Prévia do material em texto

Adequação à LGPD
Prof. Daniel Becker
Descrição
Apresentação das etapas e documentos constantes em um projeto de
adequação à Lei Geral de Proteção de Dados Pessoais (Lei nº
13.709/2018 - “LGPD”).
Propósito
A compreensão sobre as etapas necessárias à adequação à LGPD é
essencial para gestores e profissionais do Direito que se interessam no
tema, evitando sanções às pessoas que não tenham se adequado à lei.
Preparação
Antes de iniciar os nossos estudos, tenha em mãos a Lei nº 13.709, de
14 de agosto de 2018.
Objetivos
Módulo 1
Mapeamento e registro
Reconhecer as etapas necessárias para adequação à LGPD.
Módulo 2
Adequação de contratos e
políticas
Reconhecer os benefícios decorrentes da adequação e os riscos
relativos a não adequação à LGPD.
Módulo 3
Programa de privacidade
Aplicar soluções práticas para casos concretos.
Introdução
A Indústria 4.0 trouxe um impulso ao aumento de fluxo de dados
pessoais na economia, o que levou à regulação específica do
tratamento desses dados, a fim de garantir o direito da proteção
de dados pessoais em equilíbrio com a inovação tecnológica e o
desenvolvimento econômico. Esse é o contexto em que a LGPD é
elaborada.
Verifica-se que a estruturação de um sistema de governança, para
buscar a adequação à LGPD e a eventuais legislações setoriais

aplicáveis, apresenta o desafio operacional de mapear todas as
operações que envolvem dados pessoais dentro da organização,
avaliando criticamente a finalidade e a necessidade de acesso às
informações. A partir do mapeamento, inicia-se a etapa de
elaboração das políticas, documentos regulatórios da LGPD e
análise de medidas de segurança já existentes e daquelas que
devem ser implementadas.
Em razão da ampla cadeia de negócios envolvendo diversos
setores do mercado, é importante que seja realizada uma revisão
dos contratos prevendo cláusulas de responsabilização a
depender da posição ocupada pelo agente de tratamento de
dados. Além disso, são cada vez mais frequentes os processos
de due diligence, ou sejam, que apresentam questionamentos
envolvendo o grau de adequação da empresa à LGPD antes de
proceder contratações ou investimentos, por exemplo. Estar em
conformidade com a lei, portanto, torna-se um verdadeiro
diferencial competitivo no momento da contratação.
Como ambientes seguros são construídos com base em três
pilares (pessoas, processos e tecnologias), é também de extrema
importância a organização de workshops e treinamentos
periódicos, visando alcançar uma cultura de proteção de dados
alinhada à cultura organizacional.
1 - Mapeamento e registro
Ao �nal deste módulo, você será capaz de reconhecer as etapas
necessárias para adequação à LGP
Ligando os pontos
Você sabe o que é mapeamento de dados? Sabe identificar a sua
importância? Sabe dizer o que é registro das operações de tratamento
de dados pessoais? Sabe identificar se o referido registro trata-se de
uma exigência legal? Vamos conferir o caso a seguir.
O ano de 2020 iniciou com um desassossego para empresas e
profissionais que, de certa forma, estão na caminhada para se
adequarem à LGPD. Nessa toada, o que vemos são organizações
querendo começar o processo de conformidade do zero, ignorando
tristemente a cultura e os processos já existentes, mas que precisam
ganhar robustez e forma para se exteriorizarem.
Como podemos pensar em alcançar a conformidade com uma lei de
tamanha evidência se os colaboradores não compreendem o que são
dados pessoais?
Nesse sentido, imagine que você é o gestor de uma grande varejista, que
trabalha com a venda de móveis e eletrodomésticos, onde seus
colaboradores precisam reconhecer que realizam o tratamento de dados
em suas atividades diárias. Por isso, o ponto de maior vulnerabilidade
deve ser trabalhado como prioridade. Isso mesmo, apresentar aos
colaboradores o que são dados pessoais, o que é tratamento de dados
pessoais, as bases legais e assim por diante. São eles que levarão às
áreas de negócio o inventário de dados, cabendo a quem ou ao grupo
que é responsável pelo projeto de conformidade à LGPD condensar e
estruturar o que toda a empresa revelou.
Não há manual para se alcançar a conformidade com a LGPD. Sendo
assim, cada organização dará o primeiro passo baseado no volume de
dados pessoais que trata, na sua estrutura física e humana e
considerando outras métricas que se fizerem necessárias à decisão.
No entanto, você acredita que o inventário de dados deve ocorrer
quando se puder enxergar e quantificar, com maior clareza, a extensão
do banco de dados que a organização possui. Para isso, é importante
que todos os núcleos/setores saibam indicar os dados pessoais que
tratam, quais são indispensáveis ao trabalho que realizam, de que forma
são armazenados, com quem são compartilhados, entre outras
informações de extrema relevância para um posterior inventário.
Após a leitura do case, é hora de aplicar seus conhecimentos! Vamos
ligar esses pontos?
Questão 1
De acordo com o que foi exposto no texto, o advento da LGPD
contribuiu para a comoção geral do setor privado a fim de garantir
conformidade com as disposições da lei. Nesse contexto, pode-se
afirmar que
Parabéns! A alternativa B está correta.
Conforme o texto, o primeiro passo para iniciar à adequação à
LGPD é oferecer conhecimento aos colaboradores a respeito dos
conceitos básicos da Lei e as consequências para suas funções
diárias.
A
a comoção das empresas do setor privado se
mostrou desnecessária visto que a LGPD é aplicável
apenas para o setor público.
B
a construção de uma cultura de privacidade e
consciência geral dos colaboradores é um dos
desafios enfrentados pelas organizações no
processo de conformidade à LGPD.
C
a conformidade à LGPD é simples e rápida, sendo
possível adotar um mesmo padrão para todos os
setores econômicos e organizações.
D
não se verifica necessidade de elaborar uma
conscientização prévia dos colaboradores, visto que
estes não participam das atividades de adequação
à LGPD.
E
o primeiro passo para a adequação à LGPD é a
contratação de uma consultoria externa, única
responsável pelo projeto.
Questão 2
A respeito das estratégias de conformidade à LGPD, mencionadas
no texto, assinale a alternativa correta.
Parabéns! A alternativa A está correta.
O texto ressalta a importância do engajamento interno para iniciar a
adequação à LGPD, indicando que os colaboradores serão
essenciais na realização do inventário do tratamento de dados
A
É possível construir uma estratégia de
conformidade alinhada às características de
negócio de cada organização, verificando, entre
outros fatores, o tipo de negócio (B2B, B2C etc.), o
volume de dados pessoais tratados, o tipo de dados
pessoais e a relação com os titulares de dados.
B
Os riscos à privacidade e a proteção de dados
pessoais em decorrência do tratamento de dados de
uma organização são os mesmos,
independentemente do tipo de negócio e da
natureza dos dados tratados.
C
A integração dos colaboradores e a construção de
uma consulta de privacidade em uma organização
são necessárias apenas se houver relação direta
com o consumidor final.
D
O inventário de dados não é uma etapa essencial de
conformidade à LGPD, assim, é possível seguir
outras estratégias de conformidade sem se
preocupar em conhecer os processos de cada setor.
E
A fim de garantir a conformidade à LGPD, sempre
será necessário alterar todos os processos vigentes
em uma organização.
pessoais realizados em cada departamento. Além disso, o texto
destaca a ausência de procedimento padronizado para a
adequação à LGPD, devendo ser observadas as particularidades de
cada organização.
Questão 3
Conforme abordado no texto acima, o time interno da organização
possui importante papel nas atividades de adequação à LGPD. Como
gestor de uma grande varejista, quais as estratégias você acredita que
seriam fundamentais para o engajamento dos colaboradores no tema
de privacidade e proteção de dados?
Digitesua resposta aqui
Chave de resposta
O texto indica a necessidade de os colaboradores conhecerem os
conceitos básicos da LGPD e o tema de proteção de dados. O
propósito da questão é, então, incentivar os alunos a pensar sob o
ponto de vista da gestão empresarial, o que é importante em um
projeto de adequação. Sendo assim, a principal estratégia de
conscientização é a realização de treinamentos gerais sobre a
LGPD, que podem ser acompanhados de questionários de fixação.
Além disso, a empresa poderá promover palestras sobre o tema,
associando atividades desempenhadas no negócio, em especial, o
atendimento ao consumidor.
Data mapping
(Mapeamento)
Workshop inicial
A primeira etapa de um projeto de adequação à LGPD é a apresentação
de sua importância e os conceitos ao time interno de uma organização.
Nesse sentido, o workshop inicial, que deve ser
realizado com a presença de todos os colaboradores
e a liderança, tem por objetivos o nivelamento do
conhecimento e a conscientização do time,
buscando compreensão da importância, cooperação
e engajamento nas etapas do projeto e na
continuação do programa de adequação.
A apresentação poderá ser acompanhada com material de apoio a ser
distribuído internamente. Alguns pontos são importantes para
apresentar em fase inicial: breve histórico sobre questão da proteção de
dados e o advento da LGPD; principais conceitos da LGPD; bases legais
para tratamento de dados pessoais; princípios; direitos dos titulares;
panorama geral do programa de adequação à LGPD, recomendações de
segurança.
Mapeamento de dados
O que é o mapeamento de
dados?
Neste vídeo, o professor irá discorrer sobre o que é o mapeamento de
dados no contexto da LGPD.
O mapeamento de dados, ou data mapping, possui dois principais
objetivos:
Inventariar o tratamento de dados pessoais realizado nas áreas da
organização, identificando a finalidade de cada operação, os dados
pessoais tratados e os titulares de dados envolvidos, com o

objetivo de atribuir as bases legais adequadas e avaliar os riscos
relativos a cada operação.
Analisar os fluxos internos em relação à coleta, armazenamento e
eliminação dos dados, a fim de verificar medidas de mitigação e
orientar a elaboração de políticas e documentos regulatórios.
Em suma, o mapeamento de dados visa identificar e compreender o
cenário atual do fluxo de dados pessoais de uma organização. Um
mapeamento eficiente de dados pessoais abrange os seguintes pontos:
O mapeamento de dados pessoais pode ocorrer de diversas formas. É
possível coletar informações a partir de documentos, questionários,
entrevistas ou observando as atividades dos colaboradores.
Independentemente da técnica adotada, deve-se buscar a coleta de
todos os subsídios necessários para elaboração do Registro das
Operações de Tratamento de Dados Pessoais (ROPA).
 Compreensão do fluxo informacional, a fim de
identificar a origem dos dados pessoais e seu
caminho dentro das áreas de organização ou
compartilhamento para terceiros.
 Descrição do fluxo informacional, indicando todas
as etapas do ciclo de vida do dado pessoal.
 Identificação dos elementos-chave do fluxo
informacional (tipos de dados pessoais tratados,
formatos de armazenamento, transferências, base
legal etc.).
Registro das Operações de
Tratamento de Dados
Pessoais (ROPA)
O ROPA é um documento regulatório exigido pelo art. 37, da LGPD, que
dispõe: “o controlador e os operadores devem manter registro das
operações de tratamento de dados pessoais que realizarem,
especialmente quando baseado no legítimo interesse”.
Em regra, o ROPA contém, no mínimo, a área responsável pela operação
de tratamento, finalidade, dados pessoais e dados pessoais sensíveis
tratados, categoria dos titulares envolvidos, origem dos dados pessoais,
localização e armazenamento, fluxo dos dados pessoais na
organização, compartilhamento com terceiros, sistemas utilizados no
tratamento dos dados pessoais, medidas de segurança adotadas e base
legal adotada.
O preenchimento do ROPA é feito com base nos
subsídios fornecidos na etapa de mapeamento.
Além da exigência legal, esse documento é
importante para fundamentar a governança de
dados na organização, servindo como um dos
passos para demonstrar a conformidade com a
LGPD.
Conforme disposto no art. 37 da LGPD, todos os agentes de tratamento,
controladores e operadores devem manter o ROPA. Segundo o art. 9º,
caput, da Resolução expedida pelo Conselho Diretor da Autoridade
Nacional de Proteção de Dados (CD/ANPD) nº 02/2022, os agentes de
tratamento de pequeno porte, como microempresas, empresas de
pequeno porte e startups, também devem cumprir a obrigação de
manutenção do registro das operações de tratamento, entretanto, a
resolução prevê a possibilidade de a ANPD disponibilizar um modelo de
registro simplificado para esses agentes (art. 9º, parágrafo único).
Além das informações a respeito de cada operação de tratamento de
dados pessoais, o ROPA também pode estar acompanhado da análise
de riscos e as respectivas recomendações de mitigação, tais como a
estruturação de bancos de dados com gerenciamento de acesso e
senha forte, a inclusão de anexos de privacidade, a elaboração de
documentos regulatórios e outras medidas que variam caso a caso.
A análise de riscos, ou GAP Analysis, permite identificar e nivelar os
riscos de cada operação de tratamento de dados, classificando-os como
baixo, médio e alto. Após a classificação dos riscos, a organização
consegue traçar um plano de ação baseado em medidas de mitigação
prioritárias.
Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
A LGPD apresenta uma série de exigências legais que visam à
regularização do tratamento de dados pessoais, o que conduz as
organizações à adoção de um projeto de adequação. A respeito das
etapas iniciais do projeto, workshop, mapeamento e ROPA, é
possível afirmar que
A
a LGPD exige que o mapeamento de dados seja
realizado através do uso de plataformas e
softwares, em formato automatizado,
obrigatoriamente.
B
a LGPD estipula um padrão específico de etapas e
procedimentos que devem ser seguidos em todos
os programas de adequação à Lei.
Parabéns! A alternativa C está correta.
O enunciado da letra “c” trata sobre a importância da
conscientização interna para promoção de uma cultura de
privacidade e engajamento dos colaboradores na adequação à
LGPD.
Questão 2
Acerca do mapeamento de dados pessoais e do Registro das
Operações de Tratamento de Dados (ROPA), é correto afirmar que
C
o workshop inicial é uma etapa fundamental no
programa de adequação, contribuindo para o
nivelamento e engajamento dos colaboradores.
D
a compreensão do fluxo informacional de uma
organização não é um dos elementos essenciais do
data mapping.
E
o mapeamento de dados busca conhecer toda a
estrutura de uma organização, inclusive, os
procedimentos internos que não dizem respeito ao
tratamento de dados pessoais.
A
são conteúdos essenciais do ROPA: nome do
colaborador responsável por cada operação de
tratamento, finalidade, tipo de dados pessoais
tratados, categoria dos titulares, quantidade de
titulares de dados.
B
o mapeamento de dados visa compreender o estado
atual do fluxo de dados pessoais de uma
organização e apenas o método de entrevistas é
eficaz para a compreensão desse fluxo.
Parabéns! A alternativa E está correta.
Assim como mencionado nos núcleos conceituais, o ROPA pode
estar acompanhado da análise de riscos e das respectivas
recomendações de mitigação, a fim de auxiliar a organização para
compreender o nível de exposição relacionado a cada operação de
tratamento de dados pessoais.
2 - Adequação de contratos e políticas
Ao �nal deste módulo, você será capaz de reconhecer os benefícios
decorrentes da adequação e os riscos relativos a não adequação à
LGPD.
C apenas o controlador é responsável por manter o
ROPA, nos termos do art. 37 da LGPD.
D
a LGPD não apresenta exigência de preenchimentodo ROPA, trata-se de uma boa prática do mercado.
E
além das informações detalhadas sobre as
operações de tratamento de dados, o ROPA também
poderá apresentar a análise de risco relativa a cada
operação.
Ligando os pontos
Você sabe apontar os conceitos de: controlador, operador, controladoria
independente e conjunta? Sabe identificar quais as cláusulas contratuais
essenciais para fins de proteção de dados? Vamos analisar o caso a
seguir.
A empresa ABC decide contratar a empresa XYZ, prestadora de serviços
de armazenamento em nuvem para gerenciamento dos dados de seus
colaboradores. A empresa ABC solicita alguns requisitos técnicos
específicos para garantir que a empresa XYZ esteja adequada à LGPD e
adote medidas de segurança da informação. Nessa linha, a empresa
ABC também decide quais os dados pessoais dos colaboradores serão
armazenados na nuvem, o período de armazenamento e a finalidade,
ainda que a empresa XYZ tenha autonomia para definir as medidas
técnicas utilizadas na prestação dos serviços.
Após o período de negociação, a empresa ABC assinou o contrato
padrão de prestação de serviços elaborado pela empresa XYZ, o qual
continha cláusulas genéricas sobre a observância dos dispositivos
legais da LGPD, sem mencionar a classificação das partes como
agentes de tratamento nem apresentar limitações de responsabilidade.
Após a leitura do case, é hora de aplicar seus conhecimentos! Vamos
ligar esses pontos?
Questão 1
A relação entre os agentes de tratamento define as funções e
responsabilidades em relação ao tratamento de dados pessoais.
Em relação ao caso apresentado, qual o papel que cada empresa
ocupa no tratamento dos dados pessoais decorrentes do contrato
celebrado?
A
Controlador (empresa XYZ) vs. operador (empresa
ABC).
B Controladoria independente.
Parabéns! A alternativa C está correta.
No caso apresentado, a empresa ABC é controladora, pois possui
poder decisório e determina os elementos essenciais do tratamento
dos dados pessoais. A empresa XYZ, por sua vez, na prestação dos
serviços contratados, é operadora dos dados pessoais, pois deverá
tratá-los em observância das instruções informadas pela empresa
ABC.
Questão 2
As disposições da LGPD afetam a cadeia de relacionamento
comercial no mercado, uma vez que os agentes procuram
segurança jurídica em relação às suas responsabilidades
decorrentes do tratamento de dados pessoais. A partir do caso
descrito acima, pode-se inferir que
C Controlador (empresa ABC) vs. operador (empresa
XYZ).
D Controladoria conjunta.
E
Apenas a empresa ABC será considerada agente de
tratamento, ocupando a posição de controladora.
A
a definição de cláusulas claras e específicas sobre a
proteção de dados pessoais e as funções de cada
agente de tratamento não é necessária para conferir
maior segurança jurídica às partes.
B
como não há distinção de exigências legais para os
diferentes agentes de tratamento, não há
necessidade de classificar contratualmente as
partes envolvidas no tratamento de dados pessoais.
C
ainda que seja a controladora dos dados pessoais, a
empresa ABC não poderá definir exigências
Parabéns! A alternativa D está correta.
A indicação formal do papel dos agentes de tratamento não é capaz
de alterar as circunstâncias fáticas, assim, no caso concreto, a
empresa ABC continuará sendo controladora dos dados pessoais,
ainda que o contrato disponha o contrário.
Questão 3
Após a análise do caso, você entende que as empresas ABC e XYZ
poderiam adotar medidas para se proteger dos riscos relativos ao
tratamento de dados pessoais realizado? Em caso positivo, quais
medidas você entende que seriam possíveis de serem adotadas?
Digite sua resposta aqui
Chave de resposta
Trata-se de questão que estimula o pensamento estratégico
empresarial. Na relação entre as partes, seria possível a
elaboração de cláusulas contratuais mais robustas para assegurar
contratuais a respeito do cumprimento da LGPD por
parte da empresa XYZ.
D
as cláusulas contratuais de proteção de dados
devem refletir a relação fática das partes. Assim, a
condição de controladora dos dados pessoais, no
caso da empresa ABC, não se altera apenas com a
inserção formal de cláusula contratual indicando
que esta seria operadora, no caso indicado.
E
cláusulas genéricas com a reprodução de
dispositivos legais da LGPD são suficientes para
conferir segurança às partes em caso de
divergências de interpretação.
o cumprimento da LGPD e limitar as responsabilidades de cada
parte em relação ao tratamento de dados pessoais. Sob ponto de
vista interno, cada organização deveria adotar um programa de
conformidade à LGPD, a fim de mitigar os riscos regulatórios e
técnicos associados ao tratamento de dados pessoais.
Análise e gestão contratual
Retomando conceitos: controlador, operador,
controladoria independente e controladoria conjunta
Na etapa de análise e gestão contratual, objetiva-se a revisão dos
contratos padrões de uma organização, a fim de verificar a relação com
fornecedores, prestadores de serviço e outros parceiros que tenham
acesso a dados pessoais.
A análise das relações com parceiros é fundamental para identificar se
as disposições contratuais, de fato, estão em consonância com o papel
desempenhado concretamente por cada parte, e refletem as obrigações
previstas na LGPD. Além disso, a elaboração de cláusulas de proteção
de dados visa exigir que a contraparte (p. ex.: fornecedor, parceiro,
prestador de serviço) também atenda às disposições da LGPD, alocando
adequadamente a responsabilização em caso de violação ou incidente
envolvendo dados pessoais. Analise a seguir:
 O primeiro passo ao formular ou revisar contratos
em compliance com as disposições da LGPD é
verificar se na relação há tratamento de dados
pessoais.
 Em seguida, é preciso identificar quais são os
agentes de tratamento e como se classificam,
observando que posição a empresa assume na
relação.
Os agentes de tratamento são pessoas naturais ou jurídicas envolvidas
na contratação que efetivamente tratam dados pessoais. Tais agentes
se dividem em:
Controlador
Possui postura ativa sobre como se dará o tratamento de dados.
Operador
Apenas operacionaliza o tratamento, em atendimento aos comandos do
controlador.
É possível que não exista a figura do operador em determinada relação,
seja por haver apenas o controlador como agente de tratamento (por
exemplo, em um contrato de trabalho), seja porque os demais agentes
são controladores (por exemplo, relação contratual em que ambos
tenham poderes para decidir sobre a operação). Nessa última hipótese,
a relação pode ser de controladoria conjunta ou de controladoria
independente.
Cláusulas contratuais essenciais
Proteção de dados e
cláusulas contratuais
essenciais
Neste vídeo, serão destacadas as cláusulas contratuais essenciais que
devem ser observadas num contexto de proteção de dados.
Independentemente do tipo de relação entre os agentes de tratamento, é
importante que o contrato distribua obrigações bilaterais a respeito da
observância da LGPD, visto que a lei exige que os agentes de

tratamento, controlador ou operador, adotem medidas para garantir a
segurança dos dados pessoais (art. 46). Desse modo, ambas as partes
devem se comprometer na implementação de processos internos aptos
a garantir o cumprimento dos princípios, regras e diretrizes
estabelecidos na LGPD.
Além dessas disposições, o contrato pode prever algumas cláusulas
específicas a depender da posição assumida por cada agente de
tratamento. Vejamos as seguintes relações:
Na relação controlador vs. operador, o contrato deve prever que:
I. Cabe ao controlador definir as finalidades do tratamento,
bem como fornecer as instruções necessárias para garantir
sua legitimidade e legalidade.
II. O operador se compromete a seguir as instruções do
controlador desde que sejam lícitas, podendo sinalizar
caso haja contrariedade dessas instruções com a lei.
III. Cabe ao controlador avaliar eatestar a legalidade e
legitimidade do tratamento, principalmente em relação às
bases legais, aos mecanismos que privilegiam a
transparência e a disponibilização de informações sobre a
possibilidade de compartilhamento.
IV. O controlador é responsável por adotar procedimentos
internos para análise e envio de respostas às requisições
dos titulares de dados, cabendo ao operador comunicar
quando do recebimento de solicitações dos titulares de
dados a respeito do tratamento de dados decorrente do
objeto contratual, podendo prestar auxílio ao controlador.
V. O operador não poderá subcontratar outrem sem que o
controlador autorize. Ainda, é fundamental estabelecer que,
caso o controlador autorize a subcontratação e,
consequentemente, o compartilhamento dos dados, o
operador compromete-se a garantir que esse terceiro se
obrigue por escrito a respeitar o mesmo nível de proteção
estabelecido no contrato, sob pena de responder pelas
violações do terceiro como se as tivesse realizado.
Na relação de controladoria conjunta, é importante pontuar que:
I. Ambas as partes reconhecem que tratam os dados
pessoais em razão do objeto estabelecido no contrato e de
acordo com as decisões conjunta e licitamente tomadas,
aplicando todas as medidas técnicas e/ou administrativas
necessárias ao tratamento de dados.
Controlador vs. operador 
Controladoria conjunta 
II. Quando uma das partes atuar em desconformidade com a
decisão conjunta, atuará como controlador independente,
mantendo o outro controlador indene de quaisquer
prejuízos.
Quanto à relação controladoria independente, deve-se considerar
que:
I. Cada uma das partes será responsável pelas operações de
tratamento de dados que realizar no âmbito de suas
atribuições, assegurando se manterem reciprocamente
indenes de quaisquer prejuízos, exceto quando houver
contribuído para o dano.
II. Havendo condenação por eventual solidariedade ou a
reparação de quaisquer danos pelo controlador que não
houver participado do evento danoso, caberá direito de
regresso.
No que tange à indenização e limitação de responsabilidade,
independentemente da relação entre as partes, ambas possuem direito
de regresso em relação ao dano causado pela outra parte, nos termos
do art. 42, §4º, da LGPD. Assim, caso uma das partes, por qualquer
motivo, não tenha sido parte no processo, a outra parte poderá
denunciar a lide nos termos dos arts. 125 a 129 do Código de Processo
Civil (Lei nº 13.105/2015) ou, ainda, ingressar com ação de regresso em
face do responsável, nos termos do art. 42, § 4º da LGPD.
Por �m, cabe destacar que as disposições
apresentadas são considerações gerais para gerir a
relação entre as partes, entretanto, a redação
especí�ca das cláusulas contratuais deve
considerar o objeto de cada contrato e a relação
fática entre as partes.
Nesse ponto, esclarecemos que a ANPD, no guia sobre agentes de
tratamento, orienta que, embora os contratos possam ajudar a
identificar o controlador e o operador, apenas a situação fática irá
estabelecer se a entidade age como tal, por isso, é importante analisar
casa situação a fim de elaborar cláusulas contratuais que reflitam as
circunstâncias fáticas do tratamento de dados pessoais.
Controladoria independente 
Política de Privacidade e
Termos e Condições de uso
O art. 9º da LGPD dispõe o seguinte:
O titular tem direito ao acesso facilitado às informações sobre o
tratamento de seus dados, que deverão ser disponibilizadas de forma
clara, adequada e ostensiva acerca de, entre outras características
previstas em regulamentação para o atendimento do princípio do livre
acesso:
I. finalidade específica do tratamento;
II. forma e duração do tratamento, observados os segredos
comercial e industrial;
III. identificação do controlador;
IV. informações de contato do controlador;
V. informações acerca do uso compartilhado de dados pelo
controlador e a finalidade;
VI. responsabilidades dos agentes que realizarão o tratamento; e
VII. direitos do titular, com menção explícita aos direitos contidos no
art. 18 desta Lei.
(LEI Nº 13.709/2018)
A Política de Privacidade é o documento que informa aos titulares como
os seus dados pessoais são tratados pela organização. Nesse
documento, são expostas as finalidades, as medidas de segurança, as
informações sobre o compartilhamento de dados, a retenção e o
descarte, as bases legais e as informações de contato.
Assim, a Política de Privacidade é capaz de cumprir as exigências do
direito de acesso disposto no art. 9º, da LGPD, bem como dos princípios
da transparência (art. 6º, inc. VI) e livre acesso a informações pelo titular
(art. 6º, inc. IV).
Atenção!
Cabe ressaltar que o princípio da transparência, na LGPD, é limitado
pelos segredos comercial e industrial de uma organização.
Termos e Condições de Uso
Os Termos e Condições de Uso é o instrumento contratual que vincula
as partes para prestação de serviços, normalmente, por meio de uma
plataforma digital. Os Termos e Condições de Uso informam os direitos
e as obrigações do usuário na plataforma, sendo possível encontrar
disposições sobre cadastro, limitações, responsabilidades e atividades
vedadas, por exemplo.
Em regra, os Termos e Condições de Uso ou Termos
de Serviço são contratos que governam a relação
jurídica entre o usuário �nal e o provedor de
serviços on-line. Considerando que os usuários
geralmente não têm a oportunidade de negociar as
cláusulas dos termos, esses documentos se
encaixam na categoria de contratos de adesão (art.
54, Código de Defesa do Consumidor – CDC).
Considerando que o CDC também pode ser aplicável nas relações de
consumo na Internet, é importante que o usuário seja devidamente
informado de todas as condições contratuais em observância ao direito
do consumidor à informação clara e precisa (art. 6º, inc. III do CDC).
Demais políticas
Política de Retenção e Descarte
O art. 16 da LGPD dispõe o seguinte:
Os dados pessoais serão eliminados após o término de seu tratamento,
no âmbito e nos limites técnicos das atividades, autorizada a
conservação para as seguintes finalidades:
I. cumprimento de obrigação legal ou regulatória pelo controlador;
II. estudo por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais;
III. transferência a terceiro, desde que respeitados os requisitos de
tratamento de dados dispostos nesta Lei; ou
IV. uso exclusivo do controlador, vedado seu acesso por terceiro, e
desde que anonimizados os dados.
(LEI Nº 13.709/2018)
Observa-se que, em regra, a LGPD não admite que os dados pessoais
sejam armazenados indefinidamente, por isso os agentes de tratamento
devem definir regras claras sobre os períodos de retenção dos dados
pessoais e seu descarte seguro.
Nessa linha, a Política de Retenção e Descarte estabelece as diretrizes
quanto à retenção e ao descarte de dados, tendo em vista que o prazo
para armazenamento deve observar a categoria e a finalidade para a
qual são tratados. Esse documento vem acompanhado de um
Cronograma de Retenção e Descarte, em que estarão descritos os
prazos relativos a cada operação de tratamento constantes no ROPA.
Para se determinar o período de retenção (ou tempo de guarda) dos
dados pessoais, deve-se considerar o propósito do armazenamento,
além de identificar quem é o titular do dado, a categoria do dado tratado
e a natureza do tratamento realizado.
Exemplo
Se o tratamento envolve relação trabalhista ou contratual.
Sobre o período de retenção de dados pessoais, tem-se, como regra
geral, 5 anos para dados relacionados a relações trabalhistas, em razão
do prazo prescricional previsto constitucionalmente para se ajuizar ação
trabalhista, e 10 anos para relações contratuais fundadas no Código
Civil, considerando o prazo prescricional do art. 205, do CC.
Por fim, algumas perguntas podem auxiliar a definir o período de
retenção dos dados pessoais:
I
Por quanto tempo precisamos dos dados pessoais para atingir
nossos objetivos?
II
Existe alguma obrigação legal ou regulatóriaque exija o
armazenamento dos dados pessoais por determinado período?
III
Quais ações poderiam ser ajuizadas contra organização e quais
prazos prescricionais aplicáveis?
Política de Segurança da Informação
A Política de Segurança da Informação possui o objetivo de apresentar
as diretrizes de promoção, implementação, manutenção e melhoria do
Sistema de Segurança da Informação de uma organização. Trata-se de
um documento de caráter híbrido (jurídico e técnico), que deve ser
construído em conjunto com o time de Segurança da Informação.
Cabe notar que a segurança da informação não é
restrita a sistemas computacionais, informações
eletrônicas ou sistemas de armazenamento. O
conceito aplica-se a todos os formatos de
tratamento de dados pessoais possíveis, incluindo
meios físicos.
A estruturação de um Sistema de Segurança da Informação e sua
formalização em uma política atende aos princípios da segurança e
prevenção, previstos na LGPD (art. 6º, inc. VII e VIII). Além disso, o art.
46, da LGPD, dispõe que “os agentes de tratamento devem adotar
medidas de segurança, técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados e de situações acidentais
ou ilícitas de destruição, perda, alteração, comunicação ou qualquer
forma de tratamento inadequado ou ilícito” (LEI Nº 13.709/2018).
A Política de Segurança da Informação, assim, visa proteger e garantir
os três princípios da segurança da informação:

Con�dencialidade

Integridade

Disponibilidade
A efetiva implementação dessa política previne danos aos ativos de
uma organização, em especial, incidentes de segurança com dados
pessoais.
Alguns dos itens que devem ser abordados na Política de Segurança da
Informação, são:
Política de Resposta a Incidentes
Enquanto a Política de Segurança se enquadra no patamar preventivo, a
Política de Resposta a Incidentes possui caráter reativo, com o objetivo
de estruturar as respostas a eventuais incidentes de segurança com
 Definição de responsabilidades entre o gerente de
SI, gestores das áreas e colaboradores.
 Implementação de padrões de segurança em
conformidade com as normas técnicas aplicáveis,
como a ISO 27001 e ISO 27002.
 Normas de backup, recuperação e recursos de DLP
(Data Loss Prevention – soluções para prevenção à
perda de dados).
 Políticas de senhas e restrições de acesso.
 Normas sobre o uso geral de dispositivos.
 Rotinas de auditoria.
dados pessoais. A Política de Resposta a Incidentes, portanto,
estabelece procedimentos e define funções para evitar ou mitigar
prejuízos à instituição em caso de incidentes envolvendo dados
pessoais.
O documento deve ser estruturado em harmonia com as disposições da
Lei Geral de Proteção de Dados (LGPD), as boas práticas internacionais
e recomendações da própria ANPD, sendo recomendada
complementação por time especializado em SI.
O art. 48, da LGPD, determina que o controlador deve comunicar à ANPD
e ao titular a ocorrência de incidente de segurança que possa acarretar
risco ou dano relevante aos titulares. Segundo orientação da ANPD, essa
comunicação deve ser feita no prazo de 2 dias úteis. Já o §1º desse
dispositivo legal dispõe sobre o conteúdo mínimo da comunicação, qual
seja:
I. a descrição da natureza dos dados pessoais afetados;
II. as informações sobre os titulares envolvidos;
III. a indicação das medidas técnicas e de segurança utilizadas para a
proteção dos dados;
IV. os riscos relacionados ao incidente;
V. os motivos da demora, no caso de a comunicação não ter sido
imediata;
VI. e as medidas que foram ou serão adotadas para reverter ou
mitigar os efeitos do prejuízo.
A política auxilia, então, a identificação e investigação do incidente,
permitindo avaliar a necessidade de comunicação à ANPD. São alguns
pontos a serem abordados na Política de Resposta a Incidentes:
 Designação de responsável pela Resposta a
Incidentes que, normalmente, é o encarregado (art.
5º, inc. VIII).
 Monitoramento de eventos e detecção de
incidentes.
 Comunicação Interna.
 Análise de incidentes.
 Resposta a incidentes.
 Notificação à ANPD e aos titulares de dados.
Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
A respeito dos documentos Política de Privacidade e Termos e
Condições de Uso, e os princípios de transparência, previstos na
LGPD, além do direito à informação do consumidor, assinale a
alternativa correta.
A
Os Termos e Condições de Uso não possuem
natureza contratual, assim, para o tratamento de
dados pessoais decorrente dos serviços prestados
por plataforma de conteúdo, sempre será
necessário coletar o consentimento.
B
De acordo com a LGPD, o controlador deverá
informar ao titular a lista dos nomes de todos os
sistemas internos utilizados no tratamento dos
dados pessoais.
Parabéns! A alternativa C está correta.
De acordo com o art. 9º, inc. I, III e VII, o titular tem direito de acesso
facilitado às informações sobre a finalidade específica do
tratamento, identificação do controlador e direitos do titular, com
menção explícita aos direitos contidos no art. 18, da LGPD.
Questão 2
A respeito do tema de retenção e descarte de dados pessoais,
pode-se afirmar que
C
Entre a lista de informações que devem ser
fornecidas ao titular, nos termos do art. 9º, da LGPD,
estão: finalidade do tratamento, identificação do
controlador, direitos dos titulares.
D
A utilização de linguagem clara e acessível para a
redação dos Termos de Uso e da Política de
Privacidade não reflete nenhum tipo de benefício à
organização.
E
Apenas os princípios da transparência e do livre
acesso, previstos na LGPD, devem orientar a
elaboração da Política de Privacidade, outras
legislações, como o Código de Defesa do
Consumidor, não são aplicáveis.
A
a LGPD permite o armazenamento de dados por
tempo indefinido, independentemente da finalidade
de tratamento.
B
de acordo com o art. 16 da LGPD, os dados
pessoais devem ser descartados imediatamente
após o término do tratamento, ainda que estejam
anonimizados.
Parabéns! A alternativa C está correta.
De acordo com o art. 7º, inc. XXIX, da CRFB/88, a ação de
reclamação de créditos resultantes das relações de trabalho possui
prazo prescricional de 5 anos. No caso, a empresa pode armazenar
os dados pessoais do empregado, mesmo após a rescisão
contratual, com fundamento na base legal do exercício regular do
direito (art. 7º, inc. VI), permitindo que possua subsídios para
defesa em eventual ação trabalhista.
C
os dados relativos à folha de pagamento de
empregados podem ser armazenados por até 5
anos pela empresa empregadora, a contar da data
de desligamento.
D
Pedro solicitou o encerramento da sua conta
corrente no Banco Mais Poupança e, por isso,
deseja também que todos seus dados sejam
descartados do banco. Nesse caso, o Banco Mais
Poupança deve acatar o pedido de Pedro e
providenciar o descarte dos dados imediatamente.
E
a elaboração de uma Política de Retenção e
Descarte não se mostra eficaz para o controle dos
prazos de retenção e descarte dos dados pessoais
dentro de uma organização.
3 - Programa de privacidade
Ao �nal deste módulo, você será capaz de aplicar soluções práticas
para casos concretos.
Ligando os pontos
Você sabe identificar quais os passos que devem suceder a realização
de um projeto de adequação? Sabe dizer qual a importância da
manutenção de manter novas rotinas atualizadas? Sabe dizer a
diferença entre privacy by design e privacy by default? Vamos analisar o
caso a seguir.
A empresa Compre Mais atua no comércio varejista e possui uma
plataforma de e-commerce. Compreendendo que as características do
negócio colocavam a empresa em situação de maior exposição a riscos
relacionados à proteção de dados pessoais, visto que possui contato
direto com o consumidor final, os diretores da Compre Mais logo
mobilizaram toda a equipe interna, com a ajuda de consultoria
especializada, a realizar a adequação à LGPD.
Aempresa Compre Mais segue todos os passos indicados no seu
projeto de adequação, mapeamento dos dados pessoais, elaboração do
ROPA, revisão dos contratos e elaboração de políticas e documentos
regulatórios. Após alguns meses de esforços concentrados na
conclusão do projeto de adequação, houve a finalização dos trabalhos
com um treinamento final para todos os colaboradores.
Após um ano de conclusão do projeto de adequação, alguns processos
foram implementados, como a possibilidade de oferta de crédito no e-
commerce, hipótese em que os dados pessoais dos usuários serão
compartilhados com instituições financeiras para análise de histórico de
crédito e concessão do crédito. Ocorre que tal operação não foi incluída
no ROPA, não foi informada aos titulares por meio da Política de
Privacidade, nem nos Termos e Condições de Uso, que apresentavam
apenas as informações sobre os produtos anteriores da plataforma.
Após a leitura do case, é hora de aplicar seus conhecimentos! Vamos
ligar esses pontos?
Questão 1
Com o advento da LGPD, muitas empresas recorreram ao auxílio de
consultorias para implementação do projeto de adequação à LGPD,
com todas as fases de mapeamento, revisão contratual, elaboração
de documentos e treinamentos. Considerando a descrição do caso
e o conteúdo apresentado até o momento, pode-se afirmar que
A
a desatualização de documentos regulatórios não
apresenta riscos elevados à organização, visto que
todos são de controle interno e a LGPD não define
expressamente uma periodicidade de revisão.
B
após a elaboração de documentos e políticas
relativos à proteção de dados pessoais, não há
necessidade de qualquer atualização, ainda que
ocorra a alteração ou inclusão de processos dentro
da organização.
C
a implementação correta de todas as etapas de um
projeto de adequação é capaz de isentar
determinada organização de responsabilidade em
relação a eventuais danos decorrentes do
tratamento de dados pessoais.
D
após a conclusão de todos os documentos e
políticas, a organização ainda precisa manter a
observância à LGPD em relação a novos processos,
produtos e serviços implementados.
Parabéns! A alternativa D está correta.
Pela leitura do caso, é possível concluir que a adequação à LGPD é
constante e não se limita a um período específico, visto que novos
processos podem surgir ou ser alterados ao longo do
desenvolvimento do negócio.
Questão 2
A respeito da situação atual da empresa Compre Mais, relatada no
caso acima, podemos concluir que
E
no caso em tela, pode-se afirmar que todas as
operações de tratamento de dados pessoais
realizadas pela empresa Compre Mais estão
adequadas à LGPD.
A
a Empresa Compre Mais já adotou todas as
medidas necessárias para a adequação à LGPD, não
sendo possível realizar novas estratégias de
adequação.
B
ainda que tenha elaborado a Política de Privacidade,
a desatualização desse documento implica
descumprimento do princípio da transparência,
previsto na LGPD.
C
as informações prestadas pela empresa Compre
Mais estão adequadas sob o ponto de vista da
LGPD, uma vez que a transparência não deve
prevalecer sobre os segredos comercial e industrial
das organizações.
D
as iniciativas tomadas durante o projeto de
adequação foram suficientes para criação de uma
cultura de privacidade na empresa Compre Mais.
E
os investimentos em transparência não apresentam
qualquer benefício na relação entre a empresa
Parabéns! A alternativa B está correta.
O princípio da transparência garante aos titulares informações
claras, precisas e facilmente acessíveis sobre o tratamento de
dados pessoais. No caso, as informações sobre o novo produto
oferecido pela empresa Compre Mais e o compartilhamento de
dados correspondente não foram apresentadas ao titular, assim, há
violação ao princípio da transparência.
Questão 3
Enquanto consultoria contratada pela empresa Compre Mais, quais
recomendações você apresentaria para garantir a continuidade da
adequação à LGPD na empresa?
Digite sua resposta aqui
Chave de resposta
A partir do caso, é possível depreender que a finalização do projeto
de adequação não significa que a organização deve deixar de se
preocupar com a privacidade e a proteção de dados pessoais.
Assim, as principais recomendações, nesse caso, seriam a revisão
e atualização do ROPA, atualização da Política de Privacidade e
Termos e Condições de Uso, constituição de um comitê interno de
privacidade para auxiliar o encarregado a monitorar a adequação à
LGPD na organização.
Desa�os pós projeto de
adequação
Compre Mais e seus clientes.
A realização de um projeto de adequação é fundamental, mas não
constitui o fim da jornada de criação de uma cultura de privacidade e
proteção de dados pessoais, sendo apenas um primeiro passo.
Nesse sentido, é de fundamental importância não só
implementar novas rotinas, mas mantê-las vivas e
atualizadas. Para alcançar esse resultado, são
necessárias a revisão periódica de documentos, a
de�nição de responsabilidades e a capacitação dos
colaboradores com treinamentos regulares.
Assim, entende-se que a instituição de um programa de privacidade
contínuo apresenta diversos benefícios para as organizações, como:
I. avaliações positivas junto a parceiros de negócios;
II. oportunidade de geração de valor;
III. aumento da competitividade no mercado;
IV. maior segurança para parceiros de negócios, fornecedores,
colaboradores e clientes;
V. organização e melhoria dos processos; e
VI. mitigação de riscos e danos à imagem reputacional.
As diferenças entre Privacy
by design e privacy by
default
Privacy by design e privacy
by default
Neste vídeo, o professor discorre sobre as figuras da privacy by design e
da privacy by default.

O GDPR (Regulamento Geral de Proteção de Dados da União Europeia)
prevê em seu art. 25 “a proteção de dados desde a concepção e por
padrão”. A LGPD, por sua vez, dispõe que as medidas de segurança,
técnicas e administrativas de proteção de dados pessoais deverão ser
observadas desde a fase de concepção do produto ou serviço até a sua
execução (art. 46, §2º).
O privacy by design e o privacy by default são metodologias que se
propõem impulsionar uma mudança de cultura nas organizações,
impactando a forma como tratam os dados pessoais. Pensando nas
constantes inovações de produtos e serviços durante o
desenvolvimento do negócio, a preocupação com a privacidade e a
proteção de dados deve acompanhar esse processo.
O privacy by design é a metodologia que re�ete uma
preocupação com a privacidade do usuário desde a
concepção dos sistemas e de práticas de negócio.
Vejamos as diferenças a seguir:
Privacy by design
Estabelece que a
proteção da privacidade
deveria ser levada em
conta no ponto de
partida, para o
desenvolvimento de
qualquer projeto, sendo
incorporada à própria
arquitetura técnica dos
produtos e serviços.
Privacy by default
Já o privacy by default
prevê que a garantia da
privacidade deve se
tornar um padrão no
modo de operar da
organização.
No privacy by design, as ações de segurança devem estar alinhadas ao
negócio da organização, assim como as iniciativas de negócios devem
considerar a segurança da informação desde o início. De acordo com

essa metodologia, não se deve estruturar e implementar um novo
produto para só depois considerar a proteção de dados.
O privacy by design começa na fase inicial de qualquer sistema, serviço,
produto ou processo. A organização deve começar considerando suas
operações de tratamento pretendidas, os riscos que elas podem
representar para os indivíduos e as medidas de mitigação disponíveis
para garantir o cumprimento dos princípios de proteção de dados e a
proteção dos direitos dos titulares. Essas considerações devem
abranger:
O estado e o custo de implementação das medidas de
mitigação.
A natureza, o escopo, o contexto e os propósitos do
tratamento.
Os riscos que o tratamento representa para os direitos e
liberdades dos indivíduos.
Na segunda etapa,a organização deve implementar medidas técnicas e
organizacionais, tais como, gerenciamento de acesso, backup,
criptografia etc.
Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Suponha que determinada empresa deixou de adotar um programa
de privacidade contínuo. Considerando tal hipótese e o conteúdo
apresentado neste módulo, em relação à situação da empresa
Compre Mais, assinale a alternativa correta.
Parabéns! A alternativa A está correta.
Como mencionado no texto, um programa de privacidade contínuo
apresenta diversos benefícios para as organizações, como: (I)
avaliações positivas junto a parceiros de negócios; (II) oportunidade
de geração de valor; (III) aumento da competitividade no mercado;
(IV) maior segurança para parceiros de negócios, fornecedores,
colaboradores e clientes; (V) organização e melhoria dos
processos; e (VI) mitigação de riscos e danos à imagem
reputacional.
Questão 2
A
A implementação de um programa de privacidade
poderá trazer as seguintes vantagens para a
empresa: estar em conformidade com a LGPD;
maior credibilidade junto a clientes e investidores;
avaliações positivas junto a parceiros de negócios;
diferencial competitivo.
B
Observa-se que a empresa aplica a metodologia de
privacy by design em relação a seus produtos e
serviços.
C
A atualização dos documentos regulatórios e a
manutenção do nível de adequação à LGPD
depende apenas da ação da consultoria externa
contratada, não sendo necessário o engajamento do
time interno.
D
A concessão de treinamentos periódicos para os
colaboradores não está incluída no programa de
privacidade.
E
A LGPD prevê uma estrutura fixa de programa de
privacidade que deve ser implementado após a
finalização do projeto de adequação.
A respeito das metodologias de privacy by design e privacy by
default, assinale a alternativa correta.
Parabéns! A alternativa C está correta.
O texto apresentou os elementos que devem ser considerados na
aplicação do privacy by design, quais sejam: o estado e o custo de
implementação das medidas de mitigação; a natureza, o escopo, o
contexto e os propósitos do tratamento; os riscos que o tratamento
representa para os direitos e liberdades dos indivíduos.
A
As metodologias do privacy by design e privacy by
default não estão associadas ao programa de
privacidade.
B
Ao contrário do GDPR, as disposições da LGPD não
permitem depreender o incentivo à adoção de
metodologias privacy by design e privacy by default.
C
A análise sobre determinada operação de
tratamento de dados, sob o método privacy by
design, deverá considerar os seguintes pontos: (I)
técnicas e custos de implementação das medidas
de mitigação; (II) circunstâncias fáticas do
tratamento (natureza, finalidade e contexto); (III)
potenciais riscos aos direitos e liberdades
individuais.
D
A LGPD exige, expressamente, que o controlador
implemente a metodologia de privacy by design na
confecção de produtos e serviços.
E
A privacidade como configuração padrão dos
processos de uma organização é a característica do
privacy by default, e deve ser incorporada apenas
nas hipóteses em que há um elevado volume de
dados pessoais tratados.
Considerações �nais
Conforme exposto, a adequação à LGPD apresenta-se como
oportunidade competitiva para as organizações, garantindo maior
credibilidade em relação aos clientes e investidores. Nesse sentido, a
realização de um projeto de adequação à LGPD é um primeiro passo em
direção à construção de uma cultura organizacional de privacidade e
proteção de dados, que deve ser desenvolvida em todas as etapas do
crescimento do negócio.
Após a implementação do alicerce da adequação à LGPD, isto é,
elaboração do ROPA, revisão contratual, confecção de políticas e
documentos regulatórios, basta seguir em constante observância do
complicance com as disposições da legislação vigente e as melhores
práticas do mercado. Nesse contexto, as soluções sob a metodologia
privacy by design e privacy by default refletem a preocupação com as
questões de proteção de dados desde a concepção do produto ou
serviço.
Podcast
Para encerrar, ouça sobre os desafios para adequação das empresas à
LGPD.

Explore +
Confira as indicações de leitura que separamos para você!
Controlador ou operador: quem sou eu? Trata-se de uma cartilha
elaborada pelo Laboratório de Políticas Públicas e Internet (LAPIN).
Privacy by Design: The 7 Foundational Principles. Trata-se de um artigo
interessantíssimo elaborado por Ann Cavoukian.
Referências
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. ANPD. Resolução
CD/ANPD nº 2. Brasília, 2022.
BARROS, P. Colaboradores conscientes e inventário de dados. SERPRO,
2020. 
BECKER, D. et al. Comentários à Lei Geral de Proteção de Dados. Rio de
Janeiro: Revistas dos Tribunais, 2020.
BIONI, B. Tratado de Proteção de Dados Pessoais. Rio de Janeiro:
Forense, 2021.
BRASIL. Lei nº 8.078/1990. Dispõe sobre a proteção do consumidor e
dá outras providências. Brasília, 1990.
BRASIL. Lei nº 12.965/2014. Estabelece princípios, garantias, direitos e
deveres para o uso da Internet no Brasil. Brasília, 2014.
BRASIL. Lei nº 13.709/2018. Lei Geral de Proteção de Dados Pessoais
(LGPD). Brasília, 2018.
Material para download
Clique no botão abaixo para fazer o download do
conteúdo completo em formato PDF.
Download material
O que você achou do conteúdo?
Relatar problema
javascript:CriaPDF()