Artesoftware Explicando LGPD

Uma Abordagem Simplificada sobre a Lei Geral de Proteção de Dados Pessoais
DÉBORA MODESTO & DOUGLAS SIVIOTTI (2020)
Explicando
LGPD

Sobre Este Curso
Profissional
de Proteção
de Dados
PD
Desenvolvedor
Advogado
Segurança / TI
DPO
Público Alvo

Organização do Conteúdo
Parte 1 – Dados são o Novo Petróleo LGPD: nenhum artigo específico
Parte 2 – O que é LGPD? LGPD: art. 1
Parte 3 – Fundamentos e Escopo LGPD: art. 2, 3 e 4
Parte 4 – Conceitos Chave LGPD: art. 5
Parte 5 – Dados Pessoais LGPD: art. 5, 11, 14
Parte 6 – Anonimização e Pseudonimização LGPD: art. 5, 12
Parte 7 – Tratamentos de Dados Pessoais LGPD: art. 5, 9
Parte 8 – Princípios LGPD: art. 6
Parte 9 – Hipóteses Legais para Tratamentos LGPD: art. 7, 11 e 23
Parte 10 – Consentimento e Legítimo Interesse LGPD: art. 8 e 10
Parte 11 – Término do Tratamento LGPD: art. 15, 16
Parte 12 – Direitos do Titular LGPD: art. 17, 18, 19
Parte 13 – Papéis LGPD: art. 37, 38, 39, 40, 41
Parte 14 – Responsabilidades e Penalizações LGPD: art. 42 a 45 – 52 a 54
Parte 15 – Segurança Boas Práticas LGPD: art. 46 a 51

PARTE 1
Dados São o
Novo Petróleo
A Indústria do Dado Pessoal
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas

Século 21: dado é o novo petróleo
Século 21: dado é o novo petróleo

Indústria de
dados pessoais
https://www.visualcapitalist.com/every-minute-internet-2020/

https://www.visualcapitalist.com/how-big-tech-makes-their-billions-2020/

2016
Abusos e Excessos
Brexit e Eleição Americana de 2016

efeito contágio:
efeito contágio:
LGPD
LGPD

PARTE 2
O que é LGPD?
As Regras da Indústria do Dado Pessoal

regras
regras
As regras do futebol existem para
As regras do futebol existem para
que o jogo funcione, não para
que o jogo funcione, não para
impedir os jogadores de jogar
impedir os jogadores de jogar

Regras para a indústria de dados pessoais

Na indústria de dados pessoais o produto é você!

Desenvolvedor
Produto Consumidor

Desenvolvedor
Produto Consumidor
T
Titular dos
Dados Pessoais
“Pessoa natural a quem se
referem os dados pessoais”
É o “dono” dos dados

Dado
Pessoal
“informação relacionada a pessoa identificada ou identificável”
Nome
CPF
Endereço
Etnia*
Religião*
Foto*
Biometria*
Localização
Histórico de Compras
Cliques
Rating
Preferências
* Dado pessoal sensível

Operador
Controlador
Agentes de
Tratamento pessoa natural ou jurídica, de direito público
ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais
pessoa natural ou jurídica, de direito público
ou privado, que realiza o tratamento de
dados pessoais em nome do controlador

Operador
Controlador
T
Agentes de
Tratamento
Dado
Pessoal
Titular
esquema 1
pessoa natural pessoa jurídica

A LGPD visa regular o tratamento de
dados pessoais dos titulares pelos
controladores e operadores

PARTE 3
Fundamentos
e Escopo
Onde se aplica e onde não se aplica

Introdução à LGPD
Fundamentos (art. 2)
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o
exercício da cidadania pelas pessoas naturais.

Equilíbrio entre Proteção e Fomento
privacidade
Autode
term
inação
Liberdade
de opinião
Inviobabi
lidade
Honra
Im
agem
Direitos
hum
anos
Inovação
Iniciativa
Tecnologia

Abrangência/Escopo (art. 3)
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por
pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do
país onde estejam localizados os dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o
tratamento de dados de indivíduos localizados no território nacional; ou
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
§ 1º Consideram-se coletados no território nacional os dados pessoais cujo
titular nele se encontre no momento da coleta.
§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados
previsto no inciso IV do caput do art. 4º desta Lei.

Não Aplicação (art. 4)
Não se aplica a tratamento realizado para fins
exclusivamente pessoais e
sem fins econômicos
Escopo/Alvo = Atividades Econômicas
Não se aplica a tratamento realizada para fins: jornalísticos ou artísticos,
acadêmicos, segurança pública, defesa nacional, segurança do estado ou
atividades contra infração penal

Na Mira da LGPD
(Quase todo mundo)

Prevalência do Interesse Coletivo
privacidade
Autode
term
inação
Liberdade
de opinião
Inviobabi
lidade Honra
Im
agem
Direitos
hum
anos
Interesse
Coletivo

PARTE 4
Conceitos Chave
Os Principais Elementos da LGPD

Conceitos
Operador
Controlador
T
Agente de
Tratamento
Dado
Pessoal
Titular
ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais
ou privado, que realiza o tratamento de
dados pessoais em nome do controlador
“Pessoa natural a quem se referem os dados pessoais”
É o “dono” dos dados
“informação relacionada a pessoa
identificada ou identificável”

Conceitos
Tratamento
E
Encarregado
Banco de Dados
conjunto estruturado de dados
em meio físico ou eletrônico
pessoa indicada pelo
controlador e operador para
atuar como canal de
comunicação entre o
controlador, titulares e a
Agência Nacional de Proteção
de Dados
toda operação realizada com dados pessoais,
como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão
ou extração
Papel

Conceitos
manifestação livre, informada e inequívoca pela
qual o titular concorda com o tratamento de
seus dados para uma finalidade específica
Consentimento
relatório de impacto à proteção de dados pessoais (RIPD) :
documentação do controlador que contém a descrição dos
processos de tratamento de dados pessoais que podem gerar
riscos às liberdades civis e aos direitos fundamentais, bem como
medidas, salvaguardas e mecanismos de mitigação de risco
RIPD

Conceitos
Uso Compartilhado
comunicação, difusão, transferência internacional, interconexão
de dados pessoais ou tratamento compartilhado de bancos de
dados pessoais por órgãos e entidades públicos no
cumprimento de suas competências legais, ou entre esses e
entes privados, reciprocamente, com autorização específica,
para uma ou mais modalidades de tratamento permitidas por
esses entes públicos, ou entre entes privados;
Transferência
Internacional
transferência de dados pessoais para país estrangeiro ou
organismo internacional do qual o país seja membro;

Conceitos
meios técnicos no momento do tratamento que
impede a possibilidade de identificação de
um indivíduo a partir do dado
Anonimização Pseudonimização
anonimização que pode ser revertida com
informação adicional mantida separadamente
pelo controlador (art. 13)
Eliminação
Bloqueio
suspensão temporária de qualquer
operação de tratamento
exclusão definitiva de dado ou de conjunto de
dados armazenados em banco de dados,
independente do procedimento empregado

PARTE 5
Dados Pessoais
e suas Categorias
Dados Sensíveis e de Crianças e Adolescentes

Tipos de Dados Na LGPD
Dados Pessoais
Sensíveis
Dados Pessoais de
Crianças e Adolescentes
Dados
Pessoais
Dados
não pessoais
Dados
Anonimizados
Dados
Pseudonimizados

Tipos de Dados Pessoais Na LGPD
“informação relacionada a pessoa identificada ou identificável”
Dados Pessoais
Sensíveis
Dados Pessoais de
Crianças e Adolescentes
Dados
Pessoais

Dado Pessoal Sensível
Art. 5, II - dado pessoal sensível: dado pessoal sobre origem racial
ou étnica, convicção religiosa, opinião política, filiação a sindicato
ou a organização de caráter religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado genético ou biométrico,
quando vinculado a uma pessoa natural;
Dado Sensível
Dado Sensível Risco de
Discriminação
Risco de
Discriminação

Dados Pessoais de Crianças e Adolescentes
Dado de Crianças
e Adolescentes
Dado de Crianças
e Adolescentes
Autorização do
Responsável
Autorização do
Responsável
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico
e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
§ 2º … manter pública a informação sobre os tipos de dados coletados ...
§ 3º … quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e
sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o
consentimento ...
§ 4º Os controladores não deverão condicionar a participação … jogos, aplicações de internet ou outras
atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
§ 5º … verificar que o consentimento … consideradas as tecnologias disponíveis.
§ 6º … proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento
da criança.

Grau de Identificabilidade
Dados
Pessoais
Dados Não
Pessoais
Nome
CPF
Preço
Produto
Endereço
IP
Geolocalização
RG
Religião
Gênero
Foto
Renda
Compras
Peso
Altura
IMC
Nascimento
Caligrafia Apelido
Salário
Umidade do Ar
Inflação
Curtidas

Individualidade
Fatores de Identificabilidade
Nome
CPF
RG
Foto
Hospital
Apelido
Nascimento
Escola Compras
Salário
Geolocalização
Curtidas
Opinião
Caligrafia
Doença
CNPJ
Combinação Volume e Escopo
Tipo de Conteúdo

Exemplos de Dados Pessoais
2
1
3 4

PARTE 6
Anonimização
e Pseudonimização
Tornando o dado não pessoal

Dados Anonimizados
dado relativo a titular que
não possa ser identificado,
considerando a utilização de
meios técnicos razoáveis e
disponíveis na ocasião de seu
tratamento
Dados
Anonimizados
Dados
Pseudonimizados

Anonimização x Peseudonimização
Dados
Pessoais
Anonimização
Pseudonimização
(anonimização reversível)
Informação
Externa
Dados
Anonimizados
(sem reversão)
Dados
Pseudonimizados
(com reversão)
Controlador

Exemplo de Anonimização
1
2
Anonimização
Dados Anonimizados
Qual é o peso da pessoa
que comprou coxinha?

Exemplo de Pseudonimização
1
2
Dados Pseudonimizados
Pseudonimização
(anonimização reversível)
3
Qual é o peso da pessoa
que comprou coxinha?

Anonimização por Redução (Escopo / Volume)

Mapeamento de Isolamento Social Via Celular
Companhia
Telefônica
Pessoas fora
do Isolamento
Pessoas em
isolamento
Dados
Pessoais
Regulares
Prefeitura
Dados
Covid 19
Anonimização ou
Pseudonimização
Dados
Pessoais
Regulares
Público

PARTE 7
Tratamento
De Dados Pessoais
O problema central da LGPD

Tratamento
Definido no art. 5
“Processamento”
“Uso”
“Manipulação”
No GDPR é “Processing”
Operador = Processor

Tratamento de
Dados Pessoais
“toda operação realizada com dados
pessoais, como as que se referem a
coleta, produção, recepção,
classificação, utilização, acesso,
reprodução, transmissão, distribuição,
processamento, arquivamento,
armazenamento, eliminação, avaliação
ou controle da informação, modificação,
comunicação, transferência, difusão ou
extração” [LGPD: 20 Operações]
Coleta
Processamento
Eliminação
Anonimização
Envio
Retenção

Base Legal
Finalidade
o que sustenta
o que sustenta
um tratamento?
um tratamento?

Finalidade
Marketplace
Vender Produtos
Online
Salvar Cookie
de preferências
Recomendações
de produtos
É necessário coletar os dados do
comprador para entregar os produtos
É necessário salvar dados do usuário
para melhorar a usabilidade
É necessário processar histórico de
compras para fazer recomendações
realização do tratamento para propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de tratamento
posterior de forma incompatível com essas finalidades (princípio)

Base Legal
Marketplace
Vender Produtos
Online
Salvar Cookie
de preferências
Recomendações
de produtos
Execução de contrato
(hipótese do artigo 7)
Consentimento para salvar cookie
Legítimo interesse do controlador
Embasamento na LGPD para que o tratamento seja legítimo.
Artigo 7 (10 hipóteses), artigo 11 (sensíveis), artigo 23 (poder público) e
outras leis (e.g. marco civil da internet)

Operador
Controlador
T
Tratamento de Dado Pessoal
Agentes de
Tratamento
Dado
Pessoal
Titular
Base Legal
Finalidade
esquema 2
Realiza
F
o
r
n
e
c
e

PARTE 8
Princípios
Elementos norteadores dos tratamentos

10 Princípios da LGPD
Finalidade
Adequação
Necessidade
Livre Acesso
Qualidade dos dados
Transparência
Segurança Prevenção
Não Discriminação Responsabilização
Art. 6 - As atividades de tratamento de dados pessoais
deverão observar a boa-fé e os seguintes princípios:

Princípios
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e
informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas
finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo
com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às
finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração
do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

Princípios
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis
sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos
comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais
de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento
de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios
ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas
eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados
pessoais e, inclusive, da eficácia dessas medidas.

PARTE 9
Hipóteses Legais
Para Tratamento
A permissão legal para tratar dados pessoais

Princípios
Regra Geral para Tratar Dados Pessoais
1 – Ter Uma Finalidade Legítima
2A – O Titular Consente/Autoriza 2B – Há uma Hipótese Alternativa
Executar
Tratamento
3A – Excluir os Dados ao Final 3B – Há um Motivo para Retenção
Boa Fé

Regra Geral para Tratar Dados Pessoais
Base Legal
Finalidade

Hipóteses Legais
1 - Consentimento
2 – Obrigação legal
3 – Adm. Pública
4 – Estudos O. Pesquisa
5 – Execução de Contrato
6 – Exercício de Direito
7 – Proteção à Vida
8 – Tutela de Saúde
9 – Interesses Legítimos
10 – Proteção do Crédito
1 - Consentimento
a) Obrigação legal
b) Adm. Pública
c) Estudos O. Pesquisa
d) Exercício de Direito
e) Proteção à Vida
f) Tutela de Saúde
g) Prevenção à Fraude
Dados
Pessoais
Art. 7
Dados P.
Sensíveis
Art. 11

Base Legal
Dados
Pessoais
Art. 7
Dados P.
Sensíveis
Art. 11
Poder
Público
Art. 23
Marco Civil
da Internet
Outras
Legislações
LAI
Lei de Acesso
a Informação
Hipóteses Legais LGPD
Base Legal
Empresa
Pública
Provedor de
Internet
Órgão Público
Empresa
Privada
Base legal não é um
conceito da LGPD

Marketplace
Vender Produtos
Online
Salvar Cookie
de preferências
Recomendações
de produtos
Execução de contrato
(hipótese do artigo 7 ou 11)
Consentimento para salvar cookie
(hipótese do artigo 7 ou 11)
Legítimo interesse do controlador
5 – Execução de Contrato d) Exercício de Direito
1 - Consentimento 1 - Consentimento
Exemplo de Hipóteses Legais

Grupos de Bases Legais por Nível de Anuência
1 - Consentimento
2 – Obrigação legal
3 – Adm. Pública
6 – Exercício de Direito
7 – Proteção à Vida
8 – Tutela de Saúde
1 - Consentimento
a) Obrigação legal
b) Adm. Pública
c) Estudos O. Pesquisa
d) Exercício de Direito
f) Tutela de Saúde
g) Prevenção à Fraude
Poder Público (art. 23)
Garantida
Tratamentos autorizados
por lei ou hipótese específica
Concedida
Tratamentos autorizados
pelo titular via consentimento
Inferida
Tratamentos baseados no
legítimo interesse do controlador

PARTE 10
Consentimento e
Legítimo Interesse
As hipóteses legais que merecem atenção

Consentimento x Legítimo Interesse
Consentimento
Legítimo Interesse
Anuência
Garantida
Não é necessário solicitar ao
titular dos dados pessoais
Concedida
Necessário solicitar
Deve ser mantido e gerido
Inferida
Não é garantido por lei ou norma
Inferência sobre a anuência

Consentimento (art. 8)
Finalidades
Determinadas
Fornecido por escrito ou
outro meio que demonstre
a vontade do titular
Se por escrito, deve estar
em cláusula destacada das
demais cláusulas
Cabe ao controlador o
ônus da prova em relação
ao consentimento
O tratamento é vedado
mediante vícios de
consentimento
Autorizações genéricas ou
abusivas são consideradas
nulas
Pode ser revogado pelo
titular a qualquer
momento de forma
gratuita e facilitada
Consequências do
não consentimento
Tratamento
Dados
Pessoais
Informações sobre
compartilhamento

Operador
Controlador
T
Agentes de
Tratamento
Dado
Pessoal
Titular
Base Legal
Finalidade
esquema 3 Recebe e
Armazena
Revoga
(parcial ou não)
Consentimento
Concede
Compartilhamento

Legítimo Interesse: Um Ponto de Extensão
Entendimento
em Construção
apoio e promoção de atividades do controlador
(muito amplo)

Legítimo Interesse
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados
pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas
não se limitam a:
I - apoio e promoção de atividades do controlador; e
II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que
o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais,
nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados
pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados
baseado em seu legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de
dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os
segredos comercial e industrial.

Legítimo Interesse – Critérios no GDPR/ICO
- Requer minimização e prevenção maior de impacto à privacidade
- Três elementos para embasar legítimo interesse:
1. Identificar um interesse legítimo;
2. Mostrar que o processamento é necessário para alcançá-lo; e
3. Equilibrá-lo com os interesses, direitos e liberdades do indivíduo.
- Os interesses legítimos podem se seus ou de terceiros
- Deve ser necessário, não deve haver outra forma de obter o mesmo resultado
- Contrabalançar os seus interesses com os do titular. Se os dele forem maiores, não use
- Mantenha registros mais detalhados dos tratamentos baseados em legítimo interesse
Critério comum: A empresa já tem alguma relação comercial com o titular (contato prévio)

Operador
Controlador
T
Agentes de
Tratamento
Dado
Pessoal
Titular
Base Legal
Finalidade
esquema 4
Alega
Legítimo Interesse
RIPD
ANPD
Elabora e
fornece Dados
Sensíveis

PARTE 11
Término do
Tratamento
Quando a finalidade é alcançada

Princípios
Término do Tratamento
1 – Ter Uma Finalidade Legítima
2A – O Titular Consente/Autoriza 2B – Há uma Hipótese Alternativa
Executar
Tratamento
3A – Excluir os Dados ao Final 3B – Há um Motivo para Retenção
Boa Fé

Término do Tratamento
Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser
necessários ou pertinentes ao alcance da finalidade específica almejada;
II - fim do período de tratamento;
III - comunicação do titular, inclusive no exercício de seu direito de revogação do
consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse
público; ou
IV - determinação da autoridade nacional, quando houver violação ao disposto nesta
Lei.

Término do Tratamento: Eliminação dos Dados
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no
âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes
finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos
dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento de
dados dispostos nesta Lei; ou [consentimento específico para isso art.7 $5]
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que
anonimizados os dados.
Princípio da Minimização

Eliminação
3B – Há um Motivo para Retenção
3A – Excluir os Dados ao Final
Obrigação
Legal
Órgão de
Pesquisa
Transferência
a terceiro
Consentimento
Cláusula
Contratual
3C – Anonimização

Anonimização Dispensa Eliminação
1
2
Anonimização
Dados Anonimizados
3C – Anonimização

PARTE 12
Direitos do Titular
O desafio de atender o titular

Direitos do Titular (cap. III, art. 17 a 22)
Toda pessoa natural tem
assegurada a titularidade
de seus dados pessoais e
garantidos os direitos
fundamentais de
liberdade, de intimidade e
de privacidade, nos
termos desta Lei. (art. 17)

Direitos do Titular (cap. III, art. 17 a 22)
1 – Confirmação de existência
2 – Acesso aos dados
3 – Correção dos dados
4 – Decisão sobre desconformidades*
5 – Portabilidade
6 – Eliminação se consentido
7 – Info. sobre compartilhamentos
8 – Consequências de não consentir
9 – Revogar consentimento
* anonimizar, bloquear, eliminar dados desnecessários ou em excessivos

Direitos do Titular
Um Grande Desafio
- Integrar Sistemas
- Canal de Relacionamento
- Levantar Informações
- Atender a Demanda
- Dados em Papel
- Quase tudo é “Legado”
Atender os direitos do
titular é o maior desafio das
organizações na LGPD

Direitos do Titular: 4 Práticas Implícitas na LGPD
1 – Confirmação de existência
2 – Acesso aos dados
3 – Correção dos dados
4 – Decisão sobre desconformidades*
5 – Portabilidade
6 – Eliminação se consentido
7 – Info. sobre compartilhamentos
8 – Consequências de não consentir
9 – Revogar consentimento
Registro de
Atividades de
Tratamentos
(RoPA*)
Gestão de
Consentimento
Relacionamento
com Titular
Solução de Acesso
às Informações
(Automatização)
* Registy of Processing Activities (GDPR)

PARTE 13
Papéis na LGPD
Controlador, operador encarregado etc

Papéis
T
Titular
E
Encarregado
ou DPO*
* GDPR
Operador
Controlador
ANPD

Operador
Controlador
Registro de Tratamentos (art. 37)
O controlador e o
operador devem manter
registro das operações de
tratamento de dados
pessoais que realizarem,
especialmente quando
baseado no legítimo
interesse (art. 37)

Controladores e suas Hipóteses Legais
Bancos
Médicos e
Hospitais
Imobiliária
(Geolocalização)
Órgãos de
pesquisa
comércio
eletrônico
f) Tutela de Saúde

Controladores e suas Bases Legais
Artigo 4: A lei não se aplica
jornalístico
segurança
pública
artístico
investigação e
repressão de
infrações
penais

Controlador x Operador
Operador
Controlador
Ambientes
de Nuvem
Decisões
Bancos
de Dados
Bancos
de Dados
- Toma decisões
- Define a finalidade
- Define a base legal
- Define meios essenciais
- Define os dados pessoais
- Define retenção e exclusão
- Define compartilhamento
- É um papel opcional
- Não precisa de contrato formal (GDPR sim)
- Mantém registros de tratamentos (art. 37)
- Realiza tratamento sob instruções
- Pode ser responsabilizado
- Define meios não essenciais
(tecnologia, ferramentas, linguagens, seg. etc)
Log

Controlador Conjunto ou “Co-controlador”
Co-Controlador Co-Controlador
- Tomam decisões conjuntas
- Definem a finalidade
- Definem a base legal
- Definem meios essenciais
- Definem os dados pessoais
- Definem retenção e exclusão
- Definem compartilhamento
Operador

Existe algum outro ator
envolvido no tratamento?
Você é o
controlador
Não
Você foi nomeado controlador
baseado em algum ato legal?
(Competência legal explícita)
Você é o
controlador
Sim
Não
Não
O tratamento é necessário a
fim de realizar uma tarefa para
a qual você é responsável?
(competência legal implícita)
Você é o
controlador
Sim
Não
Você decide:
- a finalidade para as quais os dados serão tratados?
- quais os dados pessoais devem ser coletados e tratados?
- quais categorias de indivíduos os dados irão se referir?
- se os dados tratados devem ser divulgados e a quem?
- por quanto tempo os dados pessoais serão armazenados?
Você é o
controlador
Sim
Não
Você é o
operador
Não, eu realizo o tratamento em nome de
outro ator de acordo com suas instruções
Eu tomo decisões sobre meios de tratamento
não essenciais (sistemas de TI ou outros meios
técnicos a serem isados para o tratamento ou
detalhes de medidas de segurança com base nos
objetivos gerais de segurança definidos por outro ator)
Não, eu realizo o tratamento em nome
de outro ator e exclusivamente de
acordo com suas instruções. Eu não
tomo por minha conta nenhuma decisão
relativa a finalidades e meios de trat.
Não
Não
Sei
Não sei quem
define finalidades
ou meios de
tratamento
Eu sou o controlador? (Critérios do GDPR)
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf
https://edpb.europa.eu/

PARTE 14
Responsabilidades e
Penalizações
O risco de não estar em conformidade

Responsabilidades
Co-Controlador Co-Controlador
- Tomam decisões conjuntas
- Definem a finalidade
- Definem a base legal
- Definem meios essenciais
- Definem os dados pessoais
- Definem retenção e exclusão
- Definem compartilhamento
Operador
Ambientes
de Nuvem
Bancos
de Dados
Bancos
de Dados
Log

Responsabilidades
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de
dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à
legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando
descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as
instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos
casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram
danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no
art. 43 desta Lei.

Responsabilidades
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve
violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou
quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias
relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

aplicação da regra
aplicação da regra
Penalidades são parte do jogo
Penalidades são parte do jogo
para conter os excessos e abusos
para conter os excessos e abusos

Sanções
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas
nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado,
grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a
R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;

Sanções
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas
nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
...
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo
período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de
tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a
infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Sanções
Multa até 2%
do Faturamento
Até 50 Milhões
por infração
Bloqueio
e/ou
Eliminação
do Dado
Suspensão
e/ou
Proibição
de tratamento

PARTE 15
Segurança e
Boas Práticas
Ações práticas nas organizações

Segurança e Boas Práticas
Segurança
& TI / Infra
Boas
Práticas
Riscos
Ações e
Medidas
Ameaças
Externas
Conformidade
Privacidade

Segurança e Sigilo dos Dados (cap. VII – Seção I)
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas
aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas
de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou
ilícito.
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do
tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados
pessoais, mesmo após o seu término.
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de
incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Segurança
& TI / Infra
Jurídico
Negócio
& Sistemas / UX
Três Eixos da
Proteção de Dados
Proteção
de Dados
Pessoais
Jurídico
- LGPD, GDPR etc
- Outras normas
Segurança
- ISO 27.70, padrões
- Redes, Nuvem, Infra
Negócio
- Parte Específica
- Usuário/Titular
- Sistemas e Softwares
Privacidade
Risco &
Resposta
Compliance

Boas Práticas (cap. VII – Seção II)
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados
pessoais, individualmente ou por meio de associações, poderão formular regras de boas
práticas e de governança […] (Autorregulação regulada ou co-regulação)
Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle
pelos titulares dos seus dados pessoais.

Segurança
& TI / Infra
Negócio
& Sistemas / UX
Segurança / Negócio
Ações Práticas
Questões não jurídicas ou
não regulamentadas
porque são específicas
Análise de Riscos Específico
Variam por nichos, setores
e por organizações
Padrões técnicos
(Co-regulação)
Risco &
Resposta
Privacidade By Design
Política de Privacidade
Padrões de Interação
Criptografia
Anonimização
Segurança by Design
Política de Cookies
Continuidade de Neg.
Mapear Ameaças

Nossos Contatos
DÉBORA MODESTO DOUGLAS SIVIOTTI
/modestodebora
deb.modesto@gmail.com
/douglas-siviotti
douglas.siviotti@gmail.com
facebook.com/
artesoftware.com.br
artesoftware.com.br
instagram.com/
artesoftware

artesoftware.com.br
facebook.com/artesoftware.com.br
instagram.com/artesoftware

Artesoftware Explicando LGPD

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Artesoftware Explicando LGPD

Ähnlich wie Artesoftware Explicando LGPD (20)

Mehr von Douglas Siviotti

Mehr von Douglas Siviotti (19)

Artesoftware Explicando LGPD