Guia LGPD_ANPPD

Prévia do material em texto

Guia Prático 
 
 O que você precisa saber e 
fazer sobre a LGPD 
ANPPD® | 2020 
 
Associação Nacional dos Profissionais 
de Privacidade de Dados 
https://www.sympla.com.br/i-congresso-dos-profissionais-de-privacidade-de-dados-by-anppd__770311
Objetivo 
Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais 
(LGPD), sancionada em 14 de Agosto de 2018, com início de 
vigência a partir de Agosto 2020, e cujo objetivo é proteger 
os direitos fundamentais de liberdade e de privacidade; e o 
livre desenvolvimento da personalidade da pessoa natural. 
“A ANPPD tem o objetivo de promover a unidade dos 
Profissionais de Privacidade de Dados de modo que 
tenham seus interesses atendidos dentro do cenário 
brasileiro, fomentando iniciativas que também favoreçam 
a classe.” 
Os dados das pessoas não podem mais ser 
coletados e utilizados sem uma finalidade 
adequada ou consentimento do seu titular. 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
LGPD na Prática 
Dados Pessoais 
 
É qualquer informação que te identifique (RG, CPF, 
etc.) ou te torne identificável (endereço de e-mail, IP, 
geolocalização, etc.). 
A quem se aplica? 
 
A qualquer operação de tratamento de dados pessoais 
realizada por pessoa natural ou por pessoa jurídica de 
direito público ou privado, incidindo sobre 
praticamente todas as atividades empresariais. 
Afinal, o que significa Tratamento de Dados? 
 
Toda operação realizada com dados pessoais que 
envolve: coletar, produzir, recepcionar, classificar, 
utilizar, acessar, reproduzir, transmitir, distribuir, 
processar, arquivar, armazenar, eliminar, avaliar ou 
controlar, modificar, comunicar, transferir, difundir ou 
extrair. 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
Associação Nacional dos Profissionais 
de Privacidade de Dados 
A LGPD possui aplicação Extraterritorial 
A LGPD não se restringe ao território 
nacional e se aplica às empresas que: 
Têm estabelecimento no Brasil. 
Realizem alguma ação comercial no mercado 
brasileiro. 
Coletam e tratam dados de pessoas 
residentes no Brasil. 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
Associação Nacional dos Profissionais 
de Privacidade de Dados 
Entenda como funciona 
Sua empresa (não importa o tamanho dela) pode fazer parte da 
cadeia do processamento de dados pessoais como “Contratado”, ou 
seja, deverá ter também uma gestão de privacidade e proteção de 
dados adequada à LGPD, pois será exigida pelo “Contratante” que já 
esteja adequado ou se adequando à Lei. 
 
 
Diferentes formatos de framework para adequação têm sido 
apresentados no mercado. Basicamente, o resultado para o fluxo de 
tratamento de dados pessoais deve ser: 
Organizaçã
o e 
Comunicaç
ão 
Process
os 
Direitos do 
Titular 
Privacidade e 
Proteção dos 
Dados 
Consentime
nto 
Retenção de 
Dados e Backup 
Contrat
os 
Plano de 
Resposta à 
Violação de 
Dados 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
Associação Nacional dos Profissionais 
de Privacidade de Dados 
Agentes de Tratamento de Dados 
Controlador: pessoa natural ou jurídica, de 
direito público ou privado, a quem competem 
as decisões referentes ao tratamento de dados 
pessoais. 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
Associação Nacional dos Profissionais 
de Privacidade de Dados 
Operador: pessoa natural ou jurídica, de 
direito público ou privado, que realiza o 
tratamento de dados pessoais em nome do 
Controlador. 
Encarregado de Dados (DPO – Data Protection 
Officer): pessoa indicada pelo Controlador e 
Operador para atuar como canal de 
comunicação entre o Controlador, os Titulares 
dos Dados e a Autoridade Nacional de 
Proteção de Dados (ANPD). 
Entenda os Direitos do Titular 
Ao que for referente aos seus dados pessoais, o 
Titular terá o direito de obter do Controlador: 
 
1. Confirmação da existência de tratamento; 
2. Acesso aos dados; 
3. Correção de dados; 
4. Anonimização, bloqueio ou eliminação de 
dados desnecessários, excessivos ou tratados 
ilicitamente; 
5. Portabilidade dos dados; 
6. Eliminação dos dados; 
7. Informação das entidades públicas e privadas 
com as quais o controlador realizou uso 
compartilhado de dados; 
8. Informação sobre a possibilidade de não 
fornecer o consentimento; 
9. Revogação do consentimento; 
10. Reclamação à Autoridade Nacional; 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
Associação Nacional dos Profissionais 
de Privacidade de Dados 
Tratamento de Dados Pessoais 
As atividades de tratamento de dados pessoais deverão observar a 
boa-fé respeitando os 10 princípios e as 10 bases legais que 
constam na Lei. 
 
 
 
 
 
 
Com base nos princípios e bases legais, atualize os avisos de 
privacidade e os formulários de consentimento, conforme 
necessário; 
 
Defina finalidade específica, incluindo se o processamento é uma 
condição para receber produtos ou serviços; 
 
Informe a forma e a duração do processamento; 
 
Informe se terceiros receberão os dados pessoais e por quais 
motivos, e as responsabildiades de realizar o processamento em 
nome do Controlador; 
 
Demonstre como os titulares de dados podem exercer seus 
direitos. 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
Associação Nacional dos Profissionais 
de Privacidade de Dados 
Dados Pessoais Sensíveis 
São dados que podem desencadear a discriminação do seu 
titular ou até mesmo pôr em risco sua vida, tais como a 
opção sexual, as convicções religiosas, filosóficas ou morais, 
opiniões políticas, origem racial ou étnica, filiação à 
sindicato, dado referente à saúde e dado genético ou 
biométrico. 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
Associação Nacional dos Profissionais 
de Privacidade de Dados 
ANPD 
Autoridade Nacional de Proteção de Dados 
Lei 13.853/2019 – criada a Autoridade Nacional de Proteção 
de Dados. Essa agência federal é responsável por zelar pela 
proteção dos dados pessoais, fiscalizar e aplicar sanções, 
bem como elaborar diretrizes para a Política Nacional de 
Proteção de Dados Pessoais e de Privacidade. 
 
A agência está ligada diretamente ao Poder Executivo. 
 
Tem como atribuição controlar e fiscalizar o tratamento de 
dados pessoais. 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
Associação Nacional dos Profissionais 
de Privacidade de Dados 
Ficam os infratores sujeitos às seguintes sanções 
administrativas: 
 
• Advertência, com indicação de prazo para adoção de 
medidas corretivas; 
 
• Multa simples, de até 2% (dois por cento) do 
faturamento anual, podendo chegar à R$ 50.000.000,00 
(cinquenta milhões de reais) por infração; 
 
• Multa diária, observado o limite total de R$ 
50.000.000,00; 
 
• Publicização da infração após devidamente apurada e 
confirmada a sua ocorrência; 
 
• Bloqueio dos dados pessoais a que se refere à 
infração até a sua regularização; 
 
• Eliminação dos dados pessoais a que se refere à 
infração. 
 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
Associação Nacional dos Profissionais 
de Privacidade de Dados Fique atento a todas as 
sanções aplicáveis e não somente às 
multas 
Fica a cargo do Encerragado de Dados, ou mais 
conhecido como DPO, aceitar reclamações, 
prestar esclarecimentos aos titulares e as 
autoridades, orientar as respectivas empresas e 
executar as diretrizes do tema. 
 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
Bases da Lei – LGPD 
Art. 5º, VII, Art. 23, III e Art. 41, § 1º, § 2º, § 3º 
O DPO (Data Protection Officer) ou Encerragado de 
Proteção de Dados, faz a ponte entre os titulares de dados 
pessoais e a Autoridade Nacional de Proteção de Dados 
(ANPD). 
O DPO terá sua identidade disponibilizadaaos 
titulares e autoridades e seu contato deverá ser 
disponibilizado de forma simples e de fácil acesso, 
por exemplo, no site principal da empresa. 
Certificações para se tornar um DPO ou 
Encerregado de Proteção de Dados: 
Associação Nacional dos Profissionais 
de Privacidade de Dados 
Quem irá interagir com a ANPD e os 
titulares? 
Adequando-se à LGPD 
É recomendável que, para a adequação, exista um time interno 
ou empresa contratada, que ambos também tenham 
especialidades em Governança, Serviços e Projetos de 
tecnologia, além do profissional especialista em Segurança da 
Informação e Legislação Brasileira (DPO). 
Se compararmos a um quebra-cabeças, será 
necessário identificar as peças que 
representam os dados pessoais. O trabalho 
da adequação é fazer com que as peças 
sejam encaixadas na forma e sequência 
corretas aos processos existentes e/ou 
criando novos para tal, garantindo a 
privacidade e proteção. 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
Associação Nacional dos Profissionais 
de Privacidade de Dados 
Estratégico 
Tático 
Operacional 
A mudança de cultura e processos 
requerida somente poderá ser efetiva 
com o engajamento da alta 
administração no nível estratégico, 
passando pelo tático e finalmente no 
nível operacional. 
ASSESSMENT / 
DIAGNÓSTICO 
IMPLEMENTAÇÃO 
90/120 dias 180 dias + 
Essa média é baseada em grandes empresas. 
Para as pequenas e médias, esse prazo diminui 
consideravelmente dependendo do volume de 
processamento e ativos por onde trafegam os dados. 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
Associação Nacional dos Profissionais 
de Privacidade de Dados Quanto tempo leva para se 
adequar e qual esforço é necessário? 
Conscientização 1 Preparação 2 
Organização 3 
Desenvolvimento e 
Implementação 4 
Preparar a organização para a 
Privacidade e estabelecer 
planos de ação 
Estabelecer estruturas e 
mecanismos. Nessa etapa que 
o DPO é nomeado 
Desenvolver e implementar 
políticas, medidas e controles 
Nossos profissionais certificados utilizam o framework baseado 
no material da Exin. O Sistema de Gerenciamento de Privacidade 
de Dados (SGPD). 
Governança 5 
Avaliação e 
Melhoria 
Contínua 
6 
Estabelecer mecanismos de 
governança 
Avaliar e melhorar todos os aspectos 
específicos da organização 
Framework de Adequação 
A conscientização deve transcorrer 
durante toda a adequação, 
inciando-se pela alta administração 
(Top-Down) 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
Associação Nacional dos Profissionais 
de Privacidade de Dados 
A LGPD também representa um importante marco legislativo, e 
isso certamente representará mais investimentos para nosso 
país, acompanhando uma tendência global quanto ao direito do 
titular. 
 
A ANPPD tem o compromisso com os profissionais de 
privacidade de dados do Brasil. 
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados 
2020 
Anielle Martinelli, DPO 
Diretora do Comitê de Conteúdo da ANPPD 
Bruno Claus, DPO 
Diretor do Comitê de Segurança da ANPPD 
Davis Alves, Ph.D 
Presidente da ANPPD