Curso Rápido

PROTEÇÃO
Imersão LGPD
DE

Aprenda em definitivo a
DADOS

interpretar todos os artigos

da Lei

Realização
Conteúdo atualizado em
05/03/2021
 Apresentação do Instrutor
• Prof. Matheus Passos Silva
• ECPC-B Professional DPO Certification, Maastricht University
• IAPP® CIPP/E, CIPM
• EXIN® Certified DPO | EXIN® Certified Blockchain Foundation
• Lead Implementer da Gestão da Privacidade da Informação (ISO 27701)
▪ Data Protection Officer na L’Oréal Portugal
▪ Sócio-fundador da DataUX
https://profmatheus.com
▪ Professor Convidado na Faculdade de Direito da Universidade NOVA de Lisboa
@profmatheuspassos
▪ Doutorando pela Universidade NOVA de Lisboa (proteção de dados e inteligência artificial)
▪ Doutorando pela Universidade de Lisboa (direito constitucional e eleitoral)
▪ Pós-Graduação Avançada em Direito da Proteção de Dados
▪ Graduado e Mestre em Ciência Política
▪ Graduado em Ciência da Computação
▪ Estudando Ciência de Dados no momento ☺
Slide 2
 Conteúdo do Curso

• Origens e contexto histórico da LGPD Haverá alguns

• Aplicação em âmbito territorial e material “desvios” neste
• Conceitos básicos de proteção de dados caminho!
• Princípios para o tratamento de dados pessoais
• Bases legais
• Obrigações de fornecimento de informações Material de estudo:

• Direitos dos titulares

• Transferências internacionais de dados
• Segurança dos dados pessoais
• Supervisão da LGPD
Slide 3
 Curso rápido Imersão LGPD

Origens e contexto
histórico da LGPD
Proteção de dados: contexto

Slide 5
 Resposta da Europa: RGPD

Há legislação
complementar –
especialmente a
Lembrar que a ideia Diretiva ePrivacy
de proteção de dados
existe na Europa pelo
menos desde a década
de 1970
Substituiu a anterior
Diretiva 95/46/CE

Regulamento Geral
sobre a Proteção de
Dados
•No Brasil geralmente
fala-se em GDPR – sigla
em inglês

Slide 6
Resposta do Brasil: criação da LGPD

Slide 7
Fonte: https://www.serpro.gov.br/lgpd/governo/qual-o-papel-do-agente-publico-lgpd
 Características gerais da LGPD

Considera-se que a LGPD seja 80% semelhante ao RGPD – a lógica da

Lei brasileira segue a do Regulamento Europeu

Sancionada em agosto de 2018

Entrou em vigor em setembro de 2020 – à exceção das sanções

administrativas, que (ainda) entram em vigor em 1º de agosto de 2021

Slide 8
 Estrutura da LGPD
Capítulo I – Disposições preliminares Capítulo II – Do Tratamento de Dados Capítulo III – Dos Direitos do Titular
Pessoais
• Objetivos
• Aplicação material e territorial • Fundamentos de licitude
• Exclusões • Condições aplicáveis ao
• Definições consentimento
• Princípios • Informações a facultar ao titular
• Especificidades do legítimo
interesse
• Tratamento de dados pessoais
sensíveis
• Dados anonimizados
• Dados utilizados para estudos em
saúde pública
• Tratamento de dados de crianças e
adolescentes
• Término do tratamento

Slide 9
 Estrutura da LGPD

Capítulo IV – Do Tratamento de Dados Capítulo V – Da Transferência Capítulo VI – Dos Agentes de

Pessoais pelo Poder Público Internacional de Dados Pessoais Tratamento de Dados Pessoais

• Regras • Possibilidades • Controlador

• Responsabilidades • Nível de proteção • Operador
• Cláusulas-padrão contratuais • Encarregado pelo tratamento de
dados pessoais
• Responsabilidade e ressarcimento
de danos (controlador e operador)

Slide 10
 Estrutura da LGPD

Capítulo VII – Da Segurança e das Boas Capítulo VIII – Da Fiscalização Capítulo IX – Da Autoridade Nacional
Práticas de Proteção de Dados (ANPD) e do
• Sanções administrativas Conselho Nacional de Proteção de
• Medidas de segurança Dados Pessoais e da Privacidade
• Notificações à Autoridade Nacional
(ANPD)
• Boas práticas
Capítulo X – Disposições Finais e Transitórias

Texto completo:
https://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709compilado.htm

Slide 11
 O artigo 1º

por pessoa natural ou

tratamento de dados
por pessoa jurídica de
Esta Lei dispõe sobre o pessoais, inclusive nos
direito público ou
meios digitais,
privado,

com o objetivo de
e o livre
proteger os direitos
desenvolvimento da
fundamentais de
personalidade da
liberdade e de
pessoa natural.
privacidade
Slide 12
 Curso rápido Imersão LGPD

Aplicação em âmbito
territorial e material
Fluxos transnacionais de dados

Fonte: Digital Globalization: The New Era of Global Flows. March 2016, p. vii. Disponível em
https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20globali
zation%20The%20new%20era%20of%20global%20flows/MGI-Digital-globalization-Full-report.pdf. Acesso em 19 out 2020.

Slide 14
Fonte: Digital globalization: The new era of global flows. February 24, 2016. Disponível em https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/digital-globalization-the-new-era-of-global-flows. Acesso em 19 out 2020.
 Aplicação em âmbito territorial e material

A Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou jurídica de direito público ou privado,
independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

A atividade de tratamento tenha por objetivo a

A operação de tratamento seja realizada no oferta ou o fornecimento de bens ou serviços Os dados pessoais objeto do tratamento
território nacional; ou o tratamento de dados de indivíduos tenham sido coletados no território nacional.
localizados no território nacional; ou

São considerados como dados coletados no território nacional os dados pessoais cujo titular nele se encontre no
momento da coleta.

Slide 15
 A que não se aplica a LGPD?

Tratamento realizado por pessoa

Tratamento realizado para fins
natural para fins exclusivamente
exclusivamente:
particulares e não econômicos;
• Jornalísticos e artísticos ou
acadêmicos;
• Segurança pública;
• Defesa nacional;
• Segurança do Estado; ou
• Atividades de investigação e
repressão de infrações penais.

Slide 16
 A que não se aplica a LGPD?

Também não se aplica ao tratamento de dados

pessoais provenientes de fora do território
nacional e que não sejam objeto de comunicação,
uso compartilhado de dados com agentes de
tratamento brasileiros ou objeto de transferência
internacional de dados com outro país que não o
de proveniência, desde que o país de
proveniência proporcione grau de proteção de
dados pessoais adequado ao previsto na Lei.
Slide 17
 Empresa estrangeira no Brasil

A empresa estrangeira será notificada e

intimada de todos os atos processuais
previstos na Lei, independentemente de
procuração ou de disposição contratual ou
estatutária, na pessoa do agente ou
representante ou pessoa responsável por
sua filial, agência, sucursal, estabelecimento
ou escritório instalado no Brasil.

Slide 18
 Curso rápido Imersão LGPD

Conceitos básicos de
proteção de dados
 Conceitos relevantes

Dado pessoal sensível: dado pessoal

sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a
Dado pessoal: informação relacionada a
sindicato ou a organização de caráter
pessoa natural identificada ou
religioso, filosófico ou político, dado
identificável (= dado “normal”).
referente à saúde ou à vida sexual,
dado genético ou biométrico, quando
vinculado a uma pessoa natural.

Slide 20
 Cuidado com a pegadinha!

qualquer e que possa

tratamento causar
Artigo 11, § de dados dano ao
1º: pessoais titular,

Aplica-se o que revele ressalvado

disposto dados o disposto
neste pessoais em
artigo a sensíveis legislação
específica.

Slide 21
 Conceitos relevantes

Dado anonimizado: dado

relativo a titular que não possa
Titular: pessoa natural a quem
ser identificado, considerando a
se referem os dados pessoais
utilização de meios técnicos
que são objeto de tratamento.
razoáveis e disponíveis na
ocasião de seu tratamento.

Slide 22
 Conceitos relevantes

Controlador: pessoa natural Operador: pessoa natural

ou jurídica, de direito ou jurídica, de direito
público ou privado, a quem público ou privado, que
competem as decisões realiza o tratamento de
referentes ao tratamento de dados pessoais em nome do
dados pessoais. controlador.

Slide 23
 Atenção à confusão conceitual e prática

Um colaborador/servidor público não é

operador!

Slide 24
 Conceitos relevantes

Encarregado pelo tratamento de

dados pessoais (= DPO): pessoa
indicada pelo controlador e
operador para atuar como canal de Agentes de tratamento: o
comunicação entre o controlador, os controlador e o operador.
titulares dos dados e a Autoridade
Nacional de Proteção de Dados
(ANPD).

Slide 25
 Conceitos relevantes

Tratamento: toda operação realizada com

dados pessoais, como as que se referem a
coleta, produção, recepção, classificação,
Banco de dados: conjunto estruturado de
utilização, acesso, reprodução,
dados pessoais, estabelecido em um ou
transmissão, distribuição, processamento,
em vários locais, em suporte eletrônico ou
arquivamento, armazenamento,
físico.
eliminação, avaliação ou controle da
informação, modificação, comunicação,
transferência, difusão ou extração.

Slide 26
 Conceitos relevantes

Anonimização: utilização de
Consentimento: manifestação
meios técnicos razoáveis e
livre, informada e inequívoca
disponíveis no momento do
pela qual o titular concorda
tratamento, por meio dos quais
com o tratamento de seus
um dado perde a possibilidade
dados pessoais para uma
de associação, direta ou
finalidade determinada.
indireta, a um indivíduo.

Slide 27
 Conceitos relevantes

Bloqueio: suspensão Eliminação: exclusão de

temporária de qualquer dado ou de conjunto de
operação de tratamento, dados armazenados em
mediante guarda do dado banco de dados,
pessoal ou do banco de independentemente do
dados. procedimento empregado.

Slide 28
Conceitos relevantes

Uso compartilhado de dados: comunicação,

difusão, transferência internacional,
interconexão de dados pessoais ou tratamento
compartilhado de bancos de dados pessoais
por órgãos e entidades públicos no
cumprimento de suas competências legais, ou
entre esses e entes privados, reciprocamente,
com autorização específica, para uma ou mais
modalidades de tratamento permitidas por
esses entes públicos, ou entre entes privados.

Slide 29
 Conceitos relevantes

Relatório de impacto à proteção de

dados pessoais (= RIPD): documentação
Transferência internacional de dados: do controlador que contém a descrição
transferência de dados pessoais para dos processos de tratamento de dados
país estrangeiro ou organismo pessoais que podem gerar riscos às
internacional do qual o país seja liberdades civis e aos direitos
membro. fundamentais, bem como medidas,
salvaguardas e mecanismos de
mitigação de risco.

Slide 30
 Conceitos relevantes

Órgão de pesquisa: órgão ou entidade da

administração pública direta ou indireta ou
pessoa jurídica de direito privado sem fins Autoridade Nacional de Proteção de Dados
lucrativos legalmente constituída sob as leis (= ANPD): órgão da administração pública
brasileiras, com sede e foro no País, que responsável por zelar, implementar e
inclua em sua missão institucional ou em seu fiscalizar o cumprimento da Lei em todo o
objetivo social ou estatutário a pesquisa território nacional.
básica ou aplicada de caráter histórico,
científico, tecnológico ou estatístico.

Slide 31
 Curso rápido Imersão LGPD

Princípios para o
tratamento de dados
pessoais
 Princípios da LGPD

Finalidade: realização do
tratamento para propósitos
Adequação: compatibilidade do
legítimos, específicos, explícitos
tratamento com as finalidades
Boa-fé; e informados ao titular, sem
informadas ao titular, de acordo
possibilidade de tratamento
com o contexto do tratamento;
posterior de forma incompatível
com essas finalidades;

Slide 33
 Princípios da LGPD

Necessidade: limitação do
tratamento ao mínimo necessário Livre acesso: garantia, aos titulares,
para a realização de suas finalidades, de consulta facilitada e gratuita sobre
com abrangência dos dados a forma e a duração do tratamento,
pertinentes, proporcionais e não bem como sobre a integralidade de
excessivos em relação às finalidades seus dados pessoais;
do tratamento de dados;

Slide 34
 Princípios da LGPD

Qualidade dos dados: garantia, aos titulares, de exatidão,

clareza, relevância e atualização dos dados, de acordo com a
necessidade e para o cumprimento da finalidade de seu
tratamento;

Transparência: garantia, aos titulares, de informações claras,

precisas e facilmente acessíveis sobre a realização do
tratamento e os respectivos agentes de tratamento,
observados os segredos comercial e industrial;

Slide 35
 Princípios da LGPD

Segurança: utilização de medidas

técnicas e administrativas aptas a
Prevenção: adoção de medidas
proteger os dados pessoais de
para prevenir a ocorrência de
acessos não autorizados e de
danos em virtude do tratamento
situações acidentais ou ilícitas de
de dados pessoais;
destruição, perda, alteração,
comunicação ou difusão;

Slide 36
 Princípios da LGPD

Responsabilização e prestação de
contas: demonstração, pelo agente,
Não discriminação: impossibilidade da adoção de medidas eficazes e
de realização do tratamento para fins capazes de comprovar a observância
discriminatórios ilícitos ou abusivos; e o cumprimento das normas de
proteção de dados pessoais e,
inclusive, da eficácia dessas medidas.

Slide 37
Curso rápido Imersão LGPD

Bases legais
 As hipóteses de tratamento = bases legais

Pela administração pública, para o

tratamento e uso compartilhado de
dados necessários à execução de
Consentimento (conforme algumas Cumprimento de obrigação legal
políticas públicas previstas em leis e
regras específicas) ou regulatória pelo controlador
regulamentos ou respaldadas em
contratos, convênios ou
instrumentos congêneres

Slide 39
As hipóteses de tratamento = bases legais

QUANDO NECESSÁRIO PARA A

PARA A REALIZAÇÃO DE
EXECUÇÃO DE CONTRATO OU
ESTUDOS POR ÓRGÃO DE
DE PROCEDIMENTOS
PESQUISA, GARANTIDA,
PRELIMINARES RELACIONADOS
SEMPRE QUE POSSÍVEL, A
A CONTRATO DO QUAL SEJA
ANONIMIZAÇÃO DOS DADOS
PARTE O TITULAR, A PEDIDO
PESSOAIS
DO TITULAR DOS DADOS

Slide 40
 As hipóteses de tratamento = bases legais

Para a tutela da saúde,

Para o exercício regular de exclusivamente, em
Para a proteção da vida ou
direitos em processo procedimento realizado
da incolumidade física do
judicial, administrativo ou por profissionais de saúde,
titular ou de terceiro
arbitral serviços de saúde ou
autoridade sanitária

Slide 41
 As hipóteses de tratamento = bases legais

Quando necessário para atender

aos interesses legítimos do
controlador ou de terceiro, exceto Para a proteção do crédito,
no caso de prevalecerem direitos e inclusive quanto ao disposto na
liberdades fundamentais do titular legislação pertinente
que exijam a proteção dos dados
pessoais

Slide 42
 As hipóteses de tratamento = bases legais

Escolha
Quantas apenas
Apenas
bases legais uma base
uma.
utilizar? legal por
finalidade.

Slide 43
 O tratamento de dados sensíveis

Em suma, correspondem
às mesmas bases legais
Também precisa se
acima apresentadas, à
fundamentar em bases
exceção de execução de
legais
contrato e de legítimo
interesse

Slide 44
 O tratamento de dados sensíveis

Acresce-se uma nova base legal:

a garantia da prevenção à
O consentimento deve ser
fraude e à segurança do titular,
concedido pelo titular de forma
nos processos de identificação e
específica e destacada
autenticação de cadastro em
sistemas eletrônicos

Slide 45
O tratamento de dados sensíveis

É vedada a comunicação ou o uso compartilhado

entre controladores de dados pessoais sensíveis
referentes à saúde com objetivo de obter vantagem
econômica. Exceções:
Hipóteses relativas à prestação de serviços de saúde, de
assistência farmacêutica e de assistência, incluídos os
serviços auxiliares de diagnose e terapia, em benefício
dos interesses dos titulares de dados;
A portabilidade de dados quando solicitada pelo titular;
As transações financeiras e administrativas resultantes do
uso e da prestação dos serviços de saúde.
Slide 46
O tratamento de dados sensíveis

É vedado às operadoras de planos privados de

assistência à saúde o tratamento de dados de saúde
para a prática de seleção de riscos na contratação
de qualquer modalidade, assim como na
contratação e exclusão de beneficiários.

Slide 47
 O tratamento de dados públicos

O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-
fé e o interesse público que justificaram sua disponibilização.

É dispensada a exigência do consentimento para os dados tornados manifestamente

públicos pelo titular, resguardados os direitos do titular e os princípios previstos na Lei.

O tratamento posterior destes dados pessoais poderá ser realizado para novas finalidades
desde que observados os propósitos legítimos e específicos para o novo tratamento e a
preservação dos direitos do titular, assim como os fundamentos e os princípios previstos
na Lei.

Slide 48
 E os dados de crianças e adolescentes?

O tratamento dos dados deverá ser realizado em seu melhor interesse.

O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento

específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

Obrigação: os controladores deverão manter pública a informação sobre os tipos de dados

coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos.

Slide 49
E os dados de crianças e adolescentes?

• Coleta necessária para contatar os pais ou o

Podem ser coletados dados de menores sem responsável legal;
consentimento quando: • Utilizados uma única vez e sem armazenamento;
• Para a proteção da criança.

Em nenhum caso poderão ser repassados a

terceiro sem o consentimento dos pais ou
responsável

A participação de menores em jogos,

aplicações de internet ou outras atividades não
pode ser condicionada ao fornecimento de
informações pessoais além das estritamente
necessárias à atividade.

Slide 50
 E os dados de crianças e adolescentes?

O controlador deve realizar todos os esforços razoáveis para verificar que o

consentimento foi dado pelo responsável pela criança, consideradas as tecnologias
disponíveis.

As informações sobre o tratamento de dados de crianças e adolescentes deverão ser

fornecidas de maneira simples, clara e acessível, consideradas as características
físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de
recursos audiovisuais quando adequado, de forma a proporcionar a informação
necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Slide 51
 Há ainda os dados anonimizados

Não são considerados dados pessoais para os fins da Lei.

Exceção: quando o processo de anonimização ao qual foram

submetidos for revertido, utilizando exclusivamente meios próprios,
ou quando, com esforços razoáveis, puder ser revertido.

“Esforço razoável”: custo e tempo necessários para reverter o

processo de anonimização, de acordo com as tecnologias disponíveis,
e a utilização exclusiva de meios próprios.

Slide 52
 Por fim, o término do tratamento

Quando o tratamento termina?

Verificação de que a
Comunicação do
finalidade foi
titular, inclusive no
alcançada ou de que
exercício de seu Determinação da
os dados deixaram Fim do período de
direito de revogação ANPD quando houver
de ser necessários ou tratamento
do consentimento, violação da Lei
pertinentes ao
resguardado o
alcance da finalidade
interesse público
específica almejada

Slide 53
 O que acontece com os dados?

Os dados pessoais devem ser eliminados após o É autorizada a conservação para as seguintes
término de seu tratamento. finalidades:

Cumprimento de obrigação legal ou regulatória pelo

controlador;
Estudo por órgão de pesquisa, garantida, sempre que
possível, a anonimização;
Transferência a terceiro, desde que respeitados os
requisitos de tratamento de dados dispostos na Lei;
Uso exclusivo do controlador, vedado seu acesso por
terceiro, e desde que anonimizados os dados.

Slide 54
 Curso rápido Imersão LGPD

Pausa na sequência:
o consentimento
Características e exigências legais para ser válido

01 02 03
O consentimento deverá Caso o consentimento seja Cabe ao controlador o
ser fornecido por escrito fornecido por escrito, esse ônus da prova de que o
ou por outro meio que deverá constar de cláusula consentimento foi obtido
demonstre a manifestação destacada das demais em conformidade com a
de vontade do titular. cláusulas contratuais. Lei.

Slide 56
Características e exigências legais para ser válido

O consentimento Autorizações Vício de

deverá referir-se a genéricas para o consentimento
finalidades tratamento de dados invalida o tratamento
determinadas. pessoais são nulas. de dados pessoais.

Slide 57
Características e exigências legais para ser válido

O consentimento pode ser revogado a qualquer

momento mediante manifestação expressa do
titular, por procedimento gratuito e facilitado,
ratificados os tratamentos realizados sob amparo
do consentimento anteriormente manifestado
enquanto não houver requerimento de eliminação
dos dados por parte do titular.

Slide 58
Características e exigências legais para ser válido

Havendo alteração da finalidade específica do

tratamento, da forma e da duração do tratamento, da
identificação do controlador ou das informações acerca
do uso compartilhado de dados pelo controlador e a
finalidade deste uso compartilhado, o controlador
deverá informá-la(s) ao titular, com destaque de forma
específica do teor das alterações, podendo o titular,
nos casos em que o seu consentimento é exigido,
revogá-lo caso discorde da alteração.

Slide 59
 Curso rápido Imersão LGPD

Pausa na sequência:
o interesse legítimo
 Para que serve o interesse legítimo?

“Quando necessário para atender aos interesses legítimos do controlador ou

de terceiro, exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais.”

Slide 61
 Para que serve o interesse legítimo?

O legítimo interesse do controlador somente

poderá fundamentar tratamento de dados
pessoais para finalidades legítimas, consideradas
a partir de situações concretas, que incluem, mas
não se limitam a:
Apoio e promoção de atividades do controlador;
Proteção, em relação ao titular, do exercício regular de
seus direitos ou prestação de serviços que o
beneficiem, respeitadas as legítimas expectativas dele
e os direitos e liberdades fundamentais.

Slide 62
 Boas práticas referentes ao interesse legítimo

• Não existe obrigatoriedade legal de se fazer uma avaliação do legítimo

interesse (LIA).
• Nem no RGPD, nem na LGPD.
• ICO: “Embora um teste de três partes não seja explicitamente estabelecido como tal
no RGPD do Reino Unido, a disposição sobre interesses legítimos incorpora três
elementos principais...”.
• No entanto, sua realização é considerada como boa prática porque serve
para comprovar que a empresa realmente se preocupa com a proteção de
dados dos titulares.

Slide 63
As três etapas da avaliação do legítimo interesse

Teste da finalidade: a empresa está perseguindo um interesse

legítimo?

Teste da necessidade: o tratamento é necessário para a

finalidade?

Teste de equilíbrio/balanceamento/proporcionalidade: os
interesses do titular prevalecem sobre os interesses da empresa?

Slide 64
O resultado da avaliação do legítimo interesse

Somente se a atividade de tratamento passar na avaliação do legítimo

interesse é que esta base legal poderá ser utilizada.

Uma avaliação do legítimo interesse deverá ser feita para cada atividade de
tratamento que o agente de tratamento queira ver fundada nesta base legal.

Slide 65
Curso rápido Imersão LGPD

Obrigações de
fornecimento de
informações
 Informação e Transparência

As seguintes informações devem ser amplamente divulgadas ao titular dos

dados pessoais de forma clara, adequada e ostensiva:
Finalidade específica do tratamento;
Forma e duração do tratamento;
Identificação do controlador;
Informações de contato do controlador;
Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
Responsabilidades dos agentes que realizarão o tratamento; e
Direitos do titular, com menção explícita aos direitos.

Slide 67
 Informação e Transparência

Se o tratamento de dados pessoais tiver como base legal o consentimento e estas informações forem
repassadas de maneira enganosa ou abusiva, o consentimento será considerado nulo.

Se o tratamento de dados pessoais tiver como base legal o consentimento e se houver mudanças da
finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador
deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o
consentimento caso discorde das alterações.

Slide 68
Informação e Transparência

Quando o tratamento de
dados pessoais for condição
para o fornecimento de
produto ou de serviço ou para
o exercício de direito, o titular
será informado com destaque
sobre esse fato e sobre os
meios pelos quais poderá
exercer os direitos do titular
elencados no art. 18 da Lei.

Slide 69
Atenção a outros itens que devem ser informados

O mecanismo
O nome e os A existência de
utilizado para E as medidas de
contatos do decisões
transferências segurança?
DPO automatizadas
internacionais

Slide 70
 Outras obrigações dos agentes de tratamento

Controlador e operador O controlador poderá ter

devem manter um registro de realizar um relatório de
das atividades de impacto à proteção de
tratamento realizadas dados pessoais contendo:

Análise do controlador com

Metodologia utilizada para
relação a medidas,
Descrição dos tipos de a coleta e para a garantia
salvaguardas e mecanismos
dados coletados da segurança das
de mitigação de risco
informações
adotados

Slide 71
 Outras obrigações dos agentes de tratamento

O operador deverá realizar o tratamento

segundo as instruções fornecidas pelo
controlador, que verificará a observância
das próprias instruções e das normas
sobre a matéria.

Slide 72
 Curso rápido Imersão LGPD

Pausa na sequência:
o encarregado
O encarregado pela proteção de dados (DPO)

Deverá ser indicado por todos os

controladores, salvo eventual futura
indicação em contrário da ANPD

Sua identidade e contatos deverão

ser divulgadas publicamente, de
preferência no site da empresa

Slide 74
O encarregado pela proteção de dados (DPO)

Funções:
Orientar os
Executar as demais
funcionários e os
Aceitar reclamações atribuições
Receber contratados da
e comunicações dos determinadas pelo
comunicações da entidade a respeito
titulares, prestar controlador ou
ANPD e adotar das práticas a serem
esclarecimentos e estabelecidas em
providências; tomadas em relação
adotar providências; normas
à proteção de dados
complementares.
pessoais;

Slide 75
 Curso rápido Imersão LGPD

Direitos dos titulares

 Os direitos dos titulares de dados pessoais

Em consequência, os
Os dados pessoais são
titulares têm direitos
dos titulares – os
que podem ser
agentes de tratamento
exercidos junto aos
apenas os utilizam
agentes de tratamento

Slide 77
 Os direitos dos titulares de dados pessoais

Correção de dados
Confirmação da existência
Acesso aos dados incompletos, inexatos ou
de tratamento
desatualizados

Anonimização, bloqueio ou
eliminação de dados
desnecessários, excessivos
ou tratados em
desconformidade com o
disposto na Lei

Slide 78
Os direitos dos titulares de dados pessoais

Portabilidade dos dados a outro

fornecedor de serviço ou Eliminação dos dados pessoais
produto, mediante requisição tratados com o consentimento
expressa, de acordo com a do titular, exceto nas situações
regulamentação da autoridade em que seja autorizada a
nacional, observados os segredos conservação
comercial e industrial

Slide 79
 Os direitos dos titulares de dados pessoais

Informação das Informação sobre a

Peticionar em
entidades públicas e possibilidade de não
relação aos seus
privadas com as fornecer
Revogação do dados contra o
quais o controlador consentimento e
consentimento controlador perante
realizou uso sobre as
a autoridade
compartilhado de consequências da
nacional
dados negativa

Slide 80
 Os direitos dos titulares de dados pessoais

Opor-se a tratamento realizado tendo como base legal outra que não o
consentimento, em caso de descumprimento ao disposto na Lei

Solicitar a revisão de decisões tomadas unicamente com base em tratamento

automatizado de dados pessoais que afetem seus interesses, incluídas as decisões
destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou
os aspectos de sua personalidade

Slide 81
 Como exercer estes direitos?

Os direitos serão exercidos

mediante requerimento
O atendimento aos direitos
expresso do titular ou de
deve ser feito de maneira
representante legalmente
gratuita para o titular
constituído, a agente de
tratamento

Slide 82
 Como exercer estes direitos?

Em caso de impossibilidade de resposta

imediata, o controlador enviará ao
titular resposta em que poderá:
Comunicar que não é agente de
tratamento dos dados e indicar, sempre
que possível, o agente;
Indicar as razões de fato ou de direito que
impedem a adoção imediata da
providência.

Slide 83
 Prazos para responder

Confirmação da existência de tratamento e acesso aos dados:

• Em formato simplificado: imediatamente;
• Por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de
registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e
industrial: em até 15 dias.
Demais direitos: não há prazo especificado na Lei = o mais rapidamente possível.

A ANPD poderá estabelecer outros prazos para setores específicos.

Slide 84
 Curso rápido Imersão LGPD

Pausa na sequência:
uso de dados pessoais
pelo poder público
Tratamento de dados pessoais pelo Poder Público
Condições:

• Devem ser informadas as hipóteses em

que, no exercício de suas competências,
realizam o tratamento de dados
pessoais, fornecendo informações claras
e atualizadas sobre a previsão legal, a
O tratamento de dados pessoais pelo poder público finalidade, os procedimentos e as
deverá ser realizado para o atendimento de sua práticas utilizadas para a execução
finalidade pública, na persecução do interesse público, dessas atividades, em veículos de fácil
acesso, preferencialmente em seus sítios
com o objetivo de executar as competências legais ou eletrônicos;
cumprir as atribuições legais do serviço público. • Deve ser indicado um encarregado
quando realizarem operações de
tratamento de dados pessoais.
• Pessoa jurídica de direito público: ver
parágrafo único do art. 1º da Lei nº
12.527, de 18 de novembro de 2011 (Lei
de Acesso à Informação).

Slide 86
 Prazos e procedimentos para exercício de direitos

Lei nº 12.527, de
18 de novembro
Lei nº 9.784, de 29 de 2011 (Lei de
de janeiro de 1999 Acesso à
(Lei Geral do Informação)
Lei nº 9.507, de 12
de novembro de Processo
1997 (Lei do Administrativo)
Observarão o
disposto em Habeas Data)
Prazos e legislação
procedimentos específica
para exercício dos
direitos do titular
perante o Poder
Público

Slide 87
 Cartórios

Os serviços notariais e de registro exercidos em caráter

privado, por delegação do Poder Público, terão o mesmo
tratamento dispensado ao poder público.

Devem fornecer acesso aos dados por meio

eletrônico para a administração pública, tendo
em vista as finalidades anteriormente indicadas.

Slide 88
 Formato e compartilhamento de dados

Os dados deverão ser mantidos em

formato interoperável e estruturado
para o uso compartilhado, com vistas à
execução de políticas públicas, à
prestação de serviços públicos, à O uso compartilhado de dados pessoais pelo
descentralização da atividade pública e à Poder Público deve atender a finalidades
disseminação e ao acesso das específicas de execução de políticas públicas e
informações pelo público em geral. atribuição legal pelos órgãos e pelas entidades
públicas, respeitados os princípios de proteção
de dados pessoais.

Slide 89
 A regra e as exceções (1)

Execução descentralizada de atividade pública que exija a transferência,

exclusivamente para esse fim específico e determinado.

O Poder Público não pode

Nos casos em que os dados forem acessíveis publicamente, observadas as
transferir a entidades disposições da Lei.

privadas dados pessoais

constantes de bases de Quando houver previsão legal ou a transferência for respaldada em
contratos, convênios ou instrumentos congêneres.

dados a que tenha acesso.

Na hipótese de a transferência dos dados objetivar exclusivamente a prevenção
de fraudes e irregularidades, ou proteger e resguardar a segurança e a
integridade do titular dos dados, vedado o tratamento para outras finalidades.

Slide 90
 A regra e as exceções (2)

A comunicação ou o uso
compartilhado de dados
pessoais de pessoa jurídica de
direito público a pessoa de Exceções:
direito privado será informado à
ANPD e dependerá de
consentimento do titular.

Nas hipóteses de dispensa de Nos casos de uso compartilhado Nos casos das exceções
consentimento previstas na Lei. de dados. apresentadas anteriormente.

Slide 91
 Infrações pelo Poder Público

Quando houver infração à LGPD em decorrência

do tratamento de dados pessoais por órgãos
públicos, a ANPD poderá enviar informe com
medidas cabíveis para fazer cessar a violação.

A ANPD poderá solicitar a agentes do Poder

Público a publicação de relatórios de impacto à
proteção de dados pessoais e sugerir a adoção
de padrões e de boas práticas para os
tratamentos de dados pessoais pelo Poder
Público.

Slide 92
 Curso rápido Imersão LGPD

Transferências
internacionais de dados
 O que são transferências internacionais?

Compartilhamento de
Armazenamento de
base de dados de RH Terceirização de serviço
dados em data centers
entre empresas do de atendimento ao
fisicamente localizados
mesmo grupo (matriz- consumidor
no exterior
filial)

Contratação de
Contratação de
provedor de
provedor de e-mail
computação em serviço
estrangeiro
de nuvem estrangeiro

Slide 94
 As transferências internacionais na LGPD
Quando o titular tiver
fornecido o seu
consentimento
Para países ou
específico e em
organismos
destaque para a
internacionais que
transferência, com Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção
proporcionem grau de
informação prévia de dados previstos na Lei, na forma de
proteção de dados
sobre o caráter
pessoais adequado ao
internacional da
previsto na Lei
operação, distinguindo
claramente esta de
outras finalidades

Três situações Cláusulas contratuais

específicas para
determinada
Cláusulas-padrão
contratuais
Normas corporativas
globais
Selos, certificados e
códigos de conduta
O conteúdo de todos
estes itens serão
definidos pela

principais
regularmente emitidos
transferência ANPD.

Slide 95
 Outras situações

Quando a transferência for

necessária para a cooperação
Quando a transferência for
jurídica internacional entre
necessária para a proteção da Quando a autoridade nacional
órgãos públicos de inteligência,
vida ou da incolumidade física do autorizar a transferência
de investigação e de persecução,
titular ou de terceiro
de acordo com os instrumentos
de direito internacional

Slide 96
 Outras situações

Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional

Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público

Quando necessário para o cumprimento de obrigação legal ou regulatória pelo controlador, para a execução de
contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do
titular dos dados, ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral

Slide 97
 Curso rápido Imersão LGPD

Segurança dos dados

pessoais
 As medidas de segurança

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas

aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito.

Estas medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até
a sua execução (privacy by design).

A ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável quais são as medidas de segurança
técnicas e administrativas, considerados a natureza das informações tratadas, as características específicas do
tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis.

Slide 99
 As medidas de segurança

Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma

das fases do tratamento obriga-se a garantir a segurança da informação
prevista na Lei em relação aos dados pessoais, mesmo após o seu término.

Slide 100
 Sobre incidentes de segurança
A descrição da natureza dos dados
pessoais afetados;

Conteúdo da notificação:
As informações sobre os titulares
envolvidos;
Em caso de violações de dados
pessoais, o controlador deverá A indicação das medidas técnicas e
de segurança utilizadas para a

comunicar à ANPD e ao titular, proteção dos dados, observados os

segredos comercial e industrial;

em prazo razoável, a ocorrência

Os riscos relacionados ao incidente;
de incidente de segurança que
possa acarretar risco ou dano Os motivos da demora, no caso de

relevante aos titulares a comunicação não ter sido

imediata; e

As medidas que foram ou que serão

adotadas para reverter ou mitigar
os efeitos do prejuízo.

Slide 101
 Comunicação de incidentes de segurança

• Prazo para comunicação à ANPD:

Orientações • Enquanto pendente a regulamentação,
prévias da recomenda-se que após a ciência do evento
adverso e havendo risco relevante, a ANPD seja
ANPD, 2 de
comunicada com a maior brevidade possível,
março de sendo tal considerado a título indicativo o prazo
2021 de 2 dias úteis, contados da data do
conhecimento do incidente.

Slide 102
 Sobre a gravidade dos incidentes de segurança
No juízo de gravidade do
incidente, será avaliada eventual
A ANPD verificará a gravidade comprovação de que foram
do incidente e poderá, caso adotadas medidas técnicas
necessário para a salvaguarda adequadas que tornem os dados
dos direitos dos titulares,
determinar ao controlador a pessoais afetados ininteligíveis, no
adoção de providências, tais âmbito e nos limites técnicos de
como: seus serviços, para terceiros não
autorizados a acessá-los.

Os sistemas utilizados para o

tratamento de dados pessoais
devem ser estruturados de forma
Ampla divulgação do fato em Medidas para reverter ou a atender aos requisitos de
meios de comunicação; mitigar os efeitos do incidente.
segurança, aos padrões de boas
práticas e de governança e aos
princípios gerais previstos na Lei e
às demais normas regulamentares.

Slide 103
 As boas práticas

Os controladores e operadores poderão formular

regras de boas práticas e de governança

Procedimentos, Obrigações Mecanismos

Outros aspectos
incluindo específicas para internos de
Condições de Regime de Normas de Padrões Ações relacionados ao
reclamações e os diversos supervisão e de
organização funcionamento segurança técnicos educativas tratamento de
petições de envolvidos no mitigação de
dados pessoais
titulares tratamento riscos

Slide 104
 As boas práticas

A natureza

Ao estabelecer regras de
boas práticas, o O escopo

controlador e o operador
levarão em consideração,
A finalidade
em relação ao
tratamento e aos dados:
A probabilidade e a gravidade dos
riscos e dos benefícios decorrentes de
tratamento de dados do titular

Slide 105
 O programa de privacidade
Demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o
cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais

Ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do
modo como se realizou sua coleta

Ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados
tratados

Programa de Estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e
riscos à privacidade
governança em Ter o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que

privacidade assegure mecanismos de participação do titular

Estar integrado a sua estrutura geral de governança e estabelecer e aplicar mecanismos de supervisão internos
e externos

Contar com planos de resposta a incidentes e remediação

Ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e
avaliações periódicas

Slide 106
A responsabilização e prestação de contas

Não adianta apenas dizer que faz: tem de

provar que faz, e provar que o que faz protege
os dados dos titulares

Slide 107
A responsabilização e prestação de contas

Toda empresa deve demonstrar As regras de boas práticas e de

a efetividade de seu programa governança deverão ser
de governança em privacidade publicadas e atualizadas
quando apropriado e, em periodicamente e poderão ser
especial, a pedido da ANPD ou reconhecidas e divulgadas pela
de outra entidade responsável ANPD.
por promover o cumprimento
de boas práticas ou códigos de
conduta, os quais, de forma
independente, promovam o
cumprimento da Lei.

Slide 108
 Dados pessoais legados: o que fazer?

A ANPD ESTABELECERÁ NORMAS SOBRE A ADEQUAÇÃO PROGRESSIVA DE

BANCOS DE DADOS CONSTITUÍDOS ATÉ A DATA DE ENTRADA EM VIGOR DA LEI,
CONSIDERADAS A COMPLEXIDADE DAS OPERAÇÕES DE TRATAMENTO E A
NATUREZA DOS DADOS.

ISTO NÃO É MOTIVO PARA QUE AS EMPRESAS ESPEREM A LEI ENTRAR EM

VIGOR PARA SE ADEQUAR!

Slide 109
 Curso rápido Imersão LGPD

Supervisão da LGPD
 A responsabilidade na LGPD

O controlador ou o operador que, em razão do exercício de atividade de

tratamento de dados pessoais, causar a outrem dano patrimonial, moral,
individual ou coletivo, em violação à legislação de proteção de dados
pessoais, é obrigado a repará-lo.

Slide 111
 A responsabilidade na LGPD

O operador responde solidariamente

pelos danos causados pelo tratamento
Os controladores que estiverem
quando descumprir as obrigações da
diretamente envolvidos no
legislação de proteção de dados ou
tratamento do qual decorreram danos
quando não tiver seguido as
ao titular dos dados respondem
instruções lícitas do controlador,
solidariamente
hipótese em que o operador
equipara-se ao controlador

Slide 112
 A responsabilidade na LGPD

Aquele que reparar o dano

ao titular tem direito de Os agentes de tratamento
regresso contra os demais só não serão
responsáveis, na medida de responsabilizados quando
sua participação no evento provarem:
danoso.

Que, embora tenham

Que não realizaram o realizado o tratamento de Que o dano é decorrente
tratamento de dados dados pessoais que lhes é de culpa exclusiva do
pessoais que lhes é atribuído, não houve titular dos dados ou de
atribuído; violação à legislação de terceiro.
proteção de dados;

Slide 113
A Autoridade Nacional de Proteção de Dados

Órgão da
administração pública
Está dando seus
federal, integrante da
“passos iniciais”.
Presidência da
República.

Funções básicas:
fiscalizar, conscientizar,
aplicar sanções,
Tem autonomia promover estudos,
técnica e decisória. elaborar relatórios,
editar regulamentos,
realizar auditorias,
editar normas, etc.

Slide 114
 As sanções administrativas

Multa simples, de até 2% (dois por

cento) do faturamento da pessoa
jurídica de direito privado, grupo ou
Advertência, com indicação de prazo conglomerado no Brasil no seu último
para adoção de medidas corretivas exercício, excluídos os tributos,
limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por
infração

Slide 115
 As sanções administrativas

Multa diária, observado o limite dos 50 milhões de

reais

Publicitação da infração após devidamente apurada

e confirmada a sua ocorrência

Bloqueio dos dados pessoais a que se refere a

infração até a sua regularização

Eliminação dos dados pessoais a que se refere a

infração

Slide 116
 As sanções administrativas

SUSPENSÃO PARCIAL DO FUNCIONAMENTO DO BANCO DE DADOS A QUE SE REFERE A

INFRAÇÃO PELO PERÍODO MÁXIMO DE 6 (SEIS) MESES, PRORROGÁVEL POR IGUAL
PERÍODO, ATÉ A REGULARIZAÇÃO DA ATIVIDADE DE TRATAMENTO PELO CONTROLADOR

SUSPENSÃO DO EXERCÍCIO DA ATIVIDADE DE TRATAMENTO DOS DADOS PESSOAIS

A QUE SE REFERE A INFRAÇÃO PELO PERÍODO MÁXIMO DE 6 (SEIS) MESES,
PRORROGÁVEL POR IGUAL PERÍODO

PROIBIÇÃO PARCIAL OU TOTAL DO EXERCÍCIO DE ATIVIDADES RELACIONADAS A

TRATAMENTO DE DADOS

Slide 117
 Procedimento administrativo para sanções

As sanções serão aplicadas após procedimento administrativo que

possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou
cumulativa, de acordo com as peculiaridades do caso concreto e
considerados os seguintes parâmetros e critérios:

Slide 118
 Procedimento administrativo para sanções

A gravidade e a natureza das

A vantagem auferida ou
infrações e dos direitos pessoais A boa-fé do infrator; A condição econômica do infrator;
pretendida pelo infrator;
afetados;

A adoção reiterada e demonstrada

de mecanismos e procedimentos
internos capazes de minimizar o
A reincidência; O grau do dano; A cooperação do infrator; dano, voltados ao tratamento
seguro e adequado de dados, em
consonância com o disposto no
inciso II do § 2º do art. 48 da Lei;

A proporcionalidade entre a
A adoção de política de boas A pronta adoção de medidas
gravidade da falta e a intensidade
práticas e governança; corretivas; e
da sanção.

Slide 119
 As sanções administrativas

Estas sanções não substituem a aplicação de outras sanções administrativas, civis ou penais
definidas no CDC

No cálculo do valor das multas, a ANPD poderá considerar o faturamento total da empresa
ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade
empresarial em que ocorreu a infração, definido pela ANPD, ou quando o valor for
apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.

Slide 120
 Proporcionalidade na aplicação de sanções
Estas metodologias devem ser previamente
publicadas, para ciência dos agentes de
tratamento, e devem apresentar
objetivamente as formas e dosimetrias para o
cálculo do valor-base das sanções de multa,
que deverão conter fundamentação detalhada
A ANPD definirá, por meio de regulamento de todos os seus elementos, demonstrando a
próprio sobre sanções administrativas a observância dos critérios previstos na Lei.
infrações à Lei, que deverá ser objeto de
consulta pública, as metodologias que
orientarão o cálculo do valor-base das sanções
de multa.
O regulamento de sanções e metodologias
correspondentes deve estabelecer as
circunstâncias e as condições para a adoção de
multa simples ou diária.

Slide 121
 Valor da multa diária

O valor da sanção de multa diária aplicável às infrações à Lei deve observar a gravidade da falta e a
extensão do dano ou prejuízo causado e ser fundamentado pela ANPD.

A intimação da sanção de multa diária deverá conter, no mínimo, a descrição da obrigação imposta, o
prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada
pelo seu descumprimento.

Slide 122
 Curso rápido Imersão LGPD

Considerações finais
 Um fato

Independentemente de sanções por parte da ANPD, os titulares irão

buscar seus direitos, provavelmente via Justiça

A empresa que não se adequar poderá estar gerando um problema futuro

para ela: será melhor responder ao titular e/ou à ANPD do que em outras
instâncias, inclusive fiscalizadoras (MPDFT, Senacom, Procon, etc.)

Slide 124
 Dicas importantes

Compreender que a LGPD funda-se no princípio da responsabilidade.

A empresa precisa demonstrar conformidade com as legislações de proteção de

dados.

A fiscalização da ANPD será sucessiva e no âmbito da legislação de proteção de dados.

Garantir a segurança da informação não leva à automática proteção dos dados

pessoais – são conceitos interligados, mas distintos.

Slide 125
 O que fazer?

Para se adequar uma empresa precisa estruturar um programa de privacidade.

Ainda que o conteúdo exato deste programa seja variável (em decorrência do
tamanho da empresa, setor de atuação etc.), o programa tem alguns pontos
gerais que se aplicam a qualquer empresa.

Slide 126
 O Programa de Privacidade

Entendimento da Mapeamento da
Análise da situação
visão da empresa situação atual da
atual da empresa
sobre privacidade empresa

Criação de um sistema Proposição de

Avaliação contínua do
de manutenção melhorias com vistas
programa de
contínua do programa ao cumprimento das
privacidade
de privacidade exigências legais

Slide 127
 Obrigado!

Obrigado pela parceria e pela paciência ☺

Redes (LinkedIn, Instagram, YouTube):

@tiexames
@profmatheuspassos

Slide 128