridade
e disponibilidade, inclusivee disponibilidade, inclusive
em operações que envolvamem operações que envolvam
compartilhamento de dados.compartilhamento de dados.
Procedimento deProcedimento de
comunicação à Autoridadecomunicação à Autoridade
Nacional (ANPD) e ao titular,Nacional (ANPD) e ao titular,
quando da ocorrência dequando da ocorrência de
incidente de segurança queincidente de segurança que
possa acarretar risco oupossa acarretar risco ou
dano relevante ao titular (art.dano relevante ao titular (art.
48).48).
Realizar Relatório deRealizar Relatório de
Impacto à Proteção deImpacto à Proteção de
Dados Pessoais quandoDados Pessoais quando
o tratamento tiver comoo tratamento tiver como
fundamento o legítimofundamento o legítimo
interesse dointeresse do
controlador (art. 10, §3º).controlador (art. 10, §3º).
MP
F I S C A L I Z A Ç Ã O E P E N A L I D A D E S P . 0 6
No tocante às penalidades previstas na LGPD (art. 52 e ss.), essas passarão a valer aNo tocante às penalidades previstas na LGPD (art. 52 e ss.), essas passarão a valer a
partir de partir de Agosto de 2021 (Lei 14.010/2020)Agosto de 2021 (Lei 14.010/2020) ;;    o que não impede, todavia, estando ao que não impede, todavia, estando a
lei em vigência, essa possa ser utilizada por outros órgãos de fiscalização ou peloslei em vigência, essa possa ser utilizada por outros órgãos de fiscalização ou pelos
próprios titulares de dado pessoal, com o ajuizamento de ações judiciais,próprios titulares de dado pessoal, com o ajuizamento de ações judiciais,
individuais ou coletivas, em caso de violação à Lei Geral de Proteção de Dados.individuais ou coletivas, em caso de violação à Lei Geral de Proteção de Dados. 
MP
A L E I G E R A L D E P R O T E Ç Ã O D E D A D O S É U M A L E I D EA L E I G E R A L D E P R O T E Ç Ã O D E D A D O S É U M A L E I D E
O P O R T U N I D A D E S !O P O R T U N I D A D E S !
Ajuizamento de ações pelosAju izamento de ações pelos
t i tu lares de dado pessoal ,t i tu lares de dado pessoal ,
inclus ive com pedido deinclus ive com pedido de
indenização;indenização;
Em um mundo cada vez mais conectado e em que dados pessoais representamEm um mundo cada vez mais conectado e em que dados pessoais representam
grande at ivo econômico, saber grande at ivo econômico, saber protegê-losprotegê-los e e gerenciá-losgerenciá-los de forma adequada é, de forma adequada é,
acima de tudo, acima de tudo, diferencial competit ivo e estratégicodiferencial competit ivo e estratégico que ditará as relações que ditará as relações
econômicas daqui pra frente. Não se trata “apenas” de cumprir a le i para evitareconômicas daqui pra frente. Não se trata “apenas” de cumprir a le i para evitar
sanções (que por s i só podem causar alto impacto negativo) , mas, sobretudo, passarsanções (que por s i só podem causar alto impacto negativo) , mas, sobretudo, passar
imagem de credibi l idade, conf iança e segurança aos t i tulares de dado pessoal . Paraimagem de credibi l idade, conf iança e segurança aos t i tulares de dado pessoal . Para
além das penal idades o dano reputacional pode ser i rreversível . É essencialalém das penal idades o dano reputacional pode ser i rreversível . É essencial
entender esse novo momento e viabi l izar a cont inuidade da at iv idade empresar ial .entender esse novo momento e viabi l izar a cont inuidade da at iv idade empresar ial .
A implementação do programa de A implementação do programa de conformidadeconformidade
envolve toda uma anál ise do f luxo informacionalenvolve toda uma anál ise do f luxo informacional
real izado pela empresa, seja interno ( funcionár iosreal izado pela empresa, seja interno ( funcionár ios
e colaboradores) , ou externo (consumidores,e colaboradores) , ou externo (consumidores,
parceiros, fornecedores, Poder Públ ico) .parceiros, fornecedores, Poder Públ ico) . 
Por se tratar antes de tudo de uma lei dePor se tratar antes de tudo de uma lei de
governança, r iscos e boas prát icas, permite aosgovernança, r iscos e boas prát icas, permite aos
gestores a oportunidade de revis i tar seusgestores a oportunidade de revis i tar seus
processosinternos, processos internos, readequá-losreadequá-los e e otimizá-losotimizá-los ..
Conhecer o modelo de negócio e a estrutura da organização é fundamental , assimConhecer o modelo de negócio e a estrutura da organização é fundamental , assim
como aval iar os r iscos inerentes ao negócio e à at iv idade, a f im de reduzir seuscomo aval iar os r iscos inerentes ao negócio e à at iv idade, a f im de reduzir seus
impactos; apr imorar processos internos; dar segurança jur ídica às relaçõesimpactos; apr imorar processos internos; dar segurança jur ídica às relações
envolvendo dados pessoais ; adotar medidas de segurança da informação; e difundirenvolvendo dados pessoais ; adotar medidas de segurança da informação; e difundir
a conscient ização da importância da proteção de dados pessoais .a conscient ização da importância da proteção de dados pessoais .
C O N S I D E R A Ç Õ E S F I N A I S P . 0 7
O processo de adequação e conformidade à LGPDO processo de adequação e conformidade à LGPD
é uma grande oportunidade para o Setor Pr ivado!é uma grande oportunidade para o Setor Pr ivado!
Dano reputacional e perda deDano reputacional e perda de
conf iança e credib i l idade pelosconf iança e credib i l idade pelos
consumidores e o mercado.consumidores e o mercado. 
F iscal izações pela ANPD e outrasFiscal izações pela ANPD e outras
ent idades (Min istér io Públ ico,ent idades (Min istér io Públ ico,
Procon, Senacon, S indicatos , etc) ;Procon, Senacon, S indicatos , etc) ;
Multas e penal idades;Multas e penal idades;
Ganho reputacional , conf iança eGanho reputacional , conf iança e
credib i l idade por consumidorescredib i l idade por consumidores
e pelo mercado.e pelo mercado.
Revisão e ot imização deRevisão e ot imização de
processos internos e aval iaçõesprocessos internos e aval iações
externas ;externas ;
Conscient ização e engajamentoConscient ização e engajamento
de funcionár ios , colaboradoresde funcionár ios , colaboradores
e parcei ros ;e parcei ros ; 
D i ferencial compet i t ivo eDiferencial compet i t ivo e
estratégico;estratégico;
Aval iação de r iscos, adoção deAval iação de r iscos, adoção de
medidas de controle ,medidas de controle ,
antecipação aos impactos eantecipação aos impactos e
plano de cont inuidade deplano de cont inuidade de
negócio .negócio . 
" D A D O S S Ã O O N O V O P E T R Ó L E O "" D A D O S S Ã O O N O V O P E T R Ó L E O " 
- C L I V E H U M B Y- C L I V E H U M B Y
Mater ia l  produzido e elaborado por Mater ia l  produzido e elaborado por Marcelo Carvalho PergentinoMarcelo Carvalho Pergentino , em 31/08/2020., em 31/08/2020.
Advogado inscr i to na OAB/BA.Advogado inscr i to na OAB/BA. 
Pós-graduado em Dire i to Tr ibutár io e em Ciências Cr iminais .Pós-graduado em Dire i to Tr ibutár io e em Ciências Cr iminais .
Pós-graduando em Dire i to Dig i ta l e Pós-graduando em Dire i to Dig i ta l e Compl ianceCompl iance ..
Pr ivacy & Data Protect ion Essent ia ls cert i f icado pela EXIN.Pr ivacy & Data Protect ion Essent ia ls cert i f icado pela EXIN.
Membro da Associação Nacional de Advogados do Dire i to Dig i ta l - ANADD.Membro da Associação Nacional de Advogados do Dire i to Dig i ta l - ANADD. 
Membro da Comunidade Bras i le i ra de Tecnologia e Segurança da Informação - CBTSi .Membro da Comunidade Bras i le i ra de Tecnologia e Segurança da Informação - CBTSi .
L inkedin : L inkedin : l inkedin .com/in/marcelopergent inol inkedin .com/in/marcelopergent ino
IG @marcelopergent ino .advIG @marcelopergent ino .adv
E-mail : marcelopergentino.adv@gmail .comE-mail : marcelopergentino.adv@gmail .com
Marcelo Pergentino
Consultoria e AdvocaciaConsultoria e Advocacia
http://linkedin.com/in/marcelopergentino
https://app.exeed.pro/holder/badge/63803