3. Organização do Conteúdo
Parte 1 – Dados são o Novo Petróleo LGPD: nenhum artigo específico
Parte 2 – O que é LGPD? LGPD: art. 1
Parte 3 – Fundamentos e Escopo LGPD: art. 2, 3 e 4
Parte 4 – Conceitos Chave LGPD: art. 5
Parte 5 – Dados Pessoais LGPD: art. 5, 11, 14
Parte 6 – Anonimização e Pseudonimização LGPD: art. 5, 12
Parte 7 – Tratamentos de Dados Pessoais LGPD: art. 5, 9
Parte 8 – Princípios LGPD: art. 6
Parte 9 – Hipóteses Legais para Tratamentos LGPD: art. 7, 11 e 23
Parte 10 – Consentimento e Legítimo Interesse LGPD: art. 8 e 10
Parte 11 – Término do Tratamento LGPD: art. 15, 16
Parte 12 – Direitos do Titular LGPD: art. 17, 18, 19
Parte 13 – Papéis LGPD: art. 37, 38, 39, 40, 41
Parte 14 – Responsabilidades e Penalizações LGPD: art. 42 a 45 – 52 a 54
Parte 15 – Segurança Boas Práticas LGPD: art. 46 a 51
4. PARTE 1
Dados São o
Novo Petróleo
A Indústria do Dado Pessoal
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
5. Século 21: dado é o novo petróleo
Século 21: dado é o novo petróleo
13. PARTE 2
O que é LGPD?
As Regras da Indústria do Dado Pessoal
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
15. regras
regras
As regras do futebol existem para
As regras do futebol existem para
que o jogo funcione, não para
que o jogo funcione, não para
impedir os jogadores de jogar
impedir os jogadores de jogar
20. Dado
Pessoal
“informação relacionada a pessoa identificada ou identificável”
Nome
CPF
Endereço
Etnia*
Religião*
Foto*
Biometria*
Localização
Histórico de Compras
Cliques
Rating
Preferências
* Dado pessoal sensível
21. Operador
Controlador
Agentes de
Tratamento pessoa natural ou jurídica, de direito público
ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais
pessoa natural ou jurídica, de direito público
ou privado, que realiza o tratamento de
dados pessoais em nome do controlador
23. A LGPD visa regular o tratamento de
dados pessoais dos titulares pelos
controladores e operadores
24. PARTE 3
Fundamentos
e Escopo
Onde se aplica e onde não se aplica
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
25. Introdução à LGPD
Fundamentos (art. 2)
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o
exercício da cidadania pelas pessoas naturais.
26. Introdução à LGPD
Equilíbrio entre Proteção e Fomento
privacidade
Autode
term
inação
Liberdade
de opinião
Inviobabi
lidade
Honra
Im
agem
Direitos
hum
anos
Inovação
Iniciativa
Tecnologia
27. Introdução à LGPD
Abrangência/Escopo (art. 3)
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por
pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do
país onde estejam localizados os dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o
tratamento de dados de indivíduos localizados no território nacional; ou
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
§ 1º Consideram-se coletados no território nacional os dados pessoais cujo
titular nele se encontre no momento da coleta.
§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados
previsto no inciso IV do caput do art. 4º desta Lei.
28. Introdução à LGPD
Não Aplicação (art. 4)
Não se aplica a tratamento realizado para fins
exclusivamente pessoais e
sem fins econômicos
Escopo/Alvo = Atividades Econômicas
Não se aplica a tratamento realizada para fins: jornalísticos ou artísticos,
acadêmicos, segurança pública, defesa nacional, segurança do estado ou
atividades contra infração penal
30. Introdução à LGPD
Prevalência do Interesse Coletivo
privacidade
Autode
term
inação
Liberdade
de opinião
Inviobabi
lidade Honra
Im
agem
Direitos
hum
anos
Interesse
Coletivo
31. PARTE 4
Conceitos Chave
Os Principais Elementos da LGPD
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
32. Introdução à LGPD
Conceitos
Operador
Controlador
T
Agente de
Tratamento
Dado
Pessoal
Titular
pessoa natural ou jurídica, de direito público
ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais
pessoa natural ou jurídica, de direito público
ou privado, que realiza o tratamento de
dados pessoais em nome do controlador
“Pessoa natural a quem se referem os dados pessoais”
É o “dono” dos dados
“informação relacionada a pessoa
identificada ou identificável”
33. Introdução à LGPD
Conceitos
Tratamento
E
Encarregado
Banco de Dados
conjunto estruturado de dados
em meio físico ou eletrônico
pessoa indicada pelo
controlador e operador para
atuar como canal de
comunicação entre o
controlador, titulares e a
Agência Nacional de Proteção
de Dados
toda operação realizada com dados pessoais,
como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão
ou extração
Papel
34. Introdução à LGPD
Conceitos
manifestação livre, informada e inequívoca pela
qual o titular concorda com o tratamento de
seus dados para uma finalidade específica
Consentimento
relatório de impacto à proteção de dados pessoais (RIPD) :
documentação do controlador que contém a descrição dos
processos de tratamento de dados pessoais que podem gerar
riscos às liberdades civis e aos direitos fundamentais, bem como
medidas, salvaguardas e mecanismos de mitigação de risco
RIPD
35. Introdução à LGPD
Conceitos
Uso Compartilhado
comunicação, difusão, transferência internacional, interconexão
de dados pessoais ou tratamento compartilhado de bancos de
dados pessoais por órgãos e entidades públicos no
cumprimento de suas competências legais, ou entre esses e
entes privados, reciprocamente, com autorização específica,
para uma ou mais modalidades de tratamento permitidas por
esses entes públicos, ou entre entes privados;
Transferência
Internacional
transferência de dados pessoais para país estrangeiro ou
organismo internacional do qual o país seja membro;
36. Introdução à LGPD
Conceitos
meios técnicos no momento do tratamento que
impede a possibilidade de identificação de
um indivíduo a partir do dado
Anonimização Pseudonimização
anonimização que pode ser revertida com
informação adicional mantida separadamente
pelo controlador (art. 13)
Eliminação
Bloqueio
suspensão temporária de qualquer
operação de tratamento
exclusão definitiva de dado ou de conjunto de
dados armazenados em banco de dados,
independente do procedimento empregado
37. PARTE 5
Dados Pessoais
e suas Categorias
Dados Sensíveis e de Crianças e Adolescentes
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
38. Introdução à LGPD
Tipos de Dados Na LGPD
Dados Pessoais
Sensíveis
Dados Pessoais de
Crianças e Adolescentes
Dados
Pessoais
Dados
não pessoais
Dados
Anonimizados
Dados
Pseudonimizados
39. Introdução à LGPD
Tipos de Dados Pessoais Na LGPD
“informação relacionada a pessoa identificada ou identificável”
Dados Pessoais
Sensíveis
Dados Pessoais de
Crianças e Adolescentes
Dados
Pessoais
40. Introdução à LGPD
Dado Pessoal Sensível
Art. 5, II - dado pessoal sensível: dado pessoal sobre origem racial
ou étnica, convicção religiosa, opinião política, filiação a sindicato
ou a organização de caráter religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado genético ou biométrico,
quando vinculado a uma pessoa natural;
Dado Sensível
Dado Sensível Risco de
Discriminação
Risco de
Discriminação
41. Introdução à LGPD
Dados Pessoais de Crianças e Adolescentes
Dado de Crianças
e Adolescentes
Dado de Crianças
e Adolescentes
Autorização do
Responsável
Autorização do
Responsável
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico
e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
§ 2º … manter pública a informação sobre os tipos de dados coletados ...
§ 3º … quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e
sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o
consentimento ...
§ 4º Os controladores não deverão condicionar a participação … jogos, aplicações de internet ou outras
atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
§ 5º … verificar que o consentimento … consideradas as tecnologias disponíveis.
§ 6º … proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento
da criança.
42. Introdução à LGPD
Grau de Identificabilidade
Dados
Pessoais
Dados Não
Pessoais
Nome
CPF
Preço
Produto
Endereço
IP
Geolocalização
RG
Religião
Gênero
Foto
Renda
Compras
Peso
Altura
IMC
Nascimento
Caligrafia Apelido
Salário
Umidade do Ar
Inflação
Curtidas
43. Individualidade
Introdução à LGPD
Fatores de Identificabilidade
Nome
CPF
RG
Foto
Hospital
Apelido
Nascimento
Escola Compras
Salário
Geolocalização
Curtidas
Opinião
Caligrafia
Doença
CNPJ
Combinação Volume e Escopo
Tipo de Conteúdo
45. PARTE 6
Anonimização
e Pseudonimização
Tornando o dado não pessoal
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
46. Introdução à LGPD
Tipos de Dados Na LGPD
Dados Pessoais
Sensíveis
Dados Pessoais de
Crianças e Adolescentes
Dados
Pessoais
Dados
não pessoais
Dados
Anonimizados
Dados
Pseudonimizados
47. Introdução à LGPD
Dados Anonimizados
dado relativo a titular que
não possa ser identificado,
considerando a utilização de
meios técnicos razoáveis e
disponíveis na ocasião de seu
tratamento
Dados
Anonimizados
Dados
Pseudonimizados
48. Introdução à LGPD
Anonimização x Peseudonimização
Dados
Pessoais
Anonimização
Pseudonimização
(anonimização reversível)
Informação
Externa
Dados
Anonimizados
(sem reversão)
Dados
Pseudonimizados
(com reversão)
Controlador
49. Introdução à LGPD
Exemplo de Anonimização
1
2
Anonimização
Dados Anonimizados
Qual é o peso da pessoa
que comprou coxinha?
50. Introdução à LGPD
Exemplo de Pseudonimização
1
2
Dados Pseudonimizados
Pseudonimização
(anonimização reversível)
3
Qual é o peso da pessoa
que comprou coxinha?
52. Introdução à LGPD
Mapeamento de Isolamento Social Via Celular
Companhia
Telefônica
Pessoas fora
do Isolamento
Pessoas em
isolamento
Dados
Pessoais
Regulares
Prefeitura
Dados
Covid 19
Anonimização ou
Pseudonimização
Dados
Pessoais
Regulares
Público
53. PARTE 7
Tratamento
De Dados Pessoais
O problema central da LGPD
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
54. Tratamento
Definido no art. 5
“Processamento”
“Uso”
“Manipulação”
No GDPR é “Processing”
Operador = Processor
55. Tratamento de
Dados Pessoais
“toda operação realizada com dados
pessoais, como as que se referem a
coleta, produção, recepção,
classificação, utilização, acesso,
reprodução, transmissão, distribuição,
processamento, arquivamento,
armazenamento, eliminação, avaliação
ou controle da informação, modificação,
comunicação, transferência, difusão ou
extração” [LGPD: 20 Operações]
Coleta
Processamento
Eliminação
Anonimização
Envio
Retenção
57. Finalidade
Marketplace
Vender Produtos
Online
Salvar Cookie
de preferências
Recomendações
de produtos
É necessário coletar os dados do
comprador para entregar os produtos
É necessário salvar dados do usuário
para melhorar a usabilidade
É necessário processar histórico de
compras para fazer recomendações
realização do tratamento para propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de tratamento
posterior de forma incompatível com essas finalidades (princípio)
58. Base Legal
Marketplace
Vender Produtos
Online
Salvar Cookie
de preferências
Recomendações
de produtos
Execução de contrato
(hipótese do artigo 7)
Consentimento para salvar cookie
(hipótese do artigo 7)
Legítimo interesse do controlador
(hipótese do artigo 7)
Embasamento na LGPD para que o tratamento seja legítimo.
Artigo 7 (10 hipóteses), artigo 11 (sensíveis), artigo 23 (poder público) e
outras leis (e.g. marco civil da internet)
60. PARTE 8
Princípios
Elementos norteadores dos tratamentos
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
61. 10 Princípios da LGPD
Finalidade
Adequação
Necessidade
Livre Acesso
Qualidade dos dados
Transparência
Segurança Prevenção
Não Discriminação Responsabilização
Art. 6 - As atividades de tratamento de dados pessoais
deverão observar a boa-fé e os seguintes princípios:
62. Introdução à LGPD
Princípios
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e
informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas
finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo
com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às
finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração
do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
63. Introdução à LGPD
Princípios
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis
sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos
comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais
de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento
de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios
ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas
eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados
pessoais e, inclusive, da eficácia dessas medidas.
64. PARTE 9
Hipóteses Legais
Para Tratamento
A permissão legal para tratar dados pessoais
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
65. Princípios
Introdução à LGPD
Regra Geral para Tratar Dados Pessoais
1 – Ter Uma Finalidade Legítima
2A – O Titular Consente/Autoriza 2B – Há uma Hipótese Alternativa
Executar
Tratamento
3A – Excluir os Dados ao Final 3B – Há um Motivo para Retenção
Boa Fé
67. Introdução à LGPD
Hipóteses Legais
1 - Consentimento
2 – Obrigação legal
3 – Adm. Pública
4 – Estudos O. Pesquisa
5 – Execução de Contrato
6 – Exercício de Direito
7 – Proteção à Vida
8 – Tutela de Saúde
9 – Interesses Legítimos
10 – Proteção do Crédito
1 - Consentimento
a) Obrigação legal
b) Adm. Pública
c) Estudos O. Pesquisa
d) Exercício de Direito
e) Proteção à Vida
f) Tutela de Saúde
g) Prevenção à Fraude
Dados
Pessoais
Art. 7
Dados P.
Sensíveis
Art. 11
68. Introdução à LGPD
Base Legal
Dados
Pessoais
Art. 7
Dados P.
Sensíveis
Art. 11
Poder
Público
Art. 23
Marco Civil
da Internet
Outras
Legislações
LAI
Lei de Acesso
a Informação
Hipóteses Legais LGPD
Base Legal
Empresa
Pública
Provedor de
Internet
Órgão Público
Empresa
Privada
Base legal não é um
conceito da LGPD
69. Marketplace
Vender Produtos
Online
Salvar Cookie
de preferências
Recomendações
de produtos
Execução de contrato
(hipótese do artigo 7 ou 11)
Consentimento para salvar cookie
(hipótese do artigo 7 ou 11)
Legítimo interesse do controlador
(hipótese do artigo 7)
5 – Execução de Contrato d) Exercício de Direito
1 - Consentimento 1 - Consentimento
9 – Interesses Legítimos
Introdução à LGPD
Exemplo de Hipóteses Legais
70. Introdução à LGPD
Grupos de Bases Legais por Nível de Anuência
1 - Consentimento
2 – Obrigação legal
3 – Adm. Pública
4 – Estudos O. Pesquisa
5 – Execução de Contrato
6 – Exercício de Direito
7 – Proteção à Vida
8 – Tutela de Saúde
9 – Interesses Legítimos
10 – Proteção do Crédito
1 - Consentimento
a) Obrigação legal
b) Adm. Pública
c) Estudos O. Pesquisa
d) Exercício de Direito
e) Proteção à Vida
f) Tutela de Saúde
g) Prevenção à Fraude
Poder Público (art. 23)
Garantida
Tratamentos autorizados
por lei ou hipótese específica
Concedida
Tratamentos autorizados
pelo titular via consentimento
Inferida
Tratamentos baseados no
legítimo interesse do controlador
71. PARTE 10
Consentimento e
Legítimo Interesse
As hipóteses legais que merecem atenção
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
72. Introdução à LGPD
Consentimento x Legítimo Interesse
Consentimento
Legítimo Interesse
Anuência
Garantida
Não é necessário solicitar ao
titular dos dados pessoais
Concedida
Necessário solicitar
Deve ser mantido e gerido
Inferida
Não é garantido por lei ou norma
Inferência sobre a anuência
73. Introdução à LGPD
Consentimento (art. 8)
Finalidades
Determinadas
Fornecido por escrito ou
outro meio que demonstre
a vontade do titular
Se por escrito, deve estar
em cláusula destacada das
demais cláusulas
Cabe ao controlador o
ônus da prova em relação
ao consentimento
O tratamento é vedado
mediante vícios de
consentimento
Autorizações genéricas ou
abusivas são consideradas
nulas
Pode ser revogado pelo
titular a qualquer
momento de forma
gratuita e facilitada
Consequências do
não consentimento
Tratamento
Dados
Pessoais
Informações sobre
compartilhamento
75. Introdução à LGPD
Legítimo Interesse: Um Ponto de Extensão
Entendimento
em Construção
apoio e promoção de atividades do controlador
(muito amplo)
76. Introdução à LGPD
Legítimo Interesse
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados
pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas
não se limitam a:
I - apoio e promoção de atividades do controlador; e
II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que
o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais,
nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados
pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados
baseado em seu legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de
dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os
segredos comercial e industrial.
77. Introdução à LGPD
Legítimo Interesse – Critérios no GDPR/ICO
- Requer minimização e prevenção maior de impacto à privacidade
- Três elementos para embasar legítimo interesse:
1. Identificar um interesse legítimo;
2. Mostrar que o processamento é necessário para alcançá-lo; e
3. Equilibrá-lo com os interesses, direitos e liberdades do indivíduo.
- Os interesses legítimos podem se seus ou de terceiros
- Deve ser necessário, não deve haver outra forma de obter o mesmo resultado
- Contrabalançar os seus interesses com os do titular. Se os dele forem maiores, não use
- Mantenha registros mais detalhados dos tratamentos baseados em legítimo interesse
Critério comum: A empresa já tem alguma relação comercial com o titular (contato prévio)
79. PARTE 11
Término do
Tratamento
Quando a finalidade é alcançada
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
80. Princípios
Introdução à LGPD
Término do Tratamento
1 – Ter Uma Finalidade Legítima
2A – O Titular Consente/Autoriza 2B – Há uma Hipótese Alternativa
Executar
Tratamento
3A – Excluir os Dados ao Final 3B – Há um Motivo para Retenção
Boa Fé
81. Introdução à LGPD
Término do Tratamento
Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser
necessários ou pertinentes ao alcance da finalidade específica almejada;
II - fim do período de tratamento;
III - comunicação do titular, inclusive no exercício de seu direito de revogação do
consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse
público; ou
IV - determinação da autoridade nacional, quando houver violação ao disposto nesta
Lei.
82. Introdução à LGPD
Término do Tratamento: Eliminação dos Dados
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no
âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes
finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos
dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento de
dados dispostos nesta Lei; ou [consentimento específico para isso art.7 $5]
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que
anonimizados os dados.
Princípio da Minimização
83. Introdução à LGPD
Eliminação
3B – Há um Motivo para Retenção
3A – Excluir os Dados ao Final
Obrigação
Legal
Órgão de
Pesquisa
Transferência
a terceiro
Consentimento
Cláusula
Contratual
3C – Anonimização
85. PARTE 12
Direitos do Titular
O desafio de atender o titular
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
86. Introdução à LGPD
Direitos do Titular (cap. III, art. 17 a 22)
Toda pessoa natural tem
assegurada a titularidade
de seus dados pessoais e
garantidos os direitos
fundamentais de
liberdade, de intimidade e
de privacidade, nos
termos desta Lei. (art. 17)
87. Introdução à LGPD
Direitos do Titular (cap. III, art. 17 a 22)
1 – Confirmação de existência
2 – Acesso aos dados
3 – Correção dos dados
4 – Decisão sobre desconformidades*
5 – Portabilidade
6 – Eliminação se consentido
7 – Info. sobre compartilhamentos
8 – Consequências de não consentir
9 – Revogar consentimento
* anonimizar, bloquear, eliminar dados desnecessários ou em excessivos
88. Direitos do Titular
Um Grande Desafio
- Integrar Sistemas
- Canal de Relacionamento
- Levantar Informações
- Atender a Demanda
- Dados em Papel
- Quase tudo é “Legado”
Atender os direitos do
titular é o maior desafio das
organizações na LGPD
89. Introdução à LGPD
Direitos do Titular: 4 Práticas Implícitas na LGPD
1 – Confirmação de existência
2 – Acesso aos dados
3 – Correção dos dados
4 – Decisão sobre desconformidades*
5 – Portabilidade
6 – Eliminação se consentido
7 – Info. sobre compartilhamentos
8 – Consequências de não consentir
9 – Revogar consentimento
Registro de
Atividades de
Tratamentos
(RoPA*)
Gestão de
Consentimento
Relacionamento
com Titular
Solução de Acesso
às Informações
(Automatização)
* Registy of Processing Activities (GDPR)
90. PARTE 13
Papéis na LGPD
Controlador, operador encarregado etc
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
93. Operador
Controlador
Introdução à LGPD
Registro de Tratamentos (art. 37)
O controlador e o
operador devem manter
registro das operações de
tratamento de dados
pessoais que realizarem,
especialmente quando
baseado no legítimo
interesse (art. 37)
94. Introdução à LGPD
Controladores e suas Hipóteses Legais
Bancos
Médicos e
Hospitais
Imobiliária
(Geolocalização)
Órgãos de
pesquisa
comércio
eletrônico
4 – Estudos O. Pesquisa
5 – Execução de Contrato
10 – Proteção do Crédito
e) Proteção à Vida
f) Tutela de Saúde
95. Introdução à LGPD
Controladores e suas Bases Legais
Artigo 4: A lei não se aplica
jornalístico
segurança
pública
artístico
investigação e
repressão de
infrações
penais
96. Introdução à LGPD
Controlador x Operador
Operador
Controlador
Ambientes
de Nuvem
Decisões
Bancos
de Dados
Bancos
de Dados
- Toma decisões
- Define a finalidade
- Define a base legal
- Define meios essenciais
- Define os dados pessoais
- Define retenção e exclusão
- Define compartilhamento
- É um papel opcional
- Não precisa de contrato formal (GDPR sim)
- Mantém registros de tratamentos (art. 37)
- Realiza tratamento sob instruções
- Pode ser responsabilizado
- Define meios não essenciais
(tecnologia, ferramentas, linguagens, seg. etc)
Log
97. Introdução à LGPD
Controlador Conjunto ou “Co-controlador”
Co-Controlador Co-Controlador
- Tomam decisões conjuntas
- Definem a finalidade
- Definem a base legal
- Definem meios essenciais
- Definem os dados pessoais
- Definem retenção e exclusão
- Definem compartilhamento
Operador
98. Existe algum outro ator
envolvido no tratamento?
Você é o
controlador
Não
Você foi nomeado controlador
baseado em algum ato legal?
(Competência legal explícita)
Você é o
controlador
Sim
Não
Não
O tratamento é necessário a
fim de realizar uma tarefa para
a qual você é responsável?
(competência legal implícita)
Você é o
controlador
Sim
Não
Você decide:
- a finalidade para as quais os dados serão tratados?
- quais os dados pessoais devem ser coletados e tratados?
- quais categorias de indivíduos os dados irão se referir?
- se os dados tratados devem ser divulgados e a quem?
- por quanto tempo os dados pessoais serão armazenados?
Você é o
controlador
Sim
Não
Você é o
operador
Não, eu realizo o tratamento em nome de
outro ator de acordo com suas instruções
Eu tomo decisões sobre meios de tratamento
não essenciais (sistemas de TI ou outros meios
técnicos a serem isados para o tratamento ou
detalhes de medidas de segurança com base nos
objetivos gerais de segurança definidos por outro ator)
Não, eu realizo o tratamento em nome
de outro ator e exclusivamente de
acordo com suas instruções. Eu não
tomo por minha conta nenhuma decisão
relativa a finalidades e meios de trat.
Não
Não
Sei
Não sei quem
define finalidades
ou meios de
tratamento
Eu sou o controlador? (Critérios do GDPR)
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf
https://edpb.europa.eu/
99. PARTE 14
Responsabilidades e
Penalizações
O risco de não estar em conformidade
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
100. Introdução à LGPD
Responsabilidades
Co-Controlador Co-Controlador
- Tomam decisões conjuntas
- Definem a finalidade
- Definem a base legal
- Definem meios essenciais
- Definem os dados pessoais
- Definem retenção e exclusão
- Definem compartilhamento
Operador
Ambientes
de Nuvem
Bancos
de Dados
Bancos
de Dados
Log
101. Introdução à LGPD
Responsabilidades
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de
dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à
legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando
descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as
instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos
casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram
danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no
art. 43 desta Lei.
102. Introdução à LGPD
Responsabilidades
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve
violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou
quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias
relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
103. aplicação da regra
aplicação da regra
Penalidades são parte do jogo
Penalidades são parte do jogo
para conter os excessos e abusos
para conter os excessos e abusos
104. Introdução à LGPD
Sanções
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas
nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado,
grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a
R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
105. Introdução à LGPD
Sanções
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas
nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
...
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo
período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de
tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a
infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
106. Introdução à LGPD
Sanções
Multa até 2%
do Faturamento
Até 50 Milhões
por infração
Bloqueio
e/ou
Eliminação
do Dado
Suspensão
e/ou
Proibição
de tratamento
107. PARTE 15
Segurança e
Boas Práticas
Ações práticas nas organizações
Parte 1 – Dados são o Novo Petróleo
Parte 2 – O que é LGPD?
Parte 3 – Fundamentos e Escopo
Parte 4 – Conceitos Chave
Parte 5 – Dados Pessoais
Parte 6 – Anonimização e Pseudonimização
Parte 7 – Tratamentos de Dados Pessoais
Parte 8 – Princípios
Parte 9 – Hipóteses Legais para Tratamentos
Parte 10 – Consentimento e Legítimo Interesse
Parte 11 – Término do Tratamento
Parte 12 – Direitos do Titular
Parte 13 – Papéis
Parte 14 – Responsabilidades e Penalizações
Parte 15 – Segurança e Boas Práticas
108. Introdução à LGPD
Segurança e Boas Práticas
Segurança
& TI / Infra
Boas
Práticas
Riscos
Ações e
Medidas
Ameaças
Externas
Conformidade
Privacidade
109. Introdução à LGPD
Segurança e Sigilo dos Dados (cap. VII – Seção I)
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas
aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas
de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou
ilícito.
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do
tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados
pessoais, mesmo após o seu término.
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de
incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
110. Segurança
& TI / Infra
Jurídico
Negócio
& Sistemas / UX
Três Eixos da
Proteção de Dados
Proteção
de Dados
Pessoais
Jurídico
- LGPD, GDPR etc
- Outras normas
Segurança
- ISO 27.70, padrões
- Redes, Nuvem, Infra
Negócio
- Parte Específica
- Usuário/Titular
- Sistemas e Softwares
Privacidade
Risco &
Resposta
Compliance
111. Introdução à LGPD
Boas Práticas (cap. VII – Seção II)
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados
pessoais, individualmente ou por meio de associações, poderão formular regras de boas
práticas e de governança […] (Autorregulação regulada ou co-regulação)
Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle
pelos titulares dos seus dados pessoais.
112. Segurança
& TI / Infra
Negócio
& Sistemas / UX
Segurança / Negócio
Ações Práticas
Questões não jurídicas ou
não regulamentadas
porque são específicas
Análise de Riscos Específico
Variam por nichos, setores
e por organizações
Padrões técnicos
(Co-regulação)
Risco &
Resposta
Privacidade By Design
Política de Privacidade
Padrões de Interação
Criptografia
Anonimização
Segurança by Design
Política de Cookies
Continuidade de Neg.
Mapear Ameaças