material aula questoes praticas lgpd

Prévia do material em texto

Questões práticas acerca da implementação da LGPD
Professor Dr. Luiz Paulo Rosek Germano
luizpaulo@ad2l.com.br
O QUE PRECISAMOS SABER SOBRE A LGPD?
(RE)LEMBRANDO ALGUMAS INFORMAÇÕES 
FUNDAMENTAIS
a) A Lei nº 13.709/2018 (LGPD) regulamenta o tratamento de dados pessoais;
b) O tratamento de dados consiste no processo que se inicia desde a captação, a manipulação, o
armazenamento e até a eliminação de informações pessoais;
c) Todos aqueles que coletam, manipulam e armazenam dados pessoais devem se submeter as diretrizes
da LGPD.
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por
pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os
direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da
pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser
observadas pela União, Estados, Distrito Federal e Municípios.
PRINCÍPIOS DO TRATAMENTO DE DADOS 
PESSOAIS
ART. 6º da LGPD
EXEMPLO DE DISCRIMINAÇÃO À LUZ DA LGPD
BASES LEGAIS DA LGPD
POR ONDE COMEÇAR A IMPLEMENTAÇÃO?
• Instituir um comitê de governança para organização,
análise e tomadas de decisão;
• Designar um Encarregado de Dados ou DPO
(oficial de proteção de dados);
• Mapear e entender o ciclo de vida dos dados, a partir
de entrevistas setorizadas;
• Instruir os membros da organização a partir de
padrões de segurança da informação;
• Auditar e monitorar periodicamente o ambiente
(físico e digital);
• criar um relatório de impacto à proteção de dados
pessoais;
• Instituir um plano de ação para situações de
emergência.
Governança em Privacidade e Proteção de Dados Pessoais
A LGPD, Lei 13.709/2018, em seu Art. 50, parágrafo 2º, inciso I, exige a implementação de um programa de
governança em privacidade e proteção de dados pessoais que, no mínimo:
⮚ Demonstre o comprometimento do controlador em
adotar processos e políticas internas que assegurem
o cumprimento de normas e boas práticas relativas à
proteção de dados pessoais;
⮚ Seja aplicável a todo o conjunto de dados pessoais
que estejam sob o controle do controlador;
⮚ Seja adaptado a estrutura, escala e volume, bem
como à sensibilidade dos dados pessoais tratados
pelo controlador;
⮚ Estabeleça políticas e salvaguardas adequadas com
base em processo de avaliação sistemática de
impactos e riscos à privacidade;
⮚ Tenha como objetivo o estabelecimento de
relação de confiança com o titular de dados
pessoais, por meio de atuação transparente e
que possibilite a participação do titular;
⮚ Esteja integrado a sua estrutura geral de
governança e estabeleça e aplique mecanismos
de supervisão internos e externos;
⮚ Conte com planos de resposta a incidentes e
remediação de questões que envolvam a
privacidade e a proteção de dados pessoais; e
⮚ Seja atualizado constantemente com base em
informações obtidas a partir de monitoramento
contínuo e avaliações periódicas.
Etapa 4
Identificar cenário em relação a 
processos.
Etapa 5 
Relatório de Diagnóstico
Etapa 6 
Plano de Ação
Etapa 8
Políticas de Privacidade e 
Segurança da Informação
Etapa 7 
Cronograma de Execução do
Plano de Ação
Etapa 9
Canais de Interação com o Titular de 
Dados
Etapa 10 Etapa 11
Gestão de Crise Comunicação e Treinamento
Etapa 12 
Relatório Final
Etapa 1 
Apresentação do Projeto
Etapa 2
Definição de Equipe e Prazos
Etapa 3 
Solicitação de Documentos e
Entrevistas
Etapa 13 
Monitoramento
Implementação das Etapas do Projeto de Adequação à LGPD
Solicitação de documentos
PRIMEIRO PASSO
O Conselho Diretor da Autoridade Nacional de Proteção de
Dados – ANPD, aprovou Resolução CD/ANPD nº 2, de 27 de
janeiro de 2022, que flexibiliza aplicação da Lei Geral de
Proteção de Dados Pessoais – LGPD para agentes de
tratamento de pequeno porte.
São Agentes de Tratamento de Pequeno Porte as microempresas, empresas
de pequeno porte, startups, pessoas jurídicas de direito privado, entidades sem
fins lucrativos, bem como pessoas naturais e entes privados
despersonalizados que realizam tratamento de dados pessoais, assumindo
obrigações típicas de controlador ou de operador.
Entidades não qualificadas como Agentes de Tratamento de Pequeno Porte
Não poderão se beneficiar do tratamento jurídico diferenciado da LGPD as Entidades:
Que realizam tratamento de alto risco para os titulares;
Com receita bruta superior a R$ 360.000,00 e igual ou inferior a R$ 4.800.000,00 (art. 3º, II, da
Lei Complementar nº 123, de 2006);
Com receita bruta de até R$ 16.000.000,00 no ano-calendário anterior ou de R$ 1.333.334,00
pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze)
meses, independentemente da forma societária adotada (art. 4º, § 1º, I, da Lei Complementar nº
182, de 2021); e
Pertençam a grupos econômicos de fato ou de direito, cuja receita global ultrapasse os limites
referidos acima descritos.
Fonte: https://conatusaudit.com.br/2022/02/04/flexibilizacao-nas-normas-de-lgpd-para-agentes-de-pequeno-porte/
TRATAMENTO DE DADOS
O artigo 5º da LGPD dispõe que o tratamento de
dados são operações como coleta, produção,
recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão
ou extração. Trata-se de um processo complexo,
cujas etapas exigem especial atenção dos agentes de
tratamento de dados.
Fonte: https://www.xpositum.com.br/ciclo-de-vida-dos-dados-e-lgpd
MAPEAMENTO DE DADOS
A tarefa de mapear os dados deve ser feita para ajudar a identificar quais controles de
segurança devem ser adotados na proteção dessas informações. Do ponto de vista técnico
do tratamento de dados e pensando na complexidade dos ambientes atuais, é interessante
dividir as ações da seguinte maneira:
• identificar o fluxo de tratamento de dados (ciclo de vida de dados);
• avaliar se é realmente necessário o armazenamento desses dados;
• identificar e controlar os acessos;
• mapear os controles de segurança aplicados na proteção dessas informações;
• analisar o risco, identificar possíveis vulnerabilidades, determinar a probabilidade de uma
ameaça e explorar uma vulnerabilidade existente;
• monitorar o tratamento dos dados, quem está acessando e de onde, quais ações estão
acontecendo, a fim de detectar atividades suspeitas ou acessos não autorizados;
• manter o ambiente em conformidade.
MAPEAMENTO DE DADOS
Atenção aos dados SENSÍVEIS!
ENTREVISTA
Objetivo: mapear todas as atividades na corporação.
Número do Fluxo:
Nome do departamento:
Nome do entrevistado:
Nome da atividade de tratamento:
Finalidade da atividade de tratamento:
Dados pessoais utilizados:
Categoria do titular dos dados pessoais:
Dados pessoais de menores (Sim ou Não):
Sistemas que suportam o tratamento:
Controles de segurança dos sistemas que suportam o tratamento:
Dados Pessoais armazenados digitalmente? Em qual lugar?
Dados transferidos internamente (Sim ou Não) e para quais
departamentos:
Dados transferidos para terceiros ou prestadores de serviço? (Sim
ou Não) e para quem.
Dados transferidos para o exterior? Para qual país? Para qual
finalidade?
O tratamento de Dados Pessoais é realizado por alguma obrigação 
legal? Se sim, inserir a Lei que obriga tal tratamento. 
ALGUNS SOFTWARES DE MAPEAMENTO 
E GESTÃO DE COOKIES
PREENCHENDO UMA TABELA DE MAPEAMENTO
RECOMENDAÇÕES IMPORTANTES
1) Não existe um número mínimo ou máximo de perguntas a serem formuladas; estamos mapeando o
trânsito de dados pessoais em uma corporação e não estatísticas;
2) Solicitar que o destinatário preencha o formulário pode otimizar o trabalho, mas é PERIGOSO! Pode
haver falha na coleta de dados pessoais essenciais e o mapeamento ficar comprometido! NÃO
QUEREMOS DEIXAR OS GAPS PASSAREM!
3) Todos com os quais há compartilhamento de dadospessoais devem ser entrevistados e responder a
planilha de mapeamento! E isso deve ser feito pelo profissional responsável pela implementação das
diretrizes da LGPD!
4) O objetivo do mapeamento de dados é entender o fluxo de informações que transitam em uma
corporação, desde a recepção, armazenamento, processamento, compartilhamentoe eliminação;
5) Embora haja o “inventário de dados”, onde relacionam-se os dados pessoais com às suas respectivas
bases legais (de autorização do tratamento), NÃO SE FAZ O MAPEAMENTO SEM O CONHECIMENTO
DOS PRINCÍPIOS E DAS BASES LEGAIS DA LGPD!
VAZAMENTO DE DADOS E INFRAÇÕES À 
LGPD
POLÍTICA DE SEGURANÇA DA 
INFORMAÇÃO