Aula 1 - LGPD 2020 08 28 v0 1

Prévia do material em texto

_________________________________
Segurança da Informação
LGPD
Prof. Esp Claudia Rodrigues de Carvalho
Claudia.carvalho3@fatec.sp.gov.br
_________________________________
LGPD - Lei Geral de Proteção de Dados
_________________________________
LGPD - Lei Geral de Proteção de Dados
A lei nº 13.709/2018, conhecida por LGPD (Lei Geral de Proteção de Dados Pessoais ou LGPDP - Lei Geral de Proteção de Dados Pessoais), é a legislação brasileira que regula as atividades de tratamento de dados pessoais.
Aprovada em 14 de agosto de 2018
* Fonte: https://www.camara.leg.br/noticias/687343-camara-aprova-emenda-sobre-vigencia-da-lei-de-protecao-de-dados-e-conclui-votacao-de-mp (consulta 27/8/2020)
_________________________________
1 - Escopo Geral da LGPD
Os dados são o novo petróleo pois através dele temos a capacidade de conhecer, extrair informações sobre novos mercados e pessoas
 	
- Todos deixam rastros (dados) que oferecem um alto diferencial competitivo
	
-Estamos vivendo uma era com alto nível de digitalização 	das relações humanas e financeiras
_________________________________
LGPD - Lei Geral de Proteção de Dados
Potencial Competitivo
	Competição mundial
	Mundo interconectado
Os competidores não são só os que estão fisicamente próximos a você (Compete com mundo inteiro)
Dados se bem utilizados oferecem as empresas uma inteligência extra e um poder de reação muito mais rápido que transforma estes dados em valor que é traduzido em crescimento e desenvolvimento no mercado (Lucratividade, Market Share, Mind Share)
_________________________________
Uso indiscriminado dos dados
 	Pesquisas mostram alto grau de atividades hackers, isto é, aquelas que buscam comprometer a integridade, disponibilidade e confiabilidade dos dados.
	Paradoxo:
 Alto valor dos dados X Atividades intensas de rackers
= 
Ambiente de altíssimo risco
_________________________________
Probabilidade dos Riscos
 	As empresas são alvos constantes de ataques hackers que colocando em risco as informações e todo o conhecimento que ela pode gerar
Probabilidade dos Riscos (impactos)
1 – Chance da ameaça atentar contra seus dados.
2 – Alta atividade hacker no mundo
 ( Estes dois aspectos analisados faz com que a probabilidade que sua empresa sobre um ataque hacker seja muito grande) 
_________________________________
Probabilidade dos Riscos (impactos)
Estas probabilidades aumentam e são maximizadas por efeitos de ações bem sucedidas de uma ameaça, que geralmente tem efeitos financeiros, isto é, hacker produzem valor em dinheiro com os dados das empresas (encomendados ou não)
Volume de dados valiosos disponíveis.
Muitas empresas utilizam
Grande atividade hacker
Potencial de lucro
Geram ambientes de altíssimo risco e alta exposição
8
_________________________________
Impactos dos Riscos
Os impactos estão diretamente ligados a necessidade das empresas se modernizarem
Empresas mais modernas informatizadas correm mais riscos, pois se expõem mais.
Empresas mais tradicionais menos modernizadas tem seus dados mas restritos estão menos sujeitas a estes risco, no entanto estão perdendo o bonde da transformação digital.
O Risco ligado aos dados e hackers no ciberspace estão diretamente ligadas a necessidade das empresas em evoluírem e se modernizarem. 
É um risco que tem que ser assumido e administrado
9
_________________________________
Contexto da LGPD
Diante deste novo cenário de alto nível de digitalização muitas empresas se modernizaram e passaram a trabalhar com muitos dados, percebendo o valor que estes dados podem produzir para seus negócios entendem que ficam mais expostos a ação hackers.
Agora imaginem que no meio desses dados de sua empresa existam dados pessoais ai que entra a LGPD.
A LGPD é uma lei que faz com que as empresa tem uma conduta mais responsável ao manipular estes dados ( armazenar, transportar, manusear e descartar) dados de pessoas físicas custodiados.
10
_________________________________
Contexto da LGPD
Vemos desta forma uma quantidade exponencial de eventos envolvendo quebra de segurança da informação ( Confidencialidade, integridade, disponibilidade) principalmente quando envolvendo dados pessoais privados que é o Objeto da Lei de Proteção de Dados Pessoais
11
_________________________________
Objetivos da Lei
A LGPD procura definir requisitos, direitos e deveres das empresas e dos cidadãos com objetivo de evitar abusos na utilização desses dados 
Do contrario que muitos imaginam esta lei não tem o intuito de seciar e impedir que as empresas façam uso desses dados para extrais valor, mas sim de forma correta, sem abusos e respeitando os limites do bom uso das boas práticas para estes dados
12
_________________________________
Fonte: https://www.serpro.gov.br/lgpd/menu/a-lgpd/o-que-muda-com-a-lgpd
Principais pontos da Lei
13
_________________________________
LGPD - Lei Geral de Proteção de Dados
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Objetivos da Lei
_________________________________
Objetivos da Lei
 - A LGPD a lei brasileira é um reflexo de um movimento global que já vem a alguns anos.
Em 25 de maio de 2018 a GDPR (General Data Protection Regulation) lei de proteção de dados da União Europeia entrou em vigor e este movimento foi replicado em vários outros lugares do mundo, com isso se percebeu a importância de se ter respeito aos dados dos cidadãos.
 
15
_________________________________
LGPD - Lei Geral de Proteção de Dados
Polêmica
Fonte:https://www.lgpdbrasil.com.br/ (consulta 19/08/2020) 
_________________________________
Notícias
Senado muda vigência da Lei Geral de Proteção de Dados. Texto depende de sanção presidencial
https://www.youtube.com/watch?v=U0hCSgSNjU4
LGPD entra em vigor, mas sem punição até agosto de 2021
https://cointelegraph.com.br/news/lgpd-enters-into-force-but-without-legal-penalties/amp
17
_________________________________
Aplicação da Lei
 - A LGPD – Art. 3°- Se aplica a toda a empresa estabelecida no Brasil ou que oferece serviços a Brasileiros. 
“Em um mundo conectado como o que vivemos eu diria que ela se aplica a qualquer empresa do mundo”
18
_________________________________
Aplicação da Lei
- A LGPD - art. 4°da Lei não se aplica a dados corporativos e a dados pessoais que estejam sendo usados sem fins comerciais. Estes são os únicos casos em que a lei não se aplica
19
_________________________________
Obrigatoriedade	
 - A LGPD é uma lei, por tanto, obrigatória
 
Toda empresa deve ter condições de demonstrar para a autoridade nacional de dados uma boa conduta uma boa governança. (Zelar pelos dados pessoais custodiados pela empresa)
20
_________________________________
Sanções	
 - A LGPD prevê algumas sanções administrativas, estas podem começar por advertência seguida de suspensão do uso do banco de dados e ate a multa.
A Multa pode chegar a 2% do faturamento anual da empresa ao teto de até 50 milhões de reais, o que for menor, POR EVENTO DE Infração. 
Não podendo ultrapassar o montante de R$ 50.000.000,00.
21
_________________________________
Histórico 	
 - O Brasil não tem um histórico de uma cultura de proteção de dados, privacidade de dados.
- Nosso desafio vai ser construir este momento da LGPD sem um bom histórico. Daí se imagina a dificuldade de se implantar esta Lei.
22
_________________________________
Ausência da Autoridade 	
 - O Governo ainda não estabeleceu esta autoridade no brasil.
A Autoridade Nacional de Proteção de Dados
A fiscalização e a regulação da LGPD ficarão a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Essas são tarefasessenciais para que a autoridade nacional atue como um órgão a serviço do cidadão. A autoridade será ainda um elo entre sociedade e governo, permitindo que as pessoas enviem dúvidas, sugestões, denúncias ligadas à LGPD
23
_________________________________
Vantagens competitivas	
As empresas que se adequarem primeiro as regras da LGPD irão agregar valor competitivo no mercado, pois estarão habilitadas a negócios globais estando elas dentro das conformidades. Estas empresas serão mais atraentes para negócios fora do Brasil.
24
_________________________________
Esta lei fortalecera a relação de confiança que a empresa tem com seus clientes. ( Fator competitivo)
- As empresas desta forma demostraram seriedade em sua governança (reputação da empresa)
Vantagens competitivas	
25
_________________________________
Os tipos de dados	
Dados pessoais
O objeto da lei é o dado pessoal.
Dados pessoal é todo dado que identifique um individuo de maneira direta ou um conjunto de dados que nos leva a um individuo 
Exemplo
	CPF
	Endereço
	Idade
	Biotipo
Talvez não identifique uma pessoa, mas reunindo estas informações posso chegar a um individuo
26
_________________________________
Os tipos de dados
	
Dados Sensíveis
Uma subcategoria dos dados pessoais s”ao os dados sensíveis.
Exemplos
	Dados biométricos (digital, foto, etc)
	Dados de crianças
	Opções religiosas
	Opções politicas
	Opções sexuais
Estes são dados que requerem tratamento ainda mais rigorosos
27
_________________________________
Os tipos de dados	
Dados Anonimizados
A Lei entende que um dado anonimizado não é mais um dado pessoal, desta forma não é mais um objeto desta lei.
Dado anonimizado é um dado que é tratado excluindo-se a identificação dos dados do individuo.
Exemplo
	Idade
	Biotipo
	Endereço, etc
- Excluindo por exemplo CPF, nome ficando apenas as características de grupo. Dados estatísticos sem expor os indivíduos são livres da LGPD
28
_________________________________
Os tipos de dados	
Dados Pseudonimizados
É um dado que sofreu uma transformação de forma a aumentar sua segurança.
Exemplo - 
	Em uma lista de dados remover os dados principais para outro banco de dados
	- Nome e CPF colocando um apelido no lugar
	
29
_________________________________
Tratamento de dados pessoais
É tudo que se faz com os dados desde o manuzeio, tratamento, transporte, descarte e armazenamento.
Mexeu no dado entao é tratamento, portanto esta sujeito a Lei.
30
_________________________________
Princípios
O respeito aos dados pessoais começa principalmente no cumprimento aos princípios do tratamento de dados. As empresas que querem demostrar que estão em conformidade com estes princípios precisam por exemplo:
31
_________________________________
 Definir 
Finalidade para o tratamento;
Necessidade para o tratamento;
Livre acesso aos dados pessoais;
Garantir a transparência deste tratamento de dados.
A segurança dos dados
Adoção de medidas preventivas (evitar exposição desnecessária)
Tratar os dados de maneira não discriminatória
Ser capaz de prestar contas a autoridade nacional sobre como estes dados são tratados
Estes são os aspectos fundamentais que empresas serias precisam demonstrar na hora de tratar os dados pessoais
Princípios
32
_________________________________
Nomenclatura Entidades
É definido por lei algumas nomenclaturas
A Principal a mais importante delas é o Titular que é o dono dos dados pessoais.
Controlador dos dados – É a empresa que trata dados pessoais. (arm, transp, etc).
Operador – É uma empresa ( que pode ser a mesma que controla ou não) que em algum momento na cadeia produtiva trata so dados pessoais.
 (O controlador mesmo terceirizando a operação tem coresponsabilidade na maneira com que este operador trata os dados pessoais) 
Controlador e operador podem ser a mesma empresa
33
_________________________________
Estado dos dados
Os estados em que os dados podem estar:
Em repouso
Em movimento
Em Descanso
Dado em nuvem ( virtualizado)
Estes dados podem ser também estruturados e não estruturados.
34
_________________________________
Estado dos dados
Observamos desta forma a complexidade de se trabalhar, tratar dados pessoais .
Tem-se que ser capaz de perceber em que estado os dados estão, em que ambiente e também de que forma eles estào armazenados de forma estruturada ou não.
Para cada situação deve se ter um tipo de controlar e gerenciar
35
_________________________________
Deveres dos controladores
A lista de deveres que compete aos controladores ;
Legitimidade da coleta
Registrar os tratamentos (inventário do ciclo de vida do dado na empresa)
Nomear um DPO (Data Protection Officer – Encarregado de dados)
Prover condições de proteção e segurança de dados
Sistemas de resposta a incidentes
Processo de avaliação continua dos riscos
Um modelo de Governaça de privacidade (continuo)
Processo PDCA
36
_________________________________
O titular tem o direito:
Confirmar (se dados formecidos foram recebidos e depois processados)
Acessar os dados
Corrigir os dados
Portar os dados
Revisar os dados
Revogar o concentimento
Direito de eliminar (apagar) os dados
Direitos dos titulares
37
_________________________________
O que fazer???
Legitimidade do tratamento dos dados
A Lei prevê 10 bases legais que podem ser usadas para garantir a legitimidade dos dados tratados.
38
_________________________________
1 - Obrigação Regulatória 
Exemplo: 
Retenção de dados pessoais por bancos, o titular decide que os dados devem ser excluídos exercendo seu direito, no entanto o banco pode através de uma base legal que pode ser usada para dar legitimidade ao tratamento desses dados e inclusive negando-se a deletar os dados daquele correntista.
Existe uma obrigação em função de transações financeiras que obriga o banco a guardar por 5 anos registros de transações, dando aos bancos base legal para legitimar e tratar estes dados. Isso não significa que o banco tem direito de manter dados que não sejam pertinentes 
39
_________________________________
2 – Execução de Politicas Públicas
3 – Estudos por órgãos de pesquisa
	(IBGE)
4 – Execução de Contratos
E uma das bases mais comuns.
Para se executar um contrato possivelmente sera necessário reter dados pessoais de um individuo. Dando legitimidade ao tratamento
40
_________________________________
5 - Exercício regulatório de direito
6- Proteção a vida
7 – Tutela de saúde
8 – Proteção ao credito
Serasa
41
_________________________________
9 - Interesse legítimo
É a base legal mais complexa, pois é uma entidade jurídica não muito bem definida no direito brasileiro, então existem muitas interpretações e por isso é perigoso fazer uso dela.
42
_________________________________
10 - Consentimento
Apesar de ser fácil de entender é também perigosa.
Consentimento é quando o controlador pergunta ao titular se ele consente o tratamento de seus dados pessoais. No entanto agora com a LGPD não basta apenas pedir o consentimento é necessário disser para que, porque, por quanto tempo, aonde irão estar armazenados os dados. Tem que se consentir sabendo os detalhes do escopo do tratamento dos dados
43
_________________________________
a concordância do titular quanto ao tratamento de seus dados pessoais deverá
Consentimento
* serão consideradas nulas as autorizações genéricas para o tratamento de dados pessoais e vedado o tratamento nos casos de vício de consentimento
* ocorrer de forma livre, informada, inequívoca e para uma finalidade determinada, e em havendo mudança de finalidade será preciso novo consentimento.
44
uso do
consentimento
a concordância do titular quanto ao tratamento de seus dados pessoais deverá
ocorrer de forma livre, informada, inequívoca e para uma finalidade
determinada, e em
_________________________________
46
bases legais
devem dar legitimidade ao tratamentoexistem 10 bases
legais previstas na LGPD que podem ser associadas aos
fluxos de tratamento
de dados
_________________________________________
_________________________________
consentimento
execução de políticas públicas
estudos por órgão de pesquisa
obrigação regulatória
proteção ao crédito
interesse legítimo
tutela da saúde
exercício regular de direito
proteção da vida
execução de contrato
48
uso do
interesse legítimo
esta base legal é uma novidade no arcabouço jurídico
brasileiro e ainda
sem
regulamentação
específica
término de tratamento
dados pessoais devem ser eliminados quando
cessar a
necessidade
que
originou o tratamento
transferência
internacional
empresas que enviem dados	a
outras jurisdições que não ofereçam lei similar precisam introduzir outras
garantias
comunicação
obrigatória
o controlador deverá
comunicar, em prazo
razoável à autoridade
nacional e ao titular sobre a ocorrência de um incidente de
segurança que possa
acarretar risco ou dano relevante
*a Autoridade Nacional verificará a gravidade do incidente e poderá determinar medidas como a ampla divulgação do fato em meios de comunicação.
Na GDPR o prazo é de 72 horas.
nomeação do engarregado
DPO
pessoa física ou
pessoa jurídica
nomeada pelo controlador, que atuará como um
canal
de comunicação
entre
o controlador, os
titulares dos dados e a
autoridade de
proteção de dados
*sua identidade e informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva
posicionamento
do DPO
recomenda-se que a função DPO seja exercida por área
independente, de forma a atuar sem
restrições na
orientação e fiscalização do
cumprimento à
legislação
*a obrigatoriedade de um DPO só se dá por empresa onde haja alta volumetria de dados pessoais e/ou sensíveis, e entidade pública, mas pode representar um importante sinal de compromisso perante a ANPD
postura e
habilidades
de um
bom DPO
independente
articulador
ético
comunicador
consultor
domínio de processos de governança de dados segurança e conformidade
*é esperado que um DPO tenha apoio multidisciplinar de uma equipe que suportará o DPO Office, uma vez que existem múltiplos domínios, legais e técnicos, no escopo da função.
tarefas
aceitar reclamações
prestar esclarecimentos
tomar providências
dialogar com a ANPD
orientar funcionários
orientar terceiros
cumprir normas ANDP
manter a governança
representar controlador
fiscalizar
do DPO
*”O DPO há de ser livre no desempenho de suas funções, ainda que suas recomendações, embora legais, sejam desfavoráveis aos negócios da empresa por ele assistida.
Outras funções na empresa não podem causar conflito com sua função como DPO.”
enquanto a
ANPD não
estiver formada
o decreto que estrutura a ANPD ainda pode sofrer alterações. Até aqui, ele traz três eixos temáticos:
normatização e
educação,
articulação institucional,
e fiscalização e
supervisão
projetos de lei
propõem a postergação
04/03
projeto de lei
prorroga a LGPD
em 03.04.20
*os principais argumentos foram a falta da ANPD, e a insegurança jurídica decorrente desse fato.
*acreditava-se ser improvável tramitar em tempo hábil considerando o COVID-19 e as Eleições Municipais.
o que fazer
a ampliação de prazo
abre espaço para que
as empresas em atraso se mobilizem e
iniciem ou acelerem
seus projetos*
depois da prorrogação da LGPD
*estar em conformidade não é um estado alcançado como em uma corrida de 5km ou mesmo em uma maratona de 42km. É um estado temporal fruto de uma ‘corrida em circuito oval sem linha de chegada’.
É se manter continuamente apto a demonstrar diligência na gestão de controles e riscos de privacidade e proteção de dados.
16
AGOSTO
01
AGOSTO
2021
01
JANEIRO
2020
VIGÊNCIA
LEI 13.709/18
SANÇÕES
como
interpretar
a
LGPD
uma vez em inconformidade ela pode
representar uma barreira regulatória, mas para os que estiverem em conformidade atua como uma vantagem
competitiva com
potencial para criar um nível respeitável de confiança e reputação
*impactos financeiros, reputacionais, na confiança de clientes e fornecedores, negócios internacionais etc
conduta
diligente
mapear ativos e fluxos
conhecer os riscos
definir políticas
estabelecer processos
registrar tratamentos
responder a incidentes
prestar contas
proteger os dados
praticar transparência
possuir um plano
aculturar privacidade
*estabelecer um DPO Office para sistemicamente manter a governança da privacidade é uma boa prática
macro
jornada preparação de privacidade
OBTER APOIO DA LIDERANÇA COM PRIORIDADE E ORÇAMENTO
IMPLEMENTAR O ROADMAP DE CONFORMIDADE
OPERAR O MODELO DE GOVERNANÇA DE PRIVACIDADE E PROTEÇÃO DE DADOS
ESTABELECER UM COMITÊ DO PROJETO DE PREPARAÇÃO
A LGPD
ESTABELECER O DPO OFFICE E APONTAR O ENCARREGADO
ESTABELECER PROCESSOS INTERNOS E EXTERNOS DO MODELO DE GOVERNANÇA
REALIZAR PROJETO PARA IDENTIFICAR E ANALISAR RISCOS, E DEFINIR O ROADMAP DE CONFORMIDADE
NOVA CULTURA
mudança
cultural
o que as leis de privacidade requerem
não é um projeto, mas
uma mudança cultural e na forma de se fazer negócio, onde a
governança de
privacidade de proteção de dados pessoais deve ser sistêmica, contínua e
adaptativa
*missão de proteger os direitos das pessoas que fornecem seus dados e onde confiança é a palavra chave
AUTODIAGNÓSTICO
diagnosticolgpd.abes.org.br
10/12/2019
Diagnóstico LGPD - Lei Geral de Proteção de Dados
https://diagnosticolgpd.abes.org.br/diagnostico
1/4
PREZADO USUÁRIO,
Obrigado por responder ao Diagnóstico LGPD!
COM UM RESULTADO DE 55% DE CONFORMIDADE COM A LGPD COM BASE EM NOSSA METODOLOGIA.
Considerando o resultado obtido e as respostas enviadas, apresentamos abaixo nossas Recomendações para que sua empresa esteja em maior conformidade com a LGPD:
Recomenda-se a definição de um processo de obtenção do consentimento do titular a ser utilizado pela empresa que seja claro, distinto e que não esteja agrupado com outros acordos ou declarações e que seja ativo (fornecido pelo titular, sem o uso de caixas pré-marcadas). O consentimento deverá ser documentado, por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Caso o consentimento existente não tenha sido obtido de acordo com a LGPD, recomenda-se que o consentimento seja renovado antes da entrada em vigor da LGPD, se não for possível utilizar outra base legal (fresh consent).
Além do processo, é imprescindível que o consentimento seja gerenciado de forma automatizada, através de uma solução de Gerenciamento de Consentimento para os casos onde o consentimento dos titulares de dados é coletado de forma digital. Esse gerenciamento é necessário, pois os titulares têm o direito de revogar o consentimento dado, os seus dados só podem ser processados para as finalidades em que houve o consentimento e é dever do controlador provar que esse consentimento foi dado, quando necessário.
Superfície LGPD para quem quer sair da quarentena mais preparado.
Marcos Sêmola
Sócio de Cybersecurity da EY Conselheiro da ISACA Professor da FGV
Diretor do Founder Institute Investidor Anjos do Brasil
05/04 | 11h
Classificação: PÚBLICA. Reprodução autorizada se referenciada a autoria. © Copyright
28/03 | 18h
Q&A
_________________________________
Direitos dos titulares
72
_________________________________
Estado dos dados
73
_________________________________
_________________________________
Checklist para regularizar a sua empresa
Estrutura de governança de dados:
Inventário de dados e mecanismos de transferência:
	E então quais são as ações a ser aplicadas:
3 - Política de Privacidade de Dados:
4. Adequando as operações:
5. Controle de fraudes:
6. Análise e mensuração:
	Sugerir boa práticas
•	Descartar dados irrelevantes, obsoletos ou redundantes;
•	Categorizar os dados em “dado pessoal”, “dado pessoal sensível” e “dado anônimo”, conforme a lei;
•	Garantirque os dados restantes (importantes e relevantes) sejam acessados apenas por pessoas que tenham permissão para isso;
•	Aplicar ações de proteção desses dados para evitar o seu vazamento, como criptografia ou Data Loss Prevention (DLP);
•	Assegurar que todos os documentos estejam em conformidade com a LGPD e a respeitarão, revendo:
•	Contratos com terceiros, sejam eles internacionais ou nacionais;
•	Códigos de conduta e outras políticas corporativas; e
•	Termos de consentimento dos titulares dos dados.
_________________________________
LGPD - Lei Geral de Proteção de Dados
Define
Dados pessoais[27]: é toda informação relacionada a pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail, etc. Dados relativos a uma pessoa jurídica (tais como razão social, CNPJ, endereço comercial, etc.) não são considerados dados pessoais.
Dados pessoais sensíveis: é todo dado pessoal relativo à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculados a uma pessoa natural.[28]
Titular: pessoa natural a quem se referem os dados pessoais.
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Anonimização: processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD.
Pseudoanonimização: processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudoanonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural
Fonte: 
_________________________________
LGPD - Lei Geral de Proteção de Dados
Define
Dados pessoais[27]: é toda informação relacionada a pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail, etc. Dados relativos a uma pessoa jurídica (tais como razão social, CNPJ, endereço comercial, etc.) não são considerados dados pessoais.
Dados pessoais sensíveis: é todo dado pessoal relativo à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculados a uma pessoa natural.[28]
Titular: pessoa natural a quem se referem os dados pessoais.
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Anonimização: processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD.
Pseudoanonimização: processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudoanonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural
Fonte: 
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________